XenMobile

共享设备

XenMobile 允许您配置可由多个用户共享的设备。例如,利用共享设备功能,医院的临床医生可以使用附近的任何设备访问应用程序和数据,而无需随身携带特定设备。您可能还希望执法、零售和制造等领域的工作者转向使用共享设备,以降低装备成本。

关于共享设备的要点

可以将支持的任何 iOS 和 Android 设备用作共享设备。有关支持的设备列表,请参阅 支持的设备操作系统

MDM 注册

  • 可在 iOS 和 Android 平板电脑和手机上使用。不支持面向 XenMobile Enterprise 共享设备的基本 Apple 部署计划注册。使用经过授权的 Apple 部署计划在此模式下注册共享设备。
  • 不支持客户端证书身份验证、Citrix PIN、Touch ID、用户熵和双重身份验证。

MDM+MAM 注册

  • 仅适用于 iOS 和 Android 设备。
  • 仅支持 Active Directory 用户名和密码身份验证。
  • 不支持客户端证书身份验证、Secure Hub 通行码、Touch ID、用户熵和双重身份验证。
  • 不支持仅 MAM 注册。设备必须在 MDM 下注册。
  • 仅支持 Secure Mail、Secure Web 和 ShareFile 移动应用程序。不支持 HDX 应用程序。
  • 仅支持 Active Directory 用户。不支持本地用户和组。
  • 要更新为 MDM+MAM,需要重新注册现有的仅 MDM 共享设备。
  • 用户无法共享设备上的本机应用程序。
  • 在首次注册期间下载后,移动生产力应用程序不会在用户登录期间再次下载。
  • 在 Android 上,出于安全考虑,要隔离每个用户的数据,请在 XenMobile 控制台中将 Disallow rooted devices(不允许已获得 Root 权限的设备)策略设置为

注册共享设备的必备条件

您必须先执行以下操作,才能注册共享设备:

MDM+MAM 注册的必备条件

  1. 创建 Active Directory 组。为其指定描述性名称,例如共享设备注册程序
  2. 将注册共享设备的 Active Directory 用户添加到此组。如果要使用一个专用于注册共享设备的新帐户,请创建新的 Active Directory 用户(例如 sdenroll),并将该用户添加到 Active Directory 组。

配置共享设备

按照以下步骤配置共享设备。

  1. 从 XenMobile 控制台,单击右上角的齿轮图标。此时将显示设置页面。
  2. 单击基于角色的访问控制,然后单击添加。此时将显示添加角色屏幕。
  3. 创建一个名为共享设备注册用户的共享设备注册用户角色,并在授权访问下选择共享设备注册人员权限。请务必在控制台功能中展开设备,然后选择选择性擦除设备。此设置可确保在取消注册设备后,可通过 Secure Hub 删除使用共享设备注册人员帐户预配的应用程序和策略。

    对于应用权限,保留默认设置至所有用户组,或使用至特定用户组向特定 Active Directory 用户组分配权限。

    “应用权限”选项图

    单击下一步以转至分配屏幕。将共享设备注册角色分配给在“必备条件”下的步骤 1 中为共享设备注册用户创建的 Active Directory 组。在下图中,citrix.lab 是 Active Directory 域,共享设备注册人员是 Active Directory 组。

    “分配”屏幕图

  4. 创建一个交付组,其中包含在用户未登录时要应用于设备的基本策略、应用程序和操作。然后,将该交付组与共享设备注册用户的 Active Directory 组关联。

    “交付组”设置图

  5. 在共享设备上安装 Secure Hub,然后使用共享设备注册用户帐户将其注册到 XenMobile 中。现在即可通过 XenMobile 控制台查看并管理设备。有关详细信息,请参阅注册设备

  6. 要应用不同的策略或为已通过身份验证的用户提供更多应用程序,必须创建与这些用户关联且仅部署到共享设备的交付组。在创建交付组时,请配置相应的部署规则,以确保将软件包部署到共享设备。有关详细信息,请参阅部署资源

  7. 要停止共享设备,请执行选择性擦除操作,以从设备中删除共享设备注册用户帐户。删除部署到设备的所有应用程序和策略。

共享设备用户体验

MDM 注册

用户只会看到他们可用的资源,而且在每个共享设备上都能获得同样的使用体验。共享设备注册策略和应用程序会始终保留在设备上。当未在共享设备中注册的用户登录到 Secure Hub 时,该用户的策略和应用程序将部署到设备中。当该用户注销时,系统将删除不属于共享设备注册的任何策略和应用程序。共享设备注册资源则完好无损。

MDM+MAM 注册

Secure Mail 和 Secure Web 将在由共享设备注册用户注册后部署到设备中。用户数据会安全地保留在设备上。当其他用户登录到 Secure Mail 或 Secure Web 时,系统不会将这些数据公开给这些用户。

一次只能有一个用户登录到 Secure Hub。上一个用户必须注销,下一个用户才能登录。出于安全原因,Secure Hub 不在共享设备上存储用户凭据,因此用户必须在每次登录时输入其凭据。Secure Hub 会阻止新登录,直至其删除与之前用户关联的策略、应用程序和数据。

共享设备注册不会更改应用程序升级过程。您可以照常将升级推送给共享设备的用户,而共享设备的用户可以直接在其设备上升级应用程序。

建议的 Secure Mail 策略

  • 为了获得最佳 Secure Mail 性能,请根据要共享设备的用户数设置 Max sync period(最长同步期限)。不建议允许无限同步。
共享设备的用户数量 建议的最长同步期限
21–25 1 周或更短
6–20 2 周或更短
5 或更少 1 个月或更短
  • 阻止启用联系人导出以避免向共享设备的其他用户公开用户的联系人。

  • 在 iOS 上,只能基于用户设置以下设置。所有其他设置都是共享该设备的用户通用的:

    • 通知
    • 签名
    • 外出
    • 同步邮件期限
    • S/MIME
    • 检查拼写
共享设备