Citrix Endpoint Management

准备注册设备并交付资源

重要:

在继续操作之前,请务必完成载入和资源设置中描述的所有任务。

让您的用户了解即将发生的变更。请参阅 欢迎使用 Citrix Endpoint Management 用户采用工具包

Endpoint Management 支持各种注册选项。本文介绍了启用要注册的所有受支持的设备所需的基本设置。下图概要介绍了基本设置。

准备设备注册环境的工作流程图

有关支持的设备列表,请参阅 支持的设备操作系统

为 iOS 设备设置 Apple 推送通知服务 (APNs) 证书

重要:

Apple 对 APNs 旧版二进制文件协议的支持将于 2021 年 3 月 31 日结束。Apple 建议您改为使用基于 HTTP/2 的 APNs 提供程序 API。自版本 20.1.0 起,Citrix Endpoint Management 支持基于 HTTP/2 的 API。有关更多信息,请参阅 https://developer.apple.com/ 中的新闻更新“Apple 推送通知服务更新”。有关检查 APNs 连接的帮助,请参阅连接检查

Endpoint Management 需要 Apple 提供的 Apple 推送通知服务 (APNs) 证书来注册和管理 iOS 设备。Endpoint Management 还需要 APNs 证书才能接收 Secure Mail for iOS 推送通知。

为 Android 设备设置 Firebase Cloud Messaging (FCM)

Firebase Cloud Messaging (FCM) 控制 Android 设备连接到 Endpoint Management 服务的方式和时间。任何安全操作或部署命令都将触发推送通知。通知会提示用户重新连接到 Endpoint Management。

  • FCM 设置要求您配置 Google 帐户。要创建 Google Play 凭据,请参阅 管理您的开发者帐户信息。还可以使用 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。可以使用 Google Play 部署您的私有 Android 应用程序、公共应用程序和第三方应用程序。

  • 要设置 FCM,请参阅 Firebase Cloud Messaging

设置 Endpoint Management 自动发现服务

自动发现服务通过基于电子邮件的 URL 发现简化用户的注册过程。自动发现服务还为 Citrix Workspace 客户提供注册验证、证书固定以及其他优势等功能。该服务托管在 Citrix Cloud 中,是许多 Endpoint Management 部署的重要组成部分。

使用自动发现服务,用户可以:

  • 可以使用公司网络凭据注册其设备。
  • 不需要输入有关 Endpoint Management 服务器地址的详细信息。
  • 以用户主体名称 (UPN) 格式输入其用户名。例如 user@mycompany.com

我们建议您在高安全性环境中使用自动发现服务。自动发现服务支持证书固定,以防范中间人攻击。证书固定功能可确保 Citrix 客户端在与 Endpoint Management 通信时使用贵企业签名的证书。要为 Endpoint Management 站点配置证书固定,请联系 Citrix 支持。有关证书固定的信息,请参阅证书固定

要访问自动发现服务,请导航到 https://adsui.cloud.com(商用)或 https://adsui.cem.cloud.us(政府)。

必备条件

  • Citrix Cloud 中的新自动发现服务需要最新版本的 Secure Hub:
    • 对于 iOS,Secure Hub 版本 21.1.0 或更高版本
    • 对于 Android,Secure Hub 版本 21.2.1 或更高版本

      在 Secure Hub 早期版本上运行的设备可能会遇到服务中断的情况。

  • 您必须拥有具有完全访问权限的 Citrix Cloud 管理员帐户,才能访问新的自动发现服务。AutoDiscovery 服务不支持具有自定义访问权限的管理员帐户。如果没有帐户,请参阅注册 Citrix Cloud

    Citrix 在不中断服务的情况下将所有现有的自动发现记录迁移到 Citrix Cloud。迁移的记录不会自动显示在新控制台中。必须在新的自动发现服务中回收域才能证明所有权。有关详细信息,请参阅CTX312339

