准备注册设备和交付资源
重要的是:
在继续之前,请确保完成了中描述的所有任务入职和资源设置.
让您的用户了解即将发生的更改。看到欢迎使用Citrix端点管理用户采用套件.
端点管理支持各种注册选项。本文将介绍启用所有支持的设备注册所需的基本设置。下图总结了基本设置。
有关支持的设备列表,请参见支持的设备操作系统.
为iOS设备建立一个苹果推送通知服务(APNs)证书
重要的是:
苹果对APNs遗留二进制协议的支持将于2021年3月31日结束。Apple建议您使用基于HTTP/2的APNs提供程序API。从发行版20.1.0开始,Citrix端点管理支持基于HTTP/2的API。更多信息,请参见新闻更新,“苹果推送通知服务更新”https://developer.apple.com/.有关检查到apn连接的帮助,请参见连接检查.
端点管理需要苹果的苹果推送通知服务(APNs)证书来注册和管理iOS设备。Endpoint Management还需要一个APNs证书,用于iOS推送通知的安全邮件。
要从苹果获得证书,需要苹果ID和开发者账户。详细信息请参见苹果开发者计划的网站。
若要获取APNs证书并将其导入Endpoint Management,请参见导引和证书.
![创建证书页面]()
有关端点管理和apn的更多信息,请参见iOS安全邮件的推送通知.
为Android设备设置Firebase云消息(FCM)
Firebase云消息(FCM)控制Android设备连接到端点管理服务的方式和时间。任何安全操作或部署命令都会触发一个推送通知。该通知提示用户重新连接到Endpoint Management。
FCM设置要求您配置您的谷歌帐户。要创建谷歌播放凭据,请参见管理您的开发人员帐户信息.您还可以使用谷歌Play添加、购买和批准应用程序,以便部署到设备上的Android Enterprise工作区。您可以使用谷歌Play部署您的私有Android应用程序、公共应用程序和第三方应用程序。
要设置FCM,请参见Firebase云消息传递.
设置端点管理自动发现服务
AutoDiscovery服务通过基于电子邮件的URL发现简化了用户的注册过程。AutoDiscovery服务还为Citrix Workspace客户提供了注册验证、证书固定和其他好处等功能。托管在Citrix Cloud中的服务是许多Endpoint Management部署的重要组成部分。
使用自动发现服务,用户:
- 可以使用他们的公司网络证书注册他们的设备。
- 不需要输入关于Endpoint Management服务器地址的详细信息。
- 请按UPN格式输入用户名。例如,
user@mycompany.com.
我们建议您在高安全环境中使用自动发现服务。AutoDiscovery服务支持公钥证书钉住,防止中间人攻击。证书固定确保在Citrix客户机与Endpoint Management通信时使用您的企业签署的证书。要为您的Endpoint Management站点配置证书钉住,请联系Citrix Support。有关证书固定的信息,请参见证书寄.
要访问自动发现服务,请导航到https://adsui.cloud.com(商业)或https://adsui.cem.cloud.us(政府)。
先决条件
- Citrix Cloud中的新的自动发现服务需要最新版本的Secure Hub:
- 对于iOS, Secure Hub版本为21.1.0或更高版本
对于Android, Secure Hub版本21.2.1或更高版本
在早期版本的Secure Hub上运行的设备可能会遇到服务中断。
要访问新的自动发现服务,您必须拥有一个拥有完全访问权限的Citrix云管理员帐户。自动发现服务不支持具有自定义访问权限的管理员帐户。如果您没有账户,请参见注册Citrix Cloud.
Citrix将所有现有的自动发现记录迁移到Citrix Cloud,而没有中断服务。迁移的记录不会自动出现在新控制台中。您必须在新的自动发现服务中回收域以证明所有权。有关更多信息,请参见CTX312339.
- 在开始为您的端点管理部署使用自动发现服务之前,请验证并声明您的域。你最多可以申请10个域名。声明将验证的域与自动发现服务关联起来。要认领10个以上的域,请打开SRE票据或联系Citrix技术支持。
- 使用MAM端口设置而不是Citrix Gateway FQDN将MAM流量导向您的数据中心。如果您输入一个完全限定的域名以及Citrix Gateway的端口,则客户端设备将使用来自老妈港口设置。
- 如果广告拦截程序阻止网站打开,请确保您对整个网站禁用了广告拦截程序。
声明一个域
在声称>域选项卡上,单击加域.
