Nouveautés dans XenMobile Server 10.7

XenMobile Server 10.7 (PDF)

Remarque :

TouchDown par Symantec a atteint sa fin de vie le 3 juillet 2017, avec fin de prise en charge standard, fin de prise en charge étendue et fin de vie de prise en charge le 2 juillet 2018. Pour plus d’informations, consultez l’article du support Symantec TouchDown End-of-Life, End-of-Availability, and End-of- Support announcement.

Pour de plus amples informations sur la mise à niveau, consultez la section Mettre à niveau. Pour accéder à la console de gestion de XenMobile, utilisez uniquement le nom de domaine complet du serveur XenMobile ou les adresses IP du nœud.

Important :

Après une mise à niveau vers XenMobile 10.7

Si une fonctionnalité utilisant des connexions sortantes cesse de fonctionner alors que vous n’avez pas changé la configuration de vos connexions, vérifiez dans le journal de XenMobile Server s’il existe des erreurs telle que la suivante : Impossible de se connecter au serveur VPP : le nom d’hôte ‘192.0.2.0’ ne correspond pas au sujet du certificat fourni par l’homologue.

Si vous recevez l’erreur de validation du certificat, désactivez la vérification de nom d’hôte sur XenMobile Server. Par défaut, la vérification de nom d’hôte est activée sur les connexions sortantes à l’exception du serveur PKI de Microsoft. Si la vérification de nom d’hôte interrompt votre déploiement, définissez la propriété de serveur disable.hostname.verification sur true. La valeur par défaut de cette propriété est false.

Pour plus d’informations sur les corrections de bogues, veuillez consulter la section Problèmes résolus.

Intégration avec les fonctionnalités Apple Éducation

Vous pouvez utiliser XenMobile Server en tant que solution de gestion d’appareils mobiles (MDM) dans un environnement qui utilise Apple Éducation. XenMobile prend en charge les améliorations Apple Éducation introduites dans iOS 9.3, y compris l’application Apple School Manager et En classe pour iPad. La nouvelle stratégie Configuration de l’éducation de XenMobile configure les appareils des enseignants et des élèves pour une utilisation avec Apple Éducation.

La vidéo suivante propose une visite guidée des modifications à apporter à Apple School Manager et XenMobile Server.

Configuration de l’éducation de Citrix XenMobile : intégrer les fonctionnalités d’Apple Éducation avec XenMobile

Vous devez fournir des iPads préconfigurés et supervisés aux enseignants et aux étudiants. Cette configuration comprend :

  • Inscription au programme d’inscription des appareils Apple School Manager dans XenMobile

  • Un compte Apple ID géré configuré avec un nouveau mot de passe

  • Applications VPP et iBooks requises

Pour de plus amples informations sur l’intégration avec les fonctionnalités d’Apple Éducation, consultez la section Intégration avec les fonctionnalités Apple Éducation et Stratégie de configuration de l’éducation.

Image de la configuration Apple Éducation

Déploiement d’iBooks vers les appareils iOS

Vous pouvez utiliser XenMobile pour déployer des iBooks que vous obtenez via le programme d’achats en volume Apple (VPP). Une fois que vous avez configuré un compte VPP dans XenMobile, vos livres achetés et gratuits s’affichent dans Configurer > Média. À partir des pages Média, vous pouvez configurer les iBooks pour le déploiement vers les appareils iOS en choisissant des groupes de mise à disposition et en spécifiant les règles de déploiement.

La première fois qu’un utilisateur reçoit un iBook et accepte la licence VPP, les livres déployés s’installent sur l’appareil. Les livres s’affichent dans l’application Apple iBook. Vous ne pouvez pas dissocier la licence du livre de l’utilisateur ou supprimer le livre de l’appareil. XenMobile installe les iBooks en tant que média obligatoire. Si un utilisateur supprime un livre installé de son appareil, le livre reste dans l’application iBook, prêt à être téléchargé.

Conditions préalables

Configurer les iBooks

Les iBooks obtenus via le programme VPP s’affichent sur la page Configurer > Média. Pour de plus amples informations, consultez la section Ajouter un média.

Image de la configuration d'iBooks

Stratégie BitLocker

Windows 10 Entreprise comprend une fonctionnalité de cryptage de disque appelée BitLocker, qui fournit une protection fichier et système supplémentaire contre tout accès non autorisé à un appareil perdu ou volé. Pour une protection supplémentaire, vous pouvez utiliser BitLocker avec Trusted Platform Module (TPM), version 1.2 ou supérieure. Une puce TPM gère les opérations de chiffrement et génère, stocke et limite l’utilisation des clés cryptographiques.

