Citrix Endpoint Management

自动化操作

可以在 Endpoint Management 中创建自动操作,以对以下内容的响应进行编程:

  • 事件
  • 用户或设备属性
  • 用户设备上存在应用程序

创建自动化操作时,针对操作定义的触发器确定在用户设备连接到 Endpoint Management 时进行的操作。触发事件后,您可以在采取更实质性的操作之前向用户发送通知以更正问题。

例如,假设您要检测先前阻止的应用程序(例如,“Words with Friends”)。您可以指定一个触发器,用于在检测到“Words with Friends”时,将用户设备设置为不合规。然后,该操作向用户通知必须删除该应用程序才能使其设备恢复合规状态。您还可以设置等待用户按指示进行操作的时间限制。过了该时间限制后,将发生定义的操作,例如,选择性擦除设备。

另一个示例:假设您想验证客户是否正在使用最新固件,并在用户需要更新其设备时阻止对资源的访问。您可以指定一个触发器,用于在用户设备未安装最新版本时将用户设备设置为不合规。可以使用自动操作来阻止资源并通知客户。

如果用户设备进入不合规状态,之后用户修复了该设备:请配置一个用来将设备重置为合规状态的软件包部署策略。

设置为自动出现的影响范围如下:

  • 完全或选择性地擦除设备。
  • 将设备设置为不合规。
  • 吊销设备。
  • 在采取更严重的操作之前,向用户发送通知以更正问题。

可以为仅 MAM 模式配置应用程序锁定和应用程序擦除操作。

可以在 Azure AD 中使用自动化操作将加入 Azure Active Directory (AD) 的 Windows 10 设备标记为不合规。

注意:

必须在 Endpoint Management 设置中为 SMTP 和 SMS 配置通知服务器,以便 Endpoint Management 能够发送消息,才能通知用户。有关信息,请参阅 通知。此外,请在继续操作前设置计划使用的通知模板。有关详细信息,请参阅创建和更新通知模板

要添加、编辑和过滤自动化操作,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击配置 > 操作。此时将显示操作页面。

  2. 操作页面上,执行以下操作之一:

    • 单击添加以添加操作。
    • 选择要编辑或删除的现有操作。单击要使用的选项。
  3. 此时将显示操作信息页面。

  4. 操作信息页面上,输入或修改以下信息:

    • 名称: 键入名称来标识操作。此字段为必填字段。
    • 说明: 描述执行该操作的目的。
  5. 单击下一步。此时将显示操作详细信息页面。

    以下示例显示如何设置事件触发器。如果选择其他触发器,出现的选项将与此处显示的选项有所差别。

    “操作”配置屏幕

  6. 操作详细信息页面上,输入或修改以下信息:

    触发器列表中,单击适用于此操作的事件触发器类型。每个触发器的含义如下所示:

    • 事件: 对预定义的事件做出反应。
    • 设备属性: 检查 MDM 管理的设备上的设备属性,然后对其做出反应。有关详细信息,请参阅设备属性名称和值 PDF。
    • 用户属性: 对用户属性(通常来自 Active Directory)做出反应。
    • 已安装应用程序的名称: 对正在安装的应用程序做出反应。不应用于仅 MAM 模式。要求在设备上启用应用程序清单策略。默认情况下,应用程序清单策略在所有平台上均处于启用状态。有关详细信息,请参阅应用程序清单设备策略
    • Policy returned value(策略返回的值):检查从 PowerShell 脚本返回的值是否满足某些逻辑条件。必须启用和配置 Windows 代理策略。有关 Windows 代理策略的详细信息,请参阅 Windows 代理设备策略
  7. 在下一个列表中,单击对触发器的响应。

  8. 操作列表中,单击符合触发器条件时要执行的操作。除发送通知操作外,请选择一个时间范围,让用户可以解决导致触发的问题。如果在该时间范围内未解决此问题,将执行选定的操作。有关操作的定义,请参阅安全操作

