设备和应用程序策略
XenMobile® 设备和应用程序策略使您能够在以下因素之间实现最佳平衡:
- 企业安全性
- 公司数据和资产保护
- 用户隐私
- 高效且积极的用户体验
这些因素之间的最佳平衡可能有所不同。例如,金融等高度受监管的组织需要比教育和零售等其他行业更严格的安全控制,在这些行业中,用户生产力是主要考虑因素。
您可以根据用户的身份、设备、位置和连接类型集中控制和配置策略,以限制对公司内容的恶意使用。如果设备丢失或被盗,您可以远程禁用、锁定或擦除业务应用程序和数据。总体结果是,该解决方案在确保安全性和管理控制的同时,提高了员工满意度和生产力。
本文主要关注与安全性相关的众多设备和应用程序策略。
解决安全风险的策略
XenMobile 设备和应用程序策略可解决许多可能构成安全风险的情况,例如:
- 当用户尝试从不受信任的设备和不可预测的位置访问应用程序和数据时。
- 当用户在设备之间传递数据时。
- 当未经授权的用户尝试访问数据时。
- 当已离职的用户使用自己的设备 (BYOD) 时。
- 当用户放错设备时。
- 当用户必须始终安全地访问网络时。
- 当用户管理自己的设备并且您必须将工作数据与个人数据分开时。
- 当设备空闲并需要再次验证用户凭据时。
- 当用户将敏感内容复制并粘贴到未受保护的电子邮件系统时。
- 当用户在同时包含个人和公司帐户的设备上接收带有敏感数据的电子邮件附件或 Web 链接时。
这些情况与保护公司数据时的两个主要关注领域相关,即数据处于:
- 静态
- 传输中
XenMobile 如何保护静态数据
存储在移动设备上的数据称为静态数据。XenMobile 使用 iOS 和 Android 平台提供的设备加密。XenMobile 通过 Citrix MAM SDK 提供的合规性检查等功能补充了基于平台的加密。
XenMobile 中的移动应用程序管理 (MAM) 功能可对移动生产力应用程序、启用 MDX 的应用程序及其关联数据进行全面的管理、安全和控制。
Mobile Apps SDK 通过使用 Citrix MDX 应用程序容器技术,为 XenMobile 部署启用应用程序。容器技术将用户设备上的公司应用程序和数据与个人应用程序和数据分开。数据分离使您能够通过全面的基于策略的控制来保护任何自定义开发、第三方或 BYO 移动应用程序。
XenMobile 还包括应用程序级加密。XenMobile 会单独加密存储在任何启用 MDX 的应用程序中的数据,而无需设备密码,也无需您管理设备来强制执行策略。
策略和 Mobile Apps SDK 使您能够:
- 在安全的移动容器中分离业务和个人应用程序及数据。
- 通过加密和其他移动数据丢失防护 (DLP) 技术保护应用程序。
MDX 策略提供了许多操作控制。您可以实现启用 MAM SDK 或 MDX 封装的应用程序之间的无缝集成,同时还可以控制所有通信。通过这种方式,您可以强制执行策略,例如确保数据只能由启用 MAM SDK 或 MDX 封装的应用程序访问。
除了设备和应用程序策略控制之外,保护静态数据的最佳方法是加密。XenMobile 为存储在启用 MDX 的应用程序中的任何数据添加了一层加密,使您能够对公共文件加密、私有文件加密和加密排除等功能进行策略控制。Mobile Apps SDK 使用符合 FIPS 140-2 标准的 AES 256 位加密,密钥存储在受保护的 Citrix Secret Vault 中。
XenMobile 如何保护传输中数据
在用户移动设备和内部网络之间移动的数据称为传输中数据。MDX 应用程序容器技术通过 Citrix Gateway 提供对内部网络的应用程序专用 VPN 访问。
考虑以下情况:员工希望从移动设备访问安全企业网络中存在的以下资源:
- 公司电子邮件服务器
- 公司内网上托管的启用 SSL 的 Web 应用程序
