Product Documentation

Nouveautés

Feb 22, 2018

L’un des objectifs de Citrix est d’offrir de nouvelles fonctionnalités et des mises à jour de produits aux clients de XenMobile Service lorsqu’elles sont disponibles. Les nouvelles versions étant plus avantageuses, il est important que vous en profitiez le plus rapidement possible. Des mises à jour sont déployées sur XenMobile Service environ toutes les 3 semaines. Cette cadence a commencé en août 2016.

Pour vous, en tant que client, ce processus est transparent. Les mises à jour initiales sont uniquement appliquées aux sites Citrix internes pour être ensuite graduellement appliquées aux environnements des clients. La mise à disposition des mises à jour de façon incrémentielle permet de garantir la qualité des produits et de maximiser la disponibilité.

Si vous êtes un client XenMobile Service, vous recevrez aussi les mises à jour et les communications XenMobile Service directement depuis l’équipe XenMobile Cloud Operations. Ces mises à jour vous tiennent au courant des nouvelles fonctionnalités, des problèmes connus, des problèmes résolus, etc.

Pour plus d'informations sur l'objectif de niveau de service de XenMobile Service concernant l'évolutivité et la disponibilité des services dans le cloud, voir Objectif de niveau de service. Pour contrôler les interruptions de service et la maintenance planifiée, consultez le tableau de bord de l'état de service.

Documentation sur XenMobile Server : la documentation XenMobile Server couvre la dernière version sur site de XenMobile Server. Pour de plus amples informations sur l’utilisation de la console XenMobile, consultez les articles sous XenMobile Server. Citrix vous avertit lorsque les articles Nouveautés de XenMobile Service sont mis à jour pour une nouvelle version.

Nouveautés dans XenMobile Service 10.18.2

Gestion des appareils d'hub d'espace de travail

Vous pouvez gérer les appareils du hub d'espace de travail Citrix Ready depuis votre console XenMobile Service. Le hub d'espace de travail Citrix Ready, en tant que périphérique IoT Edge, vient s'ajouter aux solutions Citrix IoT. Pour plus d'informations sur le hub d'espace de travail Citrix Ready, consultez ce billet de blog Citrix. Pour plus d'informations sur les avantages de la gestion unifiée des points de terminaison (UEM) et de la protection des données de XenMobile Service, consultez ce cas d'utilisation sur le site Web de Citrix.

En utilisant XenMobile Service pour gérer le hub d'espace de travail Citrix Ready, vous pouvez mettre à jour les appareils de votre espace de travail avec les dernières fonctionnalités et les derniers correctifs de sécurité. Si nécessaire, vous pouvez également effectuer des actions de sécurisation, telles que des effacements complets ou des redémarrages.

Pour utiliser un hub d'espace de travail Citrix Ready, ajoutez l'appareil au tableau Appareils sur liste blanche de la console XenMobile. Il existe deux méthodes pour ajouter des appareils au tableau.

Pour ajouter un appareil manuellement

Dans la console XenMobile, accédez à Gérer > Appareils.

localized image

Cliquez sur Appareils sur liste blanche en haut.

localized image

Cliquez sur Ajouter. Sur la page qui s'ouvre, tapez les informations suivantes.

  • Plate-forme de l'appareil : sélectionnez Workspace Hub ou Windows.
  • Type d'ID d'appareil : sélectionnez la méthode d'identification des appareils.L'adresse MAC est la seule option prise en charge pour le hub d'espace de travail Citrix.
  • ID de l'appareil : entrez l'identifiant que vous avez sélectionné précédemment.
  • Utilisateur associé : utilisateur à associer à l'appareil. Cet utilisateur peut être un utilisateur local ou un utilisateur LDAP déjà configuré dans XenMobile Server. Vous pouvez entrer des noms d'utilisateur directement ou les rechercher dans la zone Rechercher un utilisateur. Si vous entrez les noms d'utilisateur manuellement, utilisez le format utilisateur@domaine.com ou domaine.com\nom d'utilisateur en fonction de vos paramètres LDAP.
  • Sélectionner un domaine : sélectionnez le domaine à utiliser lors de la recherche d'utilisateurs.
  • Rechercher un utilisateur : tapez le nom d'utilisateur que vous souhaitez associer à cet appareil, puis cliquez sur Rechercher. Sélectionnez l'utilisateur dans la zone de résultats ci-dessous, il s'affiche dans la zone Utilisateur associé.
localized image

Cliquez sur Enregistrer. L'appareil est ajouté au tableau.

Pour importer ou exporter des appareils en bloc

Dans la console XenMobile, accédez à Gérer > Appareils. Cliquez sur Appareils sur liste blanche, puis sur Importer.

localized image

Cliquez sur Télécharger pour télécharger un modèle .csv pour l'importation d'appareils. Les colonnes du fichier sont identiques aux champs du workflow précédent.

Remplissez le formulaire et enregistrez-le. Lorsque vous avez terminé, cliquez sur Choisir un fichier et sélectionnez le modèle.

Cliquez sur Importer. Tous les appareils du fichier modèle sont ajoutés au tableau.

Pour exporter la liste d'appareils à modifier, cliquez sur Exporter.

Pour gérer des appareils d'hub d'espace de travail Citrix Ready

Pour afficher et gérer des appareils d'hub d'espace de travail Citrix Ready après leur inscription, accédez à Gérer > Appareils. Le tableau Appareils apparaît. Sélectionnez Workspace Hub sur la gauche pour voir l'appareil nouvellement inscrit. Sélectionnez l'appareil, puis cliquez sur Modifier pour afficher et confirmer les détails de l'appareil.

Lorsque vous sélectionnez la case à cocher en regard d’un appareil, le menu d’options s’affiche au-dessus de la liste des appareils. Lorsque vous cliquez dans la liste, le menu d'options s'affiche sur le côté droit de la liste.

localized image

La page Général dresse la liste des identificateurs, tels que le numéro de série, l'ID ActiveSync et d’autres informations relatives au type de plate-forme. Pour Propriétaire, sélectionnez Entreprise ou BYOD.

La page Général dresse également la liste des propriétés de sécurité, telles que ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme.

Les sections Détails de l’appareil restantes contiennent des informations sommaires sur l’appareil.

Stratégies attribuées : affiche le nombre des stratégies attribuées, y compris le nombre de stratégies déployées, en attente ou ayant échoué. Fournit les informations relatives au nom, au type et à la dernière date de déploiement pour chaque stratégie.
Applications : affiche les applications installées, en attente ou en échec.
Groupes de mise à disposition
 : affiche le nombre de groupes de mise à disposition ayant réussi, en attente et qui ont échoué. Pour chaque déploiement, fournit le nom du groupe mise à disposition et l'heure déploiement.

Vous pouvez également effectuer des actions de sécurisation, telles que des effacements complets ou des redémarrages. Pour de plus amples informations sur les actions de sécurisation, veuillez consulter la section Actions de sécurisation.

Stratégie de configuration d'application

Utilisez la stratégie de configuration d'application pour déployer la configuration de Citrix Receiver sur les appareils d'hub d'espace de travail Citrix Ready. Accédez à Configurer > Stratégies d'appareil, ajoutez la stratégie Configuration de l'application et, sous Plateformes, sélectionnez Workspace Hub. Configurez les paramètres d'hub d'espace de travail suivants :

  • Mode de connexion : sélectionnez Citrix Receiver.
  • Nom de la connexion : entrez un nom descriptif pour la connexion.
  • Cible de connexion : entrez une URL à charger lors de la connexion.

Certaines applications peuvent nécessiter des paramètres supplémentaires pour fonctionner. Pour chaque paramètre de configuration que vous souhaitez ajouter, cliquez sur Ajouter, puis procédez comme suit :

  • Nom du paramètre : entrez le nom de clé d'un paramètre d'application pour l'appareil d'hub d'espace de travail Citrix Ready.
  • Valeur : entrez la valeur du paramètre spécifié.
localized image

Après avoir terminé la configuration, choisissez des groupes de mise à disposition. Pour de plus amples informations, consultez la section Ajouter une stratégie d'appareil.

Pour déployer et mettre à jour des applications pour un hub d'espace de travail Citrix

Étant donné que les appareils d'hub d'espace de travail Citrix ne permettent de déployer et de mettre à jour qu'un seul fichier, commencez par regrouper toutes vos applications dans un seul fichier Squash FS.

Pour plus d'informations sur la création d'un fichier Squash FS, voir http://tldp.org/HOWTO/SquashFS-HOWTO/creatingandusing.html et http://tldp.org/HOWTO/SquashFS-HOWTO/creatingandusing.html.

Remarque : lors de la création du fichier, assurez-vous de générer un fichier .img.

Dans votre instance de XenMobile Server, accédez à Configurer > Applications et cliquez sur Ajouter. Cliquez sur Entreprise.

Saisissez un nom et une description pour votre application, puis désélectionnez toutes les plates-formes, à l'exception de Workspace Hub. Cliquez sur Suivant.

Dans la page Application d'entreprise Workspace Hub, cliquez sur Charger. Accédez au fichier .img que vous avez créé précédemment et cliquez sur Ouvrir.

localized image

Cliquez sur Suivant. La page Approbations ne fonctionne pas pour l'hub d'espace de travail Citrix.

Cliquez sur Suivant. La page Attribution de groupes de mise à disposition s'affiche.

En regard de Choisir des groupes de mise à disposition, tapez pour trouver un groupe de mise à disposition ou sélectionnez un ou des groupes. Les groupes que vous sélectionnez s'affichent dans liste Groupes de mise à disposition qui vont recevoir l'attribution d'applications.

Remarque : les applications sont toujours envoyées à l'appareil attribué au groupe de mise à disposition. Que l'application soit facultative ou requise ne change pas ce comportement, car il n'y a pas de magasin pour les appareils d'hub d'espace de travail Citrix.

Cliquez sur Enregistrer.

Une fois les applications chargées sur XenMobile, les appareils d'hub d'espace de travail Citrix reçoivent la mise à jour au redémarrage.

Gestion d'Apple TV

Vous pouvez désormais inscrire des Apple TV dans XenMobile dans le cadre du programme d'inscription des appareils (DEP) Apple. Dans le cadre de cette inscription, vous pouvez effectuer les actions suivantes :

  • Configurer l'inscription au DEP
  • Configurer et distribuer la stratégie Restrictions
  • Nettoyer, révoquer et redémarrer un appareil Apple TV inscrit

Conditions préalables

Pour configurer vos paramètres Apple TV

Suivez les étapes de la section Déploiement d'appareils iOS via le programme DEP d'Apple pour attribuer vos Apple TV à votre XenMobile Server.

Dans la console XenMobile, accédez à Paramètres > Programme d'inscription des appareils (DEP) Apple.

Sur la page qui s'ouvre, sous Paramètres, sélectionnez Apple TV. Configurez les paramètres suivants :

  • Exiger l'inscription des appareils : empêche les utilisateurs d'ignorer l'inscription.
  • Exiger des informations d'identification pour l'inscription de l'appareil : demande les informations d'identification lors de l'inscription. Lorsque ce paramètre est désactivé, l'Apple TV est inscrite comme « utilisateur du programme DEP » par défaut.
  • Attendre la fin de l'installation : l'appareil reste sur l'écran Assistant d'installation jusqu'à ce que toutes les ressources soient déployées.
  • Mode supervisé : permet à l'administrateur de disposer de plus d'options lors de la configuration des restrictions.
  • Autoriser la suppression du profil d'inscription : permet aux utilisateurs de supprimer les profils d'inscription.
  • Autoriser le couplage de l'appareil : permet aux appareils inscrits via le programme DEP d'être gérés par des outils Apple tels que iTunes et Apple Configurator.
localized image

Sous Options de l'assistant d'installation, sélectionnez Apple TV et sélectionnez les écrans de configuration que vous souhaitez ignorer pendant l'inscription de l'Apple TV.

localized image

Cliquez sur Enregistrer.

Sur votre serveur, accédez à Configurer > Stratégie d'appareil. Cliquez sur Ajouter et sélectionnez la stratégie Restrictions.

Sous Plateformes, sélectionnez TV OS et configurez les restrictions que vous souhaitez appliquer :

  • Paramètres de média et de sécurité - Autoriser
    • Demander code secret lors du premier couplage AirPlay : exige que les appareils compatibles avec AirPlay soient vérifiés à l'aide d'un code à usage unique s'affichant sur l'écran avant que les utilisateurs puissent utiliser AirPlay (iOS 7.0 et versions ultérieures).
    • Contenu sexuel explicite dans iBooks : autorise le téléchargement de contenus explicites depuis iBooks (iOS 6.0 et versions ultérieures).
    • Musique, podcasts et cours iTunes U explicites : autorise l'affichage de contenus explicites sur les appareils des utilisateurs.
    • Achats dans les applications : autorise les utilisateurs à effectuer des achats dans les applications.
      • Exiger le mot de passe iTunes pour tous les achats : exige un mot de passe pour les achats dans l'application. Par défaut, cette fonctionnalité est désactivée, ce qui signifie qu'aucun mot de passe n'est requis pour les achats intégrés dans l'application (iOS 5.0 et versions ultérieures).
  • Paramètres supervisés uniquement - Autoriser
    • Modification du nom de l'appareil : autorise les utilisateurs à changer le nom de leur appareil.
    • Autoriser le jumelage avec l'application Apple TV Remote : permet aux utilisateurs d'associer leur appareil à l'application Apple TV Remote.
    • Filtre d'obscénité de Siri : active le filtre d'obscénité de Siri. Par défaut, cette fonctionnalité est désactivée, ce qui signifie qu'aucun filtre d'obscénité n'est appliqué.
      Pour de plus amples informations sur Siri et la sécurité, consultez la section Stratégies de dictée et Siri.
    • Activer AirPlay : permet aux utilisateurs de diffuser du contenu ou de refléter l'écran de leur appareil iOS sur cet appareil.
    • Utilisation restreinte des apps : autorise les utilisateurs à utiliser toutes les applications ou à utiliser ou non certaines applications en fonction des Bundle ID que vous fournissez. S'applique uniquement aux appareils supervisés.
    Après avoir configuré la stratégie Restrictions pour bloquer certaines applications et déployé la stratégie : si vous souhaitez autoriser tout ou partie de ces applications ultérieurement, la modification et le déploiement de la stratégie Restrictions ne modifient pas les restrictions. Dans ce cas, iOS n’applique pas les modifications apportées au profil iOS.

Si vous réglez ce paramètre sur Autoriser uniquement certaines applications : avant de déployer cette stratégie, demandez aux utilisateurs des appareils inscrits à l'aide d'Apple DEP de se connecter à leurs comptes Apple à partir de l'Assistant d'installation. Dans le cas contraire, les utilisateurs devront peut-être désactiver l'authentification à deux facteurs sur leurs appareils pour se connecter à leurs comptes Apple et accéder aux applications autorisées.

  • Paramètres de stratégie
    • En regard de Supprimer la stratégie, cliquez sur Sélectionner une date ou sur Délai avant suppression (en heures).
    • Si vous cliquez sur Sélectionner une date, cliquez sur le calendrier pour sélectionner la date spécifique de la suppression.
    • Dans la liste Autoriser l'utilisateur à supprimer la stratégie, cliquez sur Toujours, Mot de passe requis ou Jamais.
    • Si vous cliquez sur Mot de passe requis, à côté de Code secret de suppression, entrez le mot de passe requis.

Cliquez sur Suivant et enregistrez la stratégie.

Actions de sécurisation

Après l'inscription d'une Apple TV sur XenMobile, les administrateurs peuvent effectuer des actions de sécurisation sur l'appareil. Pour effectuer une action de sécurisation, procédez comme suit :

  1. Dans votre serveur, accédez à Gérer > Appareils.
  2. Sélectionnez l'appareil à gérer et cliquez sur Sécurisé. Une fenêtre contextuelle apparaît avec les actions possibles.
  • Révoquer : supprime la gestion de l'appareil.
  • Effacer : efface complètement l'appareil. Toutes les stratégies et applications installées sont perdues lorsque cette action est effectuée.
  • Redémarrer : redémarre l'appareil.
localized image

Accès à XenMobile Tools depuis la console XenMobile

XenMobile inclut désormais des liens vers XenMobile Tools depuis les emplacements de la console XenMobile où l'accès à chaque outil peut être nécessaire :

  • XenMobile Analyzer :
    • Fonction : permet d'identifier et de trier les problèmes potentiels liés à votre déploiement.
    • Accès : page Gérer > Appareils et page Gérer > Utilisateurs.
  • Portail APNs :
    • Fonction : permet d'envoyer une demande à Citrix pour signer un certificat APNs que vous soumettez ensuite à Apple.
    • Accès : page Paramètres > Certificats et pages de configuration de certificat.
  • Service MDX :
    • Fonction : permet d'encapsuler les applications que vous pouvez ensuite gérer en utilisant XenMobile.
    • Accès : page Configurer > Applications et pages Ajouter une application.

Prise en charge des appareils COSU Android for Work

Remarque : dans XenMobile Service et dans notre documentation, nous faisons référence à Android for Work ; cependant, le nouveau terme est Android Enterprise. Pour plus d'informations, veuillez consulter la documentation Android.

XenMobile prend désormais en charge la gestion des appareils d'entreprise à usage unique (COSU) Android for Work. Les appareils COSU remplissent une seule fonction, comme la signalisation numérique, l'impression de tickets ou la gestion des stocks. Les administrateurs limitent ces appareils à une application ou à un ensemble restreint d'applications. Les administrateurs empêchent également les utilisateurs d'activer d'autres applications ou d'effectuer d'autres actions sur l'appareil.

Pour plus d'informations sur l'utilisation de XenMobile Management Tools, pour lier XenMobile en tant que fournisseur de gestion de la mobilité d'entreprise via Google Play et créer une entreprise pour Android for Work, voir Android for Work

Pour provisionner des appareils COSU :

  • Ajoutez un rôle RBAC (contrôle d'accès basé sur un rôle) pour permettre aux administrateurs XenMobile d'inscrire des appareils COSU à votre déploiement XenMobile. Ce rôle est nouveau dans cette version de XenMobile Server. Attribuez ce rôle aux utilisateurs auxquels vous souhaitez donner la possibilité d'inscrire des appareils COSU.
  • Ajoutez un profil d'inscription pour les administrateurs XenMobile que vous autorisez à inscrire des appareils COSU dans votre déploiement XenMobile.
  • Ajoutez à la liste blanche les applications auxquelles vous souhaitez que l'appareil COSU accède.
  • (Facultatif) Activez le mode de verrouillage des tâches pour l'application en liste blanche. Lorsqu'une application est en mode de verrouillage des tâches, elle est épinglée sur l'écran de l'appareil lorsque l'utilisateur l'ouvre. Aucun bouton d'accueil n'apparaît et le bouton Retour est désactivé. L'utilisateur quitte l'application à l'aide d'une action programmée dans l'application, comme la déconnexion.

Configuration système requise

La prise en charge de l'inscription des appareils COSU Android commence avec Android 6.0.

Ajouter le rôle COSU

Le rôle RBAC pour l'inscription d'appareils COSU permet à XenMobile de provisionner et d'activer en mode silencieux un compte Google Play géré sur l'appareil. Contrairement aux comptes d'utilisateurs Google Play gérés, ces comptes d'appareils identifient un appareil qui n'est pas lié à un utilisateur.

Vous affectez ce rôle RBAC aux administrateurs XenMobile pour leur permettre d'inscrire des appareils COSU.

Pour ajouter le rôle RBAC pour inscrire les appareils COSU :

Dans la console XenMobile, cliquez sur l'icône d'engrenage dans le coin supérieur droit. La page Paramètres s'affiche.

Cliquez sur Contrôle d'accès basé sur rôle. La page Contrôle d'accès basé sur rôle qui apparaît affiche les quatre rôles utilisateur par défaut, ainsi que tout rôle que vous avez déjà ajouté.

Cliquez sur Ajouter. La page Ajouter un rôle s'affiche.

Entrez les informations suivantes.

  • Nom RBAC : entrez COSU ou un nom descriptif pour le rôle. Vous ne pouvez pas modifier le nom d'un rôle.
  • Modèle RBAC : choisissez le modèle ADMIN.
  • Accès autorisé : sélectionnez Accès à la console d'admin et Inscription d'appareils COSU.
  • Fonctionnalités de la console : sélectionnez Appareils.
  • Appliquer les autorisations : sélectionnez les groupes auxquels vous voulez appliquer le rôle COSU. Si vous cliquez sur À des groupes d'utilisateurs spécifiques, une liste des groupes s'affiche à partir de laquelle vous pouvez sélectionner un ou plusieurs groupes.

Cliquez sur Suivant. La page Attribution s'affiche.

Entrez les informations suivantes pour attribuer le rôle à des groupes d'utilisateurs.

  • Sélectionner un domaine : cliquez sur un domaine dans la liste.
  • Inclure des groupes d'utilisateurs : cliquez sur Rechercher pour afficher la liste de tous les groupes disponibles. Ou, tapez un nom de groupe complet ou partiel pour limiter la liste aux seuls groupes portant ce nom.
  • Dans la liste qui s'affiche, sélectionnez les groupes d'utilisateurs auxquels vous souhaitez attribuer le rôle. Lorsque vous sélectionnez un groupe d'utilisateurs, le groupe apparaît dans la liste Groupes d'utilisateurs sélectionnés.

Cliquez sur Enregistrer.

Ajouter un profil d'inscription COSU

Lorsque votre déploiement XenMobile inclut des appareils COSU, un seul administrateur ou un groupe restreint d'administrateurs XenMobile peut inscrire de nombreux appareils COSU. Pour vous assurer que ces administrateurs peuvent inscrire tous les appareils requis, créez un profil d'inscription pour eux avec un nombre illimité d'appareils autorisés par utilisateur. Attribuez ce profil à un groupe de mise à disposition contenant les administrateurs qui inscrivent les appareils COSU. De cette façon, même si le profil Global par défaut a un nombre limité d'appareils autorisés par utilisateur, les administrateurs peuvent inscrire un nombre illimité d'appareils. Ces administrateurs doivent figurer dans le profil d'inscription COSU.

Accédez à Configurer > Profils d'inscription. Le profil Global par défaut s’affiche.

Pour ajouter un profil d’inscription, cliquez sur Ajouter. Dans la page Infos d'inscription, entrez un nom pour le profil d'inscription. Assurez-vous que le nombre d'appareils que les membres avec ce profil peuvent inscrire est défini sur illimité.

localized image

Cliquez sur Suivant. L'écran Attribution de groupes de mise à disposition s'affiche.

