设备管理
Citrix Endpoint Management 可以在单个管理控制台中预配和管理各种设备类型、保护其安全以及将其列入清单。
-
使用一组通用的设备策略可管理受支持的设备。要按平台快速查看可用的设备策略,请执行以下操作:
- 前往 Citrix Endpoint Management 控制台并导航 到配置> 设备策略。
-
单击添加,然后选择要查看的平台。
有关详细信息,请参阅过滤已添加的设备策略列表。
-
保护企业信息,以严格保护身份信息、公司拥有的设备和 BYO 设备、应用程序、数据和网络的安全。指定用于对设备进行身份验证的用户身份。配置如何在设备上分开保存企业数据和个人数据。
-
向最终用户交付任何应用程序,无论设备或操作系统如何。在应用程序级别保护您的信息,并提供企业级移动应用程序管理。
-
使用预配和配置控制来设置设备。这些控制包括设备注册、策略应用程序和访问权限。
-
使用安全和合规性控制创建可自定义的安全基线和可操作的触发。例如,在违反界定的合规性标准时锁定、擦除设备或在设备上发出通知。
-
使用操作系统更新控制来阻止或强制执行操作系统更新。此功能对于抵御有针对性的操作系统漏洞以防止数据丢失至关重要。
要访问有关每个受支持平台的文章,请展开内容列表中的“设备管理”部分。这些文章提供了特定于每个设备平台的详细信息。本文的其余部分介绍如何执行一般设备管理任务。
设备管理工作流程
本节中的工作流程图为设备管理任务提供了建议顺序。
-
建议添加设备和应用程序前必须满足的必备条件:提前执行以下设置可以无中断地配置设备和应用程序。
请参阅:
-
添加设备:
请参阅:
-
准备注册邀请: 可以向使用 iOS、iPadOS、macOS、Android Enterprise 或旧版 Android 设备的用户发送注册邀请。如果您计划使用注册邀请,请执行以下操作。
请参阅:
-
添加应用程序:
请参阅:
-
进行持续的设备和应用程序管理: 除了使用 Citrix Endpoint Management 控制面板外,我们还鼓励您查看每个版本的新增功能。“新增功能”提供有关任何所需操作的信息,例如配置新设备策略。
请参阅:
注册邀请
要远程安全地管理用户设备,您需要在 Citrix Endpoint Management 中注册用户设备。Citrix Endpoint Management 客户端软件安装在用户设备上,用户身份已通过身份验证。然后,安装 Citrix Endpoint Management 和用户配置文件。有关受支持设备平台的注册详细信息,请参阅本部分下的设备文章。
在 Citrix Endpoint Management 控制台中:
- 可以向使用 iOS、iPadOS、macOS、Android Enterprise 或旧版 Android 设备的用户发送注册邀请。注册邀请不适用于 Windows 设备。
- 可以向使用 iOS、iPadOS、Android Enterprise 或旧版 Android 设备的用户发送邀请 URL。邀请 URL 不适用于 Windows 设备。
注册邀请的发送方式如下所示:
- 如果 Active Directory 用户在Active Directory 中有电子邮件地址,他们将收到邀请。本地用户通过用户属性中指定的电子邮件接收邀请。
用户注册后,其设备在管理 > 设备上将显示为托管设备。邀请 URL 的状态显示为已兑换。
必备条件
- 已配置 LDAP
-
如果使用本地组和本地用户:
-
一个或多个本地组。
-
分配给本地组的本地用户。
-
交付组与本地组相关联。
-
-
如果使用 Active Directory:
- 交付组与 Active Directory 组相关联。
创建注册邀请
-
在 Citrix Endpoint Management 控制台中, 单击“管理”>“注册邀请”。此时将显示注册邀请页面。
-
单击添加。此时将显示一个注册选项菜单。
- 要向用户或组发送注册邀请,请单击添加邀请。
- 要通过 SMTP 向收件人列表发送注册安装链接,请单击“发送安装链接”。
如何发送注册邀请和安装链接将在这些步骤之后进行介绍。
-
单击添加邀请。将显示注册邀请屏幕。
-
配置以下设置:
- 收件人: 选择组或用户。
-
选择平台: 如果收件人为组,则默认选择所有平台。可以更改所选平台。如果收件人为用户,则不选择任何平台。选择平台。
