XenMobile

Registro em massa de dispositivos Apple

Você pode registrar um grande número de dispositivos iOS e macOS no XenMobile de duas maneiras.

  • Use o Programa de implantação da Apple para registrar os dispositivos iOS e macOS comprados diretamente da Apple, de um revendedor participante autorizado pela Apple ou de uma operadora. Esse suporte inclui iPads compartilhados. O XenMobile oferece suporte ao Programa de Implantação da Apple para Apple Business Manager (ABM) e Apple School Manager (ASM) para Educação. Este artigo descreve a integração com contas ABM. Para obter informações sobre as contas do Apple School Manager, consulte Integração com os recursos do Apple Educação.

    Para o registro de dispositivos macOS, o XenMobile requer que os dispositivos executem o macOS 10.10 ou versões posteriores.

  • Você também pode usar o Apple Configurator para registrar dispositivos iOS, quer eles tenham sido comprados diretamente da Apple ou não.

Com ABM:

  • Você não precisa tocar ou preparar os dispositivos. Em vez disso, você envia os números de série ou os números de pedido de compra dos dispositivos por meio do ABM para configurá-los e registrá-los.
  • Depois que o XenMobile registrar os dispositivos, você poderá oferecê-los aos usuários, que poderão começar a usá-los imediatamente. Quando você configura dispositivos usando o ABM, pode eliminar algumas etapas do Assistente de Instalação que os usuários poderiam precisar concluir quando iniciassem os dispositivos deles pela primeira vez.
  • Para obter mais informações sobre como configurar o ABM, consulte a documentação disponível no Apple Business Manager.

Com o Apple Configurator:

  • Conecte os dispositivos iOS a um computador Apple que executa o macOS 10.7.2 ou versões posteriores e o aplicativo Apple Configurator 2. Prepare os dispositivos iOS e configure políticas usando o Apple Configurator 2.
  • Depois de provisionar os dispositivos com as políticas necessárias, na primeira vez que os dispositivos se conectarem ao XenMobile, eles receberão políticas do XenMobile. Em seguida, será possível começar a gerenciá-los.
  • Para obter mais informações sobre como usar o Apple Configurator, consulte a Ajuda do Apple Configurator.

Pré-requisitos

Abra as portas necessárias para a conectividade entre o XenMobile e a Apple. Para obter mais informações, consulte Requisitos de porta.

Integrar sua conta do Apple Business Manager com o XenMobile

Se você não tiver uma conta ABM, consulte Implantar dispositivos através do Programa de implantação da Apple.

Para conectar sua conta do Apple Business Manager à implantação do servidor XenMobile, insira suas informações no console XenMobile e no Portal do Programa de Implantação da Apple. Siga esses passos:

Etapa 1: baixe uma chave pública do XenMobile Server

  1. No console XenMobile, vá para Configurações > Programa de implantação da Apple.

    Tela de configurações do Programa de implantação da Apple

  2. Em Baixar chave pública, clique em Baixar.

Etapa 2: crie e baixe um arquivo de token de servidor da sua conta da Apple

  1. Usando seu ID Apple corporativo, faça login no Portal de Programas de Implantação da Apple.

    Portal de Programas de Implantação da Apple

  2. No portal do Programa de Implantação da Apple, clique em Settings e em Device Management Settings. Clique em Add MDM Server.

    Portal do Programa de implantação da Apple

  3. Digite um nome para o XenMobile. O nome do servidor que você digita é para sua referência e não é a URL ou o nome do servidor. Em Upload Public Key, clique em Choose File.

    Portal do Programa de implantação da Apple

  4. Carregue a chave de servidor que baixou do XenMobile e clique em Salvar.

  5. Gere um token de servidor: clique em Download Token e, em seguida, baixe o arquivo de token do servidor para o seu computador.

    Portal do Programa de implantação da Apple

  6. Em Default Device Assignment, clique em Change. Escolha como deseja atribuir dispositivos e, em seguida, forneça as informações solicitadas. Para obter informações, consulte o Guia do usuário do ABM.

