XenMobile Server

用户帐户、角色和注册

可以在 XenMobile 控制台中的管理选项卡和设置页面上配置用户帐户、角色和注册。除非另有说明,否则本文提供完成以下任务的步骤。

  • 用户帐户和组:
    • 管理 > 用户,手动添加用户帐户或使用 .csv 预配文件导入帐户并管理本地组。
    • 设置 > 工作流,使用工作流对用户帐户的创建和删除进行管理。
  • 用户帐户和组的角色
    • 设置 > 基于角色的访问控制,向用户和组分配预定义角色或权限集合。这些权限控制用户对系统功能的访问级别。有关详细信息,请参阅使用 RBAC 配置角色
    • 设置 > 通知模板,创建或更新用于自动化操作、注册和发送给用户的标准通知消息的通知模板。配置通知模板以通过三种不同的通道发送消息:Secure Hub、SMTP 或 SMS。有关详细信息,请参阅:创建和更新通知模板
  • 注册安全模式和邀请

添加、编辑、解锁或删除本地用户帐户

可以手动向 XenMobile 中添加本地用户帐户,也可以使用预配文件导入帐户。有关从预配文件导入用户的步骤,请参阅导入用户帐户

  1. 在 XenMobile 控制台中,单击管理 > 用户。此时将显示用户页面。

    用户管理示意图

  2. 单击显示过滤器以过滤列表。

添加本地用户帐户

  1. 用户页面上,单击添加本地用户。此时将显示添加本地用户页面。

    用户管理示意图

  2. 配置以下设置:

    • 用户名: 键入名称,这是必填字段。可以在名称中包含空格,也可以包含大写和小写字母。
    • 密码: 键入可选用户密码。密码的长度至少为 14 个字符,并且必须满足以下全部条件:
      • 至少包含两个数字
      • 至少包含一个大写字母和一个小写字母
      • 至少包含一个特殊字符
      • 不要包含字典单词或限制单词,例如 Citrix 用户名或电子邮件地址
      • 不要包含三个以上的连续字符和重复字符或键盘模式,例如 1111、1234 或 asdf
    • 角色: 在列表中,单击用户角色。有关角色的详细信息,请参阅使用 RBAC 配置角色。可能的选项包括:
      • ADMIN
      • DEVICE_PROVISIONING
      • SUPPORT
      • USER
    • 成员身份: 在列表中,单击要添加此用户的一个或多个组。
    • 用户属性: 添加可选用户属性。对于要添加的每个用户属性,单击添加,然后执行以下操作:
      • 用户属性: 在列表中,单击某个属性,然后在该属性旁边的字段中键入用户属性。
      • 单击完成保存用户属性或单击取消

    要删除现有用户属性,请将鼠标悬停在包含此属性的行上,然后单击右侧的 X。属性立即被删除。

    要编辑现有用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消保留列表不变。

  3. 单击保存

编辑本地用户帐户

  1. 用户页面上的用户列表中,通过单击选择某个用户,然后单击编辑。此时将显示编辑本地用户页面。

    用户配置页面图

  2. 适当更改以下信息:

    • 用户名: 无法更改用户名。
    • 密码: 更改或添加用户密码。
    • 角色: 在列表中,单击用户角色。
    • 成员身份: 在列表中,单击要添加或编辑用户帐户的一个或多个组。要从组中删除用户帐户,请取消选中组名称旁边的复选框。
    • 用户属性: 请执行以下操作之一:
      • 对于您要更改的各个用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消保留列表不变。
      • 对于要添加的每个用户属性,单击添加,然后执行以下操作:
        • 用户属性: 在列表中,单击某个属性,然后在该属性旁边的字段中键入用户属性。
        • 单击完成保存用户属性或单击取消
      • 对于要删除的每个现有用户属性,请将鼠标悬停在包含此属性的行上,然后单击右侧的 X。属性立即被删除。
  3. 单击保存以保存您所做的更改,或者单击取消保留用户不变。

解锁本地用户帐户

  1. 用户页面上的用户帐户列表中,通过单击选择某个用户帐户。

  2. 单击解锁本地用户。此时将显示确认对话框。

  3. 单击解锁以解锁用户帐户,或者单击取消保持用户不变。

删除本地用户帐户

  1. 用户页面上的用户帐户列表中,通过单击选择某个用户帐户。

可以通过选中每个用户帐户旁边的复选框,选择多个要删除的用户帐户。

  1. 单击删除。此时将显示确认对话框。

  2. 单击删除以删除用户帐户或单击取消

删除 Active Directory 用户

要一次删除一个或多个 Active Directory 用户,请选择这些用户,然后单击删除

如果要删除的用户具有已注册的设备,而您希望重新注册这些设备,请先删除这些设备,然后再重新注册。要删除某个设备,请转至管理 > 设备,选择该设备,然后单击删除

导入用户帐户

您可以从称为预配文件的 .csv 文件导入本地用户帐户和属性,该文件可以手动创建。有关设置预配文件格式的详细信息,请参阅预配文件的格式

注意:

