Citrix Endpoint Management

托管配置策略

托管配置设备策略控制各种应用程序配置选项和应用程序限制。 您可以为想要控制的每个 Android Enterprise 应用程序创建此策略。

应用程序开发人员定义应用程序可用的选项和工具提示。 如果工具提示提到使用“模板值”,请改用相应的 Citrix Endpoint Management 宏。 有关更多信息,请参阅 远程配置概述 (在 Android 开发者网站上)和

应用程序配置设置可以包括以下内容:

  • 电子邮件应用设置
  • 允许或阻止 Web 浏览器的 URL
  • 选择通过蜂窝连接或仅通过 Wi-Fi 连接来控制应用程序内容同步

有关应用程序显示的设置的信息,请联系应用程序开发人员。

笔记:

Citrix SSO for Android 现在称为 Citrix Secure Access。 我们正在更新我们的文档以反映此名称的变化。

先决条件

要添加或配置此策略,请转到 配置 > 设备策略。 有关更多信息,请参阅 设备策略

每应用 VPN 的要求

要为 AE 创建每个应用 VPN,除了配置托管配置设备策略之外,您还需要执行额外的步骤。 此外,您还必须验证是否满足以下先决条件:

  • 本地 NetScaler Gateway
  • 设备上安装了以下应用程序:
    • Citrix SSO
    • Citrix Secure Hub

为 AE 设备配置每应用 VPN 的常规工作流程如下:

  1. 按照本文所述配置 VPN 配置文件。

  2. 配置 Citrix ADC 以接受来自每个应用程序 VPN 的流量。 有关详细信息,请参阅 NetScaler Gateway 上的完整 VPN 设置

限制

由于 Android 11 中引入了 包可见性限制 ,Android 11+ 设备上的 Android Enterprise 环境中每个应用 VPN 存在以下限制:

  • 如果在 VPN 会话启动后将属于允许/拒绝列表的应用程序部署到设备,则最终用户必须重新启动 VPN 会话,以便应用程序通过 VPN 会话路由其流量。

  • 如果通过 Always On VPN 会话使用每个应用 VPN,则在设备上安装新应用后,最终用户必须重新启动工作配置文件或重新启动设备,以便通过 VPN 会话路由应用的流量。

笔记:

如果您使用的是 Citrix SSO for Android 23.8.1 或更高版本,则这些限制不适用。 有关更多信息,请参阅 Always On VPN 的自动重启

Android Enterprise 设置

选择添加托管配置设备策略后,会出现选择应用程序的提示。 如果没有将 Android Enterprise 应用程序添加到 Citrix Endpoint Management,则无法继续。

选择应用程序后,配置策略设置。 每个应用程序都有特定的设置。

设备策略配置屏幕

为 Android Enterprise 配置 VPN 配置文件

使用具有托管配置设备策略的 Citrix SSO 应用程序向 Android Enterprise 设备提供 VPN 配置文件。

首先将 Citrix SSO 作为 Google Play 商店应用添加到 Citrix Endpoint Management 控制台。 参见 添加公共应用商店应用

控制台中的 SSO 应用

观看此视频以了解更多信息:

如何使用 Android 设备配置高级 VPN 管理

为 Citrix SSO 创建 Android Enterprise 托管配置

配置 Citrix SSO 的托管配置设备策略以创建 VPN 配置文件。 安装了 Citrix SSO 应用程序并部署了策略的设备可以访问您创建的 VPN 配置文件。

在以下情况下,Citrix Endpoint Management 将使用设备密钥库中的用户证书:

  • NetScaler Gateway 配置为基于证书的身份验证。
  • 在 Citrix Endpoint Management 页面设置 > NetScaler Gateway中启用了 提供用户证书以进行身份验证。

您需要您的 NetScaler Gateway FQDN 和端口。

  1. 在 Citrix Endpoint Management 控制台中,单击 配置 > 设备策略。 点击 添加

  2. 选择 Android Enterprise。 单击 管理配置

    选择 Android Enterprise 策略

  3. 当出现 选择应用程序 ID 窗口时,从列表中选择 Citrix SSO 并单击 确定

    选择应用程序 ID 窗口

  4. 为您的 Citrix SSO VPN 配置键入名称和说明。 单击 下一步

    Android Enterprise 托管配置向导

  5. 配置VPN配置文件参数。

    • VPN 配置文件名称: 输入 VPN 配置文件的名称。 如果您要创建多个 VPN 配置文件,请为每个配置文件使用唯一的名称。 如果您不提供名称,则您在 服务器地址 字段中输入的地址将用作 VPN 配置文件名称。

    • 服务器地址(*): 输入您的 NetScaler Gateway FQDN。 如果您的 NetScaler Gateway 端口不是 443,也请输入您的端口。 使用 URL 格式。 例如,https://gateway.mycompany.com:8443

