客户属性

客户端属性包含直接提供给用户设备上的安全集线器的信息。您可以使用这些属性来配置高级设置，例如Citrix PIN。您可以从Citrix支持获得客户端属性。

客户端属性可能会随着Secure Hub的每个版本而变化，偶尔也会对客户端应用程序进行更改。有关更常用配置的客户端属性的详细信息，请参见客户端属性引用，本文稍后将介绍。

1. 在端点管理控制台中，单击右上角的齿轮图标。的设置页面出现。

2. 下客户端,点击客户属性．的客户属性页面出现。您可以从该页添加、编辑和删除客户端属性。

   

添加客户端属性

1. 点击添加．的添加新的客户端属性页面出现。

   

2. 配置这些设置:

   • 关键:在列表中，单击要添加的属性键。重要的是:请联系Citrix技术支持。你可以要求一个特殊的钥匙。
   • 值:所选属性的值。
   • 名称:属性的名称。
   • 描述:财产的描述。

3. 点击保存．

编辑客户端属性

1. 在客户属性表中，选择要编辑的客户端属性。

   选择客户端属性旁边的复选框，打开客户端属性列表上方的选项菜单。单击列表中的任何其他位置，打开列表右侧的选项菜单。

2. 点击编辑．的编辑客户端属性页面出现。

   

3. 如有需要，请更改以下资料:

   • 关键:您不能更改此字段。
   • 值:属性值。
   • 名称:属性名称。
   • 描述:属性描述。

4. 点击保存保存更改或取消保持财产不变。

删除客户端属性

1. 在客户属性表中，选择要删除的客户端属性。

   通过选择每个属性旁边的复选框，可以选择多个要删除的属性。

2. 点击删除．出现一个确认对话框。点击删除一次。

客户端属性引用

端点管理的预定义客户端属性及其默认设置如下所示。

• ALLOW_CLIENTSIDE_PROXY

  • 显示名称:ALLOW_CLIENTSIDE_PROXY

  • 如果您的用户需要使用他们在iOS手机上配置的代理，请将此自定义策略设置为真正的．

    有些用户可能已经配置了代理> Wi-Fi >配置代理在他们的设备上。如果安全的集线器未为这些用户打开，请使它们执行其中一个操作：

    • 从设备中删除代理配置，然后重新启动安全集线器。
    • 将设备连接到另一个Wi-Fi网络。安全集线器重新验证后，它会得到ALLOW_CLIENTSIDE_PROXY财产和打开。

  • 如果ALLOW_CLIENTSIDE_PROXY是假（默认值）和用户在其设备上配置代理，端点管理检测代理。但是，安全集线器不使用代理并显示错误消息。如果设备连接到启用代理的接入点或路由器，则端点管理不会检测到代理。为了最高的安全性，我们建议您使用证书固定。有关为安全集线器启用证书固定的信息，请参阅证书寄．

  • 要配置此自定义客户端策略，请执行>客户端属性，添加自定义键ALLOW_CLIENTSIDE_PROXY，并设置价值．

• CONTAINER_SELF_DESTRUCT_PERIOD

  • 显示名称:MDX容器自毁周期

  • 自毁阻止访问安全中心和托管应用程序后，指定的天数不活动。超过时间限制后，应用程序将不再可用。清除数据包括清除每个安装应用程序的应用程序数据，包括应用程序缓存和用户数据。

