注册设备
为了安全地远程管理用户设备,请在 XenMobile 中注册这些设备。将 XenMobile 客户端软件安装在用户设备上并验证用户的身份。然后,安装 XenMobile 和用户配置文件。之后,您可以在 XenMobile 控制台中执行设备管理任务。可以应用策略、部署应用程序、将数据推送到设备以及锁定、擦除和定位丢失或被盗的设备。
iOS、Android 和 Windows 10 和 Windows 11 设备支持 Azure Active Directory 注册。有关将 Azure 配置为身份提供程序 (IDP) 的详细信息,请参阅 XenMobile 与作为 IDP 的 Azure Active Directory 的集成。
注意:
必须先申请 APNs 证书才能注册 iOS 设备用户。有关详细信息,请参阅证书和身份验证。
要针对用户和设备更新配置选项,请转至管理 > 注册邀请页面。有关详细信息,请参阅本文中的发送注册邀请。
Android 设备
注意:
有关注册 Android Enterprise 设备的信息,请参阅 Android Enterprise。
- 在 Android 设备上转到 Google Play 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
- 系统提示安装应用程序时,单击下一步,然后单击安装。
- 安装 Secure Hub 后,轻按打开。
- 输入您的企业凭据,例如 XenMobile Server 名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步。
- 在 Activate device administrator(激活设备管理员)屏幕中,轻按激活。
- 输入公司密码,然后轻按登录。
- 系统可能会要求您创建一个 Citrix PIN,具体取决于 XenMobile 的配置方式。可以使用该 PIN 登录 Secure Hub 或其他启用了 XenMobile 的应用程序,例如 Secure Mail 和 Citrix Files。请输入 Citrix PIN 两次。在 Create Citrix PIN(创建 Citrix PIN)屏幕上,输入一个 PIN。
- 重新输入 PIN。此时会打开 Secure Hub。这时即可访问 XenMobile Store 来查看您可以安装在 Android 设备上的应用程序。
- 如果您在注册后将 XenMobile 配置为自动向设备推送应用程序,系统将提示用户安装这些应用程序。此外,您在 XenMobile 中配置的策略将部署到设备。轻按安装以安装应用程序。
取消注册和重新注册 Android 设备
用户可以从 Secure Hub 内部取消注册。用户通过以下过程取消注册时,设备将仍然在 XenMobile 控制台的设备清单中显示。但您无法在设备上执行操作。无法跟踪设备,也无法监视设备合规性。
-
轻按以打开 Secure Hub 应用程序。
-
执行以下操作,具体取决于您拥有的是手机还是平板电脑:
在手机上:
-
从屏幕左侧轻扫以打开设置窗格。
-
依次轻按首选项、帐户和删除帐户。
在平板电脑上:
-
轻按右上角的电子邮件地址旁边的箭头。
-
依次轻按首选项、帐户和删除帐户。
-
-
轻按重新注册。将显示一条消息,提示您确认是否要重新注册自己的设备。
-
轻按确定。
您的设备将取消注册。
-
请按照屏幕上的说明重新注册设备。
注册 iOS 设备
本部分内容介绍用户如何将 iOS 设备(12.2 或更高版本)注册到 XenMobile Server。有关 iOS 注册的详细信息,请打开以下视频:
- 在 iOS 设备上转到 Apple 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
- 当系统提示安装应用程序时,轻按下一步,然后轻按安装。
- 安装 Secure Hub 后,轻按打开。
- 输入您的企业凭据,例如 XenMobile Server 名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步。
-
轻按是,注册以注册 iOS 设备。
-
键入凭据后,在出现提示时轻按允许以下载配置文件。
-
下载配置文件后,轻按关闭。
- 在设备设置中,安装 iOS 证书并将设备添加到可信列表中。
-
转到设置 > 常规 > 配置文件 > XenMobile 配置文件服务,然后轻按安装以添加配置文件。
-
在通知窗口中,轻按信任,将您的设备注册到远程管理中。
-
- 登录到 Secure Hub。如果要注册到 MDM+MAM:验证凭据后,在出现提示时创建并确认您的 Citrix PIN。
- 工作流程完成后,注册设备。随后即可访问应用商店来查看您安装在 iOS 设备上的应用程序。
iOS 设备
-
从设备上的 Apple iTunes App Store 下载 Secure Hub 应用程序,然后在设备上安装该应用程序。
-
在 iOS 设备主屏幕上,轻按 Secure Hub 应用程序。
-
Secure Hub 应用程序打开时,输入技术支持人员提供的服务器地址。
显示的屏幕可能因这些示例而异,具体取决于 XenMobile 的配置方式。
