注册设备

为了安全地远程管理用户设备,请在 XenMobile 中注册这些设备。将 XenMobile 客户端软件安装在用户设备上并验证用户的身份。然后,安装 XenMobile 和用户配置文件。之后,您可以在 XenMobile 控制台中执行设备管理任务。可以应用策略、部署应用程序、将数据推送到设备以及锁定、擦除和定位丢失或被盗的设备。

iOS、Android 和 Windows 10 设备支持 Azure Active Directory 注册。有关将 Azure 配置为身份提供程序 (IDP) 的详细信息,请参阅 XenMobile 与作为 IDP 的 Azure Active Directory 的集成

注意:

必须先申请 APNs 证书才能注册 iOS 设备用户。有关详细信息,请参阅证书和身份验证

要针对用户和设备更新配置选项,请转至管理 > 注册邀请页面。有关详细信息,请参阅本文中的发送注册邀请

Android 设备

注意:

有关注册 Android for Work 设备的信息,请参阅 Android for Work。

  1. 在 Android 设备上转到 Google Play 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
  2. 系统提示安装应用程序时,单击下一步,然后单击安装
  3. 安装 Secure Hub 后,轻按打开
  4. 输入您的企业凭据,例如 XenMobile Server 名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步
  5. Activate device administrator(激活设备管理员)屏幕中,轻按激活
  6. 输入公司密码,然后轻按登录
  7. 系统可能会要求您创建一个 Citrix PIN,具体取决于 XenMobile 的配置方式。可以使用该 PIN 登录 Secure Hub 或其他启用了 XenMobile 的应用程序,例如 Secure Mail 和 ShareFile。请输入 Citrix PIN 两次。在 Create Citrix PIN(创建 Citrix PIN)屏幕上,输入一个 PIN。
  8. 重新输入 PIN。此时会打开 Secure Hub。这时即可访问 XenMobile Store 来查看您可以安装在 Android 设备上的应用程序。
  9. 如果您在注册后将 XenMobile 配置为自动向设备推送应用程序,系统将提示用户安装这些应用程序。此外,您在 XenMobile 中配置的策略将部署到设备。轻按安装以安装应用程序。

取消注册和重新注册 Android 设备

用户可以从 Secure Hub 内部取消注册。用户通过以下过程取消注册时,设备将仍然在 XenMobile 控制台的设备清单中显示。但您无法在设备上执行操作。无法跟踪设备,也无法监视设备合规性。

  1. 轻按以打开 Secure Hub 应用程序。

  2. 执行以下操作,具体取决于您拥有的是手机还是平板电脑:

    在手机上:

    • 从屏幕左侧轻扫以打开设置窗格。

    • 依次轻按首选项帐户删除帐户

    在平板电脑上:

    • 轻按右上角的电子邮件地址旁边的箭头。

    • 依次轻按首选项帐户删除帐户

  3. 轻按重新注册。将显示一条消息,提示您确认是否要重新注册自己的设备。

  4. 轻按确定

    您的设备将取消注册。

  5. 请按照屏幕上的说明重新注册设备。

使用用户提供的凭据的 iOS 设备

  1. 从设备上的 Apple iTunes App Store 下载 Secure Hub 应用程序,然后在设备上安装该应用程序。

  2. 在 iOS 设备主屏幕上,轻按 Secure Hub 应用程序。

  3. Secure Hub 应用程序打开时,输入技术支持人员提供的服务器地址。

    显示的屏幕可能因这些示例而异,具体取决于 XenMobile 的配置方式。

    包含服务器地址提示的 Secure Hub 图

  4. 系统提示时,输入您的用户名和密码或 PIN。单击下一步

    登录屏幕图

  5. 系统提示注册时,单击是,注册,然后在收到提示时输入您的凭据。

    “是,注册”按钮图

  6. 轻按安装以安装 Citrix Profile Service。

    Citrix Profile Service 屏幕图

  7. 轻按信任

    远程管理信任屏幕图

  8. 轻按打开,然后输入您的凭据。

    Secure Hub 打开图

    凭据提示图

使用派生凭据的 iOS 设备

注册要求用户向连接到其桌面的读卡器中插入智能卡。

  1. 用户安装 Secure Hub 以及您的派生凭据提供程序提供的应用程序。

    适用于 Intercede 的身份提供程序为 MyID for Citrix。下面是该应用程序的徽标。

    Intercede 徽标图

  2. 用户启动 Secure Hub。系统提示时,用户键入 XenMobile Server 的完全限定域名,然后单击下一步。在 Secure Hub 中的注册将开始运行。如果 XenMobile Server 支持派生凭据,Secure Hub 将提示用户创建一个 Citrix PIN。

