Product Documentation

注册设备

May 11, 2017

为了安全地远程管理用户设备,将在 XenMobile 中注册这些设备。将 XenMobile 客户端软件安装在用户设备上并验证用户的身份。然后,安装 XenMobile 和用户配置文件。之后,您可以在 XenMobile 控制台中执行设备管理任务。可以应用策略、部署应用程序、将数据推送到设备以及锁定、擦除和定位丢失或被盗的设备。

借助 XenMobile Service 10.5.1,iOS、Android 和 Windows 10 设备支持 Azure Active Directory 注册。有关将 Azure 配置为身份提供程序 (IDP) 的详细信息,请参阅 XenMobile Service 新增功能一文中的“XenMobile 与作为 IDP 的 Azure Active Directory 的集成”。

注意:必须先申请 APNs 证书才能注册 iOS 设备用户。有关详细信息,请参阅证书

要针对用户和设备更新配置选项,请使用管理 > 注册邀请页面。有关详细信息,请参阅本文中的发送注册邀请

Android 设备

  1. 在 Android 设备上转到 Google Play 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
  2. 提示安装应用程序时,单击下一步,然后单击安装
  3. Secure Hub 安装完毕后,轻按打开
  4. 输入企业凭据,如组织的 XenMobile 服务器名称、用户主体名称 (UPN) 或电子邮件地址,然后单击下一步
  5. Activate device administrator(激活设备管理员)屏幕上,轻按激活
  6. 输入贵公司密码,然后轻按登录
  7. 系统可能要求您创建 Citrix PIN(这取决于 XenMobile 的配置方式),可使用它来登录 Secure Hub 和其他支持 XenMobile 的应用程序,如 Secure Mail、Secure Web、ShareFile,等。需要输入 Citrix PIN 两次。在创建 Citrix PIN 屏幕上,输入一个 PIN。
  8. 重新输入 PIN。此时会打开 Secure Hub。这时即可访问 XenMobile Store 来查看您可以安装在 Android 设备上的应用程序。
  9. 如果您在注册后将 XenMobile 配置为向用户的设备自动推送应用程序,将显示提示他们安装应用程序的消息。此外,您在 XenMobile 中配置的策略将部署到设备。轻按安装,安装应用程序。

取消注册和重新注册 Android 设备

用户可以从 Secure Hub 内部取消注册。用户通过以下过程取消注册时,设备将仍然在 XenMobile 控制台的设备清单中显示。但您无法在设备上执行操作。无法跟踪设备,也无法监视设备合规性。

1. 轻按以打开 Secure Hub 应用程序。

2. 执行以下操作,具体取决于您拥有的是手机还是平板电脑:

在手机上:

a. 从屏幕左侧轻扫以打开设置窗格。

b. 依次轻按首选项帐户删除帐户

在平板电脑上:

a. 轻按右上角的电子邮件地址旁边的箭头。

b. 依次轻按首选项帐户删除帐户

3. 轻按重新注册。将显示一条消息,提示您确认是否要重新注册自己的设备。

4. 轻按确定

您的设备将取消注册。

5. 请按照屏幕上的说明重新注册设备。

iOS 设备

1. 从设备上的 Apple iTunes App Store 下载 Secure Hub 应用程序,然后在设备上安装该应用程序。

2. 在 iOS 设备主屏幕上,轻按 Secure Hub 应用程序。

3. Secure Hub 应用程序打开时,输入技术支持人员提供的服务器地址。

(显示的屏幕可能因示例而异,具体取决于 XenMobile 的配置方式。)

localized image

4. 系统提示时,输入您的用户名和密码或 PIN。单击下一步

localized image

5. 系统提示注册时,单击是,注册,然后在收到提示时输入您的凭据。

localized image
localized image

6. 轻按安装,安装 Citrix Profile Service。

localized image

7. 轻按信任

localized image

8. 轻按打开,然后输入您的凭据。

localized image
localized image

Mac OS X

可以在 XenMobile 中注册运行 OS X 的 Mac。Mac 用户直接从其设备无线注册。

注册 Mac 的步骤包括:

1. (可选)在 XenMobile 控制台中注册 Mac 设备策略。有关设备策略的详细信息,请参阅设备策略。要了解可以为 Mac 配置的设备策略,请参阅 XenMobile 设备策略(按平台)

