XenMobile Server : version actuelle

Propriétés du serveur

Les propriétés de serveur sont des propriétés globales qui s’appliquent aux opérations, utilisateurs et appareils sur une instance XenMobile entière. Citrix vous recommande d’évaluer pour votre environnement les propriétés de serveur abordées dans cet article. Assurez-vous de consulter Citrix avant de modifier d’autres propriétés du serveur.

La modification de certaines propriétés de serveur nécessite un redémarrage de chaque nœud de serveur XenMobile. XenMobile vous informe lorsqu’un redémarrage est requis.

Certaines propriétés de serveur contribuent à améliorer les performances et la stabilité. Pour plus d’informations, consultez la section Optimisation des opérations XenMobile.

Mettre à disposition les applications Android d’ancienne génération sur les appareils Android Enterprise : si l’option afw.allow.legacy.apps est définie sur true, les appareils Android Enterprise reçoivent à la fois les applications Android d’ancienne génération et les applications Android Enterprise. Si l’option est définie sur false, les appareils Android Enterprise reçoivent uniquement les applications Android Enterprise. La valeur par défaut est true.

Autoriser les extensions de fichier pour la stratégie de fichiers : configurez l’option file.extension.allowlist à l’aide d’une liste séparée par des virgules des types de fichiers que les administrateurs peuvent charger à l’aide de la stratégie de fichiers. Les types de fichiers suivants ne peuvent pas être chargés même si vous les ajoutez à cette liste d’autorisation :

  • .cab
  • .appx
  • .ipa
  • .apk
  • .xap
  • .mdx
  • .exe

La valeur par défaut est 7z,rar,zip,csv,xls,xlsx,jad,jar,pdf,bmp,gif,jpg,png,pps,ppt,pptx,bsh,js,lua,mscr,pl,py,rb,sh,tcl,txt,htm,html,doc,docx,rtf,xap.

Accéder à toutes les applications dans Google Play Store d’entreprise : lorsque l’option est définie sur true, XenMobile rend toutes les applications du Google Play Store public accessibles depuis le Google Play Store d’entreprise. La définition de cette propriété sur true autorise les applications du Google Play Store public pour tous les utilisateurs d’Android Entreprise. Les administrateurs peuvent ensuite utiliser la stratégie Restrictions pour contrôler l’accès à ces applications. Valeur par défaut false.

Inscription d’appareils Android Enterprise en mode profil de travail sur appareils appartenant à l’entreprise : lorsque l’option afw.work_profile_for_corporate_owned_device.enrollment_mode.enabled est définie sur true, les appareils exécutant Android 11 ou version ultérieure peuvent s’inscrire au mode profil de travail sur appareils appartenant à l’entreprise (mode WPCOD). La console XenMobile Server reflète les modifications apportées à ce mode d’inscription. Si cette option est définie sur false, aucun paramètre WPCOD n’est disponible. La valeur par défaut est true.

Paramètres de restrictions Android Enterprise supplémentaires : si l’option afw.restriction.policy.v2est définie sur true, les paramètres de restriction suivants sont disponibles pour les appareils Android Enterprise :

  • Autoriser désinstallation d’applications
  • Autoriser le partage Bluetooth

Pour de plus amples informations sur ces paramètres, consultez la section Stratégies de restrictions.

Restrictions Android Enterprise pour les appareils COPE : définissez l’option afw.restriction.cope sur true pour activer le paramètre Appliquer aux appareils entièrement gérés avec un profil de travail/profil de travail sur appareils appartenant à l’entreprise dans la stratégie de restrictions. La valeur par défaut est true. Pour de plus amples informations sur ce paramètre, consultez la section Stratégies de restrictions.

Autoriser les noms d’hôte pour les liens App Store iOS : la propriété ios.app.store.allowed.hostnames est une liste des noms d’hôtes autorisés utilisés lors du chargement d’applications publiques de l’App Store sur le serveur à l’aide des API publiques. Si vous envisagez de charger des applications publiques de l’App Store à l’aide des API publiques plutôt que de les charger via le serveur, configurez cette propriété. La valeur par défaut est itunes.apple.com,vpp.itunes.apple.com,apps.apple.com.

Port APNS secondaire : vous pouvez utiliser le port 2197 au lieu du port 443 pour envoyer et recevoir des notifications APNs depuis api.push.apple.com. Le port utilise l’API du fournisseur APNs basé sur HTTP/2. Définissez la propriété apns.http2.alternate.port.enabled sur true pour utiliser le port 2197. La valeur par défaut de la propriété de serveur apns.http2.alternate.port.enabled est false.