-
系统提示时,输入您的用户名和密码或 PIN。单击下一步。
-
系统提示注册时,单击是,注册,然后在收到提示时输入您的凭据。
-
轻按安装以安装 Citrix Profile Service。
-
轻按信任。
-
轻按打开,然后输入您的凭据。
macOS 设备
XenMobile 提供两种方法来注册运行 macOS 的设备。这两种方法都使 macOS 用户能够直接从其设备无线注册。
-
向用户发送注册邀请: 此注册方法允许您为 macOS 设备设置以下任意注册安全模式:
-
用户名 + 密码
-
用户名 + PIN
-
双重
用户按照注册邀请中的说明进行操作时,将显示一个填写了用户名的登录屏幕。
-
-
向用户发送安装链接: 此注册方法适用于 macOS 设备,向用户发送一个注册链接,用户可以在 Safari 或 Chrome 浏览器中打开该链接。用户随后通过提供其用户名和密码进行注册。
要阻止对 macOS 设备使用注册链接,请将服务器属性启用 macOS OTAE 设置为 false。因此,macOS 用户只能使用注册邀请进行注册。
向用户发送注册邀请
-
(可选)在 XenMobile 控制台中设置 macOS 设备策略。有关设备策略的详细信息,请参阅设备策略。
-
添加面向 macOS 用户注册的邀请。有关详细信息,请参阅本文中的发送注册邀请。
-
用户收到邀请并单击链接后,以下屏幕将在 Safari 浏览器中显示。XenMobile 填写用户名。如果您为注册安全模式选择双重,则将显示另一个字段。
-
用户根据需要安装证书。用户是否会收到安装证书的提示取决于您是否为 macOS 配置了以下证书:公众信任的 SSL 证书和公众信任的数字签名证书。有关证书的详细信息,请参阅证书和身份验证。
-
用户提供请求的凭据。
安装 Mac 设备策略。现在即可以像管理移动设备一样使用 XenMobile 管理 Mac。
向用户发送安装链接
-
(可选)在 XenMobile 控制台中设置 macOS 设备策略。有关设备策略的详细信息,请参阅设备策略。
-
发送注册链接
https://serverFQDN:8443/instanceName/macos/otae,用户可以在 Safari 或 Chrome 浏览器中打开该链接。- serverFQDN 是运行 XenMobile 的服务器的完全限定域名 (FQDN)。
- 端口 8443 为默认安全端口。如果已配置其他端口,请使用该端口替换 8443。
- instanceName(通常显示为 zdm)为在服务器安装过程中指定的名称。
有关发送安装链接的详细信息,请参阅发送安装链接。
-
用户根据需要安装证书。如果您为 iOS 和 macOS 配置了公众信任的 SSL 证书和数字签名证书,用户将看到安装证书的提示。有关证书的详细信息,请参阅证书和身份验证。
-
用户登录其 Mac 设备。
安装 Mac 设备策略。现在即可以像管理移动设备一样使用 XenMobile 管理 Mac。
Windows 设备
Windows 10 和 Windows 11 设备通过 Azure 注册作为 Active Directory 身份验证的联合方式。可以采用下列方法之一将 Windows 10 和 Windows 11 设备连接到 Microsoft Azure AD:
- 首次打开设备电源时在 Azure AD 联接启用过程中在 MDM 中注册。
- 配置设备后,从“Windows 设置”页面执行 Azure AD 联接过程中在 MDM 中注册。
可以在 XenMobile 中注册运行以下 Windows 操作系统的设备:
- Windows 10
- Windows 11
用户可以直接通过其设备注册。
注意:
对于 Windows 10 RS2 Phone 和 Tablet,重新注册过程中,系统不提示用户提供服务器 URL。要解决此问题,请重新启动设备。或者,在电子邮件地址屏幕上,轻按正在连接到服务中的 X 以转至服务器 URL 页面。这是第三方问题。
必须为用户注册配置自动发现和 Windows 发现服务,才能启用对受支持的 Windows 设备的管理。
必须先在 XenMobile 中配置 Microsoft Azure 服务器,Windows 设备用户才能使用 Azure 进行注册。有关详细信息,请参阅 Microsoft Azure Active Directory 服务器设置。
在配置自行发现的情况下注册 Windows 设备
要对 Windows 设备进行管理,Citrix 建议您配置 AutoDiscovery Service 和 Windows 发现服务。有关详细信息,请参阅 XenMobile AutoDiscovery Service。
-
在设备上,找到并安装所有可用的 Windows 更新。
-
在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校。
-
对于 Windows 10 和 Windows 11:输入贵公司的电子邮件地址,然后轻按继续。对于 Windows 8.1:轻按 Turn on device management(打开设备管理)。要注册为本地用户,请输入带有正确域名的不存在的电子邮件地址(例如
