Nouveautés dans XenMobile Server 10.8

XenMobile Server 10.8 (PDF)

Pour de plus amples informations sur la mise à niveau, consultez la section Mettre à niveau.

Important :

Avant une mise à niveau vers XenMobile 10.8

Mettez à jour votre serveur de licences Citrix vers la version 11.14.x ou version ultérieure avant la mise à jour vers la dernière version de XenMobile Server 10.8.

Pour un environnement en cluster : pour installer des applications depuis XenMobile Store sur les appareils iOS 11, vous devez activer le port 80 sur XenMobile Server.

Après une mise à niveau vers XenMobile 10.8

Si une fonctionnalité utilisant des connexions sortantes cesse de fonctionner alors que vous n’avez pas changé la configuration de vos connexions, vérifiez dans le journal de XenMobile Server s’il existe des erreurs telle que la suivante : Impossible de se connecter au serveur VPP : le nom d’hôte ‘192.0.2.0’ ne correspond pas au sujet du certificat fourni par l’homologue.

Si vous recevez l’erreur de validation du certificat, désactivez la vérification de nom d’hôte sur XenMobile Server. Par défaut, la vérification de nom d’hôte est activée sur les connexions sortantes à l’exception du serveur PKI de Microsoft. Si la vérification de nom d’hôte interrompt votre déploiement, définissez la propriété de serveur disable.hostname.verification sur true. La valeur par défaut de cette propriété est false.

Pour plus d’informations sur les corrections de bogues, veuillez consulter la section Problèmes résolus.

Important :

TouchDown par Symantec a atteint sa fin de vie le 3 juillet 2017, avec fin de prise en charge standard, fin de prise en charge étendue et fin de vie de prise en charge le 2 juillet 2018. Pour plus d’informations, consultez l’article du support Symantec TouchDown End-of-Life, End-of-Availability, and End-of- Support announcement.

Installation de cartes hors connexion sur des appareils Windows 10 supervisés

Les appareils Windows 10 Phone prennent en charge les cartes en mode déconnecté. Utilisez la stratégie Cartes pour spécifier les cartes à télécharger sur les appareils. Le fournisseur de service de configuration (CSP) de Cartes Microsoft prend actuellement en charge les cartes d’Allemagne, du Royaume-Uni et des États-Unis.

Image de l'écran de configuration Stratégies d'appareil

Nouvelles restrictions pour les appareils supervisés exécutant iOS

Les restrictions suivantes sont maintenant disponibles pour les appareils exécutant iOS. La version minimale prise en charge pour chaque restriction est indiquée.

  • Autoriser l’application En classe à observer à distance les écrans des étudiants : si cette restriction n’est pas sélectionnée, un instructeur ne peut pas utiliser l’application En classe pour observer les écrans des étudiants à distance. Le paramètre par défaut est sélectionné, un instructeur peut utiliser l’application En classe pour observer les écrans des étudiants. Le paramètre Autoriser l’application En classe à modifier les autorisations AirPlay et Voir l’écran sans invite détermine si les élèves reçoivent une invite pour autoriser l’instructeur. Pour les appareils supervisés exécutant iOS 9.3 (version minimale).
  • Autoriser l’application En classe à modifier les autorisations AirPlay et Voir l’écran sans invite : si cette restriction est sélectionnée, l’instructeur peut modifier les autorisations AirPlay et voir l’écran de l’appareil d’un étudiant, sans demander d’autorisation. Par défaut, cette restriction n’est pas sélectionnée. Pour les appareils supervisés exécutant iOS 10.3 (version minimale).
  • Autoriser l’application En classe à verrouiller une application et l’appareil sans invite : si cette restriction est définie sur Activé, l’application En classe verrouille automatiquement les appareils utilisateur sur une application et verrouille l’appareil, sans inviter les utilisateurs. Le paramètre par défaut est Désactivé. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Rejoindre automatiquement les cours de l’application En classe sans invite : si cette restriction est définie sur Activé, l’application En classe ajoute automatiquement les utilisateurs aux classes, sans inviter les utilisateurs. Le paramètre par défaut est Désactivé. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Autoriser AirPrint : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas imprimer avec AirPrint. Le paramètre par défaut est Activé. Lorsque cette restriction est définie sur Activé, les restrictions supplémentaires suivantes s’affichent. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Autoriser le stockage des identifiants AirPrint dans le trousseau : si cette restriction n’est pas sélectionnée, le nom d’utilisateur et le mot de passe AirPrint ne sont pas stockés dans le trousseau. Par défaut, ce paramètre est sélectionné. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Autoriser la détection des imprimantes AirPrint à l’aide d’iBeacons : si cette restriction est désactivée, la détection iBeacon des imprimantes AirPrint est désactivée. La désactivation de la détection empêche les balises Bluetooth AirPrint parasites de perpétrer des attaques de phishing sur le trafic réseau. Par défaut, ce paramètre est sélectionné. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Autoriser AirPrint uniquement aux destinations avec des certificats de confiance : si cette restriction est sélectionnée, les utilisateurs peuvent utiliser AirPrint pour imprimer uniquement vers des destinations avec des certificats de confiance. Par défaut, cette restriction n’est pas sélectionnée. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Ajout de configurations VPN : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas créer de configurations VPN. Le paramètre par défaut est Activé. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Modification des paramètres du forfait de données : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas modifier les paramètres du forfait de données. Le paramètre par défaut est Activé. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Suppression des applications système : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas supprimer les applications système de leur appareil. Le paramètre par défaut est Activé. Pour les appareils supervisés exécutant iOS 11 (version minimale).
  • Configuration des nouveaux appareils à proximité : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas configurer de nouveaux appareils à proximité. Le paramètre par défaut est Activé. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Pour configurer ces restrictions, accédez à Configurer > Stratégies d’appareil. Pour plus d’informations sur la configuration des restrictions, consultez la section Stratégies de restrictions.