![添加域]()
在出现的对话框中,输入Endpoint Management环境的域名,然后单击确认.您的域名出现在声称>域.
![声明一个域]()
在添加的域上,单击省略号菜单并选择验证域启动验证过程。的验证您的域页面出现。
![开始验证]()
在验证您的域页,按照说明验证您拥有该域。
![验证您的域]()
点击复制将DNS令牌复制到剪贴板。
在您的域的区域文件中创建一个DNS TXT记录。为此,请转到域宿主提供程序门户并添加复制的DNS令牌。
下面的截图显示了一个域主机提供程序门户。您的传送门可能看起来不同。
![验证您的域]()
在思杰云,在验证您的域页面,点击开始DNS检查开始检测你的DNS TXT记录。如果后续需要验证该域,请单击稍后验证域.
验证过程一般需要一个小时左右。然而,可能需要两天时间才能返回响应。在状态检查过程中,您可以注销并重新登录。
配置完成后,域的状态从等待来验证.
在认领您的域之后,提供关于自动发现服务的信息。单击所添加的域上的省略号菜单,然后单击添加端点管理信息.的自动发现服务信息页面出现。
输入以下信息,然后单击保存.
端点管理服务器FQDN:输入Endpoint Management服务器的完全限定域名。例如:
example.xm.cloud.com.用于MDM和MAM控制流量。Citrix Gateway FQDN:输入Citrix Gateway的完全限定域名,格式为FQDN或FQDN:port。例如:
example.com.此设置用于将MAM流量导向您的数据中心。对于仅mdm的部署,请将此字段保留为空。注意:
Citrix建议您使用老妈港口设置而不是Citrix Gateway FQDN控制MAM流量。如果您输入一个完全限定的域名以及Citrix Gateway的端口,则客户端设备将使用来自老妈港口设置。
实例名称:输入您在上面配置的Endpoint Management服务器的实例名称。如果你不确定你的实例名,保持默认值,zdm.
MDM端口:输入用于MDM控制流量和MDM注册的端口。对于基于云的服务,默认为443。
老妈端口:输入MAM控制流量、MAM注册、iOS注册和应用枚举使用的端口。对于基于云的服务,默认值是8443。
请求Windows设备的自动发现
如果您计划注册Windows设备,请执行以下操作:
联系Citrix支持并创建支持请求以启用Windows自动发现。
获取公开签名的、非通配符的SSL证书
enterpriseenrollment.mycompany.com.的mycompany.com部分是包含用户用于注册的帐户的域。将.pfx格式的SSL证书及其密码附加到上一步中创建的支持请求。如果要使用多个域注册Windows设备,也可以使用结构如下的多域证书:
- 一个带有CN的SubjectDN,该CN指定它所服务的主要域(例如,enterpriseregistrment.mycompany1.com)。
- 其余域的适当san(例如,enterpriseregistrment.mycompany2.com、enterpriseregistrment.mycompany3.com,等等)。
在DNS中创建一个规范名称(CNAME)记录,并将SSL证书的地址(enterpriseregistrment.mycompany.com)映射到autodisc.xm.cloud.com。
Windows设备用户使用UPN注册时,Citrix注册服务器:
- 提供端点管理服务器的详细信息。
- 指示设备向端点管理请求有效的证书。
此时,您可以注册所有支持的设备。继续下一节,准备向设备交付资源。
与Azure AD条件访问集成
您可以配置端点管理来将Azure AD条件访问支持应用到Office 365应用程序。该特性允许在部署Office 365应用程序时将Zero Trust方法部署到设备用户。您可以使用设备状态、风险评分、位置和设备保护来应用自动操作,并在受管理的Android Enterprise和iOS设备上定义对Office 365应用程序的访问。
要实施Azure AD设备遵从性,必须为各个Office 365应用程序配置条件访问策略。您可以限制用户访问非受管理且不兼容的设备上的特定Office 365应用程序,只允许访问受管理且兼容的设备上的单个应用程序。
先决条件
- 对于此集成,您必须拥有有效的Azure AD付费订阅,包括Intune和Microsoft Office 365许可证。
- Secure Hub版本21.4.0及更高版本
- 在Citrix Cloud中将Azure AD配置为身份提供者(IdP),然后将Citrix身份设置为Endpoint Management的IdP类型。有关信息,请参见通过Citrix Cloud与Azure Active Directory进行身份验证.