foo@mydomain.com)。这将允许您绕过已知 Microsoft 限制,即注册由 Windows 上的内置设备管理执行;在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。设备即会自动发现 XenMobile Server 并开始注册过程。 -
输入您的密码。使用与某帐户相关的密码,该帐户应该是 XenMobile 中用户组的一部分。
-
对于 Windows 10 和 Windows 11:在使用条款对话框中,指明您同意托管自己的设备,然后轻按接受。对于 Windows 8.1:在允许 IT 管理员提供的应用和服务对话框中,指明您同意托管自己的设备,然后轻按打开。
在不配置自行发现的情况下注册 Windows 设备
可以在不配置自动发现的情况下注册 Windows 设备。但是,Citrix 建议您配置自动发现。由于在不配置自动发现的情况下进行注册会导致在连接到所需的 URL 前调用端口 80,因此,这不是用于生产部署的最佳做法。Citrix 建议您仅在测试环境和概念验证部署中使用此过程。
-
在设备上,找到并安装所有可用的 Windows 更新。
-
对于 Windows 10 和 Windows 11:在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校。对于 Windows 8.1:轻按电脑设置 > 网络 > 工作区。
-
输入企业电子邮件地址。
-
对于 Windows 10 和 Windows 11:如果未配置自动发现,则将显示一个选项,您可以在此处输入服务器详细信息,如步骤 5 中所述。对于 Windows 8.1:如果自动检测服务器地址设置为开,请轻按以关闭此选项。
-
对于 Windows 10 和 Windows 11:在输入服务器地址字段中,键入地址:
https://serverfqdn:8443/serverInstance/wpe。如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。
对于 Windows 8.1:按以下格式键入服务器地址:
https://serverfqdn:8443/serverInstance/Discovery.svc。如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。
-
键入密码。
-
对于 Windows 10 和 Windows 11:在使用条款对话框中,指明您同意托管自己的设备,然后轻按接受。对于 Windows 8.1:在允许 IT 管理员提供的应用和服务对话框中,指明您同意托管自己的设备,然后轻按打开。
发送注册邀请
在 XenMobile 控制台中,可以向使用 iOS、macOS、Android Enterprise 和旧 Android 设备的用户发送注册邀请。此外,还可以向使用 iOS、Android Enterprise 或旧 Android 设备的用户发送安装链接。
注册邀请的发送方式如下所示:
-
如果注册邀请面向本地用户或 Active Directory 用户:用户将通过您指定的电话号码和运营商收到来自 SMS 的邀请。
-
如果注册邀请面向组:用户将收到来自 SMS 的邀请。如果 Active Directory 用户在 Active Directory 中具有电子邮件地址和移动电话号码,则会收到该邀请。本地用户将通过在用户属性中指定的电子邮件和电话号码收到邀请。
用户注册后,其设备在管理 > 设备上将显示为托管设备。邀请 URL 的状态显示为已兑换。
必备条件
- 在企业 (XME) 或 MDM 模式下配置的 XenMobile Server
- 已配置 LDAP
-
如果使用本地组和本地用户:
-
一个或多个本地组。
-
分配给本地组的本地用户。
-
交付组与本地组相关联。
-
-
如果使用 Active Directory:
- 交付组与 Active Directory 组相关联。
创建注册邀请
-
在 XenMobile 控制台中,单击管理 > 注册邀请。此时将显示注册邀请页面。
-
单击添加。此时将显示一个注册选项菜单。
- 要向用户或组发送注册邀请,请单击添加邀请。
- 要通过 SMTP 或 SMS 向收件人列表发送注册安装链接,请单击发送安装链接。
如何发送注册邀请和安装链接将在这些步骤之后进行介绍。
-
单击添加邀请。将显示注册邀请屏幕。
-
配置以下设置:
- 收件人: 选择组或用户。
-
选择平台: 如果收件人为组,则默认选择所有平台。可以更改所选平台。如果收件人为用户,则不选择任何平台。选择平台。
要为 Android Enterprise 设备创建注册邀请,请选择 Android > Android Enterprise。
- 设备所有权: 选择公司或员工。
此时将显示用户或组的设置,如以下各节中所述。
向用户发送注册邀请
-
配置以下用户设置:
- 用户名: 键入用户名。用户必须作为本地用户或 Active Directory 中的用户存在于 XenMobile Server 中。如果用户是本地用户,请务必设置用户的电子邮件属性,以便能够向该用户发送通知。如果用户在 Active Directory 中,请务必配置 LDAP。
