Citrix Endpoint Management

与 Apple 教育功能相集成

在使用 Apple 教育的环境中,您可以使用 Citrix Endpoint Management 作为您的移动设备管理 (MDM) 解决方案。Citrix Endpoint Management 支持包括适用于 iPad 的 Apple 校园教务管理 (ASM) 和课堂应用程序。Citrix Endpoint Management 教育配置设备策略将教师和学生设备配置为用于 Apple Education。

您负责向教师和学生提供预配置并且受监督的 iPad。该配置包括在 Citrix Endpoint Management 中注册 ASM、使用新密码配置的 Managed Apple ID 帐户,以及所需的批量购买应用程序和 iBook。

有关 Apple 教育功能的详细信息,请参阅 Apple 教育站点和来自同一站点的 Apple《教育部署指南》。

Apple 校园教务管理

按照以下一般步骤将 Citrix Endpoint Management 与 ASM 集成。

  1. 在 ASM 中为您的机构创建一个帐户,以便在 ASM 中注册您的机构。
  2. 为 Apple 校园教务管理配置教育批量购买帐户。
  3. 为 Apple 校园教务管理用户添加密码。
  4. 在 Citrix Endpoint Management 中规划和添加资源和交付组。
  5. 测试教师和学生设备注册情况。
  6. 向教师和学生提供预配置的设备。
  7. 管理教师、学生和班级数据
  8. 如果设备丢失或被盗,您可以锁定并找到设备。

有关注册 ASM 并将您的帐户连接到 Citrix Endpoint Management 的信息,请参阅 通过 Apple 部署计划部署设备

必备条件

  • NetScaler Gateway

  • 为 MDM+MAM 配置的注册配置文件。

  • 安装了 iOS 9.3(最低版本)的 Apple iPad 第三代(最低版本)或 iPad Mini

注意:

Citrix Endpoint Management 不对照 LDAP 或 Active Directory 验证 ASM 用户帐户。但是,您可以将 Citrix Endpoint Management 连接到 LDAP 或 Active Directory,以管理与 ASM 教师或学生无关的用户和设备。例如,您可以使用 Active Directory 向其他 ASM 成员(例如 IT 管理员和经理)提供 Citrix Secure Mail 和 Citrix Secure Web。

由于 Apple ASM 教师和学生都是本地用户,因此,不需要向其设备部署 Citrix Secure Hub。

包括 NetScaler Gateway 身份验证的 MAM 注册不支持本地用户(仅支持 Active Directory 用户)。因此,Citrix Endpoint Management 仅将所需的批量购买应用程序和 iBook 部署到教师和学生设备上。

适用于 iPad 的“课堂”应用程序

通过适用于 iPad 的“课堂”应用程序,教师可以连接到学生的设备以及对其进行管理。您可以查看设备屏幕、在 iPad 上打开应用程序、共享和打开网络链接,以及在 Apple TV 上显示学生屏幕。

“课堂”应用程序在 App Store 中免费提供。您将应用程序上载到 Citrix Endpoint Management 控制台。随后使用教育配置设备策略配置“课堂”应用程序(将该应用程序部署到教师的设备)。

有关如何部署课堂应用的更多信息,请参阅 分发 Apple 应用程序

有关课堂应用要求、设置和功能的更多信息,请参阅 Apple 支持网站上的 课堂用户指南

为 Apple 校园教务管理用户添加密码

添加 ASM 帐户后,Citrix Endpoint Management 从 ASM 导入类和用户。Citrix Endpoint Management 将课程视为本地组,并在控制台中使用“组”一词。如果某个类在 ASM 中有组名,则 Citrix Endpoint Management 会将该组名分配给该类。否则,Citrix Endpoint Management 使用源系统 ID 作为组名。Citrix Endpoint Management 不使用课程名称作为课程名称,因为 ASM 中的课程名称不是唯一的。

Citrix Endpoint Management 使用 Managed Apple ID 创建用户类型为 ASM 的本地用户。这些用户属于本地用户,因为 ASM 创建的凭据与所有外部数据源都无关。因此,Citrix Endpoint Management 不使用目录服务器对这些新用户进行身份验证。

ASM 不会向 Citrix Endpoint Management 发送临时用户密码。可以从 CSV 文件导入或手动添加这些密码。要导入临时用户密码,请执行以下操作:

  1. 获取 ASM 在创建管理式 Apple ID 临时密码时生成的 CSV 文件。

  2. 编辑 CSV 文件,将临时密码替换为用户在注册 Citrix Endpoint Management 时提供的新密码。为此,对密码类型没有限制。

    CSV 文件中的条目格式如下所示: user@appleid.citrix.com,Firstname,Middle,Lastname,Password123!