2. 发送注册链接 https://serverFQDN:8443/zdm/macos/otae,用户可以在 Safari 中打开该链接。其中

  • serverFQDN 是运行 XenMobile 的服务器的完全限定域名 (FQDN)。
  • 端口 8443 是默认安全端口;如果已配置其他端口,请使用该端口替换 8443。
  • zdm 是服务器安装期间使用的实例名称。

有关发送安装链接的详细信息,请参阅发送安装链接

3. 用户根据需要安装证书。用户是否会收到安装证书的提示取决于您是否为 iOS 和 Mac OS 配置了公众信任的 SSL 证书和公众信任的数字签名证书。有关证书的详细信息,请参阅证书

4. 用户登录其 Mac 设备。

5. 安装 Mac 设备策略。

现在即可以像管理移动设备一样使用 XenMobile 管理 Mac。

Windows 设备

运行 Windows 10 的设备向 Azure 注册是一种联合 Active Directory 身份验证方法。可以采用下列方法之一将 Windows 10 设备连接到 Microsoft Azure AD:

  • 首次打开设备电源时在 Azure AD 联接启用过程中在 MDM 中注册。
  • 配置设备后,从“Windows 设置”页面执行 Azure AD 联接过程中在 MDM 中注册。

可以在 XenMobile 中注册运行以下 Windows 操作系统的设备:

  • Windows 10 Phone 和 Tablet
  • Windows Phone 8.1

用户可以直接通过其设备注册。

必须为用户注册配置自动发现和 Windows 发现服务,才能启用对受支持的 Windows 设备的管理。

必须先在 XenMobile 中配置 Microsoft Azure 服务器,Windows 设备用户才能使用 Azure 进行注册。有关详细信息,请参阅 Microsoft Azure Active Directory 服务器设置

注意

SSL 侦听器证书必须是公用证书,才能注册 Windows 设备。如果上载了自签名 SSL 证书,注册将失败。

在配置自动发现的情况下注册 Windows 设备

要启用对 Windows 设备的管理,Citrix 建议您配置自动发现和 Windows 发现服务。有关详细信息,请参阅在 XenMobile 中启用自动发现以执行用户注册

1. 在设备上,找到并安装所有可用的 Windows 更新。

2. 对于 Windows 10:在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校。对于 Windows 8.1 Phone:轻按 PC 设置 > 网络 > 工作区

3. 输入您的公司电子邮件地址,然后轻按继续(在 Windows 10 上)或打开设备管理(在 Windows 8.1 上)。要注册为本地用户,输入带有正确域名的不存在的电子邮件地址(例如,foo@mydomain.com)。这将允许您跳过已知 Microsoft 限制,即注册由 Windows 上的内置设备管理执行;在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。设备即会自动发现 XenMobile 服务器并开始注册过程。
4. 输入您的密码。使用与某帐户相关的密码,该帐户应该是 XenMobile 中用户组的一部分。
5. 对于 Windows 10:在使用条款对话框中,指明您同意托管自己的设备,然后轻按接受。对于 Windows 8.1:在允许 IT 管理员提供的应用和服务对话框中,指明您同意托管自己的设备,然后轻按打开

在未配置自动发现的情况下注册 Windows 设备

可以在不配置自动发现的情况下注册 Windows 设备。但是,Citrix 建议您配置自动发现。由于在不配置自动发现的情况下进行注册会导致在连接到所需的 URL 前调用端口 80,因此,这不是用于生产部署的最佳做法。Citrix 建议您仅在测试环境和概念验证部署中使用此过程。

1. 在设备上,找到并安装所有可用的 Windows 更新。

2. 对于 Windows 10:在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校。对于 Windows 8.1:轻按 PC 设置 > 网络 > 工作区

3. 输入企业电子邮件地址。

4. 对于 Windows 10:如果未配置自动发现,则将显示一个选项,您可以在此处输入服务器详细信息,如步骤 5 中所述。对于 Windows 8.1:如果自动检测服务器地址设置为,请轻按以关闭此选项。

5. 对于 Windows 10:在输入服务器地址字段中,键入地址:
https://beta.managedm.com:8443/zdm/wpe。
如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。

对于 Windows 8.1:采用以下格式键入服务器地址:
https://serverfqdn: 8443/serverInstance/Discovery.svc。
如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。

6. 键入密码。

7. 对于 Windows 10:在使用条款对话框中,指明您同意托管自己的设备,然后轻按接受。对于 Windows 8.1:在允许 IT 管理员提供的应用和服务对话框中,指明您同意托管自己的设备,然后轻按打开

