准备注册设备并交付资源
重要:
在继续操作之前,请务必完成载入和资源设置中描述的所有任务。
让您的用户了解即将发生的变更。请参阅欢迎使用 Citrix User Adoption Kit。
Endpoint Management 支持各种注册选项。本文介绍了启用要注册的所有受支持的设备所需的基本设置。下图概要介绍了基本设置。
有关支持的设备列表,请参阅支持的设备操作系统。
为 iOS 设备设置 Apple 推送通知服务 (APNs) 证书
重要:
Apple 对 APNs 旧版二进制文件协议的支持将于 2021 年 3 月 31 日结束。Apple 建议您改为使用基于 HTTP/2 的 APNs 提供程序 API。自版本 20.1.0 起,Citrix Endpoint Management 支持基于 HTTP/2 的 API。有关更多信息,请参阅 https://developer.apple.com/ 中的新闻更新“Apple 推送通知服务更新”。有关检查与 APN 的连接的帮助,请参阅连接检查。
Endpoint Management 需要 Apple 提供的 Apple 推送通知服务 (APNs) 证书来注册和管理 iOS 设备。Endpoint Management 还需要 APNs 证书才能接收 Secure Mail for iOS 推送通知。
-
要从 Apple 获取证书,需要 Apple ID 和开发者帐户。有关详细信息,请参阅 Apple Developer Program(Apple 开发者计划)Web 站点。
-
要获取 APNs 证书并将其导入 Endpoint Management,请参阅 APNs 证书。
-
有关 Endpoint Management 和 APNs 的详细信息,请参阅 Secure Mail for iOS 的推送通知。
为 Android 设备设置 Firebase Cloud Messaging (FCM)
Firebase Cloud Messaging (FCM) 控制 Android 设备连接到 Endpoint Management 服务的方式和时间。任何安全操作或部署命令都将触发推送通知。通知会提示用户重新连接到 Endpoint Management。
-
FCM 设置要求您配置 Google 帐户。要创建 Google Play 凭据,请参阅管理您的开发者帐户信息。还可以使用 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。可以使用 Google Play 部署您的私有 Android 应用程序、公共应用程序和第三方应用程序。
-
要设置 FCM,请参阅 Firebase Cloud Messaging。
设置 Endpoint Management 自动发现服务
自动发现服务通过基于电子邮件的 URL 发现简化用户的注册过程。自动发现服务还为 Citrix Workspace 客户提供注册验证、证书固定以及其他优势等功能。该服务托管在 Citrix Cloud 中,是许多 Endpoint Management 部署的重要组成部分。
使用自动发现服务,用户可以:
- 可以使用公司网络凭据注册其设备。
- 不需要输入与 Endpoint Management 服务器地址有关的详细信息。
- 以用户主体名称 (UPN) 格式输入其用户名。例如,
user@mycompany.com。
我们建议您在高安全性环境中使用自动发现服务。自动发现服务支持公钥证书固定,以防范中间人攻击。证书固定功能可确保 Citrix 客户端在与 Endpoint Management 通信时使用贵企业签名的证书。要为 Endpoint Management 站点配置证书固定,请联系 Citrix 支持。有关证书固定的信息,请参阅证书固定。
要访问自动发现服务,请导航到 https://adsui.cloud.com(商用)或 https://adsui.cem.cloud.us(政府)。
必备条件
- Citrix Cloud 中的新自动发现服务需要最新版本的 Secure Hub:
- 对于 iOS,Secure Hub 版本 21.6.0 或更高版本
-
对于 Android,Secure Hub 版本 21.8.5 或更高版本
在 Secure Hub 早期版本上运行的设备可能会遇到服务中断的情况。
-
您必须拥有具有完全访问权限的 Citrix Cloud 管理员帐户,才能访问新的自动发现服务。自动发现服务不支持具有自定义访问权限的管理员帐户。如果您没有帐户,请参阅注册 Citrix Cloud。
Citrix 在不中断服务的情况下将所有现有的自动发现记录迁移到 Citrix Cloud。迁移的记录不会自动显示在新控制台中。必须在新的自动发现服务中回收域才能证明所有权。有关详细信息,请参阅 CTX312339。
