设备管理
Citrix Endpoint Management可以在单个管理控制台中提供、管理、保护和编目广泛的设备类型。
使用一组通用的设备策略来管理支持的设备。快速查看各平台可用的设备策略:
- 转到端点管理控制台并导航到配置>设备策略。
点击添加然后选择您想要查看的平台。
有关更多信息,请参见过滤已添加的设备策略列表。
通过严格的身份、企业自有和BYO设备、应用程序、数据和网络安全保护业务信息。指定要用于对设备进行身份验证的用户身份。配置如何在设备上保持企业数据和个人数据分离。
向终端用户提供任何应用程序,无论设备或操作系统。在应用程序级别保护您的信息,确保企业级移动应用程序管理。
使用供应和配置控件来设置设备。这些控制包括设备注册、策略应用程序和访问权限。
使用安全性和遵从性控制来创建带有可操作触发器的自定义安全性基线。例如,锁定、擦除或通知违反定义的合规性标准的设备。
使用操作系统更新控件来阻止或强制操作系统更新。此功能对于防止针对目标操作系统漏洞的数据丢失至关重要。
要访问关于每个受支持平台的文章,请展开内容列表中的“设备管理”部分。这些文章提供了特定于每个设备平台的详细信息。本文的其余部分将介绍如何执行一般的设备管理任务。
设备管理工作流程
本节中的工作流程图提供了执行设备管理任务的建议顺序。
添加设备和应用的推荐前提条件:提前执行以下设置可以让您不间断地配置设备和应用程序。
看到的:
添加设备:
看到的:
准备入学邀请:您可以向使用iOS、ipad、macOS、Android Enterprise和传统Android设备的用户发送注册邀请。如果您计划使用注册邀请,请执行这些任务。
看到的:
添加应用程序:
看到的:
执行持续的设备和应用程序管理;除了使用端点管理指示板之外,我们鼓励您查看有什么新鲜事每个版本的内容。What 's new提供了有关任何所需操作的信息,例如配置新的设备策略。
看到的:
入学邀请
要远程安全地管理用户设备,您可以在端点管理中注册用户设备。用户设备上已安装Endpoint Management客户端软件,并完成用户身份认证。然后,安装端点管理和用户配置文件。有关支持的设备平台的注册详细信息,请参阅本节下的设备文章。
在端点管理控制台中:
- 您可以向使用iOS、ipad、macOS、Android Enterprise和传统Android设备的用户发送注册邀请。Windows设备不可用注册邀请。
- 你可以向iOS、ipad、Android Enterprise或传统Android设备的用户发送邀请URL。如果您计划通过向用户发送邀请URL来注册iPadOS设备,请参阅Citrix支持文章CTX261981。邀请url不适用于Windows设备。
报名邀请发送方式如下:
如果注册邀请是针对一个本地用户或Active Directory用户:用户通过您指定的电话号码和运营商名称接收短信邀请。
如果是群组注册邀请:用户通过短信接收邀请。如果Active Directory用户在Active Directory中有电子邮件地址和手机号码,则会收到邀请。本地用户通过用户属性中指定的电子邮件和电话号码接收邀请。
用户注册后,他们的设备显示为已管理管理>设备。邀请URL的状态显示为救赎。
先决条件
- LDAP配置
使用本地组和本地用户时:
一个或多个本地组。
分配给本地组的本地用户。
交付组与本地组相关联。
如果使用Active Directory:
- 交付组与Active Directory组相关联。
创建注册邀请
在端点管理控制台中,单击管理>注册邀请。的入学邀请页面出现。
点击添加。出现一个注册选项菜单。
- 单击,向用户或组发送注册邀请添加邀请。
- 若要通过SMTP或SMS将注册安装链接发送到收件人列表,请单击发送安装链接。
在这些步骤之后描述发送注册邀请和安装链接。
点击添加邀请。的入学邀请屏幕上出现了。
配置这些设置:
- 收件人:选择集团或用户。
选择平台:如果收件人是集团,选择所有平台。您可以更改平台选择。如果收件人是用户,没有选择平台。选择一个平台。
要为Android Enterprise设备创建注册邀请,请选择安卓。
- 设备的所有权:选择企业或员工。
将出现用户或组的设置,如下面的部分所述。
向用户发送注册邀请
配置这些用户设置:
- 用户名:输入用户名。该用户必须作为本地或Active Directory用户存在于端点管理中。如果用户是本地用户,请设置用户的email属性,以便您可以向该用户发送通知。如果用户在Active Directory中,请确保已配置LDAP。
- 电话号码:如果您选择多个平台或仅选择macOS,则不会出现此设置。可选地,键入用户的电话号码。
