安全操作
您可以通过管理 > 设备页面执行设备和应用程序安全操作。设备操作包括吊销、锁定、解锁和擦除。应用程序安全操作包括应用程序锁定和应用程序擦除。
-
激活锁绕过: 在设备激活之前,从受监管的 iOS 设备中移除激活锁。此命令不需要用户的个人 Apple ID 或密码。
-
应用程序锁定: 拒绝访问设备上的所有应用程序。在 Android 上,应用程序锁定后,用户无法登录 XenMobile。在 iOS 上,用户可以登录,但无法访问任何应用程序。
-
应用程序擦除: 从 Secure Hub 中移除用户帐户并取消注册设备。在您执行应用程序取消擦除操作之前,用户无法重新注册。
-
ASM 部署计划激活锁: 为在 Apple School Manager DEP 中注册的 iOS 设备创建激活锁绕过代码。
-
清除限制: 在受监管的 iOS 设备上,此命令允许 XenMobile 清除用户配置的限制密码和限制设置。
-
启用/禁用丢失模式: 将受监管的 iOS 设备置于丢失模式,并向设备发送要显示的消息、电话号码和脚注。第二次发送此命令会将设备退出丢失模式。
-
启用跟踪: 在 Android 或 iOS 设备上,此命令允许 XenMobile 以您定义的频率轮询特定设备的位置。要查看设备坐标和地图上的位置,请转至管理 > 设备,选择一个设备,然后单击编辑。设备信息位于常规选项卡下的安全部分。使用启用跟踪持续跟踪设备。Secure Hub 会在设备运行时定期报告位置。
-
完全擦除: 立即擦除设备上的所有数据和应用程序,包括任何存储卡中的数据和应用程序。
-
对于 Android 设备,此请求还可以包括擦除存储卡的选项。
-
对于具有工作资料的 Android Enterprise 完全托管设备(COPE 设备),您可以在选择性擦除移除工作资料后执行完全擦除。
- 对于 iOS 和 macOS 设备,即使设备已锁定,擦除也会立即发生。
- 对于 iOS 11 设备(最低版本):当您确认完全擦除时,可以选择保留设备上的蜂窝数据计划。
- 对于 iOS 11.3 设备(最低版本):当您确认完全擦除时,可以阻止 iOS 设备执行近距离设置。设置新 iOS 设备时,用户通常可以使用已配置的 iOS 设备来设置自己的设备。您可以阻止在 XenMobile Server 管理且已擦除的设备上进行近距离设置。
- 对于 iOS 17 设备(最低版本):当您确认完全擦除时,设备会自动擦除所有用户数据,连接到指定的 Wi-Fi 网络,并使用提供的注册配置文件重新注册到 MDM 服务器。
-
如果设备用户在存储卡内容被删除之前关闭设备,用户可能仍然可以访问设备数据。
- 您可以在请求发送到设备之前取消擦除请求。
-
-
定位: 在管理 > 设备页面设备详细信息 > 常规下,定位设备并报告设备位置,包括地图。定位是一次性操作。使用定位可在您执行操作时显示当前设备位置。要持续跟踪设备一段时间,请使用启用跟踪。
- 将此操作应用于 Android(Android Enterprise 除外)设备或 Android Enterprise(公司拥有或 BYOD)设备时,请注意以下行为:
- 定位要求用户在注册期间授予位置权限。用户可以选择不授予位置权限。如果用户在注册期间未授予权限,XenMobile 会在发送定位命令时再次请求位置权限。
- 将此功能应用于 iOS 或 Android Enterprise 设备时,请注意以下限制:
- 对于 Android Enterprise 设备,除非定位设备策略已将设备的定位模式设置为高精度或省电,否则此请求将失败。
- 对于 iOS 设备,此命令仅在设备处于 MDM 丢失模式时才成功。
- 将此操作应用于 Android(Android Enterprise 除外)设备或 Android Enterprise(公司拥有或 BYOD)设备时,请注意以下行为:
-
锁定: 远程锁定设备。当您丢失设备且不知道设备是否被盗时,此操作非常有用。XenMobile 会生成一个 PIN 码并将其设置到设备中。要访问设备,用户需要输入 PIN 码。使用取消锁定可从 XenMobile 控制台移除锁定。
-
锁定并重置密码: 远程锁定设备并重置密码。
- 对于在 Android Enterprise 工作资料模式下运行 Android 8.0 之前版本的设备不支持。
- 对于在 Android Enterprise 工作资料模式下运行 Android 8.0 或更高版本的设备:
