XenMobile

XenMobile Server 10.12 中的新增功能

XenMobile Migration Service

如果在本地使用 XenMobile Server,我们的 XenMobile Migration Service 可以让您开始使用 Endpoint Management。从 XenMobile Server 迁移到 Citrix Endpoint Management 不需要重新注册设备。

要开始迁移,请与当地的 Citrix 销售人员或 Citrix 合作伙伴联系。有关详细信息,请参阅XenMobile Migration Service

弃用声明

有关正在逐步淘汰的 Citrix XenMobile 功能的高级通知,请参阅弃用

为即将做出的更改准备您的 Android 设备

MDX 加密和设备管理的弃用声明

这些先前宣布的弃用会影响您的 Android 和 Android Enterprise 设备:

  • Android 10 的设备管理 (DA) 注册:
    • July 31, 2020: Citrix 弃用旧版 Android 设备管理的新注册。
    • November 1, 2020: Google 弃用旧版设备管理 API。在旧版设备管理模式下运行的 Android 10 设备将不再运行。
  • MDX 加密:
    • August 1, 2020: Citrix 开始强制 Citrix 移动生产力和第三方 MDX 应用程序从 MDX 加密迁移到平台加密。请参阅 加密管理
    • 2020 年 9 月 1 日: MDX 加密达到生命周期结束状态。

适用于在旧版 DA 中注册的设备

  • 如果不使用 MDX 加密,则无需执行任何操作。
  • 如果使用 MDX 加密,请在 2020 年 7 月 31 日之前将 Android 设备迁移到 Android Enterprise。运行 Android 10 的设备必须使用 Android Enterprise 注册或重新注册。此要求包括处于仅 MAM 模式的 Android 设备。请参阅 从设备管理迁移到 Android Enterprise

适用于截至 7 月 31 日已在 Android Enterprise 中注册的设备

  • 如果使用 Android Enterprise 平台发布了应用程序,则已通过 Android Enterprise 处理加密。无需任何操作。
  • 如果使用旧版 Android 平台发布了应用程序,请在 2020 年 7 月 31 日之前使用 Android Enterprise 重新发布应用程序。

升级到 XenMobile 10.12(本地)之前的准备工作

某些系统要求发生了变化。有关信息,请参阅系统要求和兼容性XenMobile 兼容性

  1. 如果运行要升级的 XenMobile Server 的虚拟机的 RAM 低于 8 GB,我们建议您将 RAM 增加到至少 8 GB。

  2. 请先将您的 Citrix 许可证服务器更新到 11.16 或更高版本,然后再更新到最新版本的 XenMobile Server 10.12。

    最新版本的 XenMobile 需要 Citrix 许可证服务器 11.16(最低版本)。

    注意:

    如果要使用您自己的许可证进行预览,请知晓 XenMobile 10.12 中的 Customer Success Services 日期(以前称为专享升级服务日期)为 2020 年 1 月 20 日。Citrix 许可证上的 Customer Success Services 日期必须晚于此日期。

    可以在许可证服务器中的许可证旁边查看该日期。如果要将最新版本的 XenMobile 连接到较旧的许可证服务器环境,连接检查将失败,并且您无法配置许可证服务器。

    要续订许可证上的日期,请从 Citrix 门户下载最新的许可证文件并将该文件上载到许可服务器。有关详细信息,请参阅Customer Success Services

  3. 对于群集环境:向运行 iOS 11 及更高版本的设备部署 iOS 策略和应用程序具有以下要求。如果为 Citrix Gateway 配置了 SSL 持久性,则必须在所有 XenMobile Server 节点上打开端口 80。

  4. 建议:安装 XenMobile 更新之前,请使用 VM 中的功能创建系统的快照。此外,还请备份您的系统配置数据库。如果您在升级过程中遇到问题,请完成允许您还原的备份。

升级

可以从 XenMobile 10.11.x 或 10.10.x 直接升级到 XenMobile 10.12。要执行升级,请下载可用的最新二进制文件:转到 https://www.citrix.com/downloads。导航到 Citrix Endpoint Management (XenMobile) > XenMobile Server > 产品软件 > XenMobile Server 10。在您的虚拟机管理程序对应的 XenMobile Server 软件磁贴上,单击下载文件

要上载升级,请使用 XenMobile 控制台中的发布管理页面。有关详细信息,请参阅使用“发布管理”页面进行升级

升级之后需要执行的操作

重要:

升级到最新版本 XenMobile 10.12 后,必须从 https://support.citrix.com/article/CTX277473 安装 XenMobile 10.12 RP3。

如果涉及传出连接的功能停止运行,并且您尚未更改自己的连接配置,请在 XenMobile Server 日志中检查是否存在如下所示的错误:“Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer”(无法连接到 VPP 服务器: 主机名 192.0.2.0 与对等机提供的证书使用者不匹配)

