设备管理

Citrix Endpoint Management 可以在单个管理控制台中预配和管理各种设备类型、保护其安全以及将其列入清单。

  • 使用一组通用的设备策略可管理受支持的设备。要按平台快速查看可用的设备策略,请执行以下操作:

    1. 转到 Endpoint Management 控制台并导航到配置 > 设备策略
    2. 单击添加,然后选择要查看的平台。

      有关详细信息,请参阅过滤已添加的设备策略列表

  • 保护企业信息,以严格保护身份信息、公司拥有的设备和 BYO 设备、应用程序、数据和网络的安全。指定用于对设备进行身份验证的用户身份。配置如何在设备上分开保存企业数据和个人数据。

  • 向最终用户交付任何应用程序,无论设备或操作系统为何。在应用程序级别保护您的信息,并确保企业级移动应用程序管理。

  • 使用预配和配置控制来设置设备。这些控制包括设备注册、策略应用程序和访问权限。

  • 使用安全和合规性控制创建可自定义的安全基线和可操作的触发。例如,在违反界定的合规性标准时锁定、擦除设备或在设备上发出通知。

  • 使用操作系统更新控制来阻止或强制执行操作系统更新。此功能对于抵御有针对性的操作系统漏洞以防止数据丢失至关重要。

要访问有关每个受支持平台的文章,请展开内容列表中的 “设备管理” 部分。这些文章提供了特定于每个设备平台的详细信息。本文的剩余部分介绍如何执行常规设备管理任务。

设备管理工作流程

本部分中的工作流程图提供了执行设备管理任务的建议顺序。

  1. 建议添加设备和应用程序前必须满足的必备条件:提前执行以下设置可以无中断地配置设备和应用程序。

    添加设备和应用程序前建议执行的步骤

    请参阅:

    部署资源

    使用 RBAC 配置角色

    创建和更新通知模板

    创建和管理工作流

  2. 添加设备:

    添加设备工作流

    请参阅:

    准备注册设备并交付资源

    设备策略

    部署交付组

    自动化操作

  3. 准备注册邀请:如果您计划使用注册邀请,请执行以下任务。

    准备注册邀请工作流

    请参阅:

    配置注册模式

    向设备发送通知

  4. 添加应用程序:

    添加应用程序工作流

    请参阅:

    MDX Service

    添加应用程序

    创建应用程序类别

    创建和管理工作流

    部署交付组

  5. 执行持续的设备和应用程序管理:除了使用 Endpoint Management 控制板外,我们还鼓励您查看每个版本的新增功能内容。“新增功能”提供有关任何所需操作的信息,例如配置新设备策略。

    应用程序和设备管理工作流

    请参阅:

    监视和支持

    报告

    安全操作

    新增功能

    设备策略

注册邀请

为了安全地远程管理用户设备,请在 Endpoint Management 中注册用户设备。将 Endpoint Management 客户端软件安装在用户设备上并验证用户的身份。然后,安装 Endpoint Management 和用户配置文件。有关受支持设备平台的注册详细信息,请参阅本部分下的设备文章。

在 Endpoint Management 控制台中,可以向使用 iOS、macOS 和 Android 设备的用户发送注册邀请。还可以向 iOS 或 Android 设备的用户发送安装链接。

注册邀请的发送方式如下所示:

  • 如果注册邀请面向本地用户或 Active Directory 用户:用户将通过您指定的电话号码和运营商收到来自 SMS 的邀请。

  • 如果注册邀请面向组:用户将收到来自 SMS 的邀请。如果 Active Directory 用户在 Active Directory 中具有电子邮件地址和移动电话号码,则会收到该邀请。本地用户将通过在用户属性中指定的电子邮件和电话号码收到邀请。

用户注册后,其设备在管理 > 设备上将显示为托管设备。邀请 URL 的状态显示为已兑换

必备条件

  • 已配置 LDAP
  • 如果使用本地组和本地用户:

    • 一个或多个本地组。

    • 分配给本地组的本地用户。

    • 交付组与本地组相关联。

  • 如果使用 Active Directory:

    • 交付组与 Active Directory 组相关联。

创建注册邀请

  1. 在 Endpoint Management 控制台中,单击管理 > 注册邀请。此时将显示注册邀请页面。

    Endpoint Management 控制台“注册邀请”页面

  2. 单击添加。此时将显示一个注册选项菜单。

    “添加邀请”菜单

    • 要向用户或组发送注册邀请,请单击添加邀请
    • 要通过 SMTP 或 SMS 向收件人列表发送注册安装链接,请单击发送安装链接

    如何发送注册邀请和安装链接将在这些步骤之后进行介绍。

  3. 单击添加邀请。将显示注册邀请屏幕。

    “注册邀请”屏幕

  4. 配置以下设置:

    • 收件人: 选择用户
    • 选择平台: 如果收件人,则默认选择所有平台。可以更改所选平台。如果收件人用户,则不选择任何平台。选择平台。
    • 设备所有权: 选择公司员工

    此时将显示用户或组的设置,如以下各节中所述。

向用户发送注册邀请

“注册邀请”设置

  1. 配置以下用户设置:

    • 用户名: 键入用户名。用户必须作为本地用户或 Active Directory 中的用户存在于 Endpoint Management 服务器中。如果用户是本地用户,请设置用户的电子邮件属性,以便能够向该用户发送通知。如果用户在 Active Directory 中,请务必配置 LDAP。
    • 设备信息: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。选择序列号UDIDIMEI。选择某个选项后,将显示一个字段,您可以在此处键入设备的相应值。
    • 电话号码: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。(可选)键入用户的电话号码。
    • 运营商: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。选择要与用户的电话号码关联的运营商。
    • 注册模式: 选择希望用户采用的注册方式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
      • 用户名 + 密码
      • 高安全性
      • 邀请 URL
      • 邀请 URL + PIN
      • 邀请 URL + 密码
      • 双重身份验证
      • 用户名 + PIN

    仅显示对每个选定的平台有效的注册模式。用于注册的 PIN 又称为一次性 PIN。此类 PIN 仅在用户注册时有效。

    注意:

    当您选择包含 PIN 的任何注册模式时,将显示注册 PIN 模板字段。单击注册 PIN

    • 代理下载模板: 选择名为下载链接的下载链接模板。该模板适用于受支持的所有平台。
    • 注册 URL 模板: 选择注册邀请
    • 注册确认模板: 选择注册确认
    • 此时间后过期: 此字段在配置注册模式时设置,用于指出注册的过期时间。有关配置注册模式的详细信息,请参阅配置注册模式
    • 最大尝试次数:此字段在配置注册模式时设置,用于指出注册过程发生的最大次数。
    • 发送邀请: 选择将立即发送邀请。选择将向注册邀请页面上的表格中添加邀请,但不发送。
  2. 如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。

    “注册邀请”页面上的表

向组发送注册邀请

下图中显示了用于配置向组发送的注册邀请的设置。

“向组发送的注册邀请”页面

  1. 配置以下设置:

    • 域: 选择要接收邀请的组的域。
    • 组: 选择要接收邀请的组。
    • 注册模式: 选择希望组中的用户采用的注册方式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
      • 用户名 + 密码
      • 高安全性
      • 邀请 URL
      • 邀请 URL + PIN
      • 邀请 URL + 密码
      • 双重身份验证
      • 用户名 + PIN

    仅显示对每个选定的平台有效的注册模式。

    注意:

    当您选择包含 PIN 的任何注册模式时,将显示注册 PIN 模板字段。单击注册 PIN

    • 代理下载模板: 选择名为下载链接的下载链接模板。该模板适用于受支持的所有平台。
    • 注册 URL 模板: 选择注册邀请
    • 注册确认模板: 选择注册确认
    • 此时间后过期: 此字段在配置注册模式时设置,用于指出注册的过期时间。有关配置注册模式的详细信息,请参阅配置注册模式
    • 最大尝试次数:此字段在配置“注册模式”时设置,用于指出注册过程发生的最大次数。
    • 发送邀请: 选择将立即发送邀请。选择将向注册邀请页面上的表格中添加邀请,但不发送。
  2. 如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。