    Secure Hub 注册屏幕图

    “是,注册”按钮图

    Citrix PIN 屏幕图

  3. 用户按照说明进行操作,激活其智能凭据。此时将显示一个启动屏幕,然后显示扫描 QR 代码的提示。

    QR 代码扫描屏幕图

  4. 用户将卡插入连接到桌面的智能卡读卡器中。桌面应用程序随后将显示一个 QR 代码,并提示用户使用其移动设备扫描该代码。

    身份确认屏幕图

  5. 系统提示时,用户输入其 Secure Hub PIN。

    PIN 输入屏幕图

  6. 对该 PIN 进行身份验证后,Secure Hub 将下载证书。用户随后将按照提示完成注册。

要在 XenMobile 控制台中查看设备信息,请执行以下操作:

  • 转至管理 > 设备,然后选择一个设备以显示命令框。单击显示更多

  • 转至分析 > 控制板

macOS 设备

XenMobile 提供两种方法来注册运行 macOS 的设备。这两种方法都使 macOS 用户能够直接从其设备无线注册。

  • 向用户发送注册邀请: 此注册方法允许您为 macOS 设备设置以下任意注册模式:

    • 用户名 + 密码

    • 用户名 + PIN

    • 双重身份验证

    用户按照注册邀请中的说明进行操作时,将显示一个填写了用户名的登录屏幕。

  • 向用户发送安装链接: 此注册方法适用于 macOS 设备,向用户发送一个注册链接,用户可以在 Safari 或 Chrome 浏览器中打开该链接。用户随后通过提供其用户名和密码进行注册。

    要阻止对 macOS 设备使用注册链接,请将服务器属性启用 macOS OTAE 设置为 false。因此,macOS 用户只能使用注册邀请进行注册。

向用户发送注册邀请

  1. (可选)在 XenMobile 控制台中设置 macOS 设备策略。有关设备策略的详细信息,请参阅设备策略

  2. 添加面向 macOS 用户注册的邀请。有关详细信息,请参阅本文中的发送注册邀请

  3. 用户收到邀请并单击链接后,以下屏幕将在 Safari 浏览器中显示。XenMobile 填写用户名。如果您为注册模式选择双重,则将显示另一个字段。

    Safari 浏览器根证书消息图

  4. 用户根据需要安装证书。用户是否会收到安装证书的提示取决于您是否为 macOS 配置了以下证书:公众信任的 SSL 证书和公众信任的数字签名证书。有关证书的详细信息,请参阅证书和身份验证

  5. 用户提供请求的凭据。

    安装 Mac 设备策略。现在即可以像管理移动设备一样使用 XenMobile 管理 Mac。

向用户发送安装链接

  1. (可选)在 XenMobile 控制台中设置 macOS 设备策略。有关设备策略的详细信息,请参阅设备策略

  2. 发送注册链接 https://serverFQDN:8443/instanceName/macos/otae,用户可以在 Safari 或 Chrome 浏览器中打开该链接。

    • serverFQDN 是运行 XenMobile 的服务器的完全限定域名 (FQDN)。
    • 端口 8443 为默认安全端口。如果已配置其他端口,请使用该端口替换 8443。
    • instanceName(通常显示为 zdm)为在服务器安装过程中指定的名称。

    有关发送安装链接的详细信息,请参阅发送安装链接

  3. 用户根据需要安装证书。如果您为 iOS 和 macOS 配置了公众信任的 SSL 证书和数字签名证书,用户将看到安装证书的提示。有关证书的详细信息,请参阅证书和身份验证

  4. 用户登录其 Mac 设备。

    安装 Mac 设备策略。现在即可以像管理移动设备一样使用 XenMobile 管理 Mac。

Windows 设备

注意:

本节包括对 Windows Phone 8.1 设备的引用,Microsoft 已将该设备的支持结束日期移至 2017 年 7 月 11 日。XenMobile 当前仅支持对 Windows Phone 8.1 设备执行 MDM 注册。

运行 Windows 10 的设备向 Azure 注册是一种联合 Active Directory 身份验证方法。可以采用下列方法之一将 Windows 10 设备连接到 Microsoft Azure AD:

  • 首次打开设备电源时在 Azure AD 联接启用过程中在 MDM 中注册。
  • 配置设备后,从“Windows 设置”页面执行 Azure AD 联接过程中在 MDM 中注册。

可以在 XenMobile 中注册运行以下 Windows 操作系统的设备:

  • Windows 10 Phone 和 Tablet
  • Windows Phone 8.1

用户可以直接通过其设备注册。

注意:

对于 Windows 10 RS2 Phone 和 Tablet,在重新注册过程中,系统不提示用户提供服务器 URL。要解决此问题,请重新启动设备。或者,在电子邮件地址屏幕上,轻按正在连接到服务中的 X 以转至服务器 URL 页面。这是第三方问题。

必须为用户注册配置自动发现和 Windows 发现服务,才能启用对受支持的 Windows 设备的管理。

必须先在 XenMobile 中配置 Microsoft Azure 服务器,Windows 设备用户才能使用 Azure 进行注册。有关详细信息,请参阅 Microsoft Azure Active Directory 服务器设置

注意:

SSL 侦听器证书必须是公用证书,才能注册 Windows 设备。如果上载了自签名 SSL 证书,注册将失败。

在配置自行发现的情况下注册 Windows 设备

要启用对 Windows 设备的管理,Citrix 建议您配置自动发现和 Windows 发现服务。有关详细信息,请参阅启用自动发现

  1. 在设备上,找到并安装所有可用的 Windows 更新。

  2. 对于 Windows 10:在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校。对于 Windows 8.1 Phone:轻按电脑设置 > 网络 > 工作区

  3. 输入您的公司电子邮件地址,然后轻按继续(在 Windows 10 上)或打开设备管理(在 Windows 8.1 上)。要注册为本地用户,请输入带有正确域名的不存在的电子邮件地址(例如 foo@mydomain.com)。这将允许您绕过已知 Microsoft 限制,即注册由 Windows 上的内置设备管理执行;在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。设备即会自动发现 XenMobile Server 并开始注册过程。

  4. 输入您的密码。使用与某帐户相关的密码,该帐户应该是 XenMobile 中用户组的一部分。

  5. 对于 Windows 10:在使用条款对话框中,指明您同意托管自己的设备,然后轻按接受。对于 Windows 8.1:在允许 IT 管理员提供的应用和服务对话框中,指明您同意托管自己的设备,然后轻按打开

在不配置自行发现的情况下注册 Windows 设备

可以在不配置自动发现的情况下注册 Windows 设备。但是,Citrix 建议您配置自动发现。由于在不配置自动发现的情况下进行注册会导致在连接到所需的 URL 前调用端口 80,因此,这不是用于生产部署的最佳做法。Citrix 建议您仅在测试环境和概念验证部署中使用此过程。

  1. 在设备上,找到并安装所有可用的 Windows 更新。

  2. 对于 Windows 10:在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校。对于 Windows 8.1:轻按电脑设置 > 网络 > 工作区

  3. 输入企业电子邮件地址。

  4. 对于 Windows 10:如果未配置自动发现,则将显示一个选项,您可以在此处输入服务器详细信息,如步骤 5 中所述。对于 Windows 8.1:如果自动检测服务器地址设置为,请轻按以关闭此选项。

  5. 对于 Windows 10:在输入服务器地址字段中,键入地址:https://serverfqdn:8443/serverInstance/wpe

    如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。

    对于 Windows 8.1:按以下格式键入服务器地址:https://serverfqdn:8443/serverInstance/Discovery.svc

    如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。

  6. 键入密码。

  7. 对于 Windows 10:在使用条款对话框中,指明您同意托管自己的设备,然后轻按接受。对于 Windows 8.1:在允许 IT 管理员提供的应用和服务对话框中,指明您同意托管自己的设备,然后轻按打开

注册 Windows Phone 设备

要在 XenMobile 中注册 Windows Phone 设备,用户需要使用其 Active Directory 或内部网络电子邮件地址和密码。如果未设置自动发现,用户还需要 XenMobile Server 的服务器 Web 地址。然后,他们需要按照此过程在设备上完成注册。

注意:

如果您计划通过 Windows Phone 企业应用商店部署应用程序,则在用户注册前,请确保您已配置企业中心策略(具有签名的 Secure Hub、适用于您支持的每个平台的 Windows Phone 应用程序)。

  1. 在 Windows Phone 的主屏幕上,轻按设置图标。

    • 对于 Windows 10:轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校,或轻按帐户 > 工作单位访问权限 > 注册移动设备管理,具体取决于您使用的版本。
    • 对于 Windows 8.1:轻按电脑设置 > 网络 > 工作区,然后轻按添加帐户
  2. 在下一屏幕上,输入电子邮件地址和密码,然后轻按登录

