Servereigenschaften
Servereigenschaften sind global und gelten für alle Vorgänge, Benutzer und Geräte einer XenMobile-Instanz. Citrix empfiehlt, die in diesem Artikel behandelten Servereigenschaften für Ihre Umgebung zu bewerten. Setzen Sie sich mit Citrix in Verbindung, bevor Sie andere Servereigenschaften ändern.
Bei Änderung einiger Servereigenschaften ist ein Neustart jedes XenMobile-Serverknotens erforderlich. XenMobile benachrichtigt Sie, wenn ein Neustart erforderlich ist.
Einige Servereigenschaften verbessern die Leistung und Stabilität. Informationen finden Sie unter XenMobile-Prozesse optimieren.
Bereitstellen von Legacy-Android-Apps auf Android Enterprise-Geräten: Wenn für afw.allow.legacy.apps die Einstellung true festgelegt wurde, erhalten Android Enterprise-Geräte sowohl Legacy-Android-Apps als auch Android Enterprise-Apps. Wenn die Einstellung false festgelegt wurde, erhalten Android Enterprise-Geräte nur Android Enterprise-Apps. Der Standardwert ist true.
Dateinamenerweiterungen für die Dateirichtlinie zulassen: Konfigurieren Sie file.extension.allowlist mit einer durch Trennzeichen getrennten Liste von Dateitypen, die Administratoren unter Verwendung der Dateirichtlinie hochladen können. Die folgenden Dateitypen können nicht hochgeladen werden, selbst wenn Sie sie dieser Positivliste hinzufügen:
- .cab
- .appx
- .ipa
- .apk
- .xap
- .mdx
- .exe
Der Standardwert ist 7z,rar,zip,csv,xls,xlsx,jad,jar,pdf,bmp,gif,jpg,png,pps,ppt,pptx,bsh,js,lua,mscr,pl,py,rb,sh,tcl,txt,htm,html,doc,docx,rtf,xap.
Access all apps in the managed Google Play store: Bei Einstellung auf true macht XenMobile alle Apps aus dem öffentlichen Google Play Store vom verwalteten Google Play Store aus zugänglich. Wenn Sie diese Eigenschaft auf true setzen, werden die Apps aus dem öffentlichen Google Play Store für alle Android Enterprise-Benutzer zugelassen. Mit der Geräteeinschränkungsrichtlinie können Administratoren dann den Zugriff auf diese Apps steuern. Die Standardeinstellung ist false.
Android Enterprise work profile on corporate-owned devices enrollment Bei Einstellung von afw.work_profile_for_corporate_owned_device.enrollment_mode.enabled auf true können Geräte mit Android ab Version 11 im Modus “Arbeitsprofil auf unternehmenseigenen Geräten” (WPCOD) registriert werden. Die Änderungen für diesen Registrierungsmodus werden in der XenMobile Server-Konsole übernommen. Wenn die Einstellung false festgelegt wurde, sind keine WPCOD-Einstellungen verfügbar. Der Standardwert ist true.
Zusätzliche Android Enterprise-Einschränkungen: Bei Einstellung der Eigenschaft afw.restriction.policy.v2 auf true sind die folgenden Einschränkungseinstellungen für Android Enterprise-Geräte verfügbar:
- App-Deinstallation zulassen
- Bluetooth-Freigabe zulassen
Weitere Informationen zu diesen Einstellungen finden Sie unter Geräteeinschränkungsrichtlinie.
Android Enterprise-Einschränkungen für COPE-Geräte: Legen Sie für afw.restriction.cope den Wert true fest, um die Einstellung Auf vollständig verwaltete Geräte mit einem Arbeitsprofil bzw. Arbeitsprofil auf unternehmenseigenen Geräten anwenden in der Einschränkungsrichtlinie zu aktivieren. Der Standardwert ist true. Weitere Informationen zu dieser Einstellung finden Sie unter Geräteeinschränkungsrichtlinie.
Allow hostnames for iOS App Store links: Eigenschaft ios.app.store.allowed.hostnames ist eine Liste zulässiger Hostnamen, die beim Hochladen öffentlicher App Store-Apps auf den Server mit den öffentlichen APIs verwendet wird. Wenn Sie öffentliche App Store-Apps statt eines Uploads über den Server mit den öffentlichen APIs hochladen möchten, konfigurieren Sie diese Eigenschaft. Der Standardwert ist itunes.apple.com,vpp.itunes.apple.com,apps.apple.com.
Alternativer APNs-Port: Sie können Port 2197 anstelle von Port 443 zum Senden und Empfangen von APNs-Benachrichtigungen von api.push.apple.com verwenden. Der Port verwendet die HTTP/2-basierte APNs-Anbieter-API. Legen Sie für die Eigenschaft apns.http2.alternate.port.enabled den Wert true fest, um Port 2197 zu verwenden. Der Standardwert der Servereigenschaft apns.http2.alternate.port.enabled ist false.
