客户端属性
客户端属性包含用户设备上直接提供给安全中心的信息。可以使用这些属性配置高级设置,如Citrix PIN。从Citrix支持获取客户端属性。
每次发布安全中心以及有时发布客户端应用程序时,均会更改客户端属性。有关通常要配置的客户端属性的详细信息,请参阅本文末尾的客户端属性参考。
- 在端点管理控制台中,单击右上角的齿轮图标。此时将显示设置页面。
在客户端下方,单击客户端属性。此时将显示客户端属性页面。可以从此页面添加、编辑和删除客户端属性。
添加客户端属性
单击添加。此时将显示添加新客户端属性页面。
配置以下设置:
- 键:在列表中,单击要添加的属性键。重要:更新这些设置之前,请联系Citrix技术支持。您可以申请一个特殊键。
- 值:选定属性的值。
- 名称:属性的名称。
- 说明:属性的说明。
单击保存。
编辑客户端属性
在客户端属性表格中,选择要编辑的客户端属性。
选中客户端属性旁边的复选框,以打开客户端属性列表上方的选项菜单。单击列表中的其他任意位置可在列表右侧打开选项菜单。
单击编辑。此时将显示编辑客户端属性页面。
适当更改以下信息:
- 键:无法更改此字段。
- 值:属性值。
- 名称:属性名称。
- 说明:属性说明。
单击保存以保存您所做更改,或单击取消保留属性不变。
删除客户端属性
在客户端属性表格中,选择要删除的客户端属性。
可以通过选中每个属性旁边的复选框,选择多个要删除的属性。
单击删除。此时将显示确认对话框。再次单击删除。
客户端属性参考
端点管理的预定义客户端属性及其默认设置如下所示。
ALLOW_CLIENTSIDE_PROXY
显示名称:allow_clientside_proxy
如果您的用户需要使用他们在iOS手机上配置的代理,请将此自定义策略设置为默认值为真正的。
某些用户可能已在其设备上的设置> wifi >配置代理中配置了代理。如果Secure Hub 无法为这些用户打开,请让他们执行以下操作之一:
- 从设备中删除代理配置,然后重新启动安全集线器。
- 将设备连接到另一个Wi-Fi网络。安全集线器重新进行身份验证后,它将获取ALLOW_CLIENTSIDE_PROXY属性并打开。
如果ALLOW_CLIENTSIDE_PROXY设置为假,并且用户在其设备上配置了代理,端点管理将检测代理。但是,安全中心不使用代理并显示错误消息。如果设备连接到启用了代理的接入点或路由器,Endpoint Management 将不检测代理。为了获得最高的安全性,我们建议您使用证书固定。有关为 Secure Hub 启用证书固定的信息,请参阅证书固定。
要配置此自定义客户端策略,请转至设置 > 客户端属性,添加自定义键ALLOW_CLIENTSIDE_PROXY,并设置值。
CONTAINER_SELF_DESTRUCT_PERIOD
- 显示名称:mdx容器自毁期限
自毁功能阻止在经过指定天数的非活动状态后访问安全中心和托管应用程序。超过该时间限制后,应用程序将不再可用。擦除数据包括清除已安装的各应用程序的应用程序数据,包括应用程序缓存和用户数据。
不活动时间是指在经过特定时间长度后,服务器不接收身份验证请求以验证用户。假设此属性为 30 天。如果用户不使用应用程序的时间超过 30 天,此策略将生效。
此全局安全策略适用于iOS和Android平台,是对现有应用程序锁定和擦除策略的增强。
- 要配置此全局策略,请转至设置 > 客户端属性,然后添加自定义键CONTAINER_SELF_DESTRUCT_PERIOD。
- 值:天数
DEVICE_LOGS_TO_IT_HELP_DESK
- 显示名称:向它技术支持人员发送设备日志
- 此属性启用或禁用向它技术支持人员发送日志的功能。
- 可能的值:真正的或假
- 默认值:假
DISABLE_LOGGING
- 显示名称:禁用日志记录
使用此属性可阻止用户从其设备收集和上载日志。此属性禁用安全Hub以及已安装的所有MDX应用程序的日志记录功能。用户无法从“支持”页面发送任何应用程序的日志。即使显示了邮件撰写对话框,也不附加日志。此时将显示一条消息,指示日志记录功能已禁用。此设置还阻止您在 Endpoint Management 控制台中更新 Secure Hub 和 MDX 应用程序的日志设置。
此属性设置为真正的时,安全中心会将阻止应用程序日志设置为真正的。因此,应用新策略时,mdx应用程序将停止日志记录。
- 可能的值:真正的或假
- 默认值:假(不禁用日志记录)
ENABLE_CRASH_REPORTING
- 显示名称:启用崩溃报告