要为 Android Enterprise 设备创建注册邀请,请选择 Android。
- 设备所有权: 选择公司或员工。
此时将显示用户或组的设置,如以下各节中所述。
向用户发送注册邀请
-
配置以下用户设置:
- 用户名: 键入用户名。该用户必须以本地用户或 Active Directory 用户身份存在于 Citrix Endpoint Management 中。如果用户是本地用户,请设置用户的电子邮件属性,以便能够向该用户发送通知。如果用户在 Active Directory 中,前提是配置了 LDAP。
- 电话号码: 如果您选择多个平台或仅选择 macOS,则不会显示此设置。(可选)键入用户的电话号码。
- 运营商: 如果您选择多个平台或仅选择 macOS,则不会显示此设置。选择要与用户的电话号码关联的运营商。
-
注册模式: 为用户选择注册安全模式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
- 用户名 + 密码
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 双重
- 用户名 + PIN
我们弃用了对高安全性注册模式的支持。要发送注册邀请,只能使用邀请 URL、邀请 URL + PIN 或邀请 URL + 密码注册安全模式。对于使用 用户名+密码、双因素或用户名+PIN码注册的设备,用户必须下载 Citrix Secure Hub 并手动输入其证书。
有关详细信息,请参阅注册安全模式(按平台)。用于注册的 PIN 又称为一次性 PIN。此类 PIN 仅在用户注册时有效。
注意:
当您选择包含 PIN 的任何注册安全模式时,将显示 注册 PIN 的模板 字段。单击注册 PIN。
- 代理下载模板: 选择名为下载链接的下载链接模板。该模板适用于受支持的所有平台。
- 注册 URL 模板: 选择注册邀请。
- 注册确认模板: 选择注册确认。
- 此时间后过期: 在配置注册安全模式时设置此字段,并指示注册何时到期。有关配置注册安全模式的详细信息,请参阅配置注册安全模式。
- 最大尝试次数: 此字段在配置注册安全模式时设置,并指示注册过程发生的最大次数。
- 发送邀请: 选择开将立即发送邀请。选择关将向注册邀请页面上的表格中添加邀请,但不发送。
-
如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。
向组发送注册邀请
下图中显示了用于配置向组发送的注册邀请的设置。
-
配置以下设置:
- 域: 选择要接收邀请的组的域。
- 组: 选择要接收邀请的组。Citrix Endpoint Management 从 Active Directory 获取用户列表。该列表包括姓名中包含特殊字符的用户。
-
注册模式: 选择希望组中的用户采用的注册方式。默认值为用户名 + 密码。下面某些选项不对所有平台可用:
- 用户名 + 密码
- 邀请 URL
- 邀请 URL + PIN
- 邀请 URL + 密码
- 双重
- 用户名 + PIN
我们弃用了对高安全性注册模式的支持。要发送注册邀请,只能使用邀请 URL、邀请 URL + PIN 或邀请 URL + 密码注册安全模式。对于使用 用户名+密码、双因素或用户名+PIN码注册的设备,用户必须下载 Citrix Secure Hub 并手动输入其证书。
仅显示对每个选定的平台有效的注册安全模式。有关详细信息,请参阅注册安全模式(按平台)。
注意:
当您选择包含 PIN 的任何注册安全模式时,将显示 注册 PIN 的模板 字段。单击注册 PIN。
- 代理下载模板: 选择名为下载链接的下载链接模板。该模板适用于受支持的所有平台。
- 注册 URL 模板: 选择注册邀请。
- 注册确认模板: 选择注册确认。
- 此时间后过期: 在配置注册安全模式时设置此字段,并指示注册何时到期。有关配置注册安全模式的详细信息,请参阅配置注册安全模式。
- 最大尝试次数: 此字段在配置注册安全模式时设置,并指示注册过程发生的最大次数。
- 发送邀请: 选择开将立即发送邀请。选择关将向注册邀请页面上的表格中添加邀请,但不发送。
-
如果已启用发送邀请,请单击保存并发送。否则,请单击保存。邀请将显示在注册邀请页面上的表格中。
发送安装链接
在发送注册安装链接之前,必须从“设置”页面在通知服务器上配置通道 (SMTP)。有关详细信息,请参阅通知