- 存储在文件服务器或 Microsoft SharePoint 上的文档
MDX 通过应用程序专用的微 VPN 启用从移动设备访问所有这些企业资源。每个设备都有自己的专用微 VPN 隧道。
微 VPN 功能不需要设备范围的 VPN,这可能会损害不受信任的移动设备上的安全性。因此,内部网络不会暴露于可能感染整个公司系统的恶意软件或攻击。公司移动应用程序和个人移动应用程序能够在同一设备上共存。
为了提供更强的安全级别,您可以为启用 MDX 的应用程序配置备用 Citrix Gateway 策略,该策略用于身份验证以及与应用程序的微 VPN 会话。您可以将备用 Citrix Gateway 与“需要在线会话”策略结合使用,以强制应用程序重新向特定网关进行身份验证。此类网关通常具有不同的(更高保证)身份验证要求和流量管理策略。
除了安全功能之外,微 VPN 功能还提供数据优化技术,包括压缩算法。压缩算法确保:
- 仅传输最少量的数据
- 以最快的时间完成传输。速度可改善用户体验,这是移动设备采用的关键成功因素。
定期重新评估您的设备策略,例如在以下情况下:
- 当新版本的 XenMobile 因设备操作系统更新的发布而包含新的或更新的策略时
-
当您添加设备类型时:
尽管许多策略对所有设备都通用,但每个设备都有一组特定于其操作系统的策略。因此,您可能会发现 iOS、Android 和 Windows 设备之间,甚至不同制造商的 Android 设备之间存在差异。
- 使 XenMobile 运行与企业或行业变化保持同步,例如新的公司安全策略或合规性法规
- 当新版本的 MAM SDK 包含新的或更新的策略时
- 当您添加或更新应用程序时
- 由于新的应用程序或新的要求,为您的用户集成新的工作流
应用程序策略和用例场景
尽管您可以选择通过 Secure Hub 提供哪些应用程序,但您可能还希望定义这些应用程序如何与 XenMobile 交互。使用应用程序策略:
- 如果您希望用户在经过一定时间后进行身份验证。
- 如果您希望为用户提供对其信息的离线访问。
以下部分包含一些策略和示例用法。
- 有关您可以使用 MAM SDK 集成到 iOS 和 Android 应用程序中的第三方策略列表,请参阅 MAM SDK 概述。
- 有关每个平台的所有 MDX 策略列表,请参阅 MDX 策略一览。
身份验证策略
-
设备密码
为何使用此策略: 启用“设备密码”策略以强制用户仅在设备启用了设备密码的情况下才能访问 MDX 应用程序。此功能可确保在设备级别使用 iOS 加密。
用户示例: 启用此策略意味着用户必须在其 iOS 设备上设置密码才能访问 MDX 应用程序。
-
应用程序密码
为何使用此策略: 启用“应用程序密码”策略以使 Secure Hub 在用户打开应用程序并访问数据之前提示用户对托管应用程序进行身份验证。用户可以使用其 Active Directory 密码、Citrix PIN 或 iOS TouchID 进行身份验证,具体取决于您在 XenMobile Server 设置中的“客户端属性”下配置的内容。您可以在“客户端属性”中设置一个不活动计时器,以便在持续使用的情况下,Secure Hub 不会再次提示用户对托管应用程序进行身份验证,直到计时器过期。
应用程序密码与设备密码不同,因为当设备密码策略推送到设备时,Secure Hub 会提示用户配置密码或 PIN,用户必须先解锁才能在打开设备或不活动计时器过期时访问其设备。有关详细信息,请参阅 XenMobile 中的身份验证。
用户示例: 在设备上打开 Citrix Secure Web™ 应用程序时,如果非活动期已过期,用户必须输入其 Citrix PIN 才能浏览网站。
-
需要在线会话
为何使用此策略: 如果应用程序需要访问 Web 应用程序(Web 服务)才能运行,请启用此策略,以便 XenMobile 提示用户在使用应用程序之前连接到企业网络或拥有活动会话。