  • 对于本地用户,请使用域名以及导入文件中的用户名。例如,指定 username@domain。如果在 XenMobile 中将创建或导入的本地用户用于托管域,则用户无法使用对应的 LDAP 凭据进行注册。
  • 如果将用户帐户导入到 XenMobile 内部用户目录,请禁用默认域以加快导入过程的速度。请谨记,禁用域会影响注册,因此,请在内部用户导入完成后重新启用默认域。
  • 本地用户可以采用用户主体名称 (UPN) 格式。但是,Citrix 建议您不要使用托管域。例如,如果 example.com 处于托管状态,请勿使用以下 UPN 格式创建本地用户:user@example.com。

准备好预配文件后,请按照以下步骤将此文件导入到 XenMobile 中。

  1. 在 XenMobile 控制台中,单击管理 > 用户。此时将显示用户页面。

  2. 单击导入本地用户。此时将显示导入预配文件对话框。

    用户管理示意图

  3. 对于要导入的预配文件的格式,选择用户属性

  4. 通过单击浏览并导航到要使用的预配文件所在位置,选择此文件。

  5. 单击导入

预配文件的格式

可以手动创建预配文件,以便将用户帐户和属性导入到 XenMobile 中。有效格式如下:

  • 用户置备文件字段: user;password;role;group1;group2
  • 用户属性置备文件字段: user;propertyName1;propertyValue1;propertyName2;propertyValue2

注意:

  • 使用分号 (;) 分隔预配文件中的字段。如果某个字段的某一部分包含分号,请使用反斜杠字符 (\) 进行转义。例如,在预配文件中以 propertyV\\;test\\;1\\;2 格式键入属性 propertyV;test;1;2
  • 角色的有效值为预定义的角色 USER、ADMIN、SUPPORT 和 DEVICE_PROVISIONING 以及您定义的任何其他角色。
  • 使用句点字符(.)作为分隔符来创建组层次结构。请勿在组名称中使用句点。
  • 属性预配文件中的属性使用小写。数据库区分大小写。

用户预配内容示例

条目 user01;pwd\\;o1;USER;myGroup.users01;myGroup.users02;myGroup.users.users01 表示:

  • 用户: user01
  • 密码: pwd;01
  • 角色: USER
  • 组:
    • myGroup.users01
    • myGroup.users02
    • myGroup.users.users.users01

另一个示例 AUser0;1.password;USER;ActiveDirectory.test.net 表示:

  • 用户: AUser0
  • 密码: 1.password
  • 角色: USER
  • 组: ActiveDirectory.test.net

用户属性预配内容示例

条目 user01;propertyN;propertyV\;test\;1\;2;prop 2;prop2 value 表示:

  • 用户: user01
  • 属性 1
    • name: propertyN
    • 值: propertyV;test;1;2
  • 属性 2:
    • name: prop 2
    • 值: prop2 value

配置注册安全模式

配置设备注册安全模式以在 XenMobile 中为设备注册指定安全级别和通知模板。

XenMobile 提供七种注册安全模式,每种均具有自己的安全级别和用户注册其设备必须执行的步骤。在 XenMobile Server 控制台的设置 > 注册页面配置注册安全模式。

您可以在自助服务门户上提供某些模式。用户可以从门户中生成允许其注册自己的设备的注册链接。iOS、iPadOS、macOS、Android Enterprise 和旧版 Android 用户可以选择从门户向自己发送注册邀请。注册邀请不适用于 Windows 设备。

管理 > 注册邀请页面发送注册邀请。有关信息,请参阅发送注册邀请

注意:

如果您打算使用自定义通知模板,必须在配置注册安全模式之前设置模板。有关通知模板的详细信息,请参阅创建或更新通知模板

  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 单击注册。此时将显示注册页面,其中包含所有可用注册安全模式的表格。默认情况下,启用所有注册安全模式。

  3. 在列表中选择任何注册安全模式以对其进行编辑。然后将该模式设置为默认模式、禁用该模式或允许用户通过自助服务门户访问。

    注意:

    选中注册安全模式旁边的复选框时,选项菜单将显示在注册安全模式列表上方。可以单击列表中的某个项目以在此列表的右侧显示选项菜单。

    注册设置图

    可从这些注册安全模式中选择:

    • 用户名 + 密码
    • 高安全性
    • 邀请 URL
    • 邀请 URL + PIN
    • 邀请 URL + 密码
    • 双重身份验证
    • 用户名 + PIN

    您可以使用注册邀请来限制仅收到邀请的用户可以注册。 要发送注册邀请,只能使用邀请 URL邀请 URL + PIN邀请 URL + 密码注册安全模式。对于使用用户名 + 密码双重身份验证用户名+ PIN 注册的设备,用户必须在 Secure Hub 中手动输入其凭据。

    您可以使用一次性 PIN (OTP) 注册邀请作为双重身份验证解决方案。OTP 注册邀请控制用户可以注册的设备数。OTP 邀请不适用于Windows 设备。

编辑注册安全模式

  1. 注册列表中,选择注册安全模式,然后单击编辑。此时将显示编辑注册模式页面。您选择的模式决定了显示的选项。

    注册安全模式编辑

  2. 适当更改以下信息:

    • 此时间后过期: 键入过期期限,过了此期限后用户将无法注册其设备。此值显示在用户和组注册邀请配置页面。

      键入 0 可防止邀请过期。

    • 天: 在列表中,单击小时,对应于您在此时间后过期中输入的过期期限。
    • 最大尝试次数: 键入用户可以尝试注册的次数,超出此次数后用户将被锁定,无法进行注册过程。此值显示在用户和组注册邀请配置页面。

      键入 0 表示尝试次数不受限制。

    • PIN 长度: 键入用于设置生成的 PIN 的长度的数字。
    • 数字: 在列表中,单击数字字母数字以选择 PIN 类型。

    • 通知模板:

      • 注册 URL 模板: 在列表中,单击用于注册 URL 的模板。例如,注册邀请模板向用户发送电子邮件或 SMS。方法取决于您是如何配置用于允许用户在 XenMobile 中注册其设备的模板。有关通知模板的详细信息,请参阅创建或更新通知模板
      • 注册 PIN 模板: 在列表中,单击用于注册 PIN 的模板。
      • 注册确认模板: 在列表中,单击用于向用户通知已成功注册的模板。
  3. 单击保存

将注册安全模式设为默认模式

将注册安全模式设为默认模式后,若不选择其他注册安全模式,此模式将用于所有设备注册请求。如果未将任何注册安全模式设为默认模式,必须为每个设备注册创建注册请求。

注意:

可以用作默认注册模式的注册安全模式只能是仅限用户名 + 密码双重用户名 + PIN

  1. 选择默认注册安全模式:用户名 + 密码双重用户名 + PIN

    要将某个模式用作默认模式,请先启用它。

  2. 单击默认值。所选模式现已成为默认模式。如果将任何其他注册安全模式设为默认模式,此模式将不再作为默认模式。

禁用注册安全模式

禁用注册安全模式将使此模式不可供用户使用,既不可用于组注册邀请,也不可在自助服务门户中提供。通过禁用一种注册安全模式并启用另一种注册模式,可以更改用户能够注册其设备的方式。

  1. 选择注册安全模式。

    不能禁用默认注册安全模式。如果要禁用默认注册安全模式,必须首先删除其默认状态。

  2. 单击禁用。注册安全模式不再处于启用状态。

在自助服务门户上启用注册安全模式

通过在自助服务门户上启用注册安全模式,可允许用户单独在 XenMobile 中注册其设备。

注意:

  • 注册安全模式必须启用并绑定通知模板,才能在自助服务门户上提供。
  • 同一时间只能在自助服务门户上启用一种注册安全模式。
  1. 选择注册安全模式。

  2. 单击自助服务门户。此注册安全模式现已在自助服务门户上提供,可供用户使用。已经在自助服务门户上启用的任何模式均不再可供用户使用。

添加或删除组

在 XenMobile 控制台中以下页面上的管理组对话框中管理组:用户添加本地用户编辑本地用户。没用组编辑命令。

如果删除组,请谨记删除组不影响用户帐户。删除组只是删除用户与该组的关联。用户还会丧失此组关联的交付组提供的应用程序或配置文件的访问权限,但是其他组关联性不受影响。如果用户不与任何其他本地组关联,它们将在顶层关联。