- 航空公司:如果您选择多个平台或仅选择macOS,则不会出现此设置。选择与用户电话号码关联的运营商。
- 招生模式:为用户选择注册安全模式。默认值为用户名+密码。以下选项并非适用于所有平台:
- 用户名+密码
- 高安全
- 邀请URL
- 邀请URL + PIN
- 邀请网址+密码
- 两个因素
- 用户名+ PIN
我们不支持高安全招生模式。要发送注册邀请,您只能使用邀请URL,邀请URL + PIN,或邀请网址+密码注册安全模式。对于注册的设备用户名+密码,两个因素,或用户名+ PIN,用户必须下载Secure Hub并手动输入其凭据。
有关更多信息,请参见按平台注册安全模式。用于注册的PIN也称为一次性PIN。这些pin只有在用户注册时才有效。
注意:
当您选择任何包含PIN码的注册安全模式时注册密码模板字段出现。点击招生销。
- 代理下载模板:选择下载链接模板下载链接。该模板适用于所有受支持的平台。
- 注册模板URL:选择入学邀请。
- 入学确认模板:选择注册确认。
- 到期后:该字段在配置注册安全模式时设置,表示注册何时过期。有关配置注册安全模式的详细信息,请参见配置注册安全模式。
- 最大的尝试:该字段在配置注册安全模式时设置,表示注册过程的最大次数。
- 发送邀请:选择在立即发出邀请。选择从将邀请添加到表上入学邀请发送,但不要发送。
点击保存并发送如果你启用了发送邀请。否则,单击保存。邀请出现在表格上入学邀请页面。
向组发送注册邀请
配置邀请加入组的相关设置如下图所示。
配置这些设置:
- 域:选择要接收邀请的组的域。
- 组:选择要接收邀请的组。端点管理从Active Directory获取用户列表。列表中包含包含特殊字符的用户。
- 招生模式:选择希望组中的用户注册的方式。默认值为用户名+密码。以下选项并非适用于所有平台:
- 用户名+密码
- 高安全
- 邀请URL
- 邀请URL + PIN
- 邀请网址+密码
- 两个因素
- 用户名+ PIN
我们不支持高安全招生模式。要发送注册邀请,您只能使用邀请URL,邀请URL + PIN,或邀请网址+密码注册安全模式。对于注册的设备用户名+密码,两个因素,或用户名+ PIN,用户必须下载Secure Hub并手动输入其凭据。
只显示对所选平台有效的注册安全模式。有关更多信息,请参见按平台注册安全模式。
注意:
当您选择任何包含PIN码的注册安全模式时注册密码模板字段出现。点击招生销。
- 代理下载模板:选择下载链接模板下载链接。该模板适用于所有受支持的平台。
- 注册模板URL:选择入学邀请。
- 入学确认模板:选择注册确认。
- 到期后:该字段在配置注册安全模式时设置,表示注册何时过期。有关配置注册安全模式的详细信息,请参见配置注册安全模式。
- 最大的尝试:该字段在配置注册安全模式时设置,表示注册过程的最大次数。
- 发送邀请:选择在立即发出邀请。选择从将邀请添加到表上入学邀请发送,但不要发送。
点击保存并发送如果你启用了发送邀请。否则,单击保存。邀请出现在表格上入学邀请页面。
发送安装链接
在发送注册安装链接之前,必须在通知服务器上配置通道(SMTP或SMS)设置页面。有关详情,请参阅通知
配置这些设置,然后单击保存。
- 收件人:对于要添加的每个收件人,单击添加然后做下面的事情:
- 电子邮件:键入收件人的电子邮件地址。必填字段。
- 电话号码:键入收件人的电话号码。必填字段。
注意:
若要删除收件人,请将鼠标悬停在包含该清单的行上,然后单击右侧的回收站图标。弹出确认对话框。点击删除删除列表或单击取消保持列表。
若要编辑收件人,请将鼠标悬停在包含清单的行上。然后,点击右边的钢笔图标。更新清单,然后单击保存保存更改的清单或取消保持列表不变。
- 渠道:选择要用于发送注册安装链接的通道。你可以发送通知SMTP或短信。的服务器设置之前,这些通道不能被激活设置页通知服务器。有关详情,请参阅通知。
- SMTP:配置这些可选设置。如果在这些字段中没有输入任何内容,则使用为所选平台配置的通知模板中指定的默认值:
- 发送方:键入可选的发件人。
- 主题:为邮件键入可选主题。例如,“注册您的设备。”
- 信息:键入要发送给收件人的可选邮件。例如,“注册你的设备以访问组织应用程序和电子邮件。”
- 短信:配置此设置。如果在此字段中未输入任何内容,则使用为所选平台配置的通知模板中指定的默认值:
信息:键入要发送给收件人的邮件。短信通知时需要配置。
在北美,超过160个字符的短信是分多条发送的。
- 收件人:对于要添加的每个收件人,单击添加然后做下面的事情:
点击发送。
