注册设备
为了远程安全地管理用户设备,您需要在 XenMobile 中注册用户设备。XenMobile 客户端软件将安装在用户设备上,并且用户身份将通过身份验证。然后,将安装 XenMobile 和用户配置文件。接下来,在 XenMobile 控制台中,您可以执行设备管理任务。您可以应用策略、部署应用程序、将数据推送到设备,以及锁定、擦除和定位丢失或被盗的设备。
iOS、Android 以及 Windows 10 和 Windows 11 设备支持 Azure Active Directory 注册。有关将 Azure 配置为身份提供程序 (IdP) 的详细信息,请参阅将 XenMobile 与 Azure Active Directory 集成作为 IdP。
注意:
在注册 iOS 设备用户之前,您必须请求 APNs 证书。有关详细信息,请参阅证书和身份验证。
要更新用户和设备的配置选项,请转至“管理 > 注册邀请”页面。有关详细信息,请参阅本文中的发送注册邀请。
Android 设备
注意:
有关注册 Android Enterprise 设备的信息,请参阅 Android Enterprise。
- 在 Android 设备上转至 Google Play 商店,下载 Citrix Secure Hub™ 应用程序,然后轻按该应用程序。
- 当提示安装应用程序时,单击“下一步”,然后单击“安装”。
- Secure Hub 安装完成后,轻按“打开”。
- 输入您的公司凭据,例如您的 XenMobile Server 名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击“下一步”。
- 在“激活设备管理员”屏幕中,轻按“激活”。
- 输入您的公司密码,然后轻按“登录”。
- 根据 XenMobile 的配置方式,系统可能会要求您创建 Citrix PIN。您可以使用该 PIN 登录 Secure Hub 和其他已启用 XenMobile 的应用程序,例如 Secure Mail 和 Citrix Files。您需要输入两次 Citrix PIN。在“创建 Citrix PIN”屏幕中,输入一个 PIN。
- 重新输入 PIN。Secure Hub 将打开。然后,您可以访问 XenMobile Store 以查看可在 Android 设备上安装的应用程序。
- 如果您已将 XenMobile 配置为在注册后自动将应用程序推送到设备,系统将提示用户安装应用程序。此外,您在 XenMobile 中配置的策略将部署到设备。轻按“安装”以安装应用程序。
注销和重新注册 Android 设备
用户可以从 Secure Hub 中注销。当用户使用以下过程注销时,设备仍会显示在 XenMobile 控制台的设备清单中。但是,您无法对设备执行操作。您无法跟踪设备,也无法监视设备合规性。
-
轻按以打开 Secure Hub 应用程序。
-
根据您使用的是手机还是平板电脑,执行以下操作:
在手机上:
-
从屏幕左侧滑动以打开设置窗格。
-
轻按“首选项”,轻按“帐户”,然后轻按“删除帐户”。
在平板电脑上:
-
轻按右上角电子邮件地址旁边的箭头。
-
轻按“首选项”,轻按“帐户”,然后轻按“删除帐户”。
-
-
轻按“重新注册”。此时将显示一条消息,确认您要重新注册设备。
-
轻按“确定”。
您的设备已注销。
-
按照屏幕上的说明重新注册设备。
注册 iOS 设备
本节介绍用户如何将 iOS 设备(12.2 或更高版本)注册到 XenMobile Server。有关 iOS 注册的详细信息,请打开以下视频:
- 在 iOS 设备上转至 Apple Store,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
- 当提示安装应用程序时,轻按“下一步”,然后轻按“安装”。
- Secure Hub 安装完成后,轻按“打开”。
- 输入您的公司凭据,例如您的 XenMobile Server 名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击“下一步”。
-
轻按“是,注册”以注册您的 iOS 设备。
-
输入凭据后,当系统提示时,轻按“允许”以下载配置文件。
-
下载配置文件后,轻按“关闭”。
- 在设备设置中,安装 iOS 证书并将设备添加到受信任列表。
-
转至“设置 > 通用 > 配置文件 > XenMobile Profile Service”,然后轻按“安装”以添加配置文件。
-
在通知窗口中,轻按“信任”以将设备注册到远程管理。
-
- 登录 Secure Hub。如果您要注册 MDM+MAM:凭据验证后,系统将提示您创建并确认 Citrix PIN。
- 工作流完成后,设备即已注册。然后,您可以访问应用程序商店以查看可在 iOS 设备上安装的应用程序。
iOS 设备
-
从设备上的 Apple iTunes App Store 下载 Secure Hub 应用程序,然后将该应用程序安装到设备上。
-
在 iOS 设备主屏幕上,轻按 Secure Hub 应用程序。
-