用户示例: 当用户尝试打开启用了“需要在线会话”策略的 MDX 应用程序时,他们必须连接到使用蜂窝网络或 Wi-Fi 服务的网络后才能使用该应用程序。
-
最长离线时间
为何使用此策略: 使用此策略作为额外的安全选项,以确保用户无法在长时间离线运行应用程序而无需重新确认应用程序授权并从 XenMobile 刷新策略。
用户示例: 如果您为 MDX 应用程序配置了“最长离线时间”,用户可以离线打开和使用该应用程序,直到离线计时器过期。届时,用户必须通过蜂窝网络或 Wi-Fi 服务重新连接到网络,并在出现提示时重新进行身份验证。
其他访问策略
-
应用程序更新宽限期(小时)
为何使用此策略: 应用程序更新宽限期是用户必须更新 XenMobile Store 中发布了新版本的应用程序之前可用的时间。在宽限期到期时,用户必须更新应用程序才能访问应用程序中的数据。设置此值时,请记住您的移动员工的需求,特别是那些在国际旅行时可能长时间离线的员工。
用户示例: 您在 XenMobile Store 中加载了新版本的 Secure Mail,然后设置了 6 小时的应用程序更新宽限期。所有 Secure Mail 用户都会看到一条消息,要求他们更新 Secure Mail 应用程序,直到 6 小时过期。当 6 小时过期时,Secure Hub 会将用户路由到 XenMobile Store。
-
活动轮询周期(分钟)
为何使用此策略: 活动轮询周期是 XenMobile 检查应用程序何时执行安全操作(例如应用程序锁定和应用程序擦除)的时间间隔。
用户示例: 如果您将“活动轮询周期”策略设置为 60 分钟,当您从 XenMobile 向设备发送应用程序锁定命令时,锁定将在上次轮询发生后的 60 分钟内发生。
不合规设备行为策略
当设备低于最低合规性要求时,“不合规设备行为”策略允许您选择要执行的操作。有关信息,请参阅 不合规设备行为。
应用程序交互策略
为何使用这些策略: 使用“应用程序交互”策略来控制文档和数据从 MDX 应用程序流向设备上其他应用程序的方式。例如,您可以阻止用户将数据移动到容器外部的个人应用程序,或阻止用户将容器外部的数据粘贴到容器化应用程序中。
用户示例: 您将“应用程序交互”策略设置为“受限”,这意味着用户可以将文本从 Secure Mail 复制到 Secure Web,但不能将该数据复制到容器外部的个人 Safari 或 Chrome 浏览器。此外,用户可以将 Secure Mail 中的附件文档打开到 Citrix Files 或 Quick Edit 中,但不能在容器外部的个人文件查看应用程序中打开该附件文档。
应用程序限制策略
为何使用这些策略: 使用“应用程序限制”策略来控制用户在 MDX 应用程序打开时可以访问哪些功能。这有助于确保在应用程序运行时不会发生恶意活动。应用程序限制策略在 iOS 和 Android 之间略有不同。例如,在 iOS 中,您可以在 MDX 应用程序运行时阻止访问 iCloud。在 Android 中,您可以在 MDX 应用程序运行时停止使用 NFC。
用户示例: 如果您在 MDX 应用程序中启用了“应用程序限制”策略以阻止 iOS 上的听写功能,则用户在 MDX 应用程序运行时无法使用 iOS 键盘上的听写功能。因此,用户听写的数据不会传递给不安全的第三方云听写服务。当用户打开容器外部的个人应用程序时,听写选项仍可用于其个人通信。
应用网络访问策略
为何使用这些策略: 使用应用网络访问策略可提供从设备上容器中的 MDX 应用程序到企业网络内部数据的访问。对于网络访问策略,请将隧道连接到内部网络选项设置为自动建立从 MDX 应用程序通过 Citrix ADC 到后端 Web 服务或数据存储的微型 VPN。