注意:
如果您的环境使用sAMAccountName:在用户收到邀请并单击链接后,他们必须编辑用户名以完成身份验证。用户名的形式为
sAMAccountName@domainname.com。用户必须删除@domainname.com部分。
按平台注册安全模式
下表显示可用于注册用户设备的安全模式。在表格中,是的说明哪些设备平台支持不同注册配置文件的特定注册和管理模式。
| MDM注册安全模式 | Citrix网关的MAM注册安全模式 | 管理模式 | 支持不同的注册配置文件 | Android(遗留) | Android的企业 | iOS(用户注册模式) | iOS | macOS | 窗户 |
|---|---|---|---|---|---|---|---|---|---|
| Azure AD和Okta通过思杰云作为身份提供商 | 客户端证书 | MDM+MAM或MDM | 是的 | 是的 | 是的 | 是的 | 是的 | 没有 | 没有 |
| 用户名+密码 | LDAP、LDAP +客户端证书和仅客户端证书 | MDM+MAM、MDM或MAM(仅MAM模式不支持Citrix Gateway上的客户端证书) | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 邀请URL | 客户端证书 | MDM+MAM或MDM | 是的 | 是的 | 是的 | 没有 | 是的 | 没有 | 没有 |
| 邀请URL + PIN | 客户端证书 | MDM+MAM或MDM | 是的 | 是的 | 是的 | 没有 | 是的 | 没有 | 没有 |
| 邀请网址+密码 | LDAP、LDAP +客户端证书和仅客户端证书 | MDM+MAM或MDM | 是的 | 是的 | 是的 | 没有 | 是的 | 没有 | 没有 |
| 双因素认证(用户名+密码+ PIN) | LDAP、LDAP +客户端证书和仅客户端证书 | MDM+MAM或MDM | 是的 | 是的 | 是的 | 没有 | 是的 | 是的 | 没有 |
| 用户名+ PIN | 客户端证书 | MDM+MAM或MDM | 是的 | 是的 | 是的 | 没有 | 是的 | 是的 | 没有 |
注册安全模式在iOS、Android和Android Enterprise设备上的表现如下:
- 用户名+密码(默认)
- 向用户发送包含注册URL的单个通知。当用户单击URL时,将打开Secure Hub。然后,用户输入用户名和密码,在Endpoint Management中注册设备。
- 邀请URL
- 向用户发送包含注册URL的单个通知。当用户单击URL时,将打开Secure Hub。端点管理服务器名称和是的,注册按钮出现。用户点击是的,注册在端点管理中注册设备。
- 邀请URL + PIN
- 向用户发送以下邮件:
- 带有注册URL的电子邮件,允许用户通过Secure Hub在Endpoint Management中注册设备。
- 用户在注册设备时必须键入一次性PIN的电子邮件,以及用户的Active Directory(或本地)密码。
- 在这种模式下,用户只能通过使用通知中的注册URL进行注册。如果用户丢失通知邀请,则用户无法注册。但是,您可以发送另一个邀请。
- 向用户发送以下邮件:
- 邀请网址+密码
- 向用户发送包含注册URL的单个通知。当用户单击URL时,将打开Secure Hub。出现端点管理服务器名称,以及允许用户键入密码的字段。
- 两个因素
- 向用户发送单个通知,其中包含注册URL和一次性PIN。当用户单击URL时,将打开Secure Hub。出现了Endpoint Management服务器名,以及两个字段,用户可以输入密码和PIN码。
- 用户名+ PIN
- 向用户发送以下邮件:
- 带有注册URL的电子邮件,允许用户下载和安装Secure Hub。打开Secure Hub后,系统提示用户输入用户名和密码,以便在Endpoint Management中注册设备。
- 用户在注册设备时必须键入一次性PIN的电子邮件,以及用户的Active Directory(或本地)密码。
- 如果用户丢失通知邀请,则用户无法注册。但是,您可以发送另一个邀请。
- 向用户发送以下邮件:
以下描述了注册安全模式在macOS设备上的行为:
- 用户名+密码
- 向用户发送包含注册URL的单个通知。当用户单击URL时,将打开Safari浏览器。出现一个登录页面,提示用户输入用户名和密码,以便在Endpoint Management中注册设备。
- 两个因素
