Propriedades do servidor
Propriedades do servidor são propriedades globais que se aplicam a operações, usuários e dispositivos em uma instância inteira do XenMobile. A Citrix recomenda que você avalie para o seu ambiente as propriedades do servidor abordadas neste artigo. Não deixe de consultar a Citrix antes de alterar outras propriedades do servidor.
Uma alteração em algumas propriedades do servidor exige a reinicialização de cada nó . O XenMobile avisa quando uma reinicialização é necessária.
Algumas propriedades do servidor ajudam a melhorar o desempenho e a estabilidade. Para obter mais informações, consulte Ajuste das operações do XenMobile.
Entregar aplicativos Android antigos para dispositivos Android Enterprise: se afw.allow.legacy.apps estiver definido como true, os dispositivos Android Enterprise receberão aplicativos Android antigos e aplicativos Android Enterprise. Se for false, os dispositivos Android Enterprise receberão somente aplicativos Android Enterprise. O padrão é true.
Permitir extensões de arquivo para a política de arquivos: configure file.extension.allowlist com uma lista separada por vírgulas dos tipos de arquivo que os administradores podem carregar usando a política de dispositivo Arquivos. Os seguintes tipos de arquivo não podem ser carregados, mesmo que você os adicione a esta lista de permissões:
- .cab
- .appx
- .ipa
- .apk
- .xap
- .mdx
- .exe
O valor padrão é 7z,rar,zip,csv,xls,xlsx,jad,jar,pdf,bmp,gif,jpg,png,pps,ppt,pptx,bsh,js,lua,mscr,pl,py,rb,sh,tcl,txt,htm,html,doc,docx,rtf,xap.
Acessar todos os aplicativos no Google Play Store gerenciado: se for true, o XenMobile tornará todos os aplicativos do Google Play Store público acessíveis a partir do Google Play Store gerenciado. Definir esta propriedade como true acrescentará os aplicativos da loja pública do Google Play a uma lista de permissão para todos os usuários do Android Enterprise. Os administradores podem usar a Política de dispositivo de restrições para controlar o acesso a esses aplicativos. O padrão é false.
Registro do perfil de trabalho do Android Enterprise em dispositivos corporativos: quando afw.work_profile_for_corporate_owned_device.enrollment_mode.enabled estiver definido como true, os dispositivos com Android 11 ou posterior poderão se registrar no perfil de trabalho no modo de dispositivos corporativos (WPCOD). O console do reflete as alterações nesse modo de registro. Se definido como false, nenhuma configuração de WPCOD estará disponível. O valor padrão é true.
Configurações adicionais de restrições do Android Enterprise: se a propriedade afw.restriction.policy.v2 estiver definida como true, as seguintes configurações de restrição estarão disponíveis para dispositivos Android Enterprise:
- Permitir a desinstalação de aplicativos
- Permitir compartilhamento por Bluetooth
Para obter mais informações sobre essas configurações, consulte a Política de dispositivo de restrições.
Restrições do Android Enterprise para dispositivos COPE: defina afw.restriction.cope como true para ativar a configuração Aplicar a dispositivos totalmente gerenciados com um perfil de trabalho/perfil de trabalho em dispositivos corporativos na política de dispositivo de restrições. O padrão é true. Para obter mais informações sobre essa configuração, consulte Política de dispositivo de restrições.
Permitir nomes de host para links da iOS App Store: a propriedade ios.app.store.allowed.hostnames é uma lista de nomes de host permitidos usados ao carregar aplicativos da loja de aplicativos pública para o servidor usando as APIs públicas. Se você planeja fazer upload de aplicativos da loja de aplicativos pública usando as APIs públicas em vez de fazer o upload dos aplicativos pelo servidor, configure essa propriedade. O valor padrão é itunes.apple.com,vpp.itunes.apple.com,apps.apple.com.
Porta alternativa de APNs: você pode usar a porta 2197 em vez da porta 443 para enviar e receber notificações de APNs de api.push.apple.com. A porta usa a API do provedor APNs baseada em HTTP/2. Defina a propriedade apns.http2.alternate.port.enabled como true para usar a porta 2197. O valor padrão da propriedade do servidor apns.http2.alternate.port.enabled é false.
