XenMobile Server 10.7 中的新增功能

XenMobile Server 10.7(PDF 下载)

注意:

Symantec 推出的 TouchDown 的生命周期已于 2017 年 7 月 3 日结束,并且标准支持、扩展支持和支持的生命周期将于 2018 年 7 月 2 日结束。有关详细信息,请参阅 Symantec 支持文章 TouchDown End-of-Life, End-of-Availability, and End-of-Support announcement(TouchDown 的生命周期结束、可用性结束和支持结束的声明)。

有关升级的信息,请参阅升级。要访问 XenMobile 管理控制台,只能使用节点的 XenMobile Server 完全限定域名或 IP 地址。

重要:

升级到 XenMobile 10.7 之后

如果涉及传出连接的功能停止运行,并且您尚未更改自己的连接配置,请检查 XenMobile Server 日志中是否存在如下所示的错误:Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer(无法连接到 VPP 服务器: 主机名 192.0.2.0 与对等机提供的证书使用者不匹配)

如果收到证书验证错误,请在 XenMobile Server 上禁用主机名验证。默认情况下,主机名验证对除 Microsoft PKI 服务器以外的传出连接启用。如果主机名验证中断了您的部署,请将服务器属性 disable.hostname.verification 更改为 true。此属性的默认值为 false

有关缺陷修复的信息,请参阅已修复的问题

与 Apple 教育功能相集成

在使用 Apple 教育功能的环境中,可以使用 XenMobile Server 作为您的移动设备管理 (MDM) 解决方案。XenMobile 支持 iOS 9.3 中引入的 Apple 教育增强功能,包括适用于 iPad 的 Apple 校园教务管理和“课堂”应用程序。新的 XenMobile 教育配置设备策略配置教师和学生的设备以供 Apple 教育功能使用。

以下视频提供了您对 Apple 校园教务管理和 XenMobile Server 所做更改的快速浏览。

Citrix XenMobile 教育配置:将 Apple 教育功能与 XenMobile 相集成

您负责向教师和学生提供预配置并且受监督的 iPad。该配置包括:

  • XenMobile 中的 Apple 校园教务管理 DEP 注册

  • 配置了新密码的管理式 Apple ID 帐户

  • 必需的 VPP 应用程序和 iBooks

有关与 Apple 教育功能相集成的详细信息,请参阅与 Apple 教育功能相集成教育配置设备策略

Apple 教育配置图

在 iOS 设备中部署 iBooks

可以使用 XenMobile 部署您通过 Apple 批量购买计划 (VPP) 获取的 iBooks。在 XenMobile 中配置 VPP 帐户后,您购买的书籍以及免费书籍将显示在配置 > 媒体中。从媒体页面中,可以通过选择交付组并指定部署规则来配置 iBooks 在 iOS 设备中的部署。

用户首次收到 iBook 并接受 VPP 许可证时,已部署的书籍将在设备上安装。这些书籍将在 Apple iBooks 应用程序中显示。不能取消书籍许可证与用户的关联,也不能从设备中删除书籍。XenMobile 安装 iBooks 作为必需媒体。如果用户从其设备中删除了已安装的书籍,该书籍仍保留在 iBooks 应用程序中,可随时下载。

必备条件

配置 iBooks

通过 VPP 获取的 iBooks 显示在配置 > 媒体页面上。有关详细信息,请参阅添加媒体

iBooks 配置图

BitLocker 设备策略

Windows 10 企业版中包括一项名为 BitLocker 的磁盘加密功能,该功能提供针对丢失或被盗的设备的未授权访问的额外文件和系统保护。要获取更多保护,可以对受信任的平台模块 (TPM) 芯片版本 1.2 或更高版本使用 BitLocker。TPM 芯片处理加密操作、生成和存储加密密钥以及限制对加密密钥的使用。

自 Windows 10 Build 1703 起,MDM 策略可以控制 BitLocker。可以在 XenMobile 中使用 BitLocker 设备策略配置在 Windows 10 设备上的 BitLocker 向导中可用的设置。例如,在启用了 BitLocker 的设备上,BitLocker 可以提示用户以下信息:

  • 希望如何在启动时解锁其设备

  • 如何备份其恢复密钥

  • 如何解锁固定驱动器。

BitLocker 设备策略还配置是否:

  • 在没有 TPM 芯片的设备上启用 BitLocker。

  • 在 BitLocker 界面中显示恢复选项。

  • 拒绝在未启用 BitLocker 时对固定驱动器或可移动驱动器的写入访问。

    BitLocker 配置图

    BitLocker 配置图

有关 BitLocker 设备策略的详细信息,请参阅 BitLocker 设备策略

面向运行 iOS 10.3 及更高版本的受监督设备的新限制

通过限制策略,您可以阻止用户在其设备上执行某些操作,该操作通过设备策略实现。

以下限制现在适用于运行 iOS 10.3 及更高版本的受监督设备:

  • 允许听写: 仅在监督下使用。如果此限制设置为,则不允许听写输入。默认设置为。适用于 iOS 10.3 及更高版本。
  • 强制列入 WiFi 白名单: 可选。仅在监督下使用。如果此限制设置为,则仅在 Wi-Fi 网络是通过配置文件设置的情况下设备才能加入这些网络。默认设置为。适用于 iOS 10.3 及更高版本。

设置这些限制

  1. 在 XenMobile 控制台中,选择配置 > 设备策略。此时将显示“设备策略”页面。

  2. 选择添加。将显示添加新策略页面。

  3. 单击限制。此时将显示限制策略信息页面。

  4. 策略信息窗格中,键入以下信息:

    • 策略名称: 键入策略的描述性名称。
    • 说明: 键入策略的可选说明。
  5. 单击下一步。此时将显示策略平台页面。

  6. 选择 iOS

  7. 单击下一步,直至出现显示“单应用程序捆绑包 ID”部分的页面。设置限制。

    设备策略限制图

有关设置限制的详细信息,请参阅限制设备策略

重新启动或关闭受监督的 iOS 设备

可以使用安全操作重新启动或关闭受监督的 iOS 设备(最低版本 10.3)。转至管理 > 设备,选择设备,单击安全性,然后单击重新启动关闭

设备将在收到重新启动命令后立即重新启动。通行码锁定的 iOS 设备在重新启动后不重新加入 WiFi 网络,因此,这些设备可能不与服务器通信。设备将在收到关闭命令后将立即关闭。

iOS“安全操作”图

定位处于丢失模式的受监督 iOS 设备或在该设备上响铃

将受监督的 iOS 设备置于丢失模式后,可以使用安全操作定位该设备或使设备响铃。“响铃”是 Apple 为该设备定义的丢失模式声音。

iOS 定位图

定位处于丢失模式的设备

转至管理 > 设备,选择一个设备,单击安全性,然后单击定位设备详细信息页面提供定位请求的状态。

iOS 定位图

如果定位了该设备,设备详细信息页面将包括一张地图。

iOS 位置图

使处于丢失模式的设备(最低版本 iOS 10.3)响铃

转至管理 > 设备,选择一个设备,单击安全性,然后单击响铃。设备下次连接时,将响铃。要停止响铃,用户需要单击电源按钮。要从 XenMobile 控制台中停止响铃,请使用禁用丢失模式安全操作。

增强的 Android for Work 支持

XenMobile 现在提供了一种简单的为贵组织设置 Android for Work 的方法。使用 XenMobile Management Tools,通过 Google Play 将 XenMobile 绑定为您的企业移动性管理提供程序并为 Android for Work 设置一个企业。

注意:

G Suite 客户使用旧版 Android for Work 设置,如适用于 G Suite 客户的旧版 Android for Work 一文中所述。单击 XenMobile“设置”的 Android for Work 页面中的旧版 Android for Work

“旧版 Android for Work”图

您需要:

  • 用于登录 XenMobile Tools 的 Citrix 帐户凭据
  • 用于登录 Google Play 的企业 Google ID 凭据

有关 Android for Work 的详细信息,请参阅 Android for Work

支持本地设备运行状况证明 (DHA)

您现在可以通过本地 Windows 服务器为 Windows 10 移动设备启用设备运行状况证明 (DHA)。以前,适用于 XenMobile 的 DHA 可能只能通过 Microsoft 云启用。

要在本地启用 DHA,请先配置一个 DHA 服务器。然后创建 XenMobile Server 策略以启用本地 DHA 服务。 要配置 DHA,需要运行 Windows Server 2016 技术预览版 5 或更高版本的计算机。安装 DHA 作为服务器角色。有关说明,请参阅此 Microsoft TechNet 文章 Device Health Attestation(设备运行状况证明)。

要创建 XenMobile Server 策略以启用本地 DHA 服务,请执行以下操作:

  1. 在 XenMobile 控制台中,单击配置 > 设备策略。此时将显示“设备策略”页面。

  2. 如果已创建通过 Microsoft 云启用 DHA 的策略,请跳至步骤 8。

  3. 单击添加以添加策略。此时将显示添加新策略对话框。

  4. 单击更多,然后在自定义下方,单击设备运行状况证明策略。此时将显示设备运行状况证明策略信息页面。

  5. 在“策略信息”窗格中,输入以下信息:

    • 策略名称: 键入策略的描述性名称。
    • 说明: 键入策略的可选说明。
  6. 单击下一步。此时将显示“策略平台”页面。

  7. 平台下,选择要添加的平台。如果只为一个平台配置,请取消选中其他平台。

  8. 对于您选择的每个平台:

    1. 启用“设备运行状况证明”设置为

    2. 配置本地 Health Attestation Service 设置为

    3. 本地 DHA 服务 FQDN 中,输入您设置的 DHA 服务器的完全限定域名。

    4. 本地 DHA API 版本中,选择在 DHA 服务器上安装的 DHA 服务版本。

  9. 配置部署规则并选择交付组。

    本地 DHA 策略图

确认策略已推送到 Windows 10 移动设备

  1. 在 XenMobile 控制台中,单击管理 > 设备

  2. 选择设备。

  3. 选择属性

  4. 向下滚动以查看“Windows 设备运行状况证明”。

更多适用于注册模板的宏

为设备注册邀请创建注册模板时,可以使用下面的新宏:

${enrollment.urls}
${enrollment.ios.url}
${enrollment.macos.url}
${enrollment.android.url}
${enrollment.ios.platform}
${enrollment.macos.platform}
${enrollment.android.platform}
${enrollment.agent}

通过这些宏,您可以创建包含适用于多个设备平台的注册 URL 的注册模板。

下例显示了如何创建包含适用于多个设备平台的注册 URL 的通知。适用于消息的宏为:

${enrollment.urls}

注册模板示例图

下面这些示例显示了如何为提示用户单击适用于其设备平台的注册 URL 的通知创建消息:

示例 1

To enroll, please click the link below that applies to your device platform:

${enrollment.ios.platform} - ${enrollment.ios.url}

${enrollment.macos.platform} - ${enrollment.macos.url}

${enrollment.android.platform} - ${enrollment.android.url}

示例 2

To enroll an iOS device, click the link ${enrollment.ios.url}.

To enroll a macOS device, click the link ${enrollment.macos.url}.

To enroll an Android device, click the link ${enrollment.android.url}.

其他改进功能

  • XenMobile 控制台和自助服务门户现在提供西班牙语版本。

  • XenMobile 现在报告适用于 Android 设备的安全修补级别。可以在管理 > 设备页面上以及设备详细信息中查看安全修补级别。还可以使用配置 > 操作创建安全修补级别触发的操作。

    Android“安全修补级别”图

    安全修补级别触发图

  • 按 macOS 过滤注册邀请管理 > 注册邀请的平台过滤器现在包括 macOS

    注册 macOS 过滤器图

  • 用于阻止用户使用人脸识别解锁 Samsung Galaxy S8+ 设备的限制策略设置。适用于 Samsung SAFE 的限制设备策略设置现在包括人脸识别设置。要阻止使用人脸识别来解锁设备访问,请转至配置 > 设备策略并编辑限制策略以将人脸识别设置为

    Samsung 人脸识别限制图

  • 必需的 macOS VPP 应用程序现在受支持。您现在可以将 macOS VPP 应用程序部署为 Active Directory 和本地用户的必需应用程序。可以在配置 > 应用程序中查看 macOS VPP 应用程序,在该页面上,可以按 macOS VPP 过滤应用程序。在该页面上,应用商店配置部分不对 macOS VPP 应用程序显示,因为没有适用于 macOS 的 Secure Hub。在管理 > 设备中,用户属性包括针对 macOS VPP 帐户的“停用 VPP 帐户”选项。

  • “配置”>“应用程序”现在显示公共应用商店应用程序和企业应用程序的软件包 ID

    应用程序配置图

    应用程序配置图

  • 交付组的资源列表按字母顺序排列。配置 > 交付组中,所有资源列表和搜索结果都按字母顺序显示。

    交付组配置图

    交付组配置图

  • 管理 > 设备管理 > 用户页面上,日期现在以 24 小时制格式显示,即 dd/mm/yyyy hh:mm:ss。日期反映设备和用户的本地时区。

  • 适用于 iOS 设备的 VPN 策略现在具有一个适用于 iKEv2 类型的 VPN 策略的 PerApp VPN 选项。iOS 9.0 及更高版本的设备支持对 iKEv2 连接使用 PerApp VPN。PerApp VPN 启用 PerApp VPN 选项包括:

    • 启用 PerApp VPN
    • 按需匹配应用程序已启用
    • Safari 域

      PerApp VPN 策略图

      PerApp VPN 策略图

      在“iOS”部分下,添加到 iKEv2 连接类型部分:

      启用 PerApp VPN: 选择是否启用 PerApp VPN。默认值为。仅在 iOS 9.0 及更高版本中可用。

      按需匹配应用程序已启用: 选择当链接到 PerApp VPN 服务的应用程序发起网络通信时,是否自动触发 PerApp VPN 连接。默认值为

      Safari 域: 单击添加可添加 Safari 域名。

  • 适用于 macOS 设备的擦除代码显示在 XenMobile 控制台中。 macOS 设备要求用户在擦除设备后输入一个 PIN 代码。如果用户未记住此代码,您现在可以在管理 > 设备详细信息页面中查找擦除代码。

    macOS 擦除代码图

  • 使用 VPP 部署 MDX 应用程序时,Secure Hub 应用商店现在将仅显示应用程序的 VPP 实例。以前,VPP 和 MDX 应用程序都显示在应用商店中。此变更阻止用户安装应用程序的 MDX 版本,这要求用户具有 iTunes 帐户。添加 MDX 应用程序时,可以使用新设置通过 VPP 部署应用程序。如果要使用 VPP 部署应用程序,请将此设置更改为

    使用 VPP 部署应用程序图

  • 改进了导入大量 VPP 许可证时的性能。此优化使用多线程功能。新 XenMobile Server 属性 MaxNumberOfWorker 的默认值为 3(线程)。如果需要进一步优化,可以增加线程的数量。但是,如果使用数量较大的线程,例如 6 个,VPP 导入会导致 CPU 使用率非常高。

  • 在 XenMobile 控制台中,对 Mac OS X、OS X、OSX、MACOSX 和 MacOS 的所有引用现在都为 macOS。

  • 重新启动 Windows 10 设备。您现在可以发送安全操作“重新启动”以重新启动设备。对于 Windows Tablet 和 PC,此时将显示消息“System will reboot soon”(系统很快将重新启动),重新启动将在之后的 5 分钟内发生。对于 Windows Phone,不向用户显示任何警告消息,并且重新启动将在几分钟后发生。

    Windows 10 重新启动图

公用 REST API 变更

对于设备通知 REST 服务,您现在可以使用设备 ID 通知设备,而不需要运行 XenMobile 以发送令牌。

使用 XenMobile 公用 REST API 创建注册邀请时,您现在可以:

  • 指定自定义 PIN。如果注册模式需要 PIN,可以使用自定义 PIN 来代替 XenMobile Server 随机生成的 PIN。PIN 长度必须匹配为注册模式配置的设置。PIN 长度的默认值为 8。例如,请求可能包括:”pin”: “12345678”

  • 选择多个平台。以前,只能使用 REST API 为注册邀请指定一个平台。“platform”字段已弃用,替换为“platforms”。例如,请求可能包括:”platforms”: [“iOS”, “MACOSX”]

适用于 REST 的 XenMobile 公共 API 服务现在包括以下 API:

  • 按容器 ID 获取
    • MDX 移动应用程序
    • 企业移动应用程序
    • Weblink 应用程序
    • Web/SaaS 应用程序
    • 公共应用商店应用程序
  • 在新的或现有的容器中上载应用程序
    • MDX 移动应用程序
    • 企业移动应用程序
  • 更新平台详细信息包括适用于 MDX 移动应用程序和公共应用商店应用程序的容器
  • 添加或更新应用程序
    • Weblink 应用程序
    • Web/SaaS 应用程序
    • 公共应用商店应用程序
  • 按连接器名称获取所有 Web/SaaS 连接器或获取 Web/Saas 连接器
  • 删除应用程序容器
    • MDX 移动应用程序
    • 企业移动应用程序
    • Weblink 应用程序
    • Web/SaaS 应用程序

有关详细信息,请参阅 XenMobile Public API for REST Services(适用于 REST 的 XenMobile 公共 API 服务)。