Citrix Endpoint Management

用户帐户、角色和注册

您可以在 Endpoint Management 控制台的管理选项卡和设置页面上执行用户配置任务。除非另有说明,否则本文提供完成以下任务的步骤。

  • 注册安全模式和邀请
    • “设置” > “注册” 中,配置最多七种注册安全模式并发送注册邀请。每种注册安全模式都有自己的安全级别和用户注册设备所必须采取的步骤数。
  • 用户帐户和组的角色
    • “设置” > “基于角色的访问控制” 中,将预定义的角色或权限集分配给用户和组。这些权限控制用户对系统功能的访问级别。有关详细信息,请参阅使用 RBAC 配置角色
    • “设置” > “通知模板” 中,创建或更新通知模板,以便在发送给用户的自动操作、注册和标准通知消息中使用。配置通知模板以通过三种不同的通道发送消息:Secure Hub、SMTP 或 SMS。有关详细信息,请参阅创建和更新通知模板
  • 用户帐户和组:
    • 在 “ 管理 ” “用户” 中,您可以手动添加本地用户帐户或使用 .csv 置备文件导入帐户和管理本地组。但是,大多数 Endpoint Management 部署都连接到 LDAP 以获取用户和组信息。在以下用例中,您可能希望在本地创建用户帐户:

      • 在零售等环境中,设备是共用的,而不是由单个用户专用。
      • 如果您使用不受支持的目录,例如 Novell eDirectory。
    • “设置” > “工作流” 中,使用工作流来管理用户帐户的创建和删除。

关于用户帐户

Endpoint Management 用户帐户适用于本地、Active Directory 或云用户。

云用户是指 Citrix Cloud 在 Endpoint Management 服务器上创建和管理的特殊用户帐户。Citrix Cloud 在将某个管理员添加到您的 Citrix Cloud 客户帐户中时创建一个云用户帐户。云用户帐户使用与管理员帐户相同的用户名,默认为管理员角色。云用户帐户提供单点登录并执行其他管理功能。要将管理员添加到 Citrix Cloud 帐户,请参阅邀请新管理员。有关在 Endpoint Management 中更新云用户帐户的信息,请参阅 使用 RBAC 配置角色

对于云用户:

  • 您可以通过 Endpoint Management 控制台更改云用户的角色和用户属性。有关详细信息,请参阅使用 RBAC 功能
  • 无法通过 Endpoint Management 控制台更改云用户密码。要更改密码,请参阅管理员
  • 无法通过 Endpoint Management 控制台删除云用户。要删除云用户,请转到 Citrix Cloud 中的 身份和访问管理 > 管理员 ,单击用户行末尾的省略号,然后选择 删除管理员。
  • 您无法将云用户添加到本地组。要为云用户配置角色,请转到 Endpoint Management 控制台中的 “设置” > “基于角色的访问控制 ”。

配置注册安全模式

您可以配置设备注册安全模式,以便在 Endpoint Management 中为设备注册指定安全级别和通知模板。

Endpoint Management 提供七种注册安全模式,每种模式都有自己的安全级别和用户注册设备必须采取的步骤。您可以从 “设置” > “注册” 页面在 Endpoint Management 控制台中配置注册 安全模式。

您可以在自助服务门户上提供某些模式。用户通过门户生成注册链接,允许他们注册自己的设备。iOS、iPadOS、macOS、Android Enterprise 版和旧版 Android 用户可以选择从门户向自己发送注册邀请。注册邀请不适用于 Windows 设备。

您可以从 “ 管理” > “注册邀请” 页面发送注册邀请 。有关信息,请参阅注册邀请

注意:

如果计划使用自定义通知模板,则必须先设置模板,然后再配置注册安全模式。有关通知模板的详细信息,请参阅 创建或更新通知模板

  1. 在 Endpoint Management 控制台上,单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 单击注册。此时将显示注册页面,其中包含所有可用注册安全模式的表格。默认情况下,启用所有注册安全模式。

  3. 在列表中选择任何注册安全模式以对其进行编辑。然后将该模式设置为默认模式、禁用该模式或允许用户通过自助服务门户访问。

    选中注册安全模式旁边的复选框以查看选项菜单。或者,单击列表中的其他任意位置可查看列表右侧的选项菜单。

    提示:

