查看 PDF
注册设备
为了安全地远程管理用户设备,请在 XenMobile 中注册这些设备。将 XenMobile 客户端软件安装在用户设备上并验证用户的身份。然后,安装 XenMobile 和用户配置文件。之后,您可以在 XenMobile 控制台中执行设备管理任务。可以应用策略、部署应用程序、将数据推送到设备以及锁定、擦除和定位丢失或被盗的设备。
iOS、Android 和 Windows 10 设备支持 Azure Active Directory 注册。有关将 Azure 配置为身份提供程序 (IDP) 的详细信息,请参阅将 XenMobile 与 Azure Active Directory 集成为 IDP。
注意:
必须先申请 APNs 证书才能注册 iOS 设备用户。有关详细信息,请参阅 证书和身份验证。
要针对用户和设备更新配置选项,请转至管理 > 注册邀请页面。有关详细信息,请参阅本文中的发送注册邀请。
Android 设备
注意:
有关注册 Android Enterprise 设备的信息,请参阅 Android Enterprise。
- 在 Android 设备上转到 Google Play 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
- 系统提示安装应用程序时,单击下一步,然后单击安装。
- 安装 Secure Hub 后,轻按打开。
- 输入您的企业凭据,例如 XenMobile Server 名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步。
- 在 Activate device administrator(激活设备管理员)屏幕中,轻按激活。
- 输入公司密码,然后轻按登录。
- 系统可能会要求您创建一个 Citrix PIN,具体取决于 XenMobile 的配置方式。可以使用该 PIN 登录 Secure Hub 或其他启用了 XenMobile 的应用程序,例如 Secure Mail 和 ShareFile。请输入 Citrix PIN 两次。在 Create Citrix PIN(创建 Citrix PIN)屏幕上,输入一个 PIN。
- 重新输入 PIN。此时会打开 Secure Hub。这时即可访问 XenMobile Store 来查看您可以安装在 Android 设备上的应用程序。
- 如果您在注册后将 XenMobile 配置为自动向设备推送应用程序,系统将提示用户安装这些应用程序。此外,您在 XenMobile 中配置的策略将部署到设备。轻按安装以安装应用程序。
取消注册和重新注册 Android 设备
用户可以从 Secure Hub 内部取消注册。用户通过以下过程取消注册时,设备将仍然在 XenMobile 控制台的设备清单中显示。但您无法在设备上执行操作。无法跟踪设备,也无法监视设备合规性。
-
轻按以打开 Secure Hub 应用程序。
-
执行以下操作,具体取决于您拥有的是手机还是平板电脑:
在手机上:
-
从屏幕左侧轻扫以打开设置窗格。
-
依次轻按首选项、帐户和删除帐户。
在平板电脑上:
-
轻按右上角的电子邮件地址旁边的箭头。
-
依次轻按首选项、帐户和删除帐户。
-
-
轻按重新注册。将显示一条消息,提示您确认是否要重新注册自己的设备。
-
轻按确定。
您的设备将取消注册。
-
请按照屏幕上的说明重新注册设备。
注册 iOS 设备
本部分内容介绍用户如何将 iOS 设备(12.2 或更高版本)注册到 XenMobile Server。有关 iOS 注册的详细信息,请打开以下视频:
- 在 iOS 设备上转到 Apple 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
- 当系统提示安装应用程序时,轻按下一步,然后轻按安装。
- 安装 Secure Hub 后,轻按打开。
- 输入您的企业凭据,例如 XenMobile Server 名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步。
-
轻按是,注册以注册 iOS 设备。
-
键入凭据后,在出现提示时轻按允许以下载配置文件。
-
下载配置文件后,轻按关闭。
- 在设备设置中,安装 iOS 证书并将设备添加到可信列表中。
-
转到设置 > 常规 > 配置文件 > XenMobile 配置文件服务,然后轻按安装以添加配置文件。
-
在通知窗口中,轻按信任,将您的设备注册到远程管理中。
-
- 登录到 Secure Hub。如果要注册到 MDM+MAM:验证凭据后,在出现提示时创建并确认您的 Citrix PIN。
- 工作流程完成后,注册设备。随后即可访问应用商店来查看您安装在 iOS 设备上的应用程序。
使用用户提供的凭据的 iOS 设备
-
从设备上的 Apple iTunes App Store 下载 Secure Hub 应用程序,然后在设备上安装该应用程序。