- 如果设置为真正的, Citrix将收集崩溃报告和诊断信息以帮助对安全中心iOS和Android安全中心相关问题进行故障排除。如果设置为假,则不收集任何数据。
- 可能的值:真正的或假
- 默认值:真正的
ENABLE_CREDENTIAL_STORE
- 显示名称:启用凭据存储区
- 启用凭据存储区意味着Android或iOS用户在访问Citrix移动生产力应用程序时输入一次其密码。可以使用凭据存储区,而无论您是否启用了Citrix PIN。如果不启用 Citrix PIN,用户输入其 Active Directory 密码。Endpoint Management 只对 Secure Hub 和公共应用商店应用程序支持将 Active Directory 密码用于凭据存储区。如果您将 Active Directory 密码用于凭据存储区,Endpoint Management 将不支持 PKI 身份验证。
- 要在安全邮件中自动注册,需要将此属性设置为真正的。
- 要配置此自定义客户端策略,请转至设置 > 客户端属性,添加自定义键ENABLE_CREDENTIAL_STORE,并将值设置为真正的。
ENABLE_PASSCODE_AUTH
- 显示名称:启用Citrix PIN身份验证
此属性允许您打开Citrix PIN功能。启用Citrix销或通行码后,系统将提示用户定义要使用的针(而非其Active Directory密码)。如果启用了 ENABLE_PASSWORD_CACHING,或者如果 Endpoint Management 使用证书身份验证,此设置将自动启用。
执行脱机身份验证时,Citrix PIN将在本地验证,并且允许用户访问请求的应用程序或内容。执行联机身份验证时,Citrix销或通行码将解锁Active Directory密码或证书,随后将发送该密码或证书以通过端点管理执行身份验证。
如果ENABLE_PASSCODE_AUTH设置为真的,ENABLE_PASSWORD_CACHING设置为false,联机身份验证将始终提示输入密码,因为安全中心不保存该密码。
- 可能的值:真正的或假
- 默认值:假
ENABLE_PASSWORD_CACHING
- 显示名称: 启用用户密码缓存
- 此属性允许在移动设备上本地缓存活动目录密码。将此属性设置为真正的时,还必须将ENABLE_PASSCODE_AUTH属性设置为真正的。如果启用了用户密码缓存,端点管理将提示用户设置Citrix销或通行码。
- 可能的值:真正的或假
- 默认值:假
ENABLE_TOUCH_ID_AUTH
- 显示名称:启用触摸ID身份验证
对于支持联系ID身份验证的设备,此属性将在设备上启用或禁用触摸ID身份验证。要求:
用户设备必须启用Citrix PIN或LDAP。如果LDAP 身份验证处于关闭状态(例如,因为使用了仅基于证书的身份验证),则用户必须设置 Citrix PIN。在这种情况下,Endpoint Management 要求使用 Citrix PIN,即使客户端属性ENABLE_PASSCODE_AUTH为假也是如此。
将ENABLE_PASSCODE_AUTH设置为假,以便用户启动应用程序时,他们必须响应提示以使用Touch ID。
- 可能的值:真正的或假
- 默认值:假
ENABLE_WORXHOME_CEIP
- 显示名称:启用Secure Hub CEIP
- 此属性将打开客户体验改善计划。该功能会定期向Citrix发送匿名配置和使用数据。该数据将帮助Citrix提高端点管理的品质,可靠性和性能。
- 值:真正的或假
- 默认值:假
ENABLE_WORXHOME_GA
- 显示名称:在安全集线器中启用谷歌分析
- 此属性将启用或禁用在安全中心中使用谷歌Analytics收集数据的功能。更改此设置时,仅当用户下次登录安全集线器时才设置新值。
- 可能的值:真正的或假
- 默认值:真正的
ENCRYPT_SECRETS_USING_PASSCODE
- 显示名称: 使用通行码加密机密
此属性将敏感数据存储在设备上的秘密金库中(而非基于平台的本机存储中),例如iOS钥匙串。此属性允许使用强加密的密钥,但还会添加用户熵。用户熵是用户生成的只有自己知道的随机pin码代码。
Citrix建议您启用此属性以帮助提高用户设备的安全性。因此,用户将遇到多个要求输入Citrix PIN的身份验证提示。
- 可能的值:真正的或假
- 默认值:假
INACTIVITY_TIMER
- 显示名称:不活动计时器