À compter de Windows 10, build 1703, les stratégies MDM peuvent contrôler BitLocker. Vous pouvez utiliser la stratégie BitLocker dans XenMobile pour configurer les paramètres disponibles dans l’Assistant BitLocker sur les appareils Windows 10. Par exemple, sur un appareil avec BitLocker activé, BitLocker peut inviter les utilisateurs à configurer :

  • la manière dont ils souhaitent déverrouiller leur lecteur au démarrage ;

  • la manière de sauvegarder leur clé de récupération ;

  • la manière de déverrouiller un lecteur fixe.

La configuration de la stratégie BitLocker permet également d’indiquer si :

  • BitLocker doit être activé sur les appareils sans puce TPM ;

  • les options de récupération doivent être affichées sur l’interface BitLocker ;

  • l’accès en écriture sur un lecteur amovible ou fixe doit être refusé si BitLocker n’est pas activé.

    Image de la configuration BitLocker

    Image de la configuration BitLocker

Pour plus d’informations sur la stratégie BitLocker, consultez la section Stratégie BitLocker.

Nouvelles restrictions pour les appareils supervisés exécutant iOS version 10.3 et versions ultérieures

Ces restrictions vous permettent d’empêcher les utilisateurs d’effectuer certaines actions sur leurs appareils et sont implémentées par le biais de stratégies.

Les restrictions suivantes sont maintenant disponibles pour les appareils exécutant iOS 10.3 et versions ultérieures, en mode supervisé :

  • Autoriser la dictée : sur appareils supervisés uniquement. Si cette restriction est définie sur Désactivé, les dictées ne sont pas autorisées. Le paramètre par défaut est Activé. Pour iOS 10.3 et versions ultérieures.
  • Forcer connexion à des réseaux Wi-Fi sur liste blanche : facultatif. Supervisé uniquement Si cette restriction est définie sur Activé, l’appareil peut rejoindre des réseaux Wi-Fi uniquement lorsqu’ils ont été configurés par le biais d’un profil de configuration. Le paramètre par défaut est Désactivé. Pour iOS 10.3 et versions ultérieures.

Pour définir ces restrictions

  1. Dans la console XenMobile, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.

  2. Sélectionnez Ajouter. La page Ajouter une nouvelle stratégie apparaît.

  3. Cliquez sur Restrictions. La page d’informations Stratégie de restrictions s’affiche.

  4. Dans le panneau Informations sur la stratégie, entrez les informations suivantes :

    • Nom de la stratégie : entrez un nom descriptif pour la stratégie.
    • Description : entrez une description pour la stratégie (facultatif).
  5. Cliquez sur Suivant. La page Stratégie par plate-forme s’affiche.

  6. Sélectionnez iOS.

  7. Cliquez sur Suivant jusqu’à ce que la page affichant la section Bundle ID d’application unique s’affiche. Définissez les restrictions.

    Image des restrictions de stratégie d'appareil

Pour plus d’informations sur la configuration des restrictions, consultez la section Stratégies de restrictions.

Redémarrage ou arrêt d’un appareil iOS supervisé

Vous pouvez utiliser des actions de sécurisation pour redémarrer ou arrêter un appareil iOS supervisé (version minimum 10.3). Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurité, puis cliquez sur Redémarrer ou Arrêter.

Un appareil redémarre immédiatement lorsqu’il reçoit la commande Redémarrer. Les appareils iOS verrouillés par code secret ne rejoignent pas les réseaux Wi-Fi après le redémarrage, donc il se peut qu’ils ne communiquent pas avec le serveur. Un appareil s’arrête immédiatement lorsqu’il reçoit la commande Arrêter.

Image des actions de sécurité iOS

Localisation ou appel d’un appareil iOS supervisé en mode perdu

Une fois que vous placez un appareil iOS supervisé en mode perdu, vous pouvez utiliser des actions de sécurisation pour localiser ou faire sonner l’appareil. La « sonnerie » est le son du mode perdu que définit Apple pour l’appareil.

Image de localisation iOS

Pour localiser un appareil qui est en mode perdu

Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurité, puis cliquez sur Localiser. La page Détails de l’appareil fournit un état de la demande de localisation.

Image de localisation iOS

Si l’appareil est localisé, la page Détails de l’appareil affiche une carte.