    非活动时间是指服务器在一段特定的时间内没有收到验证用户的身份验证请求。假设这个属性是30天。如果用户超过30天未使用该应用，则该策略生效。

    此全局安全策略适用于iOS和Android平台，是对现有应用锁擦除策略的增强。

  • 配置该全局策略，执行>客户端属性并添加自定义键CONTAINER_SELF_DESTRUCT_PERIOD．
  • 取值范围:天数

• DEVICE_LOGS_TO_IT_HELP_DESK

  • 显示名称：发送设备日志到IT帮助台
  • 此属性启用或禁用将日志发送到IT帮助台的功能。
  • 可能的值:真正的或假
  • 默认值：假

• DISABLE_LOGGING

  • 显示名称:禁用日志

  • 使用此属性可以阻止用户从其设备收集和上传日志。此属性禁用安全集线器和所有已安装MDX应用程序的日志记录。用户不能从支持页面发送任何应用程序的日志。即使出现了邮件组合对话框，也没有附加日志。一条消息表明日志记录已被禁用。此设置还阻止您在终端管理控制台为安全集线器和MDX应用程序更新日志设置。

    当此属性设置为时真正的，安全集线器阻止应用程序日志来真正的．因此，当应用新策略时，MDX应用程序将停止日志记录。

  • 可能的值:真正的或假
  • 默认值：假(日志记录未被禁用)

• ENABLE_CRASH_REPORTING

  • 显示名称:启用崩溃报告
  • 如果真正的， Citrix收集崩溃报告和诊断，以帮助解决安全中心的iOS和Android问题。如果假，不收集数据。
  • 可能的值:真正的或假
  • 默认值：真正的

• ENABLE_CREDENTIAL_STORE

  • 显示名称:启用凭据存储
  • 启用证书存储意味着Android或iOS用户在访问Citrix移动办公应用程序时输入一次密码。无论是否启用Citrix PIN，都可以使用凭证存储。如果您不启用Citrix PIN，用户输入他们的Active Directory密码。端点管理仅支持在安全集线器和公共商店应用程序的凭据存储中使用Active Directory密码。如果将Active Directory密码与凭据存储一起使用，那么端点管理不支持PKI身份验证。
  • “安全邮件”中的自动注册要求您将此属性设置为真正的．
  • 要配置此自定义客户端策略，请执行>客户端属性，添加自定义键ENABLE_CREDENTIAL_STORE，并设置价值来真正的．

• 启用_passCode_Auth.

  • 显示名称:启用“Citrix PIN Authentication”

  • 此属性允许您打开Citrix PIN功能。使用Citrix PIN或密码，用户会被提示定义一个PIN来代替Active Directory密码。当启用ENABLE_PASSWORD_CACHING或端点管理使用证书身份验证时，此设置将自动启用。

    对于离线认证，Citrix PIN在本地进行验证，用户可以访问他们请求的应用程序或内容。对于在线身份验证，Citrix PIN或密码将解锁Active Directory密码或证书，然后将该密码或证书发送给Endpoint Management执行身份验证。

    如果ENABLE_PASSCODE_AUTH为true, ENABLE_PASSWORD_CACHING为false，则在线身份验证总是提示输入密码，因为Secure Hub不保存密码。

  • 可能的值:真正的或假
  • 默认值：假

• ENABLE_PASSWORD_CACHING

  • 显示名称:启用用户密码缓存
  • 此属性允许在移动设备上本地缓存Active Directory密码。当您将此属性设置为真正的，则还必须设置启用_passCode_Auth.财产真正的．启用用户密码缓存后，Endpoint Management会提示用户设置Citrix PIN或密码。
  • 可能的值:真正的或假
  • 默认值：假

• ENABLE_TOUCH_ID_AUTH

  • 显示名称:启用触摸ID认证

  • 对于支持触摸ID身份验证的设备，此属性可以在设备上禁用或禁用触摸ID身份验证。要求：

    用户设备必须已启用Citrix PIN或LDAP。当关闭LDAP认证时(例如只使用证书认证)，用户需要设置一个Citrix PIN。在这种情况下，端点管理需要Citrix PIN，即使客户端属性启用_passCode_Auth.是假．

    集启用_passCode_Auth.来假这样当用户启动一个应用程序时，他们必须响应一个提示来使用Touch ID。

  • 可能的值:真正的或假
  • 默认值：假

• ENABLE_WORXHOME_CEIP

  • 显示名称:启用安全中心CEIP
  • 此属性将打开客户体验改进计划。该特性定期向Citrix发送匿名配置和使用数据。这些数据帮助Citrix提高端点管理的质量、可靠性和性能。
  • 值:真正的或假
  • 默认值：假

• 启用_worxhome_ga.