-
配置这些设置,然后单击保存。
-
收件人: 对于要添加的每个收件人,单击添加,然后执行以下操作:
- 电子邮件: 键入收件人的电子邮件地址。此字段为必填字段。
- 电话号码: 键入收件人的电话号码。此字段为必填字段。
注意:
要删除收件人,请将鼠标悬停在包含列表的行上,然后单击右侧的垃圾图标。此时将显示确认对话框。单击删除以删除列表,或单击取消以保留列表。
要编辑收件人,请将鼠标悬停在列表所在行上。然后,单击右侧的笔图标。更新列表,然后单击保存以保存更改后的列表,或单击取消以保留列表不变。
- 通道: 选择用于发送注册安装链接的通道。您可以通过 SMTP发送通知。在通知服务器的设置页面上配置服务器设置后,才能激活这些通道。有关详细信息,请参阅通知。
-
SMTP: 配置以下可选设置。如果不在这些字段中键入任何内容,将使用为所选平台配置的通知模板中指定的默认值:
- 发件人: 键入可选发件人。
- 主题: 键入消息的可选主题。例如,“注册您的设备”。
- 消息: 键入要发送给收件人的可选消息。例如,“注册您的设备以获取组织应用程序和电子邮件的访问权限。”
-
收件人: 对于要添加的每个收件人,单击添加,然后执行以下操作:
-
单击发送。
注意:
如果您的环境使用 sAMAccountName:在用户收到邀请并单击链接后,必须编辑用户名才能完成身份验证。用户名以
sAMAccountName@domainname.com的形式显示。用户必须删除@domainname.com部分。
注册安全模式(按平台)
下表显示了可用于注册用户设备的安全模式。在该表中,是表示哪些设备平台支持使用不同注册配置文件的特定注册和管理模式。
| MDM 注册安全模式 | NetScaler Gateway 上的 MAM 注册安全模式 | 管理模式 | 支持不同的注册配置文件 | Android(旧版) | Android Enterprise | iOS(用户注册模式) | iOS | macOS | Windows |
|---|---|---|---|---|---|---|---|---|---|
| Azure AD 和 Okta 可通过 Citrix Cloud 作为身份提供程序 | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 是 | 是 | 否 | 否 |
| 用户名 + 密码 | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM、MDM 或 MAM(仅限 MAM 模式在 NetScaler Gateway 上不支持客户端证书) | 是 | 是 | 是 | 是 | 是 | 是 | 是 |
| 邀请 URL | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请 URL + PIN | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 邀请 URL + 密码 | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 否 | 否 |
| 双重身份验证(用户名 + 密码 + PIN) | LDAP、LDAP + 客户端证书和仅客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 是 | 否 |
| 用户名 + PIN | 客户端证书 | MDM+MAM 或 MDM | 是 | 是 | 是 | 否 | 是 | 是 | 否 |
下面介绍了注册安全模式在 iOS、Android 和 Android Enterprise 设备上的行为方式:
-
用户名 + 密码(默认设置)
- 向用户发送包含注册 URL 的单个通知。当用户单击 URL 时,Citrix Secure Hub 将打开。然后,用户键入用户名和密码以在 Citrix Endpoint Management 中注册设备。
-
邀请 URL
- 向用户发送包含注册 URL 的单个通知。当用户单击 URL 时,Citrix Secure Hub 将打开。将出现 Citrix Endpoint Management 服务器名称和“是,注册”按钮 。用户点击“是,注册”以在 Citrix Endpoint Management 中注册设备。