    As informações de token do ABM são exibidas no console XenMobile depois que você importa o arquivo de token. Você carrega o arquivo de token de servidor ao adicionar a conta ABM ao XenMobile.

Etapa 3: adicione uma conta ABM ao XenMobile

Você pode adicionar várias contas ABM ao XenMobile. Este recurso permite usar diversas configurações de registro e opções de assistente de configuração por país, departamento e assim por diante. Em seguida, você associa contas ABM a diferentes políticas de dispositivo.

Por exemplo, você pode centralizar a todas as suas contas ABM de diferentes países no mesmo servidor XenMobile, para importar e supervisionar todos os dispositivos ABM. Ao personalizar as configurações de registro e as opções do assistente de instalação por departamento, hierarquia organizacional ou outra estrutura, as políticas oferecem funcionalidades apropriadas para toda a organização e os usuários recebem a assistência apropriada.

  1. No console XenMobile, vá para Configurações > Programa de implantação da Apple e, em Adicionar conta do programa de implantação da Apple, clique em Adicionar.

    Tela de configurações do Programa de implantação da Apple

  2. Na página Tokens de servidor, especifique o arquivo de token de servidor e clique em Carregar.

    Tela de configurações do Programa de implantação da Apple

    Suas informações de token de servidor são exibidas.

  3. Na página Informações sobre a conta, especifique estas configurações:

    Tela de configurações do Programa de implantação da Apple

    • Nome da conta do Programa de Implantação da Apple: um nome exclusivo para esta conta do Programa de Implantação da Apple. Use nomes que reflitam como você organiza contas do Programa de implantação da Apple, como por país ou hierarquia organizacional.
    • Unidade de negócios/educação: a unidade de negócios ou o departamento ao qual o dispositivo é atribuído. Este campo é obrigatório.
    • ID de serviço exclusiva: um ID exclusivo opcional para ajudar você a identificar ainda mais a conta.
    • Número de telefone de suporte: um número de telefone de suporte para o qual os usuários ligam para pedir ajuda durante a instalação. Este campo é obrigatório.
    • Endereço de email de suporte: um endereço de email de suporte opcional, disponível para os usuários finais.
  4. Em Configurações do iOS, especifique estas configurações:

    Tela de configurações do Programa de implantação da Apple

    Configurações de registro:

    • Exigir registro de dispositivo: selecione se os usuários devem ser obrigados a registrar seus dispositivos. O padrão é Sim.
    • Exigir credenciais para registro de dispositivo: selecione se os usuários são obrigados a inserir as respectivas credenciais durante a configuração do ABM. A Citrix recomenda que você solicite a todos os usuários que insiram suas credenciais durante o registro do dispositivo, permitindo assim que apenas usuários autorizados registrem dispositivos. O padrão é Sim.

      Quando você ativa o ABM antes da primeira configuração sem selecionar essa opção, o XenMobile cria os componentes do ABM. Essa criação inclui componentes como usuário ABM, Secure Hub, inventário de software e grupo de implantação ABM. Se você selecionar essa opção, o XenMobile não criará os componentes. Como resultado, se você desmarcar essa opção posteriormente, os usuários que não inseriram suas credenciais não poderão se registrar no ABM porque esses componentes do ABM não existirão. Nesse caso, para adicionar componentes do ABM desative e ative a conta ABM.

    • Aguardar que a configuração conclua a instalação: selecione se os dispositivos dos usuários devem ser obrigados a permanecer no modo do Assistente de instalação até que todos os recursos do MDM sejam implantados no dispositivo. Essa configuração está disponível para dispositivos no modo supervisionado. O padrão é Não.
    • A documentação da Apple declara que os seguintes comandos poderão não funcionar enquanto o dispositivo estiver no modo Assistente de Instalação:
      • InviteToProgram
      • InstallApplication
      • ApplyRedemptionCode
      • InstallMedia
      • RequestMirroring
      • DeviceLock

    Configurações do dispositivo:

    • Modo supervisionado: deverá ser definido como Sim se você estiver usando o Apple Configurator para gerenciar dispositivos registrados no ABM ou quando a opção Aguardar que a configuração conclua a instalação estiver ativada. O padrão é Sim. Para obter detalhes sobre como colocar um dispositivo iOS no modo supervisionado, consulte Para colocar um dispositivo iOS no modo Supervisionado usando o Apple Configurator.
    • Permitir remoção do perfil de registro: selecione se os dispositivos devem ter permissão para usar um perfil que você pode remover remotamente. O padrão é Não.
    • Permitir emparelhamento de dispositivo: para dispositivos registrados por meio do ABM, selecione se você pode gerenciá-los usando a Apple App Store e o Apple Configurator. O padrão é Não.