用户示例: 当用户打开已启用隧道的 MDX 应用程序(例如 Secure Web)时,浏览器会打开并启动内部网站点,用户无需启动 VPN。Secure Web 应用程序使用微型 VPN 技术自动访问内部站点。
应用程序地理位置和地理围栏策略
为何使用这些策略: 控制应用程序地理位置和地理围栏的策略包括中心点经度、中心点纬度和半径。这些策略将 MDX 应用程序中的数据访问限制在特定地理区域。这些策略通过纬度和经度坐标的半径定义地理区域。如果用户尝试在定义的半径之外使用应用程序,则应用程序将保持锁定状态,并且用户无法访问应用程序数据。
用户示例: 用户可以在其办公地点访问并购数据。当他们离开办公地点时,此敏感数据将无法访问。
Secure Mail 应用程序策略
-
后台网络服务
为何使用此策略: Secure Mail 中的后台网络服务使用安全票证颁发机构 (STA),它实际上是一个 SOCKS5 代理,用于通过 Citrix Gateway 进行连接。与微型 VPN 相比,STA 支持长时间连接并提供更长的电池续航时间。因此,STA 是持续连接的邮件的理想选择。Citrix 建议您为 Secure Mail 配置这些设置。适用于 XenMobile 的 Citrix ADC 向导会自动为 Secure Mail 设置 STA。
用户示例: 如果未启用 STA 且 Android 用户打开 Secure Mail,系统会提示他们打开 VPN,该 VPN 在设备上保持打开状态。如果启用 STA 且 Android 用户打开 Secure Mail,Secure Mail 会无缝连接,无需 VPN。
-
默认同步间隔
为何使用此策略: 此设置指定用户首次访问 Secure Mail 时同步到 Secure Mail 的默认邮件天数。两周的邮件同步时间比 3 天更长,并且会延长用户的设置过程。
用户示例: 如果用户首次设置 Secure Mail 时默认同步间隔设置为 3 天,他们可以看到收件箱中从现在到过去 3 天内收到的任何邮件。如果用户想要查看早于 3 天的邮件,他们可以执行搜索。Secure Mail 会显示存储在服务器上的旧邮件。安装 Secure Mail 后,每个用户都可以更改此设置以更好地满足其需求。
设备策略和用例行为
设备策略(有时称为 MDM 策略)决定了 XenMobile 如何与设备配合使用。尽管许多策略是所有设备通用的,但每台设备都有一组特定于其操作系统的策略。以下列表包含一些设备策略,并讨论了如何使用它们。有关所有设备策略的列表,请参阅设备策略下的文章。
-
应用程序清单策略
为何使用此策略: 如果您必须查看用户安装的应用程序,请将应用程序清单策略部署到设备。如果您不部署应用程序清单策略,则只能看到用户从 XenMobile Store 安装的应用程序,而看不到任何个人安装的应用程序。如果您想阻止某些应用程序在公司设备上运行,则必须使用此策略。
用户示例: 拥有 MDM 管理设备的设备用户无法禁用此功能。用户的个人安装应用程序对 XenMobile 管理员可见。
-
应用程序锁定策略
为何使用此策略: 适用于 Android 的应用程序锁定策略允许您阻止或允许应用程序。例如,通过允许应用程序,您可以配置自助服务终端设备。通常,您仅将应用程序锁定策略部署到公司拥有的设备,因为它限制了用户可以安装的应用程序。您可以设置覆盖密码以向用户提供对被阻止应用程序的访问权限。
用户示例: 假设您部署了一个阻止“愤怒的小鸟”应用程序的应用程序锁定策略。用户可以从 Google Play 安装“愤怒的小鸟”应用程序,但是当他们打开应用程序时,一条消息会告知他们管理员已阻止该应用程序。
-
连接计划策略
为何使用此策略: 您必须使用连接计划策略,以便 Windows Mobile 设备可以连接回 XenMobile Server 进行 MDM 管理、应用程序推送和策略部署。对于 Android、Android Enterprise 和 Chrome OS 设备,请使用 Google Firebase Cloud Messaging (FCM) 而不是此策略来控制与 XenMobile Server 的连接。计划选项如下:
-
始终: 永久保持连接处于活动状态。Citrix 建议使用此选项以优化安全性。选择始终时,还要使用连接计时器策略以确保连接不会耗尽电池电量。通过保持连接处于活动状态,您可以按需将擦除或锁定等安全命令推送到设备。您还必须在部署到设备的每个策略中选择部署计划选项部署用于始终在线连接。
-
从不: 手动连接。Citrix 不建议将此选项用于生产部署,因为从不选项会阻止您向设备部署安全策略;因此,用户永远不会收到任何新的应用程序或策略。
-
每个: 按指定间隔连接。当此选项生效并且您发送安全策略(例如锁定或擦除)时,XenMobile 会在设备下次连接时处理设备上的策略。
-
定义计划: 启用后,XenMobile 会在网络连接丢失后尝试将用户设备重新连接到 XenMobile Server,并通过在您定义的时间范围内以固定间隔传输控制数据包来监视连接。
用户示例: 您想向已注册设备部署密码策略。计划策略可确保设备以固定间隔连接回服务器以收集新策略。
-
-
凭据策略
为何使用此策略: 凭据策略通常与 Wi-Fi 策略结合使用,允许您部署证书以对需要证书身份验证的内部资源进行身份验证。
用户示例: 您部署 Wi-Fi 策略以在设备上配置无线网络。Wi-Fi 网络需要证书进行身份验证。凭据策略部署证书,然后该证书存储在操作系统密钥库中。用户连接到内部资源时可以选择证书。
-
Exchange 策略
为何使用此策略: 借助 XenMobile,您有两种交付 Microsoft Exchange ActiveSync 电子邮件的选项。
-
Secure Mail 应用程序: 使用您从公共应用程序商店或 XenMobile Store 分发的 Secure Mail 应用程序交付电子邮件。
-
本机电子邮件应用程序: 使用 Exchange 策略为设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。借助本机电子邮件的 Exchange 策略,您可以使用宏从用户的 Active Directory 属性填充用户数据,例如使用
${user.username}填充用户名,使用${user.domain}填充用户域。
用户示例: 当您推送 Exchange 策略时,会将 Exchange Server 详细信息发送到设备。Secure Hub 然后提示用户进行身份验证,其电子邮件开始同步。
-
-
位置策略
为何使用此策略: 如果设备为 Secure Hub 启用了 GPS,位置策略允许您在地图上对设备进行地理定位。部署此策略并从 XenMobile Server 发送定位命令后,设备会返回位置坐标。
用户示例: 当您部署位置策略且设备上启用了 GPS 时,如果用户放错设备,他们可以登录 XenMobile 自助服务门户并选择定位选项以在地图上查看其设备的位置。用户选择允许 Secure Hub 使用位置服务。当用户自行注册设备时,您无法强制使用位置服务。使用此策略的另一个考虑因素是对电池续航时间的影响。
-
密码策略
为何使用此策略: 密码策略允许您在托管设备上强制执行 PIN 码或密码。此密码策略允许您设置设备上密码的复杂性和超时。
用户示例: 当您向托管设备部署密码策略时,Secure Hub 会提示用户配置密码或 PIN,他们必须先解锁才能访问其设备(在打开设备时或不活动计时器到期时)。
-
配置文件删除策略
为何使用此策略: 假设您向一组用户部署策略,稍后必须从部分用户中删除该策略。您可以通过创建配置文件删除策略并使用部署规则仅将配置文件删除策略部署到指定用户名来为选定用户删除策略。
