管理员任务和注意事项

本文讨论移动生产力应用程序的管理员需要了解的相关任务和注意事项。

功能标志管理

如果生产环境中的适用于 iOS 和 Android 的 Secure Hub、Secure Mail 或 Secure Web 出现问题,我们可以在应用程序代码内部禁用受影响的功能。为此,我们将使用功能标志以及名为 Launch Darkly 的第三方服务。不需要做任何配置即可启用传输到 Launch Darkly 的流量,但当您配置了阻止出站流量的防火墙或代理时除外。在这种情况下,您根据策略要求通过特定 URL 或 IP 地址启用传输到 Launch Darkly 的流量。有关自移动生产力应用程序 10.6.15 起 MDX 中支持将域从通道中排除的详细信息,请参阅 MDX Toolkit 文档

可以通过以下方式启用传输到 Launch Darkly 的流量和通信:

启用传输到以下 URL 的流量:

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com

按域创建白名单:

以前,我们在您的内部策略仅要求列出 IP 地址时提供要使用的 IP 地址列表。现在,由于 Citrix 对基础结构做了改进,我们将逐步淘汰自 7 月 16 日开始使用的公用 IP 地址。如果可行,我们建议您按域创建白名单。

在白名单中列出 IP 地址:

如果必须在白名单中列出 IP 地址,可以参阅此 Launch Darkly public IP list(Launch Darkly 公用 IP 列表),获取当前所有 IP 地址范围的列表。此列表可用于确保您的防火墙配置自动更新,以便与基础结构更新保持一致。有关更多详细信息,请参阅 Launch Darkly root resource(Launch Darkly 根目录资源)。有关基础结构变更的当前状态的详细信息,请参阅 Launch Darkly 状态页面

注意:

公共应用商店应用程序要求首次部署它们时执行全新安装。不能从应用程序的当前企业打包版本升级到公共应用商店版本。

通过公共应用商店分发,您不必使用 MDX Toolkit 签名和打包 Citrix 开发的应用程序。这显著简化了部署应用程序的过程。可以使用 MDX Toolkit 打包第三方应用程序或企业应用程序。

Launch Darkly 的系统要求

  • Endpoint Management 10.5 或更高版本。
  • 如果您在 Citrix ADC 上将拆分通道设置为,请确保应用程序能够与以下服务通信:

支持的应用商店

移动生产力应用程序在 Apple App Store 和 Google Play 中提供。有关在 Windows 设备上确保本机生产力应用程序的安全以及部署这些应用程序的信息,请参阅 Windows 信息保护设备策略

在不提供 Google Play 的中国,可从以下应用商店中获取 Secure Hub for Android:

启用公共应用商店分发

  1. Endpoint Management 下载页面下载适用于 iOS 和 Android 的公共应用商店 .mdx 文件。
  2. 将 .mdx 文件上载到 XenMobile 控制台。移动生产力应用程序的公共应用商店版本仍作为 MDX 应用程序上载。请勿在服务器上上载这些应用程序作为公共应用商店应用程序。有关步骤,请参阅添加应用程序
  3. 根据您的安全策略将策略从其默认值更改为其他值(可选)。
  4. 将应用程序推送为必需应用程序(可选)。此步骤要求启用您的环境以进行移动设备管理。
  5. 将从 App Store、Google Play 或 Endpoint Management 应用商店获取的应用程序安装在设备上。
    • 在 Android 上,用户将被重定向到 Play 应用商店以安装应用程序。在 iOS 中,在包含 MDM 的部署中,不需要将用户定向到应用商店即可安装应用程序。
    • 从 App Store 或 Play 应用商店安装应用程序时,只要对应的 .mdx 文件已上载到服务器,该应用程序就会转为托管应用程序。转为托管应用程序时,该应用程序会提示输入 Citrix PIN。用户输入 Citrix PIN 时,Secure Mail 将显示帐户配置屏幕。
  6. 只有在 Secure Hub 中注册了且对应的 .mdx 文件在服务器上时,应用程序才可访问。如果未满足任何一个条件,用户可以安装该应用程序,但其使用将被阻止。