注册 Windows Phone 设备

要在 XenMobile 中注册 Windows Phone 设备,用户需要使用其 Active Directory 或内部网络电子邮件地址和密码。如果未设置自动发现,用户还需要 XenMobile 服务器的服务器 Web 地址。然后,他们需要按照此过程在设备上完成注册。

注意:如果您计划通过 Windows Phone 企业应用商店部署应用程序,则在用户注册前,请确保您已配置企业中心策略(具有签名的 Secure Hub、适用于您支持的每个平台的 Windows Phone 应用程序)。

1. 在 Windows Phone 的主屏幕上,轻按设置图标。

  • 对于 Windows 10:轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校,或轻按帐户 > 工作单位访问权限 > 注册设备管理,具体取决于您使用的版本。
  • 对于 Windows 8.1:轻按 PC 设置 > 网络 > 工作区,然后轻按添加帐户

2. 在下一屏幕上,输入电子邮件地址和密码,然后轻按登录

如果为域配置了自动发现,随后几个步骤中所需的信息将会自动填充。继续执行步骤 8。

如果没有为域配置自动发现,请继续执行下一步。要注册为本地用户,输入带有正确域名的不存在的电子邮件地址(例如,foo@mydomain.com)。这样允许您绕过已知的 Microsoft 限制;在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。

3. 在下一屏幕上,输入 XenMobile 服务器的 Web 地址,例如 https://:<端口号>/<实例名称>/wpe。例如,https://mycompany.mdm.com:8443/zdm/wpe。注意:端口号必须适应您的实现,但应该与您进行 iOS 注册时使用的端口相同。

4. 如果通过用户名和域进行身份验证,请输入用户名和域,然后轻按登录

5. 如果出现提示证书有问题的屏幕,该错误是由于使用自签名证书造成的。如果服务器可信,轻按继续。否则,轻按取消

6. 在 Windows Phone 8.1 上,添加帐户时,可以选择 Install company app(安装企业应用程序)。如果管理员已配置企业应用商店,请选中此选项,然后轻按完成。如果取消选中此选项,您需要重新注册设备才能接收 Company App Store。

7. 在 Windows Phone 8.1 上,在已添加帐户屏幕上,轻按完成

8. 要强制连接到某一服务器,请轻按“刷新”图标。如果设备没有手动连接到服务器,XenMobile 会尝试重新连接。XenMobile 会每 3 分钟连续 5 次连接设备,然后间隔改为 2 小时。您可以在服务器属性中的 Windows WNS 检测信号间隔中修改此连接率。注册完成后,Secure Hub 将在后台注册。安装完成时不会提示。从所有应用程序屏幕轻按 Secure Hub。

发送注册邀请

在 XenMobile 控制台中,可以向 iOS 或 Android 设备的用户发送注册邀请。还可以向 iOS、Android、Windows 或 Mac 设备的用户发送安装链接。

1. 在 XenMobile 控制台中,单击管理 > 注册邀请。此时将显示注册邀请页面。

localized image

2. 单击添加。将显示一个菜单,其中列出了注册选项。

localized image
  • 要向用户或组发送注册邀请,请单击添加邀请,然后,请参阅“发送邀请”了解配置此设置的步骤。
  • 要通过 SMTP 或 SMS 向一系列收件人发送注册安装链接,请单击发送安装链接,然后,请参阅“发送安装链接”了解配置此设置的步骤。

发送邀请

1. 单击添加邀请。此时将显示注册邀请屏幕。

localized image

2. 配置以下设置:

  • 选择平台:在列表中,单击 iOSAndroid
  • 设备所有权:在列表中,单击公司员工
  • 收件人:在列表中,单击用户

根据您选择的收件人,您将看到要配置的更多设置。对于用户设置,请参阅“向用户发送注册邀请”;对于设置,请参阅“向组发送注册邀请”。

向用户发送注册邀请

localized image

1. 配置以下用户设置:

  • 用户名:键入用户名。用户必须作为本地用户或 Active Directory 中的用户存在于 XenMobile 服务器中。如果用户是本地用户,确保设置用户的电子邮件属性以便发送用户通知。如果用户是 Active Directory 中的用户,请确保配置 LDAP。
  • 设备信息:在列表中,单击序列号UDIDIMEI。选择某个选项后,将显示一个字段,您可以在此处键入设备的相应值。
  • 电话号码:可选,键入用户的电话号码。
  • 运营商:在列表中,单击用户电话号码关联的运营商。
  • 注册模式:在列表中,单击希望用户采用的注册模式。默认值为用户名 + 密码。可能的选项包括:
    • 高安全性
    • 邀请 URL
    • 邀请 URL + PIN
    • 邀请 URL + 密码
    • 双重身份验证
    • 用户名 + PIN