Image de localisation iOS

Pour faire sonner un appareil qui est en mode perdu (version minimum iOS 10.3)

Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurité, puis cliquez sur Faire sonner. La prochaine fois que l’appareil se connecte, il sonne. Pour arrêter la sonnerie, l’utilisateur clique sur le bouton d’alimentation. Pour arrêter la sonnerie à partir de la console XenMobile, utilisez l’action de sécurisation Désactiver le mode perdu.

Prise en charge améliorée d’Android for Work

XenMobile fournit maintenant un moyen simple de configurer Android for Work pour votre organisation. À l’aide de XenMobile Management Tools, vous liez XenMobile en tant que fournisseur de gestion de la mobilité d’entreprise via Google Play et créez une entreprise pour Android for Work.

Remarque :

Les clients G Suite doivent utiliser les paramètres de l’ancienne version de Android for Work, comme décrit dans la section Ancienne version de Android for Work pour clients G Suite. Cliquez sur Ancienne version de Android for Work dans la page Android for Work des paramètres XenMobile.

Image de l'ancienne version de Android for Work

Vous avez besoin des éléments suivants :

  • Vos informations d’identification de compte Citrix pour vous connecter à XenMobile Tools
  • Vos informations d’identification Google ID d’entreprise pour vous connecter à Google Play

Pour plus d’informations sur l’inscription d’appareils Android for Work, consultez la section Android for Work.

Prise en charge de l’attestation de l’intégrité des appareils (DHA) sur site

Vous pouvez maintenant activer l’attestation de l’intégrité des appareils (DHA) pour appareils mobiles Windows 10 via un serveur Windows local. Précédemment, DHA pour XenMobile pouvait être activé uniquement par le biais de Microsoft Cloud.

Pour activer DHA sur site, vous devez d’abord configurer un serveur DHA. Ensuite, vous devez créer une stratégie XenMobile Server pour activer le service DHA sur site. Pour configurer une attestation DHA, vous avez besoin d’une machine exécutant Windows Server 2016 Technical Preview 5 ou version ultérieure. Vous installez DHA en tant que rôle de serveur. Pour obtenir des instructions, consultez l’article Microsoft TechNet Device Health Attestation (Attestation de l’intégrité des appareils).

Pour que la stratégie XenMobile Server active le service DHA sur site :

  1. Dans la console XenMobile, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.

  2. Si vous avez déjà créé une stratégie pour activer DHA via Microsoft Cloud, passez à l’étape 8.

  3. Cliquez sur Ajouter pour ajouter une stratégie. La boîte de dialogue Ajouter une nouvelle stratégie apparaît.

  4. Cliquez sur Plus puis, sous Personnalisé, cliquez sur Stratégie d’attestation de l’intégrité des appareils. La page d’informations Stratégie d’attestation de l’intégrité des appareils s’affiche.

  5. Dans la section Informations sur la stratégie, entrez les informations suivantes :

    • Nom de la stratégie : entrez un nom descriptif pour la stratégie.
    • Description : entrez une description pour la stratégie (facultatif).
  6. Cliquez sur Suivant. La page Stratégie par plate-forme s’affiche.

  7. Sous Plates-formes, sélectionnez les plates-formes que vous souhaitez ajouter. Si vous configurez une seule plate-forme, désélectionnez les autres.

  8. Pour chaque plate-forme que vous sélectionnez :

    1. Définissez Activer l’attestation de l’intégrité des appareils sur Activé.

    2. Définissez Configurer Health Attestation Service sur site sur Activé.

    3. Dans FQDN du serveur DHA sur site, entrez le nom de domaine complet du serveur DHA que vous avez configuré.

    4. Dans Version de l’API DHA sur site, choisissez la version du service DHA installé sur le serveur DHA.

  9. Configurez les règles de déploiement et choisissez des groupes de mise à disposition.

    Image de la stratégie DHA sur site

Pour confirmer que la stratégie a été déployée sur un appareil Windows 10 Mobile

  1. Dans la console XenMobile, cliquez sur Gérer > Appareils.

  2. Sélectionnez l’appareil.

  3. Sélectionnez Propriétés.

  4. Faites défiler l’écran vers le bas jusqu’à « Attestation de l’intégrité des appareils Windows ».

Macros supplémentaires pour les modèles d’inscription

Vous pouvez utiliser ces nouvelles macros lors de la création de modèles d’inscription pour les invitations d’inscription de l’appareil :

${enrollment.urls}
${enrollment.ios.url}
${enrollment.macos.url}
${enrollment.android.url}
${enrollment.ios.platform}
${enrollment.macos.platform}
${enrollment.android.platform}
${enrollment.agent}

Ces macros permettent de créer des modèles d’inscription qui contiennent des adresses URL d’inscription pour plusieurs plates-formes.