    • 用户名(可选): 提供最终用户用于向 NetScaler Gateway 进行身份验证的用户名。 您可以使用 Citrix Endpoint Management 宏 {user.username} 来处理此字段。 (请参阅 。)如果您不提供用户名,则在连接到 NetScaler Gateway 时会提示用户提供用户名。

    • 密码(可选): 提供最终用户用于向 NetScaler Gateway 进行身份验证的密码。 如果您不提供密码,则在连接到 NetScaler Gateway 时系统会提示用户提供密码。

    • 证书别名(可选): 输入证书别名。 证书别名使得应用程序可以更轻松地访问证书。 当相同的证书别名与凭据设备策略一起使用时,应用程序将检索证书并对 VPN 进行身份验证,而无需用户采取任何操作。

    • 网关证书引脚(可选): 描述用于 NetScaler Gateway 的证书引脚的 JSON 对象。 示例值: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}。 有关详细信息,请参阅 NetScaler Gateway 使用 Android Citrix SSO 进行证书固定

    • 每个应用程序的 VPN 类型(可选): 如果您使用每个应用程序的 VPN 来限制哪些应用程序使用此 VPN,则可以配置此设置。 如果您选择 允许,则 PerAppVPN 应用程序列表 中列出的应用程序包名称的网络流量将通过 VPN 路由。 所有其他应用程序的网络流量都被路由到 VPN 之外。 如果您选择 不允许,则 PerAppVPN 应用程序列表 中列出的应用程序包名称的网络流量将被路由到 VPN 之外。 所有其他应用程序的网络流量都通过 VPN 路由。 默认值为 允许

    • PerAppVPN 应用程序列表: 在 VPN 上允许或阻止流量的应用程序列表,具体取决于 Per-App VPN 类型的值。 列出应用程序包名称,以逗号或分号分隔。 应用程序包名称区分大小写,并且在此列表中显示的名称必须与 Google Play 商店中显示的完全相同。 此列表是可选的。 将此列表保留为空,以配置设备范围的 VPN。

    • 默认 VPN 配置文件: 键入当用户点击 Citrix SSO 应用程序中的连接开关时使用的 VPN 配置文件的名称,而不是特定的配置文件。 如果此字段留空,则使用主配置文件进行连接。 如果仅配置了一个配置文件,则将其标记为默认配置文件。 对于始终在线的 VPN,必须将此字段设置为用于建立始终在线的 VPN 的 VPN 配置文件的名称。

    • Always On VPN(可选): 此属性指示 VPN 配置文件是否配置为 Always On VPN 配置文件。 当设置为 true时,表示 VPN 配置文件是 Always On VPN 配置文件。 默认值为 false。 此属性只能分配给主 VPN 配置文件。 启用此属性对于确保 Always On VPN 的可靠运行至关重要。

    • 禁用用户配置文件: 如果此设置处于开启状态,用户则无法在其设备上创建自己的 VPN。 如果此设置为关闭,用户可以在其设备上创建自己的 VPN。 默认为关闭。

    • 阻止不受信任的服务器: 在以下任一情况下,此设置均处于关闭状态:

      • 为 NetScaler Gateway 使用自签名证书时
      • 当颁发 NetScaler Gateway 证书的 CA 的根证书不在系统 CA 列表中时。

      如果此设置为“开”,Android 操作系统将验证 NetScaler Gateway 证书。 如果验证失败,则不允许连接。 默认值为“开”。

    Android Enterprise 托管配置向导

  6. (可选)创建自定义参数。 支持自定义参数 XenMobileDeviceIdUserAgent 。 选择当前 VPN 配置并单击 添加

    Android Enterprise 托管配置向导

    参数名称 描述 价值
    XenMobile设备 ID 此字段是根据 Citrix Endpoint Management 中的设备注册用于网络访问检查的设备 ID。 如果 Citrix Endpoint Management 注册并管理该设备,则允许 VPN 连接。 否则,在建立 VPN 时会拒绝身份验证。 为了使 Citrix Endpoint Management 确定设备的注册和管理状态,XenMobileDeviceID 的值设置为 DeviceID_${device.id}
    用户代理 此文本附加到 User-Agent HTTP 标头,以便对 NetScaler Gateway 进行额外检查。 与 NetScaler Gateway 通信时,Citrix SSO 应用程序会将此文本的值附加到 User-Agent HTTP 标头。 键入要附加到 User-Agent HTTP 标头的文本。 此文本必须符合 HTTP User-Agent 规范。
    启用调试日志 在 Citrix SSO 应用程序上启用调试日志记录,以帮助解决 Always On VPN 情况下的 VPN 连接问题。 您可以在任何一个托管 VPN 配置中启用它。 当管理配置被处理时,调试日志记录就会生效。 True:启用调试日志记录。 默认值: False