    如果为域配置了自动发现,随后几个步骤中所需的信息将会自动填充。继续执行步骤 8。

    如果没有为域配置自动发现,请继续执行下一步。要注册为本地用户,请输入带有正确域名的不存在的电子邮件地址(例如 foo@mydomain.com)。这将允许您绕过已知 Microsoft 限制;在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。

  3. 在下一屏幕上,输入 XenMobile Server 的 Web 地址,例如:https://<xenmobile_server>:<portnumber>/<instancename>/wpe。例如 https://mycompany.mdm.com:8443/zdm/wpe

    注意:

    必须将端口号调整为适用于您的实现。该端口必须与您用于 iOS 注册的端口相同。

  4. 如果通过用户名和域进行身份验证,请输入用户名和域,然后轻按登录

  5. 如果出现提示证书有问题的屏幕,该错误是由于使用自签名证书造成的。如果服务器可信,请轻按继续。否则,轻按取消

  6. 在 Windows Phone 8.1 上,添加帐户时,可以选择 Install company app(安装公司应用程序)。如果管理员已配置 Company App Store,请选中此选项,然后轻按完成。如果取消选中此选项,您需要重新注册设备才能接收 Company App Store。

  7. 在 Windows Phone 8.1 上,在已添加帐户屏幕上,轻按完成

  8. 要强制连接到某一服务器,请轻按“刷新”图标。如果设备没有手动连接到服务器,XenMobile 会尝试重新连接。XenMobile 会每 3 分钟连续 5 次连接设备,然后间隔改为 2 小时。您可以在服务器属性中的 Windows WNS 检测信号间隔中修改此连接率。注册完成后,Secure Hub 将在后台注册。安装完成时不会提示。在所有应用程序屏幕中,轻按 Secure Hub。

发送注册邀请

在 XenMobile 控制台中,可以向 iOS、macOS 和 Android 设备的用户发送注册邀请。还可以向 iOS 或 Android 设备的用户发送安装链接。

注册邀请的发送方式如下所示:

  • 如果注册邀请面向本地用户或 Active Directory 用户:用户将通过您指定的电话号码和运营商收到来自 SMS 的邀请。

  • 如果注册邀请面向组:用户将收到来自 SMS 的邀请。如果 Active Directory 用户在 Active Directory 中具有电子邮件地址和移动电话号码,则会收到该邀请。本地用户将通过在用户属性中指定的电子邮件和电话号码收到邀请。

用户注册后,其设备在管理 > 设备上将显示为托管设备。邀请 URL 的状态显示为已兑换

必备条件

  • 在企业 (XME) 或 MDM 模式下配置的 XenMobile Server
  • 已配置 LDAP
  • 如果使用本地组和本地用户:

    • 一个或多个本地组。

    • 分配给本地组的本地用户。

    • 交付组与本地组相关联。

  • 如果使用 Active Directory:

    • 交付组与 Active Directory 组相关联。

创建注册邀请

  1. 在 XenMobile 控制台中,单击管理 > 注册邀请。此时将显示注册邀请页面。

    XenMobile 控制台“注册邀请”页面图

  2. 单击添加。此时将显示一个注册选项菜单。

    “添加邀请”菜单图

    • 要向用户或组发送注册邀请,请单击添加邀请
    • 要通过 SMTP 或 SMS 向收件人列表发送注册安装链接,请单击发送安装链接

    如何发送注册邀请和安装链接将在这些步骤之后进行介绍。

  3. 单击添加邀请。将显示注册邀请屏幕。

    “注册邀请”屏幕图

  4. 配置以下设置:

    • 收件人: 选择用户
    • 选择平台: 如果收件人,则默认选择所有平台。可以更改所选平台。如果收件人用户,则不选择任何平台。选择平台。
    • 设备所有权: 选择公司员工

    此时将显示用户或组的设置,如以下各节中所述。

向用户发送注册邀请

“注册邀请”设置图

  1. 配置以下用户设置:

    • 用户名: 键入用户名。用户必须作为本地用户或 Active Directory 中的用户存在于 XenMobile Server 中。如果用户是本地用户,请务必设置用户的电子邮件属性,以便能够向该用户发送通知。如果用户在 Active Directory 中,请务必配置 LDAP。
    • 设备信息: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。选择序列号UDIDIMEI。选择某个选项后,将显示一个字段,您可以在此处键入设备的相应值。
    • 电话号码: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。(可选)键入用户的电话号码。
    • 运营商: 如果您选择了多个平台,或者仅选择了 macOS,此设置将不显示。选择要与用户的电话号码关联的运营商。
    • 注册模式: 选择希望用户采用的注册方式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
      • 用户名 + 密码
      • 高安全性
      • 邀请 URL
      • 邀请 URL + PIN
      • 邀请 URL + 密码
      • 双重身份验证
      • 用户名 + PIN