Enable password validation to prevent local users with weak passwords: Bei Einstellung von enable.password.strength.validation auf true können keine lokalen Benutzer mit einem schwachen Kennwort hinzugefügt werden. Wurde der Wert false festgelegt, können Sie lokale Benutzer mit einem schwachen Kennwort erstellen. Der Standardwert ist true.
Registrierung für Android- und iOS-Geräte mit Rooting/Jailbreak blockieren: Wenn diese Eigenschaft auf true festgelegt wird, blockiert XenMobile die Registrierung von Android-Geräten mit Rooting und von iOS-Geräten mit Jailbreak. Die Standardeinstellung ist true. Die empfohlene Einstellung true gilt für alle Sicherheitsstufen.
Registrierung erforderlich: wsapi.mdm.required.flag Gilt nur im XenMobile Server-Modus ENT und gibt an, ob die Benutzer eine Registrierung bei MDM durchführen müssen. Die Eigenschaft gilt für alle Benutzer und Geräte der XenMobile-Instanz. Eine erforderliche Registrierung erhöht die Sicherheit der Anwendung. Diese Entscheidung hängt jedoch davon ab, ob Sie MDM verwenden möchten. Standardmäßig wird die Registrierung nicht erzwungen.
Wenn Sie die Einstellung auf false festlegen, können Benutzer die Registrierung ablehnen und dennoch ggf. mit ihrem Gerät auf Apps über den XenMobile Store zugreifen. Wenn die Eigenschaft auf true festgelegt wird, wird allen Benutzern, die die Registrierung ablehnen, der Zugriff auf Apps verweigert.
Wenn Sie diese Eigenschaft nach der Benutzerregistrierung ändern, müssen sich die Benutzer erneut registrieren.
Informationen darüber, wann eine MDM-Registrierung erforderlich ist, finden Sie unter Geräteverwaltung und MDM-Registrierung.
Enable multimode enrollment: Mit der Eigenschaft enable.multimode.xms können Sie Registrierungsprofile auf einem XenMobile-Server erstellen, der die Registrierungseinstellungen für die Geräte- und die App-Verwaltung für Android- und iOS-Geräte steuert. Darüber hinaus ermöglicht das neu erweiterte Registrierungsprofil-Feature die Registrierung dedizierter Android-Geräte und die Registrierung von Android- und iOS-Geräten im Nur-MAM-Modus. Wenn die Eigenschaft auf false festgelegt ist, sind diese Registrierungsoptionen beim Einrichten von Registrierungsprofilen nicht verfügbar. Der Standardwert ist true. Geräte, die registriert werden, während die Eigenschaft auf true festgelegt ist, funktionieren weiter, wenn Sie die Einstellung in false ändern.
Enable the Self-Help Portal: Wenn shp.console.enable auf false festgelegt ist, ist kein Zugriff auf das Selbsthilfeportal möglich. Wenn Benutzer das Portal über Port 443 aufrufen, wird ein Fehler 404 angezeigt. Benutzer, die über Port 4443 zum Portal navigieren, erhalten die Meldung “Zugriff verweigert”. Bei Auswahl von true erfolgt der Zugriff auf das Selbsthilfeportal über Port 443. Die Standardeinstellung ist false.
Local user account lockout limit: Mit der Einschränkungsrichtlinie können Sie ein Anmeldeversuchslimit für Active Directory-Benutzer festlegen. Mit dem Schlüssel local.user.account.lockout.limit ist dies auch für lokale Benutzerkonten möglich. Wenn ein Benutzer die von Ihnen vorgegebene Anzahl Anmeldeversuche unternommen hat, kann er es erst nach Ablauf einer Zeitspanne erneut versuchen. Die Länge der Zeitspanne konfigurieren Sie über die Eigenschaft Local user account lockout time. Der Standardwert ist 6.
Local user account lockout time: Mit der Eigenschaft local.user.account.lockout.time können Sie eine Anzahl von Minuten festlegen, die vergehen müssen, bevor ein gesperrtes lokales Benutzerkonto erneut versuchen kann, sich anzumelden. Der Standardwert ist 30 Minuten.
Maximum size of file upload restriction enabled: Aktivieren Sie die Beschränkung der maximalen Dateigröße für Uploads max.file.size.upload.restriction auf true. Wenn Sie diese Einschränkung aktivieren, konfigurieren Sie die maximale Dateigröße mit max.file.size.upload.allowed. Der Standardwert dieser Eigenschaft ist true.
Maximum size of file upload allowed: Mit max.file.size.upload.allowed können Sie eine maximale Dateigröße für Uploads angeben. Beispielwerte: 500 B, 1 KB, 1 MB, 1 MiB, 1 G oder 1 GiB. Der Standardwert ist 5 MB.
