iOS
要在 XenMobile Server 中管理 iOS 设备,请设置 Apple 提供的 Apple 推送通知服务 (APNs) 证书。有关信息,请参阅 APNs 证书。
注册配置文件确定 iOS 设备是否在 MDM+MAM 模式下注册,并带有用户可选择退出 MDM 的选项。XenMobile Server 支持对处于 MDM+MAM 模式的 iOS 设备使用以下身份验证类型。有关信息,请参阅证书和身份验证下的文章。
- 域
- 域加安全令牌
- 客户端证书
- 客户端证书加域
iOS 13 中对可信证书的要求:
Apple 对 TLS 服务器证书有新的要求。验证所有证书都符合 Apple 的新要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176。有关管理证书方面的帮助,请参阅在 XenMobile Server 中上载证书。
有关支持的操作系统,请参阅支持的设备操作系统。
iOS 14 兼容性
XenMobile Server 和 Citrix 移动应用程序与 iOS 14 兼容,但目前不支持新的 iOS 14 功能。
对于受监督的 iOS 设备,您最多可以将软件升级延迟 90 天。在适用于 iOS 的“限制”设备策略中,请使用以下设置:
- 强制执行延迟的软件更新
- 强制执行的软件更新延迟
请参阅 iOS 设置。这些设置不适用于用户注册模式或非监督(完全 MDM)模式下的设备。
必须保持公开状态的 Apple 主机名
某些 Apple 主机名必须保持打开状态,以确保 iOS、macOS 和 Apple App Store 的正常运行。阻止这些主机名可能会影响以下对象的安装、更新和正确操作:iOS、iOS 应用程序、MDM 操作以及设备和应用程序注册。有关详细信息,请参阅 https://support.apple.com/en-us/HT201999。
支持的注册方法
可以在注册配置文件中指定如何管理 iOS 设备。可以选择设备注册或不注册 MDM。
要为 iOS 设备配置注册设置,请转到配置 > 注册配置文件 > iOS。
下表列出了 XenMobile Server 支持 iOS 设备的注册方法:
| 方法 | 支持 |
|---|---|
| Apple 部署计划 | 是 |
| Apple 校园教务管理 | 是 |
| Apple Configurator | 是 |
| 手动注册 | 是 |
| 注册邀请 | 是 |
Apple 制定了面向企业和教育帐户的设备注册计划。对于企业帐户,需要在“Apple 部署计划”中注册才能使用 Apple 设备注册计划在 XenMobile Server 中注册和管理设备。该计划面向 iOS 和 macOS 设备。请参阅通过 Apple 部署计划部署设备。
对于教育帐户,需要创建一个 Apple 校园教务管理帐户。Apple 校园教务管理统一了部署计划和批量购买。Apple 校园教务管理的类型为教育 Apple 部署类型。请参阅与 Apple 教育功能相集成。
可以使用 Apple 部署计划批量注册 iOS 和 macOS 设备。可以直接从 Apple 、参与计划的 Apple 授权经销商或运营商处购买这些设备。无论您是否直接从 Apple 购买 iOS 设备,都可以使用 Apple Configurator 注册这些设备。请参阅Apple 设备的批量注册。
手动添加 iOS 设备
如果要手动添加 iOS 设备(例如用于测试目的),请按照以下步骤进行操作。
-
在 XenMobile Server 控制台中,单击管理 > 设备。此时将显示设备页面。
-
单击添加。此时将显示添加设备页面。
-
配置以下设置:
- 选择平台: 单击 iOS。
- 序列号: 键入设备序列号。
-
单击添加。设备将添加到所显示设备表的列表底部。要查看并确认设备详细信息,请执行以下操作:选择已添加的设备,然后在显示的菜单中,单击编辑。
注意:
选中某个设备旁边的复选框时,选项菜单将在设备列表上方显示。可以单击列表中的某个项目以在此列表的右侧显示选项菜单。
-
已配置 LDAP
-
如果使用本地组和本地用户:
-
一个或多个本地组。
-
分配给本地组的本地用户。
-
交付组与本地组相关联。
-
-
如果使用 Active Directory:
- 交付组与 Active Directory 组相关联。
-
-
常规页面列出设备标识符,例如,序列号和平台类型的其他信息。对于设备所有权,请选择公司或 BYOD。
常规页面还列出了设备安全属性,例如,强 ID、锁定设备、激活锁绕过和平台类型的其他信息。完全擦除设备字段包括用户的 PIN 代码。擦除设备后,用户必须输入该代码。如果用户忘记了该代码,您可以在此处查找。
-
属性页面列出了 XenMobile Server 要预配的设备属性。此列表显示了用于添加设备的预配文件中包含的任何设备属性。要添加属性,请单击添加,然后从列表中选择一种属性。有关每个属性的有效值,请参阅 PDF 设备属性名称和值。
