XenMobile

XenMobile Server 10.13 中的新增功能

XenMobile Migration Service

如果在本地使用 XenMobile Server,我们的免费 XenMobile Migration Service 可以让您开始使用 Endpoint Management。从 XenMobile Server 迁移到 Citrix Endpoint Management 不需要重新注册设备。

要开始迁移,请与当地的 Citrix 销售人员或 Citrix 合作伙伴联系。请参阅 XenMobile Migration Service

弃用声明

有关正在逐步淘汰的 Citrix XenMobile 功能的高级通知,请参阅弃用

升级到 XenMobile 10.13(本地)之前的准备工作

某些系统要求发生了变化。有关信息,请参阅系统要求和兼容性XenMobile 兼容性

  1. 如果运行要升级的 XenMobile Server 的虚拟机的 RAM 低于 8 GB,我们建议您将 RAM 增加到至少 8 GB。

  2. 请先将您的 Citrix 许可证服务器更新到 11.16 或更高版本,然后再更新到最新版本的 XenMobile Server 10.13。

    最新版本的 XenMobile 需要 Citrix 许可证服务器 11.16(最低版本)。

    注意:

    XenMobile 10.13 中的 Customer Success Services 日期(以前称为专享升级服务日期)为 2020 年 9 月 29 日。Citrix 许可证上的 Customer Success Services 日期必须晚于此日期。

    可以在许可证服务器中的许可证旁边查看该日期。如果要将最新版本的 XenMobile 连接到较旧的许可证服务器环境,连接检查将失败,并且您无法配置许可证服务器。

    要续订许可证上的日期,请从 Citrix 门户下载最新的许可证文件并将该文件上载到许可服务器。请参阅 Customer Success Services

  3. 对于群集环境:向运行 iOS 11 及更高版本的设备部署 iOS 策略和应用程序具有以下要求。如果为 Citrix Gateway 配置了 SSL 持久性,则必须在所有 XenMobile Server 节点上打开端口 80。

  4. 建议:安装 XenMobile 更新之前,请使用 VM 中的功能创建系统的快照。此外,还请备份您的系统配置数据库。如果您在升级过程中遇到问题,请完成允许您还原的备份。

升级

在本版本中,XenMobile 支持 VMware ESXi 7.0。请务必在安装或升级 ESXi 7.0 之前升级到 10.13。

可以从 XenMobile 10.12.x 或 10.11.x 直接升级到 XenMobile 10.13。要执行升级,请下载可用的最新二进制文件:转到 https://www.citrix.com/downloads。导航到 Citrix Endpoint Management (XenMobile) > XenMobile Server > 产品软件 > XenMobile Server 10。在您的虚拟机管理程序的 XenMobile Server 软件磁贴上,单击下载文件

要上载升级,请使用 XenMobile 控制台中的发布管理页面。请参阅 使用“发布管理”页面进行升级

升级之后需要执行的操作

如果涉及传出连接的功能停止运行,并且您尚未更改自己的连接配置,请在 XenMobile Server 日志中检查是否存在如下所示的错误:“Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer”(无法连接到 VPP 服务器: 主机名 192.0.2.0 与对等机提供的证书使用者不匹配)

  • 证书验证错误意味着您必须禁用 XenMobile Server 上的主机名验证。
  • 默认情况下,主机名验证对除 Microsoft PKI 服务器以外的传出连接启用。
  • 如果主机名验证中断了您的部署,请将服务器属性 disable.hostname.verification 更改为 true。此属性的默认值为 false

平台支持更新

  • iOS 14: XenMobile Server 和 Citrix 移动生产力应用程序与 iOS 14 兼容,但目前不支持任何新 iOS 14 功能。MDX Service 不支持封装适用于 iOS 14 的 iOS 应用程序。使用 MDX Toolkit 20.8.5 或更高版本。

  • Android 11: XenMobile Server 支持 Android 11。有关 Google 设备管理 API 的弃用如何影响运行 Android 10+ 的设备的信息,请参阅从设备管理迁移到 Android Enterprise。另请参阅此Citrix 博客

在单个环境中配置多个设备和应用程序管理模式

现在,您可以将单个 XenMobile 站点配置为支持多种注册配置。注册配置文件的角色扩展为包括设备和应用程序管理的注册设置。

注册配置文件在单个 XenMobile 控制台中支持多个用例和设备迁移路径。用例包括:

