Propriétés du serveur
Les propriétés de serveur sont des propriétés globales qui s’appliquent aux opérations, utilisateurs et appareils sur une instance XenMobile entière. Citrix vous recommande d’évaluer pour votre environnement les propriétés de serveur abordées dans cet article. Assurez-vous de consulter Citrix avant de modifier d’autres propriétés du serveur.
La modification de certaines propriétés du serveur nécessite le redémarrage de chaque nœud . XenMobile vous informe lorsqu’un redémarrage est requis.
Certaines propriétés de serveur contribuent à améliorer les performances et la stabilité. Pour plus d’informations, consultez la section Optimisation des opérations XenMobile.
Distribution des applications Android d’ancienne génération aux appareils Android Enterprise : si la propriété afw.allow.legacy.apps est définie sur true, les appareils Android Enterprise reçoivent à la fois les applications Android d’ancienne génération et les applications Android Enterprise. Si false, les appareils Android Enterprise reçoivent uniquement les applications Android Enterprise. La valeur par défaut est true.
Autorisation des extensions de fichiers dans la stratégie Fichiers : configurez file.extension.allowlist avec une liste de types de fichiers séparés par une virgule que les administrateurs peuvent télécharger à l’aide de la stratégie d’appareils Fichiers. Les types de fichiers suivants ne peuvent pas être chargés même si vous les ajoutez à cette liste d’autorisation :
- .cab
- .appx
- .ipa
- .apk
- .xap
- .mdx
- .exe
La valeur par défaut est 7z,rar,zip,csv,xls,xlsx,jad,jar,pdf,bmp,gif,jpg,png,pps,ppt,pptx,bsh,js,lua,mscr,pl,py,rb,sh,tcl,txt,htm,html,doc,docx,rtf,xap.
Accès à toutes les applications du Google Play Store géré : si cette propriété est définie sur true, XenMobile rend toutes les applications du Google Play Store public accessibles depuis le Google Play Store géré. La définition de cette propriété sur true autorise les applications du Google Play Store public pour tous les utilisateurs d’Android Enterprise. Les administrateurs peuvent ensuite utiliser la stratégie Restrictions pour contrôler l’accès à ces applications. La valeur par défaut est false.
Inscription des appareils d’entreprise au profil professionnel Android Enterprise : si la propriété afw.work_profile_for_corporate_owned_device.enrolment_mode.enabled est définie sur true, les appareils exécutant Android 11 ou une version ultérieure peuvent s’inscrire au profil professionnel des appareils d’entreprise (WPCOD). Les modifications apportées à ce mode d’inscription sont intégrées dans la console . Si la propriété est définie sur false, aucun paramètre WPCOD n’est disponible. La valeur par défaut est true.
Paramètres de restriction supplémentaires pour Android Enterprise : si la propriété afw.restriction.policy.v2 est définie sur true, les paramètres de restriction suivants sont disponibles pour les appareils Android Enterprise :
- Autoriser désinstallation d’applications
- Autoriser le partage Bluetooth
Pour de plus amples informations sur ces paramètres, consultez la section Stratégies de restrictions.
Restrictions Android Enterprise pour les appareils COPE : définissez afw.restriction.cope sur true pour activer le paramètre Appliquer aux appareils de l’entreprise entièrement gérés, dotés d’un profil professionnel/personnel dans la stratégie d’appareil relative aux restrictions. La valeur par défaut est true. Pour de plus amples informations sur ce paramètre, consultez la section Stratégies de restrictions.
Autorisation des noms d’hôte dans les liens de l’App Store iOS : la propriété ios.app.store.allowed.hostnames est une liste de noms d’hôtes autorisés, utilisés lors du chargement d’applications de l’App Store public sur le serveur à l’aide des API publiques. Si vous envisagez de charger des applications publiques de l’App Store à l’aide des API publiques plutôt que de les charger via le serveur, configurez cette propriété. La valeur par défaut est itunes.apple.com,vpp.itunes.apple.com,apps.apple.com.
Port APN alternatif : vous pouvez utiliser le port 2197 au lieu du port 443 pour envoyer et recevoir des notifications APN depuis api.push.apple.com. Le port utilise l’API du fournisseur APNs basé sur HTTP/2. Définissez la propriété apns.http2.alternate.port.enabled sur true pour utiliser le port 2197. La valeur par défaut de la propriété de serveur apns.http2.alternate.port.enabled est false.