Secure Hub 应用程序打开后,输入您的技术支持部门提供的服务器地址。
显示的屏幕可能与这些示例不同,具体取决于 XenMobile 的配置方式。
-
当系统提示时,输入您的用户名和密码或 PIN。单击“下一步”。
-
当提示注册时,单击“是,注册”,然后在系统提示时输入您的凭据。
-
轻按“安装”以安装 Citrix Profile Services。
-
轻按“信任”。
-
轻按“打开”,然后输入您的凭据。
macOS 设备
XenMobile 提供了两种注册运行 macOS 的设备的方法。这两种方法都支持 macOS 用户直接从其设备进行无线注册。
-
向用户发送注册邀请: 此注册方法使您能够为 macOS 设备设置以下任一注册安全模式:
-
用户名 + 密码
-
用户名 + PIN
-
双因素
当用户按照注册邀请中的说明操作时,将显示一个已填写用户名的登录屏幕。
-
-
向用户发送安装链接: 此 macOS 设备注册方法会向用户发送一个注册链接,用户可以在 Safari 或 Chrome 浏览器中打开该链接。然后,用户通过输入其用户名和密码进行注册。
要阻止使用 macOS 设备的注册链接,请将服务器属性 Enable macOS OTAE 设置为 false。因此,macOS 用户只能通过注册邀请进行注册。
向用户发送注册邀请
-
(可选)在 XenMobile 控制台中设置 macOS 设备策略。有关设备策略的详细信息,请参阅设备策略。
-
添加 macOS 用户注册邀请。有关详细信息,请参阅本文中的发送注册邀请。
-
用户收到邀请并单击链接后,Safari 浏览器中将显示以下屏幕。XenMobile 会自动填充用户名。如果为注册安全模式选择了双因素,则会出现另一个字段。
-
用户根据需要安装证书。用户是否看到安装证书的提示取决于您是否为 macOS 配置了以下内容:公共信任的 SSL 证书和公共信任的数字签名证书。有关证书的详细信息,请参阅证书和身份验证。
-
用户提供请求的凭据。
Mac 设备策略将安装。现在,您可以像管理移动设备一样,开始使用 XenMobile 管理 Mac。
向用户发送安装链接
-
(可选)在 XenMobile 控制台中设置 macOS 设备策略。有关设备策略的详细信息,请参阅设备策略。
-
发送注册链接
https://serverFQDN:8443/instanceName/macos/otae,用户可以在 Safari 或 Chrome 浏览器中打开此链接。- serverFQDN 是运行 XenMobile 的服务器的完全限定域名 (FQDN)。
- 端口 8443 是默认安全端口。如果您配置了不同的端口,请使用该端口而不是 8443。
- instanceName 通常显示为 zdm,是在服务器安装期间指定的名称。
有关发送安装链接的详细信息,请参阅发送安装链接。
-
用户根据需要安装证书。如果您为 iOS 和 macOS 配置了公共信任的 SSL 证书和数字签名证书,用户将看到安装证书的提示。有关证书的详细信息,请参阅证书和身份验证。
-
用户登录其 Mac。
Mac 设备策略将安装。现在,您可以像管理移动设备一样,开始使用 XenMobile 管理 Mac。
Windows 设备
Windows 10 和 Windows 11 设备通过 Azure 注册,作为 Active Directory 身份验证的联合方式。您可以通过以下任一方式将 Windows 10 和 Windows 11 设备加入 Microsoft Azure AD:
- 首次打开设备电源时,作为 Azure AD Join 的一部分,开箱即用地注册到 MDM。
- 设备配置后,从“Windows 设置”页面作为 Azure AD Join 的一部分注册到 MDM。
您可以在运行以下 Windows 操作系统的 XenMobile 中注册设备:
- Windows 10
- Windows 11
用户可以直接通过其设备注册。
注意:
对于 Windows 10 RS2 Phone 和 Tablet,在重新注册期间,系统不会提示用户输入服务器 URL。要解决此问题,请重新启动设备。或者,在电子邮件地址屏幕上,点击正在连接到服务旁边的 X 以转到服务器 URL 页面。这是一个第三方问题。
您必须配置 AutoDiscovery 和 Windows 发现服务以进行用户注册,才能启用对受支持的 Windows 设备的管理。
在 Windows 设备用户可以使用 Azure 注册之前,您必须在 XenMobile 中配置 Microsoft Azure 服务器设置。有关详细信息,请参阅 Microsoft Azure Active Directory 服务器设置。
通过自发现注册 Windows 设备
要启用 Windows 设备的管理,Citrix 建议您配置 AutoDiscovery Service 和 Windows 发现服务。有关详细信息,请参阅 XenMobile AutoDiscovery Service。
-
在设备上,检查并安装所有可用的 Windows 更新。
-
在“超级按钮”菜单中,点击设置,然后点击帐户 > 访问工作或学校 > 连接到工作或学校。