- 发送的密码会锁定工作资料。设备未锁定。
- 如果未发送密码,或者发送的密码不符合密码要求,并且工作资料上尚未设置密码:设备被锁定。
- 如果未发送密码,或者发送的密码不符合密码要求,但工作资料上已设置密码:工作资料被锁定,但设备未锁定。
-
通知(响铃): 在 Android 设备上播放声音。
-
重新启动: 重新启动 Windows 10 和 Windows 11 设备。对于 Windows 平板电脑和 PC,将显示“系统即将重新启动”消息,然后设备将在五分钟内重新启动。
-
请求/停止 AirPlay 镜像: 在受监管的 iOS 设备上启动和停止 AirPlay 镜像。
-
重新启动/关机: 立即重新启动或关闭受监管的 iOS 设备。
-
吊销: 禁止设备连接到 。
-
吊销/授权 (iOS, macOS): 执行与选择性擦除相同的操作。吊销后,您可以重新授权设备以重新注册。
-
响铃: 如果设备处于丢失模式,响铃会在受监管的 iOS 设备上播放声音。声音会一直播放,直到您将设备从丢失模式中移除或用户禁用声音。
-
选择性擦除: 从设备中擦除所有公司数据和应用程序,保留个人数据和应用程序。选择性擦除后,用户可以重新注册设备。
- 选择性擦除 Android 设备不会断开设备与设备管理器和公司网络的连接。要阻止设备访问设备管理器,您还必须吊销设备证书。
- 选择性擦除 Android 设备还会吊销设备。您只能在重新授权或从控制台删除设备后才能重新注册设备。
- 对于具有工作资料的 Android Enterprise 完全托管设备(COPE 设备),您可以在选择性擦除移除工作资料后执行完全擦除。或者,您可以使用相同的用户名重新注册设备。重新注册设备会重新创建工作资料。
- 如果启用了 Samsung Knox API,选择性擦除设备还会移除 Samsung Knox 容器。
- 对于 iOS 和 macOS 设备,此命令会移除通过 MDM 安装的任何配置文件。
- 对 Windows 设备执行选择性擦除还会移除任何当前登录用户的配置文件文件夹内容。选择性擦除不会移除您通过配置交付给用户的任何 Web 剪辑。要移除 Web 剪辑,用户需要手动取消注册其设备。您无法重新注册已选择性擦除的设备。
- 解锁: 清除设备锁定后发送到设备的密码。此命令不会解锁设备。
在管理 > 设备中,设备详细信息页面还列出了设备安全属性。这些属性包括强 ID、锁定设备、激活锁绕过以及平台类型的其他信息。完全擦除设备字段包含用户 PIN 码。设备擦除后,用户必须输入该代码。如果用户忘记了代码,您可以在此处查找。
Android 设备的安全操作
| 安全操作 | Android(Android Enterprise 设备除外) | Android Enterprise (BYOD) | Android Enterprise(公司拥有) |
|---|---|---|---|
| 应用程序锁定 | 是 | 否 | 否 |
| 应用程序擦除 | 是 | 否 | 否 |
| 完全擦除 | 是 | 否 | 是 |
| 定位 | 是:对于运行 Android 6.0+ 的设备,定位要求用户在注册期间授予位置权限。用户可以选择不授予位置权限。如果用户在注册期间未授予权限,XenMobile 会在发送定位命令时再次请求位置权限。 | 是:对于运行 Android 6.0+ 的设备,定位要求用户在注册期间授予位置权限。用户可以选择不授予位置权限。如果用户在注册期间未授予权限,XenMobile 会在发送定位命令时再次请求位置权限。 | 是:对于运行 Android 6.0+ 的设备,定位要求用户在注册期间授予位置权限。用户可以选择不授予位置权限。如果用户在注册期间未授予权限,XenMobile 会在发送定位命令时再次请求位置权限。 |
| 锁定 | 是 | 是 | 是 |
| 锁定并重置密码 | 是 | 否 | 是 |
| 通知(响铃) | 是 | 是 | 是 |
| 吊销 | 是 | 是 | 是 |
| 选择性擦除 | 是 | 是 | 否 |
iOS 和 macOS 设备的安全操作
| 安全操作 | iOS | macOS |
|---|---|---|
| 激活锁绕过 | 是 | 否 |
| 应用程序锁定 | 是 | 否 |
| 应用程序擦除 | 是 | 否 |
| ASM 部署计划激活锁 | 是 | 否 |
| 清除限制 | 是 | 否 |
| 启用/禁用丢失模式 | 是 | 否 |
| 启用/禁用跟踪 | 是 | 否 |
