准备注册设备并交付资源

重要:

在继续操作之前,请务必完成载入和资源设置中描述的所有任务。

Endpoint Management 支持各种注册选项。本文介绍了启用要注册的所有受支持的设备所需的基本设置。下图概要介绍了基本设置。

准备设备注册环境的工作流程图

有关支持的设备列表,请参阅 支持的设备操作系统

为 iOS 设备设置 Apple 推送通知服务 (APNs) 证书

Endpoint Management 需要 Apple 提供的 Apple 推送通知服务 (APNs) 证书来注册和管理 iOS 设备。如果您打算使用 Secure Mail for iOS 的推送通知,Endpoint Management 还需要 APNs 证书。

为 Android 设备设置 Firebase Cloud Messaging (FCM)

Firebase Cloud Messaging (FCM) 控制 Android 设备连接到 Endpoint Management 服务的方式和时间。任何安全操作或部署命令都将触发推送通知,以提示用户重新连接到 Endpoint Management。

  • FCM 设置要求您配置 Google 帐户。要创建 Google Play 凭据,请参阅 管理您的开发者帐户信息。还可以使用 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。可以使用 Google Play 部署您的私有 Android 应用程序、公共应用程序和第三方应用程序。

  • 要设置 FCM,请参阅 Firebase Cloud Messaging

设置 Endpoint Management 自动发现服务

重要:

自 2018 年 12 月 31 日起,自动发现服务 URL 将 discovery.mdm.zenprise.com 替换为 ads.xm.cloud.com 。有关详细信息,请参阅 Citrix 支持文章 https://support.citrix.com/article/CTX202044

自动发现是许多 Endpoint Management 部署的重要部分。自动发现可简化用户的注册过程。用户可以使用他们的网络用户名和 Active Directory 密码注册其设备。用户不需要再输入 Endpoint Management 的详细信息。用户以用户主体名称 (UPN) 格式输入其用户名,例如 user@mycompany.com。通过 Endpoint Management 自动发现服务,不需要 Citrix 支持的帮助即可创建或编辑自动发现记录。

建议在高安全性环境中使用自动发现。自动发现支持证书固定,以防范中间人攻击。证书固定功能可确保 Citrix 客户端在与 Endpoint Management 通信时使用贵企业签名的证书。有关证书固定的信息,请参阅证书固定

要访问 Endpoint Management 自动发现服务,请导航到 https://tools.xm.cloud.com,然后单击 Request AutoDiscovery(申请自动发现)。

自动发现服务

申请自动发现

  1. 在“自动发现服务”页面上,声明一个域。单击 Add Domain(添加域)。

    “ADS 列表”屏幕

  2. 在打开的对话框中,输入 Endpoint Management 环境的域名,然后单击 Next(下一步)。

    “域名”字段

  3. 下一个屏幕将提供有关验证您是否拥有域的说明。

    “验证您的域”屏幕

    • 复制在 Endpoint Management Tools 门户中提供的 DNS 令牌。

    • 在托管提供程序门户的域中,在区域文件中为您的域创建一条 DNS TXT 记录。

      要创建 DNS TXT 记录,请登录您在上面的步骤中添加的域的域托管提供程序门户。可以编辑您的域名服务器记录以及添加自定义 TXT 记录。

    • 粘贴 DNS TXT 记录中的域令牌并保存您的域名服务器记录。

    • 返回 Endpoint Management Tools 门户,单击 Done(完成),启动 DNS 检查。

    系统将检测您的 DNS TXT 记录。或者,可以单击 I’ll update later(我将在以后更新),记录将被保存。DNS 检查在您选择“Waiting”(等待)状态并单击 DNS Check(DNS 检查)后才会启动。

    此检查的理想时间大约为一小时,但最长需要两天时间才能返回响应。您可能需要离开该门户并返回才能查看状态变更。

    “ADS 列表”屏幕中的等待状态

  4. 声明您的域后,请提供自动服务的相关信息。右键单击要为其申请自动发现的域记录,然后单击 Add ADS(添加 ADS)。

    在“ADS 列表”屏幕中声明的状态

  5. 请输入请求的信息,然后单击下一步。如不确定实例名称,请添加默认实例 zdm

    Endpoint Management 信息选项

    注意:

    在前面的屏幕截图中,“WorxHome”指的是现在名为 Secure Hub 的应用程序。

  6. 输入 Secure Hub 的以下信息,然后单击 Next(下一步)。

    Secure Hub 信息设置

    • User ID Type(用户 ID 类型): 选择用户登录时使用的 ID 类型,即 E-mail address(电子邮件地址)或 UPN

      用户的用户主体名称与其电子邮件地址相同时将使用 UPN。这两种方法都使用输入的域来查找服务器地址。如果选择电子邮件地址,系统将提示用户输入其用户名和密码。如果选择 UPN,系统会提示用户输入密码。