Activation de la validation des mots de passe pour empêcher les utilisateurs locaux d’utiliser des mots de passe faibles : si la propriété enable.password.strength.validation est définie sur true, vous ne pouvez pas ajouter d’utilisateurs locaux ayant un mot de passe faible. Si cette propriété est définie sur false, vous pouvez créer des utilisateurs locaux même si leur mot de passe est faible. La valeur par défaut est true.
Blocage de l’inscription des appareils Android rootés et iOS jailbreakés : si cette propriété est définie sur true, XenMobile bloque les inscriptions des appareils Android rootés et des appareils iOS jailbreakés. La valeur par défaut est true. Le paramètre recommandé est true pour tous les niveaux de sécurité.
Inscription requise : wsapi.mdm.required.flag, qui ne s’applique que si le mode est ENT, spécifie si vous demandez ou non aux utilisateurs de s’inscrire à MDM. La propriété s’applique à tous les utilisateurs et appareils de l’instance XenMobile. La nécessité d’une inscription offre un niveau de sécurité supérieur. Cependant, cette décision dépend si vous voulez exiger MDM ou non. Par défaut, l’inscription n’est pas requise.
Lorsque cette propriété est définie sur false, les utilisateurs peuvent refuser l’inscription, mais peuvent toujours accéder aux applications de leurs appareils via le XenMobile Store. Lorsque cette propriété est définie sur true, tout utilisateur qui refuse de s’inscrire se voit refuser l’accès à toutes les applications.
Si vous modifiez cette propriété après l’inscription des utilisateurs, les utilisateurs doivent se réinscrire.
Pour plus d’informations sur l’exigence (ou non) d’une inscription MDM, consultez la section Gestion des appareils et inscription MDM.
Activation de l’inscription multimode : la propriété enable.multimode.xms vous permet de créer des profils d’inscription sur XenMobile Server qui contrôle les paramètres d’inscription dans le cadre de la gestion des appareils Android et iOS et des applications. En outre, la nouvelle fonctionnalité de profils d’inscription améliorés permet l’inscription d’appareils dédiés pour Android et l’inscription MAM exclusif pour les appareils Android et iOS. Si cette propriété est définie sur false, ces options d’inscription ne sont pas disponibles lors de la configuration des profils d’inscription. La valeur par défaut est true. Si cette propriété est définie sur true, les appareils qui s’inscrivent fonctionnent toujours même si vous remplacez la valeur par false.
Activation du portail d’auto-assistance : si la propriété shp.console.enable est définie sur false, cela empêche l’accès au portail d’auto-assistance. Les utilisateurs qui accèdent au portail en libre-service sur le port 443 reçoivent une erreur 404. Les utilisateurs qui accèdent au portail sur le port 4443 reçoivent un message « Accès refusé ». Si elle est définie sur true, elle permet d’accéder au portail d’auto-assistance via le port 443. La valeur par défaut est false.
Local user account lockout limit : à l’aide de la stratégie de restriction, vous pouvez définir une limite sur les tentatives de connexion pour les utilisateurs Active Directory. Utilisez la clé local.user.account.lockout.limit pour appliquer le même comportement aux comptes d’utilisateurs locaux. Une fois que les utilisateurs ont tenté de se connecter le nombre de fois que vous spécifiez, ils ne peuvent pas réessayer tant qu’un certain temps ne s’est pas écoulé. Configurez ce délai avec la propriété Local user account lockout time. La valeur par défaut est 6.
Durée de verrouillage du compte utilisateur local : la propriété local.user.account.lockout.time vous permet de définir le délai, en minutes, qui doit s’écouler avant qu’un compte utilisateur local verrouillé puisse essayer de se reconnecter. La valeur par défaut est de 30 minutes.
Restriction activée sur la taille maximale des fichiers de chargement : activez la restriction sur la taille maximale des fichiers de chargement en définissant max.file.size.upload.restriction sur true. Si vous activez cette restriction, configurez la taille maximale des fichiers à l’aide de max.file.size.upload.allowed. La valeur par défaut de cette propriété est true.