- 设备信息: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。选择序列号、UDID 或 IMEI。选择某个选项后,将显示一个字段,您可以在此处键入设备的相应值。
- 电话号码: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。(可选)键入用户的电话号码。
- 运营商: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。选择要与用户的电话号码关联的运营商。
-
注册模式: 为用户选择注册安全模式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
- 用户名 + 密码
- 高安全性
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 双重
- 用户名 + PIN
要发送注册邀请,只能使用邀请 URL、邀请 URL + PIN 或邀请 URL + 密码注册安全模式。对于使用用户名 + 密码、双重或用户名+ PIN 注册的设备,用户必须在 Secure Hub 中手动输入其凭据。
用于注册的 PIN 又称为一次性 PIN。此类 PIN 仅在用户注册时有效。
注意:
选择包含 PIN 的任意注册安全模式时,会显示注册 PIN 模板字段,在此可单击注册 PIN。
-
如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。
向组发送注册邀请
下图中显示了用于配置向组发送的注册邀请的设置。
-
配置以下设置:
- 域: 选择要接收邀请的组的域。
- 组: 选择要接收邀请的组。
-
注册模式: 选择希望组中的用户采用的注册方式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
- 用户名 + 密码
- 高安全性
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 双重
- 用户名 + PIN
要发送注册邀请,只能使用邀请 URL、邀请 URL + PIN 或邀请 URL + 密码注册安全模式。对于使用用户名 + 密码、双重或用户名+ PIN 注册的设备,用户必须在 Secure Hub 中手动输入其凭据。
仅显示对每个选定的平台有效的注册安全模式。
注意:
选择包含 PIN 的任意注册安全模式时,会显示注册 PIN 模板字段,在此可单击注册 PIN。
-
如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。
发送安装链接
您必须通过设置页面在通知服务器上配置通道(SMTP 或 SMS),才能发送注册安装链接。有关详细信息,请参阅通知。
-
配置这些设置,然后单击保存。
-
收件人: 对于要添加的每个收件人,单击添加,然后执行以下操作:
- 电子邮件: 键入收件人的电子邮件地址。此字段为必填字段。
- 电话号码: 键入收件人的电话号码。此字段为必填字段。
注意:
要删除现有收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾桶图标。此时将显示确认对话框。单击删除以删除列表,或单击取消以保留列表。
要编辑现有收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的铅笔图标。更新列表,然后单击保存以保存更改后的列表,或单击取消以保留列表不变。
- 通道: 选择用于发送注册安装链接的通道。可以通过 SMTP 或 SMS 发送通知。在通知服务器的设置页面上配置服务器设置后,才能激活这些通道。有关详细信息,请参阅通知。
-
SMTP: 配置以下可选设置。如果不在这些字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
- 发件人: 键入可选发件人。
- 主题: 键入消息的可选主题。例如,“注册您的设备”。
- 消息: 键入要发送给收件人的可选消息。例如,“注册您的设备以获取组织应用程序和电子邮件的访问权限。”
-
SMS: 配置以下设置。如果不在此字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
- 消息: 键入要发送给收件人的消息。对于基于 SMS 的通知,这是必填字段。
注意: 在北美,超过 160 个字符的 SMS 消息将通过多条消息发送。
-
收件人: 对于要添加的每个收件人,单击添加,然后执行以下操作:
-
单击发送。
注意:
如果您的环境使用 sAMAccountName:在用户收到邀请并单击链接后,必须编辑用户名才能完成身份验证。用户名以 sAMAccountName@domainname.com 格式显示。用户必须删除 @domainname.com 部分。
注册安全模式(按平台)
下表显示了可用于注册用户设备的安全模式。在该表中,是表示哪些设备平台支持使用不同注册配置文件的特定注册和管理模式。