Image de l'écran de configuration Stratégies d'appareil

Image de l'écran de configuration Stratégies d'appareil

En outre, vous pouvez désormais ignorer l’écran de sélection de clavier dans l’Assistant d’installation. Pour ce faire, modifiez la stratégie de restrictions pour iOS et, sous le volet Préférences système, sélectionnez Clavier.

Possibilité de définir la façon dont les notifications d’applications apparaissent sur les appareils iOS

La nouvelle stratégie Notifications d’applications vous permet de contrôler la manière dont les utilisateurs iOS recevront les notifications depuis certaines applications. Cette stratégie est prise en charge sur les appareils exécutant iOS 9.3 ou version ultérieure. Pour ajouter la stratégie, accédez à Configurer > Stratégies d’appareil.

Image de l'écran de configuration Stratégies d'appareil

Configurez les paramètres de notification :

  • Bundle ID d’application : spécifiez les applications auxquelles vous souhaitez appliquer cette stratégie.
  • Autoriser les notifications : sélectionnez Activé pour autoriser les notifications.
  • Afficher dans le Centre de notifications : sélectionnez Activé pour afficher les notifications dans le Centre de notifications des appareils utilisateur.
  • Pastille sur l’icône d’app : sélectionnez Activé pour afficher une pastille sur l’icône d’application avec les notifications.
  • Sons : sélectionnez Activé pour inclure des sons avec les notifications.
  • Afficher sur l’écran de verrouillage : sélectionnez Activé pour afficher les notifications sur l’écran de verrouillage des appareils utilisateur.
  • Style d’alerte si déverrouillé : dans la liste, sélectionnez Aucune, Bannière ou Alertes pour configurer l’apparence des alertes déverrouillées.

Prise en charge du nouveau client VPN Cisco AnyConnect pour iOS

Cisco élimine progressivement le client Cisco AnyConnect, basé sur une infrastructure VPN désormais obsolète. Cisco a renommé ce client Cisco Legacy AnyConnect. Le bundle ID n’est pas modifié, com.cisco.anyconnect.gui.

Cisco a un nouveau client nommé Cisco AnyConnect. Le nouveau client offre une connexion plus fiable aux ressources internes et la prise en charge des applications TCP et UDP dotées de Per App VPN. Le bundle ID du nouveau client est com.cisco.anyconnect. Cisco prend en charge le nouveau client pour iOS 10 (version minimum).

  • Pour continuer à utiliser le client Legacy AnyConnect : si vous utilisez toujours le client d’ancienne génération, vous n’avez pas besoin de modifier votre stratégie d’appareil VPN existante pour iOS. La stratégie continue à fonctionner jusqu’à ce que Cisco arrête la prise en charge du client d’ancienne génération. À compter de cette version, l’option Type de connexion Cisco AnyConnect est renommée Cisco Legacy AnyConnect dans la console de XenMobile Server.
  • Pour utiliser le nouveau client Cisco AnyConnect : le nouveau client Cisco AnyConnect ne détecte pas une stratégie XenMobile VPN créée avec l’option Type de connexion Cisco AnyConnect.