Activer la validation du mot de passe pour empêcher l’ajout d’utilisateurs locaux possédant des mots de passe faibles : si l’option enable.password.strength.validation est définie sur true, vous ne pouvez pas ajouter d’utilisateurs locaux possédant des mots de passe faibles. Si l’option est définie sur false, vous pouvez créer des utilisateurs locaux avec un mot de passe faible. La valeur par défaut est true.

Bloquer l’inscription des appareils iOS jailbreakés et des appareils Android rootés : lorsque cette propriété est définie sur true, XenMobile bloque les inscriptions pour les appareils Android rootés et les appareils iOS jailbreakés. La valeur par défaut est true. Le paramètre recommandé est true pour tous les niveaux de sécurité.

Inscription requise : wsapi.mdm.required.flag cette propriété, qui s’applique uniquement lorsque le mode de XenMobile Server est défini sur ENT, indique si vous souhaitez que les utilisateurs s’inscrivent à MDM. La propriété s’applique à tous les utilisateurs et appareils de l’instance XenMobile. La nécessité d’une inscription offre un niveau de sécurité supérieur. Cependant, cette décision dépend si vous voulez exiger MDM ou non. Par défaut, l’inscription n’est pas requise.

Lorsque cette propriété est définie sur false, les utilisateurs pourront refuser l’inscription, mais ne pourront toujours accéder aux applications sur leurs appareils via le XenMobile Store. Lorsque cette propriété est définie sur true, tout utilisateur refusant l’inscription se voit refuser l’accès aux applications.

Si vous modifiez cette propriété après l’inscription des utilisateurs, les utilisateurs doivent se réinscrire.

Pour plus d’informations sur l’exigence (ou non) d’une inscription MDM, consultez la section Gestion des appareils et inscription MDM.

Enable multimode enrollment : la propriété enable.multimode.xms permet de créer des profils d’inscription sur un XenMobile Server qui contrôle les paramètres d’inscription pour la gestion des appareils et des applications pour Android et iOS. En outre, la nouvelle fonctionnalité de profils d’inscription améliorés permet l’inscription d’appareils dédiés pour Android et l’inscription MAM exclusif pour les appareils Android et iOS. Lorsque cette propriété est false, ces options d’inscription ne sont pas disponibles lors de la configuration de profils d’inscription. La valeur par défaut est true. Les appareils qui s’inscrivent lorsque cette propriété est true fonctionnent toujours si vous réglez la propriété sur false.

Activer le portail d’auto-assistance : si shp.console.enable est false, empêche l’accès au portail en libre-service. Les utilisateurs qui accèdent au portail en libre-service sur le port 443 reçoivent une erreur 404. Les utilisateurs qui accèdent au portail sur le port 4443 reçoivent un message « Accès refusé ». Si cette propriété est définie sur true, permet d’accéder au portail en libre-service via le port 443. Valeur par défaut false.

Local user account lockout limit : à l’aide de la stratégie de restriction, vous pouvez définir une limite sur les tentatives de connexion pour les utilisateurs Active Directory. Utilisez la clé local.user.account.lockout.limit pour faire de même pour les comptes d’utilisateurs locaux. Une fois que les utilisateurs ont tenté de se connecter le nombre de fois que vous spécifiez, ils ne peuvent pas réessayer tant qu’un certain temps ne s’est pas écoulé. Configurez ce délai avec la propriété Local user account lockout time. La valeur par défaut est 6.

Local user account lockout time : la propriété local.user.account.lockout.time vous permet de définir un nombre de minutes qui doivent s’écouler avant qu’un compte d’utilisateur local verrouillé puisse tenter de se connecter à nouveau. La valeur par défaut est de 30 minutes.

Maximum size of file upload restriction enabled : activez la restriction de la taille maximale de fichier pour les chargements, paramètre max.file.size.upload.restriction sur true. Si vous activez cette restriction, configurez la taille maximale du fichier à l’aide de max.file.size.upload.allowed. La valeur par défaut de cette propriété est true.

Maximum size of file upload allowed : avec max.file.size.upload.allowed, vous pouvez définir une taille maximale de fichier pour les chargements. Exemples de valeur : 500 B, 1 KB, 1 MB, 1 MiB, 1 G ou 1 GiB. La valeur par défaut est 5 MB.