| 完全擦除 | 是 | 是 |
| 定位 | 是 | 否 |
| 锁定 | 是 | 是 |
| 响铃 | 是 | 是 |
| 请求/停止 AirPlay 镜像 | 是 | 否 |
| 重新启动/关机 | 是 | 否 |
| 吊销/授权 | 是 | 是 |
| 选择性擦除 | 是 | 是 |
| 解锁 | 是 | 否 |
Windows 设备的安全操作
| 安全操作 | Windows 平板电脑 10 |
|---|---|
| 定位 | 是 |
| 锁定 | 是 |
| 锁定并重置密码 | 否 |
| 重新启动 | 是 |
| 吊销 | 是 |
| 响铃 | 否 |
| 选择性擦除 | 是 |
| 擦除 | 是 |
本文的其余部分提供了执行各种安全操作的步骤。您还可以自动执行某些操作。有关详细信息,请参阅自动化操作。
锁定 iOS 设备
您可以锁定丢失的 iOS 设备,并在设备锁定屏幕上显示附带的消息和电话号码。此功能支持运行 iOS 7 及更高版本的设备。
要在锁定的设备上显示消息和电话号码,请在 XenMobile 控制台中将密码策略设置为 true。或者,用户可以手动在设备上启用密码。
-
单击“管理 > 设备”。“设备”页面随即显示。
-
选择要锁定的 iOS 设备。
当您选中设备旁边的复选框时,选项菜单会显示在设备列表上方。当您单击列表中的其他任意位置时,选项菜单会显示在列表的右侧。
-
在选项菜单中,单击“保护”。“安全操作”对话框随即显示。
-
单击“锁定”。“安全操作”确认对话框随即显示。
-
(可选)键入将在设备锁定屏幕上显示的消息和电话号码。
对于运行 iOS 7 及更高版本的 iPad:iOS 会在您在“消息”字段中键入的内容后附加“丢失的 iPad”字样。
对于运行 iOS 7 及更高版本的 iPhone:如果您将“消息”字段留空并提供电话号码,Apple 会在设备锁定屏幕上显示“呼叫所有者”消息。
-
单击“锁定设备”。
从 XenMobile 控制台删除设备
重要:
从 XenMobile 控制台删除设备时,托管应用程序和数据仍保留在设备上。要从设备中删除托管应用程序和数据,请参阅本文后面的“删除设备”。
要从 XenMobile 控制台删除设备,请转至“管理 > 设备”,选择一个托管设备,然后单击“删除”。
选择性擦除设备
-
转至“管理 > 设备”,选择一个托管设备,然后单击“保护”。
-
在“安全操作”中,单击“选择性擦除”。
-
仅适用于 Android 设备,将设备与公司网络断开连接:设备擦除后,在“安全操作”中,单击“吊销”。
要在擦除发生之前撤回选择性擦除请求,请在“安全操作”中,单击“取消选择性擦除”。
删除设备
此过程将从设备中删除托管应用程序和数据,并从 XenMobile 控制台的“设备”列表中删除设备。您可以使用 Endpoint Management 公共 REST API 批量删除设备。
-
转至“管理 > 设备”,选择一个托管设备,然后单击“保护”。
-
单击“选择性擦除”。出现提示时,单击“执行选择性擦除”。
-
要验证擦除命令是否成功,请刷新“管理 > 设备”。在“模式”列中,MDM 和 MAM 的琥珀色表示擦除命令成功。
-
在“管理 > 设备”中,选择设备,然后单击“删除”。出现提示时,再次单击“删除”。
锁定、解锁、擦除或取消擦除应用程序
-
转至“管理 > 设备”,选择一个托管设备,然后单击“保护”。
-
在 安全操作 中,单击应用程序操作。
您还可以使用 安全操作 框来检查 Active Directory 中已禁用或已删除帐户的用户的设备状态。应用程序解锁或应用程序取消擦除操作的存在表示应用程序已锁定或已擦除。
应用程序擦除和取消擦除
-
转到 管理 > 设备。选择一个设备。
- 应用程序擦除
- 单击 安全 > 应用程序擦除。将显示一个对话框,其中包含以下消息:确定要擦除此设备上的应用程序吗? 单击 应用程序擦除。
- 应用程序取消擦除
- 单击 安全 > 应用程序取消擦除。将显示一个对话框,其中包含以下消息:确定要取消擦除此设备上的应用程序吗? 单击 设备应用程序取消擦除。
-
在设备上打开 Secure Hub,然后单击 Store。
- 启动 Secure Hub。
将 iOS 设备置于丢失模式
XenMobile 丢失模式设备属性可将 iOS 设备置于丢失模式。与 Apple 管理的丢失模式不同,XenMobile 丢失模式不要求用户执行以下任一操作来启用设备定位:配置 查找我的 iPhone/iPad 设置或为 Citrix Secure Hub 启用定位服务。