Pour utiliser le nouveau client Cisco AnyConnect, configurez XenMobile Server, comme suit.

  1. Accédez à Configurer > Stratégies d’appareil et ajoutez une stratégie VPN pour iOS.

  2. Sur la page de plate-forme Stratégie VPN, configurez les paramètres. Les paramètres décrits ici sont requis pour Cisco AnyConnect.

    • Nom de la connexion : Cisco AnyConnect
    • Type de connexion : SSL personnalisé.
    • Identifiant SSL personnalisé (format DNS inverse) : com.cisco.anyconnect
    • Identificateur de bundle de fournisseur : com.cisco.anyconnect
    • Type de fournisseur : Tunnel de paquet.

    D’autres paramètres tels que Type d’authentification pour la connexion et Activer Per App VPN dépendent de votre scénario d’utilisation. Pour plus d’informations, consultez la section « Configurer le protocole SSL personnalisé » sous Paramètres pour iOS.

    Image de l'écran de configuration Stratégies d'appareil

  3. Configurez les règles de déploiement et choisissez des groupes de mise à disposition pour la stratégie VPN. Déployez cette stratégie sur les appareils iOS.

  4. Chargez le client Cisco AnyConnect depuis https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8, ajoutez l’application à XenMobile Server et déployez l’application sur les appareils iOS.

  5. Supprimez l’ancienne stratégie VPN des appareils iOS.

Pour de plus amples informations, consultez l’article de l’assistance XenMobile https://support.citrix.com/article/CTX227708.

Chiffrement FileVault sur les appareils macOS inscrits

La fonctionnalité de cryptage de disque FileVault de macOS protège le volume système en cryptant son contenu. Lorsque FileVault est activé sur un appareil macOS, un utilisateur se connecte avec son mot de passe de compte à chaque démarrage de l’appareil. Si l’utilisateur perd son mot de passe, une clé de récupération lui permet de déverrouiller le disque et de réinitialiser son mot de passe.

La stratégie XenMobile, FileVault, active les écrans de configuration utilisateur de FileVault et configure les paramètres tels que les clés de récupération. Pour plus d’informations sur FileVault, consultez l’article de l’assistance Apple https://support.apple.com/kb/PH25107.

Pour ajouter la stratégie, accédez à Configurer > Stratégies d’appareil, ajoutez la stratégie FileVault et configurez ces paramètres macOS.

Image de l'écran de configuration Stratégies d'appareil

  • Exiger activation de FileVault durant la déconnexion : si cette option est définie sur ON, l’utilisateur est invité à activer FileVault au cours des N prochaines déconnexions, comme spécifié par l’option Nbre max. de fois qu’il est possible d’ignorer l’activation de FileVault. Si elle est définie sur OFF, l’invite de mot de passe FileVault ne s’affiche pas.

    Une fois que vous avez déployé la stratégie FileVault avec ce paramètre activé, l’écran suivant s’affiche lorsqu’un utilisateur se déconnecte de l’appareil. L’écran donne à l’utilisateur l’option d’activer FileVault avant la déconnexion.

    Image de l'écran FileVault

    Si la valeur Nbre max. de fois qu’il est possible d’ignorer l’activation de FileVault n’est pas 0 : une fois que vous avez déployé la stratégie FileVault avec ce paramètre désactivé, lorsque l’utilisateur se connecte, l’écran suivant s’affiche.

    Image de l'écran FileVault

    Si la valeur Nbre max. de fois qu’il est possible d’ignorer l’activation de FileVault est 0 ou si l’utilisateur a ignoré la configuration de ce nombre, l’écran suivant s’affiche.