-
对于 Windows 10 和 Windows 11:输入您的公司电子邮件地址,然后点击继续。对于 Windows 8.1:点击打开设备管理。要以本地用户身份注册,请输入一个不存在但具有正确域名的电子邮件地址(例如,
foo@mydomain.com)。这允许您绕过一个已知的 Microsoft 限制,即注册由 Windows 上的内置设备管理完成;在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。设备会自动找到 XenMobile Server 并开始注册过程。 -
输入您的密码。使用与 XenMobile 中用户组的一部分帐户关联的密码。
-
对于 Windows 10 和 Windows 11:在使用条款对话框中,表示您同意管理您的设备,然后点击接受。对于 Windows 8.1:在允许 IT 管理员的应用和服务对话框中,表示您同意管理您的设备,然后点击打开。
不通过自发现注册 Windows 设备
可以在不使用 AutoDiscovery 的情况下注册 Windows 设备。但是,Citrix 建议您配置 AutoDiscovery。不使用 AutoDiscovery 进行注册会导致在连接到所需 URL 之前调用端口 80,因此不被视为生产部署的最佳实践。Citrix 建议您仅在测试环境和概念验证部署中使用此过程。
-
在设备上,检查并安装所有可用的 Windows 更新。
-
对于 Windows 10 和 Windows 11:在“超级按钮”菜单中,点击设置,然后点击帐户 > 访问工作或学校 > 连接到工作或学校。对于 Windows 8.1:点击电脑设置 > 网络 > 工作场所。
-
输入您的公司电子邮件地址。
-
对于 Windows 10 和 Windows 11:如果未配置 AutoDiscovery,则会出现一个选项,您可以在其中输入服务器详细信息,如步骤 5 中所述。对于 Windows 8.1:如果自动检测服务器地址设置为开,请点击以将该选项设置为关。
-
对于 Windows 10 和 Windows 11,在输入服务器地址字段中,键入地址:
https://serverfqdn:8443/serverInstance/wpe。如果用于未经身份验证的 SSL 连接的端口不是 8443,请在此地址中使用该端口号代替 8443。
对于 Windows 8.1:按以下格式键入服务器地址:
https://serverfqdn:8443/serverInstance/Discovery.svc。如果用于未经身份验证的 SSL 连接的端口不是 8443,请在此地址中使用该端口号代替 8443。
-
键入您的密码。
-
对于 Windows 10 和 Windows 11:在使用条款对话框中,表示您同意管理您的设备,然后点击接受。对于 Windows 8.1:在允许 IT 管理员的应用和服务对话框中,表示您同意管理您的设备,然后点击打开。
发送注册邀请
在 XenMobile 控制台中,您可以向使用 iOS、macOS、Android Enterprise 和旧版 Android 设备的用户发送注册邀请。您还可以向使用 iOS、Android Enterprise 或旧版 Android 设备的用户发送安装链接。
注册邀请的发送方式如下:
-
如果注册邀请是针对一个本地用户或 Active Directory 用户:用户将通过您指定的电话号码和运营商名称通过 SMS 收到邀请。
-
如果注册邀请是针对一个组:用户将通过 SMS 收到邀请。如果 Active Directory 用户在 Active Directory 中有电子邮件地址和手机号码,他们将收到邀请。本地用户将通过用户属性中指定的电子邮件和电话号码收到邀请。
用户注册后,其设备将显示为在管理 > 设备中受管。邀请 URL 的状态显示为已兑换。
先决条件
- XenMobile Server 配置为 Enterprise (XME) 或 MDM 模式
- 已配置 LDAP
-
如果使用本地组和本地用户:
-
一个或多个本地组。
-
分配给本地用户的本地用户。
-
交付组与本地组关联。
-
-
如果使用 Active Directory:
- 交付组与 Active Directory 组关联。
创建注册邀请
-
在 XenMobile 控制台中,点击管理 > 注册邀请。将显示注册邀请页面。
-
点击添加。此时将显示注册选项菜单。
- 要向用户或组发送注册邀请,请单击添加邀请。
- 要通过 SMTP 或 SMS 向收件人列表发送注册安装链接,请单击发送安装链接。
这些步骤之后将介绍如何发送注册邀请和安装链接。
-
点击添加邀请。此时将显示注册邀请屏幕。
-
配置以下设置:
- 收件人:选择组或用户。
-
选择平台:如果收件人是组,则会选择所有平台。您可以更改平台选择。如果收件人是用户,则不会选择任何平台。请选择一个平台。
要为 Android Enterprise 设备创建注册邀请,请选择 Android > Android Enterprise。
- 设备所有权:选择公司或员工。
用户或组的设置将显示在以下部分中。