  • 移动设备管理(仅 MDM)
  • MDM+移动应用程序管理 (MAM)
  • 仅 MAM
  • 公司拥有的注册
  • BYOD 注册(选择退出 MDM 注册的功能)
  • 将 Android 设备管理员注册迁移到 Android Enterprise 注册(完全托管、工作配置文件、专用设备)

注册配置文件替换现已弃用的服务器属性 xms.server.mode。此更改不会影响您的现有交付组和已注册的设备。

如果不需要注册专用设备,则可以通过将服务器属性 enable.multimode.xms 设置为 false 来禁用此功能。请参阅 服务器属性

下表显示了从现有服务器属性模式到新注册配置文件功能的自动迁移路径:

现有服务器属性 新管理模式
ENT 模式 (iOS) Apple 设备在 Citrix MAM 中的注册
ENT 模式 (Android) 使用 Citrix MAM 的传统设备管理员
ENT 模式 (Android Enterprise) 使用 Citrix MAM 的完全托管(以前称为 COPE)设备上的工作配置文件
MAM 模式(iOS 和 Android) Citrix MAM
MDM 模式 (iOS) Apple 设备注册
MDM 模式 (Android) 传统设备管理员
MDM 模式 (Android Enterprise) 完全托管设备上的工作配置文件

创建交付组时,可以将注册配置文件附加到该组。如果未附加注册配置文件,XenMobile 将附加全局注册配置文件。

注册配置文件提供以下设备管理功能:

  • 从 Android 设备管理员 (DA) 模式更轻松地迁移到 Android Enterprise。对于 Android Enterprise 设备,设置包括设备所有者模式,例如:完全托管、完全托管设备上的工作配置文件或专用。请参阅 Android Enterprise

    面向 Android 的注册配置文件页面

    对于此升级,当前服务器模式和设置 > Android Enterprise 的 XenMobile 配置映射到新注册配置文件设置,如下所示。

    当前配置 管理环境 设备所有者模式设置 Citrix MAM 设置
    MDM。托管 Google Play (Android Enterprise) Android Enterprise 完全托管设备上的工作配置文件
    MDM;G Suite(传统 DA) 传统 DA 不适用
    MAM 不管理设备 不适用
    MDM+MAM。托管 Google Play (Android Enterprise) Android Enterprise* 完全托管设备上的工作配置文件
    MDM+MAM; G Suite(传统 DA) 传统 DA* 不适用

    * 如果需要注册,允许用户拒绝设备管理设置为

    升级后,您的当前注册配置文件将反映这些映射。请考虑您是否要在从传统 DA 过渡时创建其他注册配置文件来处理任何新用例。

  • 更轻松地管理 iOS。对于 iOS 设备,设置包括在将设备注册为托管设备或非托管设备之间进行选择。

    面向 iOS 的注册配置文件页面

    对于此升级,您之前的配置将映射到新注册配置文件设置,如下所示。

    服务器模式 管理环境 Citrix MAM 设置
    MDM 设备注册
    MAM 不管理设备
    MDM+MAM 设备注册

    如果需要注册,允许用户拒绝设备管理设置为

增强的注册配置文件存在以下限制:

  • 增强的注册配置文件功能不适用于一次性 PIN 或双重身份验证注册邀请。

请参阅 注册配置文件

支持最新的基于 HTTP/2 的 APNs 提供程序 API

Apple 对 Apple 推送通知服务旧版二进制文件协议的支持将于 2021 年 3 月 31 日结束。Apple 建议您改为使用基于 HTTP/2 的 APNs 提供程序 API。XenMobile Server 现在支持基于 HTTP/2 的 API。有关更多信息,请参阅 https://developer.apple.com/ 中的新闻更新“Apple 推送通知服务更新”。有关检查 APNs 连接的帮助,请参阅连接检查

在许多 iOS 设备上使用基于设备证书的 IPSec VPN

无需为每个需要基于设备证书的 IPSec VPN 的 iOS 设备配置 VPN 设备策略和凭据设备策略,自动执行该过程即可。

  1. 使用 Always on IKEv2(始终启用 IKEv2)连接类型配置 iOS VPN 设备策略。
  2. 选择基于设备标识的设备证书作为设备身份验证方法。
  3. 选择要使用的设备标识类型
  4. 使用 REST API 批量导入您的设备证书。