    Image de l'écran FileVault

  • Nbre max. de fois qu’il est possible d’ignorer l’activation de FileVault : nombre maximal de fois que l’utilisateur peut ignorer la configuration de FileVault. Lorsque l’utilisateur atteint le nombre maximal de fois défini, il doit configurer FileVault pour se connecter. Si la valeur est 0, l’utilisateur doit activer FileVault lors de sa première tentative de connexion. La valeur par défaut est 0.
  • Type de clé de secours : un utilisateur qui oublie son mot de passe peut taper une clé de secours pour déverrouiller le disque et réinitialiser son mot de passe. Options de clé de secours :

    • Clé de secours privée : une clé de secours privée est propre à un utilisateur. Lors de l’installation de FileVault, un utilisateur choisit de créer une clé de secours ou d’autoriser son compte iCloud à déverrouiller son disque. Pour afficher la clé de secours pour l’utilisateur après la configuration de FileVault, activez Afficher la clé de secours privée. L’affichage de la clé permet à l’utilisateur de noter la clé pour une utilisation ultérieure. Pour plus d’informations sur la gestion des clés de secours, consultez l’article de l’assistance Apple https://support.apple.com/en-us/HT204837.

    • Clé de secours institutionnelle : vous pouvez créer une clé de secours institutionnelle (ou principale) et un certificat FileVault, que vous pouvez ensuite utiliser pour déverrouiller les appareils. Pour plus d’informations, consultez l’article de l’assistance Apple, https://support.apple.com/en-us/HT202385. Utilisez XenMobile pour déployer le certificat FileVault sur les appareils. Pour de plus amples informations, consultez Certificats et authentification.

    • Clé de secours privée et institutionnelle : avec l’activation de ces deux types de clés de secours, vous devez déverrouiller un appareil utilisateur uniquement si l’utilisateur perd sa clé de secours privée.

  • Afficher la clé de secours privée : si ce paramètre est activé, la clé de secours privée s’affiche après l’activation de FileVault sur l’appareil. Valeur par défaut ON.

    Image de l'écran FileVault

Prise en charge de Samsung Enterprise Firmware-Over-The-Air (E-FOTA)

Samsung Enterprise FOTA (E-FOTA) vous permet de déterminer quand les appareils sont mis à jour et la version de micrologiciel à utiliser. E-FOTA vous permet de tester les mises à jour avant de les déployer, afin de vous assurer que les mises à jour sont compatibles avec vos applications. Vous pouvez forcer les appareils à se mettre à jour avec la dernière version de micrologiciel disponible, sans nécessiter d’interaction de la part de l’utilisateur.

Samsung prend en charge E-FOTA pour les appareils Samsung KNOX 2.7.1 (version minimale) qui exécutent un micrologiciel autorisé.

Pour configurer une stratégie E-FOTA :

  1. Créez une stratégie de clé de licence MDM Samsung avec les clés et les informations de licence que Samsung vous a fournies. XenMobile Server valide puis enregistre les informations.

    Image de l'écran de configuration Stratégies d'appareil

    • Clé de licence ELM : ce champ contient déjà la macro qui génère la clé de licence ELM. Si le champ est vide, entrez la macro ${elm.license.key}.

    Tapez les informations suivantes fournies par Samsung lors de l’achat d’un pack E-FOTA :

    • ID client d’Enterprise FOTA
    • Licence Enterprise FOTA
    • ID du client
    • Clé secrète client
  2. Créez une stratégie Contrôler mise à jour d’OS.

    Image de l'écran de configuration Stratégies d'appareil

    Pour configurer ces paramètres :

    • Activer Enterprise FOTA : définissez sur Activé.
    • Clé de licence d’Enterprise FOTA : sélectionnez le nom de la stratégie de clé de licence MDM Samsung que vous avez créée à l’étape 1.
  3. Déployez la stratégie Contrôler mise à jour d’OS sur Secure Hub.

Sécurité améliorée pour les profils de travail pour Android for Work

Code secret de profil de travail

Pour les appareils exécutant Android 7.0 et versions ultérieures, vous pouvez maintenant demander un code secret pour les applications dans un profil de travail pour Android for Work. Les utilisateurs sont invités à entrer le code secret lorsqu’ils tentent d’ouvrir des applications dans le profil de travail. Lorsque les utilisateurs entrent le code secret, ils peuvent ensuite accéder à des applications dans le profil de travail.

Vous configurez une exigence en matière de code secret pour le profil de travail uniquement ou pour l’appareil.