- 在开始将自动发现服务用于 Endpoint Management 部署之前,请验证并声明您的域。最多可以声明 10 个域。该声明将已验证的域与自动发现服务相关联。要声明超过 10 个域,请开立 SRE 票证或联系 Citrix 技术支持。
- 请使用 MAM 端口设置(而非 Citrix Gateway FQDN)将 MAM 流量定向到您的数据中心。如果输入完全限定的域名以及 Citrix Gateway 的端口,客户端设备将使用 MAM 端口设置中的配置。
- 如果广告拦截程序阻止打开站点,请确保您为整个 Web 站点禁用了广告拦截程序。
声明域
-
在声明 > 域选项卡上,单击添加域。
-
在显示的对话框中,输入 Endpoint Management 环境的域名,然后单击 Confirm(确认)。您的域名将显示在声明 > 域中。
-
Verify Domain在添加的域中,单击省略号菜单,然后选择 Verify Domain(验证域)以开始验证过程。此时将显示验证您的域页面。
-
在 Verify your domain(验证您的域)页面上,按照说明进行操作以验证您是否拥有该域。
-
单击 Copy(复制)将 DNS 令牌复制到剪贴板。
-
在区域文件中为您的域创建 DNS TXT 记录。为此,请转到托管提供商门户网站的域并添加您复制的 DNS 令牌。
下面的屏幕截图显示了托管提供商门户网站的域。您的门户可能看起来有所差别。
-
Start DNS Check在 Citrix Cloud 中,在 Verify your domain(验证您的域)页面上,单击 Start DNS Check(启动 DNS 检查)以开始检测 DNS TXT 记录。如果要在以后验证域,请单击 Verify Domain Later(以后验证域)。
验证过程通常需要大约一个小时。但是,最多可能需要两天才能返回响应。在状态检查期间,您可以注销并重新登录。
配置完成后,域的状态将从挂起更改为已验证。
-
-
声明您的域后,请提供自动服务的相关信息。单击您添加的域上的省略号菜单,然后单击添加 Endpoint Management 信息。此时将显示 AutoDiscovery Service Information(自动发现服务信息)页面。
-
输入以下信息,然后单击保存。
-
Endpoint Management 服务器 FQDN: 输入 Endpoint Management 服务器的完全限定域名。例如:
example.xm.cloud.com。此设置用于 MDM 和 MAM 控制流量。 -
Citrix Gateway FQDN: 输入 Citrix Gateway 的完全限定域名,格式为 FQDN 或 FQDN:port。例如:
example.com。此设置用于将 MAM 流量定向到您的数据中心。对于仅限 MDM 部署,请将此字段留空。注意:
Citrix 建议您使用 MAM 端口设置而非 Citrix Gateway FQDN 来控制 MAM 流量。如果输入完全限定的域名以及 Citrix Gateway 的端口,客户端设备将使用 MAM 端口设置中的配置。
-
实例名称: 输入您在上面配置的 Endpoint Management 服务器的实例名称。如不确定实例名称,请保留默认值 zdm。
-
MDM 端口: 输入用于 MDM 控制流量和 MDM 注册的端口。对于基于云的服务,默认值为 443。
-
MAM 端口: 输入用于 MAM 控制流量、MAM 注册、iOS 注册和应用程序枚举的端口。对于基于云的服务,默认值为 8443。
-
请求 Windows 设备的自动发现
如果计划注册 Windows 设备,请执行以下操作:
-
与 Citrix 支持部门联系并创建支持请求以启用 Windows 自动发现。
-
获取适用于
enterpriseenrollment.mycompany.com的公开签名的非通配符 SSL 证书。mycompany.com部分是包含用户用于注册的帐户的域。将 .pfx 格式的 SSL 证书及其密码附加到在上一步中创建的支持请求。要使用多个域注册 Windows 设备,还可以使用具有以下结构的多域证书:
- SubjectDN,包含用于指定所服务的主域的 CN(例如 enterpriseenrollment.mycompany1.com)。
- 适用于其余域的恰当 SAN(例如 enterpriseenrollment.mycompany2.com、enterpriseenrollment.mycompany3.com 等)。
-
在您的 DNS 中创建一条规范名称 (CNAME) 记录,并将 SSL 证书的地址 (enterpriseenrollment.mycompany.com) 映射到 autodisc.xm.cloud.com。