- 向用户发送单个通知,其中包含注册URL和一次性PIN。当用户单击URL时,将打开Safari浏览器。出现一个登录页面,显示两个字段,用户可以输入密码和PIN码。
- 用户名+ PIN
- 向用户发送以下邮件:
- 带有注册URL的电子邮件。当用户单击URL时,将打开Safari浏览器。出现一个登录页面,提示用户输入用户名和密码,以便在Endpoint Management中注册设备。
- 用户在注册设备时必须键入一次性PIN的电子邮件,以及用户的Active Directory(或本地)密码。
- 如果用户丢失通知邀请,则用户无法注册。但是,您可以发送另一个邀请。
- 向用户发送以下邮件:
不能向Windows设备发送注册邀请。Windows用户直接通过他们的设备注册。有关注册Windows设备的信息,请参见Windows设备。
安全的行为
中执行设备和应用程序安全操作管理>设备页面。设备操作包括撤销、锁定、解锁和擦除。应用安全操作包括应用锁定和应用擦除。
激活锁旁路:移除受监管的iOS设备激活前的激活锁。该命令不需要用户的个人Apple ID或密码。
应用锁:拒绝访问设备上的所有应用程序。在Android上,应用锁定后,用户无法登录Endpoint Management。在iOS上,用户可以登录,但不能访问任何应用程序。
应用擦:从安全集线器中删除用户帐户并取消设备注册。用户无法重新注册,直到执行应用unwipe行动。
ASM部署程序激活锁:为在Apple School Manager注册的iOS设备创建激活锁绕过代码。
证书更新:对于支持的iOS、macOS和Android设备,“证书续订安全”动作将发起证书续订。下次设备连接回端点管理时,端点管理服务器将根据新的证书颁发机构颁发新的设备证书。
明确的限制:在受监管的iOS设备上,该命令允许端点管理清除用户配置的限制密码和限制设置。
启用/禁用丢失模式:将受监管的iOS设备设置为丢失模式,并向设备发送要显示的消息、电话号码和脚注。第二次发送此命令将使设备脱离丢失模式。
启用跟踪:在Android或iOS设备上,该命令允许端点管理以您定义的频率轮询特定设备的位置。要查看设备在地图上的坐标和位置,请转到管理>设备,选择设备后,单击编辑。设备信息显示在一般选项卡下安全。使用启用跟踪连续跟踪设备。安全集线器在设备运行时定期报告位置。
全部擦:立即清除设备中的所有数据和应用程序,包括存储卡中的数据和应用程序。擦除的设备仍在设备列表中管理>设备页,用于审计目的。您可以从设备列表中删除已擦除的设备。
对于Android设备,此请求还可以包括擦除存储卡的选项。
对于具有工作配置文件的Android Enterprise完全管理设备(COPE设备),您可以在选择性擦除删除工作配置文件后执行完全擦除。
对于iOS, macOS和tvOS设备,即使设备被锁定,也会立即进行擦除。
对于iOS 11设备和iPadOS 12设备(最低版本):当您确认完全擦除时,您可以选择保留设备上的蜂窝数据计划。
对于iOS 11.3设备(最低版本):当您确认完全擦除时,您可以阻止iOS设备执行近距离设置。在设置新的iOS设备时,用户通常可以使用已配置的iOS设备来设置自己的iOS设备。您可以阻止在端点管理管理的设备上的接近设置,并已被擦除。
对于Windows Phone设备,完全擦除将删除所有端点管理信息和所有用户数据。删除的用户数据包括个人内容,如应用程序、电子邮件、联系人和媒体。
如果设备用户在删除存储卡内容之前关闭了设备,则用户可能仍然可以访问设备数据。
您可以在请求发送到设备之前取消擦除请求。
- 定位:定位设备,并将设备位置(包括地图)报告到管理>设备页面,在设备详细信息>通用。Locate是一次性操作。使用定位在执行操作时显示当前设备位置。要在一段时间内连续跟踪设备,使用启用跟踪。
- 当将此操作应用于Android (Android Enterprise除外)设备或Android Enterprise(企业拥有或BYOD)设备时,请注意以下行为:
- 定位要求用户在注册期间授予位置权限。用户可以选择不授予位置权限。如果用户在注册期间未授予该权限,则端点管理在发送位置权限时再次请求位置权限定位命令。
- 将此功能应用于iOS或Android Enterprise设备时,请注意以下限制:
- 对于Android Enterprise设备,此请求将失败,除非定位设备策略是否已设置设备的定位模式为精度高或电池储蓄。
- 对于iOS设备,当设备处于“MDM丢失模式”时,命令执行成功。
- 当将此操作应用于Android (Android Enterprise除外)设备或Android Enterprise(企业拥有或BYOD)设备时,请注意以下行为:
锁:远程锁定设备。当用户丢失设备时,锁是有用的,你想锁定它以防它被偷。端点管理然后生成PIN码并将其设置在设备中。用户需要输入PIN码才能访问设备。使用取消锁定从端点管理控制台中删除锁。
锁定和重置密码:远程锁定设备并重置密码。
- 以下设备不支持:
- 以工作配置文件模式注册了Android Enterprise
- 运行的Android版本低于Android 7.0
- 在以工作配置文件模式注册Android Enterprise且运行Android 7.0或更高版本的设备上:
- 发送的密码锁定了工作配置文件。设备未被锁定。
- 如果没有发送密码,或者发送的密码不符合要求且工作配置文件中没有密码:设备被锁定。
- 如果没有发送密码,或者发送的密码不符合要求,但工作配置文件有密码:工作配置文件被锁定,但设备未被锁定。
- 以下设备不支持:
通知(环):在Android设备上播放声音。
重启:重启Windows 10和Windows 11设备。对于Windows平板电脑和pc,会出现等待重启的消息。重启将在5分钟后进行。对于Windows Phone,重启会在几分钟后发生,不会向用户发出警告信息。
请求/停止播放镜像:在受监管的iOS设备上启动和停止AirPlay镜像。
重新启动/关闭:立即重启或关闭监控设备。tvOS支持重启,不支持关机。
撤销:禁止设备连接终端管理。
撤销/授权:执行与选择性擦除相同的操作。撤销后,您可以重新授权设备重新注册。
环:如果设备处于“丢失模式”,Ring会在受监督的iOS设备上播放声音。声音会一直播放,直到您将设备从丢失模式中移除或用户禁用该声音。
旋转个人恢复键:如果您启用了FileVault设备策略,该操作将生成一个新的个人恢复密钥并用这个新密钥替换旧密钥。您可以在请求仍然挂起时取消此请求。单击取消旋转个人恢复密钥。
选择性擦除:清除设备上的所有公司数据和应用程序,留下个人数据和应用程序。选择性擦拭后,使用授权重新授权设备的操作,以便用户可以重新注册设备。擦除的设备仍在设备列表中管理>设备页,用于审计目的。您可以从设备列表中删除已擦除的设备。
- 选择性擦除Android设备不会断开设备与设备管理器和企业网络的连接。为了防止设备访问设备管理器,还需要撤销设备证书。
- 选择性擦除Android设备也会撤销该设备。只有在重新授权设备或从控制台中删除设备后,才能重新注册设备。
- 对于具有工作配置文件的Android Enterprise完全管理设备(COPE设备),您可以在选择性擦除删除工作配置文件后执行完全擦除。或者,您可以使用相同的用户名重新注册设备。重新注册设备将重新创建工作配置文件。
- 如果启用了Samsung Knox API,有选择地擦除设备也会删除Samsung Knox容器。
- 对于iOS和macOS设备,该命令删除通过MDM安装的任何配置文件。
- 在Windows设备上的选择性擦除还会删除任何当前登录用户的配置文件文件夹的内容。选择性删除不会删除您通过配置提供给用户的任何web剪辑。要删除web剪辑,用户需要手动注销其设备。您无法重新注册选择性擦除的设备。
- 选择性擦除Windows Phone设备将删除允许端点管理在设备上安装应用程序的企业令牌。擦除还删除部署到设备的所有Endpoint Management证书和配置。选择性擦除的Windows Phone设备无法重新注册。
- 解锁:清除设备被锁定时发送给设备的密码。该命令不能解锁设备。
在管理>设备,设备详细信息页还列出了设备的安全属性。这些属性包括强ID、锁定设备、激活锁定旁路以及平台类型的其他信息。的设备全擦除字段包含用户PIN码。用户必须在擦除设备后输入该代码。如果用户忘记了代码,你可以在这里查找。
您可以自动执行一些操作。有关更多信息,请参见自动操作。
从Endpoint Management控制台中删除设备
重要的是:
当您从Endpoint Management控制台中删除设备时,受管理的应用程序和数据仍保留在设备上。要从设备中删除受管理的应用程序和数据,请参阅本文后面的“删除设备”。
要从Endpoint Management控制台删除设备,请转到管理>设备,选择待管理的设备,单击删除。
选择性擦除设备
去管理>设备,选择待管理的设备,单击安全。
在安全的行为,点击选择性擦。
仅对于Android设备,请断开设备与企业网络的连接:擦除设备后,在安全的行为,点击撤销。
在擦除发生之前撤回选择性擦除请求,在安全的行为,点击取消选择性擦除。
删除设备
