XenMobile Server

安全操作

可以从管理 > 设备页面执行设备和应用程序安全操作。设备操作包括吊销、锁定、解锁及擦除。应用程序安全操作包括应用程序锁定和应用程序擦除。

  • 激活锁绕过: 设备激活之前从受监督的 iOS 设备中删除激活锁。此命令不需要用户的个人 Apple ID 或密码。

  • 应用程序锁定: 拒绝访问设备上的所有应用程序。在 Android 中,应用程序锁定后,用户将无法登录 XenMobile。在 iOS 中,用户可以登录,但无法访问任何应用程序。

  • 应用程序擦除: 从 Secure Hub 中删除用户帐户并取消注册设备。在执行应用程序取消擦除操作之前,用户无法重新注册。

  • ASM 部署计划激活锁: 为在 Apple 校园教务管理 DEP 中注册的 iOS 设备创建激活锁绕过码。

  • 清除限制: 在受监督的 iOS 设备中,此命令允许 XenMobile 清除用户配置的限制密码和限制设置。

  • 启用/禁用丢失模式: 将受监督的 iOS 设备置于丢失模式并向设备发送要显示的消息、电话号码和脚注。第二次发送此命令将使设备脱离丢失模式。

  • 启用跟踪:在 Android 或 iOS 设备上,此命令允许 XenMobile 以您定义的频率轮询特定设备的位置。要在地图上查看设备坐标和位置,请转到管理 > 设备,选择一个设备,然后单击编辑。设备信息位于安全下的常规选项卡上。使用启用跟踪可持续跟踪设备。Secure Hub 会在设备运行时定期报告位置。

  • 完全擦除: 立即从设备中(包括从任何内存卡中)擦除所有数据和应用程序。

    • 对于 Android 设备,此请求还可以包括用于擦除内存卡的选项。

    • 对于使用工作配置文件(COPE 设备)的 Android Enterprise 完全托管设备,您可以在选择性擦除操作删除工作配置文件后执行完全擦除。

    • 对于 iOS 和 macOS 设备,擦除操作将立即发生,即使设备处于锁定状态亦如此。对于 iOS 11 设备(最低版本):确认完全擦除时,可以选择在设备上保留手机网络流量套餐。

    • 如果设备用户在删除内存卡内容之前关闭了设备,用户可能仍然对设备数据具有访问权限。

    • 可以在将擦除请求发送到设备之前取消该请求。

  • 定位:管理 > 设备页面上的设备详细信息 > 常规下定位设备并报告设备位置(包括地图)。定位是一次性操作。使用定位可显示执行该操作时的当前设备位置。要在一段时间内持续跟踪设备,请使用启用跟踪
    • 将此操作应用到 Android(Android Enterprise 除外)设备或 Android Enterprise(企业拥有或 BYOD)设备时,请注意以下行为:
      • 定位要求用户在注册期间授予位置权限。用户可以选择不授予定位权限。如果用户在注册过程中不授予该权限,XenMobile 会在发送定位命令时再次申请定位权限。
    • 将此功能应用到 iOS 或 Android Enterprise 设备时,请注意以下限制:
      • 对于 Android Enterprise 设备,除非位置设备策略已将设备的位置模式设置为高精度省电,否则此请求将失败。
      • 对于 iOS 设备,仅当设备处于 MDM 丢失模式时,此命令才会成功。
  • 锁定: 远程锁定设备。当您丢失设备且不知道设备是否被盗时此操作非常有用。XenMobile 随之生成一个 PIN 代码并在设备中进行设置。要访问设备,用户需要键入该 PIN 代码。使用取消锁定可从 XenMobile 控制台中删除锁定。

  • 锁定并重置密码: 远程锁定设备并重置密码。

    • 不支持在工作配置文件模式下于 Android Enterprise 中注册且运行低于 Android 8.0 的 Android 版本的设备。
    • 在工作配置文件模式下于 Android Enterprise 中注册且运行 Android 8.0 或更高版本的设备上:
      • 发送的密码将锁定工作配置文件。设备不会被锁定。
      • 如果未发送密码,或者发送的密码不符合密码要求,并且尚未对工作配置文件设置任何密码:设备将被锁定。
      • 如果未发送密码,或者发送的密码不符合密码要求,但已对工作配置文件设置密码:工作配置文件将被锁定,但设备不会被锁定。
  • 通知(响铃): 在 Android 设备上播放声音。