Choisissez le(s) groupe(s) de mise à disposition contenant les administrateurs qui inscrivent les appareils COSU. Cliquez ensuite sur Enregistrer.

La page Profil d'inscription apparaît avec le profil que vous avez ajouté.

localized image

Mettre des applications sur liste blanche et définir le mode de verrouillage des tâches

La stratégie Kiosque vous permet d'ajouter des applications à la liste blanche et de définir le mode de verrouillage des tâches. Par défaut, les services Secure Hub et Google Play sont ajoutés à la liste blanche.

Pour ajouter la stratégie Kiosque :

Dans la console XenMobile, cliquez sur Configurer > Stratégies d'appareil. La page Stratégies d'appareil s'affiche.

Cliquez sur Ajouter. La boîte de dialogue Ajouter une nouvelle stratégie apparaît.

Développez Plus puis, sous Sécurité, cliquez sur Kiosque. La page Stratégie kiosque s'affiche.

Sous Plates-formes, sélectionnez Android for Work.

Dans le volet Informations sur la stratégie, tapez le nom de la stratégie et une description facultative.

Cliquez sur Suivant, puis sur Ajouter.

Pour ajouter une application à la liste blanche et autoriser ou refuser le mode de verrouillage des tâches pour cette application :

Sélectionnez dans la liste l'application que vous souhaitez ajouter à la liste blanche.

Choisissez Autoriser pour que l'application soit épinglée sur l'écran de l'appareil lorsque l'utilisateur démarre l'application. Choisissez Refuser pour que l'application ne soit pas épinglée. La valeur par défaut est Autoriser.

localized image

Cliquez sur Enregistrer.

Pour ajouter une autre application à la liste blanche et autoriser ou refuser le mode de verrouillage des tâches, cliquez sur Ajouter.

Configurez les règles de déploiement et choisissez des groupes de mise à disposition. Pour de plus amples informations, consultez la section Ajouter une stratégie d'appareil.

Nouveau paramètre de stratégie Restrictions pour Android for Work

XenMobile vous permet de définir une stratégie de restriction permettant aux utilisateurs de placer des widgets d'application de profil professionnel sur l'écran d'accueil de l'appareil. La prise en charge de cette stratégie commence avec Android 5.0. Nous avons ajouté le paramètre Autoriser les widgets d'applications de profil professionnel sur l'écran d'accueil.

Pour indiquer si les utilisateurs peuvent placer des widgets d'application de profil professionnel sur l'écran d'accueil de l'appareil :

Accédez à Configurer > Stratégies d'appareil et ajoutez une stratégie Restrictions.

Sous Plates-formes, sélectionnez Android for Work.

localized image

Réglez Autoriser les widgets d'applications de profil professionnel sur l'écran d'accueil. Si ce paramètre est Activé, les utilisateurs peuvent placer des widgets d'application de profil professionnel sur l'écran d'accueil de l'appareil. Si ce paramètre est Désactivé, les utilisateurs ne peuvent pas placer de widgets d'application de profil professionnel sur l'écran d'accueil de l'appareil. La valeur par défaut est Désactivé. (Android 5.0 et versions ultérieures)

Si vous définissez l'option Autoriser les widgets d'applications de profil professionnel sur l'écran d'accueil sur Activé : sélectionnez dans la liste une application pour laquelle vous souhaitez autoriser l'affichage des widgets sur l'écran d'accueil. Cliquez sur Enregistrer. Répétez ces étapes pour toutes les applications pour lesquelles vous souhaitez autoriser les widgets.

Cliquez sur Suivant.

Configurez les règles de déploiement et choisissez des groupes de mise à disposition. Pour de plus amples informations, consultez la section Ajouter une stratégie d'appareil.

Provisioning en bloc d'appareils Windows 10

XenMobile prend en charge l'inscription en bloc d'appareils Windows 10. Avec l'inscription en bloc, vous pouvez configurer de nombreux appareils pouvant être gérés par un serveur MDM sans avoir besoin de réimager les appareils. Vous pouvez utiliser le package de provisioning pour l'inscription en bloc d'appareils de bureau Windows 10. Suivez ces étapes pour configurer et effectuer l'inscription en bloc.

Avant d'exécuter l'inscription en bloc, assurez-vous que tous les appareils sont attribués à l'utilisateur final approprié. Effectuez cette attribution en enregistrant les appareils par utilisateur ou en effectuant une importation en bloc d'appareils.

Pour attribuer des appareils

Dans votre console XenMobile Server, accédez à Gérer > Appareils sur liste blanche.

localized image

Pour ajouter chaque appareil manuellement, cliquez sur Ajouter.

localized image

Entrez les informations suivantes :

  • Plate-forme de l'appareil : sélectionnez Windows.
  • Type d'ID de matériel : sélectionnez un ID à utiliser pour identifier l'appareil.XenMobile ne prend en charge que l'ID de matériel pour les appareils Windows.
  • ID du périphérique matériel : saisissez l'identification sélectionnée précédemment pour l'appareil.
  • Utilisateur associé : tapez l'utilisateur associé à cet appareil.

Cliquez sur Enregistrer.

Pour ajouter des appareils en bloc, cliquez sur Importer.

localized image

Cliquez sur Télécharger pour télécharger un modèle pour les appareils sur liste blanche. Remplissez ce modèle en utilisant les descriptions précédentes, puis chargez le fichier en sélectionnant Choisir un fichier et Importer.

Pour inscrire des appareils en bloc

Dans votre console XenMobile Server, accédez à Paramètres > Inscription en bloc de Windows.

Dans la zone UPN, tapez un nom d'utilisateur valide pour déployer tous les appareils.

localized image

Cliquez sur Enregistrer.

Pour provisionner des appareils en bloc, téléchargez le Concepteur de configuration Windows depuis le Microsoft Store. Le Concepteur de configuration Windows crée des packs de provisionnement utilisés pour imager les appareils. Dans le cadre de ces packages, vous pouvez inclure les paramètres de configuration d'inscription en bloc XenMobile pour que les appareils s'inscrivent automatiquement dans XenMobile.

Pour plus d'informations sur la configuration de l'outil, la création d'un package de provisionnement et l'installation d'un package de provisionnement, consultez la page https://docs.microsoft.com/en-us/windows/client-management/mdm/bulk-enrollment-using-windows-provisioning-outil. Pour plus d'informations sur l'inclusion des paramètres de configuration d'inscription en bloc XenMobile, consultez la section Créer et appliquer un package de provisionnement pour l'authentification locale dans ce document.

Optimisation de la distribution des mises à jour Windows 10

L'optimisation de la distribution est un service de mise à jour partagée entre homologues qui est fourni par Microsoft pour les mises à jour de Windows 10. L'objectif de l'optimisation de la distribution est de réduire les problèmes de bande passante lors du processus de mise à jour. Pour réduire la bande passante, la tâche de téléchargement est partagée entre plusieurs appareils. Pour plus d'informations, consultez l'article de Microsoft, Configurer l’optimisation de la distribution des mises à jour Windows 10.

La stratégie Contrôler mise à jour d'OS pour les ordinateurs de bureau et les tablettes Windows 10 supervisés inclut désormais les paramètres d'optimisation de la distribution. Vous pouvez gérer les paramètres d'optimisation de la distribution pour les ordinateurs de bureau et les tablettes exécutant Windows 10 version 1607.

Pour configurer les paramètres d'optimisation de la distribution, accédez à Configurer > Stratégies d’appareil et ajoutez ou modifiez la stratégie Contrôler mise à jour d'OS.

localized image

Pour configurer ces paramètres :

  • Configurer optimisation de la distribution : indiquez si l'optimisation de la distribution doit être utilisée pour les mises à jour de Windows 10. La valeur par défaut est Désactivé.
  • Taille du cache : taille maximale du cache d'optimisation de la distribution. Une valeur de 0 signifie un cache illimité. La valeur par défaut est de 10 Go.
  • Autoriser mise en cache des homologues VPN : permet d'autoriser les appareils à participer à la mise en cache des homologues lorsqu'ils sont connectés au réseau de domaine via VPN. Lorsque cette option est activée, l'appareil peut être téléchargé depuis ou chargé vers d'autres appareils du réseau de domaine, que ce soit sur un VPN ou sur le réseau de domaine d'entreprise. La valeur par défaut est Désactivé.
  • Méthode de téléchargement : méthode de téléchargement que l’optimisation de la distribution peut utiliser pour les téléchargements de mises à jour Windows, d’applications et de mises à jour d'applications. La valeur par défaut est HTTP fusionné avec une homologation derrière le même NAT. Les options sont les suivantes :
    • HTTP uniquement, sans homologation : désactive la mise en cache des homologues, mais permet une optimisation de la distribution pour télécharger le contenu à partir des serveurs Windows Update ou des serveurs WSUS (Windows Server Update Services).
    • HTTP fusionné avec une homologation derrière le même NAT : active le partage entre homologues sur le même réseau. Le service cloud Optimisation de la distribution recherche d'autres clients qui se connectent à Internet en utilisant la même adresse IP publique que le client cible. Ces clients tentent ensuite de se connecter à d'autres homologues sur le même réseau en utilisant leur adresse IP de sous-réseau privée.
    • HTTP fusionné avec une homologation de groupe privé : sélectionne automatiquement un groupe en fonction du site des services de domaine Active Directory (AD DS) de l'appareil ou du domaine auprès duquel l'appareil s'authentifie. La sélection basée sur AD DS est pour Windows 10, version 1607. La sélection basée sur le domaine est pour Windows 10, version 1511. L'homologation se produit sur des sous-réseaux internes, entre des appareils appartenant au même groupe, y compris des appareils dans des bureaux distants.
    • HTTP fusionné avec une homologation Internet : permet d'activer les sources homologues Internet pour l'optimisation de la distribution.
    • Mode de téléchargement simple, sans homologation : permet de désactiver l'utilisation des services cloud Optimisation de la distribution. L'optimisation de la distribution passe automatiquement à ce mode dans les conditions suivantes : lorsque les services cloud Optimisation de la distribution sont indisponibles, inaccessibles ou lorsque la taille du fichier de contenu est inférieure à 10 Mo. Dans ce mode, l'optimisation de la distribution fournit une expérience de téléchargement fiable, sans mise en cache partagé entre homologues.
    • Ne pas utiliser l’optimisation de la distribution et utiliser BITS à la place : permet aux clients d'utiliser BranchCache. Pour plus d'informations, veuillez consulter l'article Microsoft BranchCache.
  • Bande passante de téléchargement max. : bande passante de téléchargement maximale en Ko/seconde. La valeur par défaut est 0, ce qui signifie un ajustement dynamique de la bande passante.
  • Pourcentage de bande passante de téléchargement max. : la bande passante de téléchargement maximale que l'optimisation de la distribution peut utiliser pour toutes les activités de téléchargement simultanées. La valeur est un pourcentage de la bande passante de téléchargement disponible. La valeur par défaut est 0, ce qui signifie un ajustement dynamique.
  • Bande passante de chargement max. : bande passante de chargement maximale en Ko/seconde. La valeur par défaut est 0. Une valeur de 0 signifie une bande passante illimitée.
  • Limite maximale mensuelle de chargement : taille maximale en Go que l'optimisation de la distribution peut envoyer aux homologues Internet chaque mois. La valeur par défaut est de 20 Go. Une valeur de 0 signifie des chargements mensuels illimités.

Stratégie Mode kiosque pour les postes de travail et les tablettes Windows

Vous pouvez créer une stratégie Mode kiosque définissant la liste des applications figurant sur liste noire et sur liste blanche sur les ordinateurs et les tablettes Windows gérés. Vous pouvez autoriser ou bloquer les programmes exécutables, les programmes d'installation MSI, les applications de stockage, les DLL et les scripts.

Conditions préalables

  • Sous Windows, configurez les règles dans l'éditeur Stratégie de sécurité locale sur un bureau Windows 10 exécutant Windows 10 Entreprise ou Éducation.
  • Exportez le fichier XML de la stratégie. Citrix vous recommande de créer des règles par défaut dans Windows pour éviter de verrouiller la configuration par défaut ou d'entraîner des problèmes sur les appareils.
  • Ensuite, chargez le fichier XML sur XenMobile. Pour plus d'informations sur la création de règles, consultez cet article Microsoft : https://docs.microsoft.com/en-us/windows/security/threat-protection/applocker/applocker-overview

Pour configurer et exporter le fichier XML de la stratégie à partir de Windows

Important

Lors de la configuration du fichier XML de la stratégie via l'éditeur de stratégie Windows, utilisez le mode Audit uniquement.

  1. Sur l'ordinateur Windows, démarrez l'éditeur Stratégie de sécurité locale. Cliquez sur Démarrer, tapez stratégie de sécurité locale (ou local security policy), puis cliquez sur Stratégie de sécurité locale.
  2. Dans l'arborescence de la console, cliquez sur Configuration ordinateur > Paramètres Windows > Paramètres de sécurité, puis développez Stratégies de contrôle de l'application.
  3. Cliquez sur AppLocker, puis dans le volet central, cliquez sur Configurer la mise en application des règles.
  4. Sélectionnez Appliquer les règles. Lorsque vous activez une règle, Appliquer les règles est la valeur par défaut.
  5. Vous pouvez créer Règles de l'exécutable, Règles Windows Installer, Règles de script et Règles d’applications empaquetées. Pour ce faire, cliquez avec le bouton droit sur le dossier, puis cliquez sur Créer une règle.
  6. Cliquez avec le bouton droit sur AppLocker, cliquez sur Exporter la stratégie, puis enregistrez le fichier XML.

Pour arrêter d'appliquer une stratégie Mode kiosque

Après avoir déployé une stratégie Mode kiosque dans XenMobile : pour arrêter d'appliquer cette stratégie Mode kiosque, créez un fichier XML vide. Ensuite, créez une autre stratégie Mode kiosque, chargez le fichier et déployez la stratégie. Les appareils sur lesquels le mode kiosque est activé ne sont pas attribués. Sur les appareils qui reçoivent la stratégie pour la première fois, la stratégie Mode kiosque n'est pas appliquée.

Informations Device Guard dans l'état de l'appareil

XenMobile prend désormais en charge l'affichage des informations Device Guard dans l'état de l'appareil. Lorsque vous modifiez un appareil, vous pouvez maintenant ajouter les propriétés suivantes :

localized image
localized image
  • Indicateurs de configuration LSA : affiche l'état de Credential Guard pour l'autorité système locale. Valeurs possibles :
    • 0 - En cours d'exécution
    • 1 - Redémarrage requis
    • 2 - Pas de licence pour Credential Guard
    • 3 - Non configuré
    • 4 - VBS ne fonctionne pas
  • État des exigences matérielles de VBS : affiche l'état des exigences matérielles de la sécurité basée sur la virtualisation. Valeurs possibles :
    • 0x0 - Le système répond aux exigences de configuration matérielle
    • 0x1 - SecureBoot requis
    • 0x2 - Protection DMA requise
    • 0x4 - HyperV non pris en charge pour VM invité
    • 0x8 - La fonctionnalité HyperV n'est pas disponible
  • État de VBS : affiche l'état de la sécurité basée sur la virtualisation.
    • 0 - En cours d'exécution
    • 1 - Redémarrage requis
    • 2 - Architecture 64 bits requise
    • 3 - Pas de licence
    • 4 - Non configuré
    • 5 - Le système ne répond pas aux exigences matérielles
    • 42 - Autre. Les journaux d'événements dans Microsoft-Windows-DeviceGuard ont plus de détails

Bloquer une connexion VPN à l'aide d'un filtre NAC (Network Access Control)

Par le biais des paramètres de stratégie dans NetScaler, XenMobile prend en charge le contrôle d'accès réseau (NAC) en tant que fonctionnalité de sécurité de point de terminaison pour les appareils iOS. Vous pouvez activer un filtre NAC pour bloquer une connexion VPN pour les appareils sur lesquels des applications non conformes sont installées. Lorsque la connexion VPN est bloquée, l'utilisateur ne peut accéder à aucune application ni aucun site Web via un VPN.

Par exemple, dans la stratégie Accès aux applications, vous pouvez identifier une application donnée comme Interdite ou sur liste noire. Un utilisateur installe cette application. Lorsque l'utilisateur ouvre l'authentification unique Citrix et tente de se connecter au VPN, la connexion est bloquée. L'erreur suivante apparaît : Erreur lors du traitement de la demande. Contactez votre administrateur.

localized image

La configuration nécessite que vous mettiez à jour les stratégies NetScaler pour prendre en charge NAC. Dans la console XenMobile, vous activez les filtres NAC. Vous devez également déployer la stratégie VPN. Pour que cette fonctionnalité fonctionne sur les appareils, les utilisateurs installent le client VPN Citrix SSO à partir de l'Apple Store.

Les filtres NAC pris en charge sont les suivants :

  • Appareils anonymes
  • Applications sur liste noire
  • Appareils inactifs
  • Applications requises manquantes
  • Applications non suggérées
  • Mot de passe non conforme
  • Appareils non conformes
  • État révoqué
  • Appareils Android rootés et iOS jailbreakés
  • Appareils non gérés

Conditions préalables

  • NetScaler 12
    • Mettez à jour les stratégies NetScaler pour prendre en charge NAC, comme décrit dans cette section.
  • XenMobile Server 10.18.2
    • Activez les filtres NAC comme décrit dans cette section.
    • Déployez la stratégie VPN.
  • Client VPN Citrix SSO 1.0.1 installé sur les appareils depuis l'Apple Store

Pour mettre à jour les stratégies NetScaler afin de prendre en charge NAC

Les stratégies d'authentification et de sessions VPN que vous configurez doivent être avancées. Sur votre serveur VPN virtuel, depuis une fenêtre de console, procédez comme suit. Les adresses IP dans les commandes et les exemples sont fictives.

Supprimez et annulez la liaison de toutes les stratégies classiques si vous utilisez des stratégies classiques sur votre serveur virtuel VPN.Pour vérifier, tapez :

show vpn vserver

Vous devez supprimer tout résultat contenant le mot Classic. Par exemple : VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic   Priority: 0

Pour supprimer la stratégie, tapez :

unbind vpn vserver -policy

Créez la stratégie de session avancée correspondante en tapant ce qui suit.

add vpn sessionPolicy

Par exemple, add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_

Liez la stratégie à votre serveur virtuel VPN en tapant ce qui suit.

bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100

Créez un serveur virtuel d'authentification en tapant ce qui suit.

add authentication vserver

Par exemple :

add authentication vserver authvs SSL 0.0.0.0

Dans l'exemple, 0.0.0.0 signifie que le serveur virtuel d'authentification n'est pas public.

Liez un certificat SSL au serveur virtuel en tapant ce qui suit.

bind ssl vserver -certkeyName

Par exemple :

bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

Associez un profil d'authentification au serveur virtuel d'authentification à partir du serveur virtuel VPN.Commencez par créer le profil d'authentification en tapant ce qui suit.

add authentication authnProfile -authnVsName

Par exemple :

add authentication authnProfile xm_nac_prof -authnVsName authvs

Associez le profil d'authentification au serveur virtuel VPN en tapant ce qui suit.

set vpn vserver -authnProfile

Par exemple :

set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof

Vérifiez la connexion de NetScaler à un appareil en tapant ce qui suit.

curl -v -k https://:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_"

par exemple :

curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_7"

Vous devriez voir une commande similaire à l'exemple suivant.

HTTP/1.1 200 OK
< Server: Apache-Coyote/1.1
< X-Citrix-Device-State: Non Compliant
< Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure

Lorsque l'étape précédente réussit, créez l'action d'authentification Web sur XenMobile. Commencez par créer une expression de stratégie pour extraire l'ID d'appareil du plug-in VPN iOS. Tapez ce qui suit.

add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")"

Envoyez la requête à XenMobile en tapant ce qui suit.

add authentication webAuthAction xm_nac -serverIP 10.10.1.1 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: 10.200.60.80:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"

L'état HTTP 200 OK indique une réussite de NAC XenMobile. L'en-tête X-Citrix-Device-State doit avoir la valeur Compliant.

Créez une stratégie d'authentification avec laquelle associer l'action en tapant ce qui suit.

add authentication Policy -rule -action

Par exemple :

add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac

Convertissez la stratégie LDAP existante en une stratégie avancée en tapant ce qui suit.

add authentication Policy -rule -action

Par exemple :

add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

Ajoutez un intitulé de stratégie avec lequel associer la stratégie LDAP en tapant ce qui suit.

add authentication policylabel

Par exemple :

add authentication policylabel ldap_pol_label

Associez la stratégie LDAP à l'intitulé de stratégie en tapant ce qui suit.

bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

Connectez un périphérique compatible pour effectuer un test NAC afin de vérifier si l'authentification LDAP réussit. Tapez ce qui suit.

bind authentication vserver -policy -priority 100 -nextFactor -gotoPriorityExpression END

Ajoutez l'interface utilisateur à associer au serveur virtuel d'authentification. Tapez la commande suivante pour récupérer l'ID d'appareil.

add authentication loginSchemaPolicy -rule -action lschema_single_factor_deviceid

Liez le serveur virtuel d'authentification en tapant ce qui suit.

bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

Créez une stratégie d'authentification avancée LDAP pour activer la connexion Secure Hub. Tapez ce qui suit.

add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAP

bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

Pour activer les filtres NAC dans la console XenMobile

  1. Accédez à Paramètres > Contrôle d'accès réseau.
  2. En regard de Définir comme non conforme, sélectionnez les filtres que vous souhaitez activer pour la détection, puis cliquez sur Enregistrer.

Pour configurer la stratégie VPN pour prendre en charge NAC

Dans les paramètres de stratégie VPN pour iOS :

  1. Le type de connexion SSL personnalisé est requis pour la configuration du filtre NAC.
  2. Spécifiez VPN comme nom de connexion.
  3. Pour Identifiant SSL personnalisé, tapez com.citrix.NetScalerGateway.ios.app
  4. Pour Identificateur de bundle de fournisseur, tapez com.citrix.NetScalerGateway.ios.app.vpnplugin

Les valeurs des étapes 3 et 4 proviennent de l'installation de Citrix SSO 1.0.1 requise pour le filtrage NAC. Notez que vous ne configurez pas de mot de passe d'authentification.