| MDM 注册安全模式 | Citrix Gateway 上的 MAM 注册安全模式 | 管理模式 | 支持不同的注册配置文件 | Android(旧版) | Android Enterprise | iOS(用户注册模式) | iOS | macOS | Windows |
|---|---|---|---|---|---|---|---|---|---|
| Azure AD 和 Okta 可通过 Citrix Cloud 作为身份提供程序 | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 是 | 是 | 否 | 否 |
| 用户名 + 密码 | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM、MDM 或 MAM(仅 MAM 模式在 Citrix Gateway 上不支持客户端证书) | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 邀请 URL | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请 URL + PIN | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请 URL + 密码 | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 双重身份验证(用户名 + 密码 + PIN) | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 是 | 否 |
| 用户名 + PIN | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 是 | 否 |
下面介绍了注册安全模式在 iOS、Android 和 Android Enterprise 设备上的行为方式:
-
用户名 + 密码(默认设置)
- 向用户发送包含注册 URL 的单个通知。当用户单击 URL 时,Secure Hub 将打开。然后,用户会键入用户名和密码以在 XenMobile 中注册设备。
-
邀请 URL
- 向用户发送包含注册 URL 的单个通知。当用户单击 URL 时,Secure Hub 将打开。此时将显示 XenMobile 服务器名称和是,注册按钮。用户可以轻按是,注册以在 XenMobile 中注册设备。
-
邀请 URL + PIN
- 向用户发送以下电子邮件:
- 包含注册 URL 的电子邮件,该邮件允许用户通过 Secure Hub 在 XenMobile 中注册设备。
- 包含一次性 PIN(用户在注册设备时必须键入该 PIN)以及用户的 Active Directory(或本地)密码的电子邮件。
- 在此模式下,用户只能通过使用通知中的注册 URL 进行注册。如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
-
邀请 URL + 密码
- 向用户发送包含注册 URL 的单个通知。当用户单击 URL 时,Secure Hub 将打开。此时将显示 XenMobile 服务器名称,以及允许用户键入密码的字段。
-
双重
- 向用户发送包含注册 URL 和一次性 PIN 码的单个通知。当用户单击 URL 时,Secure Hub 将打开。此时将显示 XenMobile 服务器名称,以及允许用户键入密码和 PIN 码的两个字段。
-
用户名 + PIN
- 向用户发送以下电子邮件:
- 包含注册 URL 的电子邮件,该邮件允许用户下载并安装 Secure Hub。Secure Hub 打开后,系统将提示用户键入用户名和密码,以便在 XenMobile 中注册设备。
- 包含一次性 PIN(用户在注册设备时必须键入该 PIN)以及用户的 Active Directory(或本地)密码的电子邮件。
- 如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
下面介绍了注册安全模式在 macOS 设备上的行为方式:
-
用户名 + 密码
- 向用户发送包含注册 URL 的单个通知。当用户单击 URL 时,Safari 浏览器将打开。此时将显示一个登录页面,提示用户键入用户名和密码,以便在 XenMobile 中注册设备。
-
双重
- 向用户发送包含注册 URL 和一次性 PIN 码的单个通知。当用户单击 URL 时,Safari 浏览器将打开。此时将显示一个登录页面,其中显示两个允许用户键入密码和 PIN 码的字段。
-
用户名 + PIN
- 向用户发送以下电子邮件:
- 包含注册 URL 的电子邮件。当用户单击 URL 时,Safari 浏览器将打开。此时将显示一个登录页面,提示用户键入用户名和密码,以便在 XenMobile 中注册设备。
- 包含一次性 PIN(用户在注册设备时必须键入该 PIN)以及用户的 Active Directory(或本地)密码的电子邮件。
- 如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
您不能向 Windows 设备发送注册邀请。Windows 用户直接通过其设备注册。