Citrix Endpoint Management

部署资源

在设备配置和管理过程中,通常需在 Endpoint Management 控制台中创建资源(策略、应用程序和媒体)和操作,然后使用交付组对其进行封装。Endpoint Management 将交付组中的资源和操作推送到设备的顺序称为部署顺序。本文介绍了如何执行以下操作:

  • 添加、管理和部署交付组
  • 更改交付组中资源的部署顺序和操作。

    Endpoint Management 决定当用户位于多个具有重复或冲突策略的交付组中时的部署顺序。

交付组指定您向其设备部署策略、应用程序、媒体和操作组合的用户类别。交付组中包含的内容通常取决于用户的特征,例如公司、国家/地区、部门、办公地址和职务。利用交付组可以很好地控制哪些人可以访问哪些资源以及访问时间。可以针对每个人部署交付组,也可以针对严格定义的用户组部署交付组。Citrix 建议在创建设备策略之前创建交付组。

将资源部署到交付组时,您将向交付组中的所有用户发送推送通知。这些用户必须属于该交付组才能重新连接到 Endpoint Management。您可以重新评估属于某个交付组的设备和部署策略、应用程序、媒体以及操作。

对于 Apple 设备,请使用 Apple 推送通知服务。对于 Windows 设备,请使用 Windows 推送通知服务 (WNS)。对于 Android 设备,请使用 Firebase Cloud Messaging (FCM)。有关使用 FCM 的信息,请参阅 Firebase Cloud Messaging

安装和配置 Endpoint Management 时会创建默认的 AllUsers 交付组。它包含所有本地用户和 Active Directory 用户。您无法删除 AllUsers 组,但是,如果您不希望向所有用户推送资源,可以禁用此组。

部署顺序

部署顺序是指 Endpoint Management 向设备推送资源的顺序。部署顺序仅适用于交付组中具有为设备管理 (MDM) 配置的注册配置文件的设备。

在确定部署顺序时,Endpoint Management 将对资源应用过滤器和控制标准,例如部署规则和部署计划。资源包括策略、应用程序、操作和交付组。在添加交付组前,请考虑本节信息与您的部署目标的相关性。

以下是与部署顺序相关的主要概念的摘要:

  • 部署顺序: Endpoint Management 向设备推送资源(策略、应用程序和媒体)和操作的顺序。某些策略(如条款和条件以及软件清单)的部署顺序对其他资源没有影响。操作的部署顺序对其他资源没有影响,因此,Endpoint Management 部署资源时会忽略操作的位置。
  • 部署规则: Endpoint Management 使用您为用户和设备属性指定的部署规则来筛选策略、应用程序、媒体、操作和交付组。例如,某个部署规则可能指定当域名与特定值匹配时推送部署软件包。
  • 部署计划: Endpoint Management 使用您为策略、应用程序、媒体和操作指定的部署计划来控制这些项目的部署。可以将部署过程指定为立即执行、在特定日期和时间执行或根据部署条件执行。

下表显示了针对各种对象和资源类型的过滤和控制条件。部署规则基于用户和设备属性。

对象/资源 设备平台 部署规则 部署计划 用户/组
设备策略 Y Y Y -
应用程序 Y Y Y -
媒体 Y Y Y -
操作 - Y Y -
交付组 - Y - Y

在典型的环境中,可能会将多个交付组分配给单个用户,这将产生以下可能结果:

  • 交付组中存在重复的对象。
  • 在分配给一个用户的多个交付组对某特定策略进行不同的配置。

当发生任一情况时,Endpoint Management 将为必须交付到设备的所有对象计算部署顺序,或者按顺序进行操作。计算步骤独立于设备平台。

计算步骤

  1. 根据用户、组和部署规则的过滤器确定特定用户的所有交付组。

  2. 创建选定交付组中所有资源(策略、应用程序、媒体和操作)的有序列表。该列表建立在设备平台、部署规则和部署计划的过滤器的基础之上。排序算法如下所述:

    1. 请将交付组中具有用户定义的部署顺序的资源放置在交付组中不具有此类部署顺序的资源之前。此放置方法的理由将在这些步骤后的内容中说明。

    2. 作为交付组之间的一个决定项,按交付组名称对交付组中的资源排序。例如,请将交付组 A 中的资源放置在交付组 B 中的资源之前。

    3. 在排序时,如果为交付组的资源指定了用户定义的部署顺序,将保持该顺序。否则,按资源名称对交付组内的资源进行排序。

    4. 如果同一个资源出现多次,则删除重复的资源。

已与用户定义的顺序关联的资源将先于不具备此类顺序的资源进行部署。一个资源可位于被分配给用户的多个交付组中。如上述步骤中所述,计算算法会删除冗余的资源,只交付此列表中的第一个资源。删除重复资源后,Endpoint Management 会实施 Endpoint Management 管理员定义的顺序。

例如,假设您具有如下两个交付组:

  • 交付组 Account Managers 1:资源顺序未指定。包含策略 网络密码
  • 交付组 Account Managers 2:资源顺序已指定。包含策略 连接计划限制通行码网络。在这种情况下,您希望在 网络 策略之前提供 密码 策略。

如果计算算法仅按名称对部署组进行排序,那么 Endpoint Management 将按照此顺序执行部署,从交付组账户经理 1: 网络通行码连接计划限制开始。Endpoint Management 将忽略客户经理 2 交付组中的 密码网络(两者都是重复的)。

但是,Account Managers 2 组具有用户指定的部署顺序。因此,计算算法会将 Account Managers 2 交付组中的资源放置在列表中其他交付组中的资源之前。因此,Endpoint Management 按以下顺序部署策略: 连接计划限制通行码网络。Endpoint Management 会忽略账户经理 1 交付组中的策略 网络密码 ,因为它们是重复的。因此,该算法采用由 Endpoint Management 管理员指定的顺序。

部署规则

将部署规则配置为仅在存在特定条件时交付资源。可以配置基本部署规则或高级部署规则。

使用基本编辑器添加部署规则时,首先选择何时部署资源。

部署规则基本配置

  • 全部: 当用户或设备满足您配置的所有条件时交付资源。
  • 任何: 当用户或设备至少满足您配置的一个条件时交付资源。

单击新建规则添加条件。规则因所部署的资源和为其配置资源的平台而异。存在几种类型的规则。可以选择部署资源:

  • 仅当选定的属性存在时或选定的属性存在时除外。
  • 当属性与您输入的文本完全匹配时,该属性将包含您键入的文本,或者该属性与您键入的文本不匹配。
  • 当设备或用户符合您选择的属性或与您选择的属性不兼容时。
  • 当设备或用户属性与您从预定义列表中选择的条件匹配时。

使用高级编辑器创建更复杂的部署规则。存在更多可供选择的规则,在创建高级规则时,您可以组合不同的布尔逻辑运算符。

部署规则高级配置

添加交付组

创建交付组时,请指定用户分配是在 Endpoint Management 中还是在 Citrix Cloud 中进行管理。创建交付组后,不能更改此规范。

如果计划使用交付组交付其他 Citrix Cloud 服务,请指定以管理 Citrix Cloud 中的用户分配。其他服务包括 Citrix Virtual Apps and Desktops、Citrix Content Collaboration 或 Secure Browser 服务。只能向这些交付组中添加 Active Directory 用户。

如果仅需要用户和应用程序的交付组的移动性管理,请将管理用户分配设置为在 Endpoint Management 中。用户在 Endpoint Management 中进行管理的交付组在 Citrix Cloud 中不可见。因此,不能使用在 Endpoint Management 中进行管理的交付组来提供其他服务。

Citrix 建议在创建设备策略和注册配置文件之前创建交付组。

  1. 在控制台中,单击 配置 > 交付组

  2. 交付组页面上,单击添加

  3. 交付组信息页面中,键入交付组的名称和说明,然后单击下一步

    如果用户属于具有不同注册配置文件的多个交付组,该交付组的名称决定使用的注册配置文件。Endpoint Management 选择按字母顺序排列的交付组列表中最后显示的交付组。有关详细信息,请参阅注册配置文件

