针对iOS第三方应用的MAM SDK策略
介绍第三方iOS应用的MAM SDK策略。在添加应用程序时,可以直接在策略XML文件中或在Citrix Endpoint Management控制台中更改策略设置。
应用网络访问
网络访问
注意:
隧道- Web单点登录名字是安全浏览在设置。行为是一样的。
设置选项如下:
- 阻塞:应用程序使用的网络api失败。根据前面的指导方针,您应该优雅地处理这种失败。
- 不受限制的:所有网络呼叫都是直接进行的,不经过隧道。
- 隧道- Web单点登录:改写HTTP/HTTPS的URL地址。该选项只允许对HTTP和HTTPS流量进行隧道传输。的显著优势隧道- Web单点登录是HTTP和HTTPS流量的单点登录(SSO),也是PKINIT认证。在Android上,这个选项设置开销低,因此是网页浏览类型操作的首选选项。
身份验证
应用程序密码
如果在在美国,当应用程序启动或休眠一段时间后恢复时,需要输入PIN或密码才能解锁。默认值是在.
若要为所有应用程序配置不活动计时器,请设置INACTIVITY_TIMER价值以分钟为单位客户属性在设置选项卡。不活动定时器的缺省值为60分钟。要禁用不活动定时器,以便只有在应用程序启动时才出现PIN或密码提示,请将该值设置为零。
注意:
如果您选择安全的离线对于“加密密钥”策略,则自动启用此策略。
最大脱机时间(小时)
定义应用程序在不重新确认应用程序授权和从Citrix Endpoint Management刷新策略的情况下可以运行的最长时间。到期时,如果需要,可能会触发登录到服务器。默认值是168小时(7天)。最小周期是1小时。
应用程序日志
默认的日志输出
确定默认情况下移动生产力应用程序诊断日志功能使用的输出媒体。可能是文件、控制台或两者都有。默认值是文件.
默认日志级别
控制移动生产力应用程序诊断日志功能的默认冗长。每个级别都包含较低值的级别。可能的水平范围包括:
- 0 -无日志记录
- 1 -严重错误
- 2 -错误
- 3 -警告
- 4 .信息信息
- 详细的信息信息
- 6到15 -调试级别1到10
默认值是级别4(信息性消息)。
最大日志文件
限制移动生产力应用程序诊断日志功能在滚转前保留的日志文件数量。最低是2。最大的是8。缺省值为2。
最大日志文件大小
限制移动生产力应用程序诊断日志功能在滚转前保留的日志文件的大小(以兆为单位)。最小值为1mb,最大值为5mb。默认值为2mb。
屏蔽日志中的url
如果在,从一个应用程序拦截和重定向系统或控制台日志到移动生产力应用程序诊断设施。如果从,应用程序对系统或控制台日志的使用不会被拦截。
默认值是在.
阻止应用程序日志
如果在,禁止应用程序使用移动生产力应用程序诊断日志功能。如果从,应用程序日志被记录,并可能通过使用安全枢纽电子邮件支持功能收集。默认值是从.
应用程序交互
剪切和复制
阻止、允许或限制此应用程序的剪贴板剪切和复制操作限制,复制的剪贴板数据被放置在一个私有的剪贴板中,只对应用程序可用。默认值是限制.
粘贴
阻止、允许或限制此应用程序的剪贴板粘贴操作限制,粘贴的剪贴板数据来自一个私有剪贴板,只对应用程序可用。默认值是不受限制的.
文档交换(打开)
阻止、允许或限制此应用程序的文档交换操作限制在美国,文档只能与其他应用程序交换。
如果不受限制的,设置“启用加密策略”为在这样用户就可以在未包装的应用程序中打开文档。如果接收应用程序未被包装或已禁用加密,Citrix Endpoint Management将解密文档。默认值是限制.