注意:选择包含 PIN 的注册模式时,会显示注册 PIN 模板字段,您可以在此处单击注册 PIN

  • 代理下载模板:在列表中,单击用于注册邀请的模板。此选项的选择项基于平台类型。例如,如果选择 iOS 平台,将显示 iOS Download Link(iOS 下载链接)选项。
  • 注册 URL 模板:在列表中,单击注册邀请
  • 注册确认模板:在列表中,单击注册确认
  • 此时间后过期:此字段在配置注册模式时设置,用于指出注册的过期时间。有关配置注册模式的详细信息,请参阅配置注册模式
  • 最大尝试次数:此字段在配置注册模式时设置,用于指出注册过程发生的最大次数。有关配置注册模式的详细信息,请参阅配置注册模式
  • 发送邀请:选择以立即发送邀请,或单击仅将邀请添加到注册邀请页面上的表格中。

2. 如果已启用发送邀请,请单击保存并发送;否则,请单击保存。邀请将显示在注册邀请页面上的表格中。

localized image

向组发送注册邀请

localized image

1. 配置以下设置:

  • :在列表中,单击要从中选择组的域。
  • :在列表中,单击要接受邀请的组。
  • 注册模式:在列表中,单击希望组中的用户采用的注册方法。默认值为用户名 + 密码。可能的选项包括:
    • 高安全性
    • 邀请 URL
    • 邀请 URL + PIN
    • 邀请 URL + 密码
    • 双重身份验证
    • 用户名 + PIN

注意:选择包含 PIN 的注册模式时,会显示注册 PIN 模板字段,您可以在此处单击注册 PIN

  • 代理下载模板:在列表中,单击用于注册邀请的模板。对此选项的选择基于平台类型。例如,如果选择 iOS 平台,将显示 iOS Download Link(iOS 下载链接)选项。
  • 注册 URL 模板:在列表中,单击注册邀请
  • 注册确认模板:在列表中,单击注册确认
  • 此时间后过期:此字段在配置注册模式时设置,用于指出注册的过期时间。有关配置注册模式的详细信息,请参阅配置注册模式
  • 最大尝试次数:此字段在配置注册模式时设置,用于指出注册过程发生的最大次数。有关配置注册模式的详细信息,请参阅配置注册模式
  • 发送邀请:选择以立即发送邀请,或单击仅将邀请添加到注册邀请页面上的表格中。

2. 如果已启用发送邀请,请单击保存并发送;否则,请单击保存。邀请将显示在注册邀请页面上的表格中。

localized image

发送安装链接

localized image

您必须通过设置页面在通知服务器上配置通道(SMTP 或 SMS),才能发送注册安装链接。有关详细信息,请参阅通知

1. 配置以下设置:

  • 收件人:对于您要添加的每个收件人,请单击“添加”并执行以下操作:
    • 电子邮件:键入收件人的电子邮件地址。此字段为必填字段。
    • 电话号码:键入收件人的电话号码。此字段为必填字段。
    • 单击保存

注意:要删除现有收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾箱图标。此时将显示确认对话框。单击删除以删除列表,或单击取消以保留列表。

要编辑现有收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的铅笔图标。对列表进行任何更改,然后单击保存以保存更改后的列表,或单击取消以保持列表不变。

  • 通道:选择用于发送注册安装链接的通道。可以通过 SMTPSMS 发送通知。在通知服务器设置页面上配置服务器设置后,才能激活这些通道。有关详细信息,请参阅通知
    • SMTP:配置以下可选设置。如果不在这些字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
      • 发件人。键入可选发件人。
      • 主题:键入消息的可选主题。例如,“注册您的设备”。
      • 消息:键入要发送给收件人的可选消息。例如,“注册您的设备以获取组织应用程序和电子邮件的访问权限。”
    • SMS:配置以下设置。如果不在此字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
      • 消息:键入要发送给收件人的消息。对于基于 SMS 的通知,此为必填字段。

注意:在北美,超过 160 个字符的 SMS 消息将通过多条消息发送。

2. 单击发送

注意

如果您的环境使用 SAMAccountName,则当用户收到邀请并单击链接后,必须编辑用户名才能完成身份验证。例如,用户需要从 SAMAccountName@domainname.com 中删除 domainname。