Pour configurer une exigence en matière de code secret pour le profil de travail, accédez à Configurer > Stratégies d’appareil, ajoutez la stratégie Code secret et configurez les paramètres suivants :

  • Validation de la sécurité du profil de travail : activez ce paramètre pour obliger les utilisateurs à valider des exigences de sécurité pour accéder aux applications exécutées dans un profil de travail Android for Work. Cette option n’est pas disponible pour les appareils Android de versions antérieures à Android 7.0. La valeur par défaut est OFF.
  • Exigences de code secret de validation de la sécurité du profil de travail :
    • Longueur minimale : dans la liste, cliquez sur la longueur minimale du code secret. La valeur par défaut est 6.
    • Reconnaissance biométrique : sélectionnez cette option pour activer la reconnaissance biométrique. Si vous activez cette option, le champ Caractères requis est masqué. La valeur par défaut est OFF. Cette fonctionnalité n’est pas prise en charge
    • Caractères requis : configure la manière dont les codes secrets sont composés. Utilisez Aucune restriction uniquement pour les appareils exécutant Android 7.0. Android 7.1 et versions ultérieures ne prennent pas en charge le paramètre Aucune restriction. La valeur par défaut est Chiffres et lettres.

Stratégies de sécurité par défaut

Par défaut, les paramètres Débogage USB et Sources inconnues sont désactivés sur un appareil lorsqu’il est inscrit en mode de profil professionnel dans Android for Work.

Désinscription d’une entreprise Android for Work

XenMobile vous permet désormais de désinscrire une entreprise Android for Work à l’aide de la console XenMobile Server et des outils XenMobile Tools.

Lorsque vous effectuez cette tâche, XenMobile Server ouvre une fenêtre contextuelle XenMobile Tools. Avant de commencer, assurez-vous que XenMobile Server est autorisé à ouvrir des fenêtres contextuelles dans le navigateur que vous utilisez. Certains navigateurs, tels que Google Chrome, vous obligent à désactiver le blocage des fenêtres contextuelles et à ajouter l’adresse du site XenMobile à la liste blanche des fenêtres contextuelles bloquées.

Une fois l’entreprise Android for Work désinscrite :

  • Les applications Android for Work des appareils et des utilisateurs inscrits dans l’entreprise sont réinitialisées à leur état par défaut. Les autorisations d’applications Android for Work et les restrictions d’applications Android for Work appliquées précédemment ne s’appliquent plus aux opérations.
  • Bien que XenMobile gère les appareils inscrits dans l’entreprise, Google ne gère pas ces appareils. Vous ne pouvez pas ajouter de nouvelles applications Android for Work. Vous ne pouvez pas appliquer les nouvelles autorisations d’applications Android for Work ou les stratégies de restrictions d’applications Android for Work. Vous pouvez toujours appliquer d’autres stratégies, telles que Planification, Mot de passe et Restrictions, à ces appareils. Les appareils doivent être réinscrits pour permettre l’utilisation des nouvelles applications Android for Work et des stratégies spécifiques à Android for Work.
  • Si vous tentez d’inscrire des appareils dans Android for Work, ils s’inscrivent comme appareils Android et non comme appareils Android for Work.

Pour désinscrire une entreprise Android for Work :

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sur la page Paramètres, cliquez sur Android for Work.

  3. Cliquez sur Supprimer l’entreprise.

    Image de l'écran de configuration Android for Work

  4. Spécifiez un mot de passe. Vous aurez besoin du mot de passe à l’étape suivante pour terminer la désinscription. Cliquez ensuite sur Désinscrire.

    Image de l'écran de configuration Stratégies d'appareil

  5. Lorsque la page XenMobile Tools s’ouvre, entrez le mot de passe que vous avez créé à l’étape précédente.

    Image de l'écran XenMobile Tools

  6. Cliquez sur Désinscrire.

    Image de l'écran XenMobile Tools

Spécification du comportement lorsque les applications Android for Work demandent des autorisations dangereuses

Pour les demandes d’applications Android for Work se trouvant dans des profils professionnels : une nouvelle stratégie d’appareil vous permet de configurer la façon dont ces demandes gèrent les autorisations qualifiées comme étant « dangereuses » par Google. Vous déterminez si les utilisateurs doivent autoriser ou refuser une demande d’autorisation à partir d’applications. Cette fonctionnalité est destinée aux appareils exécutant Android 7.0 et versions ultérieures.

Google qualifie de « dangereuses » les autorisations permettant à une application d’accéder aux éléments suivants :

  • Données ou ressources impliquant des informations utilisateur privées.
  • Ressources susceptibles d’affecter les données stockées d’un utilisateur ou le fonctionnement d’autres applications. Par exemple, la possibilité de lire les contacts de l’utilisateur est une autorisation dangereuse.