-
在 iOS 设备主屏幕上,轻按 Secure Hub 应用程序。
-
Secure Hub 应用程序打开时,输入技术支持人员提供的服务器地址。
显示的屏幕可能因这些示例而异,具体取决于 XenMobile 的配置方式。
-
系统提示时,输入您的用户名和密码或 PIN。单击下一步。
-
系统提示注册时,单击是,注册,然后在收到提示时输入您的凭据。
-
轻按安装以安装 Citrix Profile Service。
-
轻按信任。
-
轻按打开,然后输入您的凭据。
使用派生凭据的 iOS 设备
注册要求用户向连接到其桌面的读卡器中插入智能卡。
-
用户安装 Secure Hub 以及您的派生凭据提供程序提供的应用程序。
适用于 Intercede 的身份提供程序为 MyID for Citrix。下面是该应用程序的徽标。
-
用户启动 Secure Hub。系统提示时,用户键入 XenMobile Server 的完全限定域名,然后单击下一步。在 Secure Hub 中的注册将开始运行。如果 XenMobile Server 支持派生凭据,Secure Hub 将提示用户创建一个 Citrix PIN。
-
用户按照说明进行操作,激活其智能凭据。此时将显示一个启动屏幕,然后显示扫描 QR 代码的提示。
-
用户将卡插入连接到桌面的智能卡读卡器中。桌面应用程序随后将显示一个 QR 代码,并提示用户使用其移动设备扫描该代码。
-
系统提示时,用户输入其 Secure Hub PIN。
-
对该 PIN 进行身份验证后,Secure Hub 将下载证书。用户随后将按照提示完成注册。
要在 XenMobile 控制台中查看设备信息,请执行以下操作:
-
转至管理 > 设备,然后选择一个设备以显示命令框。单击显示更多。
-
转至分析 > 控制板。
macOS 设备
XenMobile 提供两种方法来注册运行 macOS 的设备。这两种方法都使 macOS 用户能够直接从其设备无线注册。
-
向用户发送注册邀请: 此注册方法允许您为 macOS 设备设置以下任意注册模式:
-
用户名 + 密码
-
用户名 + PIN
-
双重身份验证
用户按照注册邀请中的说明进行操作时,将显示一个填写了用户名的登录屏幕。
-
-
向用户发送安装链接: 此注册方法适用于 macOS 设备,向用户发送一个注册链接,用户可以在 Safari 或 Chrome 浏览器中打开该链接。用户随后通过提供其用户名和密码进行注册。
要阻止对 macOS 设备使用注册链接,请将服务器属性启用 macOS OTAE 设置为 false。因此,macOS 用户只能使用注册邀请进行注册。
向用户发送注册邀请
-
(可选)在 XenMobile 控制台中设置 macOS 设备策略。有关设备策略的详细信息,请参阅设备策略。
-
添加面向 macOS 用户注册的邀请。有关详细信息,请参阅本文中的发送注册邀请。
-
用户收到邀请并单击链接后,以下屏幕将在 Safari 浏览器中显示。XenMobile 填写用户名。如果您为注册模式选择双重,则将显示另一个字段。
-
用户根据需要安装证书。用户是否会收到安装证书的提示取决于您是否为 macOS 配置了以下证书:公众信任的 SSL 证书和公众信任的数字签名证书。有关证书的详细信息,请参阅证书和身份验证。
-
用户提供请求的凭据。
安装 Mac 设备策略。现在即可以像管理移动设备一样使用 XenMobile 管理 Mac。
向用户发送安装链接
-
(可选)在 XenMobile 控制台中设置 macOS 设备策略。有关设备策略的详细信息,请参阅设备策略。
-
发送注册链接
https://serverFQDN:8443/instanceName/macos/otae,用户可以在 Safari 或 Chrome 浏览器中打开该链接。- serverFQDN 是运行 XenMobile 的服务器的完全限定域名 (FQDN)。
- 端口 8443 为默认安全端口。如果已配置其他端口,请使用该端口替换 8443。
- instanceName(通常显示为 zdm)为在服务器安装过程中指定的名称。
有关发送安装链接的详细信息,请参阅发送安装链接。
-
用户根据需要安装证书。如果您为 iOS 和 macOS 配置了公众信任的 SSL 证书和数字签名证书,用户将看到安装证书的提示。有关证书的详细信息,请参阅证书和身份验证。
-
用户登录其 Mac 设备。
安装 Mac 设备策略。现在即可以像管理移动设备一样使用 XenMobile 管理 Mac。
Windows 设备
注意:
本节包括对 Windows Phone 8.1 设备的引用,Microsoft 已将该设备的支持结束日期移至 2017 年 7 月 11 日。XenMobile 仅支持对 Windows Phone 8.1 设备执行 MDM 注册。