当 Windows 设备用户使用 UPN 注册时,Citrix 注册服务器:
- 提供 Endpoint Management 服务器的详细信息。
- 指示设备从 Endpoint Management 请求有效证书。
此时,您可以注册所有受支持的设备。继续下一部分,准备向设备提供资源。
与 Azure AD 条件访问集成
可以将 Endpoint Management 配置为对 Office 365 应用程序应用 Azure AD 条件访问支持。此功能允许您在部署 Office 365 应用程序时为设备用户部署零信任方法。可以使用设备状态、风险分数、位置和设备保护功能来应用自动化操作,以及定义对托管 Android Enterprise 和 iOS 设备上的 Office 365 应用程序的访问。
要强制执行 Azure AD 设备合规性,必须为各个 Office 365 应用程序配置“条件访问”策略。可以将用户访问限制到非托管和非合规设备上的特定 Office 365 应用程序,并且仅允许访问托管设备和合规设备上的各个应用程序。
必备条件
- 对于此集成,您必须具有有效的 Azure AD 高级订阅,包括 Intune 和 Microsoft Office 365 许可证。
- Secure Hub 21.4.0 及更高版本
- 在 Citrix Cloud 中将 Azure AD 配置为身份提供程序 (IdP),然后将 Citrix 身份设置为 Endpoint Management 的 IdP 类型。有关信息,请参阅通过 Citrix Cloud 使用 Azure Active Directory 进行身份验证。
- 同意使用 Citrix 多租户 AAD 应用程序以允许移动应用程序对 AAD 客户端应用程序进行身份验证。仅在 Azure 全局管理员将 Users can register applications(用户可以注册应用程序)的值设置为否时必需。在 Azure 门户中的Azure Active Directory > 用户 > 用户设置下配置此设置。要同意,请参阅配置 Endpoint Management 以实现 Azure AD 合规性管理。
- 开始执行 Azure AD 设备注册过程之前,请先在设备上安装 Microsoft Authenticator 应用程序。
- 对于 Android Enterprise 平台,请将 Web 浏览器应用程序配置为所需的公共应用商店应用程序。
- 在 Azure AD 控制台中禁用 Security defaults(安全性默认值)设置。启动 Azure AD 配置时,您将使用更精细的 Azure AD 条件访问策略替换安全默认值。有关安全默认设置的详细信息,请参阅 Microsoft 文档。
通过 Azure AD 条件访问策略配置设备合规性
通过 Azure AD 条件访问策略配置设备合规性的常规步骤如下:
-
Endpoint Management 配置:
- 在 Microsoft Endpoint Manager 管理中心中,添加 Citrix Workspace device compliance(Citrix Workspace 设备合规性)作为每个设备平台的合规合作伙伴并分配用户组。
- 在 Endpoint Management 中,同步来自 Microsoft Endpoint Manager 管理中心的信息。
-
Azure AD 配置: 在 Azure AD 门户中,为各个 Office 365 应用程序设置条件访问策略。
- Endpoint Management 配置: 为 Office 365 应用程序配置条件访问策略后,在 Endpoint Management 中添加 Microsoft Authenticator 应用程序和 Office 365 应用商店应用程序。将这些公共应用程序分配给交付组,并将其设置为必需应用程序。
配置 Endpoint Management 以实现 Azure AD 合规性管理
-
登录 Microsoft Endpoint Manager admin center(Microsoft Endpoint Manager 管理中心),导航到 Tenant administration(租户管理)> Connectors and token(连接器和令牌)> Device compliance management(设备合规性管理)。单击Add compliance partner(添加合规性合作伙伴)并选择 Citrix Workspace device compliance(Citrix Workspace 设备合规性)作为每个设备平台的合规合作伙伴。然后分配用户组。
- 在 Endpoint Management 中,转到 Settings(设置)> Azure AD compliance management(Azure AD 合规性管理)。