此属性定义用户可以保持其设备处于不活动状态且之后访问应用程序不会提示输入Citrix销或通行码的时间长度。要为MDX应用程序启用此设置,请将"应用程序通行码"设置设为"开"。如果“应用程序通行码”设置设为关,用户将被重定向到 Secure Hub 以执行完全身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。
在iOS上,不活动计时器还将管理MDX应用程序和非MDX应用程序对安全中心的访问。
- 可能的值:任意正整数
- 默认值:15(分钟)
ON_FAILURE_USE_EMAIL
- 显示名称:失败时使用电子邮件向它技术支持人员发送设备日志
- 此属性启用或禁用使用电子邮件向它发送设备日志的功能。
- 可能的值:真正的或假
- 默认值:真正的
PASSCODE_EXPIRY
- 显示名称:引脚更改要求
- 此属性定义Citrix销或通行码的有效时间长度,超过此时间后,系统将强制用户更改其Citrix销或通行码。更改此设置时,仅在当前Citrix PIN或通行码过期时才设置新值。
- 可能的值:1到99(建议)。为了永远不重置 PIN,请将该值设置为一个大的数值(例如 100000000000)。如果最初设置的过期期限介于 1 到 99 天之间,然后在该时间段内更改为更大的数值,PIN 在初始期限结束时仍会过期,但之后永不过期。
- 默认值:90(天)
PASSCODE_HISTORY
- 显示名称:引脚历史记录
- 此属性定义之前使用的Citrix销或通行码的数量,用户在更改其Citrix销或通行码时不能重用。如果更改此设置,用户下次重置其Citrix PIN或通行码时将设置新值。
- 可能的值:1到99
- 默认值:5
PASSCODE_MAX_ATTEMPTS
- 显示名称:引脚尝试次数
- 此属性定义用户可以尝试输入错误Citrix销或通行码的次数,之后系统将提示用户进行完全身份验证。用户成功执行完全身份验证后,系统将提示其创建Citrix PIN或通行码。
- 可能的值:任意正整数
- 默认值:15
PASSCODE_MIN_LENGTH
- 显示名称:引脚长度要求
- 此属性定义Citrix PIN的最小长度。
- 可能的值:4到10
- 默认值:6
PASSCODE_STRENGTH
- 显示名称:引脚强度要求
- 此属性定义Citrix PIN或通行码的强度。更改此设置时,系统将在下次提示用户进行身份验证时提示其创建Citrix PIN或通行码。
- 可能的值:低、中、高或强
- 默认值:中
- 每种强度设置的密码规则如下所示,具体取决于passcode_type设置:
数字通行码的规则:
| 通行码强度 | 数字通行码类型的规则 | 允许 | 不允许 |
|---|---|---|---|
| 低 | 所有数字,允许使用任意顺序 | 444444、123456、654321 | |
| 中(默认设置) | 所有数字不能相同,也不能连续。 | 444333、124567、136790、555556、788888 | 444444、123456、654321 |
| 高 | 相邻的数字不能相同。 | 123512、134134、132312、131313、987456 | 080080、112233、135579、987745、919199 |
| 强 | 请勿使用同一编号超过两次。请勿连续使用三个或更多连续数字。请勿按相反的顺序使用三个或更多连续的数字。 | 102983、085085、824673、132312 | 132132、131313、902030 |
字母数字通行码的规则:
| 通行码强度 | 字母数字通行码类型的规则 | 允许 | 不允许 |
|---|---|---|---|
| 低 | 必须至少包含一个数字和一个字母 | aa11b1, Abcd1#, Ab123~, aaaa11, aa11aa | AAAaaa AAAaaa abcdef |
| 中(默认设置) | 除“低”通行码强度的规则外,字母和所有数字都不能相同。字母和数字都不能连续。 | aa11b1, aaa11b, aaa1b2, abc145, xyz135, sdf123, ab12c3, a1b2c3, Abcd1#, Ab123~ | Aaaa11, aa11aa或aaa111;abcd12, bcd123,123abc, xy1234, xyz345或cba123 |
| 高 | 至少包括一个大写字母和一个小写字母。 | Abcd12, jkrtA2, 23Bc#, AbCd | abcd12, DFGH2 |
