Product Documentation

XenMobile Apps 管理和交付

May 10, 2018

本文概述了如何在 XenMobile 中进行应用程序管理和交付。

功能标志管理的必备条件

如果生产环境中的 Secure Hub 或 Secure Mail 出现问题,我们可以在应用程序代码内部禁用受影响的功能。为此,我们将使用功能标志以及名为 Launch Darkly 的第三方服务。不需要做任何配置即可启用传输到 Launch Darkly 的流量,但当您配置了阻止出站流量的防火墙或代理时除外。在这种情况下,您根据策略要求通过特定 URL 或 IP 地址启用传输到 Launch Darkly 的流量。有关自 XenMobile Apps 10.6.15 起 MDX 中支持将域从通道中排除的详细信息,请参阅 MDX Toolkit 文档。有关与功能标志和 Launch Darkly 有关的常见问题解答,请参阅此支持知识中心文章

注意:企业 XenMobile Apps 的“生命周期已结束”日期为 2017 年 12 月 31 日
 

公共应用商店应用程序要求首次部署它们时执行全新安装。不能从应用程序的当前企业打包版本升级到公共应用商店版本。

通过公共应用商店分发,您不必使用 MDX Toolkit 签名和打包 Citrix 开发的应用程序。这显著简化了部署应用程序的过程。可以使用 MDX Toolkit 打包第三方应用程序或企业应用程序。 

系统要求

  • XenMobile 10.5 或更高版本。
  • 如果您在 NetScaler 上将拆分通道设置为,请确保应用程序能够与以下设备通信:

支持的应用商店

XenMobile Apps 在 Apple App Store 和 Google Play 中提供。有关在 Windows 设备上确保本机生产力应用程序的安全以及部署这些应用程序的信息,请参阅 Windows 信息保护设备策略。 

在不提供 Google Play 的中国,可从以下应用商店中获取 Secure Hub for Android:

启用公共应用商店分发

  1. XenMobile 下载页面下载适用于 iOS 和 Android 的公共应用商店 .mdx 文件。
  2. 将 .mdx 文件上载到 XenMobile 控制台。XenMobile Apps 的公共应用商店版本仍作为 MDX 应用程序上载。请勿在服务器上上载这些应用程序作为公共应用商店应用程序。有关步骤,请参阅添加应用程序
  3. 根据您的安全策略将策略从其默认值更改为其他值(可选)。
  4. 将应用程序推送为必需应用程序(可选)。此步骤要求启用您的环境以进行移动设备管理。 
  5. 将从 App Store、Google Play 或 XenMobile Store 获取的应用程序安装在设备上。
    • 在 Android 上,用户将被重定向到 Play 应用商店以安装应用程序。在 iOS 中,在包含 MDM 的部署中,不需要将用户定向到应用商店即可安装应用程序。 
    • 从 App Store 或 Play 应用商店安装应用程序时,只要对应的 .mdx 文件已上载到服务器,该应用程序就会转为托管应用程序。转为托管应用程序时,该应用程序会提示输入 Citrix PIN。用户输入 Citrix PIN 时,Secure Mail 将显示帐户配置屏幕。
  6. 只有在 Secure Hub 中注册了且对应的 .mdx 文件在服务器上时,应用程序才可访问。如果未满足任何一个条件,用户可以安装该应用程序,但其使用将被阻止。

如果您当前使用的应用程序来自 Citrix Ready Marketplace(这些应用程序已在公共应用商店中),则您已熟悉部署过程。XenMobile Apps 采用的方法与多数 ISV 当前使用的方法相同。在应用程序内嵌入 MDX SDK 以使该应用程序可在公共应用商店中提供。 

注意

适用于 iOS 和 Android 的 ShareFile 应用程序的公共应用商店版本现在通用。手机和平板电脑上使用的 ShareFile 应用程序相同。 

Apple 推送通知

有关配置推送通知的详细信息,请参阅配置 Secure Mail 以推送通知

公共应用商店常见问题解答

1. 我可以为不同的用户组部署多个公共应用商店应用程序的副本吗?例如,我可能希望为不同的用户组部署不同的策略。

必须为每个用户组上载不同的 .mdx 文件。但是,在这种情况下,单个用户不能属于多个组。如果用户不属于多个组,则会向该用户分配同一应用程序的多个副本。公共应用商店应用程序的多个副本不能部署到相同设备,因为应用程序 ID 不能更改。

2. 是否可以将公共应用商店应用程序作为必备应用程序推送?