- 同意Citrix多租户AAD应用程序,以允许移动应用程序使用AAD客户端应用程序进行身份验证。只有在Azure全局管理员设置为时才需要用户可以注册应用程序来没有.下面的Azure门户中配置此设置Azure Active Directory > Users >用户设置.要提供同意,请参见为Azure AD遵从性管理配置端点管理.
- 在启动Azure AD设备注册过程之前,在设备上安装Microsoft Authenticator应用程序。
- 对于Android Enterprise平台,配置一个web浏览器应用程序作为所需的公共商店应用程序。
- 禁用安全违约在Azure AD控制台设置。当您开始配置Azure AD时,您将用更细粒度的Azure AD条件访问策略替换安全默认值。有关安全缺省值的更多信息,请参见微软文档.
通过Azure AD条件访问策略配置设备遵从性
通过Azure AD条件访问策略配置设备遵从性的一般步骤如下:
- 端点管理配置:
- 在Microsoft Endpoint Manager管理中心中,添加Citrix工作区设备遵从性作为每个设备平台的合规合作伙伴,并分配用户组。
- 在端点管理中,从Microsoft端点管理中心同步信息。
Azure AD配置:在Azure AD门户中,为单个Office 365应用设置条件访问策略。
- 端点管理配置:配置完Office 365应用的条件访问策略后,在“终端管理”中将Microsoft Authenticator应用和Office 365应用添加为公共应用商店应用。将这些公共应用分配给交付组,并设置为所需的应用。
为Azure AD遵从性管理配置端点管理
登入Microsoft Endpoint Manager管理中心然后导航到租户管理>连接器和令牌>设备遵从性管理.点击添加法规遵循合作伙伴并选择Citrix工作区设备遵从性作为每个设备平台的合规合作伙伴。然后分配用户组。
![Microsoft Endpoint Manager管理中心]()
- 在“端点管理”中,转到设置> Azure AD遵从性管理.
- 可选地,设置全局同意,这样用户就不需要在每个设备上提供同意。旁边客户端应用程序同意,点击提供同意.输入您的全局管理Azure AD凭据,并按照提示为客户端应用程序提供全局同意。
点击连接从Microsoft Endpoint Manager管理中心同步信息。
![从Microsoft Endpoint Manager管理中心同步信息]()
一个对话框提示您接受此配置的权限。点击接受.配置完成后,同步的设备平台将出现在列表中。
![请求许可]()
在Azure AD中配置条件访问策略
在Azure AD门户中,为Office 365应用程序配置条件访问策略,以强制设备遵从性。去设备>条件必选接入>策略>新策略.有关更多信息,请参见微软文档.
为Intune管理的应用程序配置设备遵从性。
在端点管理中配置应用程序
配置完Office 365应用的条件访问策略后,在“终端管理”中将Microsoft Authenticator应用和Office 365应用添加为公共应用商店应用。将这些公共应用分配给交付组,并设置为所需的应用。有关信息,请参见添加一个公共应用商店应用.
用户认证工作流
- 新用户必须使用Azure AD凭据将设备注册到Endpoint Management中。以前使用Azure AD证书注册的用户不需要重新注册他们的设备。
- Endpoint Management将Microsoft Authenticator和配置的Office 365应用作为所需的应用推送到设备上。如果你将一个web浏览器应用程序配置为Android平台所需的公共商店应用程序,端点管理也会将其推送到用户设备。
- Secure Hub自动安装和显示通过端点管理管理的所有应用程序。
- 当用户试图登录任何可用的Office 365应用程序时,设备会提示用户点击Azure AD注册链接以启动注册过程。
- 用户点击注册链接后,微软验证程序就会打开。用户输入Azure AD凭据并同意设备注册条款。然后微软身份验证程序关闭,Secure Hub重新打开。
Secure Hub显示一条消息,表示Azure AD设备注册完成。用户现在可以使用微软的应用程序访问他们的云资源。
注册完成后,Azure AD在控制台中将设备标记为已管理和兼容的。
默认设备策略和移动生产力应用程序
如果您从终端管理19.5.0或更高版本开始,我们将预先配置一些设备策略和移动生产力应用程序。该配置使您能够:
- 立即将基本功能部署到设备上
- 从安全工作区的推荐基线配置开始
对于Android、Android Enterprise、iOS、macOS和Windows Desktop/Tablet平台,您的站点包含这些预先配置的设备策略:
密码设备策略:设备密码策略为在,并启用所有默认密码设置。
App库存设备策略:App库存设备策略为在.