受限开放例外列表
当文档交换(打开)策略为限制,一个应用程序可以与这个逗号分隔的非托管应用程序id列表共享文档,即使Document exchange(Open In)策略是限制和启用加密为在.默认的例外列表允许Office 365应用程序:
com.microsoft.Office.Word、com.microsoft.Office.Excel com.microsoft.Office。演示文稿、com.microsoft.onenote com.microsoft.onenoteiPad com.microsoft.Office.Outlook
该策略只支持Office 365应用程序。
警告:
一定要考虑到此策略的安全影响。例外列表允许内容在非托管应用程序和MAM SDK环境之间传输。
入站文档交换(打开)
阻止、限制或允许此应用程序的入站文档交换操作限制在美国,文档只能与其他应用程序交换。默认值是不受限制的.
如果阻塞或限制,您可以使用入站文档交换白名单策略来指定可以将文档发送到此应用程序的应用程序。
注意:
“入站文档交换白名单”策略只支持iOS 12系统的设备。
选项:不受限制的,阻塞,或限制
应用程序的URL方案
iOS应用程序可以发送URL请求到其他已注册的应用程序,以处理特定的方案(如“http://”)。这个工具为应用程序提供了一种将请求帮助的请求传递给另一个应用程序的机制。该策略用于过滤传入该应用程序进行处理的方案(即入站url)。默认值为空,意味着所有注册的应用程序URL方案都被阻止。
策略应该格式化为一个以逗号分隔的模式列表,其中每个模式前面可以加“+”或减“-”。入站url将按照列出的顺序与模式进行比较,直到找到匹配为止。一旦匹配,所采取的行动由前缀决定。
- 一个负的“-”前缀阻止URL被传递到这个应用程序。
- 一个加号“+”前缀允许URL被传递到应用程序中进行处理。
- 如果模式中没有提供" + "或" - ",则假定" + "(允许)。
- 如果入站URL不匹配列表中的任何模式,则阻止该URL。
下表包含了App URL方案的示例:
| 计划 | 需要URL方案的应用程序 | 目的 |
|---|---|---|
| ctxmobilebrowser | 安全Web - | 允许Secure Web处理来自其他应用程序的HTTP: url |
| ctxmobilebrowsers | 安全Web - | 允许安全Web处理来自其他应用程序的HTTPS: url。 |
| ctxmail | 安全邮件- - - | 允许安全邮件处理mailto:来自其他应用程序的url。 |
| COL-G2M | 进行交流, | 允许一个包装的GoToMeeting应用程序来处理会议请求。 |
| ctxsalesforce | Citrix Salesforce - | 允许Citrix for Salesforce处理Salesforce请求。 |
| wbx | 网讯 | 允许包装的WebEx应用程序处理会议请求。 |
应用程序交互(出站URL)
允许url
iOS应用程序可以发送URL请求到其他已经注册的应用程序,以处理特定的方案(如“http://”).这个工具提供了一种机制,让一个应用程序将请求帮助的请求传递给另一个应用程序。这个策略用于过滤从这个应用程序传递给其他应用程序进行处理的url(即出站url)。
策略应该格式化为一个以逗号分隔的模式列表,其中每个模式前面可以加“+”或减“-”。出站url将按照列出的顺序与模式进行比较,直到找到匹配为止。一旦匹配,所采取的行动由前缀决定。一个负的“-”前缀阻止URL被传递到另一个应用程序。一个正的“+”前缀允许URL被传递到另一个应用程序处理。如果模式中既没有" + "也没有- " - ",则假定" + "(允许)。用“=”分隔的一对值表示替换,其中第一个字符串的出现被第二个字符串替换。您可以使用正则表达式“^”前缀来搜索字符串,将其锚定到URL的开头。如果出站URL不匹配列表中的任何模式,它将被阻止。
合规
设备密码
如果在在美国,当设备启动或休眠一段时间后恢复时,需要输入PIN或密码才能解锁。使用苹果文件加密加密应用程序数据需要设备密码。设备上所有应用程序的数据都是加密的。默认值是从.
阻止越狱或根化
如果在当设备越狱或root时,该应用程序会被锁定。如果从在美国,即使设备已越狱或已安装root,该应用程序也可以运行。默认值是在.
设备不一致的行为
允许您在设备不遵守加密的最低遵从性要求时选择处理措施。选择允许应用程序应用程序正常运行。选择警告后允许应用程序为应用程序运行后,警告出现。选择块阻止应用程序运行。默认值是警告后允许应用程序.