    Identidades de supervisão

    • Adicione um certificado para suportar o uso do GroundControl. Com esse certificado, você pode fazer o seguinte:
      • Substituir restrições de emparelhamento para evitar o prompt “Confiar neste host”.
      • Escalonar as ações do dispositivo gerenciado por USB para executar atividades como a instalação do perfil sem interação do usuário. Isso permite que o GroundControl habilite o modo de aplicativo único e o bloqueio do dispositivo na saída.
      • Restaurar um backup para dispositivos ABM.

    Para obter mais informações sobre o GroundControl, consulte O site do GroundControl.

  5. Em Configurações do iOS, especifique estas configurações:

    Tela de configurações da conta do Programa de implantação da Apple

    Configurações de registro:

    • Exigir registro de dispositivo: selecione se os usuários devem ser obrigados a registrar seus dispositivos. O padrão é Sim.
    • Aguardar que a configuração conclua a instalação: se a opção for Sim, o dispositivo macOS não continuará o assistente de instalação até que o código secreto de recursos do MDM seja implantado no dispositivo. Essa implantação ocorre antes de a criação da conta local. Essa configuração está disponível para dispositivos macOS 10.11 e versões posteriores. O padrão é Não.

    Configurações do dispositivo:

    • Permitir remoção do perfil de registro: selecione se os dispositivos devem ter permissão para usar um perfil que você pode remover remotamente. O padrão é Não.
  6. Em Opções do assistente de instalação do iOS, selecione as etapas do Assistente de instalação do iOS que os usuários irão ignorar quando iniciarem seus dispositivos pela primeira vez. O padrão é desmarcar essa opção para todos os itens.

    Tela de configurações da conta do Programa de implantação da Apple

    • Serviços de localização: configurar o serviço de localização no dispositivo.
    • Touch ID: configurar o Touch ID nos dispositivos iOS.
    • Bloqueio de código secreto: criar uma senha para o dispositivo.
    • Configurar como novo ou restaurar: configurar o dispositivo como novo ou de um backup do iCloud ou da Apple App Store.
    • Mover do Android: permitir a transferência de dados de um dispositivo Android para um dispositivo iOS. Essa opção está disponível somente quando Configurar como novo ou restaurar está selecionada (ou seja, a etapa é ignorada).
    • ID Apple: configurar uma conta de ID Apple gerenciada para o dispositivo.
    • Termos e condições: exigir que os usuários aceitem os termos e as condições de uso do dispositivo.
    • Apple Pay: configurar o Apple Pay em dispositivos iOS.
    • Siri: usar ou não a Siri no dispositivo.
    • Análise de aplicativo: configurar se os dados de falha e as estatísticas de uso devem ser compartilhados com a Apple.
    • Zoom de exibição: configurar a resolução da tela (padrão ou ampliada) nos dispositivos iOS.
    • True Tone: configurar o True Tone Display nos dispositivos iOS.
    • Botão Home: configurar a sensibilidade da tela do Botão Home em dispositivos iOS.
    • Destaques do novo recurso: configurar as telas informativas de integração, acessar o Dock em qualquer lugar e alternar entre aplicativos recentes em dispositivos iOS 11.0 (versão mínima).
    • Privacidade: impedir que os usuários vejam os dados e o painel de privacidade durante a configuração dos dispositivos ABM. Para iOS 11.3 e posterior.
    • SoftwareUpdate: impedir que o usuário veja a tela obrigatória de atualização de software ao configurar dispositivos ABM. Para iOS 12.0 e posterior.
    • ScreenTime: impedir que o usuário veja a tela Tempo de Tela durante a configuração dos dispositivos ABM. Para iOS 12.0 e posterior.
    • Configuração do SIM: impedir que o usuário veja a tela Add Cellular Plan durante a configuração de dispositivos ABM. Para iOS 12.0 e posterior.
    • iMessage & FaceTime: impedir que o usuário veja a tela do iMessage e do FaceTime durante a configuração dos dispositivos ABM. Para iOS 12.0 e posterior.
    • Aparência: impede que o usuário veja a tela Escolher sua aparência. Para iOS 13.0 e posterior.
    • Welcome: impede que o usuário veja a tela Introdução. Para iOS 13.0 e posterior.

