用户帐户、角色和注册
您可以在 XenMobile® 控制台的管理选项卡和设置页面中配置用户帐户、角色和注册。除非另有说明,否则本文提供了以下任务的步骤。
- 用户帐户和组:
- 在管理 > 用户中,手动添加用户帐户或使用 .csv 预配文件导入帐户并管理本地组。
- 在设置 > 工作流中,使用工作流管理用户帐户的创建和删除。
- 用户帐户和组的角色
- 在设置 > 基于角色的访问控制中,将预定义角色或权限集分配给用户和组。这些权限控制用户对系统功能的访问级别。有关详细信息,请参阅使用 RBAC 配置角色。
- 在设置 > 通知模板中,创建或更新要在自动化操作、注册以及发送给用户的标准通知消息中使用的通知模板。您可以配置通知模板以通过三种不同的渠道发送消息:Secure Hub、SMTP 或 SMS。有关详细信息,请参阅:创建和更新通知模板。
- 注册安全模式和邀请
- 在设置 > 注册中,配置最多七种注册安全模式并发送注册邀请。每种注册安全模式都有其自身的安全级别以及用户注册其设备必须执行的步骤。
- 在 XenMobile 中为用户注册启用 AutoDiscovery
添加、编辑、解锁或删除本地用户帐户
您可以手动将本地用户帐户添加到 XenMobile,也可以使用预配文件导入帐户。有关从预配文件导入用户帐户的步骤,请参阅导入用户帐户。
-
在 XenMobile 控制台中,单击管理 > 用户。此时将显示用户页面。
-
单击显示筛选器以筛选列表。
添加本地用户帐户
-
在用户页面上,单击添加本地用户。此时将显示添加本地用户页面。
-
配置以下设置:
- 用户名: 键入名称,这是一个必填字段。名称中可以包含空格以及大写和小写字母。
-
密码: 键入可选的用户密码。密码长度必须至少为 14 个字符,并满足以下所有条件:
- 至少包含两个数字
- 至少包含一个大写字母和一个小写字母
- 至少包含一个特殊字符
- 不包含字典词或受限词,例如您的 Citrix® 用户名或电子邮件地址
- 不包含三个以上连续重复字符或键盘模式,例如 1111、1234 或 asdf
-
角色: 在列表中,单击用户角色。有关角色的详细信息,请参阅使用 RBAC 配置角色。可能的选项包括:
- ADMIN
- DEVICE_PROVISIONING
- SUPPORT
- USER
- 成员身份: 在列表中,单击要将用户添加到的组。
-
用户属性: 添加可选的用户属性。对于要添加的每个用户属性,单击添加并执行以下操作:
- 用户属性: 在列表中,单击一个属性,然后在属性旁边的字段中键入用户属性。
- 单击完成以保存用户属性,或单击取消。
要删除现有用户属性,请将鼠标悬停在包含该属性的行上,然后单击右侧的 X。该属性将立即删除。
要编辑现有用户属性,请单击该属性并进行更改。单击完成以保存更改的列表,或单击取消以使列表保持不变。
-
单击保存。
编辑本地用户帐户
-
在用户页面上的用户列表中,单击以选择一个用户,然后单击编辑。此时将显示编辑本地用户页面。
-
根据需要更改以下信息:
- 用户名: 您无法更改用户名。
- 密码: 更改或添加用户密码。
- 角色: 在列表中,单击用户角色。
- 成员身份: 在列表中,单击要添加或编辑用户帐户的组。要从组中删除用户帐户,请清除组名称旁边的复选框。
-
用户属性: 执行以下操作之一:
- 对于要更改的每个用户属性,单击该属性并进行更改。单击完成以保存更改的列表,或单击取消以使列表保持不变。
- 对于要添加的每个用户属性,单击添加并执行以下操作:
- 用户属性: 在列表中,单击一个属性,然后在属性旁边的字段中键入用户属性。
- 单击完成以保存用户属性,或单击取消。
- 对于要删除的每个现有用户属性,将鼠标悬停在包含该属性的行上,然后单击右侧的 X。该属性将立即删除。
-
单击保存以保存更改,或单击取消以使用户保持不变。
解锁本地用户帐户
-
在用户页面上的用户帐户列表中,单击以选择一个用户帐户。
-
单击解锁本地用户。此时将显示一个确认对话框。
-
单击解锁以解锁用户帐户,或单击取消以使用户保持不变。
删除本地用户帐户
- 在用户页面上的用户帐户列表中,单击以选择一个用户帐户。
您可以通过选中每个用户帐户旁边的复选框来选择多个用户帐户进行删除。
-
单击删除。此时将显示一个确认对话框。
-
单击删除以删除用户帐户,或单击取消。
删除 Active Directory 用户
要一次删除一个或多个 Active Directory 用户,请选择这些用户,然后单击删除。
如果您删除的用户已注册设备,并且您希望重新注册这些设备,请在重新注册之前删除这些设备。要删除设备,请转至管理 > 设备,选择设备,然后单击删除。