是。向设备推送应用程序需要 MDM;对于仅 MAM 的部署不支持。

3. 是否需要更新基于用户代理的任何流量策略或 Exchange Server 规则?

任何基于用户代理的策略和规则的字符串(按平台)都如下所示。

Android

App Server User-agent string

Citrix Secure Mail

Exchange

WorxMail

Lotus Notes Traveler

Apple - iPhone WorxMail

Citrix Secure Web

-

WorxMail

Citrix Secure Tasks

Exchange

WorxMail

Citrix Secure Notes

Exchange

WorxMail

ShareFile

Secure Notes

iOS

App Server User-agent string

Citrix Secure Mail

Exchange

WorxMail

Lotus Notes Traveler

Apple - iPhone WorxMail

Citrix Secure Web

-

com.citrix.browser

Citrix Secure Tasks

Exchange

WorxTasks

Citrix Secure Notes

Exchange

WorxNotes

ShareFile

Secure Notes

4. 是否可以阻止应用程序升级?

否。公共应用商店中发布更新时,启用了自动更新的任何用户都将接收该更新。

5. 是否可以强制执行应用程序升级?

是,可以通过升级宽限期策略强制执行升级。与更新版本的应用程序对应的新 .mdx 文件上载到 XenMobile Server 时,设置此策略。

6. 如果无法控制更新时间段,如何在更新到达用户之前测试应用程序?

与 Secure Hub 的过程类似,在 EAR 期间,可以在 Test Flight for iOS 上测试应用程序。对于 Android,将在 EAR 期间通过 Google Play 测试版程序提供应用程序。可以在此期间测试应用程序更新。

7. 如果我没有在自动更新到达用户设备之前更新新 .mdx 文件,会发生什么?

更新后的应用程序继续使用旧 .mdx 文件。依赖于新策略的任何新功能不会被启用。

8. 如果安装了 Secure Hub,应用程序是否将转为托管应用程序,或者是否需要注册该应用程序?

必须在 Secure Hub 中注册用户,公共应用商店应用程序才能激活为托管应用程序(由 MDX 保护)并且可以使用。如果 Secure Hub 已安装但未注册,用户将无法使用公共应用商店应用程序。

9. 对于公共商店应用程序,是否需要 Apple 企业开发人员帐户?

否。由于 Citrix 现在维护 XenMobile Apps 的证书和置备配置文件,因此,不需要 Apple 企业开发人员帐户即可为用户部署这些应用程序。

10. 企业分发的结束是否适用于部署的任何打包应用程序?

否,它仅适用于 XenMobile 生产率应用程序:Secure Mail、Secure Web、Secure Notes、Secure Tasks、ShareFile for XenMobile、ScanDirect for XenMobile、QuickEdit for XenMobile 和 ShareConnect for XenMobile。已部署的任何其他企业打包应用程序(内部开发或由第三方开发)可以继续使用企业打包功能。MDX Toolkit 将继续面向应用程序开发人员支持企业打包功能。

11. 当我安装来自 Google Play 的应用程序时,收到错误代码为 505 的 Android 错误。

这是 Google Play 和 Android 5.x 版本的已知问题。如果发生此错误,可以按照以下步骤来清理设备上阻止应用程序安装的过期数据:

1. 请重新启动设备。

2. 通过设备设置清除 Google Play 的缓存和数据。

3. 最后,在您的设备上删除并重新添加 Google 帐户。

有关详细信息,请参阅此博客

12. 尽管 Google Play 上的应用程序已发布到生产环境,并且没有新的测试版本,为什么我在 Google Play 上的应用程序标题后面仍然看到 Beta 字样?