  • 在开始将自动发现服务用于 Endpoint Management 部署之前,请验证并声明您的域。最多可以声明 10 个域。该声明将已验证的域与自动发现服务相关联。要声明超过 10 个域,请开立 SRE 票证或联系 Citrix 技术支持。
  • 请使用 MAM 端口设置(而非 Citrix Gateway FQDN)将 MAM 流量定向到您的数据中心。如果输入完全限定的域名以及 Citrix Gateway 的端口,客户端设备将使用 MAM 端口设置中的配置。
  • 如果广告拦截程序阻止打开站点,请确保您为整个 Web 站点禁用了广告拦截程序。

声明域

  1. 索赔 > 域名 选项卡上,单击 添加域名。

    添加域

  2. 在出现的对话框中,输入 Endpoint Management 环境的域名,然后单击 确认。您的域名将显示在 索赔 > 域名中。

    声明域

  3. Verify Domain在添加的域中,单击省略号菜单,然后选择 Verify Domain(验证域)以开始验证过程。此时将显示验证您的域页面。

    开始验证

  4. Verify your domain(验证您的域)页面上,按照说明进行操作以验证您是否拥有该域。

    验证您的域

    1. 单击 Copy(复制)将 DNS 令牌复制到剪贴板。

    2. 在区域文件中为您的域创建 DNS TXT 记录。为此,请转到托管提供商门户网站的域并添加您复制的 DNS 令牌。

      下面的屏幕截图显示了托管提供商门户网站的域。您的门户可能看起来有所差别。

      验证您的域

    3. Start DNS Check在 Citrix Cloud 中,在 Verify your domain(验证您的域)页面上,单击 Start DNS Check(启动 DNS 检查)以开始检测 DNS TXT 记录。如果要在以后验证域,请单击 Verify Domain Later(以后验证域)。

    验证过程通常需要大约一个小时。但是,最多可能需要两天才能返回响应。在状态检查期间,您可以注销并重新登录。

    配置完成后,域的状态将从挂起更改为已验证

  5. 声明您的域后,请提供自动服务的相关信息。单击您添加的域上的省略号菜单,然后单击添加 Endpoint Management 信息。此时将显示 AutoDiscovery Service Information(自动发现服务信息)页面。

  6. 输入以下信息,然后单击保存

    • Endpoint Management 服务器 FQDN: 输入 Endpoint Management 服务器的完全限定域名。例如:example.xm.cloud.com。此设置用于 MDM 和 MAM 控制流量。

    • Citrix Gateway FQDN: 输入 Citrix Gateway 的完全限定域名,格式为 FQDN 或 FQDN:port。例如:example.com。此设置用于将 MAM 流量定向到您的数据中心。对于仅限 MDM 部署,请将此字段留空。

      注意:

      Citrix 建议您使用 MAM 端口设置而非 Citrix Gateway FQDN 来控制 MAM 流量。如果输入完全限定的域名以及 Citrix Gateway 的端口,客户端设备将使用 MAM 端口设置中的配置。

    • 实例名称: 输入您在上面配置的 Endpoint Management 服务器的实例名称。如不确定实例名称,请保留默认值 zdm

    • MDM 端口: 输入用于 MDM 控制流量和 MDM 注册的端口。对于基于云的服务,默认值为 443。

    • MAM 端口: 输入用于 MAM 控制流量、MAM 注册、iOS 注册和应用程序枚举的端口。对于基于云的服务,默认值为 8443。

请求 Windows 设备的自动发现

如果计划注册 Windows 设备,请执行以下操作:

  1. 与 Citrix 支持部门联系并创建支持请求以启用 Windows 自动发现。

  2. 获取适用于 enterpriseenrollment.mycompany.com 的公开签名的非通配符 SSL 证书。mycompany.com 部分是包含用户用于注册的帐户的域。将 .pfx 格式的 SSL 证书及其密码附加到在上一步中创建的支持请求。

    要使用多个域注册 Windows 设备,还可以使用具有以下结构的多域证书:

    • SubjectDN,包含用于指定所服务的主域的 CN(例如 enterpriseenrollment.mycompany1.com)。
    • 适用于其余域的恰当 SAN(例如 enterpriseenrollment.mycompany2.com、enterpriseenrollment.mycompany3.com 等)。
  3. 在您的 DNS 中创建一条规范名称 (CNAME) 记录,并将 SSL 证书的地址 (enterpriseenrollment.mycompany.com) 映射到 autodisc.xm.cloud.com。

    当 Windows 设备用户使用 UPN 注册时,Citrix 注册服务器:

    • 提供 Endpoint Management 服务器的详细信息。
    • 指示设备从 Endpoint Management 请求有效证书。

此时,您可以注册所有受支持的设备。继续下一部分,准备向设备提供资源。

与 Azure AD 条件访问集成

你可以将 Endpoint Management 配置为将 Azure AD 条件访问支持应用于 Office 365 应用程序。此功能现在位于预览版中,允许您在部署 Office 365 应用程序时向设备用户部署零信任方法。您可以使用设备状态、风险评分、位置和设备保护功能来应用自动操作,并定义对托管 Android Enterprise 和 iOS 设备上 Office 365 应用程序的访问权限。

要强制实施 Azure AD 设备合规性,必须为各个 Office 365 应用程序配置条件访问策略。您可以限制用户对不受管理和不合规设备上的特定 Office 365 应用程序的访问权限,并仅允许在受管设备和合规设备上访问单个应用程序

必备条件

  • 对于此集成,你必须拥有有效的 Azure AD 高级订阅,包括 Intune 和 Microsoft Office 365 许可证。
  • Secure Hub 21.4.0 及更高版本
  • 在 Citrix Cloud 中将 Azure AD 配置为身份提供商 (IdP),然后将 Citrix 身份设置为 Endpoint Management 的 IdP 类型。有关信息,请参阅通过 Citrix Cloud 对 Azure Active Directory 进行身份验证
  • 在开始 Azure AD 设备注册过程之前,在设备上安装 Microsoft Authenticator 应用程序。
  • 对于 Android Enterprise 平台,请将 Web 浏览器应用程序配置为必需的公共商店应用程序。
  • 禁用 Azure AD 控制台中的 安全默认 设置。启动 Azure AD 配置时,将用更精细的 Azure AD 条件访问策略替换安全默认设置。有关安全默认值的更多信息,请参阅 Microsoft 文档

通过 Azure AD 条件访问策略配置设备合规性

通过 Azure AD 条件访问策略配置设备合规性的一般步骤如下:

  1. Endpoint Management 配置:
    • 在 Microsoft 端点管理器管理中心中,将 Citrix Workspace 设备合规性 添加为每个设备平台的合规性合规性合作伙伴并分配用户组。
    • 在 Endpoint Management 中,同步来自 Microsoft 端点管理器管理中心的信息。
  2. Azure AD 配置: 在 Azure AD 门户中,为各个 Office 365 应用程序设置条件访问策略。

  3. Endpoint Management 配置: 为 Office 365 应用程序配置条件访问策略后,在 Endpoint Management 中添加 Microsoft Authenticator 应用程序和 Office 365 应用程序作为公共应用商店应用程序。将这些公共应用程序分配给交付组并将其设置为必需的应用程序。

为 Azure AD 合规性管理配置 Endpoint Management

  1. 登录 微软端点管理器管理中心 并导航到 租户管理 > 连接器和令牌 > 设备合规性管理。单击 添加合规性合作伙伴 ,然后选择 Citrix Workspace 设备 合规性作为每个设备平台的合规性然后分配用户组。

    微软端点管理器管理中心

  2. 在 Endpoint Management 中,转到 设置 > Azure AD 合规性管理。单击 连接 以同步来自 Microsoft 端点管理器管理中心的信息。

