自动化操作
您可以在 Citrix Endpoint Management 中创建自动操作来编程对以下内容的反应:
- 事件
- 用户或设备属性
- 用户设备上存在应用程序
创建自动操作时,为该操作定义的触发器决定了用户设备连接到 Citrix Endpoint Management 时会发生什么。触发事件后,您可以在采取更实质性的操作之前向用户发送通知以更正问题。
设置为自动出现的影响范围如下:
- 完全或选择性地擦除设备。
- 将设备设置为不合规。
- 吊销设备。
- 在采取更严重的操作之前,向用户发送通知以更正问题。
可以为仅 MAM 模式配置应用程序锁定和应用程序擦除操作。
您可以使用自动操作在 Azure AD 中将加入 Azure Active Directory (AD) 的 Windows 10 和 Windows 11 设备标记为不合规。
注意:
在通知用户之前,必须在 SMTP 的 Citrix Endpoint Management 设置中配置通知服务器,这样 Citrix Endpoint Management 才能发送消息。有关详细信息,请参阅通知。在继续操作之前,请设置您计划使用的任何通知模板。有关详细信息,请参阅通知。设置,请参阅创建和更新通知模板。
示例操作
下面是使用自动化操作的一些示例:
示例一
- 您要检测先前阻止的应用程序(例如,“Words with Friends”)。您可以指定一个触发器,在检测到“与朋友交谈”应用程序后将用户设备设置为不合规。然后,该操作会通知用户他们必须删除该应用程序才能使设备恢复合规状态。您还可以设置等待用户按指示进行操作的时间限制。过了该时间限制后,将发生定义的操作,例如,选择性擦除设备。
示例二
- 您想验证客户是否在使用最新的固件,如果用户必须更新设备,则阻止他们访问资源。您可以指定一个触发器,用于在用户设备未安装最新版本时将用户设备设置为不合规。可以使用自动操作来阻止资源并通知客户。
示例三
- 将用户设备置于不合规状态,用户随后修复该设备。可以配置策略来部署将设备重置为合规状态的软件包。
示例四
-
您希望将在特定时间段内处于不活动状态的用户设备标记为不合规。可以按如下所示为不活动设备创建自动化操作:
- 在 Citrix Endpoint Management 控制台中,前往“设置”>“网络访问控制”,然后选择“非活动设备”。有关 非活动设备 设置的详细信息,请参阅 网络访问控制。
- 按照添加和管理操作中概述的步骤添加操作。唯一的区别是,您可以在“操作详细信息”页面上按如下方式配置设置:
- 触发器。选择设备属性、不合规性和真。
- 操作。选择发送通知,然后选择使用设置中的通知模板创建的模板。然后在执行操作之前,以天、小时或分钟为单位设置延迟。设置用户解决触发问题前重复执行操作的时间间隔。
提示:
要批量删除非活动设备,请使用 Citrix Endpoint Management Public REST API。您首先手动获取要删除的非活动设备的设备 ID,然后运行删除 API 来批量删除它们。
添加和管理操作
要添加、编辑和过滤自动化操作,请执行以下操作:
-
在 Citrix Endpoint Management 控制台中, 单击“配置”>“操作”。此时将显示操作页面。
-
在操作页面上,执行以下操作之一:
- 单击添加以添加操作。
- 选择要编辑或删除的现有操作。单击要使用的选项。
-
此时将显示操作信息页面。
-
在操作信息页面上,输入或修改以下信息:
- 名称: 键入名称来标识操作。此字段为必填字段。
- 说明: 描述执行该操作的目的。
-
单击下一步。此时将显示操作详细信息页面。
以下示例显示如何设置事件触发器。如果选择其他触发器,出现的选项将与此处显示的选项有所差别。
-
在操作详细信息页面上,输入或修改以下信息:
在触发器列表中,单击适用于此操作的事件触发器类型。选择以下触发器之一:
- 事件: 检查设备状态是否与您选择的不合规事件匹配,然后对其做出反应。
- 设备属性: 检查 MDM 管理的设备上的设备属性的特定值,然后对其做出反应。有关详细信息,请参阅 设备属性名称和值 PDF。
- 用户属性: 对用户属性的特定值(通常来自 Active Directory)做出反应。
- 已安装应用程序的名称: 对正在安装的应用程序做出反应。不应用于仅 MAM 模式。要求在设备上启用应用程序清单策略。默认情况下,应用程序清单策略在所有平台上均处于启用状态。有关详细信息,请参阅 应用清单设备策略