    A conta ABM aparece em Configurações > Programa de implantação da Apple.

  7. Em Opções do assistente de instalação do macOS, selecione as etapas do Assistente de instalação do macOS que os usuários ignoram quando iniciam seus dispositivos pela primeira vez. O padrão é desmarcar essa opção para todos os itens.

    Tela de configurações da conta do Programa de implantação da Apple

    • Configurar como novo ou restaurar: configurar o dispositivo como novo ou de um backup do iCloud ou da Apple App Store.
    • Serviços de localização: configurar o serviço de localização no dispositivo.
    • ID Apple: configurar uma conta de ID Apple gerenciada para o dispositivo.
    • Termos e condições: exigir que os usuários aceitem os termos e as condições de uso do dispositivo.
    • Siri: usar ou não a Siri no dispositivo.
    • FileVault: usar o FileVault para criptografar o disco de inicialização. O XenMobile somente aplicará a configuração do FileVault se o sistema tiver uma conta de usuário local e essa conta estiver conectada ao iCloud.

      Você pode usar o recurso de Criptografia de disco do FileVault do macOS para proteger o volume do sistema, criptografando seu conteúdo (https://support.apple.com/en-us/HT204837). Se o Assistente de instalação for executado em um Mac portátil mais atual sem o FileVault ativado, talvez você seja solicitado a ativar esse recurso. O aviso aparecerá em sistemas novos e em sistemas atualizados para o OS X 10.10 ou 10.11, mas somente se esse sistema tiver uma única conta de administrador local e essa conta estiver conectada ao iCloud.

    • Análise de aplicativo: configurar se os dados de falha e as estatísticas de uso devem ser compartilhados com a Apple.
    • Privacidade: impedir que os usuários vejam os dados e o painel de privacidade durante a configuração dos dispositivos ABM. Para macOS 10.13 e versões posteriores.
    • iCloud Analytics: impedir que os usuários vejam a tela de análise do iCloud durante a configuração dos dispositivos ABM. Para macOS 10.13 e versões posteriores.
    • Área de trabalho e documentos do iCloud: impedir que os usuários vejam os documentos do iCloud e a tela da área de trabalho durante a configuração dos dispositivos ABM. Para macOS 10.13 e versões posteriores.
    • Aparência: impedir que o usuário veja a tela Escolher sua aparência durante a configuração dos dispositivos ABM. Para macOS 10.14 e versões posteriores.

    • Opções de configuração de conta local: especificar as configurações para criar uma conta de administrador no dispositivo. Os usuários fazem login no dispositivo macOS com essas informações. O XenMobile cria a conta usando as informações especificadas.
      • Criar conta primária como um usuário padrão: em vez de conceder privilégios de administrador a esse usuário no dispositivo, o XenMobile cria o usuário com permissões padrão. Como o macOS requer uma conta de administrador, o XenMobile cria uma conta de administrador primeiro, depois cria uma nova conta padrão e a define como primária.
      • Nome completo do administrador: digite o nome que o sistema exibe para a conta de administrador.
      • Nome abreviado do administrador: digite o nome que o dispositivo exibe para a pasta pessoal e no shell.
      • Senha do administrador: digite uma senha segura para a conta de administrador.
      • Exibir a conta do administrador em Usuários e grupos: se marcada, a conta de administrador não aparece em Usuários e Grupos nas configurações do macOS. Se você criar a conta primária como um usuário padrão, ative essa configuração para ocultar a conta de administrador que o XenMobile cria primeiro.