- (可选)设置全局同意,以便用户不需要在每个设备上提供同意。在 Client App consent(客户端应用程序同意)旁边,单击 Provide consent(提供同意)。输入您的全局管理员 Azure AD 凭据并按照提示提供客户端应用程序的全局同意。
-
单击 Connect(连接)以同步来自 Microsoft Endpoint Manager 管理中心的信息。
此时将显示一个对话框,提示您接受此配置的权限。单击 Accept(接受)。配置完成后,已同步的设备平台将显示在列表中。
在 Azure AD 中配置条件访问策略
在 Azure AD 门户中,为 Office 365 应用程序配置条件访问策略以强制执行设备合规性。转至 Devices(设备)> Conditional Access(条件访问)> Policies(策略)> New policy(新建策略)。有关详细信息,请参阅 Microsoft 文档。
要为 Intune 托管应用程序配置设备合规性,请执行以下操作:
在 Endpoint Management 中配置应用程序
为 Office 365 应用程序配置条件访问策略后,在 Endpoint Management 中添加 Microsoft Authenticator 应用程序和 Office 365 应用程序作为公共应用商店应用程序。将这些公共应用程序分配给交付组,并将其设置为必需应用程序。有关信息,请参阅添加公共应用商店应用程序。
用户身份验证工作流程
- 新用户必须使用 Azure AD 凭据将设备注册到 Endpoint Management 中。以前使用 Azure AD 凭据注册的用户不需要重新注册其设备。
- Endpoint Management 将 Microsoft Authenticator 和配置的 Office 365 应用程序作为必需应用程序推送到设备。如果您将 Web 浏览器应用程序配置为 Android 平台所需的公共应用商店应用程序,Endpoint Management 会同时将该应用程序推送到用户设备。
- Secure Hub 自动安装并显示通过 Endpoint Management 管理的所有应用程序。
- 用户尝试登录任何可用的 Office 365 应用程序时,设备将提示用户轻按 Azure AD registration(Azure AD 注册)链接以启动注册过程。
- 用户轻按注册链接后,Microsoft Authenticator 应用程序将打开。用户输入 Azure AD 凭据,同意设备注册条款。然后,Microsoft Authenticator 应用程序关闭,Secure Hub 重新打开。
-
Secure Hub 将显示一条消息,指出 Azure AD 设备注册已完成。用户现在可以使用 Microsoft 应用程序访问其云资源。
注册完成后,Azure AD 在控制台中将设备标记为托管和合规设备。
默认设备策略和移动生产力应用程序
如果您自 Endpoint Management 19.5.0 或更高版本开始使用,我们会预先配置一些设备策略和移动生产力应用程序。该配置使您能够:
- 立即将基本功能部署到设备
- 收钱执行建议的安全工作区的基准配置
对于 Android、Android Enterprise、iOS、macOS 和 Windows Desktop/Tablet 平台,您的站点包含以下预配置的设备策略:
-
密码设备策略: 密码设备策略设置为开,启用所有默认的密码设置。
-
应用程序清单设备策略: 应用程序清单设备策略设置为开。
-
限制设备策略: 限制设备策略设置为开,启用所有默认限制设置。
这些策略位于 AllUsers 交付组中,该交付组包含所有 Active Directory 和本地用户。我们建议您仅将 AllUsers 交付组用于初始测试。然后,创建交付组并禁用 AllUsers 交付组。可以在交付组中重复使用预配置的设备策略和应用程序。
所有 Endpoint Management 设备策略都记录在设备策略下。该文章包含有关如何使用控制台编辑设备策略的信息。有关某些常用设备策略的信息,请参阅设备策略和用例行为。
对于 iOS 和 Android 平台,您的站点包含以下预配置的移动生产力应用程序:
- Secure Mail
- Secure Web
- Citrix Files
这些应用程序位于 AllUsers 交付组中。
有关详细信息,请参阅关于移动生产力应用程序。
继续执行 Endpoint Management 配置
完成设备注册的基本设置后,配置 Endpoint Management 的方式因您的用例而有很大差异。例如:
- 您有哪些安全要求?您希望如何平衡这些要求与用户体验?