    其中:

    用户: user@appleid.citrix.com

    名字: Firstname

    中间名: Middle

    姓氏: Lastname

    密码:Password123!

  3. 在 Citrix Endpoint Management 控制台中, 单击“管理”>“用户”。此时将显示用户页面。

    下面的管理 > 用户屏幕示例显示了从 ASM 中导入的用户的列表。在用户列表中:

    • 用户名显示管理式 Apple ID。

    • 用户类型为 ASM,指示源自 ASM 的帐户。

    • 显示班级。

    用户屏幕

  4. 单击导入本地用户。此时将显示导入预配文件对话框。

  5. 对于格式,请选择 ASM 用户,导航到您在步骤 2 中准备的 CSV 文件,然后单击导入

    用户屏幕

  6. 要查看某个本地用户的属性,请选择该用户,然后单击编辑

    用户屏幕

    除名称属性外,还可以使用以下 ASM 属性:

    • ASM 数据源: 班级的数据源,例如 CSVSFTP
    • ASM 管理式 Apple ID: 管理式 Apple ID 可能包括您的机构名称和 appleid。例如,该 ID 可能类似于 johnappleseed@appleid.myschool.edu。Citrix Endpoint Management 需要一个管理的 Apple ID 才能进行身份验证。
    • ASM 组织名称: 您在 Citrix Endpoint Management 中为帐户提供的名称。
    • ASM 通行码类型: 人员的密码策略:复杂(包含 8 个或更多数字和字母的非学生用密码)、four(4)(数字)或 six(6)(数字)。
    • ASM 人员的唯一 ID: 用户的标识符。
    • ASM 人员状态: 指定管理式 Apple ID 的状态为活动还是不活动。用户提供其管理式 Apple ID 帐户的新密码后,此状态将变为活动。
    • ASM 人员职称:“教师”、“学生”或“其他”。
    • ASM 人员的唯一 ID: 用户的唯一标识符。
    • ASM 源系统 ID: 系统源的标识符。
    • ASM 学生年级: 学生的年级信息(教师不使用)。

在 Citrix Endpoint Management 中规划和添加资源和交付组

交付组指定要部署到各类别的用户的资源。例如,可以为教师和学生创建一个交付组。或者,可以创建多个交付组,以便您能够自定义发送给不同教师或学生的应用程序、媒体和策略。可以为每个班级创建一个或多个交付组。还可以为管理员(教育机构中的其他员工)创建一个或多个交付组。

您部署到用户设备的资源包括设备策略、批量购买应用程序和 iBook。

  • 设备策略:

    如果教师使用“课堂”应用程序,则需要配置教育配置设备策略。请务必检查其他设备策略,以确定您希望如何配置和限制教师和学生的 iPad。

  • 批量购买应用程序:

    Citrix Endpoint Management 要求您将批量购买应用程序作为教育用户所需的应用程序进行部署。Citrix Endpoint Management 不支持将此类批量购买应用程序作为可选方式部署。

    如果您使用 Apple“课堂”应用程序,请仅将其部署到教师的设备。

    部署要提供给教师或学生的任何其他应用程序。此解决方案不使用 Citrix Secure Hub 应用程序,因此,不需要为教师或学生部署。

  • 批量购买 iBook:

    在 Citrix Endpoint Management 连接到您的 ASM 帐户后,您购买的 iBook 将显示在 Citrix Endpoint Management 控制台的“配置”>“媒体”中。该页面上列出的 iBook 可以添加到交付组中。Citrix Endpoint Management 仅支持将 iBook 添加为所需媒体。