此过程从设备中删除受管理的应用程序和数据,并从端点管理控制台中的设备列表中删除设备。您可以使用Endpoint Management Public REST API批量删除设备。
去管理>设备,选择待管理的设备,单击安全。
点击选择性擦。出现提示时,单击选择性擦除。
如果要验证擦除命令是否成功,请执行refresh命令管理>设备。在模式列中,MDM和MAM为琥珀色表示擦除命令成功。
在管理>设备,选择设备,单击删除。出现提示时,单击删除再一次。
锁定、解锁、擦除或取消擦除应用程序
去管理>设备,选择待管理的设备,单击安全。
在安全的行为,单击app动作。
你也可以用安全的行为框,以检查帐户已从Active Directory中禁用或删除的用户的设备状态。“应用解锁”或“应用取消擦除”操作表明应用已被锁定或擦除。
获取有关设备的信息
Endpoint Management数据库存储一个移动设备列表。要用设备填充端点管理控制台,您可以手动添加设备,也可以从文件导入设备列表。有关设备配置文件格式的详细信息,请参见设备发放文件格式在本文后面。
的管理>设备页列出了每个设备和以下信息:
- 状态:图标显示设备是否越狱、是否已被管理、ActiveSync网关是否可用、部署状态。
- 模式:设备模式,如MDM、MDM+MAM。
- 设备的其他信息,如用户名,设备平台,最后一次访问,不活跃天。这些标题都是默认的。
要自定义设备表中,单击最后一个标题上的向下箭头。然后,选择您希望在表中看到的其他标题或清除任何标题以删除它们。
您可以手动添加设备、从设备发放文件导入设备、编辑设备详细信息、自定义Active Directory用户属性、执行安全操作以及向设备发送通知。您还可以将所有设备表数据导出为.csv文件,以创建自定义报表。服务器导出所有设备属性。如果应用过滤器,端点管理将在创建.csv文件时使用过滤器。
从配置文件中导入设备
您可以导入移动运营商或设备制造商提供的文件,也可以创建自己的设备供应文件。有关详情,请参阅设备发放文件格式在本文后面。
去管理>设备然后点击进口。的导入发放文件对话框。
点击选择文件然后导航到要导入的文件。
点击进口。的设备表列出了导入的文件。
若要编辑设备信息,请选中该设备,然后单击编辑。有关设备详细信息页,看到获取有关设备的信息。
部署到设备
您可以强制一个或多个设备与端点管理连接。选中的设备立即接收资源,而无需等待下一次预定的签入。
- 去管理>设备,选择MDM或MDM+MAM管理的设备,单击部署。
- 在弹出的对话框中单击部署确认您的操作。
向设备发送通知
您可以通过“设备”页面向设备发送通知。有关通知的详细信息,请参见通知。
在管理>设备页,选择要向其发送通知的一个或多个设备。
点击通知。的通知对话框。的收件人字段列出接收通知的所有设备。
配置这些设置:
- 模板:在列表中,单击要发送的通知类型。对于每个模板,除了特别的,主题和消息字段显示为您选择的模板配置的文本。
- 渠道:选择发送消息的方式。默认值为SMTP和短信。单击选项卡以查看每个通道的消息格式。
- 发送方:输入可选的发送方。
- 主题:输入一个主题特别的消息。
- 信息:输入an的消息特别的消息。
点击通知。
导出“设备”表
过滤设备根据您希望在导出文件中显示的内容。
单击出口按钮上方设备表格端点管理提取过滤后的信息设备表并将其转换为.csv文件。
当出现提示时,打开或保存.csv文件。
手动标记用户设备
在“终端管理”中,您可以通过以下两种方式手动标记设备:
- 在基于邀请的注册过程中。
- 在自助门户注册过程中。
- 通过将设备所有权添加为设备属性
你可以选择将设备标记为公司所有或员工所有。当使用自助门户对设备进行自我注册时,您可以将设备标记为公司所有或员工所有。您也可以手动标记设备,如下所示。
- 向设备添加属性设备选项卡。
添加名为所拥有的然后任选其一企业或BYOD(员工持股)。
自定义Active Directory用户属性
您可以自定义某些Active Directory用户属性,以定义端点管理可以访问哪些属性来创建用户帐户。
要查看属性列表,请添加optional.user.identity.attributes服务器属性作为自定义键设置>服务器属性。在值字段,则可以删除并稍后恢复端点管理默认情况下提供的可选Active Directory用户属性。有关更多信息,请参见服务器属性。
编辑默认值列表并保存更改后,可以在中查看更新的Active Directory用户属性管理>设备>用户属性。端点管理在用户登录到设备之后或在下一次预定的设备签入期间更新控制台。如果您犯了拼写错误或添加了不支持的值,端点管理将忽略您的更改。