    编辑注册安全模式时,可以指定过期截止日期,在截止日期之后,用户将无法注册其设备。有关信息,请参阅本文中的编辑注册安全模式。此值显示在用户和组注册邀请配置页面。

    注册设置

    提示:

    编辑注册安全模式时,可以指定过期截止日期,在截止日期之后,用户将无法注册其设备。有关信息,请参阅本文中的编辑注册安全模式。此值显示在用户和组注册邀请配置页面。

    根据您的平台,您可以选择以下注册安全模式:

    • 用户名 + 密码
    • 高安全性
    • 邀请 URL
    • 邀请 URL + PIN
    • 邀请 URL + 密码
    • 双重身份验证
    • 用户名 + PIN

    有关特定于平台的注册安全模式的信息,请参阅 按平台分类注册安全模式

    可以将注册邀请用作限制为特定用户或组注册的功能的有效方式。要发送注册邀请,您只能使用 邀请 URL邀请 URL + PIN邀请 URL + 密码 注册安全模式。对于使 用用户名 + 密码双重身份验证用户名 + PIN注册的设备,用户必须在 Secure Hub 中手动输入凭据。

    您可以使用一次性 PIN(有时又称为 OTP)注册邀请作为双重身份验证解决方案。一次性 PIN 注册邀请控制用户可以注册的设备数量。OTP 邀请不适用于 Windows 设备。

编辑注册安全模式

  1. 注册列表中,选择注册安全模式,然后单击编辑。此时将显示编辑注册模式页面。根据所选择的模式,您可能会看到不同的选项。

    编辑注册安全模式

  2. 适当更改以下信息:

    • 此时间后过期: 键入过期期限,过了此期限后用户将无法注册其设备。此值显示在用户和组注册邀请配置页面。

      键入 0 可防止邀请过期。

    • 天: 在列表中,单击小时,对应于您在此时间后过期中输入的过期期限。
    • 最大尝试次数: 键入用户可以尝试注册的次数,超出此次数后用户将被锁定,无法进行注册过程。此值显示在用户和组注册邀请配置页面。

      键入 0 表示尝试次数不受限制。

    • PIN 长度: 键入用于设置生成的 PIN 的长度的数字。
    • 数字: 在列表中,单击数字字母数字以选择 PIN 类型。

    • 通知模板:

      • 注册 URL 模板: 在列表中,单击用于注册 URL 的模板。例如,注册邀请模板向用户发送电子邮件或 SMS。方法取决于您是如何配置用于允许用户在 Endpoint Management 中注册其设备的模板。有关通知模板的详细信息,请参阅 创建或更新通知模板
      • 注册 PIN 模板: 在列表中,单击用于注册 PIN 的模板。
      • 注册确认模板: 在列表中,单击用于向用户通知已成功注册的模板。
  3. 单击保存

将注册安全模式设为默认模式

除非您选择不同的注册安全模式,否则默认注册安全模式用于所有设备注册请求。如果没有将注册安全模式设置为默认模式,则必须为每个设备注册创建注册请求。

  1. 如果未启用要用作默认值的注册安全模式,请选择它并单击 用。唯一可以用作默认的注册安全模式是用 户名 + 密码双因素或用 户名 + PIN码。

  2. 选择注册安全模式,然后单击 默认。所选模式现已成为默认模式。如果将任何其他注册安全模式设为默认模式,此模式将不再作为默认模式。

禁用注册安全模式

禁用注册安全模式将使此模式不可供用户使用,既不可用于组注册邀请,也不可在自助服务门户中提供。您可以通过禁用一种注册安全模式并启用另一种注册安全模式来更改允许用户注册设备的方式

  1. 选择注册安全模式。

    不能禁用默认注册安全模式。如果要禁用默认注册安全模式,必须首先删除其默认状态。

  2. 单击禁用。注册安全模式不再处于启用状态。

在自助服务门户上启用注册安全模式

在自助门户上启用注册安全模式可让用户单独在 Endpoint Management 中注册设备。可以在与访问 Endpoint Management 控制台的同一 URL 管理访问自助服务门户。最终用户将看到自助服务门户,而非管理控制台。

注意:

  • 注册安全模式必须启用并绑定通知模板,才能在自助服务门户上提供。
  • 同一时间只能在自助服务门户上启用一种注册安全模式。
  1. 设置 > 服务器属性中更新以下服务器属性:
    • shp.console.enable:设置为 True 以提供对自助服务门户的访问权限。
    • enable.new.shp:设置为 True 以允许用户从自助服务门户启用其设备。
  2. 选择注册安全模式。

  3. 单击自助服务门户。此注册安全模式现已在自助服务门户上提供,可供用户使用。已经在自助服务门户上启用的任何模式均不再可供用户使用。

添加、编辑、解锁或删除本地用户帐户

可以手动向 Endpoint Management 中添加本地用户帐户,也可以使用预配文件导入帐户。有关从预配文件导入用户的步骤,请参阅导入用户帐户

所有 Citrix Cloud 管理员都是作为 Endpoint Management 管理员创建的。如果创建具有自定义访问权限的 Citrix Cloud 管理员,请确保访问包括 Endpoint Management。有关添加 Citrix Cloud 管理员的信息,请参阅添加管理员

  1. 在 Endpoint Management 控制台中,单击 管理 > 用户。此时将显示用户页面。

    用户管理

  2. 单击显示过滤器以过滤列表。

添加本地用户帐户

  1. 用户页面上,单击添加本地用户。此时将显示添加本地用户页面。

    用户管理

  2. 配置以下设置:

    • 用户名: 键入名称,这是必填字段。您可以在名称中包括以下内容:空格、大写字母和小写字母。
    • 密码: 键入可选用户密码。密码的长度至少为 14 个字符,并且必须满足以下全部条件:
      • 至少包含两个数字
      • 至少包含一个大写字母和一个小写字母
      • 至少包含一个特殊字符
      • 不要包含字典词或受限单词,例如 Citrix 用户名或电子邮件地址
      • 不要包含三个以上的顺序和重复的字符或键盘模式,例如 1111、1234 或 asdf
    • 角色: 在列表中,单击用户角色。有关角色的详细信息,请参阅使用 RBAC 配置角色。可能的选项包括:
      • ADMIN
      • DEVICE_PROVISIONING
      • SUPPORT
      • USER
    • 成员身份: 在列表中,单击要添加此用户的一个或多个组。
    • 用户属性: 添加可选用户属性。对于要添加的每个用户属性,单击添加,然后执行以下操作:
      • 用户属性: 在列表中,单击某个属性,然后在该属性旁边的字段中键入用户属性。
      • 单击完成保存用户属性或单击取消

    要删除现有用户属性,请将鼠标悬停在包含此属性的行上,然后单击右侧的 X。属性立即被删除。

    要编辑现有用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消保留列表不变。

  3. 单击保存。创建用户后,本地用户帐户的用户类型字段将保留为空。

编辑本地用户帐户

  1. 用户页面上的用户列表中,通过单击选择某个用户,然后单击编辑。此时将显示编辑本地用户页面。

    编辑本地用户

  2. 适当更改以下信息:

    • 用户名: 无法更改用户名。
    • 密码: 更改或添加用户密码。
    • 角色: 在列表中,单击用户角色。
    • 成员身份: 在列表中,单击要添加或编辑用户帐户的一个或多个组。要从组中删除用户帐户,请取消选中组名称旁边的复选框。
    • 用户属性: 请执行以下操作之一:
      • 对于您要更改的各个用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消保留列表不变。
      • 对于要添加的每个用户属性,单击添加,然后执行以下操作:
        • 用户属性: 在列表中,单击某个属性,然后在该属性旁边的字段中键入用户属性。
        • 单击完成保存用户属性或单击取消
      • 对于要删除的每个现有用户属性,请将鼠标悬停在包含此属性的行上,然后单击右侧的 X。属性立即被删除。
  3. 单击保存以保存您所做的更改,或者单击取消保留用户不变。

解锁本地用户帐户

根据以下服务器属性,本地用户帐户被锁定:

  • local.user.account.lockout.time
  • local.user.account.lockout.limit

    有关详细信息,请参阅服务器属性定义

当本地用户帐户被锁定时,您可以从 Endpoint Management 控制台解锁该帐户。

  1. 用户页面上的用户帐户列表中,通过单击选择某个用户帐户。

  2. 单击解锁用户。此时将显示确认对话框。

  3. 单击解锁以解锁用户帐户,或者单击取消保持用户不变。

无法从 Endpoint Management 控制台解锁 Active Directory 用户。锁定的 Active Directory 用户必须联系其 Active Directory 技术支持重置密码。