    仅显示对每个选定的平台有效的注册模式。用于注册的 PIN 又称为一次性 PIN。此类 PIN 仅在用户注册时有效。

    注意:

    选择包含 PIN 的任意注册模式时,会显示注册 PIN 模板字段,在此可单击注册 PIN

    • 代理下载模板: 选择名为下载链接的下载链接模板。该模板适用于受支持的所有平台。
    • 注册 URL 模板: 选择注册邀请
    • 注册确认模板: 选择注册确认
    • 此时间后过期: 此字段在配置注册模式时设置,用于指出注册的过期时间。有关配置注册模式的详细信息,请参阅配置注册模式
    • 最大尝试次数: 此字段在配置注册模式时设置,用于指出执行注册过程的最大次数。有关配置注册模式的详细信息,请参阅配置注册模式
    • 发送邀请: 选择将立即发送邀请。选择将向注册邀请页面上的表格中添加邀请,但不发送。
  2. 如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。

    “注册邀请”页面上的表格图

向组发送注册邀请

下图中显示了用于配置向组发送的注册邀请的设置。

向组发送的注册邀请页面图

  1. 配置以下设置:

    • 域: 选择要接收邀请的组的域。
    • 组: 选择要接收邀请的组。
    • 注册模式: 选择希望组中的用户采用的注册方式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
      • 用户名 + 密码
      • 高安全性
      • 邀请 URL
      • 邀请 URL + PIN
      • 邀请 URL + 密码
      • 双重身份验证
      • 用户名 + PIN

    仅显示对每个选定的平台有效的注册模式。

    注意:

    选择包含 PIN 的任意注册模式时,会显示注册 PIN 模板字段,在此可单击注册 PIN

    • 代理下载模板: 选择名为下载链接的下载链接模板。该模板适用于受支持的所有平台。
    • 注册 URL 模板: 选择注册邀请
    • 注册确认模板: 选择注册确认
    • 此时间后过期: 此字段在配置注册模式时设置,用于指出注册的过期时间。有关配置注册模式的详细信息,请参阅配置注册模式
    • 最大尝试次数: 此字段在配置注册模式时设置,用于指出执行注册过程的最大次数。有关配置注册模式的详细信息,请参阅配置注册模式
    • 发送邀请: 选择将立即发送邀请。选择将向注册邀请页面上的表格中添加邀请,但不发送。
  2. 如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。

    “注册邀请”表格图

发送安装链接

您必须通过设置页面在通知服务器上配置通道(SMTP 或 SMS),才能发送注册安装链接。有关详细信息,请参阅[通知] (/zh-cn/xenmobile/server/users/notifications.html

"发送安装链接"页面图

  1. 配置这些设置,然后单击保存

    • 收件人: 对于要添加的每个收件人,单击添加,然后执行以下操作:
      • 电子邮件: 键入收件人的电子邮件地址。此字段为必填字段。
      • 电话号码: 键入收件人的电话号码。此字段为必填字段。

    注意:

    要删除现有收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾桶图标。此时将显示确认对话框。单击删除以删除列表,或单击取消以保留列表。

    要编辑现有收件人,请将鼠标悬停在包含此列表的行上方,然后单击右侧的铅笔图标。更新列表,然后单击保存以保存更改后的列表,或单击取消以保留列表不变。

    • 通道: 选择用于发送注册安装链接的通道。可以通过 SMTPSMS 发送通知。在通知服务器设置页面上配置服务器设置后,才能激活这些通道。有关详细信息,请参阅通知
    • SMTP: 配置以下可选设置。如果不在这些字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
      • 发件人: 键入可选发件人。
      • 主题: 键入消息的可选主题。例如,“注册您的设备”。
      • 消息: 键入要发送给收件人的可选消息。例如,“注册您的设备以获取组织应用程序和电子邮件的访问权限。”
    • SMS: 配置以下设置。如果不在此字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
      • 消息: 键入要发送给收件人的消息。对于基于 SMS 的通知,这是必填字段。

    注意: 在北美,超过 160 个字符的 SMS 消息将通过多条消息发送。

  2. 单击发送

    注意:

    如果您的环境使用 sAMAccountName:在用户收到邀请并单击链接后,必须编辑用户名才能完成身份验证。用户名以 sAMAccountName@domainname.com 格式显示。用户必须删除 @domainname.com 部分。