    “注册邀请”表

发送安装链接

您必须通过设置页面在通知服务器上配置通道(SMTP 或 SMS),才能发送注册安装链接。有关详细信息,请参阅 通知

"发送安装链接"页面

  1. 配置这些设置,然后单击保存

    • 收件人: 对于要添加的每个收件人,单击添加,然后执行以下操作:
      • 电子邮件: 键入收件人的电子邮件地址。此字段为必填字段。
      • 电话号码: 键入收件人的电话号码。此字段为必填字段。

      注意:

      要删除收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾桶图标。此时将显示确认对话框。单击删除以删除列表,或单击取消以保留列表。

      要编辑收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的铅笔图标。更新列表,然后单击保存以保存更改后的列表,或单击取消以保留列表不变。

    • 通道: 选择用于发送注册安装链接的通道。可以通过 SMTPSMS 发送通知。在通知服务器设置页面上配置服务器设置后,才能激活这些通道。有关详细信息,请参阅 通知
    • SMTP: 配置以下可选设置。如果不在这些字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
      • 发件人: 键入可选发件人。
      • 主题: 键入消息的可选主题。例如,“注册您的设备”。
      • 消息: 键入要发送给收件人的可选消息。例如,“注册您的设备以获取组织应用程序和电子邮件的访问权限。”
    • SMS: 配置以下设置。如果不在此字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
      • 消息: 键入要发送给收件人的消息。对于基于 SMS 的通知,这是必填字段。

        在北美,超过 160 个字符的 SMS 消息将通过多条消息发送。

  2. 单击发送

    注意:

    如果您的环境使用 sAMAccountName:在用户收到邀请并单击链接后,必须编辑用户名才能完成身份验证。用户名以 sAMAccountName@domainname.com 的形式显示。用户必须删除 @domainname.com 部分。

设备注册限制

Endpoint Management 包括一个默认注册配置文件,该配置文件允许用户注册不限数量的设备。默认配置文件的名称为 Global。仅当要限制用户能够注册的设备数量时才能创建注册配置文件。可以将注册配置文件与交付组相关联。

设备注册限制仅适用于 iOS 和 Android 设备。

当 Endpoint Management 部署包括专用的 Android Enterprise 设备(也称为 COSU 设备)时,单个 Endpoint Management 管理员或一小组管理员会注册多个设备。要确保这些管理员能够注册所需的所有设备,请为其创建一个允许每个用户无限制注册设备的注册配置文件。有关详细信息,请参阅 Android Enterprise 文章中的添加专用的 (COSU) 注册配置文件

  1. 转至配置 > 注册配置文件。此时将显示默认的 Global 配置文件。

    默认的 Global 配置文件

  2. 要添加注册配置文件,请单击添加。在注册信息页面中,键入注册配置文件的名称,然后选择使用此配置文件的成员可以注册的设备数。

    注册信息

  3. 单击下一步。此时将显示交付组分配屏幕。

    “交付组分配”屏幕

  4. 选择此注册配置文件的交付组,然后单击保存

    此时将显示交付组页面。

    “交付组”页面

    要更改与交付组关联的注册配置文件,请转至配置 > 交付组,然后单击注册配置文件

    “注册配置文件”页面

实行设备注册限制时的用户体验

设置了设备注册限制后,如果用户尝试注册一个新设备,他们要遵循以下步骤:

  1. 登录到 Secure Hub。

  2. 输入要注册的服务器地址。

  3. 输入凭据。

  4. 如果达到设备限制,将显示一条错误消息,通知用户已超出设备注册限制。

    Secure Hub 注册屏幕

    此时会再次显示 Secure Hub 注册屏幕。

安全操作

可以从管理 > 设备页面执行设备和应用程序安全操作。设备操作包括吊销、锁定、解锁及擦除。应用程序安全操作包括应用程序锁定和应用程序擦除。

  • 激活锁绕过: 设备激活之前从受监督的 iOS 设备中删除激活锁。此命令不需要用户的个人 Apple ID 或密码。

  • 应用程序锁定: 拒绝访问设备上的所有应用程序。在 Android 上,应用程序锁定后,用户将无法登录 Endpoint Management。在 iOS 中,用户可以登录,但无法访问应用程序。

  • 应用程序擦除:在 Android 上,应用程序擦除操作将从 Endpoint Management 中删除用户帐户。在 iOS 中,将删除 Secure Hub 中的用户帐户。

  • ASM DEP 激活锁: 为在 Apple 校园教务管理 DEP 中注册的 iOS 设备创建激活锁绕过码。

  • 证书续订:对于受支持的 iOS、macOS 和 Android 设备,证书续订安全操作会启动证书续订。下次设备连接回 Endpoint Management 时,Endpoint Management 服务器会根据新 CA 颁发新的设备证书。

  • 清除限制:在受监督的 iOS 设备上,此命令允许 Endpoint Management 清除用户配置的限制密码和限制设置。

  • 启用/禁用丢失模式: 将受监督的 iOS 设备置于丢失模式并向设备发送要显示的消息、电话号码和脚注。第二次发送此命令将使设备脱离丢失模式。

  • 启用跟踪:在 Android 设备上,此命令允许 Endpoint Management 以您定义的频率轮询特定设备的位置。

  • 完全擦除: 立即从设备中(包括从任何内存卡中)擦除所有数据和应用程序。

    • 对于 Android 设备,此请求还可以包括用于擦除内存卡的选项。

    • 对于 iOS、macOS 和 tvOS 设备,擦除操作会立即进行,即使设备处于锁定状态亦如此。

      对于 iOS 11 设备(最低版本):确认完全擦除时,可以选择在设备上保留手机网络流量套餐。

      对于 iOS 11.3 设备(最低版本):确认完全擦除后,可以阻止 iOS 设备执行邻近感应设置。设置新的 iOS 设备时,用户通常可以使用已配置的 iOS 设备来设置自己的设备。您可以禁止在由 Endpoint Management 管理并已擦除的设备上进行邻近感应设置。

    • 对于 Windows Phone 设备,完全擦除操作会删除所有 Endpoint Management 信息和所有用户数据。删除的用户数据包括应用程序、电子邮件、联系人和媒体等个人内容。

    • 如果设备用户在删除内存卡内容之前关闭了设备,用户可能仍然对设备数据具有访问权限。

    • 可以在将擦除请求发送到设备之前取消该请求。

  • 定位:管理 > 设备页面上的设备详细信息 > 常规下定位设备并报告设备位置(包括地图)。对于 Android Enterprise 设备,除非 位置设备策略 已将设备的位置模式设置为高精度省电,否则此请求将失败。

  • 锁定:远程锁定设备,当您丢失设备且不知道设备是否被盗时会很有用。Endpoint Management 随之生成一个 PIN 代码并在设备中进行设置。要访问设备,用户需要键入该 PIN 代码。使用取消锁定可从 Endpoint Management 控制台中删除锁定。

  • 锁定并重置密码: 远程锁定设备并重置密码。

    • 不支持在工作配置文件模式下于 Android Enterprise 中注册且运行低于 Android 7.0 的 Android 版本的设备。
    • 在工作配置文件模式下于 Android Enterprise 中注册且运行 Android 7.0 或更高版本的设备上:
      • 发送的密码将锁定工作配置文件。设备不会被锁定。
      • 如果未发送密码,或者发送的密码不符合密码要求,并且尚未对工作配置文件设置任何密码:设备将被锁定。
      • 如果未发送密码,或者发送的密码不符合密码要求,但已对工作配置文件设置密码:工作配置文件将被锁定,但设备不会被锁定。
  • 通知(响铃): 在 Android 设备上播放声音。

