设备策略和应用策略

端点管理设备和应用策略使您能够优化因素之间的平衡，例如:

• 企业安全
• 企业数据和资产保护
• 用户隐私
• 高效和积极的用户体验

这些因素之间的最佳平衡可能会有所不同。例如，与其他行业(如教育和零售)相比，高度规范的组织(如金融)需要更严格的安全控制，在这些行业中，用户生产力是首要考虑因素。

用户可以根据用户的身份、设备、位置和连接类型进行集中控制和配置策略，限制企业内容被恶意利用。如果设备丢失或被盗，您可以远程禁用、锁定或删除业务应用程序和数据。总体结果是一个提高员工满意度和生产力的解决方案，同时确保安全和行政控制。

本文的主要焦点是与安全相关的许多设备和应用程序策略。

处理安全风险的策略

端点管理设备和应用程序策略解决了许多可能造成安全风险的情况，例如:

• 用户试图从不可信的设备和不可预测的地点访问应用程序和数据
• 用户在设备之间传递数据
• 未经授权的用户试图访问数据
• 一名离开公司的用户使用了自己的设备(BYOD)
• 用户放错设备
• 用户必须始终安全地访问网络
• 用户管理自己的设备，必须将工作数据与个人数据分开
• 设备处于空闲状态，需要重新验证用户证书
• 用户复制和粘贴敏感内容到不受保护的电子邮件系统
• 用户接收带有敏感数据的电子邮件附件或网页链接的设备，该设备包含个人和公司账户

这些情况涉及到保护公司数据时需要关注的两个主要方面，即:

• 在休息的时候
• 在运输过程中

端点管理如何保护静止的数据

存储在移动设备上的数据称为静止数据。终端管理使用iOS和Android平台提供的设备加密。端点管理通过一些特性补充了基于平台的加密，比如通过Citrix MAM SDK提供的遵从性检查。

端点管理中的移动应用程序管理(MAM)功能支持对Citrix移动生产力应用程序、mdx启用的应用程序及其相关数据进行完整的管理、安全和控制。

Mobile Apps SDK通过使用Citrix MDX应用程序容器技术，支持端点管理部署应用程序。容器技术将企业应用和数据与用户设备上的个人应用和数据分离开来。数据分离允许您使用全面的基于策略的控制来保护任何定制开发的、第三方或BYO移动应用程序。

端点管理还包括应用程序级加密。端点管理单独加密存储在任何启用mdx的应用程序中的数据，而不需要设备密码，也不需要管理设备来执行策略。

• 在iOS设备上，端点管理使用强fips验证的加密服务和库，如keychain。
• OpenSSL为各种设备平台提供了经过fips验证的模块。OpenSSL进一步保护动态数据和管理和注册设备所需的证书。
• 端点管理使用MAM SDK共享仓库API在具有相同keychain访问组的应用程序之间共享管理的内容。例如，您可以通过已注册的应用程序共享用户证书，以便应用程序从安全库中获取证书。
• 端点管理使用平台提供的设备加密。
• 在应用程序级别的MAM控件会在每个应用程序启动时执行一个合规性检查，以验证设备加密是否启用。

端点管理如何保护传输中的数据

在用户的移动设备和内部网络之间移动的数据称为传输中的数据。MDX应用程序容器技术通过Citrix网关为您的内部网络提供特定于应用程序的VPN访问。

假设员工希望通过移动设备访问安全企业网络中的以下资源:

• 企业邮件服务器
• 托管在企业内部网上的启用ssl的web应用程序
• 存储在文件服务器或Microsoft SharePoint上的文档

MDX允许移动设备通过特定于应用程序的微VPN访问所有这些企业资源。每台设备都有自己的专用微型VPN隧道。

Micro VPN功能不需要设备范围的VPN，这可能会危及不可信移动设备的安全性。因此，内部网络不会暴露在可以感染整个公司系统的恶意软件或攻击之下。企业移动应用和个人移动应用可以在一台设备上共存。

为了提供更强的安全级别，您可以使用Alternate Citrix Gateway策略配置启用mdx的应用程序。该策略用于认证和应用微VPN会话。您可以使用带有微VPN会话需求策略的备用Citrix Gateway，强制应用重新认证到指定网关。这样的网关通常具有不同的(更高的保证)身份验证需求和流量管理策略。