- Policy returned value(策略返回的值):检查从 PowerShell 脚本返回的值是否满足某些逻辑条件。必须启用和配置 Windows 代理策略。有关 Windows 代理策略的详细信息,请参阅 Windows 客户端设备策略。
-
在下一个列表中,单击对触发器的响应。
-
在 操作 列表中,单击满足触发条件时要执行的操作。除发送通知操作外,请选择一个时间范围,让用户可以解决导致触发的问题。如果在该时间范围内未解决此问题,将执行选定的操作。有关操作的定义,请参阅安全操作。
如果选择发送通知,则按照以下步骤发送通知操作。
-
在下一个列表中,选择用于通知的模板。此时将显示与所选事件有关的通知模板。如果没有与通知类型对应的模板,系统会提示您配置模板,并显示消息:此事件类型的模板不存在。请使用设置中的通知模板来创建模板。
要通知用户,请使用 设置 > 通知服务器 配置 SMTP 的设置,以便 Citrix Endpoint Management 可以发送消息。请参阅 通知。此外,在继续操作之前,请使用设置 > 通知模板来设置您计划使用的任何通知模板。请参阅 创建和更新通知模板。
选择模板后,单击预览通知消息。
-
在以下字段中,以天、小时或分钟为单位设置执行操作前的延迟。设置用户解决触发问题前重复执行操作的时间间隔。
-
在摘要中,验证您是否已按预期创建自动化操作。
-
配置操作详细信息后,您可以单独配置每个平台的部署规则。为此,针对您选择的每个平台执行步骤 13。
-
配置部署规则。有关配置部署规则的常规信息,请参阅部署资源。
对于此示例:
- 设备所有权必须为 BYOD。
- 设备必须符合密码。
- 设备的移动设备国家/地区代码不能仅为“安道尔”。
-
针对该操作配置了平台部署规则后,单击下一步。此时将显示操作分配页面,您可以在此将操作分配给一个或多个交付组。此步骤可选。
-
在选择交付组旁边 ,键入以查找交付组或者在列表中选择组。选择的组显示在用于接收应用程序分配的交付组列表中。
-
展开部署计划,然后配置以下设置:
-
在部署旁边,单击开以计划部署,或单击关以阻止部署。默认选项设置为开。如果选择关,则无需其他选项。
-
在“部署计划”旁边,单击“现在”或“稍后”。默认选项设置为“现在”。
-
如果单击以后,请单击日历图标,然后选择部署的日期和时间。
-
在“部署条件”旁边,单击“启用每个连接”,或单击“仅当先前的部署失败时”。默认选项设置为每次连接时。
-
在“为始终启用的连接部署”旁边,单击“开”或“关”。默认选项设置为关。
如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。
注意:
如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。
始终启用选项:
- 不适用于 iOS 设备
- 不适用于开始使用版本 10.18.19 或更高版本的 Citrix Endpoint Management 的 Android 和 Android Enterprise 客户
- 不建议在 10.18.19 版本之前开始使用 Citrix Endpoint Management 的 Android 和 Android Enterprise 客户使用
配置的部署计划对所有平台相同。您所做的更改适用于所有平台,但为始终启用的连接部署除外。
-
-
单击下一步。此时将显示摘要页面,您可以在此验证操作配置。
-
单击保存以保存操作。
面向仅 MAM 模式的应用程序锁定和应用程序擦除操作
您可以针对在 Citrix Endpoint Management 控制台中列出的所有四类触发器擦除或锁定设备上的应用程序:事件、设备属性、用户属性和已安装的应用程序名称。
配置自动应用程序擦除或应用程序锁定
-
在 Citrix Endpoint Management 控制台中, 单击“配置”>“操作”。
-
在操作页面上,单击添加。
-
在操作信息页面上,输入操作名称和可选说明。
-
在操作详细信息页面上,选择所需的触发器。
-
在操作中,选择一项操作。
针对此步骤,请记住以下条件:
当触发器类型设置为事件且值不是 Active Directory 禁用用户时,应用程序擦除和应用程序锁定操作不会出现。
当触发器类型设置为设备属性且值为“启用 MDM 丢失模式”时,不会出现以下操作:
- 选择性擦除设备
- 完全擦除设备
- 吊销设备
