Product Documentation

共享设备

Feb 27, 2017

XenMobile 允许您配置可由多个用户共享的设备。例如,利用共享设备功能,医院的临床医生可以使用附近的任何设备访问应用程序和数据,而无需随身携带特定设备。您可能还希望执法、零售和制造等领域的工作者转向使用共享设备,以降低装备成本。

关于共享设备的要点

MDM 模式

  • 可在 iOS 和 Android 平板电脑和手机上使用。XenMobile Enterprise 共享设备不支持基本 Device Enrollment Program (DEP) 注册。必须使用经过授权的 DEP 在此模式下注册共享设备。
  • 不支持客户端证书身份验证、Citrix PIN、Touch ID、用户熵和双重身份验证。

MDM+MAM 模式

  • 只能在 iOS 和 Android 平板电脑上使用。
  • 在 XenMobile 10.3.x 及更高版本上支持。
  • 仅支持 Active Directory 用户名和密码身份验证。
  • 不支持客户端证书身份验证、Worx PIN、Touch ID、用户熵和双重身份验证。
  • 不支持仅 MAM 模式。设备必须在 MDM 下注册。
  • 仅支持 Secure Mail、Secure Web 和 ShareFile 移动应用程序。不支持 HDX 应用程序。
  • 仅支持 Active Directory 用户;不支持本地用户和组
  • 现有仅 MDM 共享设备要更新到 MDM+MAM 模式需要重新注册。
  • 用户只能共享 XenMobile 应用程序以及 MDX 打包应用程序;他们无法共享设备上的本机应用程序。
  • 在首次注册期间下载好 XenMobile 应用程序后,不必在新用户每次登录设备时重新下载。新用户拿到设备后,只需登录即可使用。
  • 在 Android 设备上,为了出于安全考虑隔离每个用户的数据,应在 XenMobile 控制台中将 Disallow rooted devices(不允许已获得 root 权限的设备)策略设置为

注册共享设备的必备条件

您必须先执行以下操作,才能注册共享设备:

使用 MDM+MAM 模式的必备条件

  1. 创建一个名称类似于 Shared Device Enrollers 的 Active Directory 组。
  2. 将要注册共享设备的 Active Directory 用户添加到此组。如果要使用一个专用于注册共享设备的新帐户,请创建新的 Active Directory 用户(例如 sdenroll),并将该用户添加到 Active Directory 组。

共享设备要求

为提供最佳用户体验,包括无提示安装和应用程序删除,Citrix 建议在下列平台上配置共享设备:

  • iOS 9 和 10
  • Android M
  • Android 5.x
  • Android 4.4.x
  • Android 4.0.x(仅 MDM 模式)

配置共享设备

按照以下步骤配置共享设备。

  1. 从 XenMobile 控制台,单击右上角的齿轮图标。此时将显示设置页面。
  2. 单击基于角色的访问控制,然后单击添加。此时会显示添加角色屏幕。
  3. 创建一个名为共享设备注册用户的共享设备注册用户角色,并在授权访问下设置共享设备注册人员权限。请务必展开控制台功能中的设备,然后选择选择性擦除设备。此设置可确保在取消设备注册后,使用共享设备注册人员帐户置备的应用程序和策略通过 Secure Hub 被删除。

    请保留应用权限的默认设置至所有用户组,或者使用至特定用户组向特定 Active Directory 用户组分配权限。
localized image

单击下一步转至分配屏幕。将刚创建的共享设备注册角色分配给在步骤 1 中的“必备项”下为共享设备注册用户创建的 Active Directory 组。在下图中,citrix.lab 是 Active Directory 域,而共享设备注册人员是 Active Directory 组。

localized image

4. 创建一个交付组以包含要在用户未登录时应用于设备的基本策略、应用程序和操作,然后将该交付组与共享设备注册用户 Active Directory 组相关联。

localized image

5. 在共享设备上安装 Secure Hub,然后使用共享设备注册用户帐户将其注册到 XenMobile 中。现在即可通过 XenMobile 控制台查看并管理设备。有关详细信息,请参阅注册设备

6. 要为已验证身份的用户应用不同的策略或提供额外的应用程序,必须创建与这些用户关联的交付组,并将该交付组仅部署到共享设备。在创建交付组时,请配置相应的部署规则,以确保将软件包部署到共享设备。有关详细信息,请参阅配置部署规则

7. 要停止共享设备,请执行选择性擦除,从设备中删除共享设备注册用户帐户以及部署到该设备的所有应用程序和策略。

共享设备用户体验

MDM 模式

用户只会看到他们可用的资源,而且在每个共享设备上都能获得同样的使用体验。共享设备注册策略和应用程序会始终保留在设备上。当未在共享设备中注册的用户登录到 Secure Hub 时,该用户的策略和应用程序将部署到设备中。在用户注销时,与共享设备注册不同的策略和应用程序会被删除,而共享设备注册资源则保持不变。

MDM+MAM 模式

Secure Mail 和 Secure Web 将在由共享设备注册用户注册后部署到设备中。用户数据会安全地保留在设备上。当其他用户登录到 Secure Mail 或 Secure Web 时,系统不会将这些数据公开给这些用户。

一次只能有一个用户登录到 Secure Hub。上一个用户必须注销,下一个用户才能登录。出于安全原因,Secure Hub 不在共享设备上存储用户凭据,因此用户必须在每次登录时输入其凭据。为确保新用户不能访问为前面的用户提供的资源,Secure Hub 在删除与以前用户相关的策略、应用程序和数据时不允许新用户登录。

共享设备注册不会更改应用程序升级过程。您可以照常将升级推送给共享设备的用户,而共享设备的用户可以直接在其设备上升级应用程序。

建议的 Secure Mail 策略

  • 要确保 Secure Mail 获得最佳性能,请根据要共享设备的用户数设置 Max sync period(最长同步期限)。不建议允许无限同步。

共享设备的用户数量

建议的最长同步期限

21 到 25

1 周或更短

6 到 20

2 周或更短

5 或更少

1 个月或更短

  • 阻止启用联系人导出以避免向共享设备的其他用户显示用户的联系人。

  • 在 iOS 上,只能基于用户设置以下设置。所有其他设置在共享该设备的用户之间相同:

    通知
    签名
    外出
    同步邮件期限
    S/MIME
    检查拼写