Product Documentation

共享设备

Jan 03, 2017

XenMobile 允许配置可由多个用户共享的设备。 例如,利用共享设备功能,医院的临床医生可以使用附近的任何设备访问应用程序和数据,而无需随身携带特定设备。 您可能还希望执法、零售和制造等领域的工作者转向使用共享设备,以降低装备成本。 

关于共享设备的要点

MDM mode

  • Available on both iOS and Android tablets and phones. Basic device enrollment program (DEP) enrollment is not supported for a XenMobile Enterprise shared device. You must use an authorized DEP to enroll a shared device in this mode.
  • Client certificate authentication, Citrix PIN, Touch ID, User Entropy, and two-factor authentication are not supported.

MDM+MAM mode

  • Available only on iOS and Android tablets.
  • Supported on XenMobile 10.3.x and later.
  • Only Active Directory username and password authentication is supported.
  • Client certificate authentication, Worx PIN, Touch ID, User Entropy, and two-factor authentication are not supported.
  • MAM-only mode is not supported. The devices must enroll in MDM.
  • Only Secure Mail, Secure Web, and the ShareFile mobile app are supported. HDX apps are not supported.
  • Active Directory users are the only supported users; local users and groups are not supported
  • Re-enrollment is required for existing MDM-only shared devices to update to MDM+MAM mode.
  • Users can share XenMobile apps and MDX-wrapped apps only; they cannot share native apps on the devices.
  • Once downloaded during first-time enrollment, XenMobile Apps are not downloaded again each time a new user signs on to the device. The new user can pick up the device, sign on, and get going.
  • On Android, to isolate each user's data for security purposes, the Disallow rooted devices policy in the XenMobile console should be On.

注册共享设备的必备条件

您必须先执行以下操作,才能注册共享设备:

使用 MDM+MAM 模式的必备条件

  1. 创建一个名称类似于 Shared Device Enrollers 的 Active Directory 组。
  2. 将要注册共享设备的 Active Directory 用户添加到此组。 如果要使用一个专用于注册共享设备的新帐户,请创建新的 Active Directory 用户(例如 sdenroll),并将该用户添加到 Active Directory 组。

共享设备要求

为提供最佳用户体验,包括无提示安装和应用程序删除,Citrix 建议在下列平台上配置共享设备:

  • iOS 9 和 10
  • Android M
  • Android 5.x
  • Android 4.4.x
  • Android 4.0.x(仅 MDM 模式)

配置共享设备

按照以下步骤配置共享设备。

  1. 从 XenMobile 控制台,单击右上角的齿轮图标。 此时将显示设置页面。
  2. 单击基于角色的访问控制,然后单击添加。 此时会显示添加角色屏幕。
  3. 创建一个名为共享设备注册用户的共享设备注册用户角色,并在授权访问下设置共享设备注册人员权限。 请务必展开控制台功能中的设备,然后选择选择性擦除设备。 此设置可确保在取消设备注册后,使用共享设备注册人员帐户置备的应用程序和策略通过 Secure Hub 被删除。

    请保留应用权限的默认设置至所有用户组,或者使用至特定用户组向特定 Active Directory 用户组分配权限。
localized image

单击下一步转至分配屏幕。 将刚创建的共享设备注册角色分配给在步骤 1 中的“必备项”下为共享设备注册用户创建的 Active Directory 组。 在下图中,citrix.lab 是 Active Directory 域,而共享设备注册人员是 Active Directory 组。

localized image

4. 创建一个交付组以包含要在用户未登录时应用于设备的基本策略、应用程序和操作,然后将该交付组与共享设备注册用户 Active Directory 组相关联。

localized image

5. 在共享设备上安装 Secure Hub,然后使用共享设备注册用户帐户将其注册到 XenMobile 中。 现在即可通过 XenMobile 控制台查看并管理设备。 有关详细信息,请参阅注册设备

6. 要为已验证身份的用户应用不同的策略或提供额外的应用程序,必须创建与这些用户关联的交付组,并将该交付组仅部署到共享设备。 在创建交付组时,请配置相应的部署规则,以确保将软件包部署到共享设备。 有关详细信息,请参阅配置部署规则。 

7. 要停止共享设备,请执行选择性擦除,从设备中删除共享设备注册用户帐户以及部署到该设备的所有应用程序和策略。

共享设备用户体验

MDM 模式

用户只会看到他们可用的资源,而且在每个共享设备上都能获得同样的使用体验。 共享设备注册策略和应用程序会始终保留在设备上。 当未在共享设备中注册的用户登录到 Secure Hub 时,该用户的策略和应用程序将部署到设备中。 在用户注销时,与共享设备注册不同的策略和应用程序会被删除,而共享设备注册资源则保持不变。

MDM+MAM 模式

Secure Mail 和 Secure Web 将在由共享设备注册用户注册后部署到设备中。 用户数据会安全地保留在设备上。 当其他用户登录到 Secure Mail 或 Secure Web 时,系统不会将这些数据公开给这些用户。

一次只能有一个用户登录到 Secure Hub。 上一个用户必须注销,下一个用户才能登录。 出于安全原因,Secure Hub 不在共享设备上存储用户凭据,因此用户必须在每次登录时输入其凭据。 为确保新用户不能访问为前面的用户提供的资源,Secure Hub 在删除与以前用户相关的策略、应用程序和数据时不允许新用户登录。

共享设备注册不会更改应用程序升级过程。 您可以照常将升级推送给共享设备的用户,而共享设备的用户可以直接在其设备上升级应用程序。

建议的 Secure Mail 策略

  • For the best Secure Mail performance, set Max sync period based on the number of users that will share the device. Allowing unlimited sync is not recommended.

Number of users sharing device

Recommended max sync period

21 to 25

1 week or less

6 to 20

2 weeks or less

5 or fewer

1 month or less

 

  • Block Enable contact export to avoid exposing a user's contacts to other users who share the device.

  • On iOS, only the following settings can be set per user.  All other settings will be common across users who share the device:

    Notifications
    Signature
    Out of Office
    Sync Mail Period
    S/MIME
    Check Spelling