除了安全特性，微VPN特性还提供数据优化技术，包括压缩算法。压缩算法保证:

• 只传输少量的数据
• 转账是在最快的时间内完成的。速度提高了用户体验，这是移动设备采用的一个关键成功因素。

定期重新评估您的设备策略，例如以下情况:

• 由于设备操作系统更新的发布，新版本的端点管理包含新的或更新的策略

• 添加设备类型时:

  尽管许多策略对所有设备都是通用的，但每个设备都有一组特定于其操作系统的策略。因此，你可能会发现iOS、Android和Windows设备之间的差异，甚至来自不同制造商的Android设备之间的差异。

• 使端点管理操作与企业或行业更改保持同步，例如新的公司安全策略或法规遵从性
• 当新版本的MAM SDK包含新的或更新的策略时
• 当你添加或更新应用程序时
• 根据新应用程序或新需求为用户集成新工作流

应用策略和用例场景

尽管您可以选择哪些应用程序通过Secure Hub可用，但您可能还希望定义这些应用程序如何与端点管理交互。使用应用的政策:

• 如果您希望用户在经过一定时间后进行身份验证。
• 如果您想为用户提供对其信息的脱机访问。

以下部分包括一些策略和示例用法。

• 使用MAM SDK可以在iOS和Android应用中集成的第三方策略列表，请参见老妈SDK概述．
• 有关每个平台的所有MDX策略的列表，请参见MDX政策一览．

身份验证策略

• 设备密码

  为什么使用这个策略:启用设备密码策略，以确保只有当设备启用了设备密码时，用户才能访问MDX应用程序。该特性确保在设备级别使用iOS加密。

  用户的例子:启用该策略意味着用户必须在其iOS设备上设置密码才能访问MDX应用程序。

• 应用程序密码

  为什么使用这个策略:启用应用程序密码策略，在用户打开应用程序并访问数据之前，让安全中心提示用户通过被管理应用程序的身份验证。用户可能通过他们的Active Directory密码、Citrix PIN或iOS TouchID进行身份验证，这取决于你在什么下配置设置>客户端属性在Endpoint Management控制台中。您可以在Client Properties中设置一个非活动计时器，这样Secure Hub在计时器到期前不会提示用户重新验证到托管应用程序。

  应用程序密码和设备密码不同。将设备密码策略推送到设备后，Secure Hub会提示用户配置密码或PIN。用户必须解锁他们的设备时，他们打开设备或当不活动计时器到期。有关更多信息，请参见端点管理中的身份验证．

  用户的例子:当在设备上打开Citrix Secure Web应用程序时，如果不活跃期已过，用户必须输入Citrix PIN才能浏览网站。

• 微VPN会话需要

  为什么使用这个策略:如果应用程序需要访问web应用程序(web服务)才能运行，请启用此策略。然后，在使用应用程序之前，端点管理提示用户连接到企业网络或有一个活动的会话。

  用户的例子:当用户试图打开一个启用了微VPN会话要求策略的MDX应用程序时:他们不能使用该应用程序，直到他们连接到网络。连接必须使用蜂窝网络或Wi-Fi服务。

• 最大离线期间

  为什么使用这个策略:使用此策略作为额外的安全选项。该策略保证用户在离线运行应用时，需要重新确认应用授权和刷新策略。

  用户的例子:如果配置了一个MDX应用的最大离线时间，则该用户可以离线打开并使用该应用，直到离线定时器到期。此时，用户必须通过蜂窝网络或Wi-Fi服务重新连接网络，并在收到提示时重新进行身份验证。

各种各样的访问策略

• App更新宽限期(小时)

  为什么使用这个策略:应用程序更新宽限期是指用户在应用商店发布新版本的应用程序之前的可用时间。到期时，用户必须更新应用程序，才能访问应用程序中的数据。在设置此值时，请牢记移动员工的需求，特别是那些在国际旅行时可能会经历长时间离线的用户。

  用户的例子:在应用商店中加载新版本的安全邮件，然后设置6小时的应用更新宽限期。在被路由到应用商店之前，Secure Hub用户有6个小时的时间来升级Secure Mail。

• 活动轮询周期(分钟)