Délai d’inactivité en minutes : il s’agit du nombre de minutes après lequel XenMobile ferme la session d’un utilisateur inactif qui utilisait l’API publique de XenMobile Server pour accéder à la console XenMobile ou à toute application tierce. Un délai d’expiration de 0 signifie qu’un utilisateur inactif reste connecté. Pour les applications tierces qui accèdent à l’API, il est généralement nécessaire de rester connecté. La valeur par défaut est 5.

Inscription à la gestion des appareils iOS : installer l’autorité de certification racine si nécessaire : le dernier workflow d’inscription d’Apple nécessite que les utilisateurs installent manuellement les profils MDM. Ce workflow ne s’applique pas à l’inscription MDM aux serveurs affectés dans Apple Business Manager ou Apple School Manager. Toutefois, lors de l’inscription manuelle dans MDM, les utilisateurs d’appareils iOS reçoivent uniquement l’invite de certificat d’appareil MDM lors de l’inscription.

Pour améliorer l’expérience utilisateur lors de l’inscription manuelle, Citrix recommande de modifier la propriété du serveur ios.mdm.enrollment.installRootCaIfRequired sur false. La valeur par défaut est true. Avec cette modification, une fenêtre Safari s’ouvre pendant l’inscription MDM afin de simplifier l’installation du profil pour les utilisateurs.

Intervalle de ligne de base minimum VPP : la propriété vpp.baseline définit l’intervalle minimum après lequel XenMobile ré-importe les licences d’achat en volume depuis Apple. L’actualisation des informations de licence permet de s’assurer que XenMobile reflète toutes les modifications, par exemple en cas de suppression manuelle d’une application importée à partir de l’achat en volume. Par défaut, XenMobile actualise la ligne de base de licence d’achat en volume toutes les 1440 minutes au minimum.

Si de nombreuses licences d’achat en volume sont installées (plus de 50 000, par exemple), Citrix vous recommande d’augmenter l’intervalle de ligne de base pour réduire la charge de l’importation de licences. Si vous prévoyez des modifications fréquentes de licence d’achat en volume depuis Apple, Citrix vous recommande de réduire la valeur pour que XenMobile reste à jour. L’intervalle minimal entre deux lignes de base est de 60 minutes. Étant donné que la tâche cron s’exécute toutes les 60 minutes, si l’intervalle entre les références d’achat en volume est de 60 minutes, l’intervalle entre les références peut être retardé, jusqu’à 119 minutes.

Intervalle max d’inactivité sur le portail en libre-service de XenMobile MDM (minutes) : ce nom de propriété reflète les anciennes versions de XenMobile. La propriété contrôle l’intervalle maximal d’inactivité de la console XenMobile. Cet intervalle est le nombre de minutes après lesquelles XenMobile ferme la session d’un utilisateur inactif sur la console XenMobile. Un délai d’expiration de 0 signifie qu’un utilisateur inactif reste connecté. La valeur par défaut est 30.

Fin de la prise en charge de la passerelle Nexmo SMS : la propriété deprecate.carrier.sms.gateway supprime la prise en charge de la passerelle Nexmo SMS, qui est définie sur True par défaut. La prise en charge de Nexmo SMS est également obsolète dans le portail en libre-service.

Fin de la prise en charge de l’interface du fournisseur de services mobiles (MSP) : la propriété deprecate.mobile.service.provider supprime l’interface MSP de la console XenMobile Server, qui est définie sur True par défaut.

Fin de la prise en charge de la stratégie Protection des informations Windows : conformément à l’annonce de Windows, XenMobile Server ne prend plus en charge la Protection des informations Windows (WIP). La propriété du serveur windows.wip.deprecation supprime la prise en charge de WIP, qui est définie sur True par défaut.

Prise en charge des applications d’entreprise sur les appareils macOS : si la propriété mac.app.push est définie sur True, les applications d’entreprise sont automatiquement installées lors de leur téléchargement sur les appareils exécutant macOS.

Prise en charge de la carte eSIM sur les appareils iOS : si la propriété ios.esim.support est définie sur True, XenMobile Server obtient les informations de la carte eSIM des appareils iOS et affiche les propriétés de l’appareil associées à la carte eSIM sur l’interface utilisateur.

Prise en charge du champ “ Domaine ” dans la politique Wi-Fi pour les paramètres 802.1x pour Android Enterprise : si la propriété afw.network.domain.support est définie sur True, le champ Domaine est ajouté dans les paramètres 802.1x pour Android Enterprise.

Propriétés du serveur

Dans cet article