    Android Enterprise 托管配置向导

    要创建另一个自定义参数,请再次单击 添加

  7. (可选)创建更多 VPN 配置文件配置。 单击 在配置列表下添加 。 列表中将出现一个新配置。 选择新配置并重复步骤 5 和(可选)步骤 6。

    Android Enterprise 托管配置向导

  8. 创建完所有想要的 VPN 配置文件后,单击 下一步

  9. 为 Citrix SSO 的此托管配置配置部署规则。

  10. 点击 保存

Citrix SSO 的此托管配置现在出现在您配置的设备策略列表中。

要为您配置的 VPN 配置文件启用始终开启功能,请设置 Citrix Endpoint Management 选项设备策略

笔记:

Android Enterprise 的始终在线 VPN 需要 Citrix Secure Hub 19.5.5 或更高版本。

从设备访问 VPN 配置文件

为了访问您创建的 VPN 配置文件,Android Enterprise 用户需要从托管 Google Play 商店安装 Citrix SSO。

您配置的 VPN 配置文件出现在应用程序的 管理连接 区域中。 用户点击 VPN 配置文件即可使用该 VPN 配置文件进行连接。

设备上 SSO 应用的托管连接区域

用户验证并连接后,VPN 配置文件旁边会出现一个复选标记。 钥匙图标表示VPN已连接。

使用 Zebra OEMConfig 管理 Zebra Android 设备

使用 Zebra Technologies OEMConfig 管理工具管理 Zebra Android 设备。 有关 Zebra OEMConfig 应用程序的信息,请参阅 Zebra Technologies 网站

Citrix Endpoint Management 支持 Zebra OEMConfig 版本 9.2 及更高版本。 有关在设备上安装 Zebra OEMConfig 的系统要求的信息,请参阅 Zebra Technologies 网站上的 OEMConfig 设置

我们目前支持以下 Zebra 设备:

  • EC50、EC55、ET56

  • TC52x、TC52x-HC

  • TC52ax、TC52ax-HC

  • TC57x

开始:在 Citrix Endpoint Management 控制台中,将 Zebra OEMConfig 应用程序添加为 Google Play 商店应用程序。 参见 添加公共应用商店应用

为 Zebra OEMConfig 应用程序创建 Android Enterprise 托管配置

为 Zebra OEMConfig 应用程序配置托管配置设备策略。 该策略适用于安装了 Zebra OEMConfig 应用程序并部署了策略的 Zebra 设备。

  1. 在 Citrix Endpoint Management 控制台中,单击 配置 > 设备策略。 点击 添加

  2. 选择 Android Enterprise。 单击 管理配置

    选择 Android Enterprise 策略

  3. 当出现 选择应用程序 ID 窗口时,从列表中选择 ZebraOEMConfig powered by MX ,然后单击 确定

  4. 为您的 Zebra OEMConfig 配置输入名称和说明。 单击 下一步

  5. 为 Zebra OEMConfig 配置输入一个名称。

  6. 配置可用参数。 例如:

    • 要禁用设备正面的摄像头,请选择 摄像头配置 并将 前置摄像头的使用 设置为 关闭
    • 要更改设备的时间格式,请选择 时钟配置 并将 时间格式 设置为 12 (12 小时制)或 24 (24 小时制)。

有关所有可用配置的列表和说明,请参阅 Zebra Technologies 网站上的 Zebra Managed Configurations

  1. (可选)创建更多 Zebra OEMConfig 配置。 单击 在配置列表下添加 。 列表中将出现一个新配置。 选择新的配置并配置参数。

  2. 创建完所有所需的 Zebra OEMConfig 配置后,单击 Next

  3. 为 Zebra OEMConfig 配置此托管配置的部署规则。

  4. 点击 保存

使用预定义书签管理 Chrome 浏览器

以下是如何使用预定义书签管理 Chrome 浏览器的示例:

  [

  { "toplevel_name": "My managed bookmarks folder" }
  ,

  { "name": "Google", "url": "[google.com|http://google.com/]" }
  ,

  { "name": "Youtube", "url": "[youtube.com|http://youtube.com/]" }
  ,
  {
  "nested_links": [

  { "name": "Chromium", "url": "[chromium.org|http://chromium.org/]" }
  ,

  { "name": "Chromium Developers", "url": "[dev.chromium.org|http://dev.chromium.org/]" }
  ],
  "name": "Chrome links"
  }
  ]
<!--NeedCopy-->

支持托管配置反馈(技术预览)

有关支持托管配置反馈功能的更多信息,请参阅 支持托管配置反馈