  为什么使用这个策略:活动轮询周期是Endpoint Management检查应用程序何时执行安全操作(如应用锁和应用擦除)的时间间隔。

  用户的例子:如果设置“活跃轮询周期策略”为60分钟，再下发“App Lock”命令，则锁定时间会在上次轮询后的60分钟内。

设备行为策略不符合要求

当设备不符合最低合规要求时，用户可以通过“不合规设备行为策略”选择采取的动作。信息,请参阅设备不一致的行为．

应用交互策略

为什么使用这些策略:通过应用交互策略控制MDX应用到设备上其他应用的文件和数据流。例如，你可以阻止一个用户:

• 将数据转移到容器外的个人应用程序
• 将数据从容器外部粘贴到容器应用程序

用户的例子:您将应用程序交互策略设置为Restricted，这意味着用户可以将文本从Secure Mail复制到Secure Web。用户不能将这些数据复制到容器外的个人Safari或Chrome浏览器。此外，用户可以从Secure Mail打开附件文档到Citrix Files或quickkedit。用户无法在自己的个人文件查看应用程序中打开容器外的附加文档。

应用程序限制政策

为什么使用这些策略:使用应用程序限制策略来控制用户在打开MDX应用程序时可以访问哪些特性。这些限制有助于确保应用程序运行时不会发生恶意活动。iOS和Android的应用限制策略略有不同。例如，在iOS中，当MDX应用程序运行时，你可以阻止对iCloud的访问。在Android中，你可以在MDX应用程序运行时停止NFC的使用。

用户的例子:假设在MDX应用中开启了对iOS设备的口述限制策略，导致MDX应用运行时，用户无法使用iOS键盘上的口述功能。因此，用户口述的数据不会传递给不安全的第三方云口述服务。当用户在容器外打开他们的个人应用程序时，口述选项仍然对用户的个人通信可用。

应用上网策略

为什么使用这些策略:使用应用程序网络访问策略来提供从设备上容器中的MDX应用程序访问位于公司网络内的数据的访问。隧道- Web单点登录选项只允许对HTTP和HTTPS流量进行隧道访问。该选项为HTTP和HTTPS通信以及PKINIT身份验证提供单点登录(SSO)。

用户的例子:当用户打开一个启用了隧道的MDX应用程序时，浏览器不需要用户启动VPN就会打开一个intranet站点。应用通过微VPN技术自动访问内网站点。

应用地理定位和地理围栏策略

为什么使用这些策略:控制应用地理位置和地理围栏的策略包括中心点经度、中心点纬度和半径。这些策略包含对MDX应用程序中特定地理区域的数据的访问。这些策略通过纬度和经度坐标的半径定义一个地理区域。当用户尝试在该半径范围之外使用应用时，应用将被锁定，用户无法访问该应用的数据。

用户的例子:用户可以在其办公位置访问合并和收购数据。当他们离开办公地点时，这些敏感数据变得无法访问。

安全邮件应用策略

• 背景网络服务

  为什么使用这个策略:安全邮件的后台网络服务使用STA (Secure Ticket Authority)， STA是SOCKS5的有效代理，通过Citrix Gateway进行连接。与微型VPN相比，STA支持长寿命连接，并提供更好的电池寿命。因此，STA对于不断连接的邮件非常理想。Citrix建议您为安全邮件配置这些设置。NetScaler for XenMobile向导自动为安全邮件设置STA。

  用户的例子:当STA未启用时，Android用户打开安全邮件，系统会提示他们打开VPN，而VPN在设备上仍然是打开的。启用STA功能后，Android用户打开Secure Mail, Secure Mail可以无缝连接，无需VPN。

• 默认同步间隔

  为什么使用这个策略:该设置指定用户第一次访问安全邮件时同步到安全邮件的默认邮件天数。两周的邮件比三天的邮件需要更长的同步时间。要同步的数据越多，用户的设置过程就越长。

  用户的例子:假设当用户第一次设置安全邮件时，默认同步间隔设置为三天。用户可以在收件箱中查看当前到过去三天内收到的任何电子邮件。如果用户想查看超过三天的邮件，他们可以进行搜索。然后，安全邮件显示存储在服务器上的旧邮件。安装安全邮件后，每个用户都可以更改此设置以更好地满足他们的需要。

