针对Android第三方应用程序的MDX策略
本文介绍了针对Android第三方应用的MDX策略。您可以在Citrix Endpoint Management控制台中更改策略设置。
身份验证
应用程序密码
如果在在美国,当应用程序启动或休眠一段时间后恢复时,需要输入PIN或密码才能解锁。默认值是在.
为所有应用程序配置不活动定时器,在客户端属性中设置INACTIVITY_TIMER值(单位为分钟)设置选项卡。默认的不活动定时器值是60分钟。要禁用不活动定时器,以便只有在应用程序启动时才出现PIN或密码提示,请将该值设置为零。
注意:
如果“加密密钥”策略选择“脱机安全”,则该策略将自动启用。
最大脱机时间(小时)
定义应用程序可以离线运行的最长时间,无需网络登录以重新确认授权和刷新策略。默认值是168小时(7天)。最短时间为1小时。
提醒用户在期限到期前30分钟、15分钟和5分钟登录。过期后,应用程序保持锁定,直到用户成功完成网络登录。
交替Citrix网关
注意:
端点管理控制台中的策略名称为交替NetScaler网关.
一个特定的备用Citrix网关(以前是NetScaler网关)的地址,它用于身份验证和使用该应用程序的微VPN会话。当与在线会话一起使用时,这是一个可选的策略,需要的策略强制应用程序重新验证到特定的网关。这样的网关通常具有不同的(更高的保证)身份验证要求和流量管理策略。如果为空,则始终使用服务器的默认值。缺省值为空。
设备安全
阻止越狱或根化
如果在当设备越狱或root时,该应用程序会被锁定。如果从在美国,即使设备已越狱或已安装root,该应用程序也可以运行。默认值是在.
要求设备锁
如果设备PIN或密码在美国,如果设备没有PIN或密码,该应用程序将被锁定。如果设备模式屏幕锁定,如果设备没有模式屏幕锁定设置,该应用程序将被锁定。如果从该应用程序被允许运行,即使设备没有PIN,密码,或模式屏幕锁定设置。默认值是从.
设备PIN或密码需要Android 4.1(果冻豆)的最低版本。将策略设置为设备PIN或密码阻止应用程序在旧版本上运行。
在Android M设备上设备PIN或密码而且设备模式屏幕锁定选项有相同的效果:使用这些选项中的任何一个,如果设备没有PIN、密码或模式屏幕锁定设置,应用程序将被锁定。
网络需求
需要无线网络
如果在在美国,当设备没有连接到Wi-Fi网络时,该应用程序会被锁定。如果从在美国,如果设备有活动连接,如4G/3G、局域网或Wi-Fi连接,该应用程序可以运行。默认值是从.
允许无线网络
以逗号分隔的允许的Wi-Fi网络列表。如果网络名称中包含非字母数字字符(包括逗号),则必须用双引号括起来。App只在连接到列出的网络之一时运行。如果为空,则允许所有网络。这不会影响到蜂窝网络的连接。缺省值为空。
各种各样的访问
应用程序更新宽限期(小时)
定义在系统发现应用程序更新可用后,可以使用该应用程序的宽限期。默认值是168小时(7天)。
注意:
不建议使用0值,因为它会立即阻止正在运行的应用被使用,直到更新被下载和安装(不会对用户发出任何警告)。这可能会导致运行应用程序的用户被迫退出应用程序(可能会丢失工作)以遵守所需的更新。
删除应用程序数据锁定
当应用程序被锁定时,擦除数据并重置应用程序。如果从当应用程序被锁定时,应用程序数据不会被擦除。默认值是从.
应用程序可能因为以下原因而被锁定:
- 失去用户的应用程序授权
- 应用程序订阅了
- 帐号删除
- 安全中心卸载
- 太多的应用程序认证失败
- 检测到越狱设备(每个策略设置)
- 由于其他管理操作,设备处于锁定状态
投票时间(分钟)
当一个应用程序启动时,MDX框架轮询Citrix端点管理以确定当前的应用程序和设备状态。假设运行Endpoint Management的服务器可以被访问,框架返回关于设备的锁定/擦除状态和应用程序的启用/禁用状态的信息。无论服务器是否可以被访问,后续轮询将基于活动轮询周期间隔调度。期限到期后,将再次尝试新的轮询。默认值是60分钟(1小时)。
重要的是:
只在高风险应用程序中设置较低的值,否则可能影响性能。
设备不一致的行为
允许您在设备不符合最低合规要求时选择处理措施。选择允许应用程序应用程序正常运行。选择警告后允许应用程序为应用程序运行后,警告出现。选择块阻止应用程序运行。默认值是警告后允许应用程序.
公共文件迁移
此策略仅在启用公共文件加密策略(从禁用来SecurityGroup或应用程序).此策略仅适用于现有的、未加密的公共文件,并指定何时对这些文件进行加密。默认值是写(RO / RW).
