客户端属性
客户端属性包含用户设备上直接提供给 Secure Hub 的信息。可以使用这些属性配置高级设置,如 Citrix PIN。从 Citrix 支持获取客户端属性。
每次发布 Secure Hub 以及有时发布客户端应用程序时,均会更改客户端属性。有关通常要配置的客户端属性的详细信息,请参阅本文末尾的客户端属性参考。
- 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。
在客户端下方,单击客户端属性。此时将显示客户端属性页面。可以从此页面添加、编辑和删除客户端属性。
添加客户端属性
单击添加。此时将显示添加新客户端属性页面。
配置以下设置:
- 键:在列表中,单击要添加的属性键。重要: 更新这些设置之前,请联系 Citrix 技术支持。您可以申请一个特殊键。
- 值:选定属性的值。
- 名称:属性的名称。
- 说明:属性的说明。
单击保存。
编辑客户端属性
在客户端属性表格中,选择要编辑的客户端属性。
选中客户端属性旁边的复选框时,选项菜单将显示在客户端属性列表上方。可以单击列表中的某个项目以在此列表的右侧显示选项菜单。
单击编辑。此时将显示编辑客户端属性页面。
适当更改以下信息:
- 键:无法更改此字段。
- 值:属性值。
- 名称:属性名称。
- 说明:属性说明。
单击保存以保存您所做更改,或单击取消保留属性不变。
删除客户端属性
在客户端属性表格中,选择要删除的客户端属性。
可以通过选中每个属性旁边的复选框,选择多个要删除的属性。
单击删除。此时将显示确认对话框。再次单击删除。
客户端属性参考
XenMobile 预定义的客户端属性及其默认设置如下所示。
CONTAINER_SELF_DESTRUCT_PERIOD
- 显示名称:MDX 容器自毁期限
自毁功能阻止在经过指定天数的非活动状态后访问 Secure Hub 和托管应用程序。超过该时间限制后,应用程序将不再可用。擦除数据包括清除已安装的各应用程序的应用程序数据,包括应用程序缓存和用户数据。
不活动时间是指在经过特定时间长度后,服务器不接收身份验证请求以验证用户。例如,如果此属性为 30 天,并且用户不使用应用程序的时间超过 30 天,此策略将生效。
此全局安全策略适用于 iOS 和 Android 平台,是对现有应用程序锁定和擦除策略的增强。
- 要配置此全局策略,请转至设置 > 客户端属性,然后添加自定义键CONTAINER_SELF_DESTRUCT_PERIOD。
- 值:天数
DEVICE_LOGS_TO_IT_HELP_DESK
- 显示名称:向 IT 技术支持人员发送设备日志
- 此属性启用或禁用向 IT 技术支持人员发送日志的功能。
- 可能的值:true或false
- 默认值:false
DISABLE_LOGGING
- 显示名称:禁用日志记录
使用此属性可阻止用户从其设备收集和上载日志。此属性禁用 Secure Hub 以及已安装的所有 MDX 应用程序的日志记录功能。用户无法从“支持”页面发送任何应用程序的日志。即使显示了邮件撰写对话框,也不附加日志。此时将显示一条消息,指示日志记录功能已禁用。此设置还阻止您在 XenMobile 控制台中更新 Secure Hub 和 MDX 应用程序的日志设置。
此属性设置为true时,Secure Hub 会将阻止应用程序日志设置为true。因此,应用新策略时,MDX 应用程序将停止日志记录。
- 可能的值:true或false
- 默认值:false(不禁用日志记录)
ENABLE_CRASH_REPORTING
- 显示名称:启用崩溃报告
- 如果设置为true,Citrix 将收集崩溃报告和诊断信息以帮助对 Secure Hub for iOS 和 Secure Hub for Android 相关问题进行故障排除。如果设置为false,则不收集任何数据。
- 可能的值:true或false
- 默认值:true
ENABLE_CREDENTIAL_STORE
- 显示名称:启用凭据存储区
- 启用凭据存储区意味着 Android 或 iOS 用户在访问移动生产力应用程序时输入一次其密码。可以使用凭据存储区,无论是否启用 Citrix PIN。如果不启用 Citrix PIN,用户输入其 Active Directory 密码。XenMobile 只对 Secure Hub 和公共应用商店应用程序支持将 Active Directory 密码用于凭据存储区。如果您将 Active Directory 密码用于凭据存储区,XenMobile 将不支持 PKI 身份验证。
