托管配置策略
托管配置设备策略控制各种应用程序配置选项和应用限制。可以为要控制的每个 Android Enterprise 应用程序创建此策略。
应用程序开发人员定义应用程序可用的选项和工具提示。如果工具提示中提到使用“模板化值”,请改用相应的 Citrix Endpoint Management 宏。有关详细信息,请参阅 远程配置概述 (在 Android 开发者网站上)和 宏。
应用程序配置设置可以包含以下项目:
- 电子邮件应用程序设置
- 允许或阻止 Web 浏览器的 URL
- 通过手机网络连接或仅通过 Wi-Fi 连接控制应用程序内容同步的选项
有关为您的应用程序显示的设置的信息,请联系应用程序开发人员。
注意:
Citrix SSO for Android 现在称为 Citrix Secure Access。我们正在更新文档以反映此次更名。
必备条件
- 在 Google 上完成 Android Enterprise 设置任务,并将 Android Enterprise 连接到托管 Google Play。有关详细信息,请参阅 Android Enterprise。
- 将 Android Enterprise 应用程序添加到 Citrix Endpoint Management。有关详细信息,请参阅将应用程序添加到 Citrix Endpoint Management。
要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略。
PerApp VPN 的要求
要为 AE 创建 PerApp VPN,除了配置托管配置设备策略外,您还需要执行其他步骤。此外,必须验证是否满足以下必备条件:
- 本地 NetScaler Gateway
- 设备上安装了以下应用程序:
- Citrix SSO
- Citrix Secure Hub
为 AE 设备配置 PerApp VPN 的一般工作流程如下:
-
按本文中所述配置 VPN 配置文件。
-
将 Citrix ADC 配置为接受来自 PerApp VPN 的流量。有关详细信息,请参阅 NetScaler Gateway 上的完整 VPN 设置。
限制
由于 Android 11 中引入了包可见性限制,以下是 Android 11+ 设备上的 Android Enterprise 环境中针对 PerApp VPN 的限制:
-
如果在 VPN 会话启动后将属于允许/拒绝列表的应用程序部署到设备上,则最终用户必须重新启动 VPN 会话,该应用程序才能通过 VPN 会话路由其流量。
-
如果通过始终启用的 VPN 会话使用 PerApp VPN,则在设备上安装新应用程序后,最终用户必须重新启动工作配置文件或者重新启动设备才能通过 VPN 会话路由应用程序的流量。
注意:
如果您使用的是适用于 Android 23.8.1 或更高版本的 Citrix SSO,则这些限制不适用。有关详细信息,请参阅自动重新启动始终启用的 VPN。
Android Enterprise 设置
选择添加托管配置设备策略后,将出现选择应用程序的提示。如果没有向 Citrix Endpoint Management 添加任何 Android Enterprise 应用程序,则无法继续。
选择应用程序后,配置策略设置。这些设置与每个应用程序特定相关。
为 Android Enterprise 配置 VPN 配置文件
使用配置了“托管配置”设备策略的 Citrix SSO 应用程序,使 VPN 配置文件可供 Android Enterprise 设备使用。
首先,将 Citrix SSO 作为 Google Play 商店应用添加到 Citrix Endpoint Management 主机中。请参阅 添加公共应用商店应用程序。
观看此视频以了解更多:
为 Citrix SSO 创建 Android Enterprise 托管配置
为 Citrix SSO 配置托管配置设备策略以创建 VPN 配置文件。安装了 Citrix SSO 应用程序并部署了策略的设备可以访问您创建的 VPN 配置文件。
在以下情况下,Citrix Endpoint Management 使用设备密钥库中的用户证书:
- NetScaler Gateway 已配置为基于证书的身份验证。
- 在 Citrix Endpoint Management 页面的“设置”>“NetScaler Gateway”中启用了提供用户身份验证证书。
您需要您的 NetScaler Gateway FQDN 和端口。
-
在 Citrix Endpoint Management 控制台中, 单击“配置”>“设备策略”。单击添加。
-
选择 Android Enterprise。单击 托管配置。
-
显示选择应用程序 ID 窗口时,从列表中选择 Citrix SSO,然后单击确定。
-
键入 Citrix SSO VPN 配置的名称和说明。单击下一步。