    从 Microsoft 端点管理器管理中心同步信息

    将出现一个对话框,提示您接受此配置的权限。单击 Accept(接受)。配置完成后,同步的设备平台将显示在列表中。

    权限申请

在 Azure AD 中配置条件访问策略

在 Azure AD 门户中,为 Office 365 应用程序配置条件访问策略以强制设备合规性。转到 设备 > 条件访问 > 策略 > 新策略。有关详细信息,请参阅 Microsoft 文档

要为 Intune 托管应用配置设备合规性:

在 Endpoint Management 中配置应用

为 Office 365 应用程序配置条件访问策略后,在 Endpoint Management 中添加 Microsoft Authenticator 应用程序和 Office 365 应用程序作为公共应用商店应用程序。将这些公共应用程序分配给交付组并将其设置为必需的应用程序。有关信息,请参阅添加公共应用商店应用程序

用户验证工作流

  1. 新用户必须使用 Azure AD 凭据将设备注册到 Endpoint Management 中。以前使用 Azure AD 凭据注册的用户无需重新注册其设备。
  2. Endpoint Management 将 Microsoft Authenticator 和配置的 Office 365 应用程序作为必需的应用程序推送到设备。如果您将 Web 浏览器应用程序配置为 Android 平台所需的公共商店应用程序,那么 Endpoint Management 也会将其推送到用户设备。
  3. Secure Hub 自动安装和显示通过 Endpoint Management 管理的所有应用程序。
  4. 当用户尝试登录任何可用的 Office 365 应用程序时,设备会提示用户点击 Azure AD 注册 链接以启动注册过程。
  5. 用户点击注册链接后,Microsoft 身份验证器应用程序将打开。用户输入 Azure AD 凭据并同意设备注册条款。然后微软身份验证器应用程序关闭并重新打开 Secure Hub。
  6. Secure Hub 显示 Azure AD 设备注册已完成的消息。用户现在可以使用微软应用程序访问他们的云资源。

    注册完成后,Azure AD 会在控制台中将设备标记为托管并合规。

默认设备策略和移动生产力应用程序

如果您自 Endpoint Management 19.5.0 或更高版本开始使用,我们会预先配置一些设备策略和移动生产力应用程序。该配置使您能够:

  • 立即将基本功能部署到设备
  • 收钱执行建议的安全工作区的基准配置

对于 Android、Android Enterprise、iOS、macOS 和 Windows Desktop/Tablet 平台,您的站点包含以下预配置的设备策略:

  • 密码设备策略: 密码设备策略设置为,启用所有默认的密码设置。

  • 应用程序清单设备策略: 应用程序清单设备策略设置为

  • 限制设备策略: 限制设备策略设置为,启用所有默认限制设置。

这些策略位于 AllUsers 交付组中,该交付组包含所有 Active Directory 和本地用户。我们建议您仅将 AllUsers 交付组用于初始测试。然后,创建交付组并禁用 AllUsers 交付组。可以在交付组中重复使用预配置的设备策略和应用程序。

所有 Endpoint Management 设备策略都记录在设备策略下。该文章包含有关如何使用控制台编辑设备策略的信息。有关某些常用设备策略的信息,请参阅设备策略和用例行为

对于 iOS 和 Android 平台,您的站点包含以下预配置的移动生产力应用程序:

  • Secure Mail
  • Secure Web
  • Citrix Files

这些应用程序位于 AllUsers 交付组中。

有关详细信息,请参阅关于移动生产力应用程序

继续执行 Endpoint Management 配置

完成设备注册的基本设置后,配置 Endpoint Management 的方式因您的用例而有很大差异。例如:

  • 您有哪些安全要求?您希望如何平衡这些要求与用户体验?
  • 您支持哪些设备平台?
  • 用户是否拥有其设备或使用公司拥有的设备?
  • 您希望向设备推送哪些设备策略?
  • 您为用户提供哪些类型的应用程序?

本部分通过引导您查看此文档集中的文章,帮助您浏览许多配置选项。

在第三方站点中完成配置时,请记下信息及其位置,以便在配置 Endpoint Management 控制台设置时参考。