Citrix Endpoint Management

Windows Desktop 和 Tablet

Endpoint Management 在 MDM 中注册 Windows 10 设备。Endpoint Management 支持对在 MDM+MAM 中注册的 Windows 10 设备使用以下身份验证类型。

  • 基于域的身份验证
    • Active Directory
    • Azure Active Directory
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

有关受支持的身份验证类型的详细信息,请参阅证书和身份验证

启动 Windows 10 设备管理的一般工作流程如下:

  1. 完成登录流程。请参阅载入和资源设置准备注册设备并交付资源

    如果计划使用自动发现服务注册 Windows 设备,则必须配置 Citrix 自动发现服务。请求 Citrix 技术支持提供帮助。有关详细信息,请参阅请求 Windows 设备的自动发现

  2. 选择并配置注册方法。请参阅 支持的注册方法

  3. 配置 Windows Desktop 和 Tablet 设备策略

  4. 用户注册 Windows 10 设备。

  5. 设置设备和应用程序安全操作。请参阅 安全操作

有关支持的操作系统,请参阅支持的设备操作系统

支持的注册方法

可以在注册配置文件中指定如何管理 Windows 10 设备。有两个选项可用:

  • 完全托管(MDM 注册)
  • 不管理设备(未注册 MDM)

要为 Windows 10 设备配置注册设置,请转到配置 > 注册配置文件 > Windows。有关注册配置文件的详细信息,请参阅注册配置文件

面向 Windows 的注册配置文件页面

下表列出了 Endpoint Management 支持的 Windows 10 设备的注册方法:

方法 支持
Azure Active Directory 注册
Citrix Workspace 应用程序注册
自动发现服务注册
Windows 批量注册
手动注册
注册邀请

注意:

  • 手动注册要求用户输入 Endpoint Management 服务器的完全限定域名 (FQDN)。我们不建议使用手动注册。相反,请使用其他方法以简化用户的注册过程。
  • 您不能向 Windows 设备发送注册邀请。Windows 用户直接通过其设备注册。

配置 Windows Desktop 和 Tablet 设备策略

使用这些策略可配置 Endpoint Management 与运行 Windows 10 的 Desktop 和 Tablet 设备的交互方式。此表列出了适用于 Windows Desktop 和 Tablet 设备的所有设备策略。

     
应用程序配置 应用程序清单 应用程序锁定
应用程序卸载 应用程序防护 BitLocker
控制操作系统更新 凭据 自定义 XML
Defender Device Guard 设备运行状况证明
Exchange 防火墙 是否需要 Kiosk
办公网络 通行码 限制
存储 条款和条件 VPN
Web 剪辑 Wi-Fi Windows 代理
Windows Hello 企业版 Windows GPO 配置 Windows 信息保护

通过 Azure Active Directory 注册 Windows 10 设备

重要:

必须先在 Azure 中配置 Azure Active Directory (AD) 设置,然后配置 Endpoint Management,用户才能注册。有关详细信息,请参阅将 Endpoint Management 连接到 Azure AD

Windows 10 设备可以通过 Azure 注册作为 AD 身份验证的联合方式。此注册需要 Azure AD Premium 订阅。有关详细信息,请参阅https://docs.microsoft.com/en-us/azure/active-directory/devices/overview#license-requirements

可以使用以下任一方法将 Windows 10 设备加入到 Microsoft Azure AD 中:

配置设备后加入 Azure AD 时在 MDM 中注册

  1. 在设备上,从“开始”菜单导航到设置 > 帐户 > 访问工作单位或学校,然后单击连接

  2. 设置工作或学校帐户对话框的替代操作下,单击将此设备加入 Azure Active Directory

  3. 输入 Azure AD 凭据,然后单击登录

  4. 接受组织要求的条款和条件。

    • 如果用户单击拒绝,则设备既不加入 Azure AD,也不在 Endpoint Management 中注册。
  5. 单击加入继续完成注册过程。

  6. 单击完成以完成注册过程。

注册到 Azure AD 时在 MDM 中注册

  1. 在设备上,从“开始”菜单导航到设置 > 帐户 > 访问工作单位或学校,然后单击连接

  2. 设置工作或学校帐户对话框中,输入 Azure AD 凭据,然后单击登录

  3. 接受组织要求的条款和条件。该设备已注册到 Azure AD 并在 Endpoint Management 中注册。

    • 如果用户单击拒绝,则设备将注册到 Azure AD,但不注册到 Endpoint Management 中。帐户上没有信息按钮。
  4. 单击加入继续完成注册过程。