如果您当前使用的应用程序来自 Citrix Ready Marketplace(这些应用程序已在公共应用商店中),则您已熟悉部署过程。移动生产力应用程序采用的方法与多数 ISV 当前使用的方法相同。在应用程序内嵌入 MDX SDK 以使该应用程序可在公共应用商店中提供。

注意:

适用于 iOS 和 Android 的 Citrix Files 应用程序的公共应用商店版本现在通用。手机和平板电脑上使用的 Citrix Files 应用程序相同。

Apple 推送通知

有关配置推送通知的详细信息,请参阅配置 Secure Mail 以推送通知

公共应用商店常见问题解答

1. 我可以为不同的用户组部署多个公共应用商店应用程序的副本吗?例如,我可能希望为不同的用户组部署不同的策略。

必须为每个用户组上载不同的 .mdx 文件。但是,在这种情况下,单个用户不能属于多个组。如果用户不属于多个组,则会向该用户分配同一应用程序的多个副本。公共应用商店应用程序的多个副本不能部署到相同设备,因为应用程序 ID 不能更改。

2. 是否可以将公共应用商店应用程序作为必备应用程序推送?

是。向设备推送应用程序需要 MDM;对于仅 MAM 的部署不支持。

3. 是否需要更新基于用户代理的任何流量策略或 Exchange Server 规则?

任何基于用户代理的策略和规则的字符串(按平台)都如下所示。

Android

应用程序 服务器 用户代理字符串
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   WorxMail
Citrix Secure Tasks Exchange WorxMail
Citrix Secure Notes Exchange WorxMail
  Citrix Files Secure Notes

iOS

应用程序 服务器 用户代理字符串
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   com.citrix.browser
Citrix Secure Tasks Exchange WorxTasks
Citrix Secure Notes Exchange WorxNotes
  Citrix Files Secure Notes

4. 是否可以阻止应用程序升级?

否。公共应用商店中发布更新时,启用了自动更新的任何用户都将接收该更新。

5. 是否可以强制执行应用程序升级?

是,可以通过升级宽限期策略强制执行升级。与更新版本的应用程序对应的新 .mdx 文件上载到 XenMobile Server 时,设置此策略。

6. 如果无法控制更新时间段,如何在更新到达用户之前测试应用程序?

与 Secure Hub 的过程类似,在 EAR 期间,可以在 Test Flight for iOS 上测试应用程序。对于 Android,将在 EAR 期间通过 Google Play 测试版程序提供应用程序。可以在此期间测试应用程序更新。

7. 如果我没有在自动更新到达用户设备之前更新新 .mdx 文件,会发生什么?

更新后的应用程序继续使用旧 .mdx 文件。依赖于新策略的任何新功能不会被启用。

8. 如果安装了 Secure Hub,应用程序是否将转为托管应用程序,或者是否需要注册该应用程序?

必须在 Secure Hub 中注册用户,公共应用商店应用程序才能激活为托管应用程序(由 MDX 保护)并且可以使用。如果 Secure Hub 已安装但未注册,用户将无法使用公共应用商店应用程序。

9. 对于公共商店应用程序,是否需要 Apple 企业开发人员帐户?

否。由于 Citrix 现在维护移动生产力应用程序的证书和预配配置文件,因此,不需要 Apple 企业开发人员帐户即可为用户部署这些应用程序。

10. 企业分发的结束是否适用于部署的任何打包应用程序?

否,它仅适用于移动生产力应用程序:Secure Mail、Secure Web、Secure Notes、Secure Tasks、Citrix Files for Endpoint Management、ScanDirect for XenMobile、QuickEdit 和 ShareConnect。已部署的任何其他企业打包应用程序(内部开发或由第三方开发)可以继续使用企业打包功能。MDX Toolkit 将继续面向应用程序开发人员支持企业打包功能。

11. 当我安装来自 Google Play 的应用程序时,收到错误代码为 505 的 Android 错误。

这是 Google Play 和 Android 5.x 版本的已知问题。如果发生此错误,可以按照以下步骤来清理设备上阻止应用程序安装的过期数据:

  1. 请重新启动设备。

  2. 通过设备设置清除 Google Play 的缓存和数据。

  3. 最后,在您的设备上删除并重新添加 Google 帐户。

有关详细信息,请使用以下关键字搜索此站点:“Fix Google Play Store Error 505 in Android: Unknown Error Code”(修复 Android 中的 Google Play 应用商店错误 505: 未知错误代码)

12. 尽管 Google Play 上的应用程序已发布到生产环境,并且没有新的测试版本,为什么我在 Google Play 上的应用程序标题后面仍然看到 Beta 字样?