Pour les applications Android for Work incluses dans les profils professionnels : vous pouvez configurer un état global qui contrôle le comportement de toutes les demandes d’autorisation dangereuses associées aux applications. Vous pouvez également contrôler le comportement d’une demande d’autorisation dangereuse pour des groupes d’autorisations individuels, tels que définis par Google, associée à chaque application. Ces paramètres individuels remplacent l’état global.

Pour plus d’informations sur la définition des groupes d’autorisations par Google, consultez le guide des développeurs Android.

Par défaut, les utilisateurs sont invités à autoriser ou refuser les demandes d’autorisation dangereuses.

Pour configurer les autorisations pour les applications Android for Work, accédez à Configurer> Stratégies d’appareil et ajoutez la stratégie Autorisations de l’application Android for Work. Cette stratégie s’applique uniquement aux applications que vous ajoutez et approuvez dans la console Google Play, puis que vous ajoutez à XenMobile en tant qu’applications de magasin public.

Image de l'écran de configuration Stratégies d'appareil

Pour configurer ces paramètres :

  • État global : contrôle le comportement de toutes les demandes d’autorisation dangereuses. Dans la liste, cliquez sur Inviter, Accorder ou Refuser. La valeur par défaut est Inviter.
    • Inviter : permet d’inviter les utilisateurs à autoriser ou refuser les demandes d’autorisation dangereuses.
    • Accorder : permet d’accorder toutes les demandes d’autorisations dangereuses sans confirmation des utilisateurs.
    • Refuser : permet de refuser toutes les demandes d’autorisations dangereuses sans confirmation des utilisateurs.
  • Pour remplacer le champ État global associé à un groupe d’autorisations, définissez un comportement individuel pour le groupe d’autorisations. Pour configurer les paramètres pour un groupe d’autorisation, cliquez sur Ajouter, choisissez une application dans la liste, puis choisissez État de l’accès.

Surveillance SNMP

Vous pouvez activer la surveillance SNMP dans XenMobile Server pour permettre aux systèmes de surveillance d’interroger et d’obtenir des informations sur vos nœuds XenMobile. Les requêtes utilisent des paramètres tels que la charge du processeur, la charge moyenne, l’utilisation de la mémoire et la connectivité. Pour plus d’informations sur SNMP v3, telles que les spécifications d’authentification et de cryptage, consultez la documentation SNMP officielle de RFC 3414.

Pour plus d’informations sur la surveillance SNMP, consultez la section Surveillance SNMP.

Prise en charge du pilote Microsoft JDBC pour SQL Server

XenMobile Server prend désormais en charge le pilote JDBC (Microsoft Java Database Connectivity) pour SQL Server. Le pilote jTDS est le pilote par défaut lorsque vous installez XenMobile Server sur site ou effectuez une mise à niveau à partir d’un serveur XenMobile Server utilisant le pilote jTDS.

Pour les deux pilotes, XenMobile prend en charge l’authentification SQL Server ou l’authentification Windows.

Lorsque vous utilisez l’authentification Windows avec le pilote JDBC de Microsoft, le pilote utilise l’authentification intégrée avec Kerberos. XenMobile contacte Kerberos pour obtenir les détails du Centre de distribution de clés Kerberos (KDC). Si les informations requises ne sont pas disponibles, la CLI XenMobile vous invite à entrer l’adresse IP du serveur Active Directory.

Pour passer du pilote jTDS au pilote JDBC, envoyez une commande SSH à tous vos nœuds XenMobile Server. Utilisez ensuite la CLI XenMobile pour configurer les paramètres. Les étapes varient en fonction de la configuration actuelle du pilote jTDS. Pour de plus amples informations, consultez la section Pilotes SQL Server.

Modifications apportées aux propriétés du serveur pour améliorer le réglage du serveur

Les valeurs par défaut de plusieurs propriétés de serveur utilisées pour optimiser les opérations XenMobile correspondent désormais aux recommandations fournies dans Tuning XenMobile Operations. Vous pouvez également obtenir des informations supplémentaires sur les propriétés du serveur dans la section Propriétés du serveur.