-
邀请 URL + PIN
- 向用户发送以下电子邮件:
- 一封带有注册 URL 的电子邮件,允许用户通过 Citrix Secure Hub 在 Citrix Endpoint Management 中注册设备。
- 包含一次性 PIN(用户在注册设备时必须键入该 PIN)以及用户的 Active Directory(或本地)密码的电子邮件。
- 在此模式下,用户只能通过使用通知中的注册 URL 进行注册。如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
-
邀请 URL + 密码
- 向用户发送包含注册 URL 的单个通知。当用户单击 URL 时,Citrix Secure Hub 将打开。将出现 Citrix Endpoint Management 服务器名称,以及一个允许用户键入密码的字段。
-
双重
- 向用户发送包含注册 URL 和一次性 PIN 码的单个通知。当用户单击 URL 时,Citrix Secure Hub 将打开。将出现 Citrix Endpoint Management 服务器名称,以及两个允许用户键入密码和 PIN 的字段。
-
用户名 + PIN
- 向用户发送以下电子邮件:
- 一封带有注册 URL 的电子邮件,允许用户下载和安装 Citrix Secure Hub。Citrix Secure Hub 打开后,系统会提示用户键入用户名和密码以在 Citrix Endpoint Management 中注册设备。
- 包含一次性 PIN(用户在注册设备时必须键入该 PIN)以及用户的 Active Directory(或本地)密码的电子邮件。
- 如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
下面介绍了注册安全模式在 macOS 设备上的行为方式:
-
用户名 + 密码
- 向用户发送包含注册 URL 的单个通知。当用户单击 URL 时,Safari 浏览器将打开。将出现一个登录页面,提示用户键入用户名和密码以在 Citrix Endpoint Management 中注册设备。
-
双重
- 向用户发送包含注册 URL 和一次性 PIN 码的单个通知。当用户单击 URL 时,Safari 浏览器将打开。将出现一个登录页面,其中显示两个字段,允许用户键入密码和 PIN。
-
用户名 + PIN
- 向用户发送以下电子邮件:
- 包含注册 URL 的电子邮件。当用户单击 URL 时,Safari 浏览器将打开。将出现一个登录页面,提示用户键入用户名和密码以在 Citrix Endpoint Management 中注册设备。
- 包含一次性 PIN(用户在注册设备时必须键入该 PIN)以及用户的 Active Directory(或本地)密码的电子邮件。
- 如果用户丢失了通知邀请,用户将无法注册。但是,您可以发送其他邀请。
- 向用户发送以下电子邮件:
您无法向 Windows 设备发送注册邀请。Windows 用户直接通过其设备注册。有关注册 Windows 设备的信息,请参阅 Windows 设备。
安全操作
您可以从“管理”>“设备”页面执行设备 和应用程序安全操作。设备操作包括吊销、锁定、解锁及擦除。应用程序安全操作包括应用程序锁定和应用程序擦除。
-
激活锁绕过: 设备激活之前从受监督的 iOS 设备中删除激活锁。此命令不需要用户的个人 Apple ID 或密码。
-
应用程序锁定: 拒绝访问设备上的所有应用程序。在 Android 系统中,应用程序锁定后,用户无法登录 Citrix Endpoint Management。在 iOS 中,用户可以登录,但无法访问任何应用程序。
-
应用程序擦除: 从 Citrix Secure Hub 中移除用户帐户并取消设备注册。在您使用 应用程序取消擦除操作之前,用户无法 重新注册。
-
ASM 部署计划激活锁: 为在 Apple 校园教务管理中注册的 iOS 设备创建激活锁绕过码。
-
证书续订: 对于支持的 iOS、macOS 和 Android 设备,证书续订安全操作会启动证书续订。下次设备连接回 Citrix Endpoint Management 时,Citrix Endpoint Management 服务器会根据新的证书颁发机构颁发新的设备证书。
-