如果您已加入我们的早期访问版本 (Early Access Release, EAR) 计划,您始终会在应用程序标题旁边看到 Beta 字样。此名称只是通知用户其对某个特定应用程序的访问级别。Beta 名称指示用户收到最新版本的可用应用程序。最新版本可能是发布到生产跟踪或测试版跟踪的最新版本。

13. 安装并打开应用程序后,尽管 .mdx 文件已在 XenMobile Server 上,用户仍会看到消息“未授权的应用程序”。

如果用户直接从 App Store 或 Google Play 安装应用程序,并且 Secure Hub 未刷新,则会出现此问题。不活动计时器过期时需要刷新 Secure Hub。用户打开 Secure Hub 并重新进行身份验证时,策略将刷新。应用程序将在下次用户打开该应用程序时获得授权。

14. 是否需要访问代码才能使用应用程序?从 App Store 或 Play 应用商店安装应用程序时,看到提示输入访问代码的屏幕。

如果看到要求输入访问代码的屏幕,表示您未通过 Secure Hub 在 Endpoint Management 中注册。使用 Secure Hub 注册,并确保应用程序的 .mdx 文件部署在服务器上。此外,请确保可以使用该应用程序。访问代码限制为仅供 Citrix 内部使用。应用程序要求激活 Endpoint Management 部署。

15. 是否可以通过 VPP 或 DEP 部署 iOS 公共应用商店应用程序?

XenMobile Server 已针对未启用 MDX 的公共应用商店应用程序的 VPP 分发优化。尽管您能够通过 VPP 分发 Endpoint Management 公共应用商店应用程序,但在我们进一步增强 XenMobile Server 和 Secure Hub 应用商店的功能以解决限制问题之前,该部署并非最优部署。有关通过 VPP 部署 Endpoint Management 公共应用商店应用程序的已知问题列表和可能的解决方法,请参阅 Citrix 知识中心中的这篇文章。

适用于移动生产力应用程序的 MDX 策略

通过 MDX 策略,您可以配置 XenMobile Server 强制执行的设置。MDX 策略包括身份验证、设备安全、网络要求和访问、加密、应用程序交互、应用程序限制等。许多 MDX 策略都适用于所有移动生产力应用程序;某些策略是应用程序特定的策略。

策略文件将以 .mdx 文件格式向移动生产力应用程序的公共应用商店版本提供。也可以在添加应用程序时,在 Endpoint Management 控制台中配置策略。

以下各部分内容介绍了与用户连接有关的 MDX 策略。

与内部网络的用户连接

通过通道连接到内部网络的连接可以使用完整 VPN 通道或无客户端 VPN 的变体(称为“安全浏览”)。“首选 VPN 模式”策略控制该行为。默认情况下,连接使用安全浏览;建议需要进行 SSO 的连接使用该模式。建议使用客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道设置;该设置通过 TCP 处理任何协议,并且可以与 Windows 和 Mac 计算机以及 iOS 和 Android 设备结合使用。

如果使用 Citrix ADC 进行代理身份验证,Secure Web for iOS 和 Secure Web for Android 支持对完整 VPN 通道部署使用代理自动配置 (PAC) 文件。

允许 VPN 模式切换策略允许用户根据需要在完整 VPN 通道模式与安全浏览模式之间自动切换。默认情况下,此策略设置为“关”。如果此策略设置为“开”,则将在备选模式下尝试重新处理由于无法在首选 VPN 模式下处理身份验证请求而失败的网络请求。例如,服务器对客户端证书的质询可以被完整 VPN 通道模式接受,但不被安全浏览模式接受。同样,使用安全浏览模式时,通过 SSO 向 HTTP 身份验证质询提供服务的可能性更大。

