iOS
要在 Citrix Endpoint Management 中管理 iOS 设备,您需要设置 Apple 颁发的 Apple 推送通知服务 (APNs) 证书。有关信息,请参阅 APNs 证书。
注册配置文件确定 iOS 设备是否在 MDM+MAM 中注册,用户可以选择退出移动设备管理 (MDM)。Citrix Endpoint Management 在 MDM+MAM 中支持 iOS 设备的以下身份验证类型。有关信息,请参阅以下文章:
- 域或域加安全令牌身份验证
- 客户端证书或证书加域身份验证
- 身份提供程序:
iOS 13 中对可信证书的要求:
Apple 对 TLS 服务器证书有新的要求。验证所有证书都符合 Apple 的新要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176。有关管理证书方面的帮助,请参阅上载证书。
启动 iOS 设备管理的一般工作流程如下:
-
完成登录流程。请参阅载入和资源设置和准备注册设备并交付资源。
-
选择并配置注册方法。请参阅支持的注册方法。
-
设置设备和应用程序安全操作。请参阅安全操作。
有关支持的操作系统,请参阅支持的设备操作系统。
iOS 14 兼容性
Citrix Endpoint Management 和 Citrix 移动应用程序与 iOS 14 兼容,但目前不支持 iOS 14 的新功能。
对于受监督的 iOS 设备,您最多可以将软件升级延迟 90 天。在适用于 iOS 的“限制”设备策略中,请使用以下设置:
- 强制延迟软件更新
- 强制执行软件更新延迟
请参阅 iOS 设置。这些设置不适用于用户注册模式或非监督(完全 MDM)模式下的设备。
必须保持公开状态的 Apple 主机名
某些 Apple 主机名必须处于打开状态,以确保 iOS、macOS 和 Apple App Store 正常运行。阻止这些主机名可能会影响以下对象的安装、更新和正确操作:iOS、iOS 应用程序、MDM 操作以及设备和应用程序注册。有关详细信息,请参阅 https://support.apple.com/en-us/HT201999。
支持的注册方法
可以在注册配置文件中指定如何管理 iOS 设备。可以在以下注册设置之间进行选择:
- Apple 用户注册: 对于 BYOD 设备,请为个人数据的隐私性和企业数据的安全性提供一个平衡点。此注册模式作为公共预览版提供。要启用此功能,请联系您的支持团队。
- Apple 设备注册: 对于受监督的 iOS 设备,请在设备上安装单独的个人配置文件和公司配置文件。
- 请勿管理设备: 如果只希望管理应用程序,请从 MDM 中排除这些设备。
有关创建注册配置文件的详细信息,请参阅注册配置文件。
Citrix Endpoint Management 支持以下 iOS 设备的注册方法:
| Method(方法) | 支持 |
|---|---|
| Apple 商务管理 | 是 |
| Apple 校园教务管理 | 是 |
| Apple Configurator | 是 |
| 手动注册 | 是 |
| 注册邀请 | 是 |
Apple 部署计划包括适用于企业组织的 Apple 商务管理 (ABM) 和适用于教育组织的 Apple 校园教务管理 (ASM)。有关详细信息,请参阅通过 Apple 部署计划部署设备。
Apple 校园教务管理的类型为教育 Apple 部署类型。请参阅与 Apple 教育功能相集成。
使用 Apple 部署计划批量注册 iOS、iPadOS 和 macOS 设备。可以直接从 Apple 、参与计划的 Apple 授权经销商或运营商处购买这些设备。无论您是直接从 Apple 购买 iOS 设备,都可以使用 Apple Configurator 注册这些设备。请参阅批量注册 Apple 设备。
托管 Apple ID
用户注册与托管 Apple ID 紧密集成。可以使用 ABM/ASM 手动创建托管 Apple ID,或者通过 Azure Active Directory (AAD) 动态创建托管 Apple ID。
对于非联合身份验证,请使用 ABM/ASM 创建托管 Apple ID 以添加帐户。有关在 ABM/ASM 中添加帐户的信息,请参阅网址为 https://support.apple.com/guide/apple-business-manager/welcome/web 的 Apple 文档和网址为 https://support.apple.com/guide/apple-school-manager/welcome/web 的 ASM。我们建议您在用户注册时执行以下操作以避免执行额外的步骤:
- 在创建托管 Apple ID 时,请使用与公司电子邮件地址匹配的电子邮件。
- 将用户角色设置为员工。
- 要求用户在注册之前手动更改密码。请告知用户,我们建议您使用与企业帐户相同的密码。
要动态创建托管 Apple ID,请将 Citrix Cloud 配置为使用 AAD 作为其身份提供程序。有关将 Citrix Cloud 配置为使用 AAD 的详细信息,请参阅通过 Citrix Cloud 使用 Azure Active Directory 进行身份验证。此外,请在 ABM/ASM 中配置联合身份验证。要了解有关在 ABM 或 ASM 中配置联合身份验证的更多信息,请参阅《Apple 商务管理用户指南》和《Apple 校园教管理用户指南》。