Taille maximale autorisée pour les fichiers de chargement : la propriété max.file.size.upload.allowed vous permet de spécifier une taille de fichier maximale pour tous les chargements. Voici quelques exemples de valeurs : 500 o, 1 Ko, 1 Mo, 1 Mio, 1 Gou 1 Gio. La valeur par défaut est 5 Mo.
Délai d’inactivité en minutes : durée en minutes après laquelle XenMobile déconnecte un utilisateur inactif ayant accédé à la console XenMobile ou à toute application tierce à l’aide de l’API publique de XenMobile Server. Un délai d’expiration de 0 signifie qu’un utilisateur inactif reste connecté. Pour les applications tierces qui accèdent à l’API, il est généralement nécessaire de rester connecté. La valeur par défaut est 5.
Inscription à la gestion des appareils iOS : installer l’autorité de certification racine si nécessaire : le dernier workflow d’inscription d’Apple nécessite que les utilisateurs installent manuellement les profils MDM. Ce workflow ne s’applique pas à l’inscription MDM aux serveurs affectés dans Apple Business Manager ou Apple School Manager. Toutefois, lors de l’inscription manuelle dans MDM, les utilisateurs d’appareils iOS reçoivent uniquement l’invite de certificat d’appareil MDM lors de l’inscription.
Pour améliorer l’expérience utilisateur lors de l’inscription manuelle, Citrix recommande de remplacer la valeur de la propriété de serveur ios.mdm.enrollment.installRootCaIfRequired par False. La valeur par défaut est True. Avec cette modification, une fenêtre Safari s’ouvre pendant l’inscription MDM afin de simplifier l’installation du profil pour les utilisateurs.
Intervalle de référence VPP : la propriété vpp.baseline définit l’intervalle minimum au cours duquel XenMobile réimporte les licences d’achat en volume d’Apple. L’actualisation des informations de licence permet de s’assurer que XenMobile reflète toutes les modifications, par exemple en cas de suppression manuelle d’une application importée à partir de l’achat en volume. Par défaut, XenMobile actualise l’intervalle de référence des licences d’achat en volume au moins toutes les 1 440 minutes.
Si de nombreuses licences d’achat en volume sont installées (par exemple, plus de 50 000), Citrix vous recommande d’augmenter l’intervalle de référence afin de réduire les frais liés à l’importation des licences. Si vous vous attendez à des changements fréquents du nombre de licences d’achat en volume pour Apple, Citrix vous recommande de réduire la valeur pour tenir XenMobile à jour en fonction des modifications. L’intervalle minimal entre deux lignes de base est de 60 minutes. Étant donné que la tâche cron s’exécute toutes les 60 minutes, si l’intervalle de référence pour les achats en volume est de 60 minutes, la durée des intervalles de référence peut être prolongée jusqu’à 119 minutes.
Intervalle max d’inactivité sur le portail en libre-service de XenMobile MDM (minutes) : ce nom de propriété reflète les anciennes versions de XenMobile. La propriété contrôle l’intervalle maximal d’inactivité de la console XenMobile. Cet intervalle est le nombre de minutes après lesquelles XenMobile ferme la session d’un utilisateur inactif sur la console XenMobile. Un délai d’expiration de 0 signifie qu’un utilisateur inactif reste connecté. La valeur par défaut est 30.
Retrait de la passerelle SMS Nexmo : la propriété deprecate.carrier.sms.gateway retire la passerelle SMS Nexmo. Cette propriété est définie sur True par défaut. La prise en charge de Nexmo SMS est également obsolète dans le portail en libre-service.
Retrait de l’interface du fournisseur de services mobiles (MSP) : la propriété deprecate.mobile.service.provider retire la l’interface MSP de la console . Cette propriété est définie sur True par défaut.
Abandon de la stratégie Windows Information Protection : conformément à l’annonce de Windows , a abandonné la prise en charge de Windows Information Protection (WIP). La propriété de serveur windows.wip.deprecation retire la prise en charge de WIP. Cette propriété est définie sur True par défaut.
Abandon du champ « Contrôler Enterprise FOTA » dans la stratégie « Contrôler les mises à jour de système d’exploitation » pour Android Enterprise : si la propriété afw.disable.osupdate.efota est définie sur True, le champ Contrôler Enterprise FOTA est abandonné dans la stratégie « Contrôler les mises à jour de système d’exploitation » pour Android Enterprise. La valeur par défaut est définie sur True.