网络访问限制

“网络访问”策略指定是否对网络访问设置限制。默认情况下,Secure Mail 和 Secure Notes 访问不受限制,这表示不对网络访问权限设置任何限制;应用程序将对设备连接到的网络具有不受限制的访问权限。默认情况下,Secure Web 访问通过通道连接到内部网络,这表示将对所有网络访问使用返回到内部网络的 PerApp VPN 通道,并且使用 Citrix ADC 拆分通道设置。您还可以指定阻止的访问,以便应用程序运行时好像设备未建立网络连接。

如果要允许使用 AirPrint、iCloud 以及 Facebook 和 Twitter API 等功能,请勿阻止“网络访问”策略。

“网络访问”策略还与“后台网络服务”策略交互。有关详细信息,请参阅集成 Exchange Server 或 IBM Notes Traveler 服务器

Endpoint Management 客户端属性

客户端属性包含用户设备上直接提供给 Secure Hub 的信息。客户端属性位于 Endpoint Management 控制台的设置 > 客户端 > 客户端属性中。

客户端属性用于配置诸如以下各项设置:

用户密码缓存

通过用户密码缓存,用户的 Active Directory 密码将本地缓存在移动设备上。如果您启用了用户密码缓存,系统将提示用户设置 Citrix PIN 或通行码。

不活动计时器

不活动计时器定义用户可以让其设备处于不活动状态而不会在用户访问应用程序时提示输入 Citrix PIN 或通行码的时间(单位为分钟)。要为 MDX 应用程序启用此设置,必须将“应用程序通行码”策略设置为。如果“应用程序通行码”策略设置为,用户将被重定向到 Secure Hub 以执行完整身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。

Citrix PIN 身份验证

Citrix PIN 简化了用户身份验证体验。PIN 用于确保客户端证书的安全或在设备本地保存 Active Directory 凭据。如果您配置了 PIN 设置,用户的登录体验将如下所示:

  1. 用户首次启动 Secure Hub 时,将收到输入 PIN 的提示,这样将缓存 Active Directory 凭据。

  2. 用户后续启动移动生产力应用程序(例如 Secure Mail)时,将输入 PIN 并登录。

使用客户端属性启用 PIN 身份验证、指定 PIN 类型、指定 PIN 的强度、长度以及更改要求。

指纹或 Touch ID 身份验证

适用于 iOS 设备的指纹身份验证(也称为 Touch ID 身份验证)将替代 Citrix PIN。当打包的应用程序(除 Secure Hub 外)需要使用脱机身份验证时(例如不活动计时器过期时),此功能非常有用。可以在下列身份验证方案中启用此功能:

  • Citrix PIN + 客户端证书配置
  • Citrix PIN + 缓存 AD 密码配置
  • Citrix PIN + 客户端证书配置和缓存 AD 密码配置
  • Citrix PIN 已关闭

如果指纹身份验证失败,或者用户取消指纹身份验证提示,则打包的应用程序将恢复使用 Citrix PIN 或 AD 密码身份验证。

指纹身份验证要求:

  • 支持指纹身份验证并且至少配置了一个指纹的 iOS 设备(最低版本为 8.1)。

  • 必须关闭用户熵功能。

配置指纹身份验证

重要:

如果用户熵已启用,则忽略“启用 Touch ID 身份验证”属性。用户熵通过“Encrypt secrets using Passcode”(使用通行码加密机密)密钥启用。

  1. 在 Endpoint Management 控制台中,转到设置 > 客户端 > 客户端属性

  2. 单击添加

    “添加新客户端属性”屏幕示意图

  3. 添加键 ENABLE_TOUCH_ID_AUTH,将其设置为 True,然后将策略名称设置为启用指纹身份验证

配置指纹身份验证后,用户不需要重新注册其设备。

有关“使用通行码加密密钥”密钥和常规客户端属性的详细信息,请参阅客户端属性上的 Endpoint Management 文章。