每个选项都会自动设置 1 小时延迟,但也可选择以分钟、小时或天为单位的延迟期限。延迟的目的是在执行操作之前让用户有时间解决问题。有关应用程序擦除和应用程序锁定操作的详细信息,请参阅安全操作。
注意:
如果您将触发器设置为事件,重复时间间隔将自动设置为最小值 1 小时。设备必须刷新策略以与服务器同步,才能传入通知。通常,当用户通过 Citrix Secure Hub 登录或手动刷新策略时,设备会与服务器同步。
为了让 Active Directory 数据库与 Citrix Endpoint Management 同步,在执行任何操作之前,可能会额外延迟 1 小时。
-
配置部署规则,然后单击“下一步”。
-
配置交付组分配和部署计划,然后单击下一步。
-
单击保存。
检查应用程序锁定或应用程序擦除状态
-
转至管理 > 设备,单击某个设备,然后单击显示更多。
-
滚动到设备应用程序擦除和设备应用程序锁定。
擦除设备后,系统将提示用户输入 PIN 代码。如果用户忘记了该代码,您可以在“设备详细信息”中查找。
在 Azure AD 中将 Windows 10 和 Windows 11 设备标记为不合规
当加入 Azure AD 的 Windows 10 和 Windows 11 设备被 Citrix Endpoint Management 标记为不合规时,也可以在 Azure AD 中将其标记为不合规。要启用此功能,请添加对本地 MDM 应用程序的权限,以访问 Azure AD 门户中的 Microsoft Graph API。
-
使用您的 Azure AD 管理员凭据登录 Azure AD 门户。
-
在 Azure AD 门户中,导航到 Azure Active Directory > 移动性(MDM 和 MAM)。选择本地 MDM 应用程序。
-
单击本地应用程序设置 > 所需权限 > 添加 > 选择 API > Microsoft Graph。单击选择并保存。
-
在所需权限下,选择 Microsoft Graph。在启用访问权限下,选择读取和写入目录数据。
-
在所需权限下,选择 Microsoft Graph。然后单击授予权限。
-
单击“是”授予权限。
当运行 Windows 10 或 Windows 11 的 Azure AD 注册设备不合规时,Citrix Endpoint Management 也会在 Azure AD 中将该设备标记为不合规。
基于 Windows 代理设备策略结果创建自动化操作
使用 Windows 代理设备策略部署用于监视托管 Windows 桌面和平板电脑上的注册表值的脚本。根据从脚本返回的值,您可以配置要运行的自动化操作。
-
配置 Windows 代理设备策略并检查脚本返回的值。有关 Windows 代理设备策略的信息,请参阅 Windows 代理设备策略。
该文章和本部分内容包括一个基于名为
EntApp_2019_checkFirewall的脚本的示例。相关的 Windows 代理设备策略定义了名为cName_checkFirewall的配置。该配置运行示例脚本。脚本在设备上运行后,您将获得创建操作所需的信息,如 Windows 代理设备策略中所述。
- 在 Citrix Endpoint Management 控制台中, 单击“配置”>“操作”。
- 在操作页面上,单击添加。
- 在操作信息页面上,输入操作名称和可选说明。
-
在操作详细信息页面上,选择 Policy returned value(策略返回的值)触发器。
-
在显示的字段中,定义触发器和操作:
- Windows Agent settings(Windows 代理设置):键入您创建的 Windows 代理策略的策略名称、配置名称和键名称。
- Drop-down menu(下拉菜单):选择 Is(是)、Is Not(不是) 、Contains(包含)或 Does Not Contain(不包含)逻辑。此逻辑应用到下一个字段,并在应用逻辑时导致操作触发。
- 输入字符串: 输入运行在策略中上载的 PowerShell 脚本所产生的字符串。有关查找该字符串的信息,请参阅 Windows Agent 设备策略。
- 操作: 选择一项操作、操作值,然后选择解析该操作的时间范围。
在我们的示例中:如果键名称
firewallEnabled返回值true,则以下操作将设备标记为合规。
如果键名称
firewallEnabled返回值false,则以下操作将设备标记为不合规。
- 如果需要,请设置部署计划并选择交付组。