删除应用程序数据锁定
当应用程序被锁定时,擦除数据并重置应用程序。如果从当应用程序被锁定时,应用程序数据不会被擦除。默认值是从.
应用程序可能因为以下原因而被锁定:
- 失去用户的应用程序授权
- 应用程序订阅了
- 帐号删除
- 安全中心卸载
- 太多的应用程序认证失败
- 检测到越狱设备(每个策略设置)
- 由于其他管理操作,设备处于锁定状态
投票时间(分钟)
当一个应用程序启动时,MAM SDK框架轮询Citrix端点管理来确定当前的应用程序和设备状态。假设运行Endpoint Management的服务器可以被访问,框架返回关于设备的锁定/擦除状态和应用程序的启用/禁用状态的信息。无论服务器是否可以被访问,后续轮询将基于活动轮询周期间隔调度。期限到期后,将再次尝试新的轮询。默认值是60分钟(1小时)。
重要的是:
只在高风险应用程序中设置较低的值,否则可能影响性能。
应用程序更新宽限期(小时)
定义在系统发现应用程序更新可用后,应用程序可以继续使用的宽限期。默认值是168小时(7天)。
注意:
不建议使用0值,因为它会立即阻止正在运行的应用被使用,直到更新被下载和安装(不会对用户发出任何警告)。这可能会导致用户被迫退出应用程序(可能会丢失工作)以遵守所需的更新。
应用程序的限制
重要的是:
一定要考虑到阻止应用程序访问或使用手机功能的策略的安全影响。当这些政策从,内容可以在非托管应用程序和安全环境之间传播。
块相机
如果在,防止应用程序直接使用相机硬件。默认值是从.
块照片库
如果在,阻止应用程序访问设备上的照片库。默认值是在.
块麦克风记录
如果在,防止应用程序直接使用麦克风硬件。默认值是在.
块听写
如果在,防止应用程序直接使用听写服务。默认值是在.
块位置服务
如果在,阻止应用程序使用位置服务组件(GPS或网络)。默认值是从为保证邮件。
块短信组成
如果在,防止应用程序使用用于从应用程序发送短信/文本消息的短信撰写功能。默认值为在.
块iCloud
如果在,禁止应用程序使用iCloud存储和共享设置和数据。
注意:
iCloud数据文件受块文件备份策略控制。
默认值是在.
块查找
如果在该功能可以在字典、iTunes、app Store、电影放映时间、附近地点等中搜索高亮显示的文本。默认值是在.
块文件备份
如果在,防止数据文件通过iCloud或iTunes进行备份。默认值是在.
块AirPrint
如果在,阻止应用程序使用AirPrint功能将数据打印到支持AirPrint的打印机。默认值是在.
块空投
如果在,阻止应用程序使用AirDrop。默认值是在.
屏蔽Facebook和Twitter的api
如果在,阻止应用程序使用iOS的Facebook和Twitter api。默认值是在.
模糊的屏幕内容
如果在在美国,当用户切换应用程序时,屏幕会变得模糊。该策略防止iOS记录屏幕内容和显示缩略图。默认值是在.
阻止第三方键盘(仅限iOS 11及更高版本)
如果在,防止应用程序在iOS 8+上使用第三方键盘扩展。默认值是在.
应用geofence
中心点经度
应用程序被限制操作的点/半径地球围栏中心点的经度(X坐标)。当在配置的地理围栏之外操作时,应用程序保持锁定。
应该用有符号的度格式(DDD.dddd)表示,例如“-31.9635”。西经应该以负号开头。默认值是0.
中心点纬度
应用程序被限制操作的点/半径地球围栏中心点的纬度(Y坐标)。当在配置的地理围栏之外操作时,应用程序保持锁定。
应该用有符号的程度格式(DDD.dddd)表示,例如" 43.06581 "。南方纬度应该以负号开头。默认值是0.
半径
应用程序被限制操作的地球围栏的半径。当在配置的地理围栏之外操作时,应用程序保持锁定。
应该用米来表示。当设置为零时,地球围栏被禁用。当块位置服务策略启用时,地理围栏无法正常工作。默认是0(禁用)。