设备策略和用例行为

设备策略(有时称为MDM策略)决定端点管理如何管理设备。尽管许多策略对所有设备都是通用的，但每个设备都有一组特定于其操作系统的策略。下面的列表包括一些设备策略，并讨论如何使用它们。有关所有设备策略的列表，请参阅下面的文章设备的政策．

• 应用库存政策

  为什么使用这个策略:要查看用户安装的应用程序，需要将App库存策略部署到设备上。如果您没有部署该策略，您只能看到用户从应用商店安装的应用程序，而不是个人安装的应用程序。使用应用程序清单策略来阻止某些应用程序在企业设备上运行。

  用户的例子:使用mdm管理设备的用户不能禁用此功能。端点管理管理员可以看到用户个人安装的应用程序。

• 应用锁政策

  为什么使用这个策略:Android的应用锁定策略允许你将应用放在允许列表或阻止列表中。例如，对于允许的应用程序，您可以配置kiosk设备。通常情况下，应用锁定策略只部署在公司拥有的设备上，因为它限制了用户可以安装的应用程序。你可以设置一个覆盖密码，让用户访问被屏蔽的应用程序。

  用户的例子:假设你部署了一个应用程序锁定策略来阻止《愤怒的小鸟》应用程序。用户可以从谷歌Play安装《愤怒的小鸟》应用程序，但当他们打开应用程序时，一条消息告诉他们，他们的管理员已经阻止了该应用程序。

• 连接调度策略

  为什么使用这个策略:通过连接调度策略，Windows Mobile设备可以连接回Endpoint Management，实现MDM管理、应用推送和策略部署。对于Android、Android Enterprise和Chrome OS设备，请使用谷歌Firebase Cloud Messaging (FCM)。FCM控制到端点管理的连接。Scheduling选项包括:

  • 没有:手动连接。用户必须从其设备上的端点管理发起连接。Citrix不建议将此选项用于生产部署，因为它会阻止您将安全策略部署到设备。因此，用户不会收到新的应用程序或政策。的从来没有选项默认启用。

  • 每一个:在指定的时间间隔连接。当您发送安全策略(例如锁或擦除)时，端点管理将在下一次设备连接时在设备上处理该策略。

  • 定义表:在网络连接丢失后，端点管理尝试重新连接用户的设备到端点管理服务器。端点管理通过在您定义的时间框架内定期发送控制数据包来监视连接。

  用户的例子:您需要将密码策略部署到已登记的设备。调度策略确保设备定期连接回服务器，以收集新的策略。

• 凭证的政策

  为什么使用这个策略:凭据策略通常与网络策略一起使用，它允许您将用于身份验证的证书部署到需要证书身份验证的内部资源。

  用户的例子:通过部署网络策略，在设备上配置无线网络。Wi-Fi网络需要证书进行认证。Credentials策略部署一个证书，然后该证书存储在操作系统密钥存储中。然后，用户可以在连接到内部资源时选择证书。

• 外汇政策

  为什么使用这个策略:使用端点管理，您有两种交付microsoftexchangactivesync电子邮件的选择。

  • 安全邮件应用程序:通过使用您从公共应用程序商店或应用程序商店分发的安全邮件应用程序交付电子邮件。

  • 本地电子邮件应用程序:设备上的本地邮件客户端开启ActiveSync邮件。您可以使用宏从它们的Active Directory属性填充用户数据，例如$ {user.username}来填充用户名和$ {user.domain}来填充用户域。

  用户的例子:当您推送Exchange策略时，您将向设备发送Exchange Server详细信息。然后，Secure Hub提示用户进行身份验证，他们的电子邮件开始同步。

• 区位政策

  为什么使用这个策略:如果设备启用了安全Hub的GPS，则位置策略允许您在地图上对设备进行地理定位。部署此策略并从Endpoint Management发送定位命令之后，设备将返回位置坐标。

  用户的例子:部署“定位策略”且设备开启了GPS定位功能时:如果用户放置了设备，可以登录终端管理自助Portal，选择“定位”选项，在地图上查看设备的位置。用户选择是否允许安全中心使用位置服务。当用户自己注册设备时，不能强制使用位置服务。使用这种策略的另一个考虑因素是对电池寿命的影响。