La figure suivante montre les paramètres VPN requis.

localized image

Problèmes résolus dans cette version

Les utilisateurs disposant d'un compte administrateur sur XenMobile et provisionnés pour XenMobile Service (cloud) ensuite ne peuvent pas inscrire d'appareil. [CXM-26447]

Sur la page Gérer> Appareils : le tri par version de système d'exploitation n'aboutit pas à une liste correctement ordonnée. [CXM-45540]

Problèmes connus dans cette version

Après suppression d'un appareil Chromebook ou de hub d'espace de travail à l'aide de l'action XenMobile : les appareils continuent à s'afficher dans la console XenMobile jusqu'à l'actualisation de la console. [CXM-46418]

XenMobile Service 10.18.1

Prise en charge des appareils Chromebook

Important

La prise en charge de Chromebook est actuellement disponible uniquement pour nos clients basés aux États-Unis. Tous les autres clients bénéficieront d'une prise en charge complète dans notre prochaine version.

XenMobile prend en charge les appareils Chromebook à partir de XenMobile Service 10.18.1. Les appareils Chromebook sont inscrits en mode MDM uniquement.

Configuration système requise :

  • Chrome OS 46 et versions ultérieures

Configuration d'inscription à G Suite pour Chromebook

Avant d'inscrire des appareils Chromebook, configurez l'inscription à G Suite pour Chromebook. La configuration force l'installation de l'extension Secure Hub sur l'appareil Chromebook et permet d'éviter que l'extension soit désactivée ou supprimée.

Accédez à https://admin.google.com et connectez-vous à votre compte G Suite.

Dans la console de l'administrateur Google, cliquez sur Gestion des appareils.

localized image

Cliquez sur Gestion de Chrome.

localized image

Sur la page de gestion des appareils Chrome, cliquez sur Paramètres utilisateur.

localized image

Sur la page Paramètres utilisateur, recherchez les Certificats clients. Ajoutez ce modèle :
{"pattern": "https://[*.]xm.cloud.com", "filter": {}}
L'ajout de ce modèle aux certificats clients garantit que les certificats d'appareils transmis à l'appareil depuis XenMobile sont sélectionnés automatiquement sans que l'utilisateur soit invité à les sélectionner.

localized image

Cliquez sur Enregistrer.

Recherchez les Applications et extensions installées d'office, puis cliquez sur Gérer les applications installées d'office.

localized image

Cliquez sur Spécifier une application personnalisée.

localized image

Cliquez sur le champ ID, tapez "cnkimbgkdakemjcipljhmoplehfcjban".

Cliquez sur le champ URL, tapez "https://chrome.google.com/webstore/detail/cnkimbgkdakemjcipljhmoplehfcjban".

Cliquez sur Ajouter.

Cliquez sur Enregistrer dans la boîte de dialogue Applications et extensions installées d'office.

Cliquez sur Enregistrer dans la page Paramètres utilisateur.

Inscrire des appareils Chromebook

Les utilisateurs inscrivent des appareils Chromebook en utilisant une extension Secure Hub dans Chrome. XenMobile prend en charge la détection automatique des appareils Chromebook.

XenMobile ne prend pas en charge l'ajout manuel ou l'inscription en nombre d'appareils Chromebook. XenMobile ne prend pas en charge l'envoi d'invitations d'inscription pour les appareils Chromebook.

Avant qu'un utilisateur inscrive un appareil Chromebook dans XenMobile, il doit inscrire l'appareil dans le domaine G Suite de son entreprise. Pour plus d'informations sur l'inscription des appareils Chrome, consultez l'article Google Enregistrer des appareils Chrome.

Un code PIN Citrix doit être créé lorsqu'un appareil Chromebook est inscrit dans XenMobile. Ce code ne peut pas être réinitialisé. Si un utilisateur oublie ce code, l'appareil Chromebook doit être désinscrit et réinscrit.

Connectez-vous à votre appareil Chromebook à l'aide de vos informations d'identification G Suite.

Cliquez sur l'extension Secure Hub dans Chrome. L'extension Secure Hub qui apparaît à côté de la barre d'adresse de votre navigateur est grisée :

localized image

La fenêtre d'inscription Secure Hub s'affiche. Cliquez sur Inscrire.

localized image

Entrez vos informations d'identification d'entreprise, telles que le nom de votre instance de XenMobile Server, le nom d'utilisateur principal (UPN), ou votre adresse e-mail. Cliquez ensuite sur Suivant.

localized image

Si vous y êtes invité, entrez votre nom d'utilisateur d'entreprise. Entrez votre mot de passe d'entreprise. Cliquez ensuite sur Connexion.

localized image

Créez un code PIN Citrix. Ce code PIN doit comporter six caractères. Il ne peut contenir que des lettres et des chiffres. Entrez deux fois votre code PIN Citrix. Cliquez sur Terminer.

localized image

Une fois l'inscription terminée, l'icône de l'extension Secure Hub n'est plus grisée.

Se connecter à un appareil Chromebook inscrit

Pour vous connecter à un appareil Chromebook inscrit dans XenMobile :

1. Connectez-vous à l'aide de vos informations d'identification G Suite.

2. Lorsque vous y êtes invité, entrez votre code Citrix. Ce code a été créé lorsque l'appareil a été inscrit dans XenMobile.

Si vous ne saisissez pas votre code confidentiel Citrix, vous êtes invité à taper votre code Citrix toutes les minutes jusqu'à ce que vous le tapiez. Au bout de cinq minutes, l'accès à tous les sites Web est bloqué, à l'exception de google.com, citrix.com, gotomeeting.com, cloud.com. Si vous tentez d'accéder à un autre site Web, un message d'erreur s'affiche et vous êtes invité à vous connecter à l'aide de votre code PIN Citrix.

Désinscrire et réinscrire un appareil Chromebook

Pour désinscrire un appareil Chromebook de XenMobile, les utilisateurs doivent supprimer leur compte.

  1. Dans le navigateur Chrome, cliquez sur l'icône de l'extension Secure Hub.
  2. Dans la fenêtre d'inscription de Secure Hub, cliquez sur Supprimer.
  3. Cliquez sur Oui, supprimer pour confirmer la suppression.
  4. La fenêtre d'inscription Secure Hub se ferme et l'icône de l'extension Secure Hub est grisée.

Pour réinscrire un appareil :

  1. Déconnectez-vous, puis reconnectez-vous à votre appareil Chromebook à l'aide de vos informations d'identification G Suite.
  2. Cliquez sur Inscrire et suivez les instructions pour réinscrire un appareil.

Stratégies d'appareil pour les appareils Chromebook

Ces stratégies de restriction d'appareil sont disponibles pour les appareils Chromebook.

localized image
  • Désactiver le remplissage automatique : indiquez si vous souhaitez autoriser la fonction de remplissage automatique du navigateur Chrome. Si cette stratégie est définie sur Activé, la fonction de remplissage automatique n'est pas autorisée. La valeur par défaut est Activé.
  • Désactiver l'enregistrement du mot de passe : indiquez si vous souhaitez autoriser la fonction d'enregistrement du mot de passe dans le navigateur Chrome. Si cette stratégie est définie sur Activé, la fonction d'enregistrement du mot de passe n'est pas autorisée. La valeur par défaut est Activé.
  • Désactiver la traduction de page : indiquez si vous souhaitez autoriser la traduction de pages Web dans d'autres langues dans le navigateur Chrome. Si cette stratégie est définie sur Activé, la fonction de traduction de pages Web n'est pas autorisée. La valeur par défaut est Activé.
  • Bloquer les images : indiquez si vous souhaitez autoriser l'affichage des images dans les pages Web du navigateur Chrome. Si cette stratégie est définie sur Activé, les images des pages Web du navigateur Chrome ne sont pas affichées. La valeur par défaut est Désactivé.
  • Sites Web : indiquez si vous souhaitez contrôler l'accès aux sites Web dans le navigateur Chrome à l'aide d'une liste blanche ou d'une liste noire. La valeur par défaut est Liste noire.

Stratégie Windows Hello Entreprise

Windows Hello Entreprise permet aux utilisateurs de se connecter aux appareils Windows à l'aide de leur compte Active Directory ou Azure Active Directory. La stratégie d'appareil Windows Hello Entreprise permet d'activer la fonctionnalité afin que les utilisateurs puissent provisionner Windows Hello Entreprise sur leur appareil. La stratégie permet également de configurer des limitations de code d'accès et d'autres fonctionnalités de sécurité.

Pour ajouter la stratégie Windows Hello Entreprise, accédez à Configurer > Stratégies d'appareil. Pour configurer ces paramètres :

localized image
  • Utiliser Windows Hello Entreprise : cette option permet d'activer la fonctionnalité afin que les utilisateurs puissent provisionner Windows Hello Business sur leur appareil.
  • Exiger dispositif de sécurité : lorsque cette option est activée, les utilisateurs doivent disposer d'un module de plateforme sécurisée (TPM) pour se connecter.
  • Longueur minimale / maximale du code PIN : longueur minimale et maximale des codes PIN des utilisateurs. La valeur par défaut de l'option Longueur minimale du code PIN est 4. La valeur par défaut de l'option Longueur maximale du code PIN est 127.
  • Majuscules, Minuscules, Caractères spéciaux : sélectionnez les options Autoriser, Exiger ou Ne pas autoriser pour chaque type de caractère. L'option par défaut est Ne pas autoriser.
  • Chiffres : sélectionnez les options Autoriser, Exiger ou Ne pas autoriser pour les chiffres. L'option par défaut est Exiger.
  • Historique : nombre de codes PIN utilisés précédemment que les utilisateurs ne peuvent pas réutiliser. La valeur par défaut est 0, ce qui signifie que les utilisateurs peuvent réutiliser tous les codes PIN utilisés précédemment.
  • Expiration : nombre de jours avant qu'un utilisateur doive changer son code PIN. La valeur par défaut est 0, ce qui signifie que les codes PIN n'expirent pas.
  • Utiliser biométrie : cette option permet d'utiliser la biométrie à la place des codes PIN pour la connexion de l'utilisateur.

Déploiement des applications Office 365 sur des appareils Windows 10

XenMobile permet désormais le déploiement de produits Microsoft Office 365 à l'aide du fournisseur de services de configuration Office (CSP). En configurant la nouvelle stratégie d'appareil Office, vous pouvez déployer des applications Microsoft Office sur n'importe quel ordinateur ou tablette Windows 10 exécutant la mise à jour 1709 ou ultérieure.

Pour ajouter la stratégie Office, accédez à Configurer > Stratégies d'appareil. Pour configurer ces paramètres :

localized image
  • ID produit : sélectionnez un ID de produit en fonction de votre plan Office 365. Les options sont O365ProPlusRetail, O365BusinessRetail ou O365SmallBusPremRetail.
  • Applications Office 365 : sélectionnez les applications Office 365 que vous souhaitez déployer. Toutes les applications sont sélectionnées par défaut.
  • Applications Office supplémentaires : si vous possédez des licences pour Project Online Desktop Client ou Visio Pro pour Office 365, vous pouvez sélectionner ces applications pour les installer.
  • Version Office : indiquez si vous souhaitez installer la version 32 bits ou 64 bits d'Office.
  • Canal de mise à jour : choisissez la fréquence à laquelle vous souhaitez que les mises à jour se produisent. Les options sont Mensuel, Mensuel (ciblé), Semi-annuel ou Semi-annuel (ciblé).
  • Propriétés :
    • Accepter automatiquement le contrat de licence de l'utilisateur final de l'application : Activé ou Désactivé. La valeur par défaut est Activé.
    • Activation de l'ordinateur utilisateur partagé : sélectionnez si l'ordinateur est partagé ou non. Les options sont Activé ou Désactivé. La valeur par défaut est Désactivé.
  • Langues Office : Office s'installe automatiquement dans toutes les langues que Windows a déjà installées. Vous pouvez sélectionner des langues supplémentaires à installer.

Restriction des appareils Windows 10 en mode kiosque

Vous pouvez désormais utiliser la stratégie Kiosque pour restreindre les appareils Windows 10 au mode kiosque, ce qui ne permet l'exécution que d'une seule application.

Pour ajouter la stratégie Kiosque, accédez à Configurer > Stratégies d'appareil. Pour configurer ces paramètres :

localized image
  • Mode kiosque : activez ou désactivez la fonction.
  • ID de modèle utilisateur de l’application (AUMID) : ID de l'application que vous souhaitez autoriser en mode kiosque. Pour obtenir une liste des AUMID pour toutes les applications Microsoft Store installées pour l'utilisateur actuel de l'appareil, exécutez la commande PowerShell suivante.

$installedapps = get-AppxPackage

$aumidList = @()
foreach ($app in $installedapps)
{
    foreach ($id in (Get-AppxPackageManifest $app).package.applications.application.id)
    {
        $aumidList += $app.packagefamilyname + "!"+ $id
    }
}

$aumidList

Si 'appareil n'est pas joint au domaine via Azure Active Directory ou un domaine d'entreprise, préconfigurez l'utilisateur de l'inscription en tant qu'utilisateur local du système. Avec cette configuration, seule la stratégie Kiosque est installée sur l'appareil. Par exemple :

Inscrire l'utilisateur

Utilisateur du système

Utilisateur AD :
UPN: testuser@domain.com
SAM: domain\testuser

testuser

Utilisateur local :
kiosk

kiosk

Utiliser des iPad partagés avec les fonctionnalités Apple Éducation

L'intégration de XenMobile avec Apple Éducation prend en charge les iPad partagés. Plusieurs élèves d'une salle de classe peuvent partager un iPad pour différentes matières enseignées par un ou plusieurs instructeurs.

Vous ou les instructeurs inscrivez les iPad partagés, puis déployez des stratégies, des applications et des médias sur ces appareils. Ensuite, les étudiants fournissent leurs informations d'identification Apple gérées pour se connecter à un iPad partagé. Si vous avez déjà déployé une stratégie Configuration de l'éducation pour les étudiants, ils ne se connectent plus en tant que « Autre utilisateur » pour partager les appareils.

XenMobile utilise deux canaux de communication pour les iPad partagés : le canal système pour le propriétaire de l'appareil (instructeur) et le canal utilisateur pour l'utilisateur résident actuel (étudiant). XenMobile utilise ces canaux pour envoyer les commandes MDM appropriées aux ressources prises en charge par Apple.

Les ressources déployées sur le canal système sont les suivantes :

  • Stratégies de périphérique, telles que Configuration de l'éducation, Message de verrouillage de l'écran, Utilisateurs résidents maximum et Période de grâce du verrouillage de code d'accès
  • Applications VPP basées sur l'appareil

Apple ne prend pas en charge les applications d'entreprise ou les applications VPP basées sur les utilisateurs sur les iPad partagés. Les applications installées sur un iPad partagé sont liées à l'appareil et non à l'utilisateur.

  • iBooks VPP basés sur l'utilisateur

Apple prend en charge l'attribution d'iBooks VPP basés sur l'utilisateur sur les iPad partagés.

Les ressources déployées sur le canal utilisateur sont les suivantes :

  • Stratégies d'appareil : Notifications d'applications, Disposition de l'écran d'accueil et Restrictions

XenMobile ne prend actuellement en charge que ces stratégies d'appareil sur le canal utilisateur.

Conditions requises pour les iPad partagés

Configuration requise pour l'appareil :

  • iPad Pro, iPad 5ème génération, iPad Air 2 ou ultérieur et iPad mini 4 ou ultérieur
  • Au moins 32 Go de stockage
  • Supervisé

Autres éléments requis :

  • En cas de première intégration d'Apple School Manager avec XenMobile, assurez-vous de lire Intégration avec les fonctionnalités Apple Éducation. Suivez ces instructions pour configurer votre intégration pour tous les iPad que vous utilisez dans un modèle appareil individuel (un iPad par élève) ou pour les iPad d'instructeur (non partagé). Ensuite, revenez à cette section pour configurer les iPad partagés.

Workflow général

En général, vous fournissez des iPad préconfigurés et supervisés partagés aux enseignants. Les instructeurs distribuent ensuite les appareils aux étudiants. Si vous ne distribuez pas d'iPad partagés pré-inscrits aux instructeurs : assurez-vous de fournir aux instructeurs leurs mots de passe XenMobile Server afin qu'ils puissent inscrire leurs appareils.

Le workflow général pour la configuration et l'inscription des iPad partagés est le suivant.

  1. Utilisez la console XenMobile Server pour ajouter des comptes ASM DEP (Paramètres > Programme d'inscription des appareils Apple (DEP)) avec le mode partagé activé. Pour plus d'informations, voir « Gérer les comptes ASM DEP pour les iPad partagés » ci-après.
  2. Comme décrit dans cette section, ajoutez les stratégies d'appareil, applications et médias requis à XenMobile. Attribuez ces ressources à des groupes de mise à disposition. Pour plus d’informations, consultez la section Intégration avec les fonctionnalités Apple Éducation.
  3. Demandez aux instructeurs d'effectuer une réinitialisation matérielle sur les iPad partagés. L'écran de gestion à distance pour l'inscription DEP apparaît.
  4. Les instructeurs inscrivent les iPad partagés.
    XenMobile déploie les ressources configurées sur chaque iPad partagé inscrit. Après un redémarrage automatique, les instructeurs peuvent partager les appareils avec les élèves. Une page de connexion apparaît sur l'iPad.
  5. Un étudiant choisit sa classe, puis saisit son ID Apple géré et son mot de passe Apple School Manager (ASM) temporaire.
    L'iPad partagé s'authentifie auprès d'ASM et invite l'étudiant à créer un mot de passe ASM. Pour sa prochaine connexion à l'iPad partagé, l'étudiant fournit le nouveau mot de passe ASM.
  6. Un autre étudiant qui partage l'iPad peut alors se connecter en répétant l'étape précédente.

Gérer les comptes ASM DEP pour les iPad partagés

Si vous utilisez déjà XenMobile avec Apple Éducation : un compte ASM DEP existant est configuré dans XenMobile pour les appareils qui ne sont pas partagés, tels que les appareils utilisés par les instructeurs. Vous pouvez utiliser le même ASM et le même XenMobile Server pour les appareils partagés et non partagés.

XenMobile prend en charge ces scénarios de déploiement :

  • Un groupe d'iPad partagés par classe

Dans ce scénario, vous attribuez les iPad partagés à une classe d'étudiants. Les iPad restent dans la salle de classe. Les instructeurs qui enseignent différentes matières dans cette classe utilisent les mêmes iPad.

  • Un groupe d'iPad partagés par instructeur

Dans ce scénario, vous attribuez les iPad partagés à un instructeur, qui utilise ces iPad pour les différentes classes auxquelles il enseigne.

Organiser les iPad partagés en groupes d'appareils

ASM vous permet d'organiser les appareils en groupes en créant plusieurs serveurs MDM. Lorsque vous attribuez les iPad partagés à un serveur MDM, créez un groupe d'appareils pour chaque groupe d'iPad partagés, par classe ou par instructeur :

  • Groupe 1 d'iPad partagés > Serveur MDM du groupe d'appareils 1
  • Groupe 2 d'iPad partagés > Serveur MDM du groupe d'appareils 2
  • Groupe N d'iPad partagés > Serveur MDM du groupe d'appareils N

Ajouter des comptes ASM DEP pour chaque groupe d'appareils

Lorsque vous créez plusieurs comptes ASM DEP à partir de la console XenMobile Server, vous importez automatiquement des groupes d'iPad partagés (un pour chaque classe ou chaque instructeur) :

  • Serveur MDM du groupe d'appareils 1 > Compte DEP du groupe d'appareils 1
  • Serveur MDM du groupe d'appareils 2 > Compte DEP du groupe d'appareils 2
  • Serveur MDM du groupe d'appareils N > Compte DEP du groupe d'appareils N

Les exigences spécifiques aux iPad partagés sont les suivantes :

  • Un compte ASM DEP pour chaque groupe d'appareils avec ces paramètres activés :
    • Exiger l'inscription des appareils
    • Mode supervisé
    • Mode partagé
  • Assurez-vous d'utiliser le même suffixe d'éducation pour tous les comptes ASM DEP d'un établissement d'enseignement donné.

Pour ajouter un compte DEP, accédez à Paramètres > Programme d'inscription des appareils (DEP) Apple.

localized image

Pour plus d’informations sur l'ajout d'un compte ASM DEP à XenMobile, consultez la section Intégration avec les fonctionnalités Apple Éducation.

Stratégies d'appareil pour les iPad partagés

Les stratégies d'appareil suivantes sont spécifiques aux iPad partagés :

  • Nombre maximal d'utilisateurs résidents : nombre maximal d'utilisateurs pour un iPad partagé. Si le nombre d'utilisateurs spécifié dans cette stratégie est supérieur au nombre maximal d'utilisateurs pris en charge par l'appareil : XenMobile utilise à la place le nombre maximal d'utilisateurs. La valeur par défaut est 5 utilisateurs. Disponible sur iOS 9.3 et versions ultérieures.

Cette stratégie doit être déployée lorsque l'iPad est en phase « en attente de configuration » dans l'Assistant d'installation. Apple n'autorise pas le déploiement de cette stratégie après l'inscription des iPad partagés.

localized image

Apple vous recommande de conserver le nombre maximal d'utilisateurs résidents aussi bas que possible. Une valeur faible maximise la quantité de stockage de l'iPad pour chaque utilisateur. De plus, une valeur faible minimise la communication avec iCloud et offre une expérience de connexion plus rapide. Pour plus d'informations sur la façon dont Apple gère le stockage partagé sur un iPad, consultez la page https://help.apple.com/deployment/ios/#/cad7e2e0cf56.

  • Période de grâce de verrouillage par code secret : nombre de minutes pendant lesquelles un écran d'iPad partagé reste verrouillé avant que l'utilisateur ne doive entrer un code d'accès pour déverrouiller l'écran. Le réglage de ce paramètre sur une valeur moins restrictive ne prend pas effet jusqu'à ce qu'un utilisateur se déconnecte. La valeur par défaut est Immédiatement. Disponible sur iOS 9.3.2 et versions ultérieures

Par défaut, l'iPad partagé se verrouille automatiquement après deux minutes d'inactivité.

localized image

XenMobile prend actuellement en charge les stratégies d'appareil sur le canal utilisateur :

  • Disposition de l'écran d'accueil : pour définir la disposition des applications, des dossiers et des clips Web pour l'écran d'accueil.
  • Notifications d'applications : pour spécifier les paramètres de notification appliqués par restrictions pour les applications.
  • Restrictions : pour autoriser ou interdire certaines restrictions pédagogiques ou restreindre l'utilisation d'applications. Par exemple : certaines applications sur liste noire et sur liste blanche.
  • Suppression de profils

Vous spécifiez le canal de déploiement lorsque vous configurez ces stratégies.

localized image

Pour supprimer les stratégies d'appareil que vous avez déployées sur le canal utilisateur, réglez l'étendue de déploiement sur Utilisateur pour la stratégie Suppression de profil.