-
配置 VPN 配置文件参数。
-
VPN 配置文件名称: 键入 VPN 配置文件的名称。如果您要创建多个 VPN 配置文件,请为每个 VPN 配置文件使用唯一的名称。如果不提供名称,则会将您在服务器地址字段中放置的地址用作 VPN 配置文件名称。
-
服务器地址 (*): 键入您的 NetScaler Gateway FQDN。如果您的 NetScaler Gateway 端口不是 443,请同时键入您的端口。使用 URL 格式。例如,
https://gateway.mycompany.com:8443
。 -
用户名(可选): 提供最终用户用于向 NetScaler Gateway 进行身份验证的用户名。您可以将 Citrix Endpoint Management 宏 {user.username} 用于此字段。(请参阅 宏。)如果您不提供用户名,则在连接到 NetScaler Gateway 时,系统会提示用户提供用户名。
-
密码(可选): 提供最终用户用于对 NetScaler Gateway 进行身份验证的密码。如果您不提供密码,则在连接到 NetScaler Gateway 时会提示用户提供密码。
-
证书别名(可选): 键入证书别名。证书别名使应用程序能够更轻松地访问证书。在凭据设备策略中使用相同的证书别名时,应用程序将检索证书并对 VPN 进行身份验证,而无需用户执行任何操作。
-
网关证书 PIN 码(可选): 描述用于 NetScaler Gateway 的证书 PIN 码的 JSON 对象。示例值:
{"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}
。有关详细信息,请参阅使用 Android Citrix SSO 固定 NetScaler Gateway 证书。 -
PerApp VPN 类型(可选): 如果您使用 PerApp VPN 来限制哪些应用程序使用此 VPN,则可以配置此设置。如果选择允许,PerApp VPN 应用程序列表中列出的应用程序包名称的网络流量将通过 VPN 路由。所有其他应用程序的网络流量都会在 VPN 外部进行路由。如果选择不允许,PerAppVPN 应用程序列表中列出的应用程序包名称的网络流量将在 VPN 外部路由。所有其他应用程序的网络流量都通过 VPN 路由。默认设置为允许。
-
PerApp VPN 应用程序列表: VPN 上允许或阻止其流量的应用程序列表,具体取决于 PerApp VPN 类型的值。列出以逗号或分号分隔的应用程序包的名称。应用程序包名称区分大小写,并且必须以与 Google Play 应用商店中完全一致的显示方式显示在此列表中。此列表是可选的。将此列表保留为空,以便预配设备范围的 VPN。
-
默认 VPN 配置文件: 键入 VPN 配置文件的名称,以便用户在 Citrix SSO 应用程序中轻按连接开关(而非特定配置文件)时使用。如果将此字段留空,则使用主配置文件进行连接。如果只配置了一个配置文件,则将其标记为默认配置文件。对于永远在线的 VPN,必须将此字段设置为用于建立永远在线的 VPN 配置文件的名称。
-
始终启用的 VPN(可选): 此属性指示 VPN 配置文件是否配置为始终启用的 VPN 配置文件。如果设置为 true,则表示 VPN 配置文件是始终启用的 VPN 配置文件。默认值为 false。此属性只能分配给主 VPN 配置文件。启用此属性对于确保始终启用的 VPN 的可靠运行至关重要。
-
禁用用户配置文件: 如果此设置设为“开”,用户将无法在其设备上创建自己的 VPN。如果此设置设为“关”,用户可以在其设备上创建自己的 VPN。默认设置为“关”。
-
屏蔽不可信服务器: 在以下任一情况下,此设置处于关闭状态:
- 当您为 NetScaler Gateway 使用自签名证书时
- 当颁发 NetScaler Gateway 证书的 CA 的根证书不在系统 CA 列表中时。
如果此设置为“开”,则 Android 操作系统将验证 NetScaler Gateway 证书。如果验证失败,则不允许连接。默认值为“开”。
-
-
也可以创建自定义参数。支持自定义参数 XenMobileDeviceId 和 UserAgent。选择当前 VPN 配置,然后单击添加。
参数名称 说明 值 XenMobileDeviceId 此字段是根据在 Citrix Endpoint Management 中注册的设备进行网络访问检查的设备 ID。如果 Citrix Endpoint Management 注册并管理设备,则允许 VPN 连接。否则,在 VPN 建立时将拒绝身份验证。 为了让 Citrix Endpoint Management 确定设备的注册和管理状态,XenMobileDeviceID 的值设置为 DeviceID_${device.id}