  4. 分配页面上,指定如何管理交付组分配。

    “交付组”配置屏幕

    重要:

    创建用户组后,不能更改管理用户分配设置。

    • 管理用户分配:
      • 在 Endpoint Management 中: 如果计划为仅需要移动性管理的用户和应用程序创建交付组,请选择此选项。用户分配在 Endpoint Management 中进行管理的交付组在 Citrix Cloud 中不可见,并且不能用于提供其他服务。
      • 在 Citrix Cloud 中: 如果计划使用交付组提供其他服务,请选择此选项。这些服务可能包括 Citrix Virtual Apps and Desktops 或 Citrix Content Collaboration。
    • 选择域: 在列表中,选择要从中选择用户的域。
    • 包括用户组: 执行以下操作之一:
      • 在用户组列表中,单击要添加的组。选定的组将显示在选定用户组列表中。
      • 单击搜索以查看选定域中所有用户组的列表。
      • 在搜索框中键入完整或部分组名称,然后单击搜索以限制用户组列表。

      要从选定用户组列表中删除某个用户组,请执行以下操作之一:

      • 选定用户组列表中,单击要删除的每个组旁边的 X
      • 单击搜索以查看选定域中所有用户组的列表。滚动列表,并取消选中要删除的各个组旁边的复选框。
      • 在搜索框中键入完整或部分组名称,然后单击搜索以限制用户组列表。滚动列表,并取消选中要删除的各个组旁边的复选框。
    • 或/与: 选择用户是位于任意组(或)即可,还是必须位于所有组中(与),才能向其部署资源。
    • 部署到匿名用户: 选择是否部署到交付组中未经身份验证的用户。未经身份验证的用户是指您无法对其进行身份验证、但仍允许其设备与 Endpoint Management 进行连接的用户。
  5. 展开 按用户属性筛选或按设备属性 筛选以指定交付组管理资源的方式。
    • 如果选择 按设备属性筛选,请展开设备平台以配置部署规则:
      • 设备属性-Android
      • 设备属性-iOS
      • 设备属性-仅限 Windows 台式机/平板电脑
    • 默认情况下将显示基础选项卡。在 “ 本” 选项卡下,指定何时部署策略。可以选择在满足全部条件时部署策略,或在满足任意条件时部署策略。默认选项为全部
      • 单击新建规则以定义条件。
      • 在列表中,选择条件。例如,选择设备所有权和 BYOD。
      • 再次单击新建规则以添加条件。
    • 单击高级选项卡以使用布尔选项组合规则。此时将显示您在基础选项卡上选择的条件。
      • 单击,然后单击新建规则
      • 在列表中,选择要添加到规则的条件,然后单击右侧的加号 (+)。

        您随时可以通过单击选择某个条件,然后单击编辑以更改此条件或单击删除以删除此条件。

  6. 单击下一步。此时将显示交付组资源页面。您可以在此处选择为交付组添加策略、应用程序或操作。要跳过此步骤,请在交付组下方,单击摘要以查看交付组配置的摘要。

    要跳过某项资源,请在 Resources (optional)(资源(可选))下方,单击要添加的资源,并按照适用于该资源的步骤操作。

创建将资源部署到 Android Enterprise 的规则

您可以使用 Android 设备属性规则管理将交付组部署到 Android Enterprise 设备。如果向同一用户注册多个设备,则可以根据设备注册模式或设备应用程序包 ID 为 Android Enterprise 创建高级筛选器。

将交付组部署到 Android Enterprise 设备

要使用设备注册模式将交付组部署到 Android Enterprise 设备上:

  1. 创建交付组。
  2. 分配 页面上,展开 按设备属性筛选
  3. 设备属性 — Android中,打开 高级选项卡 ,然后单击 新规则
  4. 在列表中,选择要添加到规则的条件:
    • 对于新的 Android Enterprise 设备,请选择 “ 按原始设备属性名称限制 ”,然后在第一个值字段中 键入 GOOGLE_AW_IN STAL_TYPE。然后,您必须将条件设置为等于以下注册模式之一。
    • 对于现有 Android Enterprise 设备,请选择 按已知设备属性名称限制 ,然后在第一个值字段中选择 Android Enterprise 安装类型 。然后,您必须将条件设置为等于以下注册模式之一。
  5. 在第二个字段中,键入 Android Enterprise 设备的注册模式:
    • DeviceAdministrator: 指定仅供工作使用的公司拥有的设备(也称为设备所有者模式)
    • ManagedProfile: 指定 BYOD-通过工作配置文件管理注册的个人设备(也称为配置文件所有者模式)
    • CorporateOwnedSingleUse:指定专用 设备(以前称为公司拥有的一次性使用设备)
    • CorporateOwnedPersonLallyLY: 指定具有工作配置文件的完全托管设备(以前称为企业拥有的个人启用的设备)
  6. 按照上一节所述完成交付组的配置。

    有关详细信息,请参阅设备部署方案和配置文件

要使用设备应用程序包 ID 将交付组部署到 Android Enterprise 设备,请执行以下操作:

  1. 设备属性 — Android中,打开 高级选项卡 ,然后单击 新规则
  2. 在列表中,选择 已安装的应用程序名称 ,然后输入应用程序包 ID。

添加策略

  1. 对于要添加的每个策略,执行以下操作之一:

    • 滚动可用策略的列表以查找要添加的策略。
    • 或者,要限制策略列表,请在搜索框中键入完整或部分策略名称,然后单击搜索
    • 单击要添加的策略并将其拖动到右侧的框中。

    要删除策略,请单击右侧框中策略名称旁边的 X

    “交付组”配置屏幕

  2. 单击下一步。此时将显示应用程序页面。

添加应用程序

  1. 对于要添加的每个应用程序,执行以下操作之一:

    • 滚动可用应用程序的列表以查找要添加的应用程序。
    • 或者,要限制应用程序列表,请在搜索框中键入完整或部分应用程序名称,然后单击搜索
    • 单击要添加的应用程序,将其拖动到必需应用程序框或可选应用程序框中。

    对于标记为必需的应用程序,用户在诸如以下情况下能够立即收到更新:

    • 上载新应用程序并根据需要对其进行标记。

    • 根据需要标记现有应用程序。

    • 用户删除所需的应用程序。

    • Secure Hub 更新可用。

    有关必需应用程序的强制部署的信息(包括如何启用该功能),请参阅关于必需应用程序和可选应用程序

    “交付组”配置屏幕

    要删除应用程序,请单击右侧框中应用程序名称旁边的 X

  2. 单击下一步。此时将显示媒体页面。

添加媒体

  1. 对于要添加的每本书籍,执行以下操作:

    • 滚动浏览可用书籍的列表以查找要添加的书籍。

    • 或者,要限制书籍列表,请在搜索框中键入完整或部分书籍名称,然后单击搜索

    • 单击要添加的书籍并将其拖动到必选书籍框中。

    “交付组”配置屏幕

    对于标记为必选的书籍,用户在诸如以下情况下将立即收到更新:

    • 上载新书籍并根据需要对其进行标记。
    • 根据需要标记现有书籍。
    • 用户删除所需的书籍。
    • Secure Hub 更新可用。

    要删除书籍,请单击右侧框中应用程序名称旁边的 X

  2. 单击下一步。此时将显示操作页面。

添加操作

  1. 对于要添加的每个操作,执行以下操作:

    • 滚动可用操作的列表以查找要添加的操作。
    • 或者,要限制操作列表,请在搜索框中键入完整或部分操作名称,然后单击搜索
    • 单击要添加的操作并将其拖动到右侧的框中。

    要删除操作,请单击右侧框中操作名称旁边的 X

    “交付组”配置屏幕

  2. 单击下一步。此时将显示 ShareFile(现称为 Content Collaboration)页面。

应用 Content Collaboration 配置

Content Collaboration 页面取决于是为企业帐户还是为存储区域连接器配置 Endpoint Management(配置 > Content Collaboration)。