清除限制: 在受监管的 iOS 设备上,此命令允许 Citrix Endpoint Management 清除用户配置的限制、密码和限制设置。
-
启用/禁用丢失模式: 将受监督的 iOS 设备置于丢失模式,并向设备发送消息、电话号码和脚注以供显示。第二次发送此命令将使设备脱离丢失模式。
-
启用跟踪: 在 Android 或 iOS 设备上,此命令允许 Citrix Endpoint Management 以您定义的频率轮询特定设备的位置。要在地图上查看设备坐标和位置,请转到管理 > 设备,选择一个设备,然后单击编辑。设备信息位于安全下的常规选项卡上。使用启用跟踪可持续跟踪设备。Citrix Secure Hub 会在设备运行时定期报告位置。
-
完全擦除: 立即从设备中(包括从任何内存卡中)擦除所有数据和应用程序。擦除的设备保留在管理 > 设备页面上的设备列表中,用于审核。可以从设备列表中删除擦除的设备。
-
对于 Android 设备,此请求还可以包括用于擦除内存卡的选项。
-
对于带有工作配置文件的完全托管的 Android Enterprise 设备(COPE 设备),您可以在选择性擦除删除工作配置文件后进行完全擦除。
-
对于 iOS 和 macOS 设备,擦除操作将立即发生,即使设备处于锁定状态亦如此。
对于 iOS 11 和 iPadOS 12 设备(最低版本):确认完全擦除时,可以选择在设备上保留手机网络流量套餐。
对于 iOS 11.3 设备(最低版本):确认完全擦除后,将阻止 iOS 设备进行近距离设置。设置新的 iOS 设备时,用户通常可以使用已配置的 iOS 设备来设置自己的设备。您可以在 Citrix Endpoint Management 托管且已被擦除的设备上屏蔽近距离设置。
-
如果设备用户在删除内存卡内容之前关闭了设备,用户可能仍然对设备数据具有访问权限。
-
可以在将擦除请求发送到设备之前取消该请求。
-
-
定位: 在管理 > 设备页面上的设备详细信息 > 常规下定位设备并报告设备位置(包括地图)。定位是一次性操作。使用定位可显示执行该操作时的当前设备位置。要在一段时间内持续跟踪设备,请使用启用跟踪。
- 将此操作应用到 Android(Android Enterprise 除外)设备或 Android Enterprise(企业拥有或 BYOD)设备时,请注意以下行为:
- 定位要求用户在注册期间授予位置权限。用户可以选择不授予定位权限。如果用户在注册期间未授予该权限,Citrix Endpoint Management 将在发送“定位”命令时再次请求位置权限。
- 将此功能应用到 iOS 或 Android Enterprise 设备时,请注意以下限制:
- 对于 Android Enterprise 设备,除非位置设备策略已将设备的位置模式设置为高精度或省电,否则此请求将失败。
- 对于 iOS 设备,只有当设备处于 MDM 丢失模式时,命令才会成功。
- 将此操作应用到 Android(Android Enterprise 除外)设备或 Android Enterprise(企业拥有或 BYOD)设备时,请注意以下行为:
-
锁定: 远程锁定设备。如果设备被盗且必须锁定,则锁定很有用。然后,Citrix Endpoint Management 会生成 PIN 码并将其设置在设备中。要访问设备,用户需要键入该 PIN 代码。使用“取消锁定”从 Citrix Endpoint Management 控制台中移除锁定。
-
锁定并重置密码: 远程锁定设备并重置密码。
- 不支持以下设备:
- 在工作配置文件模式下在 Android Enterprise 中注册的设备,以及
- 运行 Android 7.0 之前的 Android 版本的设备
- 在工作配置文件模式下于 Android Enterprise 中注册且运行 Android 7.0 或更高版本的设备上:
- 密码锁定工作资料。设备不会被锁定。
- 如果未发送通行码,或者发送的通行码不符合要求,并且工作配置文件没有通行码:设备将被锁定。
- 如果未发送通行码,或者发送的通行码不符合要求,但工作配置文件有通行码:工作配置文件将被锁定,但设备不锁定。
- 不支持以下设备:
-
通知(响铃): 在 Android 设备上播放声音。
-