删除可选的Active Directory用户属性会影响以下功能:
- 用户帐号的发放:如果删除名字和姓氏值,端点管理将无法为Citrix Content Collaboration和Salesforce提供用户帐户。
- 入学邀请:如果您删除了用户的电子邮件或手机详细信息,用户将无法收到注册邀请。
- 设备通知动作:如果删除用户的电子邮件详细信息,则用户无法通过SMTP接收通知。
- 单点登入安全邮件:如果删除显示名称值,则用户无法使用单点登录登录到安全邮件。
- 用户属性和部署规则:如果删除用于配置用户属性和部署规则的任何可选属性,则可能会影响现有配置。
- 行动:中用于设置自动操作的任何可选属性配置> Actions,会影响现有的配置。
- 自定义报告:如果删除自定义报表中使用的任何可选属性,则可能会影响现有配置。
搜索设备
为了快速搜索,默认搜索范围包括以下设备属性:
- 序列号
- IMEI
- Wi-Fi MAC地址
- 蓝牙MAC地址
- 激活同步ID
- 用户名
您可以通过服务器属性配置搜索范围,include.device.properties.during.search,默认为假。若要在设备搜索中包含所有设备属性,请转至设置>服务器属性并将设置更改为真正的。
设备发放文件格式
许多移动运营商或设备制造商提供授权移动设备的列表。您可以使用这些列表来避免手动输入一长串移动设备列表。Endpoint Management支持一种导入文件格式,这种格式在这些受支持的设备类型中是通用的:Android、iOS和Windows。
手动创建的发放文件格式如下:
SerialNumber; IMEI; OperatingSystemFamily propertyName1; propertyValue1 propertyName2; propertyValue2;…propertyNameN; propertyValueN
请记住以下几点:
- 有关每个属性的有效值,请参见PDF设备属性名称和值。
- 使用UTF-8字符集。
使用分号(;)分隔配置文件中的字段。如果字段的一部分包含分号,请使用反斜杠字符(\)转义。
例如,对于这个属性:
propertyV;测试;1;2转义如下:
propertyV \;测试\ 1 \;2- iOS设备需要输入序列号,因为序列号是iOS设备的标识。
- 对于其他设备平台,您必须包含序列号或IMEI。
- 的有效值OperatingSystemFamily是窗户,安卓,或iOS。
设备发放文件示例:
WINDOWS;propertyN;propertyV;test; 1; 2;prop 2; 2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&4050 bf3f517301081610065510590393;; iOS;测试;, 55244201625379903, ANDROID; test.teste;价值;文件中的每一行描述一个设备。该示例中的第一个条目的含义如下:
- SerialNumber:
1050年bf3f517301081610065510590391 - IMEI:
15244201625379901 - OperatingSystemFamily:
窗户 - ProertyName:
propertyN - PropertyValue:
propertyV \;测试\ 1 \;2,支持2
共享设备
端点管理允许您配置多个用户可以共享的设备。例如,共享设备功能允许医院的临床医生使用附近的任何设备访问应用程序和数据,而不必随身携带特定的设备。您可能还希望执法、零售和制造等领域的轮班工人共享设备,以降低设备成本。
共享设备的要点
您可以使用任何支持的iOS和Android设备作为共享设备。有关支持的设备列表,请参见支持的设备操作系统。
MDM招生
- 可在iOS和Android平板电脑和手机。端点管理企业共享设备不支持基本Apple部署计划注册。使用授权的Apple部署程序以此模式注册共享设备。
- 不支持认证类型:客户端证书认证、Citrix PIN、Touch ID、User Entropy、双因素认证。
MDM +老妈招生
- 仅适用于iOS和Android平板电脑。
- 只支持Active Directory用户名密码认证。
- 不支持客户端证书身份验证、安全集线器密码、触摸ID、用户熵和双因素身份验证。
- 不支持只注册mam。设备必须注册MDM。
- 仅支持Secure Mail、Secure Web和Citrix Files移动应用。不支持HDX应用程序。