Voici les propriétés du serveur mises à jour incluant les nouvelles valeurs par défaut indiquées entre parenthèses :

  • hibernate.c3p0.timeout (120 sec)
  • Intervalle de vérification des services Push : ios.apns.heartbeat.interval, windows.wns.heartbeat.interval, gcm.heartbeat.interval (20 heures)
  • auth.ldap.connect.timeout (60000)
  • auth.ldap.read.timeout (60000)
  • Taille de regroupement de connexions des APNs iOS MDM (10)
  • Déploiement en arrière-plan (1 440 minutes)
  • Inventaire matériel en arrière-plan (1 440 minutes)
  • Intervalle pour vérifier l’utilisateur Active Directory supprimé (15 minutes)

En outre, la valeur par défaut de la propriété de serveur suivante a été modifiée pour le paramètre recommandé dans Propriétés du serveur.

  • Bloquer l’inscription des appareils iOS jailbreakés et Android rootés

Vous pouvez désormais régler XenMobile Server via les propriétés de serveur personnalisées suivantes qui n’étaient pas documentées auparavant.

  • Clé personnalisée : hibernate.c3p0.min_size

    Cette propriété XenMobile Server, une clé personnalisée, détermine le nombre minimal de connexions que XenMobile peut ouvrir pour la base de données SQL Server. La valeur par défaut est 50.

    Pour modifier ce paramètre, vous devez ajouter une propriété de serveur à XenMobile Server avec la configuration suivante :

    • Clé : Clé personnalisée
    • Clé : hibernate.c3p0.min_size
    • Valeur : 50
    • Nom d’affichage : hibernate.c3p0.min_size=nnn
    • Description : Connexions de base de données à SQL
  • Clé personnalisée : hibernate.c3p0.idle_test_period

    Cette propriété XenMobile Server, une clé personnalisée, détermine le temps d’inactivité en secondes avant qu’une connexion soit automatiquement validée. La valeur par défaut est 30.

    Pour modifier ce paramètre, vous devez ajouter une propriété de serveur à XenMobile Server avec la configuration suivante :

    • Clé : Clé personnalisée
    • Clé : hibernate.c3p0. idle_test_period
    • Valeur : 30
    • Nom d’affichage : hibernate.c3p0. idle_test_period =nnn
    • Description : Période d’inactivité prolongée de test

Recherche optimisée des propriétés d’appareil

Auparavant, une recherche d’appareil à partir de la page Gérer > Appareils incluait toutes les propriétés de l’appareil par défaut, ce qui pouvait ralentir la recherche. La portée de recherche par défaut inclut désormais uniquement les propriétés d’appareil suivantes :

  • Numéro de série
  • IMEI
  • Adresse MAC Wi-Fi
  • Adresse MAC Bluetooth
  • ID Active Sync
  • Nom d’utilisateur

Vous pouvez configurer la portée de recherche en utilisant une nouvelle propriété de serveur, include.device.properties.during.search, qui est définie par défaut sur false. Pour inclure toutes les propriétés d’appareil dans une recherche d’appareil, définissez le paramètre sur true.

Autres améliorations

  • Nouvelle option d’assistant d’installation iOS : Présentation des nouvelles fonctionnalités. L’élément d’assistant d’installation iOS Présentation des nouvelles fonctionnalités permet de configurer ces écrans d’information d’intégration : accès au Dock à partir de n’importe quel emplacement et basculement entre applications récentes. Vous pouvez choisir d’omettre les écrans d’intégration des étapes de l’assistant d’installation iOS lorsque les utilisateurs démarrent leurs appareils pour la première fois.

    Présentation des nouvelles fonctionnalités est disponible pour iOS 11.0 (version minimum). Par défaut, tous les éléments sont désactivés.

    Image de l'écran de configuration du compte iOS DEP

  • Lorsque vous effectuez un effacement complet d’un appareil iOS 11 avec forfait de données cellulaires, vous pouvez choisir de préserver le forfait de données.

    Écran Actions de sécurité

  • XenMobile affiche désormais un avertissement d’expiration de licence lorsque les jetons VPP ou DEP d’Apple arrivent à expiration ou ont expiré.

    Image de l'écran d'avertissement d'expiration de la licence

  • L’interface de la console XenMobile pour les applications macOS VPP a été modifiée comme suit :
    • Dans Configurer > Applications, vous pouvez filtrer les applications par macOS VPP. Les parties de l’interface qui ne s’appliquent pas à une application macOS VPP sont maintenant omises. Par exemple, la section Configuration du magasin ne s’affiche pas car il n’existe aucun Secure Hub pour macOS. L’option d’importation des clés VPP n’apparaît plus.
    • Dans Gérer > Appareils, les Propriétés utilisateur comprennent Retire VPP account (Retirer le compte VPP).
  • Stratégie Contrôler mise à jour d’OS pour macOS. Vous pouvez désormais utiliser la stratégie Contrôler mise à jour d’OS pour déployer des mises à jour du système d’exploitation sur des appareils macOS supervisés ou déployés via Apple DEP.