如果您已加入我们的早期访问版本 (Early Access Release) 计划,您始终会在应用程序标题旁边看到 Beta 字样。此名称只是通知用户其对某个特定应用程序的访问级别。Beta 名称指示用户收到最新版本的可用应用程序。最新版本可能是发布到生产跟踪或测试版跟踪的最新版本。

13. 安装并打开应用程序后,尽管 .mdx 文件已在 XenMobile Server 上,用户仍会看到消息“未授权的应用程序”。

如果用户直接从 App Store 或 Google Play 安装应用程序,并且 Secure Hub 未刷新,则会出现此问题。不活动计时器过期时需要刷新 Secure Hub。用户打开 Secure Hub 并重新进行身份验证时,策略将刷新。应用程序将在下次用户打开该应用程序时获得授权。

14. 是否需要访问代码才能使用应用程序?从 App Store 或 Play 应用商店安装应用程序时,看到提示输入访问代码的屏幕。

如果看到要求输入访问代码的屏幕,表示您未通过 Secure Hub 在 XenMobile 中注册。使用 Secure Hub 注册,并确保应用程序的 .mdx 文件部署在服务器上。此外,请确保可以使用该应用程序。访问代码限制为仅供 Citrix 内部使用。应用程序要求激活 XenMobile 部署。

15. 是否可以通过 VPP 或 DEP 部署 iOS 公共应用商店应用程序?

XenMobile Server 已针对未启用 MDX 的公共应用商店应用程序的 VPP 分发优化。尽管您能够通过 VPP 分发 XenMobile 公共应用商店应用程序,但在我们进一步增强 XenMobile Server 和 Secure Hub 应用商店的功能以解决限制问题之前,该部署并非最优部署。有关通过 VPP 部署 XenMobile 公共应用商店应用程序的已知问题列表和可能的解决方法,请参阅 Citrix 知识中心中的这篇文章。

适用于 XenMobile Apps 的 MDX 策略

通过 MDX 策略,您可以配置 XenMobile Store 强制执行的设置。MDX 策略包括身份验证、设备安全、网络要求和访问、加密、应用程序交互、应用程序限制等。许多 MDX 策略都适用于所有 XenMobile Apps;某些策略是应用程序特定的策略。

策略文件将以 .mdx 文件格式向 XenMobile Apps 的公共应用商店版本提供。也可以在添加应用程序时,在 XenMobile 控制台中配置策略。

以下各部分内容介绍了与用户连接有关的 MDX 策略。有关 XenMobile Apps 特定的策略的详细信息,请参阅每个应用程序的文章。有关策略及其描述信息的完整列表,请参阅 MDX 策略概览及其子文章。

连接到内部网络的用户连接

通过通道连接到内部网络的连接可以使用完整 VPN 通道或无客户端 VPN 的变体(称为“安全浏览”)。“Preferred VPN mode”(首选 VPN 模式)策略控制该行为。默认情况下,连接使用安全浏览;建议需要进行 SSO 的连接使用该模式。建议使用客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道设置;该设置通过 TCP 处理任何协议,并且可以与 Windows 和 Mac 计算机以及 iOS 和 Android 设备结合使用。

如果使用 NetScaler 进行代理身份验证,Secure Web for iOS 和 Secure Web for Android 支持对完整 VPN 通道部署使用代理自动配置 (PAC) 文件。有关详细信息,请参阅配置用户连接