运行 Windows 10 的设备向 Azure 注册是一种联合 Active Directory 身份验证方法。可以采用下列方法之一将 Windows 10 设备连接到 Microsoft Azure AD:
- 首次打开设备电源时在 Azure AD 联接启用过程中在 MDM 中注册。
- 配置设备后,从“Windows 设置”页面执行 Azure AD 联接过程中在 MDM 中注册。
可以在 XenMobile 中注册运行以下 Windows 操作系统的设备:
- Windows 10 Phone 和 Tablet
- Windows Phone 8.1
用户可以直接通过其设备注册。
注意:
对于 Windows 10 RS2 Phone 和 Tablet,在重新注册过程中,系统不提示用户提供服务器 URL。要解决此问题,请重新启动设备。或者,在电子邮件地址屏幕上,轻按正在连接到服务中的 X 以转至服务器 URL 页面。这是第三方问题。
必须为用户注册配置自动发现和 Windows 发现服务,才能启用对受支持的 Windows 设备的管理。
必须先在 XenMobile 中配置 Microsoft Azure 服务器,Windows 设备用户才能使用 Azure 进行注册。有关详细信息,请参阅 Microsoft Azure Active Directory 服务器设置。
注意:
SSL 侦听器证书必须是公用证书,才能注册 Windows 设备。如果上载了自签名 SSL 证书,注册将失败。
在配置自行发现的情况下注册 Windows 设备
要对 Windows 设备进行管理,Citrix 建议您配置 AutoDiscovery Service 和 Windows 发现服务。有关详细信息,请参阅 XenMobile Auto Discovery Service。
-
在设备上,找到并安装所有可用的 Windows 更新。
-
对于 Windows 10:在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校。对于 Windows 8.1 Phone:轻按电脑设置 > 网络 > 工作区。
-
输入您的公司电子邮件地址,然后轻按继续(在 Windows 10 上)或打开设备管理(在 Windows 8.1 上)。要注册为本地用户,请输入带有正确域名的不存在的电子邮件地址(例如
foo@mydomain.com)。这将允许您绕过已知 Microsoft 限制,即注册由 Windows 上的内置设备管理执行;在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。设备即会自动发现 XenMobile Server 并开始注册过程。 -
输入您的密码。使用与某帐户相关的密码,该帐户应该是 XenMobile 中用户组的一部分。
-
对于 Windows 10:在使用条款对话框中,指明您同意托管自己的设备,然后轻按接受。对于 Windows 8.1:在允许 IT 管理员提供的应用和服务对话框中,指明您同意托管自己的设备,然后轻按打开。
在不配置自行发现的情况下注册 Windows 设备
可以在不配置自动发现的情况下注册 Windows 设备。但是,Citrix 建议您配置自动发现。由于在不配置自动发现的情况下进行注册会导致在连接到所需的 URL 前调用端口 80,因此,这不是用于生产部署的最佳做法。Citrix 建议您仅在测试环境和概念验证部署中使用此过程。
-
在设备上,找到并安装所有可用的 Windows 更新。
-
对于 Windows 10:在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校。对于 Windows 8.1:轻按电脑设置 > 网络 > 工作区。
-
输入企业电子邮件地址。
-
对于 Windows 10:如果未配置自动发现,则将显示一个选项,您可以在此处输入服务器详细信息,如步骤 5 中所述。对于 Windows 8.1:如果自动检测服务器地址设置为开,请轻按以关闭此选项。
-
对于 Windows 10:在输入服务器地址字段中,键入地址:
https://serverfqdn:8443/serverInstance/wpe。如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。
对于 Windows 8.1:按以下格式键入服务器地址:
https://serverfqdn:8443/serverInstance/Discovery.svc。如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。
-
键入密码。
-
对于 Windows 10:在使用条款对话框中,指明您同意托管自己的设备,然后轻按接受。对于 Windows 8.1:在允许 IT 管理员提供的应用和服务对话框中,指明您同意托管自己的设备,然后轻按打开。
注册 Windows Phone 设备