有关配置 VPN 设备策略的详细信息,请参阅 VPN 设备策略。有关批量导入证书的信息,请参阅使用 REST API 批量上载证书

Apple 批量购买应用程序的自动更新

添加批量购买帐户(设置 > iOS 设置)时,您现在可以为所有 iOS 应用启用自动更新。请参阅 Apple 批量购买中的应用程序自动更新设置。

本地用户帐户的密码要求

在 XenMobile 控制台中添加或编辑本地用户帐户时,请务必遵循最新的密码要求。

有关详细信息,请参阅添加本地用户帐户

  • 密码要求: 在 XenMobile Server 控制台中添加或编辑本地用户帐户时,请遵循最新的密码要求。请参阅 添加本地用户帐户

  • 本地用户帐户锁定: 如果用户达到连续无效登录尝试的最大次数,则本地用户帐户将锁定 30 分钟。系统将拒绝所有进一步的身份验证尝试,直到锁定期限到期。要在 XenMobile Server 控制台中解锁帐户,请转到管理 > 用户,选择用户帐户,然后单击解锁本地用户。请参阅 解锁本地用户帐户

设备策略

为 Android Enterprise 设备添加了新的设备策略和设备策略设置。

隐藏 Android Enterprise 设备上的托盘栏图标

您现在可以选择 Android Enterprise 设备的托盘栏图标是隐藏的还是可见的。请参阅 XenMobile 选项设备策略

适用于工作配置文件模式或完全托管模式下的 Android Enterprise 设备的更多证书管理功能

除了在托管密钥库中安装证书颁发机构外,您现在还可以管理以下功能:

  • 配置特定托管应用程序使用的证书。Android Enterprise 的“凭据”设备策略现在包含使用证书的应用程序设置。可以指定要使用在此策略中选择的凭据提供商颁发的用户证书的应用程序。应用程序在运行期间被无提示授予对证书的访问权限。要对所有应用程序使用证书,请将应用程序列表留空。请参阅 凭据设备策略
  • 从托管密钥库中无提示删除证书或卸载所有非系统 CA 证书。请参阅 凭据设备策略
  • 防止用户修改存储在托管密钥库中的凭据。Android Enterprise 的“限制”设备策略现在包含允许用户配置用户凭据设置。默认情况下,该设置设为。请参阅 限制设备策略

在 Android Enterprise 托管配置中更轻松地使用证书别名

凭据设备策略中的新证书别名设置与 Android Enterprise 托管配置设备策略一起使用。这样做将允许应用程序在 VPN 上进行身份验证,而无需用户操作。您可以创建凭据别名,而非在应用程序日志中查找凭据别名。通过在 Android Enterprise 托管配置设备策略的证书别名字段中键入别名来创建别名。然后在凭据设备策略中的证书别名设置中键入相同的证书别名。请参阅Android Enterprise 托管配置策略凭据设备策略

控制 Android Enterprise 设备上的“Use one lock”(使用一个锁)设置

通过通行码设备策略中的新启用统一通行码设置,您可以控制设备是否需要为设备和工作配置文件提供单独的通行码。在此设置之前,用户使用设备上的 Use one lock(使用一个锁)设置来控制此行为。启用统一通行码设置为时,用户可以对设备使用与工作配置文件相同的通行码。如果启用统一通行码设置为,用户不能对设备使用与工作配置文件相同的通行码。默认值为Enable unified lock(启用统一锁)设置适用于运行 Android 9.0 或更高版本的 Android Enterprise 设备。请参阅 通行码设备策略

在 Android Enterprise 设备上显示不合规的应用程序和快捷方式

Android Enterprise 的通行码设备策略有一项新设置,即在通行码不合规时显示应用程序和快捷方式。启用该设置可在设备通行码不再合规时使应用程序和快捷方式保持可见。Citrix 建议您创建一项自动操作,以便在通行码不合规时将设备标记为不合规。请参阅 通行码设备策略