“允许 VPN 模式切换”策略允许用户根据需要在完整 VPN 通道与安全浏览模式之间自动切换。默认情况下,此策略设置为“关”。如果此策略设置为“开”,则将在备选模式下尝试重新处理由于无法在首选 VPN 模式下处理身份验证请求而失败的网络请求。例如,服务器对客户端证书的质询可以被完整 VPN 通道模式接受,但不被安全浏览模式接受。同样,使用安全浏览模式时,通过 SSO 向 HTTP 身份验证质询提供服务的可能性更大。

网络访问限制

“Network access”(网络访问)策略指定是否对网络访问设置限制。默认情况下,Secure Mail 和 Secure Notes 访问不受限制,这表示不对网络访问权限设置任何限制;应用程序将对设备连接到的网络具有不受限制的访问权限。默认情况下,Secure Web 访问通过通道连接到内部网络,这表示将对所有网络访问使用返回到内部网络的“为应用程序单独设置 VPN”通道,并且使用 NetScaler 拆分通道设置。您还可以指定阻止的访问,以便应用程序运行时好像设备未建立网络连接。

如果要允许使用 AirPrint、iCloud 以及 Facebook 和 Twitter API 等功能,请勿阻止“Network access”(网络访问)策略。

“Network access”(网络访问)策略还与“Background network services”(后台网络服务)策略交互。有关详细信息,请参阅集成 Exchange Server 或 IBM Notes Traveler 服务器

XenMobile 客户端属性

客户端属性包含用户设备上直接提供给 Secure Hub 的信息。客户端属性位于 XenMobile 控制台的设置 > 客户端 > 客户端属性中。

客户端属性用于配置诸如以下各项设置:

用户密码缓存

通过用户密码缓存,用户的 Active Directory 密码将本地缓存在移动设备上。如果您启用了用户密码缓存,系统将提示用户设置 Citrix PIN 或通行码。

不活动计时器

不活动计时器定义用户可以让其设备处于不活动状态而不会在用户访问应用程序时提示输入 Citrix PIN 或通行码的时间(单位为分钟)。要为 MDX 应用程序启用此设置,必须将“App passcode”(应用程序通行码)策略设置为 On(启用)。如果“应用程序通行码”策略设置为,用户将被重定向到 Secure Hub 以执行完整身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。

Citrix PIN 身份验证

Citrix PIN 简化了用户身份验证体验。PIN 用于确保客户端证书的安全或在设备本地保存 Active Directory 凭据。如果您配置了 PIN 设置,用户的登录体验将如下所示:

1. 用户首次启动 Secure Hub 时,将收到输入 PIN 的提示,这样将缓存 Active Directory 凭据。

2. 用户后续启动 XenMobile Apps 时,将输入 PIN 并登录。

使用客户端属性启用 PIN 身份验证、指定 PIN 类型、指定 PIN 的强度、长度以及更改要求。

指纹身份验证

当打包的应用程序(除 Secure Hub 外)需要使用脱机身份验证时(例如不活动计时器过期时),可使用指纹身份验证替代 Citrix PIN。可以在下列身份验证方案中启用此功能:

Citrix PIN + 客户端证书配置
Citrix PIN + 缓存的 AD 密码配置
Citrix PIN + 客户端证书配置和缓存的 AD 密码配置
Citrix PIN 已关闭

如果指纹身份验证失败,或者用户取消指纹身份验证提示,则打包的应用程序将恢复使用 Citrix PIN 或 AD 密码身份验证。

指纹身份验证要求:

- 支持指纹身份验证并且至少配置了一个指纹的 iOS 设备(最低版本为 8.1)。

- 用户熵功能必须关闭。

配置指纹身份验证

提示:如果用户熵已启用,则忽略“启用 Touch ID 身份验证”属性。用户熵通过“Encrypt secrets using Passcode”(使用通行码加密机密)密钥启用。

1. 在 XenMobile 控制台中,转到设置 > 客户端 > 客户端属性

2. 单击添加

localized image

3. 添加键 ENABLE_TOUCH_ID_AUTH,将其设置为 True,将策略名称设置为启用指纹身份验证