证书验证错误指示您需要在 XenMobile Server 上禁用主机名验证。默认情况下,主机名验证对除 Microsoft PKI 服务器以外的传出连接启用。如果主机名验证中断了您的部署,请将服务器属性 disable.hostname.verification 更改为 true。此属性的默认值为 false

对 iOS 13 的其他支持

XenMobile Server 支持升级到 iOS 13 的设备。升级会影响您的用户,如下所示:

  • 在注册过程中,将显示几个新的 iOS 设置助理选项屏幕。Apple 在 iOS 13 中增加了新的 iOS 设置助理选项屏幕。新选项包含在此版本的设置 > Apple 设备注册计划(DEP) 页面中。可以将 XenMobile Server 配置为跳过这些屏幕。这些页面显示给 iOS 13 设备上的用户。

  • 早期版本的 iOS 的受监督或不受监督设备上可用的某些限制设备策略设置仅适用于 iOS 13+ 的受监督设备。当前 XenMobile Server 控制台工具提示尚未指示这些设置仅适用于 iOS 13+ 的受监管设备。

    • 在允许硬件控制中:
      • FaceTime
      • 安装应用程序
    • 在允许使用应用程序中:
      • iTunes Store
      • Safari
      • Safari > 自动填充
    • 在 网络 - 允许执行 iCloud 操作中:
      • iCloud 文档和数据
    • 在仅监管设置 - 允许中:
      • 游戏中心 > 添加好友
      • 游戏中心 > 多人游戏
    • 在媒体内容 - 允许中:
      • 成人音乐、博客及 iTunes U 资料

这些限制适用如下:

  • 如果 iOS 12(或更低版本)设备已在 XenMobile Server 中注册,然后升级到 iOS 13,则上述限制将适用于未受监督和受监督的设备。
  • 如果未受监督的 iOS 13+ 设备在 XenMobile Server 中注册,上述限制将仅适用于受监督的设备。
  • 如果受监督的 iOS 13+ 设备在 XenMobile Server 中注册,上述限制将仅适用于受监督的设备。

Apple 批量购买计划迁移到 Apple 商务管理 (ABM) 和 Apple 校园教务管理 (ASM)

使用 Apple 批量购买计划 (VPP) 的公司和机构需要在 2019 年 12 月 1 日之前迁移到 Apple 商务管理或 Apple 校园教务管理中的“应用程序和图书”。

在 XenMobile 中迁移 VPP 帐户之前,请参阅此 Apple 支持文章

如果贵组织或学校仅使用批量购买计划 (VPP),您可以在 ABM/ASM 中注册,然后邀请现有 VPP 购买者加入新的 ABM/ASM 帐户。对于 ASM,请导航到 https://school.apple.com。对于 ABM,请导航到 https://business.apple.com

要更新 XenMobile 上的 VPP 帐户,请执行以下操作:

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 单击 iOS 设置。此时将显示批量购买计划配置页面。

  3. 确保您的 ABM 或 ASM 帐户具有与之前的 VPP 帐户相同的应用程序配置。

  4. 在 ABM 或 ASM 门户中,下载更新的令牌。

  5. 在 XenMobile 控制台中,执行以下操作:

    1. 使用该位置的更新令牌信息编辑现有批量购买帐户。

    2. 编辑您的 ABM 或 ASM 凭据。请勿更改后缀。

    3. 单击保存两次。

有关详细信息,请参阅:

支持 Android Enterprise COPE 设备

XenMobile Server 支持具有工作配置文件的 Android Enterprise 完全托管设备,以前称为 COPE(企业拥有但由个人使用)的设备。这些设备是一种同时具有工作配置文件的 Android Enterprise 完全托管设备。您可以将单独的策略设置应用到设备和工作配置文件。对于此版本:

  • 可以使用以下设备策略将单独的设置应用到设备和工作配置文件:凭据、通行码和限制。
  • 可以将位置设备策略的位置模式设置应用到 COPE 设备本身,但不应用到 COPE 设备的工作配置文件。位置设备策略中的其他设置不适用于 COPE 设备。
  • 可以将“锁定”安全操作单独应用到设备或工作配置文件。

设备策略

对于具有工作配置文件的 Android Enterprise 完全托管设备(COPE 设备),某些设备策略可以将单独的设置应用到整个设备和工作配置文件。在 XenMobile Server 控制台中,某些设备策略允许您应用单独的设置。可以使用其他设备策略将设置仅应用到整个设备或仅应用到具有工作配置文件的完全托管设备的工作配置文件。

安全操作

对于具有工作配置文件的 Android Enterprise 完全托管设备(COPE 设备),可以:

  • 将“锁定”安全操作单独应用到设备或工作配置文件。
  • 将所有其他安全操作应用到设备。

注册配置文件控制 Android 设备的注册选项

如果为 XenMobile 部署启用了 Android Enterprise,注册配置文件现在可以控制 Android 设备的注册方式。注册配置文件确定 Android 设备是在默认 Android Enterprise 模式(完全托管或工作配置文件)还是旧版(设备管理员)模式下注册。