。UserAgent 此文本附加到用户代理 HTTP 标头中,用于对 NetScaler Gateway 进行额外检查。在与 NetScaler Gateway 通信时,Citrix SSO 应用程序将此文本的值附加到用户代理 HTTP 标头中。 键入要附加到用户代理 HTTP 标头的文本。此文本必须符合 HTTP 用户代理规范。 EnableDebugLogging 在 Citrix SSO 应用程序上启用调试日志,以帮助解决始终启用的 VPN 时出现的 VPN 连接问题。您可以在任何一种托管 VPN 配置中将其启用。调试日志记录在处理托管配置后生效。 True:启用调试日志记录。默认值:False 要创建另一个自定义参数,请再次单击添加。
-
或者,创建更多 VPN 配置文件配置。单击配置列表下的添加。列表中将显示一个新配置。选择新配置并重复步骤 5 以及(可选)步骤 6。
-
创建完所有所需的 VPN 配置文件后,单击“下一步”。
-
为 Citrix SSO 的此托管配置配置部署规则。
-
单击保存。
Citrix SSO 的此托管配置现在显示在已配置的设备策略列表中。
要为您配置的 VPN 配置文件启用始终在线,请设置 Citrix Endpoint Management 选项设备策略。
注意:
适用于 Android Enterprise 的始终可用的 VPN 需要 Citrix Secure Hub 19.5.5 或更高版本。
从设备访问 VPN 配置文件
要访问您创建的 VPN 配置文件,Android Enterprise 用户需要从托管 Google Play 应用商店安装 Citrix SSO。
您配置的一个或多个 VPN 配置文件将显示在应用程序的托管连接区域中。用户轻按 VPN 配置文件将使用该 VPN 配置文件进行连接。
用户进行身份验证并连接后,VPN 配置文件旁边会显示一个复选标记。钥匙图标表示 VPN 已连接。
使用 Zebra OEMConfig 管理 Zebra Android 设备
使用 Zebra Technologies OEMConfig 管理工具管理 Zebra Android 设备。有关 Zebra OEMConfig 应用程序的信息,请参阅 Zebra Technologies 网站。
Citrix Endpoint Management 支持 Zebra OemConfig 版本 9.2 及更高版本。有关在设备上安装 Zebra OEMConfig 的系统要求的信息,请参阅 Zebra Technologies Web 站点上的 OEMConfig 设置。
我们当前支持以下 Zebra 设备:
-
EC50、EC55、ET56
-
TC52x、TC52x-HC
-
TC52ax、TC52ax-HC
-
TC57x
首先:在 Citrix Endpoint Management 控制台中,将 Zebra OemConfig 应用添加为 Google Play 商店应用。请参阅 添加公共应用商店应用程序。
为 Zebra OEMConfig 应用程序创建 Android Enterprise 托管配置
为 Zebra OEMConfig 应用程序配置托管配置设备策略。该策略适用于安装了 Zebra OEMConfig 应用程序并部署了策略的 Zebra 设备。
-
在 Citrix Endpoint Management 控制台中, 单击“配置”>“设备策略”。单击添加。
-
选择 Android Enterprise。单击 托管配置。
-
显示选择应用程序 ID 窗口时,从列表中选择 ZebraOEMConfig powered by MX(ZebraOEMConfig,由 MX 提供技术支持),然后单击确定。
-
键入 Zebra OEMConfig 配置的名称和说明。单击下一步。
-
键入 Zebra OEMConfig 配置的名称。
-
配置可用参数。例如:
- 要禁用设备前面的摄像头,请选择 Camera Configuration(摄像头配置)并将 Use of Front Camera(使用前置摄像头)设置为 Off(关)。
- 要更改设备时间格式,请选择 Clock Configuration(时钟配置),然后将 Time Format(时间格式)设置为 12(12 小时制)或 24(24 小时制)。
有关所有可用配置的列表和描述,请参阅 Zebra Technologies Web 站点上的 Zebra 托管配置。
-
或者,创建更多 Zebra OEMConfig 配置。单击配置列表下的添加。列表中将显示一个新配置。选择新配置并配置参数。
-
创建需要的所有 Zebra OEMConfig 配置后,请单击 Next(下一步)。
-
为 Zebra OEMConfig 的这一托管配置配置部署规则。
-
单击保存。
支持托管配置反馈(技术预览版)
有关支持托管配置反馈功能的更多信息,请参阅支持托管配置反馈。