• 密码策略

  为什么使用这个策略:密码策略允许您在被管理设备上强制使用PIN码或密码。该密码策略可以设置设备上的密码复杂度和超时时间。

  用户的例子:在将密码策略部署到被管理设备时，Secure Hub会提示用户配置密码或PIN。密码或PIN给用户访问他们的设备在启动或当不活动计时器到期。

• 配置文件删除政策

  为什么使用这个策略:假设您向一组用户部署了一个策略，然后必须从用户子集中删除该策略。您可以通过创建删除配置文件策略来删除指定用户的策略。然后，使用部署规则将概要文件删除策略仅部署到指定用户。

  用户的例子:当您将概要文件删除策略部署到用户设备时，用户可能不会注意到更改。例如，如果Profile删除策略删除了禁用设备摄像头的限制，那么用户不知道这个更改。考虑让用户知道更改何时会影响他们的用户体验。

• 限制政策

  为什么使用这个策略:限制策略提供了许多选项来锁定和控制被管理设备上的特性和功能。您可以为支持的设备启用数百个限制选项。例如，你可以:禁用设备上的摄像头或麦克风，执行漫游规则，并强制访问第三方服务，如应用商店。

  用户的例子:如果你在iOS设备上部署了限制，用户可能无法访问iCloud或苹果应用商店。

• 条款及条件保险单

  为什么使用这个策略:可能有必要告知用户管理设备的法律影响。此外，您可能希望确保当企业数据被推送到设备时，用户意识到安全风险。条款和条件文件允许您在用户注册之前发布规则和通知。

  用户的例子:用户在注册过程中查看条款和条件信息。如果他们拒绝接受这些条件，注册程序就会结束，他们就无法访问企业数据。您可以生成一份报告，提供给人力资源/法律/合规团队，以显示谁接受或拒绝了这些条款。

• VPN的政策

  为什么使用这个策略:使用VPN策略提供对使用旧VPN网关技术的后端系统的访问。该策略支持Cisco AnyConnect、Juniper、Citrix VPN等多种VPN提供商。如果VPN网关支持此选项，也可以将此策略链接到CA并按需启用VPN。

  用户的例子:启用VPN策略后，当用户访问内部域时，设备会打开一条VPN连接。

• Web剪辑策略

  为什么使用这个策略:如果要将直接打开网站的图标推送到设备，请使用Web剪辑策略。一个网页剪辑包含一个网站的链接，可以包括一个自定义的图标。在设备上，网页剪辑看起来像一个应用程序图标。

  用户的例子:用户可以点击网页剪辑图标来打开互联网网站以获得所需的服务。使用web链接比在浏览器中输入链接地址更方便。

• 网络策略

  为什么使用这个策略:通过配置网络策略，可以将Wi-Fi网络的SSID、认证数据、配置数据等详细信息部署到被管理设备上。

  用户的例子:部署网络策略时，设备会自动连接到Wi-Fi网络，并对用户进行认证，使用户能够接入网络。

• Windows信息保护策略

  为什么使用这个策略:使用WIP (Windows Information Protection)策略来防止企业数据的潜在泄漏。您可以指定需要Windows信息保护的应用程序在您设置的执行级别。例如，您可以阻止任何不适当的数据共享或在适当的数据共享中发出警告，并允许用户重写策略。您可以在记录日志并允许不适当的数据共享时以静默方式运行WIP

  用户的例子:假设您配置了WIP策略以阻止不适当的数据共享。如果用户将受保护的文件复制或保存到不受保护的位置，将出现类似如下的消息:不能将受保护的工作内容放置在此位置。

• 端点管理存储策略

  为什么使用这个策略:应用商店是一个统一的应用商店，管理员可以发布用户需要的所有企业应用和数据资源。管理员可以添加:

  • Web应用、SaaS应用、支持MAM SDK或mdx封装的应用
  • Citrix移动生产力应用程序
  • 原生移动应用，如。ipa或。apk文件
  • Apple App Store和谷歌Play应用程序
  • 网页链接
  • Citrix虚拟应用使用Citrix StoreFront发布

  用户的例子:在用户将他们的设备注册到端点管理后，他们通过Citrix Secure Hub应用程序访问应用商店，或者，如果使用Citrix工作区，通过工作空间。然后，用户可以看到所有可供他们使用的企业应用和服务。用户可以通过点击应用进行安装、数据访问、评分审核、应用商店更新下载等操作。