禁用在 Android Enterprise 工作配置文件设备或完全托管设备上打印的功能

在“限制”设备策略中,不允许打印设置允许您指定用户是否可以打印到可从 Android Enterprise 设备访问的任何打印机。请参阅 Android Enterprise 设置

通过在 Kiosk 策略中添加应用程序软件包名称,允许应用程序在专用设备上运行

现在,您可以输入要允许在 Android Enterprise 平台上运行的软件包名称。请参阅 Android Enterprise 设置

管理面向 Android Enterprise 工作配置文件和完全托管设备的键盘锁功能

Android 键盘锁管理设备和工作挑战锁定界面。使用“键盘锁管理”设备策略控制:

  • 工作配置文件设备上的键盘锁管理。可以在用户解锁设备键盘锁和工作质询键盘锁之前指定其可用的功能。例如,默认情况下,用户可以使用指纹解锁并在锁定屏幕上查看未编辑的通知。还可以使用键盘锁管理策略来禁用运行 Android 9.0 及更高版本的设备的所有生物特征身份验证。
  • 在完全托管设备和专用设备上进行键盘锁管理。可以指定可用的功能,例如信任代理和安全摄像头,然后才能解锁键盘锁屏幕。或者,可以选择禁用所有键盘锁功能。

请参阅 键盘锁管理设备策略

在 XenMobile 控制台中发布适用于 Android Enterprise 的企业应用程序

添加 Android Enterprise 专用应用程序时,不再需要注册 Google Play 开发者帐户。XenMobile 控制台打开托管 Google Play 应用商店 UI,供您上载和发布 APK 文件。有关详细信息,请参阅添加企业应用程序

在 XenMobile 控制台中发布适用于 Android Enterprise 的 Web 应用程序

您无需再访问托管 Google Play 或 Google 开发者门户即可发布适用于 XenMobile 的 Android Enterprise Web 应用程序。单击配置 > 应用程序 > Web 链接中的上载时,将打开一个托管 Google Play 应用商店用户界面,供您上载和保存文件。应用程序审批和发布可能需要 10 分钟。有关详细信息,请参阅添加 Web 链接

使用 XenMobile Server REST API 将证书批量上载到 iOS 设备

如果一次上载一个证书并不现实,请使用 XenMobile Server REST API 将证书批量上载到 iOS 设备。

  1. 使用 Always on IKEv2(始终启用 IKEv2)连接类型配置 iOS VPN 设备策略。
  2. 选择基于设备标识的设备证书作为设备身份验证方法。
  3. 选择要使用的设备标识类型
  4. 使用 REST API 批量导入设备证书。

有关配置 VPN 设备策略的信息,请参阅 VPN 设备策略。有关批量导入证书的信息,请参阅使用 REST API 将证书批量上载到 iOS 设备

刷新加密密钥

刷新加密密钥选项将添加到 XenMobile CLI 的高级设置中。可以使用此选项一次刷新一个节点的加密密钥。请参阅 系统选项

ESXi 7.0 支持

在本版本中,XenMobile 支持 VMware ESXi 7.0。请务必在安装或升级 ESXi 7.0 之前升级到 10.13。

新服务器属性

现在可以使用以下服务器属性:

  • Allow hostnames for iOS App Store links(允许使用 iOS App Store 链接对应的主机名):要使用公共 API 而非控制台添加适用于 iOS 的公共应用商店应用程序,请根据需要配置允许的主机名列表。
  • Local user account lockout limit(本地用户帐户锁定限制):配置本地用户在其帐户被锁定之前的登录尝试次数。
  • Local user account lockout time(本地用户帐户锁定时间):配置在登录尝试过多次失败后锁定本地用户的时间长度。
  • Maximum size of file upload restriction enabled(启用了文件上载的最大大小限制的最大大小):启用限制上载的文件的最大文件大小。
  • Maximum size of file upload allowed(允许的文件上载的最大大小):设置上载的文件的最大文件大小。

有关这些属性的更多详细信息,请参阅服务器属性

自助磁盘清理

故障排除菜单中提供了一个名为磁盘使用情况的新命令行界面选项。此选项允许您查看核心转储文件和支持包文件的列表。查看该列表后,您可以选择通过命令行删除所有这些文件。有关命令行界面工具的详细信息,请参阅命令行接口选项