Citrix Endpoint Management

准备注册设备并交付资源

重要提示:

在继续操作之前,请务必完成载入和资源设置中描述的所有任务。

让您的用户了解即将发生的变更。请参阅欢迎使用 Citrix User Adoption Kit

Citrix Endpoint Management 支持各种注册选项。本文介绍了启用要注册的所有受支持的设备所需的基本设置。下图概要介绍了基本设置。

准备设备注册环境的工作流程示意图

有关支持的设备列表,请参阅支持的设备操作系统

为 iOS 设备设置 Apple 推送通知服务 (APNs) 证书

重要:

Apple 对 APNs 传统二进制协议的支持将于 2021 年 3 月 31 日结束。Apple 建议您改为使用基于 HTTP/2 的 APNs 提供程序 API。从版本 20.1.0 起,Citrix Endpoint Management 支持基于 HTTP/2 的 API。有关详细信息,请参阅 https://developer.apple.com/ 中的新闻更新“Apple 推送通知服务更新”。有关检查与 APNs 的连接的帮助,请参阅连接检查

Citrix Endpoint Management 需要 Apple 颁发 Apple 推送通知服务 (APNs) 证书才能注册和管理 iOS 设备。Citrix Endpoint Management 还要求获得 Citrix Secure Mail 的 APNs 证书才能获得 iOS 推送通知。

为 Android 设备设置 Firebase Cloud Messaging (FCM)

Firebase Cloud Messaging (FCM) 控制 Android 设备连接到 Citrix Endpoint Management 服务的方式和时间。任何安全操作或部署命令都将触发推送通知。该通知提示用户重新连接到 Citrix Endpoint Management。

  • FCM 设置要求您配置 Google 帐户。要创建 Google Play 凭据,请参阅管理您的开发者帐户信息。还可以使用 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。可以使用 Google Play 部署您的私有 Android 应用程序、公共应用程序和第三方应用程序。

  • 要设置 FCM,请参阅 Firebase Cloud Messaging

设置 Citrix Endpoint Management 自动发现服务

自动发现服务通过基于电子邮件的 URL 发现简化用户的注册过程。自动发现服务还为 Citrix Workspace 客户提供注册验证、证书固定以及其他优势等功能。该服务托管在 Citrix Cloud 中,是许多 Citrix Endpoint Management 部署的重要组成部分。

使用自动发现服务,用户可以:

  • 可以使用公司网络凭据注册其设备。
  • 无需输入有关 Citrix Endpoint Management 服务器地址的详细信息。
  • 以用户主体名称 (UPN) 格式输入其用户名。例如,user@mycompany.com

我们建议您在高安全性环境中使用自动发现服务。自动发现服务支持公钥证书固定,以防范中间人攻击。证书固定可确保 Citrix 客户机与 Citrix Endpoint Management 通信时使用企业签名的证书。要为您的 Citrix Endpoint Management 站点配置证书锁定,请联系 Citrix 支持部门。有关证书固定的信息,请参阅证书固定

要访问自动发现服务,请导航至 https://adsui.cloud.com(商用)。

必备条件

  • Citrix Cloud 中的新自动发现服务需要最新版本的 Citrix Secure Hub:
    • 对于 iOS、Citrix Secure Hub 版本 21.6.0 或更高版本
    • 对于 Android、Citrix Secure Hub 版本 21.8.5 或更高版本

      在早期版本的 Citrix Secure Hub 上运行的设备可能会出现服务中断的情况。

  • 您必须拥有具有完全访问权限的 Citrix Cloud 管理员帐户,才能访问新的自动发现服务。自动发现服务不支持具有自定义访问权限的管理员帐户。如果您没有帐户,请参阅注册 Citrix Cloud

    Citrix 在不中断服务的情况下将所有现有的自动发现记录迁移到 Citrix Cloud。迁移的记录不会自动显示在新控制台中。必须在新的自动发现服务中回收域才能证明所有权。有关详细信息,请参阅 CTX312339