Renovar sua conexão entre o Programa de implantação da Apple e o XenMobile

Para renovar o seu token de servidor do registro automatizado do dispositivo, substitua o token do Apple School Manager/Apple Business Manager.

Etapa 1: baixe uma chave pública do XenMobile Server

  1. No console XenMobile, vá para Configurações > Programa de implantação da Apple para baixar uma nova chave pública.

Etapa 2: crie e baixe um arquivo de token de servidor da sua conta da Apple

  1. Faça logon no Portal de Programas de Implantação da Apple para baixar o token.

  2. Abra Settings e selecione o servidor do qual você precisa de um token. Clique em Edit.

  3. Carregue a nova chave pública que você baixou do XenMobile e salve as alterações.

  4. Clique em Download Token para baixar o novo token.

Imagem de download de um token de servidor

Etapa 3: carregue um arquivo de token de servidor para o XenMobile

  1. No console XenMobile, vá para Configurações > Programa de implantação da Apple. Selecione a conta do Programa de Implantação, clique em Editar e carregue o arquivo de token do servidor.

  2. Clique em Avançar e salve as alterações.

Experiência do usuário ao registrar um dispositivo ativado para o Programa de implantação da Apple

Quando os usuários registram um dispositivo ativado para o Programa de implantação da Apple, a experiência deles é a seguinte.

  1. Os usuários iniciam o dispositivo ativado para o Programa de implantação da Apple.

  2. O XenMobile fornece a configuração do Programa de implantação da Apple que você definiu no console XenMobile para o dispositivo ativado para o Programa de implantação da Apple.

  3. Os usuários definem as configurações iniciais em seus dispositivos.

  4. O dispositivo inicia automaticamente o processo de registro de dispositivo do XenMobile.

  5. Os usuários continuam a definir as outras configurações iniciais em seus dispositivos.

  6. Na tela inicial, os usuários podem ser solicitados a fazer logon no Apple App Store para baixar o Citrix Secure Hub.

    Nota:

    essa etapa será opcional se você configurou o XenMobile para implantar o aplicativo Secure Hub usando a atribuição de aplicativos de compra por volume com base em dispositivo. Nesse caso, você não precisa criar uma conta do Apple App Store ou usar uma conta existente.

    Configuração do Programa de Implantação da Apple

  7. Os usuários abrem o Secure Hub e digitam as respectivas credenciais. Se for exigido pela política, os usuários poderão ser solicitados a criar e verificar um PIN da Citrix.

    O XenMobile implanta os aplicativos necessários restantes no dispositivo.

Configurar regras de implantação de políticas de dispositivo e aplicativos para contas ABM

Você pode associar contas ABM a políticas de dispositivo e aplicativos diferentes usando a seção Regras de implantação em Configurar > Políticas de dispositivo e Configurar > Aplicativos. É possível especificar que uma política ou um aplicativo:

  • Seja implantado somente para uma determinada conta ABM.
  • Seja implantado para todas as contas ABM, exceto a selecionada.

A lista de contas ABM inclui apenas as contas com o status Ativada ou Desativada. Se a conta ABM estiver desativada, o dispositivo ABM não pertencerá a essa conta. Portanto, o XenMobile não implantará o aplicativo ou a política nesse dispositivo.

No exemplo a seguir, uma política de dispositivo é implantada somente para dispositivos com a conta ABM de nome “ABM Account NR”.

Tela de configurações do programa do dispositivo Apple

Definir configurações do Apple Configurator

  1. No console XenMobile, vá para Configurações > Registro no Apple Configurator Device Enrollment.

    Tela de configurações do programa de implantação da Apple

  2. Defina Ativar registro de dispositivo no Apple Configurator como Sim.

  3. O campo URL de registro para entrar no Apple Configurator é somente leitura. Essa condiguração é a URL para o XenMobile Server que se comunica com a Apple. Nas próximas etapas, você copiará e colará a URL no Apple Configurator. No Apple Configurator 2, a URL de registro é o nome de domínio totalmente qualificado (FQDN) do XenMobile Server, como mdm.server.url.com, ou o respectivo endereço IP.

