共享设备
XenMobile允许您配置可由多个用户共享的设备。例如,利用共享设备功能,医院的临床医生可以使用附近的任何设备访问应用程序和数据,而无需随身携带特定设备。您可能还希望执法、零售和制造等领域的工作者转向使用共享设备,以降低装备成本。
关于共享设备的要点
可以将支持的任何iOS和Android设备用作共享设备。有关支持的设备列表,请参阅支持的设备操作系统。
MDM注册
- 可在iOS和Android平板电脑和手机上使用。不支持面向XenMobile Enterprise共享设备的基本苹果部署计划注册。使用经过授权的苹果部署计划在此模式下注册共享设备。
- 不支持客户端证书身份验证,Citrix PIN, Touch ID,用户熵和双重身份验证。
MDM +老妈注册
- 仅适用于iOS和Android设备。
- 仅支持Active Directory用户名和密码身份验证。
- 不支持客户端证书身份验证,安全中心通行码,触摸ID,用户熵和双重身份验证。
- 不支持仅mam注册。设备必须在 MDM 下注册。
- 仅支持安全邮件,安全Web和ShareFile移动应用程序。不支持HDX应用程序。
- 仅支持Active Directory用户。不支持本地用户和组。
- 要更新为mdm + mam,需要重新注册现有的仅mdm共享设备。
- 用户无法共享设备上的本机应用程序。
- 在首次注册期间下载后,移动生产力应用程序不会在用户登录期间再次下载。
- 在Android上,出于安全考虑,要隔离每个用户的数据,请在XenMobile控制台中将不允许的设备(不允许已获得Root用户权限的设备)策略设置为开。
注册共享设备的必备条件
您必须先执行以下操作,才能注册共享设备:
- 创建共享设备注册用户角色。请参阅使用rbac配置角色。
- 创建共享设备用户。请参阅添加、编辑、解锁或删除本地用户帐户。
- 创建包含要应用到共享设备用户的基本策略、应用程序和操作的交付组。请参阅部署资源。
Mdm + mam注册的必备条件
- 创建Active Directory组。为其指定描述性名称,例如共享设备注册程序。
- 将注册共享设备的Active Directory用户添加到此组。如果要使用一个专用于注册共享设备的新帐户,请创建新的Active Directory用户(例如sdenroll),并将该用户添加到Active Directory组。
配置共享设备
按照以下步骤配置共享设备。
- 从XenMobile控制台,单击右上角的齿轮图标。此时将显示设置页面。
- 单击基于角色的访问控制,然后单击添加。此时将显示添加角色屏幕。
创建一个名为共享设备注册用户的共享设备注册用户角色,并在授权访问下选择共享设备注册人员权限。请务必在控制台功能中展开设备,然后选择选择性擦除设备。此设置可确保在取消注册设备后,可通过安全中心删除使用共享设备注册人员帐户预配的应用程序和策略。
对于应用权限,保留默认设置至所有用户组,或使用至特定用户组向特定Active Directory用户组分配权限。
单击下一步以转至分配屏幕。将共享设备注册角色分配给在“必备条件”下的步骤1中为共享设备注册用户创建的活动目录组。在下图中,citrix.lab是Active Directory域,共享设备注册人员是Active Directory组。
创建一个交付组,其中包含在用户未登录时要应用于设备的基本策略、应用程序和操作。然后,将该交付组与共享设备注册用户的Active Directory组关联。
在共享设备上安装安全中心,然后使用共享设备注册用户帐户将其注册到XenMobile中。现在即可通过XenMobile控制台查看并管理设备。有关详细信息,请参阅注册设备。
要应用不同的策略或为已通过身份验证的用户提供更多应用程序,必须创建与这些用户关联且仅部署到共享设备的交付组。在创建交付组时,请配置相应的部署规则,以确保将软件包部署到共享设备。有关详细信息,请参阅部署资源。
- 要停止共享设备,请执行选择性擦除操作,以从设备中删除共享设备注册用户帐户。删除部署到设备的所有应用程序和策略。
共享设备用户体验
MDM注册
用户只会看到他们可用的资源,而且在每个共享设备上都能获得同样的使用体验。共享设备注册策略和应用程序会始终保留在设备上。当未在共享设备中注册的用户登录到安全枢纽时,该用户的策略和应用程序将部署到设备中。当该用户注销时,系统将删除不属于共享设备注册的任何策略和应用程序。共享设备注册资源则完好无损。
MDM +老妈注册
安全邮件和安全网站将在由共享设备注册用户注册后部署到设备中。用户数据会安全地保留在设备上。当其他用户登录到安全邮件或安全网络时,系统不会将这些数据公开给这些用户。
一次只能有一个用户登录到安全中心。上一个用户必须注销,下一个用户才能登录。出于安全原因,不安全中心在共享设备上存储用户凭据,因此用户必须在每次登录时输入其凭据。安全枢纽会阻止新登录,直至其删除与之前用户关联的策略,应用程序和数据。
共享设备注册不会更改应用程序升级过程。您可以照常将升级推送给共享设备的用户,而共享设备的用户可以直接在其设备上升级应用程序。
建议的安全邮件策略
- 为了获得最佳安全邮件性能,请根据要共享设备的用户数设置马克斯同步时间(最长同步期限)。不建议允许无限同步。
| 共享设备的用户数量 | 建议的最长同步期限 |
|---|---|
| 21 - 25日 | 1 周或更短 |
| 6 20 | 2 周或更短 |
| 5 或更少 | 1 个月或更短 |
阻止启用联系人导出以避免向共享设备的其他用户公开用户的联系人。
在iOS上,只能基于用户设置以下设置。所有其他设置都是共享该设备的用户通用的:
- 通知
- 签名
- 外出
- 同步邮件期限
- S / MIME
- 检查拼写