  • 显示名称：在安全集线器中启用Google Analytics
  • 此属性启用或禁用在安全集线器中使用谷歌Analytics收集数据的能力。更改此设置时，仅当用户下次登录到安全集线器时才设置新值。
  • 可能的值:真正的或假
  • 默认值：真正的

• ENCRYPT_SECRETS_USING_PASSCODE

  • 显示名称:使用密码加密机密

  • 这个属性将敏感数据存储在设备的秘密仓库中，而不是基于平台的本地存储，如iOS钥匙链。此属性支持对密钥工件进行强加密，并增加用户熵。用户熵是用户生成的只有用户知道的随机PIN码。

    Citrix建议启用此属性，以帮助在用户设备上提供更高的安全性。因此，用户会遇到更多的Citrix PIN认证提示。

  • 可能的值:真正的或假
  • 默认值：假

• 不活动_Timer.

  • 显示名称:inactive Timer

  • 这个属性定义了用户在不提示输入Citrix PIN或密码的情况下，让设备处于不活动状态的时间。要为MDX应用程序启用此设置，请将“应用程序密码”设置为“开”。如果“应用程序密码”设置为“关闭”，用户将被重定向到“安全中心”执行完整的身份验证。当您更改此设置时，该值将在下一次提示用户进行身份验证时生效。

    在iOS上，不活动计时器也管理对安全中心的MDX和非MDX应用程序的访问。

  • 取值范围:任意正整数
  • 默认值：15(分钟)

• ON_FAILURE_USE_EMAIL

  • 显示名称:失败使用Email将设备日志发送到IT帮助台
  • 此属性启用或禁用使用电子邮件向IT部门发送设备日志的能力。
  • 可能的值:真正的或假
  • 默认值：真正的

• PASSCODE_EXPIRY

  • 显示名称:PIN更改要求
  • 此属性定义Citrix PIN或密码的有效时间，在此时间之后，用户将被迫更改其Citrix PIN或密码。当您更改此设置时，只有当当前的Citrix PIN或密码过期时才会设置新值。
  • 可能的值:1通过99推荐。要消除PIN重置，请将该值设置为一个较高的数字(例如，100,000,000,000)。如果您最初将到期期限设置为1到99天之间，然后在此期间更改为较大的数字:pin在初始期限结束时仍然到期，但此后不会再次到期。
  • 默认值：90(天)

• PASSCODE_HISTORY

  • 显示名称:PIN History
  • 此属性定义用户在更改其Citrix PIN或密码时不能重用的先前使用的Citrix PIN或密码的数量。当您更改此设置时，将在下一次用户重置其Citrix PIN或密码时设置新值。
  • 可能的值:1通过99
  • 默认值：5

• PASSCODE_MAX_ATTEMPTS

  • 显示名称:PIN Attempts
  • 此属性定义了在提示完整身份验证之前，用户可以进行的Citrix PIN或PassCode尝试的错误尝试。用户成功执行完整身份验证后，系统会提示他们创建Citrix引脚或密码。
  • 取值范围:任意正整数
  • 默认值：15

• PASSCODE_MIN_LENGTH

  • 显示名称:PIN长度要求
  • 此属性定义Citrix pin的最小长度。
  • 可能的值:4通过10
  • 默认值：6

• PASSCODE_STRENGTH

  • 显示名称:PIN强度要求
  • 此属性定义Citrix PIN或密码的强度。当您更改此设置时，将在下次提示用户进行身份验证时提示用户创建一个Citrix PIN或密码。
  • 可能的值:低，媒介，高,或强大的
  • 默认值：媒介
  • 基于PASSCODE_TYPE设置的每个强度设置的密码规则如下:

数字密码规则:

字母数字密码规则:

• PASSCODE_TYPE

  • 显示名称:PIN类型

  • 此属性定义用户是否能够定义数字Citrix PIN或字母数字密码。当您选择数字，用户只能使用号码(Citrix PIN)。当您选择字母数字，用户可以使用字母和数字的组合(密码)。

    如果更改此设置，用户必须在下次被提示进行身份验证时设置新的Citrix PIN或密码。

  • 可能的值:数字或字母数字
  • 默认值：数字

• REFRESHINTERVAL

  • 显示名称：refreshInterval
  • 默认情况下，Endpoint Management每3天为自动发现的服务器（广告）引导。要更改刷新间隔，请转至>客户端属性，添加自定义键REFRESHINTERVAL，并设置价值到小时数。
  • 默认值：72小时(3天)

• SEND_LDAP_ATTRIBUTES

  • 对于只部署mam的Android、iOS或macOS设备:您可以配置端点管理，以便使用电子邮件凭证注册安全Hub的用户会自动注册到安全邮件中。因此，用户不需要提供额外的信息，也不需要采取额外的步骤来注册安全邮件。
  • 配置全局客户端策略，请执行>客户端属性，添加自定义键SEND_LDAP_ATTRIBUTES，并设置价值如下。
  • 值:userPrincipalName = $ {user.userprincipalname}, sAMAccountNAme = ${用户。displayName = $ {user.displayName} samaccountname},邮件= $ {user.mail}
  • 属性值指定为宏，类似于MDM策略。

  • 下面是此属性的帐户服务响应示例:

    <属性值=“userPrincipalName = user@site.com, sAMAccountName = eng1 displayName =用户\ test1,邮件= user@site.com \, user@site.com " name = " SEND_LDAP_ATTRIBUTES " / >

  • 对于此属性，Endpoint Management将逗号字符视为字符串终止符。因此，如果属性值包含逗号，则在其前面加上反斜杠。反斜杠防止客户端将嵌入的逗号解释为属性值的结尾。表示反斜杠字符“\ \”．

• HIDE_THREE_FINGER_TAP_MENU

  • 此属性未设置或设置为时假，用户只需用三根手指轻击他们的设备，就可以进入隐藏的功能菜单。隐藏功能菜单允许用户重置应用程序数据。将此属性设置为真正的禁用用户访问隐藏功能菜单。
  • 配置全局客户端策略，请执行>客户端属性，添加自定义键HIDE_THREE_FINGER_TAP_MENU，并设置价值．

• TUNNEL_EXCLUDE_DOMAINS

  • 显示名称：隧道排除域
  • 默认情况下，MDX从微VPN隧道中排除了一些移动应用sdk和应用程序用于各种功能的服务端点。例如，这些端点包括不需要通过企业网络路由的服务，如谷歌Analytics、Citrix Cloud服务和Active Directory服务。使用此客户端属性可覆盖被排除的默认域列表。
  • 配置全局客户端策略，请执行>客户端属性，添加自定义键TUNNEL_EXCLUDE_DOMAINS，并设置价值．

  • 取值范围:若要将默认列表替换为希望从隧道中排除的域，请输入一个以逗号分隔的域后缀列表。要在隧道中包含所有域，请输入没有一个．默认为：

    app.launchdarkly.com, cis.citrix.com, cis-staging.citrix.com, cis-test.citrix.com, clientstream.launchdarkly.com, crashlytics.com, events.launchdarkly.com, fabric.io, firehose.launchdarkly.com,hockeyapp.net, mobile.launchdarkly.com, pushreg.xm.citrix.com, rttf.citrix.com, rttf-staging.citrix.com, rttf-test.citrix.com, ssl.m.giftsix.com, stream.launchdarkly.com