选项:
- 禁用.不加密现有文件。
- 写(RO / RW).仅在为仅写或读写访问而打开现有文件时对其进行加密。
- 任何.对以任何模式打开的现有文件进行加密。
注意:
- 覆盖的新文件或现有的未加密文件在每种情况下都会加密替换文件。
- 对现有的公共文件进行加密会使该文件对其他没有相同加密密钥的应用程序不可用。
安全组
如果希望Citrix Endpoint Management管理的所有移动应用程序彼此交换信息,请将此字段保留为空。定义一个安全组名来管理特定应用程序集(例如,财务或人力资源)的安全设置。
警告:
如果您更改了已有应用程序的此策略,用户必须删除并重新安装该应用程序才能应用此策略更改。
允许的安全网站域名
该策略仅对未被URL过滤策略排除的域有效。添加一个逗号分隔的全限定域名(FQDN)或DNS后缀列表,当文档交换受到限制时,这些域名将被重定向到安全Web应用程序。
如果此策略包含任何条目,那么当文档交换受到限制时,只有那些主机字段与列表中至少一个条目匹配的url(通过DNS后缀匹配)才会被重定向到安全Web应用程序。
所有其他url都被发送到默认的Android web浏览器(绕过文档交换限制策略)。缺省值为空。
应用程序交互
剪切和复制
阻止、允许或限制剪贴板剪切和复制此应用程序的操作限制,复制的剪贴板数据被放置在一个私有的剪贴板中,只对MDX应用程序可用。默认值是限制.
粘贴
阻止、允许或限制应用程序的剪贴板粘贴操作限制,粘贴的剪贴板数据来自只对MDX应用程序可用的私有剪贴板。默认值是不受限制的.
文档交换(打开)
阻止、允许或限制应用程序的文档交换操作限制,文档只能与其他MDX应用程序和在Restricted Open-In例外列表策略中指定的应用程序例外进行交换。如果不受限制的,将“私有文件加密策略”和“公共文件加密策略”设置为禁用这样用户就可以在未包装的应用程序中打开文档。默认值是限制.
受限开放例外列表
当文档交换(打开)策略为限制,这个Android意图列表被允许传递给非托管应用程序。在列表中添加过滤器需要熟悉Android的意图。过滤器可以指定动作、包、方案或任何组合。
例子
{action = android.intent.action.MAIN}{包= com.sharefile。mobile} {action=android.intent.action.DIAL scheme=tel}
谨慎
一定要考虑到此策略的安全影响。异常列表允许内容在非托管应用程序和MDX环境之间传输。
入站文档交换(打开)
阻止、限制或允许此应用程序的入站文档交换操作限制,文档只能与其他MDX应用程序交换。默认值是不受限制的.
如果阻塞或限制,您可以使用入站文档交换白名单策略来指定可以将文档发送到此应用程序的应用程序。有关其他策略交互的信息,请参阅块库策略。
选项:不受限制的,阻塞,或限制
应用程序的限制
重要的是:
一定要考虑到阻止应用程序访问或使用手机功能的策略的安全影响。当这些政策从,内容可以在非托管应用程序和安全环境之间传播。
块相机
如果在,防止应用程序直接使用相机硬件。默认值是在.
块画廊
如果在,阻止应用程序访问设备上的图库。默认值是从.此策略与策略入站文档交换(Open in)协同工作。
- 如果入站文档交换(打开)设置为限制,在托管应用程序中工作的用户不能从图库中附加图像,无论块图库设置如何。
- 如果入站文档交换(打开)设置为不受限制的,在托管应用程序中工作的用户体验如下:
- 如果块图库设置为,用户可以附加图像从.
- 如果块图库是,则阻止用户附加图像在.
块麦克风记录
如果在,防止应用程序直接使用麦克风硬件。默认值是在.
块位置服务
如果在,阻止应用程序使用位置服务组件(GPS或网络)。默认值是从为保证邮件。
块短信组成
如果在,防止应用程序使用用于从应用程序发送短信/文本消息的短信撰写功能。默认值为在.
块屏幕截图
如果在,防止用户在应用程序运行时截屏。此外,当用户切换应用程序时,模糊应用程序屏幕。默认值是在.
当使用Android的近场通信(NFC)功能时,一些应用程序在传送内容之前会自己截屏。要在包装的应用程序中启用该功能,请将块屏幕捕获策略更改为从.
块设备传感器
如果在,阻止应用程序使用设备传感器(如加速计、运动传感器和陀螺仪)。默认值是在.
块NFC
如果在,阻止应用程序使用近场通信(NFC)。默认值是在.
阻止应用程序日志
如果在,禁止应用程序使用移动生产力应用程序诊断日志功能。如果从,应用程序日志被记录,并可能通过使用安全枢纽电子邮件支持功能收集。默认值是从.
块印刷
如果在,防止应用程序打印数据。如果应用有共享命令,则必须将“文档交换(打开)”设置为限制或阻塞完全阻塞印刷。默认值是在.