Inaktivitätstimeout in Minuten: Die Zeitdauer in Minuten, nach welcher XenMobile einen inaktiven Benutzer abmeldet, der auf die XenMobile-Konsole über die öffentliche XenMobile Server-API oder eine Drittanbieter-App zugegriffen hat. Ein Timeout von 0 bedeutet, dass inaktive Benutzer angemeldet bleiben. Für Apps von Drittanbietern, die auf die API zugreifen, ist es in der Regel erforderlich, dass der Benutzer angemeldet bleibt. Die Standardeinstellung ist 5.
Registrierung für iOS-Geräteverwaltung: Stammzertifizierungsstelle ggf. installieren: Der aktuelle Registrierungsworkflow von Apple erfordert, dass Benutzer die MDM-Profile manuell installieren. Der Workflow gilt nicht für die MDM-Registrierung für in Apple Business Manager und Apple School Manager zugewiesene Server. Bei der manuellen MDM-Registrierung erhalten iOS-Gerätebenutzer jedoch nur die MDM-Gerätezertifikataufforderung während der Registrierung.
Zur Verbesserung der Benutzererfahrung bei der manuellen Registrierung empfiehlt Citrix, die Servereigenschaft ios.mdm.enrollment.installRootCaIfRequired in false zu ändern. Der Standardwert ist true. Mit der Änderung wird während der MDM-Registrierung ein Safari-Fenster geöffnet, um die Profilinstallation für die Benutzer zu vereinfachen.
VPP-Baselineintervall: Die Eigenschaft vpp.baseline legt das Mindestintervall fest, in dem XenMobile den Import von Volume Purchase-Lizenzen von Apple wiederholt. Durch Aktualisierung der Lizenzinformationen wird sichergestellt, dass in XenMobile alle Änderungen widergespiegelt werden, beispielsweise das manuelle Löschen einer importierten App aus Volume Purchase. Standardmäßig aktualisiert XenMobile die Volume Purchase-Lizenzbasis mindestens alle 1440 Minuten.
Wenn Sie zahlreiche Volume Purchase-Lizenzen installiert haben (beispielsweise über 50.000), empfiehlt Citrix die Verlängerung des Basisintervalls, um den Mehraufwand zu verringern, der beim Importieren von Lizenzen entsteht. Wenn Sie davon ausgehen, dass Apple häufig Änderungen an den Volume Purchase-Lizenzen vornimmt, rät Citrix dazu, den Wert zu verringern, damit XenMobile fortlaufend mit den Änderungen aktualisiert wird. Das Mindestintervall zwischen den zwei Basiswerten beträgt 60 Minuten. Da der Cron Job alle 60 Minuten ausgeführt wird, kann das Intervall zwischen Basiswerten auf bis zu 119 Minuten steigen, wenn das Volume Purchase-Basisintervall auf 60 Minuten festgelegt ist.
Maximales Inaktivitätsintervall (in Minuten) für das XenMobile MDM-Selbsthilfeportal: Dieser Eigenschaftsname spiegelt ältere XenMobile-Versionen wider. Die Eigenschaft steuert das maximale Inaktivitätsintervall der XenMobile-Konsole. Das Intervall ist die Zeit in Minuten, nach der ein inaktiver Benutzer von der XenMobile-Konsole abgemeldet wird. Ein Timeoutwert von 0 bedeutet, dass ein inaktiver Benutzer angemeldet bleibt. Die Standardeinstellung ist 30.
Abgelaufene Unterstützung für Nexmo SMS-Gateway: Die Eigenschaft deprecate.carrier.sms.gateway entfernt die Unterstützung für das Nexmo SMS-Gateway, sie ist standardmäßig auf True gesetzt. Die Unterstützung für Nexmo SMS läuft auch im Selbsthilfeportal aus.
Abgelaufene Unterstützung für Mobilfunkanbieterschnittstelle (MSP-Schnittstelle): Mit der Eigenschaft deprecate.mobile.service.provider wird die MSP-Oberfläche aus der XenMobile Server-Konsole entfernt, sie ist standardmäßig auf True festgelegt.
Abgelaufene Unterstützung für Windows Information Protection: Gemäß Windows-Ankündigung wurde die Unterstützung für Windows Information Protection (WIP) von XenMobile Server eingestellt. Die Servereigenschaft windows.wip.deprecation entfernt die Unterstützung für WIP, sie ist standardmäßig auf True festgelegt.
Unterstützung für Unternehmensapps auf macOS-Geräten: Wenn die Eigenschaft mac.app.push auf Truegesetzt ist, werden die Unternehmensapps beim Download auf Geräte mit macOS automatisch installiert.
Unterstützung für eSIM auf iOS-Geräten: Bei Festlegung der Eigenschaft ios.esim.support auf True ruft XenMobile Server die eSIM-Informationen von iOS-Geräten ab und zeigt die eSIM-bezogenen Geräteeigenschaften an.
Unterstützung für das Feld “Domäne” in der Wi-Fi-Richtlinie für 802.1x-Einstellungen für Android Enterprise: Wenn die Eigenschaft afw.network.domain.support auf True gesetzt ist, wird das Feld Domäne zu den 802.1x-Einstellungen für Android Enterprise hinzugefügt.