删除本地用户帐户

  1. 用户页面上的用户帐户列表中,通过单击选择某个用户帐户。

    可以通过选中每个用户帐户旁边的复选框,选择多个要删除的用户帐户。

  2. 单击删除。此时将显示确认对话框。

  3. 单击删除以删除用户帐户或单击取消

删除 Active Directory 用户

要一次删除一个或多个 Active Directory 用户,请选择这些用户,然后单击删除

如果要删除的用户具有已注册的设备,而您希望重新注册这些设备,请先删除这些设备,然后再重新注册。要删除设备,请转至 管理 > 设备,选择该设备,然后单击 删除

导入用户帐户

您可以从称为预配文件的 .csv 文件导入本地用户帐户和属性,该文件可以手动创建。有关设置预配文件格式的详细信息,请参阅预配文件的格式

注意:

  • 对于本地用户,请使用域名以及导入文件中的用户名。例如,指定 username@domain。如果在 Endpoint Management 中将创建或导入的本地用户用于托管域,则用户无法使用对应的 LDAP 凭据进行注册。
  • 如果将用户帐户导入到 Endpoint Management 内部用户目录,请禁用默认域以加快导入过程的速度。请注意,禁用域会影响注册。您可以在内部用户导入完成后重新启用默认域。
  • 本地用户可以采用用户主体名称 (UPN) 格式。但是,Citrix 建议您不要使用托管域。例如,如果 example.com 处于托管状态,请勿使用以下 UPN 格式创建本地用户:user@example.com。

准备好预配文件后,请按照以下步骤将此文件导入到 Endpoint Management 中。

  1. 在 Endpoint Management 控制台中,单击 管理 > 用户。此时将显示用户页面。

  2. 单击导入本地用户。此时将显示导入预配文件对话框。

    用户管理

  3. 对于要导入的预配文件的格式,选择用户属性

  4. 通过单击浏览并导航到要使用的预配文件所在位置,选择此文件。

  5. 单击导入

预配文件的格式

可以创建预配文件,并用其将用户帐户和属性导入 Endpoint Management。对预配文件使用以下格式之一:

  • 用户置备文件字段: user;password;role;group1;group2
  • 用户属性置备文件字段: user;propertyName1;propertyValue1;propertyName2;propertyValue2

注意:

  • 使用分号 (;) 分隔预配文件中的字段。如果某个字段的某一部分包含分号,请使用反斜杠字符 () 进行转义。例如,在预配文件中,按照 propertyV;test;1;2 格式键入属性 propertyV; test;1;2
  • 角色的有效值为预定义的角色 USER、ADMIN、SUPPORT 和 DEVICE_PROVISIONING 以及您定义的任何其他角色。
  • 使用句点字符 (.) 作为分隔符来创建组层次结构。不要在组名中使用句点。
  • 属性预配文件中的属性使用小写。数据库区分大小写。

用户预配内容示例

条目 user01;pwd\\;o1;USER;myGroup.users01;myGroup.users02;myGroup.users.users01 表示:

  • 用户: user01
  • 密码: pwd; 01
  • 角色: USER
  • 组:
    • myGroup.users01
    • myGroup.users02
    • myGroup.users.users.users01

另一个示例 AUser0;1.password;USER;ActiveDirectory.test.net 表示:

  • 用户: AUser0
  • 密码: 1.password
  • 角色: USER
  • 组: ActiveDirectory.test.net

用户属性预配内容示例

条目 user01;propertyN;propertyV\;test\;1\;2;prop 2;prop2 value 表示:

  • 用户: user01
  • 属性 1
    • 名称: propertyN
    • 值: propertyV;test;1;2
  • 属性 2:
    • 名称: prop 2
    • 值: prop2 value

添加或删除组

在 Endpoint Management 控制台中的以下页面上的管理组对话框中管理组:用户添加本地用户编辑本地用户。没用组编辑命令。

添加本地组

  1. 执行以下操作之一:

    • 用户页面上,单击管理本地组

    用户组管理

    • 添加本地用户页面或编辑本地用户页面上,单击管理组

    用户组管理

    此时将显示管理组对话框。

    用户组管理

  2. 在组列表下方,键入组名称,然后单击加号 (+)。用户组已添加到列表中。

  3. 单击关闭

删除组

删除组不会影响用户帐户。相反,删除组将仅删除用户与该组的关联。用户还会丧失该组关联的交付组提供的应用程序或配置文件的访问权限。但是,任何其他组关联仍保持不变。如果用户没有与任何其他本地组关联,则他们将在顶层关联。

  1. 执行以下操作之一:

    • 用户页面上,单击管理本地组
    • 添加本地用户页面或编辑本地用户页面上,单击管理组

    此时将显示管理组对话框。

    用户组管理

  2. 管理组对话框上,单击要删除的组。

  3. 单击组名称右侧的垃圾桶图标。此时将显示确认对话框。

  4. 单击删除以确认操作并删除该组。

    重要:

    此操作无法撤消。

  5. 管理组对话框上,单击关闭

创建和管理工作流

可以使用工作流对用户帐户的创建和删除进行管理。应先确定组织中有权批准用户帐户请求的人员,才能创建工作流。然后,使用工作流模板创建和批准用户帐户请求。

首次设置 Endpoint Management 时,要配置工作流电子邮件设置,您必须先配置此设置才能使用工作流。随时可以更改工作流电子邮件设置。这些设置包括电子邮件服务器、端口、电子邮件地址以及创建用户帐户的请求是否需要进行审批。

可以在 Endpoint Management 中的两个位置配置工作流:

  • 在 Endpoint Management 控制台的 “设置” > “工作流 ” 页面中。在工作流页面上,可以配置多个用于应用程序配置的工作流。在“工作流”页面上配置工作流时,可以在配置应用程序时选择工作流。
  • 配置应用程序连接器时,请在应用程序中提供工作流名称,然后配置审批用户帐户请求的人员。请参阅 添加应用程序

可以为用户帐户分配最多三个经理审批级别。如果需要其他人员批准用户帐户,可以使用其姓名或电子邮件地址搜索和选择这些人员。Endpoint Management 找到相应的人员时,您可以将其添加到工作流中。工作流中的所有人员都将收到电子邮件,以批准或拒绝新用户帐户。

  1. 在 Endpoint Management 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 单击工作流。此时将显示工作流页面。

  3. 单击添加。此时将显示添加工作流页面。

    工作流管理

  4. 配置以下设置:

    • 名称: 键入工作流的唯一名称。
    • 说明: (可选)键入工作流的说明。
    • 电子邮件审批模板: 在列表中,选择要指定的电子邮件审批模板。在 Endpoint Management 控制台中设置下方的通知模板部分创建电子邮件模板。单击此字段右侧的眼睛图标,即可预览正在配置的模板。
    • 经理审批级别: 在列表中,选择此工作流所需的经理审批级别数。默认值为 1 级。可能的选项包括:
      • 不需要
      • 1 级
      • 2 级
      • 3 级
    • 选择 Active Directory 域: 在列表中,选择用于工作流的合适 Active Directory 域。
    • 查找所需的其他审批者: 在搜索字段中键入姓名,然后单击搜索。源于 Active Directory 的姓名。
    • 姓名显示在此字段中后,选中姓名旁边的复选框。姓名和电子邮件地址显示在选定的其他所需审批者列表中。
      • 要从列表中删除某个姓名,请执行以下操作之一:
        • 单击搜索以查找选定域中的所有人员列表。
        • 在搜索框中键入完整姓名或部分姓名,然后单击搜索以限制搜索结果。
        • 在搜索结果列表中,选定的其他所需审批者列表中的人员姓名旁边有一个复选标记。滚动列表,并取消选中要删除的各个姓名旁边的复选框。
  5. 单击保存。已创建的工作流显示在工作流页面上。

创建工作流后,您可以查看工作流详细信息,查看与工作流相关的应用程序,或者删除工作流。工作流创建后无法进行编辑。如果需要使用不同审批级别或审批者的工作流,请创建另一个工作流。

查看详细信息和删除工作流

  1. 工作流页面上的现有工作流列表中,选择一个特定的工作流。为此,请单击列表中的行,或者选中工作流旁边的复选框。

  2. 要删除工作流,请单击删除。此时将显示确认对话框。再次单击删除

    重要:

    此操作无法撤消。

用户帐户、角色和注册