管理员任务和注意事项
本文讨论了与移动生产力应用程序管理员相关的任务和注意事项。
特性标志管理
如果生产中的移动生产力应用出现问题,我们可以在应用代码中禁用受影响的功能。我们可以在iOS和Android的安全集线器、安全邮件和安全Web中禁用该功能。为此,我们使用功能标志和一个名为LaunchDarkly的第三方服务。您不需要进行任何配置来启用LaunchDarkly,除非您有防火墙或代理阻止出站流量。在这种情况下,根据您的策略需求,您可以通过特定的url或IP地址启用流量LaunchDarkly。有关MDX中的支持的详细信息,因为要从隧道中排除域,请参阅MDX Toolkit文档。
您可以通过以下方式启用LaunchDarkly的流量和通信:
启用以下url的流量
events.launchdarkly.comstream.launchdarkly.comclientstream.launchdarkly.comfirehose.launchdarkly.com
按域创建允许列表
前面,我们提供了一个IP地址列表,当您的内部策略只需要列出IP地址时,可以使用该列表。现在,由于思杰已经对基础设施进行了改进,我们将从2018年7月16日开始逐步淘汰公共IP地址。如果可以的话,我们建议您按域创建允许列表。
列出允许列表中的IP地址
如果必须在允许列表中列出IP地址,则有关所有当前IP地址范围的列表,请参见此启动暗公网IP列表。您可以使用此列表来确保您的防火墙配置自动更新,以与基础结构更新保持一致。有关基础设施变更的详细信息,请参见LaunchDarkly Statuspage。
注意:
第一次部署公共应用商店的应用需要重新安装。不可能从当前的企业包装版本升级到公共商店版本。
使用公共应用程序商店分发,您不需要使用MDX工具包对citrix开发的应用程序进行签名和包装。您可以使用MDX Toolkit包装第三方或企业应用程序。
LaunchDarkly系统需求
- 端点管理10.7或更高版本。
- 如果您将Citrix ADC上的拆分隧道设置为,请确保应用程序可以与以下服务通信从:
- LaunchDarkly服务
- APNs监听器服务
支持的应用商店
移动生产力应用程序在苹果应用程序商店和谷歌Play上都有。有关在Windows设备上保护和部署本机生产力应用程序,请参阅Windows信息保护设备策略。
在中国,Google Play是不可用的,Secure Hub for Android在以下应用商店中可用:
支持公共应用商店发行
- 下载iOS和Android的公共商店.mdx文件端点管理下载页面。
- 将.mdx文件上传到Endpoint Management控制台。移动生产力应用程序的公共商店版本仍然作为MDX应用程序上传。请勿将应用程序作为公共商店应用程序上传到服务器上。有关步骤,请参见添加应用程序。
- 根据您的安全策略(可选)从默认值更改策略。
- 按要求推送应用程序(可选)。此步骤要求您的环境启用移动设备管理。
- 从App Store、Google Play或Endpoint Management应用商店安装设备上的应用程序。
- 在Android上,用户被引导到Play Store安装应用程序。在iOS上,在MDM部署中,应用程序安装不需要将用户带到应用程序商店。
- 当从app Store或Play Store安装应用程序时,会出现以下操作。只要相应的。mdx文件上传到服务器,应用程序就会转换为托管应用程序。当过渡到托管应用程序时,应用程序会提示输入思杰PIN码。当用户输入Citrix PIN码时,“安全邮件”会显示帐号配置界面。
- 只有当你注册了Secure Hub并且相应的。mdx文件在服务器上时,才能访问应用程序。如果不满足任何一个条件,用户可以安装该应用程序,但会阻止该应用程序的使用。
如果你目前使用的是Citrix Ready Marketplace中的公共应用程序商店中的应用程序,那么你已经熟悉了部署过程。移动生产力应用程序采用了许多独立软件开发商目前使用的相同方法。在应用程序中嵌入MDX SDK,使应用程序的公共商店准备就绪。
注意:
面向iOS和Android的Citrix Files应用程序的公共商店版本现在是通用的。Citrix Files应用程序适用于手机和平板电脑。
苹果推送通知
有关配置推送通知的详细信息,请参见配置推送通知的安全邮件。
公共应用商店常见问题解答
我可以将公共商店应用程序的多个副本部署到不同的用户组吗?例如,我想为不同的用户组部署不同的策略。
为每个用户组上传不同的.mdx文件。在这种情况下,单个用户不能属于多个组。如果用户属于多个组,则将同一应用程序的多个副本分配给该用户。公共商店应用程序的多个副本不能部署到同一设备上,因为应用程序ID无法更改。
我可以按要求推送公共商店应用程序吗?