  4. Para impedir que dispositivos desconhecidos se registrem, defina Exigir cadastro do dispositivos antes do registro como Sim. Nota: se essa configuração for Sim, você deverá adicionar os dispositivos configurados a Gerenciar > Dispositivos no XenMobile manualmente ou usando um arquivo CSV antes do registro.

  5. Para exigir que os usuários de dispositivos iOS insiram suas credenciais ao se registrarem, defina Exigir credenciais para registro de dispositivo como Sim. O padrão é não exigir credenciais para o registro.

  6. Nota: se o XenMobile Server estiver usando um certificado SSL confiável, ignore essa etapa. Clique em Exportar certificados de âncora e salve o arquivo certchain.pem nas chaves do macOS (login ou System).

    Tela de configurações do programa de implantação da Apple

  7. Inicie o Apple Configurator e acesse Prepare > Setup > Configure Settings.

  8. Na configuração Device Enrollment:
    • Cole a URL do servidor MDM da etapa 4 na caixa MDM server URL no Configurator.
    • Copie a Autoridade de certificação raiz e a Autoridade de certificação de servidores SSL para os certificados Anchor se o XenMobile não estiver usando um certificado SSL confiável.
  9. Use um Cabo Dock Connector para USB para conectar os dispositivos ao Mac que executa o Apple Configurator e configurar simultaneamente até 30 dispositivos conectados. Se você não tiver um Dock Connector, use um ou mais hubs de alta velocidade USB 2.0 alimentados para conectar os dispositivos.

  10. Clique em Prepare. Para obter mais informações sobre como preparar os dispositivos com o Apple Configurator, consulte a página de ajuda do Apple Configurator, Prepare devices.

  11. No Apple Configurator, configure as políticas de dispositivo de que necessita.

  12. À medida que cada dispositivo for preparado, ligue-o para iniciar o Assistente de Instalação do iOS, que prepara o dispositivo para ser usado pela primeira vez.

Renovar ou atualizar certificados ao usar o Programa de Implantação da Apple

Quando o certificado Secure Sockets Layer (SSL) do XenMobile é renovado, você carrega um novo certificado no console XenMobile em Configurações > Certificados. Na caixa de diálogo Importar, em Usar como, clique em Ouvinte SSL para que o certificado seja usado para SSL. Depois que você reiniciar o servidor, o XenMobile usará o novo certificado SSL. Para obter mais informações sobre certificados no XenMobile, consulte Carregando certificados para o XenMobile.

Não é necessário restabelecer a relação de confiança entre o Programa de implantação da Apple e o XenMobile quando você renova ou atualiza o certificado SSL. Você pode, no entanto, redefinir as configurações do seu Programa de Implantação da Apple a qualquer momento seguindo as etapas anteriores neste artigo.

Para obter mais informações sobre o Programa de implantação da Apple, consulte a Documentação da Apple.

Para colocar um dispositivo iOS no modo Supervisionado usando o Apple Configurator

Importante:

Colocar um dispositivo no modo supervisionado instala a versão selecionada do iOS no dispositivo, apagando completamente os dados ou os aplicativos do usuário armazenados anteriormente.

  1. Instale o Apple Configurator a partir da App Store.

  2. Conecte o dispositivo iOS ao seu computador Apple.

  3. Inicie o Apple Configurator. O Configurator mostra que você tem um dispositivo a ser preparado para supervisão.

  4. Para preparar o dispositivo para supervisão:

    • Configure Supervision control como On. A Citrix recomenda que você escolha essa configuração se pretende manter o controle do dispositivo reaplicando uma configuração regularmente.

    • Opcionalmente, forneça um nome para o dispositivo.

    • No iOS, clique em Latest para obter a versão mais recente do iOS que você deseja instalar.

  5. Quando você estiver pronto para preparar o dispositivo para supervisão, clique em Prepare.