- Active Directory用户是唯一支持的用户。不支持本地用户和组
- 要将现有的仅MDM的共享设备更新到MDM+MAM,需要重新注册。
- 用户不能在设备上共享本地应用程序。
- 一旦在首次注册时下载了Citrix移动生产力应用程序,就不会在每次新用户登录设备时再次下载。新用户可以拿起设备,登录,然后开始操作。
- 在Android上,为了安全起见隔离每个用户的数据,启用禁止使用根设备策略在Endpoint Management控制台中。
注册共享设备的前提条件
在注册共享设备之前,必须执行以下操作:
- 创建共享设备注册用户角色。看到使用RBAC配置角色。
- 创建共享设备用户。看到添加、编辑、解锁或删除本地用户帐户。
- 创建一个交付组,其中包含要应用于共享设备注册用户的基本策略、应用程序和操作。看到部署资源。
实现MDM+MAM的前提条件
- 创建一个名为如下内容的活动目录组共享设备注册者。
- 向该组添加要注册共享设备的Active Directory用户。如果为此需要一个新帐户,请创建一个新的Active Directory用户(例如,
sdenroll),并将该用户添加到Active Directory组。
配置共享设备
按照以下步骤配置共享设备。
- 在Endpoint Management控制台中,单击右上角的齿轮。的设置页面出现。
- 点击基于角色的访问控制,然后点击添加。的添加角色屏幕上出现了。
创建共享设备注册用户角色共享设备注册用户与共享设备登记员权限下授权访问。一定要扩展设备在控制台的功能然后选择选择性擦拭装置。此设置确保当设备注销时,通过共享设备注册者帐户提供的应用程序和策略通过安全集线器删除。
为申请权限,保持默认设置;所有用户组。,为Active Directory用户组分配权限给特定的用户组。
点击下一个移动到赋值屏幕上。将您创建的共享设备注册角色分配给共享设备注册用户的Active Directory组。在下面的图片中,citrix.lab是Active Directory域和共享设备注册者为Active Directory组。
创建一个交付组,其中包含在用户未登录时要应用于设备的基本策略、应用程序和操作。然后,将该交付组与共享设备注册用户Active Directory组关联。
在共享设备上安装Secure Hub,并使用共享设备注册用户帐户将其注册到Endpoint Management中。现在可以通过Endpoint Management控制台查看和管理设备。
如果需要为认证后的用户应用不同的策略或提供更多的应用,可以创建与这些用户关联的交付组,并将该交付组只部署到共享设备上。在创建分组时,需要配置部署规则,确保包部署到共享设备上。有关更多信息,请参见部署资源。
- 若要停止共享设备,请执行选择性擦除以从设备中删除共享设备注册用户帐户。选择性擦除还会删除部署到设备上的任何应用程序和策略。
共享设备用户体验
MDM招生
用户只看到对他们可用的资源,他们在每个共享设备上都有相同的体验。共享设备注册策略和应用程序始终保留在设备上。当未注册共享设备的用户登录到Secure Hub时,他们的策略和应用程序将部署到设备上。当用户注销时,任何与共享设备注册不同的策略和应用程序都会被删除。共享设备注册资源保持不变。
MDM +老妈招生
安全邮件和安全Web在共享设备注册用户注册时部署到设备上。用户数据在设备上得到安全维护。当其他用户登录到安全邮件或安全Web时,数据不会暴露给他们。
一次只有一个用户可以登录到安全集线器。前一个用户必须注销,然后下一个用户才能登录。出于安全考虑,Secure Hub不会在共享设备上存储用户凭据,因此用户每次登录时都必须输入他们的凭据。为了确保新用户不能访问原用户使用的资源:在删除与原用户关联的策略、应用程序和数据时,Secure Hub不允许新用户登录。
共享设备注册不会改变升级应用程序的过程。你可以一如既往地向共享设备用户推送升级,而共享设备用户也可以直接在他们的设备上升级应用。
推荐的安全邮件策略
- 为获得最佳的安全邮件性能,请设置最大同步周期根据用户数量共享设备。不建议无限制同步。
| 共享设备的用户数 | 建议最大同步周期 |
|---|---|
| 21 - 25日 | 一周或更短 |
| 6 20 | 2周或更短 |
| 5个或更少 | 1个月或以下 |
块启用联系人导出避免将用户的联系人暴露给共享该设备的其他用户。
在iOS操作系统中,每个用户只能设置以下设置:所有其他设置在共享设备的用户之间是通用的:
- 通知
- 签名
- 不在办公室
- 同步邮件周期
- S / MIME
- 检查拼写