- 要在 Secure Mail 中自动注册,需要将此属性设置为true。
- 要配置此自定义客户端策略,请转至设置 > 客户端属性,添加自定义键ENABLE_CREDENTIAL_STORE,并将值设置为true。
ENABLE_FIPS_MODE
- 显示名称:启用 FIPS 模式
- 此属性在移动设备上启用或禁用 FIPS 模式。更改此值后,Secure Hub 会在执行下一次联机身份验证时将新值传递到设备。
- 可能的值:true或false
- 默认值:false
ENABLE_PASSCODE_AUTH
- 显示名称: 启用 Citrix PIN 身份验证
此属性允许您打开Citrix销功能。启用Citrix销或通行码后,系统将提示用户定义要使用的 PIN(而非其 Active Directory 密码)。如果启用了 ENABLE_PASSWORD_CACHING,或者如果 XenMobile 使用证书身份验证,此设置将自动启用。
执行脱机身份验证时,Citrix PIN 将在本地验证,并且允许用户访问请求的应用程序或内容。执行联机身份验证时,Citrix PIN 或通行码将解锁 Active Directory 密码或证书,随后将发送该密码或证书以通过 XenMobile 执行身份验证。
如果 ENABLE_PASSCODE_AUTH 设置为 true,ENABLE_PASSWORD_CACHING 设置为 false,联机身份验证将始终提示输入密码,因为 Secure Hub 不保存该密码。
- 可能的值:true或false
- 默认值:false
ENABLE_PASSWORD_CACHING
- 显示名称: 启用用户密码缓存
- 此属性允许在移动设备上本地缓存 Active Directory 密码。将此属性设置为true时,还必须将ENABLE_PASSCODE_AUTH属性设置为true。如果启用了用户密码缓存,XenMobile 将提示用户设置 Citrix PIN 或通行码。
- 可能的值:true或false
- 默认值:false
ENABLE_TOUCH_ID_AUTH
- 显示名称: 启用 Touch ID 身份验证
对于支持 Touch ID 身份验证的设备,此属性将在设备上启用或禁用 Touch ID 身份验证。要求:
用户设备必须启用 Citrix PIN 或 LDAP。如果 LDAP 身份验证处于关闭状态(例如,因为使用了仅基于证书的身份验证),则用户必须设置 Citrix PIN。在这种情况下,XenMobile 要求使用 Citrix PIN,即使客户端属性ENABLE_PASSCODE_AUTH为false也是如此。
将ENABLE_PASSCODE_AUTH设置为false,以便用户启动应用程序时,他们必须响应提示以使用 Touch ID。
- 可能的值:true或false
- 默认值:false
ENABLE_WORXHOME_CEIP
- 显示名称:启用 Worx Home CEIP
- 此属性将打开客户体验改善计划。该功能会定期向 Citrix 发送匿名配置和使用数据。该数据将帮助 Citrix 提高 XenMobile 的品质、可靠性和性能。
- 值:true或false
- 默认值:false
ENCRYPT_SECRETS_USING_PASSCODE
- 显示名称: 使用通行码加密机密
此属性将敏感数据存储在设备上的 Secret Vault 中(而非基于平台的本机存储中),例如 iOS 钥匙串。此属性允许使用强加密的密钥,但还会添加用户熵。用户熵是用户生成的只有自己知道的随机 PIN 代码。
Citrix 建议您启用此属性以帮助提高用户设备的安全性。因此,用户将遇到多个要求输入 Citrix PIN 的身份验证提示。
- 可能的值:true或false
- 默认值:false
INACTIVITY_TIMER
- 显示名称:不活动计时器