添加属性时,它最初将显示在添加了该属性的类别下方。单击下一步,然后返回属性页面后,属性将显示在相应列表中。
要删除某个属性,请将鼠标悬停在列表上方,然后单击右侧的 X。XenMobile Server 将立即删除该项目。
-
其余的设备详细信息部分包含设备的摘要信息。
- 用户属性: 显示用户的 RBAC 角色、组成员身份、批量购买帐户和属性。可以从此页面停用批量购买帐户。
- 已分配的策略: 显示已分配策略的数量,包括已部署、挂起和失败的策略数量。提供每个策略的策略名称、类型和上次部署信息。
- 应用程序: 显示上一个清单的已安装、挂起和失败的应用程序部署数量。提供应用程序名称、标识符、类型和其他信息。有关 iOS 和 macOS 清单密钥(例如 HasUpdateAvailable)的说明,请参阅移动设备管理 (MDM) 协议。
- 媒体: 显示上一个清单的已部署、挂起和失败的媒体部署数量。
- 操作: 显示已部署、挂起和失败的操作数量。提供上一个部署的操作名称和时间。
- 交付组: 显示成功、挂起和失败的交付组数量。对于每个部署,提供交付组的名称和部署时间。选择一个交付组以查看更多详细信息,包括状态、操作以及通道或用户。
- iOS 配置文件: 显示上一个 iOS 配置文件清单,包括名称、类型、组织和说明。
- iOS 预配配置文件︰ 显示企业分发预配配置文件信息,例如 UUID、过期日期以及托管状态。
- 证书: 显示有效证书、已过期证书或已吊销证书信息,例如,类型、提供程序、颁发者、序列号、过期之前的剩余天数。
- 连接: 显示第一个连接状态和最后一个连接状态。提供每个连接的用户名、倒数第二次身份验证和上次身份验证时间。
- MDM 状态: 显示 MDM 状态、上次推送时间以及上次设备答复时间等信息。
配置 iOS 设备策略
使用这些策略可配置 XenMobile Server 与运行 iOS 的设备的交互方式。下表列出了适用于 iOS 设备的所有设备策略。
注册 iOS 设备
本部分内容介绍用户如何将 iOS 设备(12.2 或更高版本)注册到 XenMobile Server。有关 iOS 注册的详细信息,请打开以下视频:
- 在 iOS 设备上转到 Apple 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
- 当系统提示安装应用程序时,轻按下一步,然后轻按安装。
- 安装 Secure Hub 后,轻按打开。
- 输入您的企业凭据,例如 XenMobile Server 服务器名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步。
- 轻按是,注册以注册 iOS 设备。
- 此时将显示 XenMobile Server 收集的数据列表。单击 Next(下一步)。显示组织如何使用该数据的说明。单击 Next(下一步)。
- 键入凭据后,在出现提示时轻按允许以下载配置文件。下载配置文件后,轻按关闭。
- 在设备设置中,安装 iOS 证书并将设备添加到可信列表中。
- 转到设置 > 常规 > 配置文件 > XenMobile 配置文件服务,然后轻按安装以添加配置文件。
- 在通知窗口中,轻按信任,将您的设备注册到远程管理中。
- 注册成功后,打开 Secure Hub。如果要注册到 MDM+MAM:验证凭据后,在出现提示时创建并确认您的 Citrix PIN。
- 工作流程完成后,注册设备。随后即可访问应用商店来查看您安装在 iOS 设备上的应用程序。
安全操作
iOS 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作。
| 激活锁绕过 | 应用程序锁定 | 应用程序擦除 |
| ASM 激活锁 | 证书续订 | 清除限制 |
| 启用/禁用丢失模式 | 启用/禁用跟踪 | 完全擦除 |
| 查找 | 锁定 | 响铃 |
| 请求使用/停止使用 AirPlay 镜像 | 重新启动/关闭 | 吊销/授权 |
| 选择性擦除 | 解锁 |
锁定 iOS 设备
您可以锁定丢失的 iOS 设备,同时在设备锁屏界面上显示消息和电话号码。
要在锁定的设备上显示消息和电话号码,请在 XenMobile Server 控制台中将通行码策略设置为 true。用户也可以手动在设备上启用通行码。
-
单击管理 > 设备。此时将显示设备页面。
-
选择要锁定的 iOS 设备。
选中设备旁边的复选框以显示设备列表上方的选项菜单。单击列表中的其他任意位置可在列表右侧显示选项菜单。
-
在选项菜单中,选择安全。此时将显示安全操作对话框。
-
单击锁定。此时将显示安全操作确认对话框。
-
(可选)键入将显示在设备锁屏界面上的消息和电话号码。
iOS 会将“丢失的 iPad”字样附加到您在消息字段中键入的内容后。
如果将消息字段留空,并提供电话号码,Apple 将在设备锁屏界面上显示消息“呼叫所有者”。