手动创建托管 Apple ID 时,可以配置自定义域来代替默认域使用。您配置的自定义域取代了现有域。例如,您的企业电子邮件地址采用格式 first.last@company.com,但您希望改为使用 mycompany.website.com 作为托管 Apple ID 的域。在 ABM/ASM 上创建托管 Apple ID 时,电子邮件地址将变为 first.last@mycompany.website.com。
手动添加 iOS 设备
如果要手动添加 iOS 设备(例如用于测试目的),请按照以下步骤进行操作。
-
在 Citrix Endpoint Management 控制台中, 单击“管理”>“设备”。此时将显示设备页面。
-
单击添加。此时将显示添加设备页面。
-
配置以下设置:
- 选择平台: 单击 iOS。
- 序列号: 键入设备序列号。
-
单击添加。设备将添加到所显示设备表的列表底部。要查看并确认设备详细信息,请执行以下操作:选择已添加的设备,然后在显示的菜单中,单击编辑。
注意:
选中某个设备旁边的复选框时,选项菜单将在设备列表上方显示。如果单击列表中的其他任意位置,选项菜单将在列表右侧显示。
-
已配置 LDAP
-
如果使用本地组和本地用户:
-
一个或多个本地组。
-
分配给本地组的本地用户。
-
交付组与本地组相关联。
-
-
如果使用 Active Directory:
- 交付组与 Active Directory 组相关联。
-
-
常规页面列出设备标识符,例如,序列号和平台类型的其他信息。对于设备所有权,请选择公司或 BYOD。
常规页面还列出了设备安全属性,例如,强 ID、锁定设备、激活锁绕过和平台类型的其他信息。完全擦除设备字段包括用户的 PIN 代码。擦除设备后,用户必须输入该代码。如果用户忘记了该代码,您可以在此处查找。
-
属性 页面列出了 Citrix Endpoint Management 提供的设备属性。此列表显示了用于添加设备的预配文件中包含的任何设备属性。要添加属性,请单击添加,然后从列表中选择一种属性。有关每个属性的有效值,请参阅 PDF 设备属性名称和值。
添加属性时,它最初将显示在添加了该属性的类别下方。单击下一步,然后返回属性页面后,属性将显示在相应列表中。
要删除某个属性,请将鼠标悬停在列表上方,然后单击右侧的 X。Citrix Endpoint Management 会立即删除该项目。
-
其余的设备详细信息部分包含设备的摘要。
- 用户属性: 显示用户的 RBAC 角色、组成员资格、批量购买帐户和属性。您可以从此页面停用批量购买帐户。
- 已分配的策略: 显示已部署、挂起和失败的策略数量。提供每个策略的策略名称、类型和上次部署信息。允许您将部署状态重置为挂起,然后重新部署用户删除的策略。
- 应用程序: 显示上一个清单的已安装、挂起和失败的应用程序部署数量。提供应用程序名称、标识符、类型和其他信息。有关 iOS 和 macOS 清单密钥(例如 HasUpdateAvailable)的说明,请参阅移动设备管理 (MDM) 协议。
- 媒体: 显示上一个清单的已部署、挂起和失败的媒体部署数量。
- 操作: 显示已部署、挂起和失败的操作数量。提供上一个部署的操作名称和时间。
- 交付组: 显示成功、挂起和失败的交付组数量。对于每个部署,提供交付组的名称和部署时间。选择一个交付组以查看更多详细信息,包括状态、操作以及通道或用户。
- iOS 配置文件: 显示上一个 iOS 配置文件清单,包括名称、类型、组织和说明。
- iOS 预配配置文件︰ 显示企业分发预配配置文件信息,例如 UUID、过期日期以及托管状态。
- 证书: 显示有效证书、已过期证书或已吊销证书信息,例如,类型、提供程序、颁发者、序列号、过期之前的剩余天数。
- 连接: 显示第一个连接状态和最后一个连接状态。提供每个连接的用户名、倒数第二次身份验证和上次身份验证时间。
- MDM 状态: 显示 MDM 状态、上次推送时间以及上次设备答复时间等信息。
配置 iOS 设备策略
使用这些策略来配置 Citrix Endpoint Management 如何与运行 iOS 或 iPadOS 的设备进行交互。下表列出了适用于 iOS 和 iPadOS 设备的所有设备策略。
| | | | |— |— |—| |[AirPlay 镜像](/zh-cn/citrix-endpoint-management/policies/airplay-mirroring-ios-policy.html) |[AirPrint](/zh-cn/citrix-endpoint-management/policies/airprint-ios-policy.html) |[APN](/zh-cn/citrix-endpoint-management/policies/apn-policy.html#ios-settings) | |[应用程序访问](/zh-cn/citrix-endpoint-management/policies/app-access-policy.html) |[应用程序属性](/zh-cn/citrix-endpoint-management/policies/app-attributes-policy.html) |[应用程序配置](/zh-cn/citrix-endpoint-management/policies/app-configuration-policy.html#ios-settings) | |[应用程序清单](/zh-cn/citrix-endpoint-management/policies/app-inventory-policy.html) |[应用程序锁定](/zh-cn/citrix-endpoint-management/policies/app-lock-policy.html#ios-settings) |[应用程序卸载](/zh-cn/citrix-endpoint-management/policies/app-uninstall-policy.html#ios-and-macos-settings) | |[应用程序通知](/zh-cn/citrix-endpoint-management/policies/apps-notifications-policy.html) |[蓝牙](/zh-cn/citrix-endpoint-management/policies/bluetooth-policy.html) |[日历 (CalDAV)](/zh-cn/citrix-endpoint-management/policies/calendar-caldav-ios-policy.html) |[手机网络](/zh-cn/citrix-endpoint-management/policies/cellular-policy.html) |[联系人 (CardDAV)](/zh-cn/citrix-endpoint-management/policies/contacts-carddav-ios-policy.html) |[凭据](/zh-cn/citrix-endpoint-management/policies/credentials-policy.html#ios-settings) |[设备名称](/zh-cn/citrix-endpoint-management/policies/device-name-policy.html) |[教育配置](/zh-cn/citrix-endpoint-management/policies/education-configuration-policy.html) |[Exchange](/zh-cn/citrix-endpoint-management/policies/exchange-policy.html#ios-settings) |[字体](/zh-cn/citrix-endpoint-management/policies/font-policy.html) |[主屏幕布局](/zh-cn/citrix-endpoint-management/policies/home-screen-layout-policy.html) |[导入 iOS 和 macOS 配置文件](/zh-cn/citrix-endpoint-management/policies/import-ios-mac-os-x-profile-policy.html) |[LDAP](/zh-cn/citrix-endpoint-management/policies/ldap-policy.html) |[位置](/zh-cn/citrix-endpoint-management/policies/location-policy.html) |[锁屏界面消息](/zh-cn/citrix-endpoint-management/policies/lock-screen-message-policy.html) |[邮件](/zh-cn/citrix-endpoint-management/policies/mail-policy.html) |[托管域](/zh-cn/citrix-endpoint-management/policies/managed-domains-policy.html) |[最大常驻用户数](/zh-cn/citrix-endpoint-management/policies/maximum-resident-users-policy.html) |[MDM 选项](/zh-cn/citrix-endpoint-management/policies/mdm-options-policy.html) |[网络](/zh-cn/citrix-endpoint-management/policies/network-policy.html#ios-settings)|[网络使用情况](/zh-cn/citrix-endpoint-management/policies/network-usage-policy.html) |[组织信息](/zh-cn/citrix-endpoint-management/policies/organization-info-policy.html) |[操作系统更新](/zh-cn/citrix-endpoint-management/policies/control-os-updates.html#ios-settings) |[通行码](/zh-cn/citrix-endpoint-management/policies/passcode-policy.html#ios-settings) |[通行码锁宽限期](/zh-cn/citrix-endpoint-management/policies/passcode-lock-grace-period.html) |[个人热点](