  • 重新启动: 重新启动 Windows 10 和 Windows 11 设备。对于 Windows Tablet 和 PC,此时将显示消息“System will reboot soon”(系统很快将重新启动),重新启动将在之后的 5 分钟内发生。

  • 请求使用/停止使用 AirPlay 镜像: 在受监督的 iOS 设备上启动和停止 AirPlay 镜像。

  • 重新启动/关闭: 立即重新启动或关闭受监督的 iOS 设备。

  • 吊销: 禁止设备连接到 XenMobile Server。

  • 吊销/授权(iOS、macOS): 执行与“选择性擦除”相同的操作。吊销后,可以重新向设备授权以进行重新注册。

  • 响铃: 如果设备处于丢失模式,响铃将在受监督的 iOS 设备上播放声音。声音将持续播放,直至您将设备从丢失模式中删除或者用户禁用声音。

  • 选择性擦除: 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。选择性擦除后,用户可以重新注册设备。

    • 选择性擦除 Android 设备不会断开设备与 Device Manager 及企业网络的连接。要阻止设备访问 Device Manager,还必须吊销设备证书。
    • 选择性擦除 Android 设备也会吊销设备。只有在重新授权设备或从控制台中删除设备后,才能重新注册设备。
    • 对于使用工作配置文件(COPE 设备)的 Android Enterprise 完全托管设备,您可以在选择性擦除操作删除工作配置文件后执行完全擦除。或者,也可以使用相同的用户名重新注册设备。重新注册设备会重新创建工作配置文件。
    • 如果启用了 Samsung Knox API,选择性擦除设备还将删除 Samsung Knox 容器。
    • 对于 iOS 和 macOS 设备,此命令将删除通过 MDM 安装的任何配置文件。
    • 在 Windows 设备上执行的选择性擦除还将删除当时已登录的任何用户的配置文件文件夹的内容。选择性擦除不会删除您通过配置向用户提供的任何 Web 剪辑。要删除 Web 剪辑,用户需要手动取消注册其设备。不能重新注册选择性擦除的设备。
  • 解锁: 清除设备被锁定时向其发送的通行码。此命令不解锁设备。

管理 > 设备中,设备详细信息页面还将列出设备安全属性。这些属性包括“强 ID”、“锁定设备”、“激活锁绕过”以及平台类型的其他信息。完全擦除设备字段包括用户的 PIN 代码。擦除设备后,用户必须输入该代码。如果用户忘记了该代码,您可以在此处查找。

Android 设备的安全操作

安全操作 Android(Android Enterprise 设备除外) Android Enterprise (BYOD) Android Enterprise(公司拥有)
应用程序锁定
应用程序擦除
完全擦除
查找 是:对于运行 Android 6.0+ 的设备,定位操作要求用户在注册过程中授予定位权限。用户可以选择不授予定位权限。如果用户在注册过程中不授予该权限,XenMobile 会在发送定位命令时再次申请定位权限。 是:对于运行 Android 6.0+ 的设备,定位操作要求用户在注册过程中授予定位权限。用户可以选择不授予定位权限。如果用户在注册过程中不授予该权限,XenMobile 会在发送定位命令时再次申请定位权限。 是:对于运行 Android 6.0+ 的设备,定位操作要求用户在注册过程中授予定位权限。用户可以选择不授予定位权限。如果用户在注册过程中不授予该权限,XenMobile 会在发送定位命令时再次申请定位权限。
锁定
锁定并重置密码
通知(响铃)
吊销
选择性擦除

iOS 和 macOS 设备的安全操作

安全操作 iOS macOS
激活锁绕过
应用程序锁定
应用程序擦除
ASM 部署计划激活锁
清除限制
启用/禁用丢失模式
启用/禁用跟踪
完全擦除
查找
锁定
响铃
请求使用/停止使用 AirPlay 镜像
重新启动/关闭
吊销/授权
选择性擦除
解锁