  • 重新启动: 重新启动 Windows 10 设备。对于 Windows Tablet 和 PC,此时将显示消息“System will reboot soon”(系统很快将重新启动),重新启动将在之后的 5 分钟内发生。对于 Windows Phone,重新启动将在几分钟后发生,并且不向用户显示任何警告消息。

  • 请求使用/停止使用 AirPlay 镜像: 在受监督的 iOS 设备上启动和停止 AirPlay 镜像。

  • 重新启动/关闭:立即重新启动或关闭受监督的设备。tvOS 支持重新启动,但不支持关闭。

  • 吊销:禁止设备连接到 Endpoint Management。

  • 吊销/授权(iOS、macOS、tvOS): 执行与“选择性擦除”相同的操作。吊销后,可以重新向设备授权以进行重新注册。

  • 响铃: 如果设备处于丢失模式,响铃将在受监督的 iOS 设备上播放声音。声音将持续播放,直至您将设备从丢失模式中删除或者用户禁用声音。

  • 选择性擦除: 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。选择性擦除后,用户可以重新注册设备。

    • 选择性擦除 Android 设备不会断开设备与 Device Manager 及企业网络的连接。要阻止设备访问 Device Manager,还必须吊销设备证书。
    • 如果启用了 Samsung Knox API,选择性擦除设备还将删除 Samsung Knox 容器。
    • 对于 iOS 和 macOS 设备,此命令将删除通过 MDM 安装的任何配置文件。
    • 在 Windows 设备上执行的选择性擦除还将删除当时已登录的任何用户的配置文件文件夹的内容。选择性擦除不会删除您通过配置向用户提供的任何 Web 剪辑。要删除 Web 剪辑,用户需要手动取消注册其设备。不能重新注册选择性擦除的设备。
    • 选择性擦除 Windows Phone 设备会删除允许 Endpoint Management 在设备上安装应用程序的企业令牌。该擦除操作还将删除部署到设备的所有 Endpoint Management 证书和配置。不能重新注册选择性擦除的 Windows Phone 设备。
    • 选择性擦除 Android 设备也会吊销设备。只有在重新授权设备或从控制台中删除设备后,才能重新注册设备。
  • 解锁: 清除设备被锁定时向其发送的通行码。此命令不解锁设备。

管理 > 设备中,设备详细信息页面还将列出设备安全属性。这些属性包括“强 ID”、“锁定设备”、“激活锁绕过”以及平台类型的其他信息。完全擦除设备字段包括用户的 PIN 代码。擦除设备后,用户必须输入该代码。如果用户忘记了该代码,您可以在此处查找。

您可以自动执行某些操作。有关详细信息,请参阅自动化操作

从 Endpoint Management 控制台中删除设备

重要:

从 Endpoint Management 控制台中删除设备时,托管应用程序和数据仍保留在设备上。要从设备中删除托管应用程序和数据,请参阅本文后面的“删除设备”部分。

要从 Endpoint Management 控制台中删除某个设备,请转至管理 > 设备,选择一个托管设备,然后单击删除

“删除”选项

选择性擦除设备

  1. 转至管理 > 设备,选择一个托管设备,然后单击安全

  2. 安全操作中,单击选择性擦除

  3. 仅限 Android 设备:要断开设备与企业网络的连接,请在擦除设备后,在安全操作中,单击吊销

    要在擦除之前撤回选择性擦除请求,请在安全操作中,单击取消选择性擦除

删除设备

此过程将从该设备中删除托管应用程序和数据,并从 Endpoint Management 控制台的“设备”列表中删除该设备。

  1. 转至管理 > 设备,选择一个托管设备,然后单击安全

  2. 单击选择性擦除。系统提示时,单击执行选择性擦除

  3. 要验证擦除命令是否成功,请刷新管理 > 设备。在模式列中,琥珀色的 MDM 和 MAM 指示擦除命令成功。

    成功擦除命令

  4. 管理 > 设备中,选择该设备,然后单击删除。系统提示时,再次单击删除

锁定、解锁、擦除或取消擦除应用程序

  1. 转至管理 > 设备,选择一个托管设备,然后单击安全

  2. 安全操作中,单击应用程序操作。

    还可以使用安全操作对话框检查已禁用或从 Active Directory 中删除其帐户的用户的设备状态。如果存在“应用程序解锁”操作或“应用程序取消擦除”操作,则表明应用程序已被锁定或擦除。