/zh-cn/citrix-endpoint-management/policies/personal-hotspot-policy.html) |[配置文件删除](/zh-cn/citrix-endpoint-management/policies/profile-removal-policy.html) |[预配配置文件](/zh-cn/citrix-endpoint-management/policies/provisioning-profile-policy.html) |[删除预配配置文件](/zh-cn/citrix-endpoint-management/policies/provisioning-profile-removal-policy.html) |[代理](/zh-cn/citrix-endpoint-management/policies/proxy-policy.html) |[限制](/zh-cn/citrix-endpoint-management/policies/restrictions-policy.html#ios-settings) |[漫游](/zh-cn/citrix-endpoint-management/policies/roaming-policy.html) |[SCEP](/zh-cn/citrix-endpoint-management/policies/scep-policy.html) |[SSO 帐户](/zh-cn/citrix-endpoint-management/policies/sso-account-policy.html) |[应用商店](/zh-cn/citrix-endpoint-management/policies/store-policy.html) |[已订阅的日历](/zh-cn/citrix-endpoint-management/policies/subscribed-calendars-policy.html) |[条款和条件](/zh-cn/citrix-endpoint-management/policies/terms-and-conditions-policy.html) |[VPN](/zh-cn/citrix-endpoint-management/policies/vpn-policy.html#ios-settings) |[墙纸](/zh-cn/citrix-endpoint-management/policies/wallpaper-policy.html) |Web 内容过滤器 |Web 剪辑 | | |
注册 iOS 设备
本节介绍用户如何将 iOS 设备(12.2 或更高版本)注册到 Citrix Endpoint Management。有关 iOS 注册的详细信息,请观看以下视频:
- 在 iOS 设备上转到 Apple 应用商店,下载 Citrix Secure Hub 应用程序,然后轻按该应用程序。
- 当系统提示安装应用程序时,轻按下一步,然后轻按安装。
- 安装 Citrix Secure Hub 后,点击“打开”。
- 输入您的公司证书,例如您的 Citrix Endpoint Management 服务器名称、用户主体名称 (UPN) 或电子邮件地址。然后,单击下一步。
- 轻按是,注册以注册 iOS 设备。
- 将显示 Citrix Endpoint Management 收集的数据列表。单击下一步。显示组织如何使用该数据的说明。单击下一步。
- 键入凭据后,在出现提示时轻按允许以下载配置文件。下载配置文件后,轻按关闭。
- 在设备设置中,安装 XenMobile 配置文件。
- 转到设置 > 常规 > 配置文件 > XenMobile 配置文件服务,然后轻按安装以添加配置文件。
- 在通知窗口中,轻按信任,将您的设备注册到远程管理中。
- 注册成功后,打开 Citrix Secure Hub。如果您要注册 MDM+MAM:在您的凭据验证后,根据提示创建并确认您的 Citrix PIN。
- 工作流程完成后,注册设备。随后即可访问应用商店来查看您安装在 iOS 设备上的应用程序。
安全操作
iOS 的设备注册支持以下安全操作。有关每个安全操作的说明,请参阅安全操作。
- 激活锁绕过
- 应用程序锁定
- 应用程序擦除
- ASM 激活锁
- 证书续订
- 清除限制
- 启用/禁用丢失模式
- 启用/禁用跟踪
- 完全擦除
- 查找
- 锁定
- 响铃
- 请求使用/停止使用 AirPlay 镜像
- 重新启动/关闭
- 吊销/授权
- 选择性擦除
- 解锁
iOS 的用户注册支持以下安全操作:
- 吊销
- 锁定
- 选择性擦除
- 证书续订
锁定 iOS 设备
您可以锁定丢失的 iOS 设备,同时在设备锁屏界面上显示消息和电话号码。
要在锁定的设备上显示消息和电话号码,请在 Citrix Endpoint Management 控制台中将 密码 策略设置为 真 。用户可以改为手动在设备上启用通行码。
-
单击管理 > 设备。此时将显示设备页面。
-
选择要锁定的 iOS 设备。
选中设备旁边的复选框以显示设备列表上方的选项菜单。单击列表中的其他任意位置可在列表右侧显示选项菜单。
-
在选项菜单中,选择安全。此时将显示安全操作对话框。
-
单击锁定。此时将显示安全操作确认对话框。
-
(可选)键入将显示在设备锁屏界面上的消息和电话号码。
iOS 会将“丢失的 iPad”字样附加到您在消息字段中键入的内容后。