  5. 单击完成以完成注册过程。

通过 Citrix Workspace 应用程序注册 Windows 10 设备(预览版)

Endpoint Management 支持通过 Citrix Workspace 应用程序自动注册 Windows 10 设备。此支持意味着用户可以注册受支持的 Windows 10 设备。

必备条件:

  • 基于云的部署
  • Citrix Workspace 应用程序 1911 或更高版本
  • Citrix Endpoint Management 20.1.0 或更高版本
  • 与 Citrix Workspace 集成的 Citrix Endpoint Management

    有关 Endpoint Management 与 Citrix Workspace 的集成的信息,请参阅 与 Citrix Workspace 体验的集成。有关在 Citrix Cloud 中为 Endpoint Management 启用 Workspace 集成的信息,请参阅 Citrix Workspace 文档 中的“Endpoint Management”。

用户输入凭据以在 Citrix Workspace 应用程序中添加应用商店时,将显示以下注册提示:

适用于 Windows 的 Citrix Workspace 应用程序中的注册提示

仅当满足以下条件时,才会显示注册提示:

  • 设备未注册 MDM。

  • 用户是端点上的本地管理员组的成员。

  • Windows 10 设备上存在注册配置文件。

使用自动发现服务注册 Windows 设备

要为 Windows 设备配置自动发现服务,请向 Citrix 技术支持部门寻求帮助。有关详细信息,请参阅请求 Windows 设备的自动发现

注意:

SSL 侦听器证书必须是公用证书,才能注册 Windows 设备。自签名 SSL 证书的注册失败。

用户执行以下步骤以完成注册:

  1. 在设备上,从“开始”菜单导航到设置 > 帐户 > 访问工作单位或学校,然后单击仅在设备管理中注册

  2. 设置工作或学校帐户对话框中,输入公司电子邮件地址,然后单击下一步

    要注册为本地用户,请输入带有正确域名的不存在的电子邮件地址(例如 foo\@mydomain.com)。该步骤允许用户绕过已知的 Microsoft 限制,其中 Windows 上的内置设备管理负责执行注册。在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。然后,设备会发现 Endpoint Management 服务器并启动注册过程。

  3. 输入凭据,然后单击继续

  4. 使用条款对话框中,同意托管您的设备,然后轻按接受

如果域策略禁用 MDM 注册,通过自动发现服务注册加入了域的 Windows 设备将失败。用户可以改为使用以下方法之一:

  • 从域中删除设备,注册,然后重新加入这些设备。
  • 输入 Endpoint Management 服务器的 FQDN 以继续。

Windows 批量注册

启用 Windows 批量注册后,可以为 MDM 服务器设置多个不需要重新映像设备就可管理的设备。可以对 Windows 10 Desktop 和便携式计算机设备的批量注册使用预配包。有关信息,请参阅 Windows 设备的批量注册

安全操作

Windows 10 设备支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

     
查找 锁定 重新启动
吊销 选择性擦除 擦除

将 Endpoint Management 连接到 Azure AD

Windows 10 设备可以在 Azure 中注册。在 Azure AD 中创建的用户可以访问这些设备。Endpoint Management 作为 MDM 服务部署在 Microsoft Azure 中。将 Endpoint Management 连接到 Azure AD 将使用户能够在将设备注册到 Azure AD 时自动将其设备注册到 Endpoint Management 中。

要将 Endpoint Management 连接到 Azure AD,请执行以下步骤:

  1. 在 Azure 门户中,导航到 Azure Active Directory > 移动性(MDM 和 MAM) > 添加应用程序,然后单击本地 MDM 应用程序

  2. 提供应用程序的名称,然后单击添加

  3. 选择您创建的应用程序,配置以下设置,然后单击保存

    • MDM 用户范围。选择全选
    • MDM 使用条款 URL。以 https://<Endpoint Management Enrollment FQDN>:8443/zdm/wpe/tou 格式输入。
    • MDM 发现 URL。以 https:// <Endpoint Management Enrollment FQDN>:8443/zdm/wpe 格式输入。
  4. 单击本地 MDM 应用程序设置