Pour plus d'informations sur les autres stratégies d'appareil, voir « Étape 7 : Planifier et ajouter des ressources et des groupes de mise à disposition à XenMobile Server » dans Intégration avec les fonctionnalités Apple Éducation.

Applications pour iPad partagés

Les iPad partagés prennent en charge l'attribution d'applications VPP basées sur les appareils. Avant de déployer une application sur un iPad partagé, XenMobile Server envoie une demande au serveur Apple VPP pour attribuer des licences VPP aux appareils. Pour vérifier les attributions VPP, accédez à Configurer > Applications > iPad et développez Programme d'achat en volume.

Pour obtenir des recommandations sur le choix, le déploiement et la mise à jour des applications sur des iPad partagés, voir Utiliser iPad partagé dans la documentation Apple.

Médias pour iPad partagés

Les iPad partagés prennent en charge l'attribution d'iBook VPP basés sur l'utilisaeur. Avant de déployer un iBook sur un iPad partagé, XenMobile Server envoie une demande au serveur Apple VPP pour attribuer des licences VPP aux étudiants. Pour vérifier les affectations VPP, accédez à Configurer > Média > iPad et développez Programme d'achat en volume.

localized image

Règles de déploiement pour iPad partagés

Avec le déploiement d'iPad partagés, les règles au niveau du groupe de mise à disposition ne s'appliquent pas car elles se rapportent aux propriétés de l'utilisateur. Pour filtrer les stratégies, les applications et les médias pour chaque groupe d'appareils : ajoutez une règle de déploiement pour les ressources en fonction du nom du compte DEP. Par exemple :

  • Pour le compte DEP du groupe d'appareils 1, définissez cette règle de déploiement :

Nom du compte DEP
uniquement
Compte DEP du groupe d'appareils 1

  • Pour le compte DEP du groupe d'appareils 2, définissez cette règle de déploiement :

Nom du compte DEP
uniquement
Compte DEP du groupe d'appareils 2

  • Pour le compte DEP du groupe d'appareils N, définissez cette règle de déploiement :

Nom du compte DEP
uniquement
Compte DEP du groupe d'appareils N

localized image

Pour déployer l'application En classe d'Apple uniquement pour les instructeurs (à l'aide d'iPad non partagés), filtrez les ressources par état partagé DEP ASM avec ces règles de déploiement :

Déployer cette ressource relative au mode partagé DEP ASM
uniquement
non partagé

Ou :

Déployer cette ressource relative au mode partagé DEP ASM

localized image

Groupes de mise à disposition pour iPad partagés

Pour le groupe d'appareils pour chaque instructeur :

  • Configurez un groupe de mise à disposition. Pour l'instructeur, attribuez toutes les classes définies par la stratégie Configuration de l'éducation.
localized image
  • Ce groupe de mise à disposition doit inclure ces ressources MDM :
    • Stratégies d'appareil :
      • Configuration de l’éducation
      • Message sur l'écran de verrouillage
      • Notifications d'applications
      • Disposition de l'écran d'accueil
      • Restrictions
      • Nombre maximal d'utilisateurs résidents
      • Période de grâce de verrouillage par code secret
    • Applications VPP requises
    • iBook VPP requis
localized image

Actions de sécurisation pour iPad partagés

Outre les actions de sécurisation existantes, vous pouvez utiliser ces nouvelles actions de sécurisation pour les iPad partagés (disponibles dans iOS 9.3 et versions ultérieures) :

  • Obtenir utilisateurs résidents : répertorie les utilisateurs qui ont des comptes actifs sur l'appareil actuel. Cette action force une synchronisation entre l'appareil et la console XenMobile.
  • Déconnecter utilisateur résident : force une déconnexion de l'utilisateur actuel.
  • Supprimer utilisateur résident : supprime la session en cours pour un utilisateur spécifique. L'utilisateur peut se reconnecter.
localized image

Après avoir cliqué sur Supprimer utilisateur résident, vous pouvez spécifier le nom d'utilisateur.

localized image

Les résultats des actions de sécurisation apparaissent sur les pages Gérer > Appareils > Général et Gérer > Appareils > Groupes de mise à disposition.

Obtenir des informations sur les iPad partagés

Vous trouverez des informations spécifiques aux iPad partagés sur la page Gérer > Appareils :

  • Vous pouvez vérifier :
    • Si un appareil est partagé (DEP ASM partagé)
    • Qui est connecté à l'appareil partagé (utilisateur connecté ASM)
    • Tous les utilisateurs attribués à l'appareil partagé (utilisateurs résidents ASM)
localized image
  • Vous pouvez filtrer la liste des appareils par État de l'appareil DEP ASM :
localized image
  • Vous pouvez afficher les détails sur l'utilisateur connecté à un iPad partagé, depuis la page Gérer > Appareils > Propriétés de l'utilisateur connecté.
localized image
localized image
  • Vous pouvez voir le canal utilisé pour déployer les ressources pour les instructeurs et les utilisateurs d'un groupe de mise à disposition sur la page Gérer > Appareils > Groupes de mise à disposition. La colonne Canal/utilisateur affiche le type (Système ou Utilisateur) et le destinataire (instructeur ou étudiant).
localized image
  • Vous pouvez obtenir des informations sur les utilisateurs résidents :
    • Dispose de données à synchroniser : si l'utilisateur a des données à synchroniser avec le cloud.
    • Quota de données : quota de données défini pour l'utilisateur en octets. Un quota peut ne pas apparaître si les quotas utilisateur sont temporairement désactivés ou ne sont pas appliqués pour l'utilisateur.
    • Données utilisées : quantité de données utilisée par l'utilisateur en octets. Une valeur peut ne pas apparaître si une erreur se produit lorsque le système rassemble les informations.
    • Est connecté : indique si l'utilisateur est connecté à l'appareil.
localized image
  • Vous pouvez voir l'état de push pour les deux canaux.
localized image

Possibilité de définir la façon dont les notifications d'applications apparaissent sur les appareils iOS

La nouvelle stratégie Notifications d’applications vous permet de contrôler la manière dont les utilisateurs iOS recevront les notifications depuis certaines applications. Cette stratégie est prise en charge sur les appareils exécutant iOS 9.3 ou version ultérieure. Pour ajouter la stratégie, accédez à Configurer > Stratégies d'appareil.

localized image

Configurez les paramètres de notification :

  • Bundle ID d'application : spécifiez les applications auxquelles vous souhaitez appliquer cette stratégie.
  • Autoriser les notifications : sélectionnez ON pour autoriser les notifications.
  • Afficher dans le Centre de notifications : sélectionnez ON pour afficher les notifications dans le Centre de notifications des appareils utilisateur.
  • Pastille sur l'icône d'app : sélectionnez ON pour afficher une pastille sur l'icône d’application avec les notifications.
  • Sons : sélectionnez ON pour inclure des sons avec les notifications.
  • Afficher sur l’écran verrouillé : sélectionnez ON pour afficher les notifications sur l’écran verrouillé des appareils utilisateur.
  • Style d'alerte si déverrouillé : dans la liste, sélectionnez Aucun, Bannières ou Alertes pour configurer l’affichage des alertes déverrouillées.

Désinscription d'une entreprise Android for Work

XenMobile vous permet désormais de désinscrire une entreprise Android for Work à l'aide de la console XenMobile Server et des outils XenMobile Tools.

Lorsque vous effectuez cette tâche, XenMobile Server ouvre une fenêtre contextuelle XenMobile Tools. Avant de commencer, assurez-vous que XenMobile Server est autorisé à ouvrir des fenêtres contextuelles dans le navigateur que vous utilisez. Certains navigateurs, tels que Google Chrome, vous obligent à désactiver le blocage des fenêtres contextuelles et à ajouter l'adresse du site XenMobile à la liste blanche des fenêtres contextuelles bloquées.

Avertissement

Une fois l'entreprise désinscrite, les applications Android for Work sur les appareils déjà inscrits sont réinitialisées à leurs états par défaut. Google ne gère plus les appareils. Les réinscrire dans une entreprise Android for Work peut nécessiter une configuration supplémentaire pour restaurer les fonctionnalités précédentes.

Une fois l'entreprise Android for Work désinscrite :

  • Les applications Android for Work des appareils et des utilisateurs inscrits dans l'entreprise sont réinitialisées à leur état par défaut. Les autorisations d'applications Android for Work et les restrictions d'applications Android for Work appliquées précédemment ne s'appliquent plus aux opérations.
  • XenMobile gère les appareils inscrits dans l'entreprise. Google ne gère pas ces appareils. Vous ne pouvez pas ajouter d'applications Android for Work. Vous ne pouvez pas appliquer les autorisations d'applications Android for Work ou les stratégies de restrictions d'applications Android for Work. Vous pouvez toujours appliquer d'autres stratégies, telles que Planification, Mot de passe et Restrictions, à ces appareils.
  • Si vous tentez d'inscrire des appareils dans Android for Work, ils s'inscrivent comme appareils Android et non comme appareils Android for Work.

Pour désinscrire une entreprise Android for Work :

Dans la console XenMobile, cliquez sur l'icône d'engrenage dans le coin supérieur droit. La page Paramètres s'affiche.

Sur la page Paramètres, cliquez sur Android for Work.

Cliquez sur Supprimer l'entreprise.

localized image

Spécifiez un mot de passe. Vous aurez besoin du mot de passe à l'étape suivante pour terminer la désinscription. Cliquez ensuite sur Désinscrire.

localized image

Lorsque la page XenMobile Tools s'ouvre, entrez le mot de passe que vous avez créé à l'étape précédente.

localized image

Cliquez sur Désinscrire.

localized image

Recherche optimisée des propriétés d'appareil

Auparavant, une recherche d'appareil à partir de la page Gérer > Appareils incluait toutes les propriétés de l'appareil par défaut, ce qui pouvait ralentir la recherche. La portée de recherche par défaut inclut désormais uniquement les propriétés d'appareil suivantes :

  • Numéro de série
  • IMEI
  • Adresse MAC Wi-Fi
  • Adresse MAC Bluetooth
  • ID Active Sync
  • Nom d'utilisateur

Vous pouvez configurer la portée de recherche via une nouvelle propriété de serveur, include.device.properties.during.search, qui est définie par défaut sur false. Pour inclure toutes les propriétés d'appareil dans une recherche d'appareil, accédez à Paramètres > Propriétés du serveur et définissez le paramètre sur true.

Problèmes résolus dans cette version

Dans Configurer > Stratégies d’appareil > Stratégie de mode kiosque : une fois que vous avez entré le nom de la stratégie et que vous avez accédé à la page iOS, les bundle ID ne s’affichent pas dans le menu Bundle ID d’application. Lorsque vous basculez entre Android et iOS, les bundle ID d’application apparaissent. [CXM-39302]

Lorsque vous chargez une application d'entreprise .ipa vers XenMobile Server, le chargement échoue parfois. Le message d'erreur suivant s'affiche : L'application mobile chargée n'est pas valide. Icône d'application introuvable. [De xms_10.4.0.10018.bin][#662026][CXM-43032]

Dans un environnement configuré pour Android for Work : après avoir inscrit un appareil et ajouté une application, l'application n'apparaît pas dans Google Play sur l'appareil. Si vous désinscrivez puis réenregistrez l'entreprise, puis ajoutez des applications, il est possible que Google Play n'affiche aucune application. [CXM-43424]

L'inscription échoue et ce message de journal s'affiche : com.zenprise.zdm.enroll.EnrollmentException: com.hazelcast.core.OperationTimeoutException: QueryPartitionOperation invocation failed to complete due to operation-heartbeat-timeout. [CXM-43779]

Le chargement d'un package d'application (APK, IPA, MDX) à partir d'Internet Explorer échoue et le compteur continue jusqu'à ce que vous l'interrompiez. [CXM-43797]

Sur les appareils Android avec stratégies d'appareil Tunnel et Clip Web : Secure Hub se bloque lorsque vous ouvrez un clip Web, puis revenez en arrière plusieurs fois. [CXM-43812]

Après le déploiement de la stratégie Contrôler mises à jour d'OS sur les appareils iOS : les ID ActiveSync dans XenMobile ne correspondent pas aux ID ActiveSync de l'appareil. Par conséquent, les utilisateurs ne peuvent pas accéder aux e-mails. [CXM-43958]

L'utilisation de la console XenMobile pour rechercher un utilisateur ou un appareil est lente. [CXM-44120]

Problèmes connus dans cette version

Si le serveur SQL est déployé dans un domaine enfant ou si une connexion à la base de données du domaine enfant est utilisée : JDBC (Microsoft Java Database Connectivity) avec l'authentification Windows échoue. [CXM-42969]

XenMobile Service 10.7.6

Stratégie Device Guard pour les appareils Windows 10

Device Guard est une fonctionnalité de sécurité Windows 10 qui offre une sécurité basée sur la virtualisation à l'aide de l'hyperviseur Windows pour prendre en charge les services de sécurité sur l'appareil. En utilisant une nouvelle stratégie d'appareil Device Guard, vous pouvez activer des fonctionnalités de sécurité telles que le démarrage sécurisé, le verrouillage UEFI et la virtualisation.

Configuration requise :

  • Bureaux et tablettes Windows 10 avec une licence Entreprise ou Éducation sur la version 1709 (RS3)
  • Device Guard activé dans Windows

Pour plus d'informations sur Device Guard, consultez la page https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard-manage.

Pour ajouter la stratégie Device Guard, accédez à Configurer > Stratégies d'appareil. Pour configurer ces paramètres :

localized image
  • Activer la sécurité basée sur la virtualisation : sélectionnez Désactiver ou Activer pour régler les fonctionnalités de sécurité basées sur la virtualisation. La sécurité basée sur la virtualisation utilise l'hyperviseur Windows pour prendre en charge les services de sécurité.
  • Indicateurs de configuration LSA : cette option vous permet de configurer Credential Guard. Ce paramètre permet aux utilisateurs d'activer Credential Guard avec une sécurité basée sur la virtualisation pour protéger les informations d'identification au prochain redémarrage. Les options sont Désactivé, Activer Credential Guard avec le verrouillage UEFI et Activer Credential Guard sans le verrouillage UEFI. La valeur par défaut est Désactivé.
  • Exiger fonctionnalités de sécurité de la plate-forme : cette option permet de spécifier le niveau de sécurité de la plate-forme au prochain redémarrage. Les options sont Désactivé, Activer VBS avec Démarrage sécurisé et Activer VBS avec Démarrage sécurisé et accès direct à la mémoire (DMA. La valeur par défaut est Désactivé.

XenMobile interroge un appareil pour déterminer si les paramètres de sécurité basés sur la virtualisation correspondent aux paramètres du serveur. Si les paramètres de sécurité correspondent, XenMobile ne déploie pas cette stratégie sur l'appareil. Si les paramètres de sécurité ne correspondent pas, XenMobile déploie la stratégie.

Configuration du pare-feu sur les appareils Windows 10

Vous pouvez maintenant configurer des pare-feux sur les appareils Windows 10 bureaux et tablettes exécutant Windows 10 RS3 et versions ultérieures. Accédez à Configurer > Stratégies d’appareil et ajoutez ou modifiez la stratégie de pare-feu. Pour configurer ces paramètres :

localized image
  • Activer la fonctionnalité : cette option permet de contrôler le trafic entrant et sortant sur les ordinateurs sur lesquels cette stratégie est déployée. La valeur par défaut est Activé.
  • Profil public : cette option permet de contrôler le pare-feu Windows lorsque les ordinateurs sont connectés à des réseaux non approuvés dans des lieux publics, tels que des aéroports et bistrots. La valeur par défaut est Activé.
  • Profil privé : cette option permet de contrôler le pare-feu Windows lorsque les ordinateurs sont connectés à des réseaux approuvés, tels qu'un réseau domestique. La valeur par défaut est Activé.
  • Profil de domaine : cette option permet de contrôler le pare-feu Windows lorsque les ordinateurs sont connectés à des réseaux de domaine, tels qu'un lieu de travail. La valeur par défaut est Activé.
  • Pare-feu Windows : cette option permet de contrôler le trafic entrant et sortant sur les ordinateurs sur lesquels cette stratégie est déployée.
  • Bloquer toutes les connexions entrantes, y compris celles figurant dans la liste des programmes autorisés : la valeur par défaut est Désactivé.
  • Désactiver les notifications utilisateur lorsque le pare-feu bloque un nouveau programme : la valeur par défaut est Désactivé.

Modifications apportées aux propriétés du serveur pour améliorer le réglage du serveur

Les valeurs par défaut de plusieurs propriétés de serveur utilisées pour optimiser les opérations XenMobile correspondent désormais aux valeurs recommandées. Pour plus d’informations, consultez la section Tuning XenMobile Operations.

Voici les propriétés du serveur mises à jour incluant les nouvelles valeurs par défaut indiquées entre parenthèses :

  • hibernate.c3p0.timeout (120 sec)
  • Intervalle de vérification des services Push : ios.apns.heartbeat.interval, windows.wns.heartbeat.interval, gcm.heartbeat.interval (20 heures)
  • auth.ldap.connect.timeout (60000)
  • auth.ldap.read.timeout (60000)
  • Taille de regroupement de connexions des APNs iOS MDM (10)
  • Déploiement en arrière-plan (1 440 minutes)
  • Inventaire matériel en arrière-plan (1 440 minutes)
  • Intervalle pour vérifier l'utilisateur Active Directory supprimé (15 minutes)
  • En outre, la valeur par défaut de la propriété de serveur suivante a été modifiée pour le paramètre recommandé dans Propriétés du serveur.
  • Bloquer l'inscription des appareils iOS jailbreakés et Android rootés

Vous pouvez désormais régler XenMobile Server via les propriétés de serveur personnalisées suivantes qui n'étaient pas documentées auparavant.

Clé personnalisée : hibernate.c3p0.min_size

Cette propriété XenMobile Server, une clé personnalisée, détermine le nombre minimal de connexions que XenMobile peut ouvrir pour la base de données SQL Server. La valeur par défaut est 50.

Pour modifier ce paramètre, vous devez ajouter une propriété de serveur à XenMobile Server avec la configuration suivante :

  • Clé : Clé personnalisée
  • Clé : hibernate.c3p0.min_size
  • Valeur : 50
  • Nom d’affichage : hibernate.c3p0.min_size=nnn
  • Description : Connexions de base de données à SQL

Clé personnalisée : hibernate.c3p0.idle_test_period

Cette propriété XenMobile Server, une clé personnalisée, détermine le temps d'inactivité en secondes avant qu'une connexion soit automatiquement validée. La valeur par défaut est 30.

Pour modifier ce paramètre, vous devez ajouter une propriété de serveur à XenMobile Server avec la configuration suivante :

  • Clé : Clé personnalisée
  • Clé : hibernate.c3p0. idle_test_period
  • Valeur : 30
  • Nom d’affichage : hibernate.c3p0. idle_test_period =nnn
  • Description : Période d’inactivité prolongée de test

Problèmes résolus dans cette version

Après la mise à niveau de XenMobile de la version 10.5 vers la version 10.6, lorsque vous effectuez une action sur un appareil, tel qu'un effacement d'appareil : le serveur enregistre la boucle concernant l'action de sécurité et la taille de la base de données augmente de manière significative. [CXM-43020]

Si le nom d'affichage d'une propriété de serveur est défini sur NULL, la recherche de chaîne sur la page Paramètres> Propriétés du serveur entraîne une « erreur interne 500 du serveur ». [CXM-43469]

Problèmes connus dans cette version

Sur la page Gérer> Appareils, lorsque vous modifiez un appareil iOS et que vous accédez à l'onglet Applications : la colonne Version n'inclut pas le numéro de révision pour les applications Secure Hub et MDX. [CXM-40183]

Pour une stratégie d'appareil Restrictions pour Samsung SAFE : les options Navigateur, YouTube et Google Play/Marketplace ont été supprimées. Utilisez l'option Désactiver les applications pour activer ou désactiver ces fonctionnalités. [CXM-43043]

XenMobile Service 10.7.5

Page Analyse pour les administrateurs du service d'assistance

Vous pouvez maintenant surveiller et résoudre les problèmes de XenMobile Service sur la nouvelle page Analyse. Cette interface est personnalisée pour permettre aux administrateurs du service d'assistance d'effectuer un dépannage personnalisé.

Les administrateurs du service d'assistance doivent disposer des autorisations suivantes pour accéder à l'onglet Analyse et à tous les flux de travail disponibles :

  • Accès autorisé
    • Accès à la console d'admin
    • Accès à l'API publique
  • Fonctionnalités de la console
    • Analyse
    • Machines
      • Effacer un appareil
      • Afficher la localisation
        • Localiser un appareil
        • Suivre un appareil
      • Verrouiller un appareil
      • Déverrouiller un appareil
      • Mode kiosque
      • Effacement des applications
    • Application

La page Analyse vous donne une vue consolidée des stratégies et de la configuration de l'appareil. La vue inclut des actions de dépannage telles que le verrouillage/déverrouillage de l'application, le nettoyage de l'application, le verrouillage/déverrouillage de l'appareil et le nettoyage de l'appareil.

localized image

Utilisez la page Analyse pour :

  • Rechercher un utilisateur Active Directory (AD) et un appareil présentant des problèmes.
  • Analyser la page Détails de l’appareil qui contient les informations suivantes :
    • Stratégies : affiche les stratégies d’appareil et d’application pour l’appareil et l’application sélectionnés. Pour plus d’informations sur la modification des stratégies, veuillez consulter la section Stratégies d’appareil et Ajout d'applications.
    • Configuration : affiche la configuration de l’appareil. Ce panneau comporte des icônes indiquant si l’appareil a des services de localisation activés, s'il est jailbreaké ou géré par MAM/MDM. Le panneau affiche également l’état de chiffrement du stockage.
    • Tableau Applications en cours d’exécution : affiche les détails des applications en cours d’exécution sur l'appareil.
  • Résoudre les problèmes de l’appareil. Les actions de sécurité disponibles sur cette page sont basées sur l'inscription de l'appareil et les autorisations accordées à l'administrateur connecté :
    • Verrouillage/déverrouillage de l’appareil
    • Réinitialisation de l'appareil
    • Mode kiosque (disponible si l'appareil est inscrit auprès de MAM)
    • Effacement des applications (disponible si l'appareil est inscrit auprès de MAM)

Pour de plus amples informations sur les actions qui peuvent être effectuées, veuillez consulter la section Actions de sécurisation.