向用户发送注册邀请
-
配置以下用户设置:
- 用户名:键入用户名。该用户必须作为本地用户或 Active Directory 中的用户存在于 XenMobile Server 中。如果用户是本地用户,请确保已设置用户的电子邮件属性,以便您可以向该用户发送通知。如果用户在 Active Directory 中,请确保已配置 LDAP。
- 设备信息:如果您选择多个平台或仅选择 macOS,则此设置不会显示。选择序列号、UDID或IMEI。选择一个选项后,将显示一个字段,您可以在其中键入设备的相应值。
- 电话号码:如果您选择多个平台或仅选择 macOS,则此设置不会显示。可选地,键入用户的电话号码。
- 运营商:如果您选择多个平台或仅选择 macOS,则此设置不会显示。选择一个运营商以与用户的电话号码关联。
-
注册模式:选择用户的注册安全模式。默认值为用户名 + 密码。以下某些选项并非适用于所有平台:
- 用户名 + 密码
- 高安全性
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 双因素
- 用户名 + PIN
要发送注册邀请,您只能使用邀请 URL、邀请 URL + PIN或邀请 URL + 密码注册安全模式。对于使用用户名 + 密码、双因素或用户名 + PIN注册的设备,用户必须在 Secure Hub 中手动输入其凭据。
注册 PIN 也称为一次性 PIN。此类 PIN 仅在用户注册时有效。
注意:
当您选择任何包含 PIN 的注册安全模式时,将显示注册 PIN 模板字段,您可以在其中单击注册 PIN。
-
如果您启用了发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表中。
向组发送注册邀请
下图显示了为组配置注册邀请的设置。
-
配置以下设置:
- 域:选择接收邀请的组的域。
- 组:选择接收邀请的组。
-
注册模式:选择您希望组中的用户如何注册。默认值为用户名 + 密码。以下某些选项并非适用于所有平台:
- 用户名 + 密码
- 高安全性
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 双因素
- 用户名 + PIN
要发送注册邀请,您只能使用邀请 URL、邀请 URL + PIN或邀请 URL + 密码注册安全模式。对于使用用户名 + 密码、双因素或用户名 + PIN注册的设备,用户必须在 Secure Hub 中手动输入其凭据。
仅显示对每个选定平台有效的注册安全模式。
注意:
当您选择任何包含 PIN 的注册安全模式时,将显示注册 PIN 模板字段,您可以在其中单击注册 PIN。
-
如果您启用了发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表中。
发送安装链接
在发送注册安装链接之前,您必须从设置页面在通知服务器上配置通道(SMTP 或 SMS)。有关详细信息,请参阅通知。
-
配置以下设置,然后单击保存。
-
收件人:对于要添加的每个收件人,请单击添加,然后执行以下操作:
- 电子邮件:键入收件人的电子邮件地址。此字段为必填项。
- 电话号码:键入收件人的电话号码。此字段为必填项。
注意:
要删除现有收件人,请将鼠标悬停在包含该列表的行上,然后单击右侧的垃圾桶图标。此时将显示一个确认对话框。单击删除以删除列表,或单击取消以保留列表。
要编辑现有收件人,请将鼠标悬停在包含该列表的行上,然后单击右侧的笔形图标。更新列表,然后单击保存以保存更改的列表,或单击取消以保持列表不变。
- 通道:选择用于发送注册安装链接的通道。您可以通过 SMTP 或 SMS 发送通知。在通知服务器的设置页面上配置服务器设置之前,无法激活这些通道。有关详细信息,请参阅通知。
-
SMTP:配置以下可选设置。如果您未在这些字段中键入任何内容,则将使用为所选平台配置的通知模板中指定的默认值:
- 发件人:键入可选发件人。
- 主题:键入邮件的可选主题。例如,“注册您的设备”。
- 邮件:键入要发送给收件人的可选邮件。例如,“注册您的设备以获取对组织应用程序和电子邮件的访问权限”。
-
SMS:配置此设置。如果您未在此字段中键入任何内容,则将使用为所选平台配置的通知模板中指定的默认值:
- 邮件:键入要发送给收件人的邮件。此字段是基于 SMS 的通知的必填项。
注意:在北美,超过 160 个字符的 SMS 邮件将分多条邮件发送。
-
收件人:对于要添加的每个收件人,请单击添加,然后执行以下操作:
-
点击发送。
注意:
如果您的环境使用 sAMAccountName:用户收到邀请并单击链接后,必须编辑用户名才能完成身份验证。用户名以
sAMAccountName@domainname.com的形式显示。用户必须删除 @domainname.com 部分。
按平台划分的注册安全模式
下表显示了可用于注册用户设备的安全模式。在表中,是表示哪些设备平台支持具有不同注册配置文件的特定注册和管理模式。
| MDM 注册安全模式 | Citrix Gateway 上的 MAM 注册安全模式 | 管理模式 | 支持不同的注册配置文件 | Android(旧版) | Android Enterprise | iOS(用户注册模式) | iOS | macOS | Windows |