  • 在开始使用 AutoDiscovery 服务进行 Citrix Endpoint Management 部署之前,请验证并声明您的域名。最多可以声明 10 个域。该声明将已验证的域与自动发现服务相关联。要声明超过 10 个域,请开立 SRE 票证或联系 Citrix 技术支持。
  • 使用 MAM 端口设置代替 NetScaler Gateway FQDN 将 MAM 流量定向到您的数据中心。如果您输入完全限定的域名以及 NetScaler Gateway 的端口,则客户端设备将使用 MAM 端口设置中的配置。
  • 如果广告拦截器阻止网站打开,请确保禁用整个网站的广告拦截器。

声明域

  1. 声明 > 域选项卡上,单击添加域

    添加域

  2. 在出现的对话框中,输入您的 Citrix Endpoint Management 环境的域名,然后单击“确认”。您的域名将显示在声明 > 域中。

    声明域

  3. Verify Domain在添加的域中,单击省略号菜单,然后选择 Verify Domain(验证域)以开始验证过程。此时将显示验证您的域页面。

    开始验证

  4. Verify your domain(验证您的域)页面上,按照说明进行操作以验证您是否拥有该域。

    验证您的域

    1. 单击 Copy(复制)将 DNS 令牌复制到剪贴板。

    2. 在区域文件中为您的域创建 DNS TXT 记录。为此,请转到托管提供商门户网站的域并添加您复制的 DNS 令牌。

      下面的屏幕截图显示了托管提供商门户网站的域。您的门户网站可能看起来有所不同。

      验证您的域

    3. Start DNS Check在 Citrix Cloud 中,在 Verify your domain(验证您的域)页面上,单击 Start DNS Check(启动 DNS 检查)以开始检测 DNS TXT 记录。如果要在以后验证域,请单击 Verify Domain Later(以后验证域)。

    验证过程通常需要大约一个小时。但是,最多可能需要两天才能返回响应。在状态检查期间,您可以注销并重新登录。

    配置完成后,域的状态将从挂起更改为已验证

  5. 声明您的域后,请提供自动服务的相关信息。单击您添加的域上的省略号菜单,然后单击“添加 Citrix Endpoint Management 信息”。此时将显示 AutoDiscovery Service Information(自动发现服务信息)页面。

  6. 输入以下信息,然后单击保存

    • Citrix Endpoint Management Server FQDN:输入 Citrix Endpoint Management 服务器 的完全限定域名。例如:example.xm.cloud.com。此设置用于 MDM 和 MAM 流量控制。

    • NetScaler Gateway FQDN: 以 FQDN 或 FQDN:Port 的形式输入 NetScaler Gateway 的完全限定域名。例如:example.com。此设置用于将 MAM 流量定向到您的数据中心。对于仅限 MDM 部署,请将此字段留空。

      注意:

      Citrix 建议您使用 MAM 端口设置来控制 MAM 流量,而不是 NetScaler Gateway FQDN 。如果您输入完全限定的域名以及 NetScaler Gateway 的端口,则客户端设备将使用 MAM 端口设置中的配置。

    • 实例名称: 输入您之前配置的 Citrix Endpoint Management 服务器的实例名称。如果您不确定自己的实例名称,请保留默认值 zdm

    • MDM 端口: 输入用于 MDM 控制流量和 MDM 注册的端口。对于基于云的服务,默认值为 443。

    • MAM 端口: 输入用于 MAM 控制流量、MAM 注册、iOS 注册和应用程序枚举的端口。对于基于云的服务,默认值为 8443。

请求 Windows 设备的自动发现

如果计划注册 Windows 设备,请执行以下操作:

  1. 与 Citrix 支持部门联系并创建支持请求以启用 Windows 自动发现。

  2. 获取 enterpriseenrollment.mycompany.com 的公开签名的非通配符 SSL 证书。mycompany.com 部分是拥有用户用于注册的帐户的域名。将 .pfx 格式的 SSL 证书及其密码附加到在上一步中创建的支持请求。

    要使用多个域注册 Windows 设备,还可以使用具有以下结构的多域证书:

    • SubjectDN,包含用于指定所服务的主域的 CN(例如 enterpriseenrollment.mycompany1.com)。
    • 适用于其余域的恰当 SAN(例如 enterpriseenrollment.mycompany2.com、enterpriseenrollment.mycompany3.com 等)。
  3. 在您的 DNS 中创建一条规范名称 (CNAME) 记录,并将 SSL 证书的地址 (enterpriseenrollment.mycompany.com) 映射到 autodisc.xm.cloud.com。