获取有关设备的信息

Endpoint Management 数据库用于存储移动设备的列表。唯一的序列号或国际移动设备标识 (IMEI)/移动设备标识符 (MEID) 标识唯一地定义每个移动设备。要将设备填充到 Endpoint Management 控制台中,可以手动添加设备或从文件导入设备列表。有关设备预配文件格式的详细信息,请参阅本文后面的设备预配文件格式

Endpoint Management 控制台中的管理 > 设备页面将列出每个设备以及以下信息:

  • 状态: 图标指示设备是否已越狱、是否托管、ActiveSync Gateway 是否可用以及部署状态。
  • 模式:指示设备模式,如 MDM 或 MDM+MAM。
  • 与设备有关的其他信息,例如用户名设备平台上次访问时间不活动天数。这些标题是显示的默认标题。

要自定义设备表,请单击最后一个标题上的向下箭头。然后选择要在表格中查看的其他标题,或者清除要将其删除的所有标题。

“设备”表自定义选项

可以手动添加设备、从设备预配文件中导入设备、编辑设备详细信息、执行安全操作以及向设备发送通知。还可以将所有设备表数据导出到 .csv 文件,以创建自定义报告。服务器将导出所有设备属性。如果应用过滤器,Endpoint Management 会在创建 .csv 文件时使用过滤器。

从预配文件导入设备

您可以导入移动运营商或设备制造商支持的文件,或创建自己的设备预配文件。有关详细信息,请参阅本文后面部分中的设备预配文件格式

  1. 转至管理 > 设备,然后单击导入。此时将显示导入预配文件对话框。

    “导入预配文件”对话框

  2. 单击选择文件,然后导航到要导入的文件。

  3. 单击导入设备表将列出导入的文件。

  4. 要编辑设备信息,请将其选中,然后单击编辑。有关设备详细信息页面的信息,请参阅获取有关设备的信息

向设备发送通知

您可以从设备页面向设备发送通知。有关通知的详细信息,请参阅通知

  1. 管理 > 设备页面上,选择要向其发送通知的一个或多个设备。

  2. 单击通知。将显示通知对话框。收件人字段列出要接收通知的所有设备。

    “通知”对话框

  3. 配置以下设置:

    • 模板: 在列表中,单击要发送的通知类型。对于除临时外的每个模板,主题消息字段将显示为所选模板配置的文本。
    • 通道: 选择消息的发送方式。默认值为 SMTPSMS。单击选项卡以查看每个通道的消息格式。
    • 发件人: 输入可选发件人。
    • 主题: 输入临时消息的主题。
    • 消息: 输入临时消息的消息。
  4. 单击通知

导出设备表

  1. 根据您希望在导出文件中显示的内容过滤设备表。

  2. 单击设备表上方的导出按钮。Endpoint Management 将提取过滤后的设备表中的信息,并将其转换为 .csv 文件。

  3. 系统提示时,打开或保存 .csv 文件。

手动标记用户设备

您可以在 Endpoint Management 中通过以下方式手动标记设备:

  • 在基于邀请的注册过程中。
  • 在自助服务门户注册过程中。
  • 通过添加设备所有权作为设备属性

您可以选择将设备标记为公司拥有或员工拥有。使用自助服务门户自助注册设备时,可以将设备标记为公司拥有或员工拥有。也可以手动标记设备,如下所示。

  1. 在 Endpoint Management 控制台中,从设备选项卡向设备添加属性。
  2. 添加名为所有者的属性,然后选择公司BYOD(员工拥有)。

    “所有者”属性设置

搜索设备

为了进行快速搜索,默认搜索范围包括以下设备属性:

  • 序列号
  • IMEI
  • Wi-Fi MAC 地址
  • 蓝牙 MAC 地址
  • Active Sync ID
  • 用户名

可以通过服务器属性 include.device.properties.during.search 配置搜索范围,其默认值为 false。要在设备搜索中包括所有设备属性,请转至设置 > 服务器属性并将该设置更改为 true

设备预配文件格式

许多移动运营商或设备制造商都会提供授权移动设备的列表。可以使用这些列表来避免手动输入长长的移动设备列表。Endpoint Management 支持以下受支持的设备类型通用的导入文件格式:Android、iOS 和 Windows。

手动创建并用于将设备导入 Endpoint Management 的预配文件必须采用以下格式:

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; ... propertyNameN;propertyValueN

请紧急以下几点:

  • 有关每个属性的有效值,请参阅 PDF 设备属性名称和值
  • 使用 UTF-8 字符集。
  • 使用分号 (;) 分隔预配文件中的字段。如果某个字段的某一部分包含分号,请使用反斜杠字符 (\) 进行转义。

    例如,对于此属性:

    propertyV;test;1;2

    按如下所示对其进行转义:

    propertyV\;test\;1\;2

  • 对于 iOS 设备,必须提供序列号,因为序列号是 iOS 设备标识符。
  • 对于其他设备平台,必须包括序列号或 IMEI。
  • OperatingSystemFamily 的有效值为 WINDOWSANDROIDiOS

设备预配文件示例:

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`

文件中的每行都描述一个设备。该示例中第一个条目的含义如下:

  • 序列号: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • 操作系统系列: WINDOWS
  • 属性名称: propertyN
  • 属性值: propertyV\;test\;1\;2;prop 2

共享设备

Endpoint Management 允许您配置多个用户可以共享的设备。例如,利用共享设备功能,医院的临床医生可以使用附近的任何设备访问应用程序和数据,而无需随身携带特定设备。您可能还希望执法、零售和制造等领域的工作者转向使用共享设备,以降低装备成本。

关于共享设备的要点

可以将支持的任何 iOS 和 Android 设备用作共享设备。有关支持的设备列表,请参阅 支持的设备操作系统

MDM 模式

  • 可在 iOS 和 Android 平板电脑和手机上使用。Endpoint Management Enterprise 共享设备不支持基本设备注册计划 (DEP) 注册。使用经过授权的 DEP 在此模式下注册共享设备。
  • 不支持的身份验证类型:客户端证书身份验证、Citrix PIN、Touch ID、用户熵和双重身份验证。

MDM+MAM 模式

  • 只能在 iOS 和 Android 平板电脑上使用。
  • 仅支持 Active Directory 用户名和密码身份验证。
  • 不支持客户端证书身份验证、Secure Hub 密码、Touch ID、用户熵和双重身份验证。
  • 不支持仅 MAM 模式。设备必须在 MDM 下注册。
  • 仅支持 Secure Mail、Secure Web 和 Citrix Files 移动应用程序。不支持 HDX 应用程序。
  • Active Directory 用户是唯一受支持的用户。不支持本地用户和组
  • 现有仅 MDM 共享设备要更新到 MDM+MAM 模式需要重新注册。
  • 用户无法共享设备上的本机应用程序。
  • 在首次注册期间下载了 Citrix 移动生产力应用程序后,不必在新用户每次登录设备时重新下载。新用户拿到设备后,只需登录即可使用。
  • 在 Android 上,要出于安全目的隔离每个用户的数据,请在 Endpoint Management 控制台中启用 Disallow rooted devices(不允许使用已获得 Root 权限的设备)策略。

注册共享设备的必备条件

您必须先执行以下操作,才能注册共享设备:

使用 MDM+MAM 模式的必备条件

  1. 创建一个名称类似于共享设备注册人员的 Active Directory 组。
  2. 将要注册共享设备的 Active Directory 用户添加到此组。如果要使用一个专用于注册共享设备的新帐户,请创建新的 Active Directory 用户(例如 sdenroll),并将该用户添加到 Active Directory 组。

配置共享设备

按照以下步骤配置共享设备。

  1. 在 Endpoint Management 控制台中,单击右上角的齿轮。此时将显示设置页面。
  2. 单击基于角色的访问控制,然后单击添加。此时将显示添加角色屏幕。
  3. 创建一个名为共享设备注册用户的共享设备注册用户角色,并在授权访问下选择共享设备注册人员权限。请务必在控制台功能中展开设备,然后选择选择性擦除设备。此设置可确保在取消注册设备后,可通过 Secure Hub 删除使用共享设备注册人员帐户预配的应用程序和策略。

    对于应用权限,保留默认设置至所有用户组,或使用至特定用户组向特定 Active Directory 用户组分配权限。

    “应用权限”选项

    单击下一步以转至分配屏幕。将创建的共享设备注册角色分配给为共享设备注册用户创建的 Active Directory 组。在下图中,citrix.lab 是 Active Directory 域,共享设备注册人员是 Active Directory 组。

    “分配”屏幕

  4. 创建一个交付组,其中包含在用户未登录时要应用于设备的基本策略、应用程序和操作。然后,将该交付组与共享设备注册用户 Active Directory 组关联。

    交付组设置

  5. 在共享设备上安装 Secure Hub,然后使用共享设备注册用户帐户在 Endpoint Management 中对其进行注册。现在,您可以通过 Endpoint Management 控制台查看和管理设备。

  6. 要应用不同的策略或为已通过身份验证的用户提供更多应用程序,必须创建与这些用户关联且仅部署到共享设备的交付组。在创建交付组时,请配置相应的部署规则,以确保将软件包部署到共享设备。有关详细信息,请参阅部署资源

  7. 要停止共享设备,请执行选择性擦除操作,以从设备中删除共享设备注册用户帐户。选择性擦除操作还会删除部署到设备的所有应用程序和策略。

共享设备用户体验

MDM 模式

用户只会看到他们可用的资源,而且在每个共享设备上都能获得同样的使用体验。共享设备注册策略和应用程序会始终保留在设备上。当未在共享设备中注册的用户登录到 Secure Hub 时,该用户的策略和应用程序将部署到设备中。当该用户注销时,系统将删除与共享设备注册的策略和应用程序不同的策略和应用程序。共享设备注册资源则完好无损。

MDM+MAM 模式

Secure Mail 和 Secure Web 将在由共享设备注册用户注册后部署到设备中。用户数据会安全地保留在设备上。当其他用户登录到 Secure Mail 或 Secure Web 时,系统不会将这些数据公开给这些用户。

一次只能有一个用户登录到 Secure Hub。上一个用户必须注销,下一个用户才能登录。出于安全原因,Secure Hub 不在共享设备上存储用户凭据,因此用户必须在每次登录时输入其凭据。为确保新用户不能访问面向以前用户的资源,在删除与以前的用户关联的策略、应用程序和数据时,Secure Hub 不得允许新用户登录。

共享设备注册不会更改应用程序升级过程。您可以照常将升级推送给共享设备的用户,而共享设备的用户可以直接在其设备上升级应用程序。

建议的 Secure Mail 策略

  • 为了获得最佳 Secure Mail 性能,请根据要共享设备的用户数设置 Max sync period(最长同步期限)。不建议允许无限同步。
共享设备的用户数量 建议的最长同步期限
21–25 1 周或更短
6–20 2 周或更短
5 或更少 1 个月或更短
  • 阻止启用联系人导出以避免向共享设备的其他用户公开用户的联系人。

  • 在 iOS 上,只能基于用户设置以下设置。所有其他设置都是共享该设备的用户通用的:

    • 通知
    • 签名
    • 外出
    • 同步邮件期限
    • S/MIME
    • 检查拼写