重新启动: 重新启动 Windows 10 和 Windows 11 设备。对于 Windows Tablet 和 PC,将显示一条有关等待重新启动的消息。重新启动将在五分钟后发生。
-
请求使用/停止使用 AirPlay 镜像: 在受监督的 iOS 设备上启动和停止 AirPlay 镜像。
-
重新启动/关闭: 立即重新启动或关闭受监督的设备。
-
撤销: 禁止设备连接到 Citrix Endpoint Management。
-
吊销/授权: 执行与“选择性擦除”相同的操作。吊销后,可以重新向设备授权以进行重新注册。
-
响铃: 如果设备处于丢失模式,响铃将在受监督的 iOS 设备上播放声音。声音将持续播放,直至您将设备从丢失模式中删除或者用户禁用声音。
-
轮换个人恢复密钥: 如果您启用了 FileVault 设备策略,则此操作会生成一个新的个人恢复密钥并将旧密钥替换为这个新密钥。可以在请求尚未处理的情况下取消此请求。为此,请单击 Cancel Rotate personal recovery key(取消轮换个人恢复密钥)。
-
选择性擦除: 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。执行选择性擦除操作后,使用授权操作重新授权设备,以便用户可以重新注册设备。擦除的设备保留在管理 > 设备页面上的设备列表中,用于审核。可以从设备列表中删除擦除的设备。
- 选择性擦除 Android 设备不会断开设备与 Device Manager 及企业网络的连接。要阻止设备访问 Device Manager,还必须吊销设备证书。
- 选择性擦除 Android 设备也会吊销设备。只有在重新授权设备或从控制台中删除设备后,才能重新注册设备。
- 对于带有工作配置文件的完全托管的 Android Enterprise 设备(COPE 设备),您可以在选择性擦除删除工作配置文件后进行完全擦除。或者,也可以使用相同的用户名重新注册设备。重新注册设备会重新创建工作配置文件。
- 对于 iOS 和 macOS 设备,此命令将删除通过 MDM 安装的任何配置文件。
- 在 Windows 设备上执行的选择性擦除还将删除当时已登录的任何用户的配置文件文件夹的内容。选择性擦除不会删除您通过配置向用户提供的任何 Web 剪辑。要删除 Web 剪辑,用户需要手动取消注册其设备。不能重新注册选择性擦除的设备。
- 解锁: 清除设备被锁定时向其发送的通行码。此命令无法打开设备。
在管理 > 设备中,设备详细信息页面还将列出设备安全属性。这些属性包括“强 ID”、“锁定设备”、“激活锁绕过”以及平台类型的其他信息。完全擦除设备字段包括用户的 PIN 代码。擦除设备后,用户必须输入该代码。如果用户忘记了该代码,您可以在此处查找。
您可以自动执行某些操作。有关详细信息,请参阅自动化操作。
从 Citrix Endpoint Management 控制台中移除设备
重要:
当您从 Citrix Endpoint Management 控制台中移除设备时,托管应用程序和数据将保留在该设备上。要从设备中删除托管应用程序和数据,请参阅本文后面的“删除设备”部分。
要从 Citrix Endpoint Management 控制台中删除设备,请前往“管理”>“设备”,选择一台托管设备,然后单击“删除”。
选择性擦除设备
-
转至管理 > 设备,选择一个托管设备,然后单击安全。
-
在安全操作中,单击选择性擦除。
-
仅限 Android 设备:要断开设备与企业网络的连接,请在擦除设备后,在安全操作中,单击吊销。
要在擦除之前撤回选择性擦除请求,请在安全操作中,单击取消选择性擦除。
删除设备
此过程从设备中移除托管应用程序和数据,并从 Citrix Endpoint Management 控制台的设备列表中删除该设备。您可以使用 Citrix Endpoint Management Public REST API 来批量删除设备。
-
转至管理 > 设备,选择一个托管设备,然后单击安全。
-
单击选择性擦除。系统提示时,单击执行选择性擦除。
-
要验证擦除命令是否成功,请刷新管理 > 设备。在模式列中,琥珀色的 MDM 和 MAM 指示擦除命令成功。
-
在管理 > 设备中,选择该设备,然后单击删除。系统提示时,再次单击删除。
锁定、解锁、擦除或取消擦除应用程序
-
转至管理 > 设备,选择一个托管设备,然后单击安全。
-
在安全操作中,单击应用程序操作。