Cet exemple illustre comment créer une notification qui comprend des adresses URL d’inscription pour plusieurs plates-formes. La macro pour le Message est :

${enrollment.urls}

Image de l'exemple de modèle d'inscription

Ces exemples montrent comment créer des messages pour les notifications qui invitent les utilisateurs à cliquer sur l’adresse URL d’inscription pour leurs plates-formes :

Exemple 1

To enroll, please click the link below that applies to your device platform:

${enrollment.ios.platform} - ${enrollment.ios.url}

${enrollment.macos.platform} - ${enrollment.macos.url}

${enrollment.android.platform} - ${enrollment.android.url}

Exemple 2

To enroll an iOS device, click the link ${enrollment.ios.url}.

To enroll a macOS device, click the link ${enrollment.macos.url}.

To enroll an Android device, click the link ${enrollment.android.url}.

Autres améliorations

  • La console XenMobile et le portail en libre-service sont maintenant disponibles en espagnol.

  • XenMobile affiche maintenant le niveau de correctif de sécurité pour les appareils Android. Vous pouvez afficher le Niveau de correctif de sécurité sur la page Gérer > Appareils et dans Détails de l’appareil. Vous pouvez également utiliser Configurer > Actions pour créer une action que déclenche le niveau de correctif de sécurité.

    Image du niveau de correctif de sécurité Android

    Image du déclencheur de niveau de correctif de sécurité

  • Filtrer les invitations d’inscription par macOS. Le filtre de plate-forme pour Gérer > Invitations d’inscription inclut désormais macOS.

    Image du filtre d'inscription macOS

  • Configuration de stratégie de restrictions pour empêcher les utilisateurs d’utiliser la reconnaissance faciale pour déverrouiller les appareils Samsung Galaxy S8+. La stratégie de restrictions pour Samsung SAFE comprend maintenant le paramètre Reconnaissance faciale. Pour bloquer l’utilisation de la reconnaissance faciale pour déverrouiller l’accès de l’appareil, accédez à Configurer > Stratégies et modifiez la stratégie de restrictions pour définir Reconnaissance faciale sur OFF.

    Image de la restriction de reconnaissance faciale Samsung

  • Applications VPP macOS requises maintenant prises en charge. Vous pouvez maintenant déployer les applications VPP macOS en tant qu’applications requises pour Active Directory et utilisateurs locaux. Vous pouvez afficher les applications VPP macOS dans Configurer > Applications, où vous pouvez filtrer les applications par VPP macOS. Sur cette page, la section Configuration du magasin ne s’affiche pas pour les applications VPP macOS car il n’existe aucun Secure Hub pour macOS. Dans Gérer > Appareils, les Propriétés utilisateur comprennent Retire VPP account (Retirer le compte VPP) pour les comptes VPP macOS.

  • Configurer > Applications affiche maintenant l’ID de package pour les applications de magasin d’applications public et les applications d’entreprise.

    Image de configuration de l'application

    Image de configuration de l'application

  • Listes de ressources par ordre alphabétique pour les groupes de mise à disposition. Dans Configurer > Groupes de mise à disposition, toutes les listes de ressources et tous les résultats de la recherche s’affichent dans l’ordre alphabétique.

    Image de configuration des groupes de mise à disposition

    Image de configuration des groupes de mise à disposition

  • Sur les pages Gérer > Appareils et Gérer > Utilisateurs, les dates s’affichent désormais au format 24 heures, jj/mm/aaaa hh:mm:ss. Les dates reflètent le fuseau horaire local des appareils et des utilisateurs.

  • La stratégie VPN pour les appareils iOS a maintenant une option Per App VPN pour les stratégies VPN de type iKEv2. Les appareils iOS 9.0 et versions ultérieures prennent en charge Per App VPN pour les connexions iKEv2. Les options Per App VPN Activer Per App VPN sont :

    • Activer Per App VPN
    • Correspondance d’application à la demande activée
    • Domaines Safari

      Image de stratégies Per App VPN

      Image de stratégies Per App VPN

      Sous la section « iOS », ajoutez à la section Type de connexion iKEv2 :

      Activer Per App VPN : indiquez si vous souhaitez activer le per-app VPN. La valeur par défaut est OFF. Disponible uniquement sur iOS 9.0 et versions ultérieures.