导入用户帐户
您可以从名为预配文件的 .csv 文件导入本地用户帐户和属性,您可以手动创建该文件。有关预配文件格式的详细信息,请参阅预配文件格式。
注意:
- 对于本地用户,请在导入文件中使用域名和用户名。例如,指定 username@domain。如果您创建或导入的本地用户用于 XenMobile 中的托管域,则该用户无法使用相应的 LDAP 凭据进行注册。
- 如果将用户帐户导入 XenMobile 内部用户目录,请禁用默认域以加快导入过程。请记住,禁用域会影响注册,因此请在内部用户导入完成后重新启用默认域。
- 本地用户可以是用户主体名称 (UPN) 格式。但是,Citrix 建议您不要使用托管域。例如,如果 example.com 是托管域,请勿使用此 UPN 格式创建本地用户:user@example.com。
准备好预配文件后,请按照以下步骤将文件导入 XenMobile。
-
在 XenMobile 控制台中,单击管理 > 用户。此时将显示用户页面。
-
单击导入本地用户。此时将显示导入预配文件对话框。
-
为要导入的预配文件格式选择用户或属性。
-
单击浏览,然后导航到文件位置,选择要使用的预配文件。
-
单击导入。
预配文件格式
您可以手动创建预配文件,以将用户帐户和属性导入 XenMobile。有效格式如下:
-
用户预配文件字段:
user;password;role;group1;group2 -
用户属性预配文件字段:
user;propertyName1;propertyValue1;propertyName2;propertyValue2
注意:
- 使用分号 (;) 分隔预配文件中的字段。如果字段的一部分包含分号,请使用反斜杠字符 (\) 对其进行转义。例如,将属性
propertyV;test;1;2在预配文件中键入为propertyV\\;test\\;1\\;2。- 角色的有效值为预定义角色 USER、ADMIN、SUPPORT 和 DEVICE_PROVISIONING,以及您定义的任何其他角色。
- 使用句点字符 (.) 作为分隔符来创建组层次结构。请勿在组名称中使用句点。
- 在属性预配文件中,属性值使用小写。数据库区分大小写。
用户预配内容示例
条目 user01;pwd\\;o1;USER;myGroup.users01;myGroup.users02;myGroup.users.users01 表示:
-
用户:
user01 -
密码:
pwd;01 -
角色:
USER -
组:
myGroup.users01myGroup.users02myGroup.users.users.users01
另一个示例,AUser0;1.password;USER;ActiveDirectory.test.net 表示:
-
用户:
AUser0 -
密码:
1.password -
角色:
USER -
组:
ActiveDirectory.test.net
用户属性预配内容示例
条目 user01;propertyN;propertyV\;test\;1\;2;prop 2;prop2 value 表示:
-
用户:
user01 -
属性 1
-
名称:
propertyN -
值:
propertyV;test;1;2
-
名称:
-
属性 2:
-
名称:
prop 2 -
值:
prop2 value
-
名称:
配置注册安全模式
您可以配置设备注册安全模式,以指定 XenMobile 中设备注册的安全级别和通知模板。
XenMobile 提供七种注册安全模式,每种模式都有其自身的安全级别以及用户注册其设备必须执行的步骤。您可以在 XenMobile Server 控制台的设置 > 注册页面中配置注册安全模式。
您可以将某些模式在自助服务门户上提供。用户可以从门户生成注册链接,从而注册其设备。iOS、iPadOS、macOS、Android Enterprise 和旧版 Android 用户可以选择从门户向自己发送注册邀请。注册邀请不适用于 Windows 设备。
您可以从管理 > 注册邀请页面发送注册邀请。有关信息,请参阅发送注册邀请。
注意:
如果您计划使用自定义通知模板,则必须在配置注册安全模式之前设置模板。有关通知模板的详细信息,请参阅创建或更新通知模板。
-
在 XenMobile 控制台上,单击控制台右上角的齿轮图标。此时将显示设置页面。
-
单击注册。此时将显示注册页面,其中包含所有可用注册安全模式的表格。默认情况下,所有注册安全模式均已启用。