Windows 设备的安全操作

安全操作 Windows Tablet 10
查找
锁定
锁定并重置密码
重新启动
吊销
响铃
选择性擦除
擦除

本文的其余部分提供执行各种安全操作的步骤。也可以自动执行某些操作。有关详细信息,请参阅自动化操作

锁定 iOS 设备

您可以锁定丢失的 iOS 设备,同时在设备锁屏界面上显示消息和电话号码。运行 iOS 7 及更高版本的设备支持此功能。

要在锁定的设备上显示消息和电话号码,请在 XenMobile 控制台中将通行码策略设置为 true。用户也可以手动在设备上启用通行码。

  1. 单击管理 > 设备。此时将显示设备页面。

    “设备”页面图

  2. 选择要锁定的 iOS 设备。

    选中某个设备旁边的复选框时,选项菜单将在设备列表上方显示。可以单击列表中的某个项目以在此列表的右侧显示选项菜单。

    选项菜单图

    选项菜单图

  3. 在选项菜单中,选择安全。此时将显示安全操作对话框。

    “安全操作”对话框图

  4. 单击锁定。此时将显示安全操作确认对话框。

    “安全操作”确认图

  5. (可选)键入将显示在设备锁屏界面上的消息和电话号码。

    对于运行 iOS 7 及更高版本的 iPad:iOS 会将“丢失的 iPad”字样附加到您在消息字段中键入的内容后。

    对于运行 iOS 7 及更高版本的 iPhone:如果将消息字段留空,并提供电话号码,Apple 将在设备锁屏界面上显示消息“呼叫所有者”。

  6. 单击锁定设备

从 XenMobile 控制台中删除设备

重要提示:

从 XenMobile 控制台中删除设备时,托管应用程序和数据仍保留在设备上。要从设备中删除托管应用程序和数据,请参阅本文后面的“删除设备”部分。

要从 XenMobile 控制台中删除某个设备,请转至管理 > 设备,选择一个托管设备,然后单击删除

“删除”选项示意图

选择性擦除设备

  1. 转至管理 > 设备,选择一个托管设备,然后单击安全

  2. 安全操作中,单击选择性擦除

  3. 仅限 Android 设备:要断开设备与企业网络的连接,请在擦除设备后,在安全操作中,单击吊销

    要在擦除之前撤回选择性擦除请求,请在安全操作中,单击取消选择性擦除

删除设备

此过程将从设备中删除托管应用程序和数据,并从 XenMobile 控制台的设备列表中删除设备。可以使用 Endpoint Management 公共 REST API 批量删除设备。

  1. 转至管理 > 设备,选择一个托管设备,然后单击安全

  2. 单击选择性擦除。系统提示时,单击执行选择性擦除

  3. 要验证擦除命令是否成功,请刷新管理 > 设备。在模式列中,琥珀色的 MDM 和 MAM 指示擦除命令成功。

    成功擦除命令图

  4. 管理 > 设备中,选择设备,然后单击删除。系统提示时,再次单击删除

锁定、解锁、擦除或取消擦除应用程序

  1. 转至管理 > 设备,选择一个托管设备,然后单击安全

  2. 安全操作中,单击应用程序操作。

    还可以使用安全操作对话框检查已禁用或从 Active Directory 中删除其帐户的用户的设备状态。如果存在“应用程序解锁”操作或“应用程序取消擦除”操作,则表明应用程序已被锁定或擦除。

应用程序擦除和取消擦除

  1. 转至管理 > 设备。选择设备

  2. 应用程序擦除
    • 单击安全 > 应用程序擦除。出现一个包含以下消息的对话框:是否确实要对此设备执行应用程序擦除? 单击应用程序擦除
  3. 应用程序取消擦除
    • 单击安全 > 应用程序取消擦除。出现一个包含以下消息的对话框:是否确实要对此设备执行应用程序取消擦除? 单击设备应用程序取消擦除
  4. 在设备上打开 Secure Hub,然后单击应用商店

  5. 启动 Secure Hub。

将 iOS 设备置于丢失模式

XenMobile 丢失模式设备属性将 iOS 设备置于丢失模式。与 Apple 托管丢失模式不同,XenMobile 丢失模式不要求用户执行以下任一操作来启用定位其设备:配置查找我的 iPhone/iPad 设置或为 Citrix Secure Hub 启用定位服务。

在 XenMobile 丢失模式下,只有 XenMobile Server 能够解锁设备。(与此相反,如果您使用 XenMobile 设备锁定功能,用户可以使用您提供的 PIN 代码直接解锁设备。

要启用或禁用丢失模式,请转至管理 > 设备,选择受监督的 iOS 设备,并单击安全。然后,单击启用丢失模式禁用丢失模式

丢失模式选项图

如果单击启用丢失模式,请键入设备处于丢失模式时要在设备上显示的信息。

要在设备上显示的信息图

可使用以下任何方法来检查丢失模式状态:

  • 安全操作窗口中,确认按钮是否为禁用丢失模式
  • 管理 > 设备常规选项卡上的安全下方 ,查看最后一次“启用丢失模式”或“禁用丢失模式”操作。

“常规”选项卡的示意图

  • 管理 > 设备中的属性选项卡上 ,确认已启用 MDM 丢失模式设置的值是否正确。

“已启用 MDM 丢失模式”设置图

如果在 iOS 设备上启用 XenMobile 丢失模式,XenMobile 控制台也会更改,如下所示:

  • 配置 > 操作中,操作列表不包括这些自动化操作:吊销设备选择性擦除设备完全擦除设备
  • 管理 > 设备中,安全操作列表不再包括吊销选择性擦除设备的操作。您仍可以根据需要使用安全操作来执行完全擦除操作。

对于运行 iOS 7 及更高版本的 iPad:iOS 会将“丢失的 iPad”字样附加到您在安全操作屏幕的消息中输入的内容后。

对于运行 iOS 7 及更高版本的 iPhone:如果将消息留空,并提供一个电话号码,Apple 将在设备锁屏界面上显示消息“呼叫所有者”。

绕过 iOS 激活锁

激活锁是一项“查找我的 iPhone/iPad”功能,用于阻止重新激活丢失或被盗的受监督设备。激活锁需要用户的 Apple ID 和密码,之后用户才能禁用“查找我的 iPhone/iPad”、擦除设备或重新激活设备。对于组织拥有的设备,绕过激活锁是(例如)重置或重新分配设备的必要操作。

要启用激活锁,请配置并部署 XenMobile MDM 选项设备策略。之后可以从 XenMobile 控制台管理设备,而不需要用户的 Apple 凭据。要绕过激活锁的 Apple 凭据要求,请从 XenMobile 控制台发出“激活锁绕过”安全操作。

例如,如果用户在执行完全擦除操作之前或之后归还了丢失的手机或设置了设备:手机提示输入 iTunes 帐户凭据时,可以通过从 XenMobile 控制台发出“激活锁绕过”安全操作来绕过该设置。

激活锁绕过的设备要求

  • iOS 7.1(最低版本)
  • 通过 Apple Configurator 或 Apple DEP 进行监督
  • 配置了 iCloud 帐户
  • 已启用“查找我的 iPhone/iPad”
  • 已在 XenMobile 中注册
  • “MDM 选项”设备策略(启用了激活锁)已部署到设备

要在发出设备的完全擦除操作之前绕过激活锁,请执行以下操作:

  1. 转至管理 > 设备,选择设备,单击安全,然后单击激活锁绕过
  2. 擦除设备。激活锁屏幕在设备设置过程中不显示。

要在发出设备的完全擦除操作之后绕过激活锁,请执行以下操作:

  1. 重置或擦除设备。激活锁屏幕在设备设置过程中显示。
  2. 转至管理 > 设备,选择设备,单击安全,然后单击激活锁绕过
  3. 轻按设备上的“返回”按钮。此时将显示主屏幕。

请谨记以下几点:

  • 建议您的用户不要禁用“查找我的 iPhone/iPad”。请勿从设备执行完全擦除操作。在这些情况下,系统将提示用户输入 iCloud 帐户密码。验证帐户后,用户在擦除所有内容和设置后将看不到“激活 iPhone/iPad”屏幕。
  • 对于具有生成的激活锁绕过码并且启用了激活锁的设备:如果在执行完全擦除操作后无法绕过“激活 iPhone/iPad”页面,则不需要从 XenMobile 中删除设备。您或用户可以联系 Apple 技术支持人员来直接解锁设备。
  • 确认硬件清单过程中,XenMobile 将查询设备中是否存在激活锁绕过码。如果绕过码可用,设备会将其发送到 XenMobile。之后,要从设备中删除绕过码,请从 XenMobile 控制台发送“激活锁绕过”安全操作。此时,XenMobile Server 和 Apple 将具有解锁设备所需的绕过码。
  • “激活锁绕过”安全操作依赖 Apple 服务的可用性。如果该操作无法运行,您可以按如下所示解锁设备。在设备上,手动输入 iCloud 帐户的凭据。或者,将“用户名”字段留空,并在“密码”字段中键入绕过码。要查找绕过码,请转至管理 > 设备,选择设备,单击编辑,然后单击属性激活锁绕过码显示在安全信息下。