| 强 | 至少包括一个数字、一个特殊符号、一个大写字母以及一个小写字母。 | Abcd1#, Ab123~, xY12#3, Car12#, AAbc1# | abcd12, abcd12, dfgh12, jkrtA2 |
PASSCODE_TYPE
- 显示名称:引脚类型
此属性定义用户能够定义数字型Citrix PIN还是字母数字型通行码。选择数字时,用户只能定义数字(Citrix PIN)。选择字母数字时,用户可以使用字母和数字的组合(通行码)。
如果更改此设置,用户必须在系统下次提示进行身份验证时设置新Citrix PIN或通行码。
- 可能的值:数字或字母数字
- 默认值:数字
REFRESHINTERVAL
- 显示名称:refreshinterval
- 默认情况下,端点管理每隔3天会对自动服务器(广告)执行平命令查找固定证书。要更改刷新时间间隔,请转至设置 > 客户端属性,添加自定义键REFRESHINTERVAL,并将值设置为小时数。
- 默认值:72小时(3 天)
SEND_LDAP_ATTRIBUTES
- 对于Android, iOS或macOS设备的仅老妈部署:可以配置端点管理,以便使用电子邮件凭据在安全中心中注册的用户能够自动在安全邮件中注册。因此,用户不需要提供额外的信息或执行额外的步骤即可在安全邮件中注册。
- 要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键SEND_LDAP_ATTRIBUTES,并按如下所示设置值。
- 值:
userPrincipalName = $ {user.userprincipalname}, sAMAccountNAme = ${用户。displayName = $ {user.displayName} samaccountname},邮件= $ {user.mail} - 与MDM策略类似,属性值会指定为宏。
以下示例介绍了帐户服务如何响应此属性:
<属性值="userPrincipalName=user@site.com,sAMAccountName=eng1,displayName=user\,test1,email=user@site.com\,user@site.com" name="SEND_LDAP_ATTRIBUTES"/>- 对于此属性,端点管理会将逗号字符视为字符串终止符。因此,如果属性值包括一个逗号,请在其前面添加一个反斜杠。反斜杠将阻止客户端将嵌入的逗号解释为属性值的结尾。反斜杠字符表示为
“\ \”。
HIDE_THREE_FINGER_TAP_MENU
- 此属性未设置或设置为假时,用户可以通过在其设备上执行三指轻按操作来访问隐藏的功能菜单。隐藏的功能菜单允许用户重置应用程序数据。将此属性设置为真正的将禁止用户访问隐藏的功能菜单。
- 要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键HIDE_THREE_FINGER_TAP_MENU,然后设置值。
TUNNEL_EXCLUDE_DOMAINS
- 显示名称:通道排除域
- 默认情况下,MDX将从微VPN通道中排除移动应用程序SDK和应用程序用于各种功能的某些服务端点。例如,这些端点包括不需要通过企业网络路由的服务,例如谷歌分析,Citrix云服务和活动目录服务。可使用此客户端属性覆盖排除的默认域列表。
- 要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键TUNNEL_EXCLUDE_DOMAINS,并设置值。
值:要将默认列表替换为要从通道中排除的域,请键入以逗号分隔的域后缀列表。要在通道中包括所有域,请键入没有一个。默认值:
app.launchdarkly.com, cis.citrix.com, cis-staging.citrix.com, cis-test.citrix.com, clientstream.launchdarkly.com, crashlytics.com, events.launchdarkly.com, fabric.io, firehose.launchdarkly.com, hockeyapp.net, mobile.launchdarkly.com, pushreg.xm.citrix.com, rttf.citrix.com, rttf-staging.citrix.com, rttf-test.citrix.com, ssl.m.giftsix.com, stream.launchdarkly.com