要在 XenMobile 中注册 Windows Phone 设备,用户需要使用其 Active Directory 或内部网络电子邮件地址和密码。如果未设置自动发现,用户还需要 XenMobile Server 的服务器 Web 地址。然后,他们需要按照此过程在设备上完成注册。
注意:
如果您计划通过 Windows Phone 企业应用商店部署应用程序,则在用户注册前,请确保您已配置企业中心策略(具有签名的 Secure Hub、适用于您支持的每个平台的 Windows Phone 应用程序)。
-
在 Windows Phone 的主屏幕上,轻按设置图标。
- 对于 Windows 10:轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校,或轻按帐户 > 工作单位访问权限 > 注册移动设备管理,具体取决于您使用的版本。
- 对于 Windows 8.1:轻按电脑设置 > 网络 > 工作区,然后轻按添加帐户。
-
在下一屏幕上,输入电子邮件地址和密码,然后轻按登录。
如果为域配置了自动发现,随后几个步骤中所需的信息将会自动填充。继续执行步骤 8。
如果没有为域配置自动发现,请继续执行下一步。要注册为本地用户,请输入带有正确域名的不存在的电子邮件地址(例如
foo@mydomain.com)。这将允许您绕过已知 Microsoft 限制;在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。 -
在下一屏幕上,输入 XenMobile Server 的 Web 地址,例如:
https://<xenmobile_server>:<portnumber>/<instancename>/wpe。例如https://mycompany.mdm.com:8443/zdm/wpe。注意:
必须将端口号调整为适用于您的实现。该端口必须与您用于 iOS 注册的端口相同。
-
如果通过用户名和域进行身份验证,请输入用户名和域,然后轻按登录。
-
如果出现提示证书有问题的屏幕,该错误是由于使用自签名证书造成的。如果服务器可信,请轻按继续。否则,轻按取消。
-
在 Windows Phone 8.1 上,添加帐户时,可以选择 Install company app(安装公司应用程序)。如果管理员已配置 Company App Store,请选中此选项,然后轻按完成。如果取消选中此选项,您需要重新注册设备才能接收 Company App Store。
-
在 Windows Phone 8.1 上,在已添加帐户屏幕上,轻按完成。
-
要强制连接到某一服务器,请轻按“刷新”图标。如果设备没有手动连接到服务器,XenMobile 会尝试重新连接。XenMobile 会每 3 分钟连续 5 次连接设备,然后间隔改为 2 小时。您可以在服务器属性中的 Windows WNS 检测信号间隔中修改此连接率。注册完成后,Secure Hub 将在后台注册。安装完成时不会提示。在所有应用程序屏幕中,轻按 Secure Hub。
发送注册邀请
在 XenMobile 控制台中,可以向 iOS、macOS 和 Android 设备的用户发送注册邀请。还可以向 iOS 或 Android 设备的用户发送安装链接。
注册邀请的发送方式如下所示:
-
如果注册邀请面向本地用户或 Active Directory 用户:用户将通过您指定的电话号码和运营商收到来自 SMS 的邀请。
-
如果注册邀请面向组:用户将收到来自 SMS 的邀请。如果 Active Directory 用户在 Active Directory 中具有电子邮件地址和移动电话号码,则会收到该邀请。本地用户将通过在用户属性中指定的电子邮件和电话号码收到邀请。
用户注册后,其设备在管理 > 设备上将显示为托管设备。邀请 URL 的状态显示为已兑换。
必备条件
- 在企业 (XME) 或 MDM 模式下配置的 XenMobile Server
- 已配置 LDAP
-
如果使用本地组和本地用户:
-
一个或多个本地组。
-
分配给本地组的本地用户。
-
交付组与本地组相关联。
-
-
如果使用 Active Directory:
- 交付组与 Active Directory 组相关联。
创建注册邀请
-
在 XenMobile 控制台中,单击管理 > 注册邀请。此时将显示注册邀请页面。
-
单击添加。此时将显示一个注册选项菜单。
- 要向用户或组发送注册邀请,请单击添加邀请。
- 要通过 SMTP 或 SMS 向收件人列表发送注册安装链接,请单击发送安装链接。
如何发送注册邀请和安装链接将在这些步骤之后进行介绍。
-
单击添加邀请。将显示注册邀请屏幕。
-
配置以下设置:
- 收件人: 选择组或用户。
- 选择平台: 如果收件人为组,则默认选择所有平台。可以更改所选平台。如果收件人为用户,则不选择任何平台。选择平台。
- 设备所有权: 选择公司或员工。
此时将显示用户或组的设置,如以下各节中所述。
向用户发送注册邀请