还可以使用安全操作对话框检查已禁用或从 Active Directory 中删除其帐户的用户的设备状态。如果存在“应用程序解锁”操作或“应用程序取消擦除”操作,则表明应用程序已被锁定或擦除。
应用程序擦除和取消擦除
-
转至管理 > 设备。选择设备。
- 应用程序擦除
- 单击安全 > 应用程序擦除。出现一个包含以下消息的对话框:是否确实要对此设备执行应用程序擦除? 单击应用程序擦除。
- 应用程序取消擦除
- 单击安全 > 应用程序取消擦除。出现一个包含以下消息的对话框:是否确实要对此设备执行应用程序取消擦除? 单击设备应用程序取消擦除。
-
以相同模式以同一用户身份重新注册设备。
-
从我的应用程序页面启动 MDX 应用程序。
- 启动 Citrix Secure Hub。
获取有关设备的信息
Citrix Endpoint Management 数据库存储移动设备列表。要在 Citrix Endpoint Management 控制台中填充您的设备,您可以手动添加设备,也可以从文件中导入设备列表。有关设备预配文件格式的详细信息,请参阅本文中稍后介绍的设备预配文件格式。
Citrix Endpoint Management 控制台中的“管理”>“设备”页面列出了每台设备和以下信息:
- 状态: 图标指示设备是否已越狱、是否托管、ActiveSync Gateway 是否可用以及部署状态。
- 模式:指示设备模式,如 MDM 或 MDM+MAM。
- 与设备有关的其他信息,例如用户名、设备平台、上次访问时间和不活动天数。这些标题是显示的默认标题。
要自定义设备表,请单击最后一个标题上的向下箭头。然后选择要在表格中查看的其他标题,或者清除要将其删除的所有标题。
您可以手动添加设备、从设备配置文件导入设备、编辑设备详细信息、自定义 Active Directory 用户属性、执行安全操作以及向设备发送通知。还可以将所有设备表数据导出到 .csv 文件,以创建自定义报告。服务器将导出所有设备属性。如果您应用过滤器,Citrix Endpoint Management 将在创建.csv 文件时使用过滤器。
从预配文件导入设备
您可以导入移动运营商或设备制造商支持的文件,或创建自己的设备预配文件。有关详细信息,请参阅本文中后面的设备预配文件格式。
-
转至管理 > 设备,然后单击导入。此时将显示导入预配文件对话框。
-
单击选择文件,然后导航到要导入的文件。
-
单击导入。设备表将列出导入的文件。
-
要编辑设备信息,请将其选中,然后单击编辑。有关设备详细信息页面的信息,请参阅获取有关设备的信息。
部署到设备
您可以强制一台或多台设备连接到 Citrix Endpoint Management。所选设备立即接收资源,而无需等待下一次计划签入。
- 转到管理 > 设备,选择 MDM 或 MDM+MAM 托管设备,然后单击部署。
- 在对话框中,单击部署以确认您的操作。
向设备发送通知
您可以从设备页面向设备发送通知。有关通知的详细信息,请参阅通知。
-
在 管理 > 设备 页面上,选择要向其发送通知的一个或多个设备。
-
单击通知。将显示通知对话框。收件人字段列出要接收通知的所有设备。
-
配置以下设置:
- 模板: 在下拉列表中单击要发送的通知类型。对于除临时外的每个模板,主题和消息字段将显示为所选模板配置的文本。
- 通道: 选择消息的发送方式。默认值为 SMTP。单击选项卡以查看每个通道的消息格式。
- 发件人: 输入可选发件人。
- 主题: 输入临时消息的主题。
- 消息: 输入临时消息的消息。
-
单击通知。
导出设备表
-
根据您希望在导出文件中显示的内容过滤设备表。
-
单击设备表上方的导出按钮。Citrix Endpoint Management 提取 筛选 后的设备表中的信息并将其转换为.csv 文件。
-
系统提示时,打开或保存 .csv 文件。
手动标记用户设备
您可以通过以下方式在 Citrix Endpoint Management 中手动标记设备:
- 在基于邀请的注册过程中。
- 在自助服务门户注册过程中。
- 通过添加设备所有权作为设备属性
您可以选择将设备标记为公司拥有或员工拥有。使用自助服务门户自助注册设备时,可以将设备标记为公司拥有或员工拥有。也可以手动标记设备,如下所示。
- 通过 Citrix Endpoint Management 控制台的“设备”选项卡向设备添加属性。
-