      Correspondance d’application à la demande activée : indiquez si les connexions Per App VPN sont déclenchées automatiquement lorsque des applications liées au service Per App VPN initient une communication réseau. La valeur par défaut est OFF.

      Domaines safari : cliquez sur Ajouter pour ajouter un nom de domaine Safari.

  • Code d’effacement pour appareils macOS indiqué dans la console XenMobile. Avec les appareils macOS, l’utilisateur doit entrer un code PIN une fois que l’appareil a été effacé. Si l’utilisateur ne se souvient pas de ce code, vous pouvez maintenant rechercher le code d’effacement dans la page de détails Gérer > Appareils.

    Image du code d'effacement macOS

  • Lorsque vous utilisez VPP pour déployer une application MDX, le magasin Secure Hub affiche uniquement l’instance VPP de l’application. Précédemment, les applications VPP et MDX s’affichaient dans le magasin. Cette modification empêche les utilisateurs d’installer la version MDX de l’application, qui nécessite que l’utilisateur dispose d’un compte iTunes. Lorsque vous ajoutez une application MDX, il existe un nouveau paramètre, Application déployée via VPP. Définissez ce paramètre sur ON si vous prévoyez de déployer l’application à l’aide de VPP.

    Image du déploiement d'applications à l'aide de VPP

  • Amélioration des performances lors de l’importation de nombreuses licences VPP. Cette optimisation utilise le multi-threading. Une nouvelle propriété de XenMobile Server, MaxNumberOfWorker, est définie sur 3 (threads) par défaut. Si vous avez besoin d’une plus grande optimisation, vous pouvez augmenter le nombre de threads. Toutefois, avec un nombre important de threads, tels que 6, une importation VPP entraîne une utilisation d’UC très élevée.

  • Dans la console XenMobile, toutes les références à Mac OS X, OS X, OS x, MACOSX et MacOS sont maintenant macOS.

  • Redémarrer un appareil Windows 10. Vous pouvez maintenant envoyer une action de sécurisation, Redémarrer, pour redémarrer un appareil. Pour Windows Tablet et PC, le message « Le système va bientôt redémarrer » s’affiche, puis le redémarrage se produit dans les cinq minutes. Pour Windows Phone, aucun message d’avertissement ne s’affiche pour les utilisateurs et le redémarrage se produit après quelques minutes.

    Image du redémarrage de Windows 10

Modifications de l’API REST publique

Pour les services REST de notification d’appareil, vous pouvez maintenant notifier un appareil à l’aide de l’ID d’appareil, sans que XenMobile ait besoin d’envoyer un jeton.

Lorsque vous utilisez l’API REST publique de XenMobile pour créer des invitations d’inscription, vous pouvez maintenant :

  • Spécifier un code PIN personnalisé. Si le mode d’inscription nécessite un code PIN, vous pouvez utiliser un code PIN personnalisé au lieu de celui généré de manière aléatoire par XenMobile Server. La longueur du code PIN doit correspondre au paramètre configuré pour le mode d’inscription. La longueur du code PIN par défaut est de 8. Par exemple, une demande peut inclure : “pin”: “12345678”

  • Sélectionner des plates-formes multiples. Précédemment, vous pouviez utiliser l’API REST pour ne spécifier qu’une seule plate-forme pour une invitation d’inscription. Le champ “platform” est obsolète et remplacé par “platforms”. Par exemple, une demande peut inclure : “platforms”: [“iOS”, “MACOSX”]

L’API publique XenMobile pour les services REST inclut désormais les API suivantes :

  • Obtenir par ID de conteneur
    • Applications mobiles MDX
    • Applications mobiles d’entreprise
    • Applications WebLink
    • Applications Web/SaaS
    • Applications de magasin public
  • Charger application dans un conteneur nouveau ou existant
    • Applications mobiles MDX
    • Applications mobiles d’entreprise
  • Mettre à jour les détails de plate-forme dans le conteneur pour les applications mobiles MDX et les applications de magasin public
  • Ajouter ou mettre à jour l’application
    • Applications WebLink
    • Applications Web/SaaS
    • Applications de magasin public
  • Obtenir tous les connecteurs d’applications Web ou SaaS ou obtenir les connecteurs d’applications Web ou Saas par nom de connecteur
  • Supprimer un conteneur d’application
    • Applications mobiles MDX
    • Applications mobiles d’entreprise
    • Applications WebLink
    • Applications Web/SaaS

Pour de plus amples informations, consultez la section API publique XenMobile pour services REST.