此属性定义用户可以保持其设备处于不活动状态且之后访问应用程序不会提示输入 Citrix PIN 或通行码的时间长度。要为 MDX 应用程序启用此设置,请将“应用程序通行码”设置设为“开”。如果“应用程序通行码”设置设为关,用户将被重定向到 Secure Hub 以执行完全身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。
在 iOS 上,不活动计时器还将管理 MDX 应用程序和非 MDX 应用程序对 Secure Hub 的访问。
- 可能的值:任意正整数
- 默认值:15(分钟)
ON_FAILURE_USE_EMAIL
- 显示名称:失败时使用电子邮件向 IT 技术支持人员发送设备日志
- 此属性启用或禁用使用电子邮件向 IT 发送设备日志的功能。
- 可能的值:true或false
- 默认值:true
PASSCODE_EXPIRY
- 显示名称:PIN 更改要求
- 此属性定义 Citrix PIN 或通行码的有效时间长度,超过此时间后,系统将强制用户更改其 Citrix PIN 或通行码。更改此设置时,仅在当前 Citrix PIN 或通行码过期时才设置新值。
- 可能的值:1到99(建议)。为了永远不重置 PIN,请将该值设置为一个非常大的数值(例如 100000000000)。如果最初设置的过期期限介于 1 到 99 天之间,然后在该时间段内更改为更大的数值,PIN 在初始期限结束时仍会过期,但之后永不过期。
- 默认值:90(天)
PASSCODE_HISTORY
- 显示名称:PIN 历史记录
- 此属性定义之前使用的 Citrix PIN 或通行码的数量,用户在更改其 Citrix PIN 或通行码时不能重用。如果更改此设置,用户下次重置其 Citrix PIN 或通行码时将设置新值。
- 可能的值:1到99
- 默认值:5
PASSCODE_MAX_ATTEMPTS
- 显示名称:PIN 尝试次数
- 此属性定义用户可以尝试输入错误 Citrix PIN 或通行码的次数,之后系统将提示用户进行完全身份验证。用户成功执行完全身份验证后,系统将提示其创建 Citrix PIN 或通行码。
- 可能的值:任意正整数
- 默认值:15
PASSCODE_MIN_LENGTH
- 显示名称:PIN 长度要求
- 此属性定义 Citrix PIN 的最小长度。
- 可能的值:4到10
- 默认值:6
PASSCODE_STRENGTH
- 显示名称: PIN 强度要求
- 此属性定义 Citrix PIN 或通行码的强度。更改此设置时,系统将在下次提示用户进行身份验证时提示其创建 Citrix PIN 或通行码。
- 可能的值:低、中、高或强
- 默认值:中
- 每种强度设置的密码规则如下所示,具体取决于 PASSCODE_TYPE 设置:
数字通行码的规则:
| 通行码强度 | 数字通行码类型的规则 | 允许 | 不允许 |
|---|---|---|---|
| 低 | 所有数字,允许使用任意顺序 | 444444、123456、654321 | |
| 中(默认设置) | 所有数字不能相同,也不能连续。 | 444333、124567、136790、555556、788888 | 444444、123456、654321 |
| 高 | 相邻的数字不能相同。 | 123512、134134、132312、131313、987456 | 080080、112233、135579、987745、919199 |
| 强 | 请勿使用同一编号超过两次。请勿连续使用三个或更多连续数字。请勿按相反的顺序使用三个或更多连续的数字。 | 102983、085085、824673、132312 | 132132、131313、902030 |
字母数字通行码的规则:
| 通行码强度 | 字母数字通行码类型的规则 | 允许 | 不允许 |
|---|---|---|---|
| 低 | 必须至少包含一个数字和一个字母 | aa11b1、Abcd1#、Ab123~、aaaa11、aa11aa | AAAaaa、aaaaaa、abcdef |
| 中(默认设置) | 除“低”通行码强度的规则外,字母和所有数字都不能相同。字母和数字都不能连续。 | aa11b1、aaa11b aaa1b2、abc145、xyz135、sdf123、ab12c3、a1b2c3、Abcd1#、Ab123~ | aaaa11、aa11aa 或 aaa111;abcd12、bcd123、123abc、xy1234、xyz345 或 cba123 |