La page Analyse peut ne pas fonctionner comme prévu 60 minutes après son dernier chargement car elle ne gère pas les actualisations du jeton de connexion. Pour résoudre ce problème, actualisez le jeton en rechargeant la page : cliquez sur le lien Citrix Cloud sur votre console de service, puis cliquez sur XenMobile Service > Gérer > Analyse.

Partagez vos commentaires sur l'utilité de cette fonctionnalité dans le forum de discussion Citrix Cloud.

Accès aux outils XenMobile depuis la console XenMobile

XenMobile vous permet d'accéder aux outils XenMobile depuis la console XenMobile :

  • XenMobile Analyzer – Permet d'identifier et de trier les problèmes potentiels liés à votre déploiement.
  • Portail APNs – Permet d'envoyer une demande à Citrix pour signer un certificat APNs que vous soumettez ensuite à Apple.
  • Service de détection automatique – Permet de demander et de configurer la détection automatique du serveur XenMobile de votre domaine.
  • Gérer les notifications Push – Permet de gérer les notifications Push pour les applications iOS et Windows XenMobile.
  • MDX Service – Permet d'encapsuler les applications que vous pouvez ensuite gérer en utilisant XenMobile.

Pour accéder à ces outils, accédez à Paramètres > Outils XenMobile. Cette page est disponible auprès des utilisateurs ayant un rôle administrateur cloud ou administration client.

localized image

Utilisation de Windows AutoPilot pour installer et configurer les appareils

Windows AutoPilot est un ensemble de technologies utilisées pour configurer et pré-configurer de nouveaux appareils afin qu'ils soient prêts à une utilisation productive. Vous pouvez utiliser Windows AutoPilot pour réinitialiser, réutiliser et récupérer des appareils. AutoPilot permet de supprimer une partie de la complexité du déploiement de votre système d'exploitation actuel. L'utilisation d'AutoPilot réduit la tâche à un ensemble de paramètres et d'opérations simples, ce qui signifie que vos appareils peuvent être utilisés rapidement et efficacement.

Configuration requise :

  • Les appareils sont enregistrés auprès de l'organisation dans le portail Microsoft Store pour Entreprises.
  • Le branding de votre société est configuré dans le portail Azure Active Directory.
  • La société dispose d'un abonnement Azure Active Directory Premium P1 ou P2.
  • Configurez la Plate-forme d'identité Citrix en tant que type d'IDP pour XenMobile : dans la console XenMobile, accédez à Paramètres> Fournisseur d'identité. Pour de plus amples informations, consultez la section Azure Active Directory en tant que fournisseur d’identité.
  • Il existe une connectivité réseau aux services cloud utilisés par Windows AutoPilot.
  • Les appareils sont pré-installés avec Windows 10 Professionnel, Entreprise ou Éducation, version 1703 ou ultérieure.
  • Les appareils ont accès à Internet.

Pour plus d’informations sur la configuration des composants requis, consultez la section https://docs.microsoft.com/en-us/windows/deployment/windows-10-auto-pilot.

Pour configurer le redéploiement automatique Windows dans XenMobile pour les appareils AutoPilot :

Suivez les étapes pour ajouter une stratégie XML personnalisée dans la section Stratégie XML personnalisée. Ajoutez ce qui suit dans le champ Contenu XML :


_cmdid_


./Vendor/MSFT/Policy/Config/CredentialProviders/DisableAutomaticReDeploymentCredentials


int

0

Sur l'écran de verrouillage Windows, entrez la combinaison de touches CTRL + touche Windows + R.

Ouvrez une session avec un compte Azure Active Directory.

L’appareil vérifie que l’utilisateur dispose des droits appropriés pour redéployer l’appareil. Le redéploiement de l'appareil a ensuite lieu.

Une fois l'appareil mis à jour avec la configuration AutoPilot, l'utilisateur peut se connecter à l'appareil récemment configuré.

Restrictions supplémentaires pour les appareils Android for Work

Vous pouvez maintenant contrôler davantage de restrictions sur les appareils Android for Work à partir de la page Configurer > Stratégies d’appareil > Stratégie de Restrictions.

localized image

Chacun de ces paramètres est disponible pour Android 5.0 et versions ultérieures, sauf indication contraire.

  • Transfert de fichiers : permet le transfert de fichiers via USB. La valeur par défaut est Désactivé.
  • Partage de connexion : permet aux utilisateurs de configurer des points d’accès mobiles et des données de connexion. La valeur par défaut est Désactivé.
  • Autoriser le copier-coller : autorise ou empêche l’utilisation du Presse-papiers pour copier et coller entre les applications du profil Android for Work et les applications dans la zone personnelle. La valeur par défaut est Désactivé.
  • Activer vérification de l’application : permet au système d'exploitation d'analyser les applications pour détecter un comportement malveillant. La valeur par défaut est Activé.
  • Autoriser l'utilisateur à contrôler les paramètres applicatifs : permet aux utilisateurs de désinstaller des applications, de désactiver des applications, d'effacer le cache et les données, de forcer l'arrêt de toute application et d'effacer les paramètres par défaut. La valeur par défaut est Désactivé.
  • Autoriser les contacts de profil professionnel dans les contacts de l'appareil : affiche les contacts du profil Android for Work géré dans le profil parent pour les appels entrants. La valeur par défaut est Désactivé. (Android 7.0 et versions ultérieures)

Consultez la section Stratégies d'appareil pour de plus amples informations sur la configuration des stratégies d'appareil.

Déploiement des mises à jour du système d'exploitation sur les appareils Android for Work gérés

Vous pouvez désormais utiliser la stratégie Contrôler mise à jour d'OS pour déployer les mises à jour du système d'exploitation sur les appareils Android for Work gérés (Android 7.0 ou versions ultérieures). Pour configurer la stratégie, accédez à Configurer > Stratégies d'appareil.

localized image

Configurer les paramètres Android for Work :

  • La Stratégie de mise à jour du système  permet de déterminer lorsque des mises à jour système se produisent. L'option Automatique installe une mise à jour lorsqu’elle est disponible. L'option Créneau installe une mise à jour automatiquement dans la fenêtre de maintenance quotidienne spécifiée dans Heure de début et Heure de fin. L'option Reporter permet à un utilisateur de reporter une mise à jour jusqu'à 30 jours.
    • Heure de début : le début de la fenêtre de maintenance mesurée en nombre de minutes (0 - 1440) à partir de minuit dans l'heure locale de l'appareil. La valeur par défaut est 0.
    • Heure de fin : la fin de la fenêtre de maintenance mesurée en nombre de minutes (0 - 1440) à partir de minuit dans l'heure locale de l'appareil. La valeur par défaut est 120.

Spécification du comportement lorsque les applications Android for Work demandent des autorisations dangereuses

Pour les demandes d'applications Android for Work se trouvant dans des profils professionnels : une nouvelle stratégie d'appareil vous permet de configurer la façon dont ces demandes gèrent les autorisations qualifiées comme étant « dangereuses » par Google. Vous déterminez si les utilisateurs doivent autoriser ou refuser une demande d'autorisation à partir d'applications. Cette fonctionnalité est destinée aux appareils exécutant Android 7.0 et versions ultérieures.

Google qualifie de « dangereuses » les autorisations permettant à une application d'accéder aux éléments suivants :

  • Données ou ressources impliquant des informations utilisateur privées.
  • Ressources susceptibles d'affecter les données stockées d'un utilisateur ou le fonctionnement d'autres applications. Par exemple, la possibilité de lire les contacts de l’utilisateur est une autorisation dangereuse.

Pour les applications Android for Work incluses dans les profils professionnels : vous pouvez configurer un état global qui contrôle le comportement de toutes les demandes d'autorisation dangereuses associées aux applications. Vous pouvez également contrôler le comportement d'une demande d'autorisation dangereuse pour des groupes d'autorisations individuels, tels que définis par Google, associée à chaque application. Ces paramètres individuels remplacent l'état global.

Pour plus d’informations sur la définition des groupes d'autorisations par Google, consultez la section « Groupes d’autorisation » dans le guide des développeurs Android.

Par défaut, les utilisateurs sont invités à autoriser ou refuser les demandes d’autorisation dangereuses.

Pour configurer les autorisations pour les applications Android for Work, accédez à Configurer> Stratégies d'appareil et ajoutez la stratégie Autorisations de l'application Android for Work. Cette stratégie s'applique uniquement aux applications que vous ajoutez et approuvez dans la console Google Play, puis que vous ajoutez à XenMobile en tant qu'applications de magasin public.

localized image

Pour configurer ces paramètres :

  • État global : contrôle le comportement de toutes les demandes d’autorisation dangereuses. Dans la liste, cliquez sur Inviter, Accorder ou Refuser. La valeur par défaut est Inviter.
    • Inviter : permet d'inviter les utilisateurs à autoriser ou refuser les demandes d’autorisation dangereuses.
    • Accorder : permet d'accorder toutes les demandes d’autorisations dangereuses sans confirmation de l'utilisateur.
    • Refuser : permet de refuser toutes les demandes d’autorisations dangereuses sans confirmation de l'utilisateur.
  • Pour remplacer le champ État global associé à un groupe d'autorisations, définissez un comportement individuel pour le groupe d'autorisations. Pour configurer les paramètres pour un groupe d’autorisation, cliquez sur Ajouter, choisissez une application dans la liste, puis choisissez État de l'accès.

Définition des messages à afficher sur l'écran de verrouillage des appareils perdus

Une nouvelle stratégie d'appareil, Message sur l'écran de verrouillage, vous permet de définir les messages à afficher sur les appareils suivants lorsqu'ils sont perdus :

  • La fenêtre de connexion des iPads partagés
  • L’écran de verrouillage des appareils iOS supervisés

Pour ajouter la stratégie, accédez à Configurer > Stratégies d'appareil, puis ajoutez Message sur l'écran de verrouillage.

localized image

Pour configurer ces paramètres :

  • Informations sur l'étiquette d'inventaire de l'appareil : le numéro d’identification de l’appareil. Les appareils Apple tronquent les chaînes longues ; veillez donc à tester une chaîne avant de déployer la stratégie en production. La longueur de la chaîne dépend du modèle de l'appareil Apple et des paramètres Apple qui peuvent changer (iOS 9.3 et ultérieur).
  • Note de bas de page sur la fenêtre de connexion et l'écran de verrouillage : informations, telles qu'une adresse ou d'autres coordonnés, permettant de renvoyer l'appareil. Les appareils Apple tronquent les chaînes longues ; veillez donc à tester une chaîne avant de déployer la stratégie en production. La longueur de la chaîne dépend du modèle de l'appareil Apple et des paramètres Apple qui peuvent changer (iOS 9.3.1 et ultérieur).
  • Supprimer la stratégie : sélectionnez une date ou une heure d'expiration pour définir l'expiration de la stratégie. Le message d'écran de verrouillage cesse d'apparaître après cette période.
  • Autoriser l’utilisateur à supprimer la stratégie : indiquez si vous souhaitez autoriser les utilisateurs à désactiver le message d’écran de verrouillage. Les options sont Toujours, Mot de passe requis ou Jamais.

Consultez la section Stratégies d'appareil pour de plus amples informations sur la configuration des stratégies d'appareil.

Nouvelles API REST

L’API publique XenMobile pour les services REST inclut les API suivantes :

  • Obtenir des utilisateurs par filtre
  • Supprimer le jeton d’inscription

Pour de plus amples informations, téléchargez le document PDF XenMobile Public API for REST Services et reportez-vous à la section 3.12.1, Get Users by Filter (Obtenir des utilisateurs par filtre) et à la section 3.19.7, Remove Enrollment Token (Supprimer le jeton d'inscription).

Problèmes résolus dans cette version

Les administrateurs RBAC ne peuvent pas voir les machines gérées à partir de la console XenMobile Server. Une erreur interne 500 du serveur se produit. [CXM-41147]

Lorsque vous configurez une stratégie de configuration de l’application pour iOS : si le contenu du dictionnaire inclut le délimiteur « & », le code XML ne fonctionne pas sur les appareils. L’erreur de validation XML dans le journal est la suivante : la référence à l’entité « name » doit se terminer par le délimiteur « ; ». [CXM-41883]

Le nombre d'opérations d'effacement de données d'entreprise en attente affichées sur le tableau de bord XenMobile ne correspond pas au nombre affiché dans l'onglet Analyser. [CXM-42020]

Dans certains scénarios de gestion des versions, la fonctionnalité de vérification des mises à jour d'applications ne fonctionne pas correctement. [CXM-42388]

Problèmes connus dans cette version

Lorsque vous déployez XenMobile dans une configuration de cluster en mode MDM ou MDM+MAM, les commandes MDM peuvent échouer pour les appareils iOS 11 inscrits auprès de MDM. Par conséquent, les problèmes suivants peuvent se produire :

  • Vous n'êtes peut-être pas en mesure de transmettre des stratégies MDM ou de déployer des applications.
  • Vous ne pourrez peut-être pas exécuter des actions de sécurité, telles que le verrouillage ou l'effacement de données sur des appareils iOS 11.
  • Sur les machines utilisateur, les problèmes suivants peuvent se produire :
    • Les tentatives d'installation des applications continuent de se produire.
    • Les configurations VPN ou Wi-Fi ne sont pas installées.
    • Les actions de sécurité, telles que le verrouillage, se produisent à plusieurs reprises.

Pour plus de détails et les actions requises, consultez cet article du centre de connaissances Citrix : https://support.citrix.com/article/CTX227406. [CXM-38331]

XenMobile Service 10.7.4

Authentification unique avec Azure Active Directory

XenMobile Service prend en charge l'authentification unique avec les informations d’identification Azure Active Directory dans les scénarios suivants :

  • Inscription utilisateur via Citrix Secure Hub (Android ou iOS)
  • Pour le rôle utilisateur RBAC, authentification auprès du portail en libre-service XenMobile
  • Authentification administrateur auprès de la console XenMobile
  • Pour XenMobile Service, authentification administrateur auprès de l’API publique XenMobile pour les Services REST à l’aide d’un jeton récupéré via l’API Cloud Citrix.
  • Pour de plus amples informations, consultez la section 3.3.2 Login (Cloud Credentials) du PDF XenMobile Public API for REST Services.

XenMobile Service utilise le service Citrix Cloud appelé Plate-forme d'identité Citrix pour se fédérer avec Azure Active Directory. La plate-forme d'identité Citrix est un service de fournisseur d’identité.

Pour configurer ce service, vous devez configurer Citrix Cloud pour utiliser Azure Active Directory en tant que fournisseur d’identité. Ensuite, configurez Plate-forme d'identité Citrix en tant que type de fournisseur d’identité pour XenMobile Server. Les utilisateurs peuvent ensuite se connecter à Secure Hub avec leurs informations d’identification Azure Active Directory. Secure Hub utilise l’authentification de certificat client pour les appareils MAM.

Citrix recommande d’utiliser Plate-forme d'identité Citrix plutôt qu’une connexion directe à Azure Active Directory.

Conditions préalables

  • XenMobile Server configuré en mode MDM, MAM exclusif ou Enterprise
  • NetScaler Gateway, configuré pour l'authentification par certificat
  • Secure Hub 10.7.20 (version minimum)
  • Informations d'identification utilisateur Azure Active Directory

Configurer Citrix Cloud pour utiliser Azure Active Directory en tant que fournisseur d’identité

Pour configurer Azure Active Directory dans Citrix Cloud :

Accédez à https://citrix.cloud.com et connectez-vous à votre compte Citrix Cloud.

Dans le menu Citrix Cloud, accédez à la page Gestion des identités et des accès et connectez-vous à Azure Active Directory.

localized image

Entrez votre URL de connexion administrateur, puis cliquez sur Connecter.

localized image

La page de connexion à Azure Active Directory s’ouvre.

Une fois que vous vous êtes connecté, votre compte Azure Active Directory se connecte à Citrix Cloud. La page Gestion des identités et des accès > Authentification indique les comptes à utiliser pour vous connecter à vos comptes Citrix Cloud et Azure AD.

localized image

Configurer Plate-forme d'identité Citrix en tant que type de fournisseur d’identité pour XenMobile Server

Après avoir configuré Azure Active Directory dans Citrix Cloud, configurez XenMobile Server comme suit.

Dans la console XenMobile, accédez à Paramètres > Fournisseur d’identité (IDP), puis cliquez sur Ajouter.

Dans la page Fournisseur d’identité (IDP), configurez les éléments suivants :

localized image
  • Nom IdP : entrez un nom unique pour identifier la connexion de fournisseur d’identité que vous créez.
  • Type d'IdP : choisissez Plate-forme d’identité Citrix.
  • Domaine d'authentification : sélectionnez le domaine de Citrix Cloud. Si vous ne savez pas lequel choisir, votre domaine apparaît sur la page Citrix Cloud Gestion des identités et des accès > Authentification.

Cliquez sur Suivant. Dans la page Utilisation des revendications IdP, configurez les éléments suivants :

localized image
  • Type d’identificateur d’utilisateur : ce champ est défini sur userPrincipalName.
  • Chaîne d'identificateur d'utilisateur : ce champ est renseigné automatiquement.

Cliquez sur Suivant, vérifiez la page Résumé, puis cliquez sur Enregistrer.

Les utilisateurs de Hub Secure, de la console XenMobile et du portail en libre-service peuvent maintenant se connecter avec leurs informations d’identification Azure Active Directory.

Flux de l’authentification administrateur et utilisateur de XenMobile Server

L'écran de connexion de la console XenMobile et du portail en libre-service XenMobile comprend le lien Se connecter avec mes identifiants d'entreprise.

localized image

Cliquez sur ce lien pour entrer vos informations d’identification Azure Active Directory. Après vous être authentifié avec succès, XenMobile ne vous demande plus de vous connecter pour les accès ultérieurs.

Si vous vous connectez à la console ou au portail en libre-service XenMobile à partir d'appareils joints au domaine, cliquez sur le lien Se connecter avec mes identifiants d'entreprise : XenMobile offre une expérience d'authentification unique. Aucune invite d'authentification n'apparaît.

Flux d’authentification Secure Hub

Une fois que XenMobile est configuré pour utiliser la Plate-forme d'identité Citrix en tant que fournisseur d’identité, le flux de l’authentification de Secure Hub est comme suit pour un appareil qui est inscrit via Secure Hub :

  1. Un utilisateur démarre Secure Hub.
  2. Secure Hub transmet la demande d'authentification à la Plate-forme d'identité Citrix, qui transmet la demande à Azure Active Directory.
  3. L’utilisateur tape son nom d’utilisateur et son mot de passe.
  4. Azure Active Directory valide l’utilisateur et envoie un code à la Plate-forme d’identité Citrix.
  5. La Plate-forme d’identité Citrix envoie le code à Secure Hub, qui envoie le code à XenMobile Server.
  6. XenMobile obtient un jeton d'identification en utilisant le code et le secret, puis valide les informations utilisateur contenues dans le jeton d'identification. XenMobile renvoie un ID de session.

Les utilisateurs d'appareils appartenant au domaine peuvent utiliser leurs informations d’identification Azure Active Directory pour une expérience d'authentification unique. Pour les comptes locaux XenMobile, l'authentification unique n'est pas disponible.

Déploiement d'applications Microsoft Store pour Entreprises à partir de XenMobile

Microsoft Store pour Entreprises est un emplacement où vous pouvez trouver et distribuer des applications gratuites et payantes en volume pour votre organisation. Si vous connectez XenMobile Server à Microsoft Store pour Entreprises, les applications Store pour Entreprises apparaissent dans la page XenMobile Configurer> Applications. Vous pouvez alors déployer ces applications sur des appareils Windows 10.

XenMobile ne prend en charge que la gestion des applications de licence en ligne, le modèle de licence par défaut pris en charge par Microsoft Store pour Entreprises. Ce modèle nécessite que les utilisateurs et les appareils se connectent aux services Microsoft Store pour acquérir une application et sa licence.

Pour en savoir plus sur Microsoft Store pour Entreprises, consultez la documentation de Microsoft à l'adresse https://docs.microsoft.com/en-us/microsoft-store/microsoft-store-for-business-overview.

Conditions préalables

  • Azure Active Directory

Pour accéder aux applications Microsoft Store pour Entreprises, vous devez d'abord configurer Azure Active Directory en tant que fournisseur d'identité. Pour plus d’informations sur cette configuration, consultez la section Azure Active Directory en tant que fournisseur d’identité.

  • Microsoft Store pour Entreprises

Connecter XenMobile Server à Microsoft Store pour Entreprises

Dans la page Paramètres de la console XenMobile, recherchez et cliquez sur le lien Microsoft Store pour Entreprises.

Pour configurer ces paramètres :

  • Configuration d'Azure AD : sélectionnez l'instance Azure Active Directory que vous avez configurée dans le cadre des prérequis.
  • Suffixe de l'application : entrez un suffixe à ajouter à toutes les applications Microsoft Store pour Entreprises pour faciliter leur identification.
  • Localisation : sélectionnez la langue à utiliser pour les détails de l'application téléchargés de Store pour Entreprises vers XenMobile.
localized image

Cliquez sur Enregistrer. XenMobile ajoute les applications Microsoft Store pour Entreprises à la page Configurer > Applications.

localized image

Pour resynchroniser les applications ultérieurement, revenez à la page des paramètres Microsoft Store pour Entreprises et cliquez sur le bouton Forcer la synchronisation.

localized image

Associer votre compte Microsoft Store pour Entreprises à XenMobile

  1. Connectez-vous à Microsoft Store pour Entreprises à l'aide du même compte locataire que celui que vous utilisez pour vous connecter à Azure Active Directory.
  2. Dans Store pour Entreprises, choisissez Paramètres > Outils de gestion.
  3. Sur la page Outils de gestion, choisissez Ajouter un outil de gestion, puis XenMobile.

Synchroniser des applications avec Store pour Entreprises

Par défaut, XenMobile se synchronise avec Microsoft Store pour Entreprises toutes les 24 heures. Pour forcer une synchronisation, accédez à Paramètres > Microsoft Store pour Entreprises et cliquez sur Forcer la synchronisation.

localized image

Pour modifier l’intervalle de synchronisation, accédez à Paramètres > Propriétés du serveur et mettez à jour la valeur de la propriété de serveur Intervalle minimal entre les références MSB.