Prise en charge des applications d’entreprise sur les appareils macOS : si la propriété mac.app.push est définie sur True, les applications d’entreprise sont automatiquement installées lors de leur téléchargement sur des appareils exécutant macOS. La valeur par défaut est définie sur True.
Prise en charge de l’eSIM sur les appareils iOS : si la propriété ios.esim.support est définie sur True, XenMobile Server obtient les informations des cartes eSIM des appareils iOS et affiche les propriétés des appareils associés sur l’interface utilisateur.
Prise en charge du champ « Domaine » dans la stratégie Wi-Fi relative aux paramètres 802.1x pour Android Enterprise : si la propriété afw.network.domain.support est définie sur True, le champ Domaine est ajouté dans les paramètres 802.1x pour Android Enterprise.
Mise à jour automatique des applications facultatives sur iOS : si la propriété apple.ios.optional_app_update est définie sur True, les applications facultatives sur iOS souscrites depuis le magasin Citrix Secure Hub sont également mises à jour automatiquement. La valeur par défaut est définie sur False.
Amélioration du rapport sur les appareils avec le nombre total de tentatives de déploiement d’applications et les 100 applications les plus installées : si la propriété device.report.enhancement.enabled est définie sur True, deux nouvelles colonnes Version du système d’exploitation et Modèle de l’appareil sont ajoutées dans Nombre total des tentatives de déploiement d’applications. Le nouveau rapport sur les appareils Les 100 meilleures applications installées est ajouté pour afficher les 100 meilleures applications installées pour chaque plateforme.
Remise en service des appareils iPhone et iPad : lorsque la propriété ios.mdm.return.to.service est définie sur True, vous pouvez utiliser la fonction de remise en service des appareils iPhones et iPad exécutant iOS 17 ou une version ultérieure. La valeur par défaut de cette propriété est True.
Activation de l’option VPN Always-on dans la stratégie VPN pour Android Enterprise : si la propriété afw.policy.vpn_always_on_lockdown est définie sur True, les options Activer VPN Always-on et Activer le verrouillage sont intégrées à la stratégie VPN pour la plateforme Android Enterprise. La valeur par défaut est True.
Retrait de l’option VPN Always-on dans la stratégie relative aux options pour Android Enterprise : la propriété afw.policy.hide_vpn_always_on retire l’option VPN Always-on de la stratégie Options XenMobile sur la plateforme Android Enterprise. La valeur par défaut est True.
Alerte d’abandon des MDX d’ancienne génération : si la propriété legacy.mdx.deprecation.alert est définie sur True, une alerte apparaît sur la console XenMobile Server si vous avez publié des applications MDX avec le mode MDX d’ancienne génération. La valeur par défaut est True.
Utilisation de Firebase Cloud Messaging avec la nouvelle API http v1 : si la propriété afw.fcm.httpv1.migration est définie sur True, vous pouvez utiliser Firebase Cloud Messaging avec la nouvelle API HTTP v1. La valeur par défaut est False.
Remise en service des appareils iPhone et iPad : lorsque la propriété ios.mdm.return.to.service est définie sur True, vous pouvez utiliser la fonction de remise en service des appareils iPhones et iPad exécutant iOS 17 ou une version ultérieure. La valeur par défaut de cette propriété est True.
Accès à l’application de messagerie du profil professionnel et à son utilisation depuis le profil personnel : lorsque la propriété afw.mailapp.crossworkprofile est définie sur True, elle active la fonctionnalité qui permet d’accéder à l’application de messagerie du profil professionnel et de l’utiliser à partir du profil personnel dans les paramètres d’Android Enterprise. La valeur par défaut est True.
Contrainte d’application d’une version minimale du système d’exploitation afin de terminer la configuration lors de l’inscription automatique : lorsque la propriété ios.mdm.minimum_os_version.enrollment est définie sur True, vous pouvez forcer l’application d’une version minimale du système d’exploitation pour terminer la configuration lors de l’inscription automatique sur iOS 17 ou version ultérieure. La valeur par défaut est True.
Prise en charge de Samsung Knox Enhanced Attestation v3 : lorsque la propriété afw.knox.attestation.v3 est définie sur True, vous pouvez améliorer la fonctionnalité de sécurité sur les appareils Samsung Knox. La valeur par défaut est True.