- 您支持哪些设备平台?
- 用户是否拥有其设备或使用公司拥有的设备?
- 您希望向设备推送哪些设备策略?
- 您为用户提供哪些类型的应用程序?
本部分通过引导您查看此文档集中的文章,帮助您浏览许多配置选项。
在第三方站点中完成配置时,请记下信息及其位置,以便在配置 Endpoint Management 控制台设置时参考。
-
安全性和身份验证。Endpoint Management 使用证书创建安全连接并对用户进行身份验证。Citrix 为您的 Endpoint Management 实例提供通配符证书。
-
有关 Endpoint Management 操作期间使用的身份验证组件的概述,请参阅证书和身份验证。
-
可以从以下身份验证类型中进行选择。配置身份验证包括 Endpoint Management 和 Citrix Gateway 控制台中的任务。
-
要向用户提供证书,请配置:
-
设备注册安全模式。设备注册安全模式指定凭据类型以及使用用户在 Endpoint Management 中注册其设备所需的注册步骤。有关信息,请参阅配置注册安全模式。
-
要允许用户使用 Azure Active Directory 凭据进行身份验证,请参阅通过 Citrix Cloud 使用 Azure Active Directory 进行身份验证。
-
设备注册
- 程序可用于注册大量设备:
-
要注册 Android 设备,请创建一个 Android Enterprise 管理员帐户。请参阅 Android Enterprise。或者,请参阅适用于 Google Workspace 客户的旧版 Android Enterprise。
- 要从您的 Google Workspace 帐户配置适用于 Chrome OS 的 Google Workspace 设备注册,请参阅 Chrome OS。
-
要注册 Citrix Ready Workspace Hub,请参阅 Workspace Hub 设备管理
- 可以使用注册邀请或发送注册通知。
- 有关注册的详细信息,请参阅设备管理以及该节点下的文章。
-
设备策略和管理
-
准备应用程序以进行部署
-
有关 Endpoint Management 支持的应用程序的信息,请参阅添加应用程序。
-
可以使用 Apple 批量购买管理 iOS 应用程序许可。有关信息,请参阅 Apple 批量购买。
-
可以使用 Endpoint Management 部署您通过 Apple 批量购买获取的 iBooks。请参阅添加媒体。
-
可以将 Citrix Endpoint Management 连接到适用于企业的 Microsoft Store。请参阅从 Endpoint Management 部署适用于企业的 Microsoft 应用商店应用程序。
-
Citrix 提供移动生产力应用程序,包括 Secure Mail 和 Secure Web。请参阅关于移动生产力应用程序。
-
作为 Secure Mail 的替代方案,您可以将本机邮件传递到设备。请参阅:
-
要允许用户将文档和数据安全地传输给 Microsoft Office 365 应用程序,请参阅允许与 Office 365 应用程序的安全交互和 Office 设备策略。
-
有关应用程序策略的常规信息,请参阅应用程序策略和用例场景。
-
MDX Toolkit 是应用程序封装技术,用于将企业应用程序准备好用于 Endpoint Management 安全部署。MAM SDK 取代了 MDX Toolkit。MDX Toolkit 计划于 2023 年 7 月达到生命周期已结束状态。
有关 MAM SDK 的信息,请参阅 MAM SDK 概述。
-
有关应用程序的详细信息,请参阅添加应用程序下的其他文章。
-
-
通过 Endpoint Management 中基于角色的访问控制 (RBAC) 功能,可以向用户和组分配预定义的角色(或称权限集)。这些权限控制用户对系统功能的访问级别。有关信息,请参阅使用 RBAC 配置角色。
-
在 Endpoint Management 中创建自动化操作以指定对事件、某些设置或用户设备上存在应用程序做出反应。有关信息,请参阅自动化操作。