限制设备策略:限制设备策略为在,并启用所有默认限制设置。
那些政策在的权限该组包含所有Active Directory用户和本地用户。我们建议您仅对初始测试使用AllUsers交付组。然后,创建交付组并禁用AllUsers交付组。您可以在交付组中重用预先配置的设备策略和应用程序。
所有端点管理设备策略都记录在设备的政策.那篇文章包括了关于如何使用控制台编辑设备策略的信息。有关常用设备策略的信息,请参见设备策略和用例行为.
对于iOS和Android平台,您的网站包含这些预先配置的移动生产力应用程序:
- 安全邮件
- 安全的网络
- Citrix文件
那些应用程序在的权限交付组。
有关更多信息,请参见关于移动生产力应用程序.
继续您的端点管理配置
在完成设备注册的基本设置之后,根据用例的不同,配置Endpoint Management的方式也有很大的不同。例如:
- 您的安全需求是什么?您希望如何平衡这些需求与用户体验?
- 你们支持哪些设备平台?
- 用户拥有自己的设备还是使用公司拥有的设备?
- 您希望向设备推送哪些设备策略?
- 你们为用户提供什么类型的应用?
本节通过引导您浏览本文档集中的文章,帮助您浏览许多配置选项。
当您在第三方站点中完成配置时,请记下这些信息及其位置,以便在配置Endpoint Management控制台设置时参考。
安全性和身份验证。端点管理使用证书创建安全连接并对用户进行身份验证。Citrix为您的Endpoint Management实例提供通配符证书。
有关Endpoint Management操作期间使用的身份验证组件的概述,请参见证书和身份验证.
您可以从以下类型的身份验证中选择。配置身份验证包括Endpoint Management和Citrix Gateway控制台中的任务。
如果需要向用户下发证书,需要进行如下配置:
设备注册安全模式。设备注册安全模式指定凭据类型,并使用用户在Endpoint Management中注册其设备所需的注册步骤。有关信息,请参见配置注册安全模式.
要允许用户使用Azure Active Directory凭据进行身份验证,请参见通过Citrix Cloud与Azure Active Directory进行认证.
设备注册
- 程序可用于注册大量设备:
要注册Android设备,请创建Android Enterprise管理员帐户。看到Android的企业.或者,看到遗留Android企业为谷歌工作区客户.
- 从您的谷歌工作区帐户为Chrome OS设备注册配置谷歌工作区,请参见铬操作系统.
要注册Citrix Ready工作区中心,请参见工作空间集线器设备管理
- 您可以使用注册邀请或发送注册通知。
- 有关注册的更多信息,请参见设备管理以及该节点下的文章。
设备策略与管理
为部署准备应用程序
有关端点管理支持的应用程序的信息,请参见添加应用程序.
你可以通过使用苹果批量购买来管理iOS应用授权。有关信息,请参见苹果批量购买.
您可以使用端点管理来部署通过苹果批量购买获得的ibook。看到添加媒体.
您可以将Citrix端点管理连接到Microsoft Store for Business。看到从Endpoint Management部署Microsoft Store用于商业应用程序.
思杰提供移动办公应用程序,包括安全邮件和安全Web。看到关于移动生产力应用程序.
作为安全邮件的替代方案,您可以将本机邮件发送到设备。看到的:
要允许用户安全地将文档和数据传输到Microsoft Office 365应用程序,请参见允许与Office 365应用程序的安全交互而且办公设备策略.
有关应用程序策略的一般信息,请参见应用程序策略和用例场景.
MDX Toolkit是一种应用包装技术,它为使用端点管理进行安全部署的企业应用做好准备。MAM SDK替代MDX Toolkit。MDX工具包计划在2022年3月达到EOL。
有关MAM SDK的信息,请参见MAM SDK概述.
有关应用程序的更多信息,请参阅下面的其他文章添加应用程序.
端点管理中的基于角色的访问控制(Role-Based Access Control, RBAC)特性允许为用户和组分配预定义的角色或权限集。这些权限控制着用户对系统功能的访问级别。有关信息,请参见使用RBAC配置角色.
您可以在Endpoint Management中创建自动操作,以指定在响应事件、某些设置或用户设备上的应用程序时所采取的操作。有关信息,请参见自动操作.