应用网络访问
网络访问
注意:
隧道- Web单点登录名字是安全浏览在设置。行为是一样的。
设置选项如下:
- 使用之前的设置:默认为您在早期策略中设置的值。如果更改了此选项,则不应恢复到此选项。还要注意,在用户将应用程序升级到18.12.0或更高版本之前,对新策略的更改不会生效。
- 阻塞:应用程序使用的网络api将失败。根据前面的指导方针,您应该优雅地处理这种失败。
- 不受限制的:所有网络呼叫都是直接进行的,不经过隧道。
- tunneling -全VPN:所有来自被管理应用的流量都通过Citrix Gateway隧道。
- 隧道- Web单点登录:改写HTTP/HTTPS的URL地址。该选项只允许对HTTP和HTTPS流量进行隧道传输。的显著优势隧道- Web单点登录是HTTP和HTTPS流量的单点登录(SSO),也是PKINIT认证。在Android上,这个选项设置开销低,因此是网页浏览类型操作的首选选项。
- tunneling -全VPN + Web SSO:允许根据需要自动切换VPN模式。如果某个认证请求在特定的VPN模式下无法处理,导致网络请求失败,则会切换到另一种VPN模式进行重试。
如果其中一个隧道模式时,返回企业网络建立该初始模式的单个应用VPN隧道,并使用Citrix Gateway分离隧道设置。Citrix建议隧道全VPN用于使用客户端证书或端到端SSL到企业网络中的资源的连接。Citrix建议隧道- Web单点登录需要单点登录(SSO)的连接。
需要微VPN会话
如果是的,用户必须与企业网络有连接,并且有活动会话。如果没有,则不需要活动会话。默认值是使用之前的设置.对于新上传的应用,默认值为没有.在升级到此策略之前选择的任何设置都将保持有效,直到出现其他选项使用之前的设置被选中。
微VPN会话需要宽限期(分钟)
定义在系统发现应用程序更新可用后,应用程序可以继续使用的宽限期。默认值为168小时(7天)。
注意:
不建议使用0值,因为它会立即阻止正在运行的应用被使用,直到更新被下载和安装(不会对用户发出任何警告)。这可能会导致一种情况,即运行应用程序的用户被迫退出应用程序(可能丢失工作),以遵守所需的更新。
证书标签
当与StoreFront证书集成服务一起使用时,该标签标识此应用程序所需的特定证书。如果没有提供标签,则证书无法与公共密钥基础设施(PKI)一起使用。默认值为空(不使用证书)。
排除列表
以逗号分隔的直接访问的FQDNs或DNS后缀列表,而不是通过VPN连接。这只适用于隧道- Web单点登录当Citrix Gateway配置了“分裂隧道反向模式”时,配置为“mode”。
块本地主机连接
如果在在美国,应用程序不允许建立本地主机连接。Localhost是设备本地发生通信的地址(如127.0.0.1或::1)。本地主机绕过本地网络接口硬件,访问主机上运行的网络服务。如果从,该策略覆盖网络访问策略,这意味着如果设备在本地运行代理服务器,应用程序可以连接到安全容器外部。默认是从.
应用程序日志
默认的日志输出
确定默认情况下Citrix Endpoint Management应用程序诊断日志功能使用的输出介质。可能是文件、控制台或两者都有。默认值为file。
默认日志级别
控制移动生产力应用程序诊断日志功能的默认冗长。更高级别的数字包含更详细的日志记录。
- 0 -无日志记录
- 1 -严重错误
- 2 -错误
- 3 -警告
- 4 .信息信息
- 详细的信息信息
- 6到15 -调试级别1到10
缺省值为level4(信息消息)。
最大日志文件
限制移动生产力应用程序诊断日志功能在滚转前保留的日志文件数量。最小的是2.最大的是8.默认值是2.
最大日志文件大小
限制移动生产力应用程序诊断日志功能在滚转前保留的日志文件的大小(以兆为单位)。最小的是1MB。最大是5缺省值:MB2MB。
应用Geofence
中心点经度
应用程序被限制操作的点/半径地球围栏中心点的经度(X坐标)。当在配置的地理围栏之外操作时,应用程序保持锁定。应该用有符号的度格式(DDD.dddd)表示,例如“-31.9635”。西经应该以负号开头。默认值是0.
中心点纬度
应用程序被限制操作的点/半径地球围栏中心点的纬度(Y坐标)。当在配置的地理围栏之外操作时,应用程序保持锁定。
应该用有符号的度格式(DDD.dddd)表示,例如" 43.06581 "。南方纬度应该以负号开头。默认值是0.
半径
应用程序被限制操作的地球围栏的半径。当在配置的地理围栏之外操作时,应用程序保持锁定。应该用米来表示。当设置为零时,地球围栏被禁用。默认值为0(禁用)。
分析
细节分析
思杰收集分析数据以提高产品质量。选择“匿名”可以选择不包含公司身份信息。