默认情况下,全局注册配置文件会将新的和恢复出厂设置的 Android Enterprise 设备注册为完全托管设备,并将 BYOD ndroid Enterprise 设备注册为工作配置文件设备。有关详细信息,请参阅Android Enterprise

为 Android Enterprise 准备旧版 Android 设备作为默认注册

Google 即将弃用设备管理的设备管理员模式,并鼓励客户在设备所有者模式或配置文件所有者模式下管理所有 Android 设备。(请参阅 Google Android Enterprise 开发者指南中的设备管理员弃用。)为了支持此变更,Android Enterprise 现在是 Android 设备的默认注册选项。

此变更意味着,如果为您的 XenMobile 部署启用了 Android Enterprise,则所有新注册或重新注册的 Android 设备都将注册为 Android Enterprise 设备。

为了准备此变更,XenMobile 现在允许您创建注册配置文件,用于控制 Android 设备的注册方式。

贵组织可能尚未准备好开始在设备所有者模式或配置文件所有者模式下管理旧版 Android 设备。在这种情况下,您可以继续在设备管理员模式下进行管理。为旧版设备创建注册配置文件,并重新注册所有已注册的旧版设备。

要为旧版设备创建注册配置文件:

  1. 在 XenMobile 控制台中,转到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。

  3. 单击下一步或在平台下选择 Android Enterprise。此时将显示“注册配置”页面。

  4. 管理设置为旧版(设备管理)。单击下一步或选择分配(选项)。此时将显示交付组分配屏幕。

    “注册配置文件”配置屏幕

  5. 请选择包含注册专用设备的管理员的一个或多个交付组。然后单击 Save(保存)。

要在设备管理员模式下继续管理旧版设备,请使用此配置文件注册或重新注册这些设备。可以通过让用户下载 Secure Hub 并提供注册服务器 URL 来注册与工作配置文件设备类似的设备管理员设备。

有关转换到 Android Enterprise 的 Endpoint Management 支持的详细信息,请参阅博客 Android Enterprise 作为 Citrix Endpoint Management 服务的默认设置

简化了 Android Enterprise 的应用程序管理过程

不再需要访问托管 Google Play 或 Google 开发者门户来审批或发布面向 XenMobile Server 的应用程序。因此,应用程序审批和发布大约需要 10 分钟,而非几个小时。

在 XenMobile Server 控制台中审批面向公用应用商店的 Android Enterprise 应用程序。您现在可以审批托管 Google Play 应用商店应用程序,而无需离开 XenMobile Server 控制台。在搜索字段中输入应用程序名称后,托管 Google Play 应用商店 UI 将打开,其中包含审批和保存应用程序的说明。然后,您的应用程序在结果中填充,以便您配置其详细信息。请参阅 添加公共应用商店应用程序

为 Android Enterprise 添加 MDX 应用程序。XenMobile Server 控制台现在支持将 Android Enterprise 作为 MDX 应用程序部署的平台。请参阅 添加 MDX 应用程序

在 XenMobile Server 控制台中审批适用于 Android Enterprise 的 MDX 应用程序。您现在可以审批适用于 Android Enterprise 的托管 Google Play 应用商店应用程序,而无需离开 XenMobile Server 控制台。上载 MDX 文件后,托管 Google Play 应用商店 UI 将打开,其中包含您审批和保存应用程序的说明。请参阅添加 MDX 应用程序

支持对 Android Enterprise 使用使用可用的 VPN

现在,XenMobile Server 选项设备策略现在允许您对 Android Enterprise 启用始终可用的 VPN。

为 Android Enterprise 配置 VPN 配置文件时,请在默认 VPN 配置文件中键入 VPN 配置文件的名称。用户在 Citrix SSO 应用程序的用户界面中轻按连接开关(而非轻按特定配置文件)时,XenMobile 使用此配置文件。如果此字段留空,则主配置文件将用于连接。如果只配置了一个配置文件,则将其标记为默认配置文件。对于始终可用的 VPN,必须将此字段设置为用于建立始终可用的 VPN 的 VPN 配置文件名称。

“选项”策略

为您的 Android Enterprise 应用程序配置产品轨迹

在为 Android Enterprise 添加公共应用商店应用程序或 MDX 应用程序时,请配置要推送到用户设备的产品轨迹。例如,如果您有一个专为测试而设计的轨迹,则可以选择并将其分配给特定的交付组。要了解有关推出版本的更多信息,请参阅 Google Play 帮助中心。有关配置产品轨迹的信息,请参阅添加 MDX 应用程序添加公共应用商店应用程序

强制为 macOS 用户重置通行码

当 macOS 设备收到包含通行码策略的配置文件时,用户必须提供符合策略设置的通行码。现在,您可以在用户下次进行身份验证时强制重置通行码。在适用于 macOS 的“通行码”设备策略(10.13 及更高版本)中,启用新设置强制重置通行码。有关此策略的详细信息,请参阅通行码设备策略