如果将消息字段留空,并提供电话号码,Apple 将在设备锁屏界面上显示消息“呼叫所有者”。
-
单击锁定设备。
将 iOS 设备置于丢失模式
Citrix Endpoint Management 丢失模式设备属性将 iOS 设备置于丢失模式。与 Apple Managed Lost Management 不同,Citrix Endpoint Management 丢失模式不需要用户执行以下任何一项操作即可定位设备:配置“查找我 的 iPhone/iPad”设置或启用 Citrix Secure Hub 的定位服务。
在 Citrix Endpoint Management 丢失模式下,只有 Citrix Endpoint Management 才能解锁设备。(相比之下,如果您使用 Citrix Endpoint Management 设备锁定功能,则用户可以使用您提供的 PIN 码直接解锁设备。
要启用或禁用丢失模式,请转至管理 > 设备,选择受监督的 iOS 设备,并单击安全。然后,单击启用丢失模式或禁用丢失模式。
如果单击启用丢失模式,请键入设备处于丢失模式时要在设备上显示的信息。
可使用以下任何方法来检查丢失模式状态:
- 在安全操作窗口中,确认按钮是否设置为禁用丢失模式。
- 在管理 > 设备中常规选项卡上的安全下方 ,查看最后一次“启用丢失模式”或“禁用丢失模式”操作。
- 在管理 > 设备中的属性选项卡上 ,确认已启用 MDM 丢失模式设置的值是否正确。
如果您在 iOS 设备上启用 Citrix Endpoint Management 丢失模式,则 Citrix Endpoint Management 控制台也会发生如下变化:
- 在配置 > 操作中,操作列表不包括这些自动化操作:吊销设备、选择性擦除设备和完全擦除设备。
- 在管理 > 设备中,安全操作列表不再包括吊销和选择性擦除设备的操作。您仍可以根据需要使用安全操作来执行完全擦除操作。
iOS 会将“丢失的 iPad”字样附加到您在安全操作屏幕的消息中输入的内容后。
如果将消息留空,并提供电话号码,Apple 将在设备锁屏界面上显示消息“呼叫所有者”。
绕过 iOS 激活锁
激活锁是一项“查找我的 iPhone/iPad”功能,用于阻止重新激活丢失或被盗的受监督设备。激活锁需要用户的 Apple ID 和密码,之后用户才能执行以下操作:关闭“查找我的 iPhone/iPad”、擦除设备或重新激活设备。对于组织拥有的设备,绕过激活锁是(例如)重置或重新分配设备的必要操作。
要启用激活锁,您需要配置和部署 Citrix Endpoint Management MDM Options 设备策略。然后,您无需用户的 Apple 凭据即可通过 Citrix Endpoint Management 控制台管理设备。要绕过激活锁的 Apple 凭据要求,请从 Citrix Endpoint Management 控制台发出“激活锁绕过”安全操作。
例如,如果用户在执行完全擦除操作之前或之后归还了丢失的手机或设置了设备:手机提示输入 Apple App Store 帐户凭据时,请通过发出“激活锁绕过”安全操作来绕过该设置。
激活锁绕过的设备要求
- 通过 Apple Configurator 或 Apple 部署计划进行监督
- 配置了 iCloud 帐户
- 已启用“查找我的 iPhone/iPad”
- 已注册 Citrix Endpoint Management
- “MDM 选项”设备策略(启用了激活锁)已部署到设备
要在发出设备的完全擦除操作之前绕过激活锁,请执行以下操作:
- 转至管理 > 设备,选择设备,单击安全,然后单击激活锁绕过。
- 擦除设备。激活锁屏幕在设备设置过程中不显示。
要在发出设备的完全擦除操作之后绕过激活锁,请执行以下操作:
- 重置或擦除设备。激活锁屏幕在设备设置过程中显示。
- 转至管理 > 设备,选择设备,单击安全,然后单击激活锁绕过。
- 轻按设备上的“返回”按钮。此时将显示主屏幕。
请谨记以下几点:
- 建议您的用户不要关闭“查找我的 iPhone/iPad”。不要在设备上彻底擦除。在这些情况下,系统将提示用户输入 iCloud 帐户密码。验证帐户后,用户在擦除所有内容和设置后将看不到“激活 iPhone/iPad”屏幕。
- 对于生成了激活锁绕过码并启用了激活锁的设备:如果在完全擦除后无法绕过“激活 iPhone/iPad”页面,则无需从 Citrix Endpoint Management 中删除该设备。您或用户可以联系 Apple 技术支持人员来直接解锁设备。
- 在硬件清点期间,Citrix Endpoint Management 会向设备查询激活锁绕过码。如果有绕过码可用,则设备会将其发送到 Citrix Endpoint Management。然后,要从设备中删除绕过代码,请从 Citrix Endpoint Management 控制台发送“激活锁绕过”安全操作。那时,Citrix Endpoint Management 和 Apple 拥有解锁设备所需的绕过码。
- “激活锁绕过”安全操作依赖 Apple 服务的可用性。如果该操作无法运行,您可以使用以下方法之一解锁设备:
- 在设备上,手动输入 iCloud 帐户的凭据。
- 将“用户名”字段留空,并在“密码”字段中键入绕过码。要查找绕过码,请转至管理 > 设备,选择设备,单击编辑,然后单击属性。激活锁绕过码显示在安全信息下。