用户示例: 当您向用户设备部署配置文件删除策略时,用户可能不会注意到此更改。例如,如果配置文件删除策略删除了禁用设备摄像头的限制,用户不会知道现在允许使用摄像头。请考虑在更改影响用户体验时通知用户。
-
限制策略
为何使用此策略: 限制策略为您提供了许多选项,可用于锁定和控制托管设备上的功能。您可以为受支持的设备启用数百个限制选项,从禁用设备上的摄像头或麦克风到强制执行漫游规则和访问第三方服务(如应用程序商店)。
用户示例: 如果您向 iOS 设备部署限制,用户可能无法访问 iCloud 或 Apple App Store。
-
条款和条件策略
为何使用此策略: 您可能需要告知用户设备受管理的法律影响。此外,您可能希望确保用户了解企业数据推送到设备时的安全风险。自定义条款和条件文档允许您在用户注册之前发布规则和通知。
用户示例: 用户在注册过程中会看到条款和条件信息。如果他们拒绝接受所述条件,则注册过程结束,他们无法访问企业数据。您可以生成报告以提供给 HR/法律/合规团队,以显示谁接受或拒绝了条款。
-
VPN 策略
为何使用此策略: 使用 VPN 策略可使用旧版 VPN 网关技术提供对后端系统的访问。该策略支持各种 VPN 提供商,包括 Cisco AnyConnect、Juniper 和 Citrix VPN。如果 VPN 网关支持此选项,还可以将此策略链接到 CA 并启用按需 VPN。
用户示例: 启用 VPN 策略后,当用户访问内部域时,用户设备会打开 VPN 连接。
-
Webclip 策略
为何使用此策略: 如果您想向设备推送直接打开网站的图标,请使用 Webclip 策略。Webclip 包含指向网站的链接,并且可以包含自定义图标。在设备上,Webclip 看起来像一个应用程序图标。
用户示例: 用户可以单击 Webclip 图标以打开提供他们必须访问的服务的 Internet 站点。使用 Web 链接比需要打开浏览器应用程序并键入链接地址更方便。
-
Wi-Fi 策略
为何使用此策略: Wi-Fi 策略允许您将 Wi-Fi 网络详细信息(例如 SSID、身份验证数据和配置数据)部署到托管设备。
用户示例: 当您部署 Wi-Fi 策略时,设备自动连接到 Wi-Fi 网络并对用户进行身份验证,以便他们可以访问网络。
-
Windows 信息保护策略
为何使用此策略: 使用 Windows 信息保护 (WIP) 策略可防止企业数据潜在泄露。您可以指定在您设置的强制级别需要 Windows 信息保护的应用程序。例如,您可以阻止任何不适当的数据共享,或警告不适当的数据共享并允许用户覆盖策略。您可以在记录和允许不适当数据共享的同时静默运行 WIP。
用户示例: 假设您配置 WIP 策略以阻止不适当的数据共享。如果用户将受保护的文件复制或保存到非受保护位置,将显示类似以下内容的消息:“您无法将受工作保护的内容放置在此位置。”
-
XenMobile Store 策略
为何使用此策略: XenMobile Store 是一个统一的应用程序商店,管理员可以在其中发布用户所需的所有企业应用程序和数据资源。管理员可以添加:
- Web 应用程序、SaaS 应用程序以及启用 MAM SDK 的应用程序或 MDX 封装的应用程序
- Citrix 移动生产力应用程序
- 本机移动应用程序,例如 .ipa 或 .apk 文件
- Apple App Store 和 Google Play 应用程序
- Web 链接
- 使用 Citrix StoreFront 发布的 Citrix Virtual Apps™
用户示例: 用户将其设备注册到 XenMobile 后,通过 Citrix Secure Hub™ 应用程序访问 XenMobile Store。用户然后可以看到所有可用的企业应用程序和服务。用户可以单击应用程序进行安装、访问数据、对应用程序进行评分和评论,以及从 XenMobile Store 下载应用程序更新。