    如果选择发送通知,则按照以下步骤发送通知操作。

  9. 在下一个列表中,选择用于通知的模板。此时将显示与所选事件有关的通知模板。如果没有与通知类型对应的模板,系统会提示您配置模板,并显示消息:此事件类型的模板不存在。请使用设置中的通知模板来创建模板。

    要通知用户,请使用设置 > 通知服务器配置 SMTP 和 SMS 的设置,以便 Endpoint Management 能够发送消息。请参阅 通知。此外,在继续操作之前,请使用设置 > 通知模板来设置您计划使用的任何通知模板。请参阅 创建和更新通知模板

    “操作”配置屏幕

    选择模板后,单击预览通知消息

    “操作”配置屏幕

  10. 在以下字段中,以天、小时或分钟为单位设置执行该操作之前的延迟。设置用户解决触发问题前重复执行操作的时间间隔。

    “操作”配置屏幕

  11. 摘要中,验证您是否已按预期创建自动化操作。

    “操作”配置屏幕

  12. 配置操作详细信息后,可以分别为每个平台配置部署规则。为此,针对您选择的每个平台执行步骤 13。

  13. 配置部署规则。有关配置部署规则的常规信息,请参阅部署资源

    对于此示例:

    • 设备所有权必须为 BYOD
    • 设备本地加密必须为 True
    • 设备必须兼容通行码。
    • 设备的移动设备国家/地区代码不能仅为“安道尔”。
  14. 针对该操作配置了平台部署规则后,单击下一步。此时将显示操作分配页面,您可以在此将操作分配给一个或多个交付组。此步骤可选。

  15. 选择交付组旁边 ,键入以查找交付组或者在列表中选择组。选择的组显示在用于接收应用程序分配的交付组列表中。

  16. 展开部署计划,然后配置以下设置:

    • 部署旁边,单击以计划部署,或单击以阻止部署。默认选项为。如果选择,则无需其他选项。

    • 部署计划旁边,单击立即以后。默认选项为立即

    • 如果单击以后,请单击日历图标,然后选择部署的日期和时间。

    • 部署条件旁边,单击每次连接时或单击仅当之前的部署失败时。默认选项为每次连接时

    • 为始终启用的连接部署旁边,单击。默认选项为

      如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。

      注意:

      如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。

      始终启用选项:

      • 不适用于 iOS 设备
      • 对于开始使用 10.18.19 或更高版本的 Endpoint Management 的客户,不适用于 Android、Android Enterprise 和 Chrome OS
      • 对于开始使用版本 10.18.19 之前的 Endpoint Management 的客户,不建议在 Android、Android Enterprise 和 Chrome OS 中使用

      配置的部署计划对所有平台相同。您所做的更改适用于所有平台,但为始终启用的连接部署除外。

  17. 单击下一步。此时将显示摘要页面,您可以在此验证操作配置。

  18. 单击保存以保存操作。

面向仅 MAM 模式的应用程序锁定和应用程序擦除操作

您可以针对 Endpoint Management 控制台中列出的全部四种类别的触发器(即事件、设备属性、用户属性和已安装应用程序的名称),擦除或锁定设备上的应用程序。

配置应用程序擦除或应用程序锁定自动操作

  1. 在 Endpoint Management 控制台中,单击配置 > 操作

  2. 操作页面上,单击添加

  3. 操作信息页面上,输入操作名称和可选说明。

  4. 操作详细信息页面上,选择所需的触发器。

  5. 操作中,选择一项操作。

    针对此步骤,请记住以下条件:

    触发器类型为事件,但值不是 Active Directory 已禁用用户时,将不显示应用程序擦除应用程序锁定操作。

    触发器类型为设备属性,值为已启用 MDM 丢失模式时,将不显示以下操作:

    • 选择性擦除设备
    • 完全擦除设备
    • 吊销设备

    每个选项都会自动设置 1 小时延迟,但也可选择以分钟、小时或天为单位的延迟期限。延迟的目的是在执行操作之前让用户有时间解决问题。有关应用程序擦除和应用程序锁定操作的详细信息,请参阅安全操作

    注意:

    如果您将触发器设置为事件,重复时间间隔将自动设置为最小值 1 小时。设备必须刷新策略以与服务器同步,才能传入通知。通常情况下,设备将在用户通过 Secure Hub 登录或手动刷新其策略时与服务器同步。

    在执行任何操作之前,还可能会再延迟 1 小时左右,以便允许 Active Directory 数据库与 Endpoint Management 同步。

    “操作”配置屏幕

  6. 配置部署规则,然后单击下一步

  7. 配置交付组分配和部署计划,然后单击下一步

  8. 单击保存

检查应用程序锁定或应用程序擦除状态

  1. 转至管理 > 设备,单击某个设备,然后单击显示更多

    “管理设备”屏幕

  2. 滚动到设备应用程序擦除设备应用程序锁定

    “管理设备”屏幕

    擦除设备后,系统将提示用户输入 PIN 代码。如果用户忘记了该代码,您可以在“设备详细信息”中查找。

    “管理设备”屏幕

在 Azure AD 中将 Windows 10 设备标记为不合规

当加入到 Azure AD 的 Windows 10 设备被 Endpoint Management 标记为不合规时,也可以在 Azure AD 中将其标记为不合规。要启用此功能,请添加对本地 MDM 应用程序的权限,以访问 Azure AD 门户中的 Microsoft Graph API。

  1. 使用您的 Azure AD 管理员凭据登录 Azure AD 门户。

  2. 在 Azure AD 门户中,导航到 Azure Active Directory > 移动性(MDM 和 MAM)。选择本地 MDM 应用程序

  3. 单击本地应用程序设置 > 所需权限 > 添加 > 选择 API > Microsoft Graph。单击选择并保存。

  4. 所需权限下,选择 Microsoft Graph。在启用访问权限下,选择读取和写入目录数据

  5. 所需权限下,选择 Microsoft Graph。然后单击授予权限

  6. 单击授予权限。

在 Windows 10 Azure AD 中注册的设备不合规时,Endpoint Management 还会在 Azure AD 中将该设备标记为不合规。

基于 Windows 代理设备策略结果创建自动化操作

使用 Windows 代理设备策略部署用于监视托管 Windows 桌面和平板电脑上的注册表值的脚本。根据从脚本返回的值,您可以配置要运行的自动化操作。

  1. 配置 Windows 代理设备策略并检查脚本返回的值。有关 Windows 代理设备策略的信息,请参阅 Windows 代理设备策略

    该文章和本部分内容包括一个基于名为 EntApp_2019_checkFirewall 的脚本的示例。如下面的屏幕中所示,相关 Windows 代理设备策略定义了名为 cName_checkFirewall 的配置。该配置运行示例脚本。

    Windows 代理设备策略屏幕

    脚本在设备上运行后,您将获得创建操作所需的信息,如 Windows 代理设备策略中所述。

  2. 在 Endpoint Management 控制台中,单击配置 > 操作
  3. 操作页面上,单击添加
  4. 操作信息页面上,输入操作名称和可选说明。
  5. 操作详细信息页面上,选择 Policy returned value(策略返回的值)触发器。

    操作详细信息屏幕

  6. 在显示的字段中,定义触发器和操作:

    • Windows Agent settings(Windows 代理设置):键入您创建的 Windows 代理策略的策略名称、配置名称和键名称。
    • Drop-down menu(下拉菜单):选择 Is(是)、Is Not(不是) 、Contains(包含)或 Does Not Contain(不包含)逻辑。此逻辑应用到下一个字段,并在应用逻辑时导致操作触发。
    • 输入字符串: 输入运行在策略中上载的 PowerShell 脚本所产生的字符串。有关查找该字符串的信息,请参阅 Windows 代理设备策略
    • 操作: 选择一项操作、操作值,然后选择解析该操作的时间范围。

    在我们的示例中:如果键名称 firewallEnabled 返回值 true,则以下操作将设备标记为合规。

    操作详细信息屏幕

    如果键名称 firewallEnabled 返回值 false,则以下操作将设备标记为不合规。

    操作详细信息屏幕

  7. 如果需要,请设置部署计划并选择交付组。

自动化操作