-
配置以下用户设置:
- 用户名: 键入用户名。用户必须作为本地用户或 Active Directory 中的用户存在于 XenMobile Server 中。如果用户是本地用户,请务必设置用户的电子邮件属性,以便能够向该用户发送通知。如果用户在 Active Directory 中,请务必配置 LDAP。
- 设备信息: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。选择序列号、UDID 或 IMEI。选择某个选项后,将显示一个字段,您可以在此处键入设备的相应值。
- 电话号码: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。(可选)键入用户的电话号码。
- 运营商: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。选择要与用户的电话号码关联的运营商。
-
注册模式: 选择希望用户采用的注册方式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
- 用户名 + 密码
- 高安全性
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 双重身份验证
- 用户名 + PIN
仅显示对每个选定的平台有效的注册模式。用于注册的 PIN 又称为一次性 PIN。此类 PIN 仅在用户注册时有效。
注意:
选择包含 PIN 的任意注册模式时,会显示注册 PIN 模板字段,在此可单击注册 PIN。
-
如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。
向组发送注册邀请
下图中显示了用于配置向组发送的注册邀请的设置。
-
配置以下设置:
- 域: 选择要接收邀请的组的域。
- 组: 选择要接收邀请的组。
-
注册模式: 选择希望组中的用户采用的注册方式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
- 用户名 + 密码
- 高安全性
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 双重身份验证
- 用户名 + PIN
仅显示对每个选定的平台有效的注册模式。
注意:
选择包含 PIN 的任意注册模式时,会显示注册 PIN 模板字段,在此可单击注册 PIN。
-
如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。
发送安装链接
您必须通过设置页面在通知服务器上配置通道(SMTP 或 SMS),才能发送注册安装链接。有关详细信息,请参阅[通知](/zh-cn/xenmobile/server/users/notifications.html
-
配置这些设置,然后单击保存。
-
收件人: 对于要添加的每个收件人,单击添加,然后执行以下操作:
- 电子邮件: 键入收件人的电子邮件地址。此字段为必填字段。
- 电话号码: 键入收件人的电话号码。此字段为必填字段。
注意:
要删除现有收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾桶图标。此时将显示确认对话框。单击删除以删除列表,或单击取消以保留列表。
要编辑现有收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的铅笔图标。更新列表,然后单击保存以保存更改后的列表,或单击取消以保留列表不变。
- 通道: 选择用于发送注册安装链接的通道。可以通过 SMTP 或 SMS 发送通知。在通知服务器的设置页面上配置服务器设置后,才能激活这些通道。有关详细信息,请参阅 通知。
-
SMTP: 配置以下可选设置。如果不在这些字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
- 发件人: 键入可选发件人。
- 主题: 键入消息的可选主题。例如,“注册您的设备”。
- 消息: 键入要发送给收件人的可选消息。例如,“注册您的设备以获取组织应用程序和电子邮件的访问权限。”
-
SMS: 配置以下设置。如果不在此字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
- 消息: 键入要发送给收件人的消息。对于基于 SMS 的通知,这是必填字段。
注意: 在北美,超过 160 个字符的 SMS 消息将通过多条消息发送。
-
收件人: 对于要添加的每个收件人,单击添加,然后执行以下操作:
-
单击发送。
注意:
如果您的环境使用 sAMAccountName:在用户收到邀请并单击链接后,必须编辑用户名才能完成身份验证。用户名以 sAMAccountName@domainname.com 格式显示。用户必须删除 @domainname.com 部分。