为教师和学生规划资源和交付组后,您可以在 Citrix Endpoint Management 控制台中创建这些项目。

  1. 创建要为教师或学生设备部署的任何设备策略。有关教育配置设备策略的信息,请参阅教育配置设备策略

    “教育配置”策略屏幕

    有关设备策略的信息,请参阅设备策略以及各策略文章。

  2. 配置应用程序(配置 > 应用程序)和 iBook(配置 > 媒体):

    • 默认情况下,Citrix Endpoint Management 会在用户级别分配应用程序和 iBook。首次部署过程中,教师和学生将收到一条提示注册参加 ASM 的提示。接受邀请后,用户会在接下来的部署中(6 个小时内)收到其 ASM 应用程序和 iBook。Citrix 建议您强制为新 ASM 用户部署应用程序和 iBook。为此,请选择交付组并单击部署

      可以选择在设备级别分配应用程序(而非 iBook)。为此,请将强制与设备建立许可证关联设置更改为。当您在设备级别分配应用程序时,用户不会收到加入批量购买计划的邀请。

    “应用程序配置”屏幕

    • 要仅为教师部署应用程序,请选择仅包括教师的交付组,或者使用以下部署规则:

       Deploy this resource by ASM device type
       only
       Instructor
       <!--NeedCopy-->
      

    “应用程序配置”屏幕

  3. 可选。根据 ASM 用户属性创建操作。例如,您可能会创建在新应用程序安装时向学生设备发送通知的操作。或者,可以创建用户属性触发的操作,如以下示例中所示。

    “操作”配置屏幕

    要创建操作,请转至配置 > 操作。有关配置操作的信息,请参阅自动化操作

  4. 配置 > 交付组中,为教师和学生创建交付组。选择从 ASM 中导入的班级。此外,请为教师和学生创建部署规则。

    例如,以下用户分配针对教师。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Instructor
    <!--NeedCopy-->
    

    “交付组配置”屏幕

    以下用户分配针对学生。部署规则为:

    Limit by user property
    ASM person title
    is equal to
    Student
    <!--NeedCopy-->
    

    “交付组配置”屏幕

    还可以使用基于 ASM 组织名称的部署规则过滤交付组。

    “交付组配置”屏幕

  5. 将资源分配给交付组。以下示例显示了交付组中的 iBook。

    “交付组配置”屏幕

    以下示例显示了在您选择交付组并单击部署时显示的确认对话框。

    “交付组配置”屏幕

    有关详细信息,请参阅部署资源中的“编辑交付组”和“部署到交付组”。

测试教师和学生设备注册

可以通过以下方法之一注册设备:

  • 学校管理员可以使用您可以在 Citrix Endpoint Management 控制台中设置的用户密码来注册教师和学生设备。因此,可以向用户提供设置了应用程序和媒体的设备。

  • 收到设备时,用户使用您向其提供的用户密码进行注册。注册完成后,Citrix Endpoint Management 会向设备发送设备策略、应用程序和媒体。

要测试注册,请使用链接到 ASM 的 Apple 部署计划设备。

  1. 如果设备未链接到 ASM,请通过执行硬重置来擦除设备内容和设置。

  2. 将 ASM 设备注册给教师。然后,将 ASM 设备注册给学生。

  3. 管理 > 设备页面中,检查 ASM 设备是否在仅 MDM 模式下注册。

    可以按 ASM 设备状态过滤设备页面:已注册 ASM已共享 ASM教师学生

    “设备配置”屏幕

  4. 要验证是否为每个设备正确部署了 MDM 资源,请执行以下操作:选择设备,单击编辑,然后检查各页面。

    “设备配置”屏幕

分发设备

Apple 建议您举办活动,以便能够将设备分发给教师和学生。

如果未分发预注册的设备,还需要向这些用户提供以下各项内容:

  • Citrix Endpoint Management 注册密码

  • 管理式 Apple ID 的 ASM 临时密码。

首次用户体验如下所示。

  1. 当用户在硬重置后首次启动设备时,Citrix Endpoint Management 会在注册屏幕中提示他们注册设备。

  2. 用户提供他们的 Managed Apple ID 和 Citrix Endpoint Management 密码,用于向 Citrix Endpoint Management 进行身份验证。