是的。将应用程序推送到设备上需要MDM;仅支持mam的部署不支持它。
我是否更新任何基于用户代理的流量策略或Exchange Server规则?
基于平台的任何用户代理策略和规则的字符串如下所示。
重要的是:
安全笔记和安全任务已于2018年12月31日达到生命周期终止状态。有关详情,请参阅EOL和弃用的应用程序。
安卓
| 应用程序 | 服务器 | 用户代理字符串 |
|---|---|---|
| 思杰安全邮件 | 交换 | WorxMail |
| Lotus Notes Traveler | 苹果- iPhone的WorxMail | |
| 思杰安全Web | WorxMail | |
| Citrix安全任务 | 交换 | WorxMail |
| 思杰安全笔记 | 交换 | WorxMail |
| Citrix文件 | 安全的笔记 |
iOS
| 应用程序 | 服务器 | 用户代理字符串 |
|---|---|---|
| 思杰安全邮件 | 交换 | WorxMail |
| Lotus Notes Traveler | 苹果- iPhone的WorxMail | |
| 思杰安全Web | com.citrix.browser | |
| Citrix安全任务 | 交换 | WorxTasks |
| 思杰安全笔记 | 交换 | WorxNotes |
| Citrix文件 | 安全的笔记 |
我可以阻止应用程序升级吗?
不。当在公共应用商店发布更新时,任何启用了自动更新的用户都会收到更新。
我可以强制应用程序升级吗?
是的,升级是通过升级宽限期策略强制执行的。当更新后的应用对应的新的。mdx文件上传到Endpoint Management时,设置此策略。
如果我无法控制更新时间表,我如何在更新到达用户之前测试应用程序?
与Secure Hub的流程类似,在EAR期间,这些应用程序可以在TestFlight的iOS平台上进行测试。对于安卓系统,这些应用程序在EAR期间可以通过Google Play测试程序获得。你可以在这段时间测试应用程序的更新。
如果在自动更新到达用户设备之前没有更新新的.mdx文件,会发生什么情况?
更新后的应用程序仍然与旧的。mdx文件兼容。任何依赖于新策略的新特性都不会启用。
如果安装了安全中心,应用程序是否会过渡到托管,或者应用程序是否需要注册?
用户必须在安全中心注册公共商店应用程序作为一个托管应用程序激活(由MDX保护),并可用。如果安装了Secure Hub,但没有注册,则用户无法使用公共商店应用程序。
我是否需要一个苹果企业开发者帐户?
不。由于Citrix现在正在维护移动生产力应用程序的证书和配置文件,因此向用户部署应用程序不需要Apple Enterprise开发人员帐户。
企业发布的结束是否适用于我部署的任何包装应用程序?
不,它只适用于移动生产力应用程序:安全邮件、安全Web和Citrix端点管理内容协作、quickit和ShareConnect。你部署的任何企业包装应用,无论是内部开发的还是第三方开发的,都可以继续使用企业包装。MDX Toolkit继续为应用程序开发人员提供企业包装支持。
当我从Google Play安装应用程序时,我收到一个错误代码505的Android错误。
注意:
支持Android 5。x于2018年12月31日结束。
这是Google Play和Android 5的一个已知问题。x版本。如果发生此错误,您可以按照以下步骤清除设备上阻止安装应用程序的陈旧数据:
重新启动设备。
通过设备设置清除Google Play的缓存和数据。
最后的办法是删除谷歌账户,然后在你的设备上重新添加。
欲了解更多信息,请搜索此网站使用以下关键词“修复Android中的Google Play Store Error 505: Unknown Error Code”
虽然在Google Play上的应用已经发布了生产版本,并且没有新的测试版,但为什么我在Google Play上看到的是应用标题之后的测试版?