Affecter des applications Store pour Entreprises à des groupes de distribution

Les applications synchronisées à partir de Microsoft Store pour Entreprises ont le suffixe que vous avez configuré dans la page Paramètres > Microsoft Store pour Entreprises.

localized image
  1. Pour ajouter ces applications aux groupes de mise à disposition : accédez à Configurer > Groupes de mise à disposition, sélectionnez un groupe, cliquez sur Modifier, puis sur Applications. Déplacez les applications sur la liste Applications requises.
  2. Accédez à Configurer > Applications. Sélectionnez une ou plusieurs applications, cliquez sur Modifier, puis cliquez sur Attribution de groupes de mise à disposition.

Révoquer une licence utilisateur pour une application

Accédez à Configurer > Applications, sélectionnez l'application Store pour Entreprises, puis cliquez sur Modifier.

Sous Plate-forme, cliquez sur Windows Desktop/Tablet.

Faites défiler l'écran vers le bas et développez Microsoft Store pour Entreprises.

localized image

Sélectionnez l'utilisateur et cliquez sur Dissocier.

localized image

Contrôle des mises à jour installées sur Windows Desktop/Tablet

La stratégie Contrôler mise à jour d'OS, qui déploie les mises à jour du système d'exploitation sur les appareils Windows 10 Desktop et Tablet supervisés, présente une nouvelle fonction. Vous pouvez maintenant spécifier si vous souhaitez installer uniquement les mises à jour approuvées. XenMobile gère les mises à jour comme suit :

  • Pour une mise à jour de sécurité, par exemple pour les définitions Windows Defender, XenMobile approuve automatiquement la mise à jour et envoie une commande d'installation à l'appareil lors de la prochaine synchronisation.
  • Pour tous les autres types de mise à jour, XenMobile attend votre approbation avant d’envoyer la commande d’installation à l’appareil.

Exigences

Vous devez charger le certificat racine de Microsoft sur XenMobile Server en tant que certificat de serveur. Pour obtenir le certificat, accédez à http://go.microsoft.com/fwlink/?linkid=747875&clcid=0x409. Après avoir chargé le certificat sur XenMobile, redémarrez XenMobile Server. Pour plus d’informations sur l’importation d’un certificat de serveur, consultez la section « Pour importer un certificat » dans Certificats et authentification.

Installer uniquement les mises à jour approuvées

  1. Accédez à Configurer > Stratégies d’appareil et ouvrez la stratégie Contrôler mise à jour d'OS.
  2. Définissez le paramètre Autoriser uniquement les mises à jour figurant dans la liste d'approbation sur Oui, installer uniquement les mises à jour approuvées.

Approuver une mise à jour

Dans la stratégie Contrôler mise à jour d'OS, faites défiler l'écran jusqu'au tableau Mise à jour disponible. XenMobile obtient les mises à jour répertoriées dans le tableau à partir des appareils.

Recherchez les mises à jour avec l'État d’approbation En attente.

Cliquez sur la ligne correspondant à la mise à jour que vous souhaitez approuver, puis sur l'icône de modification de cette ligne (dans la colonne Ajouter).

localized image

Pour autoriser la mise à jour, cliquez sur Approuvé, puis cliquez sur Enregistrer.

localized image

Remarque : bien que le tableau des mises à jour en attente propose des commandes d'ajout et de suppression, ces commandes n'entraînent aucune modification de la base de données XenMobile. La modification de l'état d'approbation est la seule action disponible pour les mises à jour en attente.

Pour afficher l’état de la mise à jour Windows pour un appareil, accédez à Gérer > Appareils > Propriétés.

localized image

Lorsqu'une mise à jour est publiée, l'ID de mise à jour apparaît dans la première colonne avec un état (Réussite ou Échec). Vous pouvez créer un rapport ou une action automatisée pour les appareils dont les mises à jour ont échoué. La date et l'heure de la publication apparaissent également.

Fonctionnement des mises à jour pour les déploiements initiaux et ultérieurs

L’effet de la stratégie Contrôler mise à jour d'OS sur les appareils diffère s'il s'agit d'un déploiement initial ou d'un déploiement effectué une fois que les appareils ont obtenu des mises à jour.

  • Pour que XenMobile interroge un appareil sur les mises à jour, vous devez configurer et attribuer à un groupe de mise à disposition au moins une stratégie Contrôler mise à jour d'OS.

XenMobile envoie une requête à un appareil sur les mises à jour installables lors d'une synchronisation MDM de l’appareil.

  • Après le déploiement de la première stratégie Contrôler mise à jour d'OS, la liste des mises à jour de Windows est vide car aucun appareil n'a encore été signalé.
  • Lorsque les appareils dans le groupe de mise à disposition attribué signalent des mises à jour, XenMobile enregistre ces mises à jour dans sa base de données. Pour approuver les mises à jour signalées, modifiez à nouveau la stratégie.

L'approbation de mise à jour s’applique uniquement à la stratégie que vous modifiez. Les mises à jour approuvées dans une stratégie ne s’affichent pas comme approuvées dans une autre stratégie. La prochaine fois qu’un appareil se synchronise, XenMobile envoie une commande à l’appareil pour indiquer que la mise à jour est approuvée.

  • Pour une deuxième stratégie Contrôler mise à jour d'OS, la liste de mises à jour contient les mises à jour stockées dans la base de données XenMobile. Vous devez approuver les mises à jour pour chaque stratégie.

Lors de chaque synchronisation de l'appareil, XenMobile interroge l'appareil sur l’état de la mise à jour approuvée jusqu'à ce que l'appareil signale une mise à jour comme étant installée. Pour les mises à jour nécessitant le redémarrage de l'appareil après l'installation de la mise à jour, XenMobile interroge l'état de la mise à jour jusqu'à ce que l'appareil la signale comme installée.

  • XenMobile ne limite pas les mises à jour affichées sur la page de configuration de la stratégie par groupe de mise à disposition ou appareil. Toutes les mises à jour signalées par les appareils apparaissent dans la liste.

Inventaire et suppression d'applications Win32

Vous pouvez désormais déterminer si les applications Win32 sur les appareils utilisateur sont conformes à votre stratégie Accès aux applications. Pour afficher un inventaire des applications Win32 sur les appareils Windows 10 Desktop et Tablet gérés :

Accédez à Configurer > Stratégies d’appareil et ajoutez une stratégie Inventaire des applications pour la plate-forme Windows Desktop/Tablet. Déployez la stratégie.

Accédez à Gérer > Appareils, sélectionnez l'appareil Windows 10 que vous souhaitez afficher, cliquez sur Modifier, puis cliquez sur l'onglet Applications.

Les résultats de l’inventaire s’affichent.

localized image

Comparez l’inventaire des applications avec votre stratégie Accès aux applications. Si des applications sur liste noire sont installées sur l'appareil, vous pouvez les supprimer des appareils comme suit.

Problèmes d'installation et de désinstallation de l'application causés par un code de produit incorrect

Si une application Win32 est configurée avec un code de produit incorrect, l’application s’installe initialement, toutefois Microsoft ne renvoie pas l’état de l’application à XenMobile. Résultat :

  • La stratégie Désinstallation des applications ne désinstalle pas l'application.
  • XenMobile Server continue à déployer l'application car aucune confirmation que l'application est installée n'a été reçue. À chaque déploiement, l'appareil génère un code d'erreur car l'application est déjà installée. L'erreur affichée dans Gérer> Appareil > Détails du groupe de mise à disposition est : « Msi Application received: Reporting:AppPush id:7z1701-x64.msi: Command execution failed -2147023293 »

Pour corriger le code du produit :

  1. Supprimez manuellement l'application de l'appareil.
  2. Dans la console XenMobile, accédez à Configurer > Applications et corrigez le code de produit de l'application Win32.
  3. Déployez l'application Win32.

Configuration de pare-feu sur des appareils macOS gérés

Vous pouvez maintenant configurer des pare-feux sur les appareils gérés exécutant macOS 10.12 et versions ultérieures. Accédez à Configurer > Stratégies d’appareil et ajoutez ou modifiez la stratégie de pare-feu.

localized image

Pour configurer ces paramètres :

  • Activer pare-feu. Pour activer le pare-feu, définissez cette option sur ON.
  • Bloquer toutes les connexions entrantes. Lorsque cette option est définie sur ON, elle bloque toutes les connexions entrantes à l’exception des connexions requises pour les services de base.
  • Activer le mode furtif. En mode furtif, l'appareil n'accepte pas ou ne répond pas aux tentatives d'accès à partir du réseau par des applications de test utilisant ICMP, telles que Ping. Pour activer le mode furtif, définissez cette option sur ON.
  • Paramètres de connexion entrante spécifiques à l'application. Pour permettre à des applications spécifiques de recevoir des connexions, ajoutez les applications et définissez Autorisé sur True.

Sécurité améliorée pour les profils de travail pour Android for Work

Code secret de profil de travail

Pour les appareils exécutant Android 7.0 et versions ultérieures, vous pouvez maintenant demander un code secret pour les applications dans un profil de travail pour Android for Work. Les utilisateurs sont invités à entrer le code secret lorsqu’ils tentent d’ouvrir des applications dans le profil de travail. Lorsque les utilisateurs entrent le code secret, ils peuvent ensuite accéder à des applications dans le profil de travail.

Vous configurez une exigence en matière de code secret pour le profil de travail uniquement ou pour l’appareil.

Pour configurer une exigence en matière de code secret pour Android for Work, accédez à Configurer > Stratégies d’appareil et ajoutez ou modifiez la stratégie Code secret. Cliquez sur la page de la plate-forme Android for Work et configurez les paramètres suivants :

  • Validation de la sécurité du profil de travail : activez ce paramètre pour obliger les utilisateurs à valider des exigences de sécurité pour accéder aux applications exécutées dans un profil de travail Android for Work. Cette option n'est pas disponible pour les appareils Android de versions antérieures à Android 7.0. La valeur par défaut est OFF.
  • Exigences de code secret de validation de la sécurité du profil de travail :
    • Longueur minimale : dans la liste, cliquez sur la longueur minimale du code secret. La valeur par défaut est 6.
    • Reconnaissance biométrique : sélectionnez cette option pour activer la reconnaissance biométrique. Si vous activez cette option, le champ Caractères requis est masqué. La valeur par défaut est OFF. Cette fonctionnalité n'est pas prise en charge
    • Caractères requis : dans la liste, cliquez sur Aucune restriction, Chiffres et lettres, Chiffres uniquement ou Lettres uniquement pour configurer la manière dont les codes secrets sont composés. Utilisez Aucune restriction uniquement pour les appareils exécutant Android 7.0. Android 7.1 et versions ultérieures n'appliquent pas le paramètre Aucune restriction. La valeur par défaut est Chiffres et lettres.

Stratégies de sécurité par défaut

Par défaut, les paramètres Débogage USB et Sources inconnues sont désactivés sur un appareil lorsqu'il est inscrit en mode de profil professionnel dans Android for Work.

Autres améliorations

  • Nouvelles propriétés de serveur pour spécifier le nombre de jours après lequel un appareil iOS ou macOS hors connexion est considéré comme inaccessible. Lorsqu'un appareil iOS ou macOS atteint la limite spécifiée par les propriétés de serveur suivantes, il arrête de communiquer avec XenMobile Server. Par défaut, les deux propriétés sont définies sur 45 jours.
    • ios.delayBeforeDeclareUnreachable
    • macos.delayBeforeDeclareUnreachable
  • Formats de date et d'heure basés sur les paramètres régionaux. La date et l'heure affichées sur la console XenMobile sont désormais formatées en fonction des paramètres régionaux et du fuseau horaire de l'administrateur.

Par exemple, 18 h le 20 novembre 2017 est affiché comme suit :

États-Unis (en-US) : 11/20/17 06:00:00 pm
Royaume-Uni (en-GB) : 20/11/17 18:00:00
Afrique du Sud (en-ZA) : 2017/11/20 06:00:00 pm

L'API REST publique XenMobile présente les modifications suivantes : les champs createdOn et lastAuthenticated sont obsolètes. Utilisez creationDate et lastAuthDate à la place. Pour de plus amples informations, téléchargez le PDF XenMobile Public API for REST Services.

  • Modifications de l'API REST publique. L’API publique XenMobile pour les services REST inclut désormais l'API « Revoke enrollment tokens ». Cette API définit l’état d’inscription sur Expiré. Pour de plus amples informations, téléchargez le document PDF XenMobile Public API for REST Services.

Problèmes résolus dans cette version

Pour les environnements Azure uniquement : les appareils iOS hors ligne depuis plus de sept jours ne communiquent pas avec XenMobile Server jusqu'au redémarrage du serveur. [CXM-39540]

Les appareils iOS dotés d'un profil Telnet ne peuvent pas communiquer avec XenMobile Server. Par conséquent, XenMobile ne peut pas déployer de stratégies sur ces appareils. [CXM-40402]

Lorsque vous importez un fichier ADMX de Citrix Receiver pour créer la stratégie de configuration de l’application XenMobile, XenMobile peut ne pas afficher une erreur si vous ne renseignez pas un champ obligatoire. Assurez-vous de définir tous les champs obligatoires avant l’enregistrement de la stratégie. [CXM-40664]

Lorsque vous importez le fichier ADMX de Microsoft Office 2016 pour créer la stratégie de configuration de l’application XenMobile, cette erreur peut s’afficher :

« Error while processing admx/office16.admx: cvc-complex-type.3.2.3: Attribute 'noSort' is not allowed to appear in element. » Pour éviter cette erreur, modifiez le fichier office16.admx pour supprimer la chaîne de texte « noSort = 'true'. » Rezippez le fichier pour le chargement. [CXM-40750]

Le rapport que vous pouvez exporter à partir de Gérer > Appareils comporte deux colonnes avec la mention « Type d'appareil DEP ASM ». [CXM-40872]

Certaines applications Win32 MSI volumineuses peuvent ne pas être installées. L'erreur consignée dans le journal est similaire à la suivante : Msi Application received : Reporting:AppPush id:AdbeRdr1000_en_US.msi : Command execution failed -2147023277. [CXM-40890]

Pendant le téléchargement d’un fichier APK Secure Hub sur la console XenMobile, l’erreur suivante se produit : Erreur interne 500 du serveur. [CXM-41855]

Les actions NAC écrites dans les fichiers journaux de la console génèrent des fichiers volumineux. [CXM-42071]

Problèmes connus dans cette version

Pour les appareils iOS pré-inscrits, après une mise à niveau vers XenMobile Service 10.7.4 : si vous modifiez Vue du magasin par défaut dans Paramètres > Personnalisation du Client, les icônes de dossiers n’apparaissent pas dans la vue de la catégorie Secure Hub. Solution : touchez le nom du dossier pour afficher les applications dans cette catégorie. [CXM-42091]

Si vous configurez XenMobile Service pour la connexion unique à l'aide de Citrix Identity Platform avec Azure Active Directory : lorsqu'un administrateur ou un utilisateur XenMobile est redirigé vers l'écran de connexion Azure Active Directory, l'écran affiche le message « Page de connexion pour Citrix Secure Hub ». Ce message devrait être « Page de connexion pour la console Citrix XenMobile ». [CXM-42309]

Un site XenMobile Service s'exécutant sur Azure ne crée pas de pack d'assistance et affiche cette erreur : Impossible de générer un pack d'assistance pour les serveurs XenMobile suivants : (Message d'erreur : impossible d'effectuer l'opération.) Solution de contournement : sur la page Dépannage et support > Créer des packs d'assistance, sélectionnez les options Données du groupe de mise à disposition et Infos sur l'utilisateur et les appareils. Ne sélectionnez pas l'option Données de configuration. [CXM-42381]

XenMobile Service 10.7.3

Déploiement d'applications Win32 sur des appareils Windows 10 Desktop et Tablet gérés

Vous pouvez maintenant charger des fichiers MSI pour applications Win32 vers la console XenMobile pour le déploiement vers des appareils Windows 10 Desktop et Tablet gérés. Une fois que vous avez utilisé XenMobile pour déployer un MSI, l'appareil Windows installe l’application comme suit :

  • Si l’application mise à niveau supprime l’ancienne version lors de l’installation, l’appareil inclut uniquement l’application mise à niveau.
  • Si l’application mise à niveau ne peut pas supprimer l’ancienne version, mais que la nouvelle version est installée, l’appareil inclut les deux versions de l’application. XenMobile Server ne contient plus les informations de l’ancienne version.
  • Si l’application mise à niveau ne peut pas s'installer lorsqu’il existe une ancienne version, la nouvelle application ne s'installe pas. Dans ce cas, déployez d'abord la stratégie de désinstallation d’application pour supprimer l’ancienne version. Déployez ensuite la nouvelle version.

Configuration requise

  • Windows 10, version 1607 (version minimale)
  • Windows 10 Professionnel ou Windows 10 Entreprise
  • Applications MSI Win 32 autonomes installées avec l'option /quiet. Dans ce type de déploiement, Microsoft ne prend pas en charge les MSI contenant plusieurs applications, les MSI imbriqués ou l'installation interactive.

Rechercher les métadonnées MSI

Lorsque vous ajoutez une application Win32 à XenMobile, spécifiez les métadonnées de l’application. Pour rechercher les métadonnées, utilisez l’application Orca sur un ordinateur Windows et prenez note des informations suivantes :

  • Code du produit
  • Nom du produit
  • Version du produit
  • Type d’installation de package, soit par utilisateur, soit par machine

Ajouter une application Win32 à XenMobile

Accédez à Configurer > Applications, cliquez sur Entreprise, tapez un nom pour l’application sur la page Informations sur l’application.

Désélectionnez toutes les cases à cocher Plate-forme à l’exception de Windows Desktop/Tablet.

Sur la page Application d'entreprise Windows Desktop/Tablet, cliquez sur Charger et accédez au fichier MSI.

Pour configurer ces paramètres :

localized image
  • Nom de l’application : nom de l’application, indiqué dans les métadonnées de l’application.
  • Description : description de l'application.
  • Version de l’application : numéro de version de l'application, indiqué dans les métadonnées de l’application.
  • Version d'OS minimum : facultatif. Version la plus ancienne du système d'exploitation que l'appareil peut exécuter pour pouvoir utiliser l'application.
  • Version d'OS maximum : facultatif. Version la plus récente du système d'exploitation que l'appareil doit exécuter pour pouvoir utiliser l'application.
  • Appareils exclus : facultatif. Fabricant ou modèles d'appareils qui ne peuvent pas exécuter l'application.
  • Code du produit : code produit de l'application MSI, au format UUID, défini par les métadonnées de l’application.
  • Contexte d'installation : en vous basant sur les métadonnées de l’application, sélectionnez si l’application sera installée pour l'appareil ou l'utilisateur.
  • Ligne de commande : options de ligne de commande à utiliser lors de l’appel de MSIEXEC.exe
  • Nombre de tentatives : nombre de fois que vous pouvez retenter une opération de téléchargement et d’installation avant de marquer l’installation comme ayant échoué.
  • Délai d’expiration : nombre de minutes pendant lesquelles le processus d’installation s’exécute avant que le programme d’installation interprète l’installation comme ayant échoué et ne surveille plus le processus.
  • Intervalle entre les tentatives : nombre de minutes entre les tentatives.

Spécifiez les règles de déploiement et la configuration du magasin le cas échéant.

Cliquez sur Suivant jusqu'à ce que vous accédiez à la page Résumé, puis cliquez sur Enregistrer.

Accédez à Configurer > Groupes de mise à disposition et ajoutez l’application Win32 comme application requise.

Après avoir déployé l'application, informez vos utilisateurs que l'application est disponible.

Mettre à niveau une application Win32

  1. Recherchez les métadonnées de l’application, comme indiqué précédemment dans « Rechercher les métadonnées MSI ».
  2. Accédez à Configurer > Applications pour télécharger la nouvelle version de l’application. Mettez à jour la Version de l’application. Si la nouvelle version de l’application a un code produit différent, mettez à jour ce paramètre.
  3. Envoyez les modifications et déployez l’application.

Prise en charge des fichiers ADMX pour les appareils Windows 10 Desktop et Tablet

Vous pouvez désormais importer les paramètres de stratégie de modèle d'administration Microsoft (ADMX) lors de la configuration de stratégies pour les tablettes et bureaux Windows 10. Pour importer un fichier ADMX et configurer les paramètres, utilisez la stratégie de Configuration d’application de XenMobile.

Dans la console XenMobile, cliquez sur Configurer > Stratégies d'appareil. La page Stratégies d'appareil s'affiche.

Cliquez sur Ajouter. La page Ajouter une nouvelle stratégie apparaît.

Sous Applications, cliquez sur Configuration appli. La page d'informations sur la Stratégie de configuration d'application s'affiche.

Dans la section Informations sur la stratégie, entrez les informations suivantes :

  • Nom de la stratégie : entrez un nom descriptif pour la stratégie.
  • Description : entrez une description pour la stratégie (facultatif).

Désélectionnez toutes les cases à cocher Plate-forme à l’exception de Windows Desktop/Tablet et cliquez sur Suivant.

Dans Type d’application, sélectionnez Application Win32.

Dans Fichier ADMX, importez le fichier ADMX que vous souhaitez utiliser pour configurer la stratégie.

localized image

Cliquez sur Ajouter pour ajouter la configuration. Les options de configuration du fichier ADMX apparaissent sur le côté droit de la page.

localized image

Choisissez un chemin d’accès de la stratégie.

Définissez Activer sur Activé.

Définissez les autres options requises pour l’application :

  • Entrez les valeurs des éléments de liste sous forme de paires clé-valeur. Utilisez la chaîne «  » pour séparer chaque paire clé-valeur ainsi que la valeur et la clé dans la paire.
  • Les valeurs nécessitant une valeur décimale peuvent exiger des valeurs dans une plage spécifique.

Pour ajouter une autre configuration à cette stratégie, cliquez sur Ajouter et choisissez un chemin d'accès différent. Répétez les étapes 10 et 11.

Remarque : si vous choisissez le même chemin d’accès de stratégie plusieurs fois, la configuration associée à la version la plus récemment choisie est appliquée.

Cliquez sur Suivant.

Configurez les règles de déploiement et sélectionnez des groupes de mise à disposition.