    • HTTPS Port(HTTPS 端口): 输入用于通过 HTTPS 访问 Secure Hub 的端口。通常情况下,HTTPS 端口为 443。

    • iOS Enrollment Port(iOS 注册端口): 输入注册 iOS 时用于访问 Secure Hub 的端口。通常情况下,此端口为 8443。

    • Required Trusted CA for Endpoint Management(Endpoint Management 需要可信 CA):指示是否需要可信证书才能访问 Endpoint Management。此选项可以为 OFF(关)或 ON(开)。要使用可信证书,请与 Citrix 支持部门联系以上载证书。要了解与证书固定有关的详细信息,请参阅 Secure Hub中与证书固定有关的部分。要了解与使用证书固定所需的端口有关的信息,请参阅 ADS 连接的 Endpoint Management 端口要求上的支持文章。

  7. 摘要页面将显示您在上述步骤中输入的所有信息。验证数据是否正确,然后单击 Save(保存)。

    摘要页面

此时,您可以注册所有受支持的设备。继续下一部分,准备向设备提供资源。

默认设备策略和移动生产力应用程序

如果您自 Endpoint Management 19.5.0 或更高版本开始使用,我们会预先配置一些设备策略和移动生产力应用程序。通过该配置,您可以立即将基本功能部署给设备用户。

对于 Android、Android Enterprise、iOS、macOS 和 Windows Desktop/Tablet 平台,您的站点包含以下预配置的设备策略:

  • 密码设备策略:密码设备策略设置为,启用所有默认的密码设置。

  • 应用程序清单设备策略:应用程序清单设备策略设置为

  • 限制设备策略:限制设备策略设置为,启用所有默认限制设置。

这些策略位于 AllUsers 交付组中,该交付组包含所有 Active Directory 和本地用户。我们建议您仅将 AllUsers 交付组用于初始测试。然后,创建交付组并禁用 AllUsers 交付组。

所有 Endpoint Management 设备策略都记录在设备策略下。该文章包含有关如何使用控制台编辑设备策略的信息。有关某些常用设备策略的信息,请参阅设备策略和用例行为

对于 iOS 和 Android 平台,您的站点包含以下预配置的移动生产力应用程序:

  • Secure Mail
  • Secure Web
  • Citrix Files

这些应用程序位于 AllUsers 交付组中。

有关详细信息,请参阅关于移动生产力应用程序适用于移动生产力应用程序的 MDX 策略概览

继续执行 Endpoint Management 配置

完成设备注册的基本设置后,配置 Endpoint Management 的方式因您的用例而有很大差异。例如:

  • 您有哪些安全要求?您希望如何平衡这些要求与用户体验?
  • 您支持哪些设备平台?
  • 用户是否拥有其设备或使用公司拥有的设备?
  • 您希望向设备推送哪些设备策略?
  • 您为用户提供哪些类型的应用程序?

本部分通过引导您查看此文档集中的文章,帮助您浏览许多配置选项。

在第三方站点中完成配置时,请记下信息及其位置,以便在配置 Endpoint Management 控制台设置时参考。

安全性和身份验证

Endpoint Management 使用证书创建安全连接并对用户进行身份验证。Citrix 为您的 Endpoint Management 实例提供通配符证书。

推荐的背景阅读:

有关按安全级别对身份验证组件和推荐的配置的讨论,请参阅“高级概念”一文身份验证

另请参阅安全性和用户体验

有关 Endpoint Management 操作期间使用的身份验证组件的概述,请参阅证书和身份验证

可以从以下身份验证类型中进行选择。配置身份验证包括 Endpoint Management 和 Citrix Gateway 控制台中的任务。

要向用户提供证书,请配置:

有关其他身份验证选项,请参阅证书和身份验证下的其他文章。

设备注册

您可以配置设备注册模式,以允许用户在 Endpoint Management 中注册其设备。Endpoint Management 提供七种模式,每种模式均具有自己的安全级别和用户注册其设备必须执行的步骤。

iOS、Android 和 Windows 10 设备支持 Azure Active Directory 注册。有关将 Azure 配置为身份提供程序 (IdP) 的信息,请参阅使用 Azure Active Directory 的单点登录

设备策略和管理

  • 设备 (MDM) 策略

    • 所有 Endpoint Management 设备策略都记录在设备策略下。有关某些常用设备策略的信息,请参阅设备策略和用例行为

    • 某些策略在多个平台上常见,有些策略是平台特定的策略。

      可以在 Endpoint Management 控制台中筛选设备策略列表。例如,可以按平台进行筛选,以查看最常用于该平台的策略列表。有关信息,请参阅 设备策略

  • 客户端属性

  • 交付组

准备应用程序以进行部署

有关 Endpoint Management 支持的应用程序的信息,请参阅添加应用程序

其他配置

  • 通过 Endpoint Management 中基于角色的访问控制 (RBAC) 功能,可以向用户和组分配预定义的角色(或称权限集)。这些权限控制用户对系统功能的访问级别。有关信息,请参阅 使用 RBAC 配置角色

  • 在 Endpoint Management 中创建自动化操作以指定对事件、某些设置或用户设备上存在应用程序做出反应。有关信息,请参阅 自动化操作