如果你是我们的Early Access Release (EAR)计划的一部分,你总是会在应用标题旁边看到Beta。这个名称只是通知用户他们对特定应用程序的访问级别。Beta名称表明用户收到可用的最新版本的应用程序。最新版本可能是发布到生产轨道或beta轨道的最新版本。
安装并打开应用程序后,用户会看到消息应用程序未授权,即使。mdx文件在端点管理控制台中。
如果用户直接从app Store或Google Play安装应用程序,并且没有刷新安全中心,则可能发生此问题。当非活动计时器过期时,必须刷新安全集线器。当用户打开安全集线器并重新身份验证时,策略将刷新。用户下次打开该应用程序时,该应用程序将获得授权。
我是否需要一个访问码来使用这个应用程序?当我从app Store或Play Store安装应用程序时,我看到一个屏幕提示我输入访问码。
如果您看到一个请求访问码的屏幕,说明您没有通过Secure Hub注册到Endpoint Management。注册Secure Hub并确保应用程序的.mdx文件部署在服务器上。还要确保应用程序可以使用。访问码仅限Citrix内部使用。应用程序需要激活端点管理部署。
我可以通过VPP或DEP部署iOS公共商店应用程序吗?
端点管理针对未启用mdx的公共商店应用程序的VPP分发进行了优化。尽管您可以使用VPP分发端点管理公共存储应用程序,但部署不是最佳的,直到我们对端点管理和安全中心存储进行进一步增强以解决限制。有关通过VPP部署端点管理公共存储应用程序的已知问题列表,以及潜在的解决方案,请参阅思杰知识中心。
针对移动生产力应用程序的MDX策略
MDX策略使您能够配置端点管理强制执行的设置。这些策略包括身份验证、设备安全、网络需求和访问、加密、应用交互、应用限制等等。许多MDX策略适用于所有移动生产力应用程序。有些策略是特定于应用程序的。
对于移动生产力应用程序的公共存储版本,策略文件以.mdx文件的形式提供。在添加应用程序时,还可以在Endpoint Management控制台中配置策略。
有关MDX策略的完整描述,请参阅本节中的以下文章:
下面介绍与用户连接相关的MDX策略。
Android安全邮件的双模式
移动应用程序管理(MAM) SDK可用于替换iOS和Android平台未涵盖的MDX功能。MDX封装技术计划于2021年9月达到使用寿命(EOL)。要继续管理企业应用程序,必须合并MAM SDK。
从20.8.0版本开始,Android应用程序与MDX和MAM SDK一起发布,为前面提到的MDX EOL策略做准备。MDX双模式旨在提供一种从当前MDX工具包过渡到新的MAM sdk的方法。使用双模式允许您:
- 继续使用MDX工具包管理应用程序(现在在端点管理控制台中称为Legacy MDX)
管理包含新的MAM SDK的应用程序。
注意:
当你使用MAM SDK时,你不需要包装应用程序。
切换到MAM SDK后,不需要任何额外的步骤。
有关MAM SDK的详细信息,请参阅以下文章:
先决条件
为了成功部署双模特性,请确保以下事项:
- 将Citrix Endpoint Management更新到10.12 RP2及更高版本,或10.11 RP5及更高版本。
- 更新您的移动应用程序到20.8.0或更高版本。
- 将策略文件更新到20.8.0或更高版本。
- 如果您的组织使用第三方应用程序,请确保在为Citrix移动生产力应用程序切换到MAM SDK选项之前,将MAM SDK合并到您的第三方应用程序中。所有托管的应用程序必须同时移动到MAM SDK。
注意:
MAM SDK支持所有基于云的客户。
限制
- MAM SDK仅支持在Citrix Endpoint Management部署的Android Enterprise平台下发布的应用程序。对于新发布的应用程序,默认加密是基于平台的加密。
- MAM SDK只支持基于平台的加密,不支持MDX加密。
- 如果没有更新Citrix Endpoint Management,并且移动应用程序的策略文件运行在20.8.0及更高版本上,则会为安全邮件创建重复的网络策略条目。
当您在Citrix Endpoint Management中配置安全邮件时,双模式功能允许您使用MDX工具包(现在是Legacy MDX)继续管理应用程序,或者切换到新的MAM SDK进行应用程序管理。Citrix建议您切换到MAM SDK,因为MAM SDK更加模块化,并且只允许您使用组织使用的MDX功能的一个子集。
中的策略设置有以下选项MDX或MAM SDK策略容器:
- 老妈SDK
- 遗留MDX
在MDX或MAM SDK策略容器政策,你只能从遗留MDX来老妈SDK。要切换的选项老妈SDK来遗留MDX,需要重新发布应用。默认值为遗留MDX。请确保在同一设备上运行的安全邮件和安全Web设置了相同的策略模式。同一设备上不能运行两种不同的模式。