-
选择列表中的任何注册安全模式以对其进行编辑。然后,将该模式设置为默认模式、禁用该模式或允许用户通过自助服务门户访问。
注意:
当您选中注册安全模式旁边的复选框时,选项菜单将显示在注册安全模式列表上方。当您单击列表中的其他任何位置时,选项菜单将显示在列表的右侧。
从以下注册安全模式中选择:
- User name + Password
- High Security
- Invitation URL
- Invitation URL + PIN
- Invitation URL + Password
- Two Factor authentication
- User name + PIN
您可以使用注册邀请将注册限制为仅限受邀用户。要发送注册邀请,您只能使用 Invitation URL、Invitation URL + PIN 或 Invitation URL + Password 注册安全模式。对于使用 User name + Password、Two-factor authentication 或 User name + PIN 注册的设备,用户必须在 Secure Hub 中手动输入其凭据。
您可以使用一次性 PIN (OTP) 注册邀请作为双因素身份验证解决方案。OTP 注册邀请控制用户可以注册的设备数量。OTP 邀请不适用于 Windows 设备。
编辑注册安全模式
-
在 “注册” 列表中,选择一个注册安全模式,然后单击 “编辑”。此时将显示 “编辑注册模式” 页面。您选择的模式决定了显示的选项。
-
根据需要更改以下信息:
-
过期时间: 键入过期截止日期,在此日期之后用户无法注册其设备。此值显示在用户和组注册邀请配置页面中。
键入 0 可防止邀请过期。
- 天数: 在列表中,单击 “天数” 或 “小时数” 以与您在 “过期时间” 中输入的过期截止日期相对应。
-
最大尝试次数: 键入用户在被锁定在注册过程之外之前可以尝试注册的次数。此值显示在用户和组注册邀请配置页面中。
键入 0 可允许无限次尝试。
- PIN 长度: 键入一个数字以设置生成的 PIN 的长度。
-
数字: 在列表中,单击 “数字” 或 “字母数字” 以选择 PIN 类型。
-
通知模板:
- 注册 URL 模板: 在列表中,单击要用于注册 URL 的模板。例如,“注册邀请”模板会向用户发送电子邮件或短信。该方法取决于您配置模板的方式,该模板允许用户在 XenMobile 中注册其设备。有关通知模板的详细信息,请参阅创建或更新通知模板。
- 注册 PIN 模板: 在列表中,单击要用于注册 PIN 的模板。
- 注册确认模板: 在列表中,单击要用于通知用户已成功注册的模板。
-
-
单击 “保存”。
将注册安全模式设置为默认模式
将注册安全模式设置为默认模式后,除非您选择其他注册安全模式,否则该模式将用于所有设备注册请求。如果未将任何注册安全模式设置为默认模式,则必须为每个设备注册创建注册请求。
注意:
您只能将 “仅用户名 + 密码”、“双因素” 或 “用户名 + PIN” 作为默认注册安全模式。
-
选择默认注册安全模式,即 “用户名 + 密码”、“双因素” 或 “用户名 + PIN”。
要将模式用作默认模式,请先启用它。
-
单击 “默认”。所选模式现在是默认模式。如果任何其他注册安全模式已设置为默认模式,则该模式将不再是默认模式。
禁用注册安全模式
禁用注册安全模式会使其无法使用,无论是用于组注册邀请还是在自助服务门户上。您可以通过禁用一个注册安全模式并启用另一个注册安全模式来更改用户注册其设备的方式。
-
选择一个注册安全模式。
您无法禁用默认注册安全模式。如果您要禁用默认注册安全模式,则必须首先删除其默认状态。
-
单击 “禁用”。注册安全模式不再启用。
在自助服务门户上启用注册安全模式
在自助服务门户上启用注册安全模式可让用户在 XenMobile 中单独注册其设备。
注意:
- 注册安全模式必须启用并绑定到通知模板,才能在自助服务门户上可用。
- 您一次只能在自助服务门户上启用一个注册安全模式。
-
选择一个注册安全模式。
-
单击 “自助服务门户”。您选择的注册安全模式现在可在自助服务门户上供用户使用。自助服务门户上已启用的任何模式将不再对用户可用。
添加或删除组
您可以在 XenMobile 控制台的以下页面中的 “管理组” 对话框中管理组:“用户”、“添加本地用户” 或 “编辑本地用户”。没有组编辑命令。
如果您删除一个组,请记住,删除该组对用户帐户没有影响。删除组只是删除用户与该组的关联。用户还会失去对与该组关联的交付组提供的应用程序或配置文件的访问权限;但是,任何其他组关联保持不变。如果用户未与任何其他本地组关联,则他们将与顶层关联。