    • 属性窗格中,设置格式为 https:// < Endpoint Management Enrollment FQDN>:8443应用程序 ID URI。此应用程序 ID URI 是您不能在任何其他应用程序中再次使用的唯一 ID。
    • 所需权限窗格中,选择 Microsoft GraphWindows Azure Active Directory
    • 密钥窗格中,创建身份验证密钥。单击保存查看键值。键值仅显示一次。保存密钥以供以后使用。您需要步骤 7 中的密钥。
  5. 在 Endpoint Management 控制台中,转至设置 > 身份提供程序(IDP),然后单击添加

  6. 发现 URL 页面上,配置以下设置,然后单击下一步

    • IDP 名称。键入用于识别要创建的 IdP 连接的唯一名称。
    • IDP 类型。选择 Azure Active Directory
    • 租户 ID。Azure 中的目录 ID。在 Azure 中导航到 Azure Active Directory > 属性时,您将看到该信息。
  7. Win 10 MDM 信息页面上,配置以下设置,然后单击下一步

    • 应用程序 ID URI。您在 Azure 中键入的应用程序 ID URI 值。
    • 客户端 ID。您在 Azure 中的属性窗格中看到的应用程序 ID。
    • 。您在上面的步骤 4 中创建和保存的键值。
  8. IDP 声明用法页面中,配置以下设置并单击“下一步”。

    • 用户标识符类型。选择 userPrincipalName
    • 用户标识符字符串。输入 ${id_token}.upn
  9. 单击保存

  10. 将 Azure AD 用户添加为本地用户,并将其分配给本地用户组。

  11. 创建条款和条件设备策略以及包括该本地用户组的交付组。

与 Workspace Environment Management 集成时的设备管理

仅使用 Workspace Environment Management (WEM),MDM 部署是不可能的。仅使用 Endpoint Management,您只能管理 Windows 10 设备。通过集成两者,WEM 可以访问 MDM 功能,并且您可以通过 Endpoint Management 管理范围更广的 Windows 操作系统。该管理采取配置 Windows GPO 的形式。目前,管理员将 ADMX 文件导入 Citrix Endpoint Management,并将其推送到 Windows 10 Desktop 和 Tablet 以配置特定应用程序。使用 Windows GPO 配置设备策略,可以配置 GPO 并将更改推送到 WEM 服务。然后,WEM 代理将 GPO 应用到设备及其应用程序。

MDM 管理不是 WEM 集成的要求。WEM 支持的任何设备都可以向其推送 GPO 配置,即使 Endpoint Management 本身不支持该设备亦如此。

有关支持的设备列表,请参阅操作系统要求

接收 Windows GPO 配置设备策略的设备在名为 WEM 的新 Endpoint Management 模式下运行。在已注册设备的管理 > 设备列表中,WEM 管理的设备的模式列中列出了 WEM

有关详细信息,请参阅Windows GPO 配置设备策略

BitLocker 恢复密钥

使用 BitLocker 加密磁盘是一项非常有用的安全功能。但是,如果用户丢失了其 BitLocker 恢复密钥,解锁设备可能是一个难题。Endpoint Management 现在可以自动、安全地为用户保存 BitLocker 恢复密钥。用户可以在自助服务门户网站上找到自己的 BitLocker 恢复密钥。要启用和查找 BitLocker 恢复密钥,请执行以下操作:

  1. 在 Endpoint Management 控制台中,导航到设置 > 服务器属性
  2. 搜索 shp 并启用 shp.console.enable 功能。确保 enable.new.shp 仍处于禁用状态。有关启用自助服务门户的详细信息,请参阅配置注册模式
  3. 导航到配置 > 设备策略。找到您的 BitLocker 策略或创建一个策略,然后启用 BitLocker Recovery backup to Endpoint Management(BitLocker 恢复备份到 Endpoint Management)设置。

解锁设备时,最终用户会看到一条消息,要求其输入密钥。此消息还显示恢复密钥 ID。

BitLocker 恢复消息

要查找其 BitLocker 恢复密钥,用户可以导航到自助服务门户。

  1. 常规详细信息下,请查看 BitLocker 恢复数据
    • 恢复密钥 ID: 用于加密磁盘的 BitLocker 恢复密钥的标识符。此 ID 必须与上一条消息中给出的密钥 ID 匹配。
    • 恢复密钥: 用户为解锁其磁盘而必须输入的密钥。在解锁提示符处输入此密钥。 自助服务门户网站上的 BitLocker 恢复密钥

有关 BitLocker 设备策略的详细信息,请参阅 BitLocker 设备策略