|---|---|---|---|---|---|---|---|---|---|
| 通过 Citrix Cloud™ 将 Azure AD 和 Okta 作为身份提供程序 | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 是 | 是 | 否 | 否 |
| 用户名 + 密码 | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM、MDM 或 MAM(仅 MAM 模式不支持 Citrix Gateway 上的客户端证书) | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 邀请 URL | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请 URL + PIN | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请 URL + 密码 | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 双因素身份验证(用户名 + 密码 + PIN) | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 是 | 否 |
| 用户名 + PIN | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 是 | 否 |
以下介绍了注册安全模式在 iOS、Android 和 Android Enterprise 设备上的行为:
-
用户名 + 密码(默认)
- 向用户发送包含注册 URL 的单个通知。当用户单击该 URL 时,Secure Hub 将打开。然后,用户键入用户名和密码以在 XenMobile 中注册设备。
-
邀请 URL
- 向用户发送包含注册 URL 的单个通知。当用户单击该 URL 时,Secure Hub 将打开。此时将显示 XenMobile Server 名称和是,注册按钮。用户点击是,注册以在 XenMobile 中注册设备。
-
邀请 URL + PIN
- 向用户发送以下电子邮件:
- 一封包含注册 URL 的电子邮件,允许用户通过 Secure Hub 在 XenMobile 中注册设备。
- 一封包含一次性 PIN 的电子邮件,用户在注册设备时必须键入该 PIN 以及用户的 Active Directory(或本地)密码。
- 在此模式下,用户只能通过使用通知中的注册 URL 进行注册。如果用户丢失了通知邀请,则无法注册。但是,您可以发送另一个邀请。
- 向用户发送以下电子邮件:
-
邀请 URL + 密码
- 向用户发送包含注册 URL 的单个通知。当用户单击该 URL 时,Secure Hub 将打开。此时将显示 XenMobile Server 名称以及允许用户键入密码的字段。
-
双因素
- 向用户发送包含注册 URL 和一次性 PIN 的单个通知。当用户单击该 URL 时,Secure Hub 将打开。此时将显示 XenMobile Server 名称以及允许用户键入密码和 PIN 号码的两个字段。
-
用户名 + PIN
- 向用户发送以下电子邮件:
- 一封包含注册 URL 的电子邮件,允许用户下载并安装 Secure Hub。Secure Hub 打开后,系统会提示用户键入用户名和密码以在 XenMobile 中注册设备。
- 一封包含一次性 PIN 的电子邮件,用户在注册设备时必须键入该 PIN 以及用户的 Active Directory(或本地)密码。
- 如果用户丢失了通知邀请,则无法注册。但是,您可以发送另一个邀请。
- 向用户发送以下电子邮件:
以下介绍了注册安全模式在 macOS 设备上的行为:
-
用户名 + 密码
- 向用户发送包含注册 URL 的单个通知。当用户单击该 URL 时,Safari 浏览器将打开。此时将显示一个登录页面,提示用户键入用户名和密码以在 XenMobile 中注册设备。
-
双因素
- 向用户发送包含注册 URL 和一次性 PIN 的单个通知。当用户单击该 URL 时,Safari 浏览器将打开。此时将显示一个登录页面,其中包含允许用户键入密码和 PIN 号码的两个字段。
-
用户名 + PIN
- 向用户发送以下电子邮件:
- 一封包含注册 URL 的电子邮件。当用户单击该 URL 时,Safari 浏览器将打开。此时将显示一个登录页面,提示用户键入用户名和密码以在 XenMobile 中注册设备。
- 一封包含一次性 PIN 的电子邮件,用户在注册设备时必须键入该 PIN 以及用户的 Active Directory(或本地)密码。
- 如果用户丢失了通知邀请,则无法注册。但是,您可以发送另一个邀请。
- 向用户发送以下电子邮件:
您无法向 Windows 设备发送注册邀请。Windows 用户直接通过其设备注册。