| 高 | 至少包括一个大写字母和一个小写字母。 | Abcd12、jkrtA2、23Bc#、AbCd | abcd12、DFGH2 |
| 强 | 至少包括一个数字、一个特殊符号、一个大写字母以及一个小写字母。 | Abcd1#、Ab123~、xY12#3、Car12#、AAbc1# | abcd12、Abcd12、dfgh12、jkrtA2 |
PASSCODE_TYPE
- 显示名称:PIN 类型
此属性定义用户能够定义数字型 Citrix PIN 还是字母数字型通行码。选择数字时,用户只能定义数字 (Citrix PIN)。选择字母数字时,用户可以使用字母和数字的组合(通行码)。
如果更改此设置,用户必须在系统下次提示进行身份验证时设置新 Citrix PIN 或通行码。
- 可能的值:数字或字母数字
- 默认值:数字
REFRESHINTERVAL
- 显示名称:REFRESHINTERVAL
- 默认情况下,XenMobile 每隔 3 天会对 Auto Discovery Server (ADS) 执行 ping 命令查找固定证书。要更改刷新时间间隔,请转至设置 > 客户端属性,添加自定义键REFRESHINTERVAL,并将值设置为小时数。
- 默认值:72小时(3 天)
SEND_LDAP_ATTRIBUTES
- 对于 Android、iOS 或 macOS 设备的仅 MAM 部署:可以配置 XenMobile,以便使用电子邮件凭据在 Secure Hub 中注册的用户能够自动在 Secure Mail 中注册。因此,用户不需要提供额外的信息或执行额外的步骤即可在 Secure Mail 中注册。
- 要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键SEND_LDAP_ATTRIBUTES,并按如下所示设置值。
- 值:
userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname}, displayName=${user.displayName},mail=${user.mail} - 与 MDM 策略类似,属性值会指定为宏。
以下示例介绍了帐户服务如何响应此属性:
- 对于此属性,XenMobile 会将逗号字符视为字符串终止符。因此,如果属性值包括一个逗号,请在其前面添加一个反斜杠。反斜杠将阻止客户端将嵌入的逗号解释为属性值的结尾。反斜杠字符表示为
"\\"。
HIDE_THREE_FINGER_TAP_MENU
- 此属性未设置或设置为false时,用户可以通过在其设备上执行三指轻按操作来访问隐藏的功能菜单。隐藏的功能菜单允许用户重置应用程序数据。将此属性设置为true将禁止用户访问隐藏的功能菜单。
- 要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键HIDE_THREE_FINGER_TAP_MENU,然后设置值。
TUNNEL_EXCLUDE_DOMAINS
- 显示名称:通道排除域
- 默认情况下,MDX 将从 Micro VPN 通道中排除 XenMobile SDK 和应用程序用于各种功能的某些服务端点。例如,这些端点包括不需要通过企业网络路由的服务,例如 Google Analytics、Citrix Cloud Services 和 Active Directory 服务。可使用此客户端属性覆盖排除的默认域列表。
- 要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键TUNNEL_EXCLUDE_DOMAINS,并设置值。
值:要将默认列表替换为要从通道中排除的域,请键入以逗号分隔的域后缀列表。要在通道中包括所有域,请键入none。默认值:
app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream,launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.m.giftsix.com,stream.launchdarkly.com