    当 Windows 设备用户使用 UPN 注册时,Citrix 注册服务器:

    • 提供您的 Citrix Endpoint Management 服务器的详细信息。
    • 指示设备向 Citrix Endpoint Management 申请有效证书。

此时,您可以注册所有受支持的设备。转到下一节,准备向设备交付资源。

与 Azure AD 条件访问集成

您可以将 Citrix Endpoint Management 配置为将 Azure AD 条件访问支持应用于 Office 365 应用程序。此功能允许您在部署 Office 365 应用程序时为设备用户部署零信任方法。您可以使用设备状态、风险评分、位置和设备保护功能来应用自动操作,并定义对托管 Android Enterprise 和 iOS 设备上 Office 365 应用程序的访问权限。

要强制实施 Azure AD 设备合规性,必须为各个 Office 365 应用程序配置条件访问策略。您可以限制用户在非托管和不合规设备上访问特定 Office 365 应用程序,并仅允许在托管和合规设备上访问单个应用程序。

必备条件

  • 对于此集成,您必须拥有有效的 Azure AD 高级订阅,包括 Intune 和 Microsoft Office 365 许可证。
  • Citrix Secure Hub 版本 21.4.0 及更高版本
  • 在 Citrix Cloud 中将 Azure AD 配置为身份提供者 (IdP),然后将 Citrix 身份设置为 Citrix Endpoint Management 的 IdP 类型。有关信息,请参阅通过 Citrix Cloud 使用 Azure Active Directory 进行身份验证
  • 同意 Citrix 多租户 AAD 应用程序,允许移动应用通过 AAD 客户端应用进行身份验证。仅当 Azure 全局管理员将“用户可以注册应用程序”的值设置为“”时才需要。在 Azure 门户中的Azure Active Directory > 用户 > 用户设置下配置此设置。要提供同意,请参阅为 Azure AD 合规性管理配置 Citrix Endpoint Management
  • 在开始 Azure AD 设备注册过程之前,在设备上安装 Microsoft Authenticator 应用程序。
  • 对于 Android Enterprise 平台,请将 Web 浏览器应用程序配置为必需的公共商店应用程序。
  • 禁用 Azure AD 控制台中的 安全默认 设置。启动 Azure AD 配置时,将安全默认值替换为更精细的 Azure AD 条件访问策略。有关安全默认设置的详细信息,请参阅 Microsoft 文档

通过 Azure AD 条件访问策略配置设备合规性

通过 Azure AD 条件访问策略配置设备合规性的一般步骤如下:

  1. Citrix Endpoint Management 配置:
    • 在 Microsoft Endpoint Manager 管理中心中,将 Citrix Workspace 设备合规性添加为每个设备平台的合规性合规性合作伙伴并分配用户组。
    • 在 Citrix Endpoint Management 中,同步来自 Microsoft Endpoint Manager 管理中心的信息。
  2. Azure AD 配置: 在 Azure AD 门户中,为各个 Office 365 应用程序设置条件访问策略。

  3. Citrix Endpoint Management 配置 :为 Office 365 应用程序配置条件访问策略后,将 Microsoft Authenticator 应用程序和 Office 365 应用程序作为公共应用商店应用程序添加到 Citrix Endpoint Management 中。将这些公共应用程序分配给交付组并将其设置为必需的应用程序。

为 Azure AD 合规性管理配置 Citrix Endpoint Management

  1. 登录 Microsoft Endpoint Manager admin center(Microsoft Endpoint Manager 管理中心),导航到 Tenant administration(租户管理)> Connectors and token(连接器和令牌)> Device compliance management(设备合规性管理)。单击 添加合规性合作伙伴 ,然后选择 Citrix Workspace 设备 合规性作为每个设备平台的合规性然后分配用户组。

    Microsoft Endpoint Manager 管理中心

  2. 在 Citrix Endpoint Management 中,转 到设置 > Azure AD合规性管理。
  3. (可选)设置全局同意,以便用户不需要在每个设备上提供同意。在 Client App consent(客户端应用程序同意)旁边,单击 Provide consent(提供同意)。输入您的全局管理员 Azure AD 凭据并按照提示提供客户端应用程序的全局同意。
  4. 单击连接以同步来自 Microsoft Endpoint Manager 管理中心的信息。