添加本地组

  1. 执行以下操作之一:

    • 用户页面上,单击管理本地组

    用户组管理图

    • 添加本地用户页面或编辑本地用户页面上,单击管理组

    用户组管理图

    此时将显示管理组对话框。

    用户组管理图

  2. 在组列表下方,键入组名称,然后单击加号 (+)。用户组已添加到列表中。

  3. 单击关闭

删除组

删除组不会影响用户帐户。删除组只会删除用户与该组的关联。用户还会丧失该组关联的交付组提供的应用程序或配置文件的访问权限。但是,任何其他组关联仍保持不变。如果用户不与任何其他本地组关联,它们将在顶层关联。

  1. 执行以下操作之一:

    • 用户页面上,单击管理本地组
    • 添加本地用户页面或编辑本地用户页面上,单击管理组

    此时将显示管理组对话框。

    用户组管理图

  2. 管理组对话框上,单击要删除的组。

  3. 单击组名称右侧的垃圾桶图标。此时将显示确认对话框。

  4. 单击删除以确认操作并删除该组。

    重要提示:

    此操作无法撤消。

  5. 管理组对话框上,单击关闭

创建和管理工作流

可以使用工作流对用户帐户的创建和删除进行管理。应先确定组织中有权批准用户帐户请求的人员,才能使用工作流。然后可以使用工作流模板创建和批准用户帐户请求。

首次设置 XenMobile 时,要配置工作流电子邮件设置,您必须先配置此设置才能使用工作流。随时可以更改工作流电子邮件设置。这些设置包括电子邮件服务器、端口、电子邮件地址以及创建用户帐户的请求是否需要进行审批。

可以在 XenMobile 中的两个位置配置工作流:

  • 在 XenMobile 控制台中的工作流页面上。在工作流页面上,可以配置多个用于应用程序配置的工作流。在“工作流”页面上配置工作流时,可以在配置应用程序时选择工作流。
  • 配置应用程序连接器时,在应用程序中提供工作流名称,然后配置可以审批用户帐户请求的人员。请参阅向 XenMobile 添加应用程序

可以为用户帐户分配最多三个经理审批级别。如果需要其他人员批准用户帐户,可以使用其姓名或电子邮件地址搜索和选择这些人员。XenMobile 找到相应的人员时,您可以将其添加到工作流中。工作流中的所有人员都将收到电子邮件,以批准或拒绝新用户帐户。

  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 单击工作流。此时将显示工作流页面。

  3. 单击添加。此时将显示添加工作流页面。

    工作流管理图

  4. 配置以下设置:

    • 名称: 键入工作流的唯一名称。
    • 说明: (可选)键入工作流的说明。
    • 电子邮件审批模板: 在列表中,选择要指定的电子邮件审批模板。在 XenMobile 控制台中设置下方的通知模板部分创建电子邮件模板。单击此字段右侧的眼睛图标,即可预览正在配置的模板。
    • 经理审批级别: 在列表中,选择此工作流所需的经理审批级别数。默认值为 1 级。可能的选项包括:
      • 不需要
      • 1 级
      • 2 级
      • 3 级
    • 选择 Active Directory 域: 在列表中,选择用于工作流的合适 Active Directory 域。
    • 查找所需的其他审批者: 在搜索字段中键入姓名,然后单击搜索。名称源于 Active Directory。
    • 姓名显示在此字段中后,选中姓名旁边的复选框。姓名和电子邮件地址显示在选定的其他所需审批者列表中。
      • 要从列表中删除某个姓名,请执行以下操作之一:
        • 单击搜索以查找选定域中的所有人员列表。
        • 在搜索框中键入完整姓名或部分姓名,然后单击搜索以限制搜索结果。
        • 在搜索结果列表中,选定的其他所需审批者列表中的人员姓名旁边有一个复选标记。滚动列表,并取消选中要删除的各个姓名旁边的复选框。
  5. 单击保存。已创建的工作流显示在工作流页面上。

创建工作流后,您可以查看工作流详细信息,查看与工作流相关的应用程序,或者删除工作流。工作流创建后无法进行编辑。如果需要使用不同审批级别或审批者的工作流,请创建另一个工作流。

查看详细信息和删除工作流

  1. 工作流页面上的现有工作流列表中,选择一个特定的工作流。为此,请单击列表中的行,或者选中工作流旁边的复选框。

  2. 要删除工作流,请单击删除。此时将显示确认对话框。再次单击删除

    重要提示:

    此操作无法撤消。

用户帐户、角色和注册