如果您将 Enterprise 帐户配置为与 Endpoint Management 结合使用 :请将启用 ShareFile 设置为以提供对 Content Collaboration 内容和数据的交付组单点登录访问。

“交付组”配置屏幕

如果您将 StorageZone 连接器配置为与 Endpoint Management 结合使用,请选择要包括在交付组中的 StorageZone 连接器。

“交付组”配置屏幕

检查已配置的选项并更改部署顺序

“交付组”配置屏幕

摘要页面上,可以查看为交付组配置的选项以及更改资源的部署顺序。“摘要”页面按类别显示您的资源。摘要页面不反映部署顺序。

  1. 单击上一步返回到上一个页面,对配置进行必需的调整。

  2. 单击部署顺序查看部署顺序或对部署顺序重新排序。此时将显示部署顺序对话框。

    “交付组”配置屏幕

  3. 单击某个资源并将其拖动到您希望部署此资源的位置。更改部署顺序后,Endpoint Management 按照从上到下的顺序部署列表中的资源。

  4. 单击保存以保存部署顺序。

  5. 单击保存以保存交付组。

编辑交付组

您无法更改现有交付组的名称。要更新其他设置:转到 配置 > 交付组,选择要编辑的组,然后单击 编辑

启用和禁用 AllUsers 交付组

AllUsers 是唯一一个您可以启用或禁用的交付组。

交付组页面上,选中 AllUsers 旁边的复选框或单击包含 AllUsers 的行,以选择 AllUsers 交付组。然后执行以下操作之一:

  • 单击禁用可禁用 AllUsers 交付组。此命令仅在启用了 AllUsers 组(默认)时才可用。禁用的交付组将显示在交付组表中的已禁用标题下方。
  • 单击启用可启用 AllUsers 交付组。此命令仅在禁用了 AllUsers 组时才可用。禁用的交付组不再显示在交付组表中的已禁用标题下方。

部署交付组

部署到某个交付组意味着向该使用 iOS、Windows Phone 和 Windows Tablet 设备的用户发送推送通知。这些用户必须属于该交付组才能重新连接到 Endpoint Management。这样,您就可以重新评估设备以及部署应用程序、策略和操作。

对于使用其他平台设备的用户:如果这些设备已连接到 Endpoint Management,用户会立即收到资源。否则,根据其计划策略,用户将在下次连接时收到资源。

要使更新后的应用程序显示在 Android 设备上应用商店中的“Updated Available”(更新可用)列表中:请先向用户设备部署应用程序清单策略。

  1. 交付组页面上,执行以下操作之一:

    • 要同时部署多个交付组,请选中要部署的组旁边的复选框。
    • 要部署单个交付组,请选中其名称旁边的复选框或单击包含其名称的行。
  2. 单击部署

    根据您选择单个交付组的方式,部署命令将显示在交付组的上方或右侧。

    确认列出了要向其部署应用程序、策略和操作的组,然后单击部署。将根据设备平台和计划策略向选定的组部署应用程序、策略和操作。

    可以通过以下方式之一在交付组页面上检查部署状态。

    • 查看状态标题下方交付组的部署图标,此图标指示任何部署失败状态。
    • 单击包含交付组的行,以显示一个指示已安装待定失败部署的叠加项。

    “交付组”配置屏幕

删除交付组

您无法删除 AllUsers 交付组,但是,如果您不希望向所有用户推送资源,可以禁用此组。

  1. 交付组页面上,执行以下操作之一:

    • 要同时删除多个交付组,请选中要删除的组旁边的复选框。
    • 要删除单个交付组,请选中其名称旁边的复选框或单击包含其名称的行。
  2. 单击删除。此时将显示删除对话框。

    根据您选择单个交付组的方式,删除命令将显示在交付组的上方或右侧。

    重要:

    您不能撤消删除。

  3. 单击删除

导出交付组表

  1. 单击交付组表上方的导出按钮。Endpoint Management 提取交付组表中的信息,并将其转换为 .csv 文件。

  2. 按照您的浏览器的常规步骤打开或保存 .csv 文件。您也可以取消此操作。