    同步来自 Microsoft Endpoint Manager 管理中心的信息

    将出现一个对话框,提示您接受此配置的权限。单击 Accept(接受)。配置完成后,同步的设备平台将显示在列表中。

    权限申请

在 Azure AD 中配置条件访问策略

在 Azure AD 门户中,为 Office 365 应用程序配置条件访问策略以强制设备合规性。转到 设备 > 条件访问 > 策略 > 新策略。有关详细信息,请参阅 Microsoft 文档

要为 Intune 托管应用配置设备合规性:

在 Citrix Endpoint Management 中配置应用程序

为 Office 365 应用程序配置条件访问策略后,在 Citrix Endpoint Management 中将 Microsoft Authenticator 应用程序和 Office 365 应用程序添加为公共应用商店应用程序。将这些公共应用程序分配给交付组并将其设置为必需的应用程序。有关信息,请参阅添加公共应用商店应用程序

用户验证工作流

  1. 新用户必须使用 Azure AD 凭据将设备注册到 Citrix Endpoint Management 中。之前使用 Azure AD 凭据注册的用户无需重新注册其设备。
  2. Citrix Endpoint Management 将 Microsoft Authenticator 和配置的 Office 365 应用程序作为必需的应用程序推送到设备上。如果您将 Web 浏览器应用配置为 Android 平台所需的公共商店应用程序,Citrix Endpoint Management 也会将其推送到用户设备。
  3. Citrix Secure Hub 会自动安装和显示通过 Citrix Endpoint Management 管理的所有应用程序。
  4. 当用户尝试登录任何可用的 Office 365 应用程序时,设备会提示用户点击 Azure AD 注册 链接以启动注册过程。
  5. 用户点击注册链接后,Microsoft 身份验证器应用程序将打开。用户输入 Azure AD 凭据并同意设备注册条款。然后,Microsoft 身份验证器应用程序关闭,Citrix Secure Hub 重新打开。
  6. Citrix Secure Hub 会显示一条消息,说明 Azure AD 设备注册已完成。用户现在可以使用 Microsoft 应用程序访问他们的云资源。

    注册完成后,Azure AD 会在控制台中将设备标记为托管并合规。

默认设备策略和移动生产力应用程序

如果您从 Citrix Endpoint Management 19.5.0 或更高版本开始加入,我们会预先配置一些设备策略和移动生产力应用程序。该配置使您能够:

  • 立即将基本功能部署到设备
  • 收钱执行建议的安全工作区的基准配置

对于 Android、Android Enterprise、iOS、macOS 和 Windows Desktop/Tablet 平台,您的网站预先配置了以下设备策略:

  • 密码设备策略: 密码设备策略设置为,启用所有默认的密码设置。

  • 应用程序清单设备策略: 应用程序清单设备策略设置为

  • 限制设备策略: 限制设备策略设置为,启用所有默认限制设置。

这些策略位于 AllUsers 交付组中,该组包含所有 Active Directory 和本地用户。我们建议您仅将 AllUsers 交付组用于初始测试。然后,创建交付组并禁用 AllUsers 交付组。可以在交付组中重复使用预配置的设备策略和应用程序。

所有 Citrix Endpoint Management 设备策略都记录在设备策略下。 该文章包含有关如何使用控制台编辑设备策略的信息。有关某些常用设备策略的信息,请参阅设备策略和用例行为

对于 iOS 和 Android 平台,您的网站预先配置了以下移动生产力应用程序:

  • Citrix Secure Mail
  • Citrix Secure Web
  • Citrix Files

这些应用程序位于 AllUsers 交付组中。

有关详细信息,请参阅关于移动生产力应用程序

继续您的 Citrix Endpoint Management 配置

完成设备注册的基本设置后,配置 Citrix Endpoint Management 的方式会因用例而有很大差异。例如:

  • 您有哪些安全要求?您希望如何平衡这些要求与用户体验?
  • 您支持哪些设备平台?
  • 用户是否拥有其设备或使用公司拥有的设备?
  • 您希望向设备推送哪些设备策略?
  • 您为用户提供哪些类型的应用程序?

本节通过引导您阅读本文档集中的文章来帮助您浏览许多配置选择。

在第三方站点中完成配置时,请记下这些信息及其位置,以供配置 Citrix Endpoint Management 控制台设置时参考。