Autres améliorations

  • Forcer une synchronisation avec votre compte VPP. XenMobile réimporte périodiquement les licences VPP depuis Apple pour s'assurer que les licences reflètent toutes les modifications. Vous pouvez désormais forcer une synchronisation. La page Paramètres > Paramètres iOS inclut un bouton Forcer la synchronisation.

Une fois que vous avez cliqué pour confirmer l’action, XenMobile importe les informations de VPP. L'importation peut prendre plusieurs minutes, en fonction du nombre de licences VPP. Une fois la synchronisation terminée, XenMobile actualise la page Paramètres iOS et met à jour la date et l'heure de synchronisation dans la nouvelle colonne Dernière date de synchronisation.

localized image
  • Prise en charge de Windows 10 RS3. Nous avons certifié XenMobile 10.7 avec Windows 10 RS3 Phone et Tablet.
  • Macros autorisées pour les champs sans chaîne dans les stratégies Cellulaire pour iOS. XenMobile vous permet maintenant d’utiliser des macros pour les valeurs des champs qui ne sont pas des chaînes, comme le port du serveur Proxy, dans la stratégie cellulaire iOS.

Par exemple, vous pouvez maintenant utiliser une macro telle que « ${device.xyz} » ou « ${setting.xyz} », qui se développe en un entier. Vous pouvez également utiliser les macros dans un fichier XML de configuration d'appareil que vous importez dans XenMobile à l’aide de la stratégie d'importation de profils iOS et macOS.

  • Désactiver des applications sur des appareils Samsung SAFE. Vous pouvez utiliser la stratégie Restrictions pour empêcher une liste d'applications installées de s'exécuter sur les appareils Samsung SAFE. Par défaut, le nouveau paramètre Désactiver les applications est défini sur Désactivé, ce qui signifie que les applications sont activées. Pour désactiver une application installée, définissez le paramètre sur Activé, cliquez sur Ajouter dans le tableauListe d'applications, puis entrez le nom du package d’application.

La modification et le déploiement d'une liste d'applications écrasent la liste d'applications précédente. Par exemple : si vous désactivez com.example1 et com.example2 et modifiez ensuite la liste vers com.example1 et com.example3, XenMobile active com.example.2.

localized image
  • Plus d'informations sur l'état de la stratégie Contrôler mise à jour d'OS. La page Gérer > Appareils > Détails de l'appareil affiche à présent l'état des analyses de mise à jour de système d'exploitation planifiées, des mises à jour de système d'exploitation disponibles et des mises à jour de macOS et d'applications planifiées. L’état fourni comprend les informations suivantes :
    • Planification d'analyse de mise à jour d'OS envoyée
    • Planification d'analyse de mise à jour d'OS confirmée
    • Obtention de la mise à jour d'OS disponible envoyée
    • Obtention de la mise à jour d'OS disponible confirmée
    • Installation de la mise à jour d'OS envoyée
    • Installation de la mise à jour d'OS confirmée
localized image
  • Nouvelles propriétés de serveur pour spécifier le nombre de jours après lequel un appareil iOS ou macOS hors connexion est considéré comme inaccessible. Lorsqu'un appareil iOS ou macOS atteint la limite spécifiée par les propriétés de serveur suivantes, il arrête de communiquer avec XenMobile Server. Par défaut, les deux propriétés sont définies sur 45 jours.
    • ios.delayBeforeDeclareUnreachable
    • macos.delayBeforeDeclareUnreachable
  • Les modifications apportées aux propriétés de serveur suivantes ne nécessitent plus le redémarrage de XenMobile Server :
    • Toujours ajouter l'appareil (secure.device.add.device.always)
    • Déconnexion automatique (secure.device.auto.logout.after)
    • Déploiement en arrière-plan (scheduling.background.deployment)
    • Inventaire matériel en arrière-plan (scheduling.background.inventory)
    • Bloquer l'inscription des iOS jailbreakés et Android rootés (secure.device.forbid.jailbroken.iphones.and.rooted.androids)
    • Renouvellement du certificat (en secondes) (secure.device.renew.certificate.before)
    • Canal de déploiement par défaut (macos.mdm.deployment.deploymentSplitType)
    • Activer la triangulation des appareils (zdm.device.triangulation.enable)
    • SSL mode forcé (secure.device.enforce.ssl)
    • Inscription requise (wsapi.mdm.required.flag)
    • Full Pull of ActiveSync Allowed and Denied Users (mag.policy.baseline.interval.seconds)
    • Maximum Device IDs (zdm.mag.max.device.ids.asked)
    • Pull of Incremental Change of Allowed and Denied Users (mag.policy.delta.interval.seconds)
    • Secure Authentication (secure.device.enforce.strong.authentication)
    • SOAP Web Services (zdm.ws.soap.otp-service.enabled)
    • Identifiant fort de 8 caractères (secure.device.strong.id.short)
    • Identifiant fort valide une seule fois (secure.device.strong.id.valid.once)
    • User-Defined Device Properties N
    • Users only from Exchange (userOnlyFromExchange)
    • XenMobile MDM Self Help Portal console max inactive interval (minutes) (zdm.console.max.inactive.interval)

Problèmes résolus dans cette version

Lorsque vous configurez la stratégie Cellulaire dans la console XenMobile : l'utilisation d’une macro pour un nombre entier entraîne une erreur, telle que « Entrez des valeurs entières pour le port comprises entre 1 et 65535. » Lors de l'importation d'un fichier XML de configuration d'appareil dans XenMobile à l'aide de la règle Importer profil iOS et macOS : l'utilisation d'une macro pour un entier entraîne une erreur, telle que « Erreur d'analyse détectée ; le fichier sélectionné est un fichier de configuration iOS non valide ou corrompu : 'Impossible d'analyser: org.xml.sax.InputSource@69335cc'. » [CXM-32005]

Lorsque vous déployez une stratégie Notifications d'applications pour les applications Messages et Wallet sur des appareils iOS, certaines options ne fonctionnent pas comme prévu. Par exemple, vous ne pouvez pas désactiver les notifications pour les applications Messages et Wallet et vous ne pouvez pas désactiver les sons pour l'application Messages. Ce problème de tierce partie correspond à l'ID de bogue Apple 34591546. [CXM-37529]

Lorsque vous utilisez la console XenMobile dans Internet Explorer, avec les paramètres régionaux définis sur « Anglais - Afrique du Sud » (en-ZA) : la dernière date d'authentification affichée sur la page Gérer > Utilisateurs est incorrecte. [CXM-40028]

Le chargement d’un fichier APK vers la console XenMobile échoue avec « Erreur interne 500 du serveur ». [CXM-40333]

Lorsque vous cliquez sur Secure Mail ou Secure Web pour Android dans la liste Configurer > Applications, puis cliquez sur Afficher plus, le message d’erreur suivant peut s’afficher : « Une erreur de configuration s’est produite. Veuillez réessayer. » Dans la section Classement des applications, l'onglet Android est vide. [CXM-40334]

Les actions de sécurité ne s'exécutent pas sur un nœud déjà initialisé pour un push donné si la notification est envoyée depuis un autre nœud. [CXM-40418]

Lorsque vous téléchargez une nouvelle version iOS en tant que mise à jour, le champ « Planification de mise à jour d'OS » est vide dans Paramètres généraux de Détails de l'appareil. [CXM-41066]

Problèmes connus dans cette version

Pour les environnements Azure uniquement : les appareils iOS qui sont en mode déconnecté pendant plus de sept jours ne communiquent pas avec XenMobile Server jusqu'à ce que le serveur redémarre. [CXM-39540]

Pour les appareils exécutant Windows 10 RS3 version 1709 build 16299.19 : les stratégies de configuration de l’application XenMobile créées en important un fichier ADMX de Citrix Receiver peuvent échouer lors de la distribution sur ces appareils. [CXM-40521]

Lorsque vous importez le fichier ADMX de Microsoft Office 2016 pour créer la stratégie de configuration de l’application XenMobile, cette erreur peut s’afficher :

« Error while processing admx/office16.admx: cvc-complex-type.3.2.3: Attribute 'noSort' is not allowed to appear in element. » Pour éviter cette erreur, modifiez le fichier office16.admx pour supprimer la chaîne de texte « noSort = 'true'. » Rezippez le fichier pour le chargement. [CXM-40750]

Lorsque vous importez un fichier ADMX de Citrix Receiver pour créer la stratégie de configuration de l’application XenMobile, XenMobile peut ne pas afficher une erreur si vous ne renseignez pas un champ obligatoire. Assurez-vous de spécifier tous les champs obligatoires avant d'enregistrer la stratégie. [CXM-40664]

Certaines applications MSI Win32 volumineuses peuvent ne pas être installées. L'erreur consignée dans le journal est similaire à la suivante : Msi Application received : Reporting:AppPush id:AdbeRdr1000_en_US.msi : Command execution failed -2147023277. [CXM-40890]

XenMobile Service 10.7.2

Chiffrement FileVault sur les appareils macOS inscrits

La fonctionnalité de cryptage de disque FileVault de macOS protège le volume système en cryptant son contenu. Lorsque FileVault est activé sur un appareil macOS, un utilisateur se connecte avec son mot de passe de compte à chaque démarrage de l'appareil. Si l'utilisateur perd son mot de passe, une clé de récupération lui permet de déverrouiller le disque et de réinitialiser son mot de passe.

La stratégie XenMobile, FileVault, active les écrans de configuration utilisateur de FileVault et configure les paramètres tels que les clés de récupération. Pour plus d'informations sur FileVault, consultez l’article Apple https://support.apple.com/kb/PH25107.

Cliquez sur Configurer > Stratégies d'appareil. La page Stratégies d'appareil s'affiche.

Cliquez sur Ajouter. La boîte de dialogue Ajouter une nouvelle stratégie apparaît.

Commencez à taper FileVault, puis cliquez sur ce nom dans les résultats de recherche. La page d'informations Stratégie FileVault s'affiche.

Dans la page Informations sur la stratégie, entrez les informations suivantes :

  • Nom de la stratégie : entrez un nom descriptif pour la stratégie.
  • Description : entrez une description pour la stratégie (facultatif).

Cliquez sur Suivant et configurez les paramètres de plate-forme.

Paramètres macOS

localized image
  • Exiger activation de FileVault durant la déconnexion : si cette option est définie sur ON, l'utilisateur est invité à activer FileVault au cours des N prochaines déconnexions, comme spécifié par l'option Nbre max. de fois qu'il est possible d'ignorer l'activation de FileVault. Si elle est définie sur OFF, l’invite de mot de passe FileVault ne s’affiche pas.

Une fois que vous avez déployé la stratégie FileVault avec ce paramètre activé, l'écran suivant s'affiche lorsqu'un utilisateur se déconnecte de l'appareil. L’écran donne à l’utilisateur l’option d’activer FileVault avant la déconnexion.

localized image

Si la valeur Nbre max. de fois qu'il est possible d'ignorer l'activation de FileVault n’est pas 0 : une fois que vous avez déployé la stratégie FileVault avec ce paramètre désactivé, lorsque l’utilisateur se connecte, l’écran suivant s’affiche.

localized image

Si la valeur Nbre max. de fois qu'il est possible d'ignorer l'activation de FileVault est 0 ou si l’utilisateur a ignoré la configuration de ce nombre, l’écran suivant s’affiche.

localized image
  • Nbre max. de fois qu'il est possible d'ignorer l'activation de FileVault : nombre maximal de fois que l’utilisateur peut ignorer la configuration de FileVault. Lorsque l'utilisateur atteint le nombre maximal de fois défini, il doit configurer FileVault pour se connecter. Si la valeur est 0, l’utilisateur doit activer FileVault lors de sa première tentative de connexion. La valeur par défaut est 0.
  • Type de clé de secours : un utilisateur qui oublie son mot de passe peut taper une clé de secours pour déverrouiller le disque et réinitialiser son mot de passe. Options de clé de secours :

Clé de secours privée : une clé de secours privée est propre à un utilisateur. Lors de l'installation de FileVault, un utilisateur choisit de créer une clé de secours ou d'autoriser son compte iCloud à déverrouiller son disque. Pour afficher la clé de secours pour l’utilisateur après la configuration de FileVault, activez Afficher la clé de secours privée. L'affichage de la clé permet à l'utilisateur de noter la clé pour une utilisation ultérieure. Pour plus d'informations sur la gestion des clés de secours, consultez l’article Apple https://support.apple.com/en-us/HT204837.

Clé de secours institutionnelle : vous pouvez créer une clé de secours institutionnelle (ou principale) et un certificat FileVault, que vous pouvez ensuite utiliser pour déverrouiller les appareils. Pour plus d'informations, consultez l’article Apple https://support.apple.com/en-us/HT204837. Utilisez XenMobile pour déployer le certificat FileVault sur les appareils. Pour de plus amples informations, consultez Certificats et authentification.

Clé de secours privée et institutionnelle : avec l’activation de ces deux types de clés de secours, vous devez déverrouiller un appareil utilisateur uniquement si l’utilisateur perd sa clé de secours privée.

  • Afficher la clé de secours privée : si ce paramètre est activé, la clé de secours privée s'affiche après l'activation de FileVault sur l'appareil. Valeur par défaut ON.
localized image

 Configurez les règles de déploiement et choisissez des groupes de mise à disposition. Pour de plus amples informations, consultez la section Ajouter une stratégie d'appareil.

Prise en charge du nouveau client VPN Cisco AnyConnect pour iOS

Cisco élimine progressivement le client Cisco AnyConnect, basé sur une infrastructure VPN désormais obsolète. Cisco a renommé ce client Cisco Legacy AnyConnect. Le bundle ID n’est pas modifié, com.cisco.anyconnect.gui.

Cisco a un nouveau client nommé Cisco AnyConnect. Le nouveau client offre une connexion plus fiable aux ressources internes et la prise en charge des applications TCP et UDP avec Per App VPN. Le bundle ID du nouveau client est com.cisco.anyconnect. Cisco prend en charge le nouveau client pour iOS 10 (version minimum).

  • Pour continuer à utiliser le client Legacy AnyConnect : si vous utilisez toujours le client d’ancienne génération, vous n’avez pas besoin de modifier votre stratégie VPN existante pour iOS. La stratégie continuera à fonctionner jusqu'à ce que Cisco arrête la prise en charge du client d'ancienne génération. À compter de cette version, l'option Type de connexion Cisco AnyConnect est renommée Cisco Legacy AnyConnect dans la console de XenMobile Server.
  • Pour utiliser le nouveau client Cisco AnyConnect : le nouveau client Cisco AnyConnect ne détecte pas une stratégie XenMobile VPN créée avec l'option Type de connexion Cisco AnyConnect.

Pour utiliser le nouveau client Cisco AnyConnect, configurez XenMobile Server, comme suit.

Accédez à Configurer > Stratégies d’appareil et ajoutez une stratégie VPN pour iOS.

Sur la page de plate-forme Stratégie VPN, configurez les paramètres. Les paramètres décrits ici sont requis pour Cisco AnyConnect.

  • Nom de la connexion : Cisco AnyConnect
  • Type de connexion : SSL personnalisé.
  • Identifiant SSL personnalisé (format DNS inverse) : com.cisco.anyconnect
  • Identificateur de bundle de fournisseur : com.cisco.anyconnect
  • Type de fournisseur : Tunnel de paquet.

D'autres paramètres tels que Type d’authentification pour la connexion et Activer Per App VPN dépendent de votre scénario d’utilisation. Pour plus d’informations, consultez la section « Configurer le protocole SSL personnalisé » sous Configurer les paramètres pour iOS.

localized image

 Configurez les règles de déploiement et choisissez des groupes de mise à disposition pour la stratégie VPN. Déployez cette stratégie sur les appareils iOS.

Chargez le client Cisco AnyConnect depuis https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8, ajoutez l’application à XenMobile Server et déployez l’application sur les appareils iOS.

Supprimez l'ancienne stratégie VPN des appareils iOS.

Pour plus d’informations, consultez l’article de support de XenMobile https://support.citrix.com/article/CTX227708.

Contrôler les mises à jour de système d'exploitation pour Windows Desktop/Tablet

Vous pouvez désormais utiliser la stratégie Contrôler mise à jour d'OS pour déployer les mises à jour du système d'exploitation sur les appareils Windows 10 Desktop et Tablet supervisés.

localized image

Options Windows Desktop/Tablet

  • Sélectionner le mode des heures d'activité : sélectionnez un mode pour configurer les heures d'activité pour effectuer les mises à jour du système d’exploitation, selon une plage d’heures ou une heure de début et de fin. Une fois que vous avez sélectionné un mode, des paramètres supplémentaires s’affichent : Spécifier la plage maximale des heures d'activité ou Début des heures d'activité et Fin des heures d'activité. Non configuré permet à Windows d'effectuer les mises à jour du système d’exploitation à tout moment. La valeur par défaut est Non configuré.
  • Comportement de mise à jour automatique : configure le téléchargement, l'installation et le redémarrage du service de mise à jour Windows sur les appareils utilisateur. La valeur par défaut est Installer automatiquement et redémarrer.
    • Avertir l’utilisateur avant de télécharger la mise à jour : Windows avertit les utilisateurs lorsque des mises à jour sont disponibles. Windows ne télécharge et n'installe pas automatiquement les mises à jour. Les utilisateurs doivent lancer les actions de téléchargement et d'installation.
    • Installer automatiquement et m'informer de planifier un redémarrage : Windows télécharge automatiquement les mises à jour sur les réseaux non limités. Windows installe les mises à jour pendant la maintenance automatique lorsque l'appareil n'est pas utilisé et ne fonctionne pas sur batterie. Si la maintenance automatique ne peut pas installer les mises à jour pendant deux jours, Windows Update installe immédiatement les mises à jour. Si l’installation nécessite un redémarrage, Windows invite l’utilisateur à planifier l’heure de redémarrage. L’utilisateur a sept jours pour planifier le redémarrage. Après sept jours, Windows force l’appareil à redémarrer. Permettre à l'utilisateur de contrôler l'heure de démarrage réduit le risque de perte accidentelle de données causée par des applications qui ne s'arrêtent pas correctement au redémarrage.
    • Installer automatiquement et redémarrer : valeur par défaut. Windows télécharge automatiquement les mises à jour sur les réseaux non limités. Windows installe les mises à jour pendant la maintenance automatique lorsque l'appareil n'est pas utilisé et ne fonctionne pas sur batterie. Si la maintenance automatique ne peut pas installer les mises à jour pendant deux jours, Windows Update installe immédiatement les mises à jour. Si l’installation nécessite un redémarrage, Windows redémarre automatiquement l’appareil lorsque l’appareil est inactif.
    • Installer automatiquement et redémarrer à une heure spécifiée : lorsque vous choisissez cette option, d'autres paramètres apparaissent afin que vous puissiez spécifier le jour et l'heure. La valeur par défaut est 3 heures du matin tous les jours. L'installation automatique a lieu à l'heure spécifiée et le redémarrage de l'appareil se produit après un compte à rebours de 15 minutes. Si l'utilisateur est connecté lorsque Windows est prêt à redémarrer, l'utilisateur peut interrompre le compte à rebours de 15 minutes pour retarder le redémarrage.
    • Installer automatiquement et redémarrer sans intervention de l'utilisateur : Windows télécharge automatiquement les mises à jour sur des réseaux non limités. Windows installe les mises à jour pendant la maintenance automatique lorsque l'appareil n'est pas utilisé et ne fonctionne pas sur batterie. Si la maintenance automatique ne peut pas installer les mises à jour pendant deux jours, Windows Update installe immédiatement les mises à jour. Si l’installation nécessite un redémarrage, Windows redémarre automatiquement l’appareil lorsque l’appareil est inactif. Cette option place également le panneau de contrôle de l'utilisateur en lecture seule.
    • Désactiver les mises à jour automatiques : désactive les mises à jour automatiques sur l’appareil.
  • Rechercher des mises à jour d'applications depuis Microsoft Update : indique si Windows accepte les mises à jour pour les autres applications Microsoft depuis le service de mise à jour Microsoft. La valeur par défaut est Non configuré.
    • Non configuré : utilisez ce paramètre si vous ne souhaitez pas configurer le comportement. Windows ne modifie pas l'interface utilisateur associée sur les appareils utilisateur. Les utilisateurs peuvent accepter ou refuser les mises à jour pour d’autres applications de Microsoft.
    • Oui : Windows autorise l'installation des mises à jour d'application à partir du service de mise à jour de Windows. Le paramètre associé sur l'appareil utilisateur est inactif, de sorte que l'utilisateur ne peut pas modifier le paramètre.
    • Non : Windows n'autorise pas l'installation des mises à jour d'application à partir du service de mise à jour de Windows. Le paramètre associé sur l'appareil utilisateur est inactif, de sorte que l'utilisateur ne peut pas modifier le paramètre.
  • Spécifier la branche des mises à jour : indique la branche de service de mise à jour Windows à utiliser pour les mises à jour. La valeur par défaut est Non configuré.
    • Non configuré : utilisez ce paramètre si vous ne souhaitez pas configurer le comportement. Windows ne modifie pas l'interface utilisateur associée sur les appareils utilisateur. Les utilisateurs peuvent choisir une branche de service de mise à jour Windows.
    • Current Branch : Windows reçoit les mises à jour à partir de la branche actuelle. Le paramètre associé sur l'appareil utilisateur est inactif, de sorte que l'utilisateur ne peut pas modifier le paramètre.
    • Current Branch for Business : Windows reçoit les mises à jour à partir de la branche actuelle pour l'entreprise. Le paramètre associé sur l'appareil utilisateur est inactif, de sorte que l'utilisateur ne peut pas modifier le paramètre.
  • Configurer le nombre de jours pendant lesquels différer les mises à jour de fonctionnalité : si cette option est activée, Windows diffère les mises à jour du nombre de jours spécifié et l'utilisateur ne peut pas modifier le paramètre. Si cette option est désactivée, l'utilisateur peut modifier le nombre de jours pour différer la mise à jour des fonctionnalités. La valeur par défaut est Désactivé.
  • Configurer le nombre de jours pendant lesquels différer les mises à jour qualité : si cette option est activée, Windows diffère les mises à jour du nombre de jours spécifié et l'utilisateur ne peut pas modifier le paramètre. Si cette option est désactivée, l'utilisateur peut modifier le nombre de jours pour différer la mise à jour qualité. La valeur par défaut est Désactivé.
  • Suspendre les mises à jour qualité : indique s'il faut suspendre les mises à jour qualité pendant 35 jours. La valeur par défaut est Non configuré.
    • Non configuré : utilisez ce paramètre si vous ne souhaitez pas configurer le comportement. Windows ne modifie pas l'interface utilisateur associée sur les appareils utilisateur. Les utilisateurs peuvent choisir de suspendre les mises à jour qualité pendant 35 jours.
    • Oui : Windows interrompt l'installation des mises à jour qualité provenant du service Windows Update pendant 35 jours. Le paramètre associé sur l'appareil utilisateur est inactif, de sorte que l'utilisateur ne peut pas modifier le paramètre.
    • Non : Windows n'interrompt pas l'installation des mises à jour qualité provenant du service Windows Update. Le paramètre associé sur l'appareil utilisateur est inactif, de sorte que l'utilisateur ne peut pas modifier le paramètre.
  • Autoriser uniquement les mises à jour figurant dans la liste d'approbation : indique si vous souhaitez installer uniquement les mises à jour qu’un serveur MDM approuve. XenMobile Server ne prend actuellement pas en charge la configuration d'une liste de mises à jour approuvée. La valeur par défaut est Non configuré.
    • Non configuré : utilisez ce paramètre si vous ne souhaitez pas configurer le comportement. Windows ne modifie pas l'interface utilisateur associée sur les appareils utilisateur. Les utilisateurs peuvent choisir les mises à jour à autoriser.
    • Oui, installer uniquement les mises à jour approuvées : permet l'installation de mises à jour approuvées uniquement.
    • Non, installer toutes les mises à jour applicables : permet l’installation des mises à jour applicables sur l’appareil.
  • Utiliser le serveur de mise à jour interne : indique si les mises à jour doivent être obtenues à partir du service de mise à jour de Windows ou d'un serveur de mise à jour interne via Windows Server Update Services (WSUS). Si cette option est désactivée, les appareils utilisent le service de mise à jour de Windows. Si cette option est activée, les appareils se connectent au serveur WSUS spécifié pour les mises à jour. La valeur par défaut est Désactivé.
    • Accepter les mises à jour signées par des entités autres que Microsoft : indique s'il faut accepter les mises à jour signées par des entités tierces autres que Microsoft. Cette fonctionnalité requiert que l’appareil approuve le certificat du fournisseur tiers. La valeur par défaut est Désactivé.
    • Autoriser la connexion au service de mise à jour Microsoft : permet au service de mise à jour Windows de l'appareil de se connecter régulièrement au service de mise à jour Microsoft, même si l'appareil est configuré pour recevoir les mises à jour depuis un serveur WSUS. La valeur par défaut est Activé.
    • Serveur WSUS : spécifiez l’URL du serveur WSUS.
    • Serveur intranet secondaire pour héberger les mises à jour : spécifiez une adresse URL de serveur intranet secondaire pour héberger les mises à jour et recevoir des rapports.