在 XenMobile 丢失模式下,只有 可以解锁设备。(相比之下,如果您使用 XenMobile 设备锁定功能,用户可以通过您提供的 PIN 码直接解锁设备。
要启用或禁用丢失模式:转到 管理 > 设备,选择一个受监督的 iOS 设备,然后单击 安全。然后,单击 启用丢失模式 或 禁用丢失模式。
如果单击 启用丢失模式,请键入在设备处于丢失模式时要显示的信息。
使用以下任一方法检查丢失模式状态:
- 在 安全操作 窗口中,验证按钮是否为 禁用丢失模式。
- 从 管理 > 设备 中,在 安全 下的 常规 选项卡上,查看上次的“启用丢失模式”或“禁用丢失模式”操作。
- 从 管理 > 设备 中,在 属性 选项卡上,验证 MDM 丢失模式已启用 设置的值是否正确。
如果在 iOS 设备上启用 XenMobile 丢失模式,XenMobile 控制台也会发生如下更改:
- 在 配置 > 操作 中,操作 列表不包括以下自动化操作:吊销设备、选择性擦除设备 和 完全擦除设备。
- 在 管理 > 设备 中,安全操作 列表不再包括 吊销 和 选择性擦除 设备操作。您仍然可以根据需要使用安全操作执行 完全擦除 操作。
对于运行 iOS 7 及更高版本的 iPad:iOS 会将“丢失的 iPad”字样附加到您在 安全操作 屏幕的 消息 中键入的内容。
对于运行 iOS 7 及更高版本的 iPhone:如果将 消息 留空并提供电话号码,Apple 会在设备锁定屏幕上显示“呼叫所有者”消息。
绕过 iOS 激活锁
激活锁是“查找我的 iPhone/iPad”的一项功能,可防止丢失或被盗的受监督设备重新激活。激活锁要求用户提供 Apple ID 和密码,然后才能禁用“查找我的 iPhone/iPad”、擦除设备或重新激活设备。对于贵组织拥有的设备,绕过激活锁是必要的,例如,用于重置或重新分配设备。
要启用激活锁,请配置并部署 XenMobile MDM 选项设备策略。然后,您可以在没有用户 Apple 凭据的情况下从 XenMobile 控制台管理设备。要绕过激活锁的 Apple 凭据要求,请从 XenMobile 控制台发出“激活锁绕过”安全操作。
例如,如果用户归还了丢失的手机,或者在完全擦除之前或之后设置设备:当手机提示输入 iTunes 帐户凭据时,您可以通过从 XenMobile 控制台发出“激活锁绕过”安全操作来绕过该步骤。
激活锁绕过的设备要求
- iOS 7.1(最低版本)
- 通过 Apple Configurator 或 Apple DEP 进行监督
- 配置了 iCloud 帐户
- 启用了“查找我的 iPhone/iPad”
- 已在 XenMobile 中注册
- 已将启用了激活锁的 MDM 选项设备策略部署到设备
要在对设备执行完全擦除之前绕过激活锁:
- 转到 管理 > 设备,选择设备,单击 安全,然后单击 激活锁绕过。
- 擦除设备。激活锁屏幕在设备设置期间不会出现。
要在对设备执行完全擦除之后绕过激活锁:
- 重置或擦除设备。激活锁屏幕在设备设置期间出现。
- 转到 管理 > 设备,选择设备,单击 安全,然后单击 激活锁绕过。
- 轻按设备上的“返回”按钮。主屏幕出现。
请记住以下事项:
- 建议您的用户不要禁用“查找我的 iPhone/iPad”。不要从设备执行完全擦除。在任何一种情况下,系统都会提示用户输入 iCloud 帐户密码。帐户验证后,用户在擦除所有内容和设置后将不会看到“激活 iPhone/iPad”屏幕。
- 对于已生成激活锁绕过代码且已启用激活锁的设备:如果在完全擦除后无法绕过“激活 iPhone/iPad”页面,则无需从 XenMobile 中删除设备。您或用户可以直接联系 Apple 支持以解除设备锁定。
- 在硬件清单期间,XenMobile 会查询设备以获取激活锁绕过代码。如果绕过代码可用,设备会将其发送到 XenMobile。然后,要从设备中删除绕过代码,请从 XenMobile 控制台发送“激活锁绕过”安全操作。此时, 和 Apple 拥有解除设备锁定所需的绕过代码。
- “激活锁绕过”安全操作依赖于 Apple 服务的可用性。如果该操作不起作用,您可以通过以下方式解除设备锁定。在设备上,手动输入 iCloud 帐户的凭据。或者,将用户名字段留空并在密码字段中键入绕过代码。要查找绕过代码,请转到 管理 > 设备,选择设备,单击 编辑,然后单击 属性。激活锁绕过代码 位于 安全信息 下。