-
单击锁定设备。
将 iOS 设备置于丢失模式
XenMobile Server 丢失模式设备属性将 iOS 设备置于丢失模式。与 Apple 托管丢失模式不同,XenMobile Server 丢失模式不要求用户执行以下任一操作来启用定位其设备:配置查找我的 iPhone/iPad 设置或为 Citrix Secure Hub 启用定位服务。
在 XenMobile Server 丢失模式下,只有 XenMobile Server 能够解锁设备。(与此相反,如果您使用 XenMobile Server 设备锁定功能,用户可以使用您提供的 PIN 代码直接解锁设备。
要启用或禁用丢失模式,请转至管理 > 设备,选择受监督的 iOS 设备,并单击安全。然后,单击启用丢失模式或禁用丢失模式。
如果单击启用丢失模式,请键入设备处于丢失模式时要在设备上显示的信息。
可使用以下任何方法来检查丢失模式状态:
- 在安全操作窗口中,确认按钮是否为禁用丢失模式。
- 在管理 > 设备中常规选项卡上的安全下方 ,查看最后一次“启用丢失模式”或“禁用丢失模式”操作。
- 在管理 > 设备中的属性选项卡上 ,确认已启用 MDM 丢失模式设置的值是否正确。
如果在 iOS 设备上启用 XenMobile Server 丢失模式,XenMobile Server 控制台也会更改,如下所示:
- 在配置 > 操作中,操作列表不包括这些自动化操作:吊销设备、选择性擦除设备和完全擦除设备。
- 在管理 > 设备中,安全操作列表不再包括吊销和选择性擦除设备的操作。您仍可以根据需要使用安全操作来执行完全擦除操作。
iOS 会将“丢失的 iPad”字样附加到您在安全操作屏幕的消息中输入的内容后。
如果将消息留空,并提供电话号码,Apple 将在设备锁屏界面上显示消息“呼叫所有者”。
绕过 iOS 激活锁
激活锁是一项“查找我的 iPhone/iPad”功能,用于阻止重新激活丢失或被盗的受监督设备。激活锁需要用户的 Apple ID 和密码,之后用户才能执行以下操作:关闭“查找我的 iPhone/iPad”、擦除设备或重新激活设备。对于组织拥有的设备,绕过激活锁是(例如)重置或重新分配设备的必要操作。
要启用激活锁,请配置并部署 XenMobile Server MDM 选项设备策略。之后可以从 XenMobile Server 控制台管理设备,而不需要用户的 Apple 凭据。要绕过激活锁的 Apple 凭据要求,请从 XenMobile Server 控制台发出“激活锁绕过”安全操作。
例如,如果用户在执行完全擦除操作之前或之后归还了丢失的手机或设置了设备:手机提示输入 Apple App Store 帐户凭据时,可以通过从 XenMobile Server 控制台发出“激活锁绕过”安全操作来绕过该设置。
激活锁绕过的设备要求
- 通过 Apple Configurator 或 Apple 部署计划进行监督
- 配置了 iCloud 帐户
- 已启用“查找我的 iPhone/iPad”
- 已在 XenMobile Server 中注册
- “MDM 选项”设备策略(启用了激活锁)已部署到设备
要在发出设备的完全擦除操作之前绕过激活锁,请执行以下操作:
- 转至管理 > 设备,选择设备,单击安全,然后单击激活锁绕过。
- 擦除设备。激活锁屏幕在设备设置过程中不显示。
要在发出设备的完全擦除操作之后绕过激活锁,请执行以下操作:
- 重置或擦除设备。激活锁屏幕在设备设置过程中显示。
- 转至管理 > 设备,选择设备,单击安全,然后单击激活锁绕过。
- 轻按设备上的“返回”按钮。此时将显示主屏幕。
请紧急以下几点:
- 建议您的用户不要关闭“查找我的 iPhone/iPad”。请勿从设备执行完全擦除操作。在这些情况下,系统将提示用户输入 iCloud 帐户密码。验证帐户后,用户在擦除所有内容和设置后将看不到“激活 iPhone/iPad”屏幕。
- 对于具有生成的激活锁绕过码并且启用了激活锁的设备:如果在执行完全擦除操作后无法绕过“激活 iPhone/iPad”页面,则不需要从 XenMobile Server 中删除设备。您或用户可以联系 Apple 技术支持人员来直接解锁设备。
- 确认硬件清单过程中,XenMobile Server 将查询设备中是否存在激活锁绕过码。如果绕过码可用,设备会将其发送到 XenMobile Server。之后,要从设备中删除绕过码,请从 XenMobile Server 控制台发送“激活锁绕过”安全操作。此时,XenMobile Server 和 Apple 将具有解锁设备所需的绕过码。
- “激活锁绕过”安全操作依赖 Apple 服务的可用性。如果该操作无法运行,您可以按如下所示解锁设备。在设备上,手动输入 iCloud 帐户的凭据。或者,将“用户名”字段留空,并在“密码”字段中键入绕过码。要查找绕过码,请转至管理 > 设备,选择设备,单击编辑,然后单击属性。激活锁绕过码显示在安全信息下。