Installation de cartes hors connexion sur des appareils Windows 10 supervisés

Les appareils Windows 10 Phone prennent en charge les cartes en mode déconnecté. Utilisez la stratégie Cartes pour spécifier les cartes à télécharger sur les appareils. Le fournisseur de service de configuration (CSP) de Cartes Microsoft prend actuellement en charge les cartes d’Allemagne, du Royaume-Uni et des États-Unis.

localized image

Autres améliorations

  • Lorsque vous effectuez un effacement complet d’un appareil iOS 11 avec forfait de données cellulaires, vous pouvez choisir de préserver le forfait de données.
localized image
  • XenMobile affiche désormais un avertissement d'expiration de licence lorsque les jetons VPP ou DEP d'Apple arrivent à expiration ou ont expiré.
localized image
localized image
  • Formats de date et d'heure basés sur les paramètres régionaux. La date et l'heure qui apparaissent sur les pages Gérer > Appareils et Gérer > Utilisateurs sont maintenant formatées en fonction des paramètres régionaux. Par exemple, 18 h le 15 octobre 2017 est affiché comme suit :

États-Unis (en-US) : 10/15/17 06:00:00 pm
Royaume-Uni (en-GB) : 15/10/17 18:00:00
Afrique du Sud (en-ZA) : 2017/10/15 06:00:00 pm

localized image

Problèmes résolus dans cette version

Sur la page Gérer > Appareils > Propriétés  : la propriété Code secret conforme est définie sur Oui pour les appareils Samsung qui ne répondent pas aux exigences de la stratégie de code d'accès. [CXM-37948]

Dans Configurer > Stratégies d’appareil > Stratégie de mode kiosque : une fois que vous avez entré le nom de la stratégie et que vous avez accédé à la page iOS, les bundle ID ne s’affichent pas dans le menu Bundle ID d’application. Lorsque vous basculez entre Android et iOS, les bundle ID d’application apparaissent. [CXM-39302]

Lorsque vous importez un certificat d'écoute SSL renouvelé dans XenMobile, le message « Impossible d'importer le certificat » s'affiche. Après le redémarrage de XenMobile Server, la page Certificats et la base de données XenMobile continuent à référencer l'ancien certificat. Toutefois, le nouveau certificat est affiché dans un navigateur web. [CXM-39409]

Si une action marque les appareils inscrits comme non conformes lorsque Secure Hub n'est pas installé : les appareils avec Secure Hub sont également marqués comme non conformes. Ce correctif s'applique aux actions qui ont le modèle suivant. Déclencheur : si Nom de l’application installée n’est pas / ne contient pas . Action : Effectuer après un délai de <5 à 10> minutes. [CXM-39410]

Problèmes connus dans cette version

Lorsque vous déployez une stratégie Notifications d'applications pour les applications Messages et Wallet sur des appareils iOS, certaines options ne fonctionnent pas comme prévu. Par exemple, vous ne pouvez pas désactiver les notifications pour les applications Messages et Wallet et vous ne pouvez pas désactiver les sons pour l'application Messages. Ce problème de tierce partie correspond à l'ID de bogue Apple 34591546. [CXM-37529]

Lorsque vous utilisez la console XenMobile dans Internet Explorer, avec les paramètres régionaux définis sur « Anglais - Afrique du Sud » (en-ZA) : la dernière date d'authentification affichée sur la page Gérer > Utilisateurs est incorrecte. [CXM-40028]

XenMobile Service 10.7.1

Nouvelles restrictions pour les appareils supervisés exécutant iOS

Les restrictions suivantes sont maintenant disponibles pour les appareils exécutant iOS. La version minimale prise en charge pour chaque restriction est indiquée.

Autoriser l'application En classe à observer à distance les écrans des étudiants : si cette restriction n'est pas sélectionnée, un instructeur ne peut pas utiliser l'application En classe pour observer les écrans des étudiants à distance. Le paramètre par défaut est sélectionné, un instructeur peut utiliser l'application En classe pour observer les écrans des étudiants. Le paramètre Autoriser l'application En classe à modifier les autorisations AirPlay et Voir l'écran sans invite détermine si les élèves reçoivent une invite pour autoriser l'instructeur. Pour les appareils supervisés exécutant iOS 9.3 (version minimale).

Autoriser l'application En classe à modifier les autorisations AirPlay et Voir l'écran sans invite : si cette restriction est sélectionnée, l'instructeur peut modifier les autorisations AirPlay et voir l'écran de l'appareil d'un étudiant, sans demander d'autorisation. Par défaut, cette restriction n'est pas sélectionnée. Pour les appareils supervisés exécutant iOS 10.3 (version minimale).

Autoriser l'application En classe à verrouiller une application et l'appareil sans invite : si cette restriction est définie sur Activé, l’application En classe verrouille automatiquement les appareils utilisateur sur une application et verrouille l'appareil, sans inviter les utilisateurs. Le paramètre par défaut est Désactivé. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Rejoindre automatiquement les cours de l'application En classe sans invite : si cette restriction est définie sur Activé, l'application En classe joint automatiquement les utilisateurs aux classes, sans inviter les utilisateurs. Le paramètre par défaut est Désactivé. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Autoriser AirPrint : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas imprimer avec AirPrint. Le paramètre par défaut est Activé. Lorsque cette restriction est définie sur Activé, les restrictions supplémentaires suivantes s’affichent. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Autoriser le stockage des identifiants AirPrint dans le trousseau : si cette restriction n'est pas sélectionnée, le nom d'utilisateur et le mot de passe AirPrint ne sont pas stockés dans le trousseau. Par défaut, ce paramètre est sélectionné. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Autoriser la détection des imprimantes AirPrint à l'aide d'iBeacons : si cette restriction est désactivée, la détection iBeacon des imprimantes AirPrint est désactivée. La désactivation de la détection empêche les balises Bluetooth AirPrint parasites de perpétrer des attaques de phishing sur le trafic réseau. Par défaut, ce paramètre est sélectionné. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Autoriser AirPrint uniquement aux destinations avec des certificats de confiance : si cette restriction est sélectionnée, les utilisateurs peuvent utiliser AirPrint pour imprimer uniquement vers des destinations avec des certificats de confiance. Par défaut, cette restriction n'est pas sélectionnée. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Ajout de configurations VPN : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas créer de configurations VPN. Le paramètre par défaut est Activé. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Modification des paramètres du forfait de données : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas modifier les paramètres du forfait de données. Le paramètre par défaut est Activé. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Suppression des applications système : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas supprimer les applications système de leur appareil. Le paramètre par défaut est Activé. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Configuration des nouveaux appareils à proximité : si cette restriction est définie sur Désactivé, les utilisateurs ne peuvent pas configurer de nouveaux appareils à proximité. Le paramètre par défaut est Activé. Pour les appareils supervisés exécutant iOS 11 (version minimale).

Pour configurer ces restrictions, accédez à Configurer > Stratégies d’appareil. Pour plus d’informations sur la configuration des restrictions, consultez la section Stratégies de restrictions.

localized image
localized image

Prise en charge de Samsung Enterprise Firmware-Over-The-Air (E-FOTA)

Samsung Enterprise FOTA (E-FOTA) vous permet de déterminer quand les appareils sont mis à jour et la version de micrologiciel à utiliser. E-FOTA vous permet de tester les mises à jour avant de les déployer, afin de vous assurer que les mises à jour sont compatibles avec vos applications. Vous pouvez forcer les appareils à se mettre à jour avec la dernière version de micrologiciel disponible, sans nécessiter d'interaction de la part de l'utilisateur.

Samsung prend en charge E-FOTA pour les appareils Samsung KNOX 2.7.1 (version minimale) qui exécutent un micrologiciel autorisé.

Pour configurer une stratégie E-FOTA :

Créez une stratégie de clé de licence MDM Samsung avec les clés et les informations de licence que Samsung vous a fournies. XenMobile Server valide puis enregistre les informations.

localized image
  • Clé de licence ELM : ce champ contient déjà la macro qui génère la clé de licence ELM. Si le champ est vide, entrez la macro ${elm.license.key}.

Tapez les informations suivantes fournies par Samsung lors de l'achat d'un pack E-FOTA :

ID client d'Enterprise FOTA
Licence Enterprise FOTA
ID du client
Clé secrète client

Créez une stratégie Contrôler mise à jour d'OS.

localized image

Pour configurer ces paramètres :

  • Activer Enterprise FOTA : définissez sur Activé.
  • Clé de licence d'Enterprise FOTA : sélectionnez le nom de la stratégie de clé de licence MDM Samsung que vous avez créée à l’étape 1.

Déployez la stratégie Contrôler mise à jour d'OS sur Secure Hub.

Autres améliorations

  • Nouvelle option d'assistant d'installation iOS : Présentation des nouvelles fonctionnalités. L’élément d'assistant d’installation iOS Présentation des nouvelles fonctionnalités permet de configurer ces écrans d’information d’intégration : accès au Dock à partir de n’importe quel emplacement et basculement entre applications récentes. Vous pouvez choisir d'omettre les écrans d'intégration des étapes de l'assistant d'installation iOS lorsque les utilisateurs démarrent leurs appareils pour la première fois.

Présentation des nouvelles fonctionnalités est disponible pour iOS 11.0 (version minimum). Par défaut, tous les éléments sont désactivés.

localized image
  • L'interface de la console XenMobile pour les applications macOS VPP a été modifiée comme suit :
    • Dans Configurer > Applications, vous pouvez filtrer les applications par macOS VPP. Les parties de l'interface qui ne s'appliquent pas à une application macOS VPP sont maintenant omises. Par exemple, la section Configuration du magasin ne s’affiche pas car il n’existe aucun Secure Hub pour macOS. L'option d'importation des clés VPP n'apparaît plus.
    • Dans Gérer > Appareils, les Propriétés utilisateur comprennent Retire VPP account (Retirer le compte VPP).
  • Stratégie Contrôler mise à jour d'OS pour macOS. Vous pouvez désormais utiliser la stratégie Contrôler mise à jour d'OS pour déployer des mises à jour du système d'exploitation sur des appareils macOS supervisés ou déployés via Apple DEP.
localized image
  • Option permettant à plusieurs utilisateurs d'utiliser un appareil Samsung SAFE. La stratégie Restrictions inclut désormais l'option de contrôle du matériel, Autoriser utilisateurs multiples. Cette option, pour MDM 4.0 et versions ultérieures, est OFF par défaut.
  • La page Gérer> Appareils inclut désormais ces propriétés d'appareil supplémentaires signalées par les appareils Android :

Code de l'opérateur (signalé uniquement par les appareils exécutant Samsung MDM 5.7 ou version ultérieure)
Numéro de modèle (signalé uniquement par les appareils exécutant Samsung MDM version 2.0 ou ultérieure)

  • La stratégie Restrictions inclut désormais une stratégie pour désactiver l’appareil photo sur les appareils Android. Pour configurer la stratégie, accédez à Configurer > Stratégies d’appareil, cliquez sur Ajouter et cliquez sur Restrictions Par défaut, l’utilisation de l’appareil photo est activée. Pour désactiver l’utilisation de l’appareil photo, réglez le paramètre Appareil photo sur OFF.

Cette fonction nécessite Secure Hub 10.7.5 (version minimum).

localized image
  • Lors de la création d’une action basée sur les propriétés d’appareil avec une valeur de type entier : vous pouvez maintenant choisir entre Supérieur ou égal à et Inférieur ou égal à, en plus de la condition existante, Est. Les valeurs de propriété d'appareil qui ont de nouvelles conditions incluent : RAM disponible et totale, espace de stockage disponible et total, dimensions d'écran et résolution d'écran. Utilisez la page Configurer> Actions pour créer des actions.
  • Mise à jour de la connexion/déconnexion de l’API publique. Les utilisateurs de Citrix Cloud peuvent désormais se connecter à l'API publique XenMobile pour les services REST en utilisant un jeton récupéré via l'API Citrix Cloud. Pour de plus amples informations, consultez la section 3.3.2 Login (Cloud Credentials) du PDF XenMobile Public API for REST Services.

Problèmes résolus dans cette version

L’action de sécurisation Verrouillage échoue sur les appareils inscrits exécutant macOS High Sierra (beta3 10.13) avec le système de fichier Apple (APFS). [CXM-35731]

Si vous envoyez l’action de sécurité Activer le mode perdu à un appareil iOS supervisé sans Secure Hub, le bouton Localiser ne s’affiche pas sur l'appareil. [CXM-36106]

Sur la page Gérer> Appareils> Applications, l'inventaire affiche un numéro de version incorrect pour Boeing Toolbox Mobile Library. [CXM-37514]

Les utilisateurs iOS ne peuvent pas mettre à jour Citrix Receiver vers la version 7.2.3. Lorsqu'ils cliquent sur Rechercher les mises à jour, le message « Vous disposez de la dernière version de l'application » s'affiche même s'ils ont une ancienne version. [CXM-38114]

Si un rôle RBAC n'a pas accès aux actions Effacement des applications et Mode kiosque : un utilisateur avec ce rôle et connecté au portail en libre-service peut effectuer les actions Effacement des applications et Mode kiosque. [CXM-38348]

Les utilisateurs locaux et Active Directory disposant de l'autorisation RBAC "AJOUTER / MODIFIER / SUPPRIMER utilisateurs et groupes locaux" peuvent également supprimer des comptes d'administrateur. Lorsque ces utilisateurs sont connectés à la console XenMobile, la page Gérer> Utilisateurs inclut les boutons Modifier et Supprimer pour les comptes d'administrateur. [CXM-38350]

Un nettoyage de base de données planifié échoue en raison de nombreux journaux de transactions dépassant les limites d'espace disque. [CXM-38439]

Si le déclencheur d'une action automatisée est basé sur une valeur null pour une propriété d’appareil, l’action est effectuée pour cet appareil. Par exemple, si une action est définie pour effacer un appareil si la plate-forme n’est pas iOS, l’action efface les appareils iOS. [CXM-38470]

Pour les administrateurs qui ont uniquement les rôles Entités PKI et Fournisseurs d’identités dans RBAC : l’administrateur est déconnecté de la console XenMobile lors de l’ajout d’une entité PKI ou d'un fournisseur d’identités. Pour contourner ce problème, ajoutez la permission Certificats au rôle RBAC de l’administrateur. [CXM-38713]

XenMobile Service 10.7.0

Important

Après une mise à niveau vers XenMobile 10.7 :

Si une fonctionnalité utilisant des connexions sortantes cesse de fonctionner alors que vous n’avez pas changé la configuration de vos connexions, vérifiez dans le journal de XenMobile Server s'il existe des erreurs telle que la suivante : Impossible de se connecter au serveur VPP : le nom d’hôte '192.0.2.0' ne correspond pas au sujet du certificat fourni par l’homologue.

Si vous recevez l’erreur de validation du certificat, désactivez la vérification de nom d’hôte sur XenMobile Server. Par défaut, la vérification de nom d’hôte est activée sur les connexions sortantes à l’exception du serveur PKI de Microsoft. Si la vérification de nom d’hôte interrompt votre déploiement, définissez la propriété de serveur disable.hostname.verification sur true. La valeur par défaut de cette propriété est False.

La dernière version de XenMobile propose ces nouvelles fonctionnalités et améliorations :

  • Macros supplémentaires pour les modèles d’inscription
  • Modifications de l'API REST publique
  • Problèmes résolus dans cette version

Macros supplémentaires pour les modèles d’inscription

Vous pouvez utiliser ces nouvelles macros lors de la création de modèles d'inscription pour les invitations d'inscription de l'appareil :

${enrollment.urls}
${enrollment.ios.url}
${enrollment.macos.url}
${enrollment.android.url}
${enrollment.ios.platform}
${enrollment.macos.platform}
${enrollment.android.platform}
${enrollment.agent}

Ces macros permettent de créer des modèles d’inscription qui contiennent des adresses URL d’inscription pour plusieurs plates-formes.

Cet exemple illustre comment créer une notification qui comprend des adresses URL d’inscription pour plusieurs plates-formes. La macro pour le Message est :

${enrollment.urls}

localized image

Ces exemples montrent comment créer des messages pour les notifications qui invitent les utilisateurs à cliquer sur l’adresse URL d’inscription pour leurs plates-formes :

Exemple 1 :

Pour vous inscrire, cliquez sur le lien ci-dessous qui s’applique à la plate-forme de votre appareil :

${enrollment.ios.platform} - ${enrollment.ios.url}

${enrollment.macos.platform} - ${enrollment.macos.url}

${enrollment.android.platform} - ${enrollment.android.url}

Exemple 2 :

Pour inscrire un appareil iOS, cliquez sur le lien ${enrollment.ios.url}.

Pour inscrire un appareil macOS, cliquez sur le lien ${enrollment.macos.url}.

Pour inscrire un appareil Android, cliquez sur le lien ${enrollment.android.url}.

Modifications de l'API REST publique

Lorsque vous utilisez l’API REST publique de XenMobile pour créer des invitations d’inscription, vous pouvez maintenant :

  • Spécifier un code PIN personnalisé. Si le mode d’inscription nécessite un code PIN, vous pouvez utiliser un code PIN personnalisé au lieu de celui généré de manière aléatoire par XenMobile Server. La longueur du code PIN doit correspondre au paramètre configuré pour le mode d’inscription. La longueur du code PIN par défaut est de 8. Par exemple, une demande peut inclure : "pin": "12345678"
  • Sélectionner des plates-formes multiples. Précédemment, vous pouviez utiliser l’API REST pour ne spécifier qu’une seule plate-forme pour une invitation d’inscription. Le champ "platform" est obsolète et remplacé par "platforms". Par exemple, une demande peut inclure : "platforms": ["iOS", "MACOSX"]

Pour consulter une liste complète des API actuellement disponibles, téléchargez le PDF API publique XenMobile pour les services REST.

Problèmes résolus dans cette version

Si un nom de connexion VPN possède un espace ou d'autres caractères non alphanumériques, XenMobile ne déploie pas la stratégie vers les appareils. [CXM-32538]

L’API REST XenMobile ne vous permet pas de sélectionner plusieurs plates-formes lors de la création d’une invitation d’inscription. [CXM-35853]

L’action de sécurisation Effacement complet échoue sur les appareils inscrits exécutant macOS High Sierra (beta3 10.13) avec le système de fichier Apple (APFS). [CXM-36397]

Le lien d’adresse URL d’inscription dans une invitation d’inscription peut ne pas résoudre l’adresse URL d’inscription. Pour éviter ce problème, assurez-vous que le modèle que vous choisissez contient des macros compatibles avec les plates-formes que vous avez sélectionnées lors de la création de l’invitation d’inscription. Utilisez ces nouvelles macros lorsque vous créez des modèles d’URL d’inscription :

${enrollment.urls}, ${enrollment.ios.url}, ${enrollment.macos.url}, ${enrollment.android.url}, ${enrollment.ios.platform}, ${enrollment.macos.platform}, ${enrollment.android.platform} et ${enrollment.agent}

Le plus ancien, ${enrollment.url], fonctionne toujours pour les invitations d’inscription pour lesquelles une seule plate-forme est sélectionnée. [CXM-37513]

Lorsque vous utilisez la CLI XenMobile pour modifier la liste d’exclusion de proxy, puis redémarrez le serveur, la liste est tronquée dans la ligne de commande. Ce problème affecte uniquement l’affichage de la liste. [CXM-37812]

Lorsque vous envoyez une macro sur la page Dépannage et support > Macros, le message « Impossible d’obtenir des informations de la macro » s’affiche. [CXM-37940]

Problèmes connus dans cette version

Lorsque vous envoyez une macro sur la page Dépannage et support > Macros, le message « Impossible d’obtenir des informations de la macro » s’affiche. [CXM-37940]