  3. 在 Apple ID 设置步骤中,设备将提示用户提供其管理式 Apple ID 和 ASM 的临时密码。这些项目将对 Apple 服务验证用户的身份。

  4. 设备提示用户为其管理式 Apple ID 创建密码,用于保护 iCloud 中的数据。

  5. 在安装助手结束时,Citrix Endpoint Management 开始将策略、应用程序和媒体安装到设备上。对于在用户级别分配的应用程序和 iBook,助手会提示教师和学生注册批量购买。接受邀请后,用户将在下次部署(六小时内)收到批量购买应用程序和 iBook。

管理教师、学生和班级数据

管理教师、学生和班级数据时,请注意以下事项:

  • 将 ASM 信息导入 Citrix Endpoint Management 后,请勿更改 Managed Apple ID。Citrix Endpoint Management 还使用 ASM 用户标识符来识别用户。

  • 如果您在创建一个或多个“教育配置”设备策略后在 ASM 中添加或更改了班级数据,请编辑策略,然后重新部署这些策略。

  • 如果在部署教育配置设备策略后课程的教师发生变化:查看该策略以确保其在 Citrix Endpoint Management 控制台中更新,然后重新部署该策略。

  • 如果您在 ASM 门户中更新用户属性,则 Citrix Endpoint Management 还会在控制台中更新这些属性。但是,Citrix Endpoint Management 接收 ASM 人员头衔属性(教师、学生或其他)的方式与接收其他属性的方式不同。因此,如果您在 ASM 中更改 ASM 人员头衔,请完成以下步骤以在 Citrix Endpoint Management 中反映这一更改。

要管理数据,请执行以下操作:

  1. 在 ASM 门户中,更新学生年级并清除教师年级。

  2. 如果您将学生帐户更改为教师帐户,请将该用户从班级中的学生列表中删除。然后,将该用户添加到同一班级或其他班级中的教师列表中。

    如果您将教师帐户更改为学生帐户,请将该用户从班级中删除。然后,将该用户添加到同一班级或其他班级中的学生列表中。在下次同步(默认为每五分钟)或获取(默认为每 24 小时)时,您的更新会显示在 Citrix Endpoint Management 控制台中。

  3. 编辑教育配置设备策略以应用更改并重新部署。

    • 如果您从 ASM 门户中删除用户,Citrix Endpoint Management 还会在提取后将该用户从 Citrix Endpoint Management 控制台中删除。

      可以通过更改以下服务器属性值来缩短两个基线之间的时间间隔:bulk.enrollment.fetchRosterInfoDelay(默认值为 1440 分钟)。

    • 部署资源后:如果学生加入了某个班级,请创建仅包含该学生的交付组,并为该学生部署资源。

    • 如果某个学生或教师丢失了临时密码,请其联系 ASM 管理员。管理员可以提供临时密码或生成一个新密码。

管理丢失或被盗的设备

Apple 的“查找我的 iPhone/iPad”服务包括激活锁功能。激活锁可防止未授权的用户使用或转售在 Apple 部署计划中注册的丢失或被盗设备。

Citrix Endpoint Management 包括 ASM 激活锁安全操作,该操作使您能够向 ASM Apple 部署计划注册的设备发送锁码。

当您使用 ASM 激活锁 安全操作时,Citrix Endpoint Management 无需用户启用“查找我的 iPhone/iPad”服务即可定位设备。ASM 设备被硬重置或完全擦除后,用户需要提供其管理式 Apple ID 和密码才能解锁该设备。

要从控制台中释放锁定,请单击安全操作激活锁绕过。有关绕过激活锁的信息,请参阅绕过 iOS 激活锁。用户还可以将登录保留为空,并键入 ASM 激活锁绕过码作为密码。该信息在属性选项卡上的设备详细信息中提供。

要设置激活锁,请转至管理 > 设备,选择设备,单击安全性,然后单击 ASM 激活锁

“设备配置”屏幕

属性 ASM 托管密钥ASM 激活锁绕过码显示在设备详细信息中。

“设备配置”屏幕

ASM 激活锁的 RBAC 权限为设备 > 启用 ASM 绕过激活锁

RBAC 配置屏幕