用户连接到内部网络
通过隧道连接到内部网络的连接可以使用完整的VPN隧道或无客户端VPN的变体,称为安全浏览。首选VPN模式策略控制这种行为。默认情况下,连接使用安全浏览,对于需要SSO的连接,建议使用安全浏览。当使用客户端证书或端到端SSL连接到内部网络资源时,建议使用完整VPN隧道设置。该设置可处理TCP上的任何协议,可用于Windows和Mac电脑,以及iOS和Android设备。
iOS和Android的Secure Web支持使用PAC (Proxy Automatic Configuration)文件进行完整的VPN隧道部署。如果使用Citrix ADC进行代理身份验证,就会出现这种情况。
允许VPN模式切换策略可以根据需要在全VPN隧道和安全浏览模式之间自动切换。缺省情况下,该策略处于关闭状态。启用该策略后,当用户在首选VPN模式下无法处理认证请求而导致网络请求失败时,会在备用VPN模式下重试。例如,完整VPN隧道模式可以解决服务器端对客户端证书的质疑,但安全浏览模式无法解决。类似地,在使用安全浏览模式时,更有可能使用SSO解决HTTP身份验证挑战。
网络访问限制
网络访问策略指定是否对网络访问设置限制。默认情况下,安全邮件访问是不受限制的,这意味着对网络访问没有任何限制。应用程序可以不受限制地访问设备所连接的网络。默认情况下,安全Web访问隧道连接到内部网络,这意味着所有网络访问都使用每个应用的VPN隧道返回到内部网络,并使用Citrix ADC拆分隧道设置。你还可以指定阻止访问,这样应用程序就会像设备没有网络连接一样运行。
如果您希望允许AirPrint、iCloud、Facebook和Twitter api等功能,请不要阻止网络访问策略。
网络访问策略还与后台网络服务策略交互。有关详情,请参阅集成Exchange Server或IBM Notes Traveler Server。
端点管理客户端属性
客户端属性包含直接提供给用户设备上的Secure Hub的信息。客户端属性位于端点管理控制台中设置>客户端>客户端属性。
客户端属性用于配置如下设置:
用户密码缓存
用户密码缓存允许将用户的Active Directory密码本地缓存到移动设备上。如果启用用户密码缓存,系统会提示用户设置Citrix PIN码或密码。
不活动定时器
非活动计时器以分钟为单位定义了用户可以让设备处于非活动状态的时间,并且可以在不提示输入思杰PIN码或密码的情况下访问应用程序。要为MDX应用程序启用此设置,必须将应用程序密码策略设置为在。如果App密码策略为从,用户被重定向到Secure Hub以执行完整的身份验证。当您更改此设置时,该值将在下次提示用户进行身份验证时生效。
Citrix PIN认证
Citrix PIN简化了用户身份验证体验。PIN码用于保护客户端证书或在设备上本地保存Active Directory凭据。如果配置了PIN码设置,则用户登录体验如下:
当用户第一次启动Secure Hub时,他们会收到一个输入PIN的提示,PIN会缓存Active Directory凭据。
当用户下次启动安全邮件(Secure Mail)等移动办公应用程序时,他们需要输入PIN码并登录。
您可以使用客户端属性启用PIN身份验证,指定PIN类型,并指定PIN强度、长度和更改要求。
指纹或触摸ID认证
iOS设备的指纹认证,也被称为触摸ID认证,是Citrix PIN的替代方案。当包装的应用程序(除了Secure Hub)需要离线身份验证时,例如当非活动计时器到期时,该功能非常有用。在以下认证场景下,可以启用该特性:
- Citrix PIN +客户端证书配置
- Citrix PIN +缓存AD密码配置
- Citrix PIN +客户端证书配置和缓存AD密码配置
- Citrix PIN已关闭
如果指纹认证失败或用户取消指纹认证提示,包装的应用程序将恢复到Citrix PIN或AD密码认证。
指纹认证要求
支持指纹认证并至少配置了一个指纹的iOS设备(最低版本8.1)。
用户熵必须关闭。
配置指纹认证
重要的是:
如果用户熵开启,则忽略Enable Touch ID Authentication属性。用户熵是通过使用密码密钥加密秘密来启用的。
在Endpoint Management控制台中,转到设置>客户端>客户端属性。
点击添加。
添加密钥ENABLE_TOUCH_ID_AUTH,设置其价值来真正的然后将策略名称设置为开启指纹认证。
配置指纹认证后,用户不需要重新注册设备。
有关使用Passcode密钥和客户端属性加密秘密的详细信息,请参阅端点管理文章客户属性。