    Image de l'écran de configuration Stratégies d'appareil

  • Option permettant à plusieurs utilisateurs d’utiliser un appareil Samsung SAFE. La stratégie Restrictions inclut désormais l’option de contrôle du matériel, Autoriser utilisateurs multiples. Cette option, pour MDM 4.0 et versions ultérieures, est OFF par défaut.
  • Désactiver des applications sur des appareils Samsung SAFE. Vous pouvez désormais utiliser la stratégie Restrictions pour empêcher une liste d’applications installées de s’exécuter sur les appareils Samsung SAFE. Les options Navigateur, YouTube et Google Play/Marketplace sont obsolètes.

    Par défaut, le nouveau paramètre Désactiver les applications est défini sur Désactivé, ce qui signifie que les applications sont activées. Pour désactiver une application installée, définissez le paramètre sur Activé, cliquez sur Ajouter dans le tableau Liste d’applications, puis entrez le nom du package d’application.

    La modification et le déploiement d’une liste d’applications écrasent la liste d’applications précédente. Par exemple : supposons que vous désactiviez com.example1 et com.example2. Vous modifiez ensuite la liste en utilisant com.example1 et com.example3. Dans ce cas, XenMobile active com.example.2.

  • La page Gérer> Appareils inclut désormais ces propriétés d’appareil supplémentaires signalées par les appareils Android :

    • Code d’opérateur (signalé uniquement par les appareils qui exécutent Samsung MDM 5.7 ou version ultérieure)
    • Numéro de modèle (signalé uniquement par les appareils qui exécutent Samsung MDM version 2.0 ou ultérieure)
  • La stratégie Restrictions inclut désormais une stratégie pour désactiver l’appareil photo sur les appareils Android. Pour configurer la stratégie, accédez à Configurer > Stratégies d’appareil, cliquez sur Ajouter et cliquez sur Restrictions. Par défaut, l’utilisation de l’appareil photo est activée. Pour désactiver l’utilisation de l’appareil photo, réglez le paramètre Appareil photo sur OFF.

    Image de l'écran de configuration Stratégies d'appareil

  • Formats de date et d’heure basés sur les paramètres régionaux. La date et l’heure qui apparaissent sur les pages Gérer > Appareils et Gérer > Utilisateurs sont maintenant formatées en fonction des paramètres régionaux. Par exemple, 18 h le 15 octobre 2017 est affiché comme suit :

     U.S. (en-US): 10/15/17 06:00:00 pm
     U.K. (en-GB): 15/10/17 18:00:00
     South Africa (en-ZA): 2017/10/15 06:00:00 pm
    
  • La stratégie de pare-feu Samsung SAFE est renommée en fonction de la stratégie de pare-feu.
  • Le nombre par défaut d’archives de sauvegarde incluses dans les packs d’assistance a été réduit à 100 pour les fichiers suivants. La valeur par défaut de la taille du fichier est de 10 Mo.
    • DebugLogFile
    • AdminAuditLogFile
    • UserAuditLogFile
    • HibernateStats.log

    Lorsque le pack d’assistance inclut 100 fichiers d’archive de journal pour chacune de ces catégories, le fichier journal est remplacé. Si vous configurez un nombre maximal inférieur de fichiers journaux (Dépannage et support > Paramètres du journal), les fichiers journaux superflus sont immédiatement supprimés pour ce nœud de serveur.

  • La page Paramètres> Syslog inclut désormais une option permettant d’envoyer les journaux de débogage de XenMobile Server à un serveur syslog.
  • Mises à jour de l’API publique XenMobile pour les services REST.
  • L’API publique XenMobile pour les services REST inclut les API suivantes : Pour de plus amples informations, téléchargez le document PDF XenMobile Public API for REST Services.
    • Get Users by Filter (Obtenir les utilisateurs par filtre) (section 3.12.1)

      Cette nouvelle API remplace l’API désormais obsolète, Get All Users (Obtenir tous les utilisateurs).

    • Revoke Enrollment Token (Révoquer le jeton d’inscription) (section 3.19.6)
    • Remove Enrollment Token (Supprimer le jeton d’inscription) (section 3.19.7)