添加本地组
-
执行以下操作之一:
- 在 “用户” 页面上,单击 “管理本地组”。
- 在 “添加本地用户” 页面或 “编辑本地用户” 页面上,单击 “管理组”。
此时将显示 “管理组” 对话框。
-
在组列表下方,键入新组名称,然后单击加号 (+)。用户组将添加到列表中。
-
单击 “关闭”。
删除组
删除组对用户帐户没有影响。删除组只是删除用户与该组的关联。用户还会失去对与该组关联的交付组提供的应用程序或配置文件的访问权限。但是,任何其他组关联保持不变。如果用户未与任何其他本地组关联,则他们将与顶层关联。
-
执行以下操作之一:
- 在 “用户” 页面上,单击 “管理本地组”。
- 在 “添加本地用户” 页面或 “编辑本地用户” 页面上,单击 “管理组”。
此时将显示 “管理组” 对话框。
-
在 “管理组” 对话框中,单击要删除的组。
-
单击组名称右侧的垃圾桶图标。此时将显示确认对话框。
-
单击 “删除” 以确认操作并删除组。
重要:
您无法撤消此操作。
-
在 “管理组” 对话框中,单击 “关闭”。
创建和管理工作流
您可以使用工作流来管理用户帐户的创建和删除。在使用工作流之前,请确定组织中哪些人有权批准用户帐户请求。然后,您可以使用工作流模板来创建和批准用户帐户请求。
首次设置 XenMobile 时,您需要配置工作流电子邮件设置,这些设置必须在您可以使用工作流之前进行设置。您可以随时更改工作流电子邮件设置。这些设置包括电子邮件服务器、端口、电子邮件地址以及创建用户帐户的请求是否需要批准。
您可以在 XenMobile 中的两个位置配置工作流:
- 在 XenMobile 控制台的 “工作流” 页面中。在 “工作流” 页面上,您可以配置多个工作流以用于应用程序配置。在“工作流”页面上配置工作流时,您可以在配置应用程序时选择工作流。
- 在应用程序中配置应用程序连接器时,您提供工作流名称,然后配置可以批准用户帐户请求的人员。请参阅将应用程序添加到 XenMobile。
您可以为用户帐户的经理审批分配最多三个级别。如果您需要其他人批准用户帐户,您可以使用其姓名或电子邮件地址搜索并选择他们。当 XenMobile 找到该人员时,您可以将其添加到工作流中。工作流中的所有人员都会收到批准或拒绝新用户帐户的电子邮件。
-
在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示 “设置” 页面。
-
单击 “工作流”。此时将显示 “工作流” 页面。
-
单击 “添加”。此时将显示 “添加工作流” 页面。
-
配置以下设置:
- 名称: 键入工作流的唯一名称。
- 描述: (可选)键入工作流的描述。
- 电子邮件审批模板: 在列表中,选择要分配的电子邮件审批模板。您可以在 XenMobile 控制台的 “设置” 下的 “通知模板” 部分中创建电子邮件模板。当您单击此字段右侧的眼睛图标时,您将看到正在配置的模板的预览。
-
经理审批级别: 在列表中,选择此工作流所需的经理审批级别数。默认值为 1 级。可能的选项包括:
- 不需要
- 1 级
- 2 级
- 3 级
- 选择 Active Directory 域: 在列表中,选择要用于工作流的相应 Active Directory 域。
- 查找其他必需的审批者: 在搜索字段中键入姓名,然后单击 “搜索”。姓名源自 Active Directory。
- 当姓名出现在字段中时,选中姓名旁边的复选框。姓名和电子邮件地址将显示在 “选定的其他必需审批者” 列表中。
- 要从列表中删除姓名,请执行以下操作之一:
- 单击 “搜索” 以查看所选域中所有人员的列表。
- 在搜索框中键入完整或部分姓名,然后单击 “搜索” 以限制搜索结果。
- “选定的其他必需审批者” 列表中的人员在搜索结果列表中其姓名旁边有复选标记。滚动列表并清除要删除的每个姓名旁边的复选框。
- 要从列表中删除姓名,请执行以下操作之一:
-
单击 “保存”。创建的工作流将显示在 “工作流” 页面上。
创建工作流后,您可以查看工作流详细信息、查看与工作流关联的应用程序或删除工作流。创建工作流后,您无法编辑工作流。如果您需要具有不同审批级别或审批者的工作流,请创建另一个工作流。
查看详细信息和删除工作流
-
在 “工作流” 页面上,在现有工作流列表中,选择一个特定的工作流。为此,请单击表中的行或选中工作流旁边的复选框。
-
要删除工作流,请单击 “删除”。此时将显示确认对话框。再次单击 “删除”。
重要:
您无法撤消此操作。