添加名为所有者的属性,然后选择公司或 BYOD(员工拥有)。
自定义 Active Directory 用户属性
您可以自定义某些 Active Directory 用户属性,以定义 Citrix Endpoint Management 可以访问哪些属性来创建用户帐户。
要查看属性列表,请将 optional.user.identity.attributes 服务器属性作为自定义键添加到设置 > 服务器属性中。在“值”字段中,您可以删除 Citrix Endpoint Management 默认提供的可选 Active Directory 用户属性,然后再恢复。有关详细信息,请参阅服务器属性。
编辑默认值列表并保存更改后,可以在管理 > 设备 > 用户属性中查看更新的 Active Directory 用户属性。Citrix Endpoint Management 会在用户登录设备后或下次预定的设备签入期间更新主机。如果您犯了拼写错误或添加了不支持的值,Citrix Endpoint Management 会忽略您的更改。
删除可选 Active Directory 用户属性可能会影响以下功能:
- 配置用户帐户: 如果您删除名字和姓氏值,则 Citrix Endpoint Management 无法为 ShareFile 和 Salesforce 预置用户帐户。
- 注册邀请: 如果删除用户的电子邮件或移动电话详细信息,用户将无法收到注册邀请。
- 设备通知操作: 如果删除用户的电子邮件详细信息,用户将无法通过 SMTP 接收通知。
- 单点登录 Citrix Secure Mail: 如果删除显示名称值,则用户无法使用单点登录登录 Citrix Secure Mail。
- 用户属性和部署规则: 如果删除用于配置用户属性和部署规则的任何可选属性,可能会影响现有配置。
- 操作: 如果删除在配置 > 操作中用于设置自动操作的任何可选属性,可能会影响现有配置。
- 自定义报告: 如果删除自定义报告中使用的任何可选属性,可能会影响现有配置。
搜索设备
为了进行快速搜索,默认搜索范围包括以下设备属性:
- 序列号
- IMEI
- Wi-Fi MAC 地址
- 蓝牙 MAC 地址
- Active Sync ID
- 用户名
您可以通过服务器属性 include.device.properties.during.search 来配置搜索范围,该属性默认为 false。要在设备搜索中包括所有设备属性,请转至设置 > 服务器属性并将该设置更改为 true。
设备预配文件格式
许多移动运营商或设备制造商都会提供授权移动设备的列表。可以使用这些列表来避免手动输入长长的移动设备列表。Citrix Endpoint Management 支持以下支持的设备类型通用的导入文件格式:Android、iOS 和 Windows。
手动创建的预配文件必须采用以下格式:
SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; ... propertyNameN;propertyValueN
请谨记以下几点:
- 有关每个属性的有效值,请参阅 PDF 设备属性名称和值。
- 使用 UTF-8 字符集。
-
使用分号 (;) 分隔预配文件中的字段。如果字段的一部分有分号,请使用反斜杠字符 (\) 对其进行转义。
例如,对于此属性:
propertyV;test;1;2按如下所示对其进行转义:
propertyV\;test\;1\;2 - 对于 iOS 设备,必须提供序列号,因为序列号是 iOS 设备标识符。
- 对于其他设备平台,必须包括序列号或 IMEI。
- OperatingSystemFamily 的有效值为 WINDOWS、ANDROID 或 iOS。
设备预配文件示例:
`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`
文件中的每行都描述一个设备。该示例中第一个条目的含义如下:
- SerialNumber:
1050BF3F517301081610065510590391 - IMEI:
15244201625379901 - OperatingSystemFamily:
WINDOWS - ProertyName:
propertyN - PropertyValue:
propertyV\;test\;1\;2;prop 2