Ativar a validação de senha para evitar usuários locais com senhas fracas: se enable.password.strength.validation estiver definido como true, você não poderá adicionar usuários locais com uma senha fraca. Se definido como false, você poderá criar usuários locais com uma senha fraca. O padrão é true.
Bloquear o registro de dispositivos Android com root e iOS desbloqueados: quando essa propriedade é true, o XenMobile bloqueia registros para dispositivos Android com root e dispositivos iOS desbloqueados. O padrão é true. A configuração recomendada é true para todos os níveis de segurança.
Registro obrigatório: wsapi.mdm.required.flag, que se aplica somente quando o modo é ENT, especifica se você exige que os usuários se registrem no MDM. A propriedade se aplica a todos os usuários e dispositivos da instância do XenMobile. Exigir registro oferece um nível mais alto de segurança. No entanto, essa decisão depende se você deseja exigir o MDM. Por padrão, o registro não é obrigatório.
Quando essa propriedade é false, os usuários podem recusar o registro, mas ainda podem acessar aplicativos em seus dispositivos por meio do XenMobile Store. Quando essa propriedade for true, qualquer usuário que recusar o registro terá acesso negado a qualquer aplicativo.
Se você alterar essa propriedade depois que os usuários se registrarem, os usuários deverão se registrar novamente.
Para ver um debate sobre a necessidade de exigir o registro no MDM, consulte Gerenciamento de dispositivos e Registro do MDM.
Ativar o registro multimodo: a propriedade enable.multimode.xms permite criar perfis de registro em um XenMobile Server que controla as configurações de registro para o gerenciamento de dispositivos e aplicativos para dispositivos Android e iOS. Além disso, o novo recurso de perfis de registro aprimorado permite o registro de dispositivos dedicados para Android e o registro somente MAM para dispositivos Android e iOS. Quando essa propriedade é false, essas opções de registro não estão disponíveis ao configurar perfis de registro. O valor padrão é true. Os dispositivos que se registram quando essa propriedade for true ainda funcionarão se você alterar a propriedade para false.
Ativar o portal de autoajuda: se shp.console.enable for false, isso impedirá o acesso ao portal de autoajuda. Os usuários que navegam para o Portal de Autoajuda na porta 443 recebem um erro 404. Os usuários que navegam para o portal na porta 4443 recebem uma mensagem “Acesso negado”. Se for true, fornecerá acesso ao portal de autoajuda pela porta 443. O padrão é false.
Limite de bloqueio de conta de usuário local: utilizando a política de restrição, você pode definir um limite para tentativas de logon para usuários do Active Directory. Use a chave local.user.account.lockout.limit para fazer o mesmo com contas de usuários locais. Depois que os usuários tentarem fazer logon no número de vezes que você especificar, eles não poderão tentar novamente até que um período de tempo passe. Configure esse período de tempo com a propriedade de Tempo de bloqueio de conta de usuário local. O valor padrão é 6.
Tempo de bloqueio da conta de usuário local: a propriedade local.user.account.lockout.time permite que você defina alguns minutos que devem passar antes que uma conta de usuário local bloqueada tente entrar novamente. O valor padrão é 30 minutos.
Restrição de tamanho máximo de upload de arquivo ativada: ative a restrição do tamanho máximo de arquivo para uploads configurando max.file.size.upload.restriction como true. Se você ativar essa restrição, configure o tamanho máximo do arquivo usando max.file.size.upload.allowed. O valor padrão para essa propriedade é true.
Tamanho máximo do upload de arquivo permitido: com max.file.size.upload.allowed, você pode especificar um tamanho máximo de arquivo para qualquer upload. Os valores de exemplo incluem 500 B, 1 KB, 1 MB, 1 MiB, 1 G ou 1 GiB. O valor padrão é 5 MB.
Tempo limite de inatividade em minutos: o número de minutos após os quais o XenMobile desconecta um usuário inativo que usou a API pública do XenMobile Server para acessar o console do XenMobile ou qualquer aplicativo de terceiros. Um valor de tempo limite de 0 significa que um usuário inativo permanece conectado. Para aplicativos de terceiros que acessam a API, normalmente é necessário permanecer conectado. O padrão é 5.
Registro no gerenciamento de dispositivo iOS: instalar CA raiz se necessário: o fluxo de trabalho de registro mais recente da Apple requer que os usuários instalem manualmente os perfis MDM. Esse fluxo de trabalho não se aplica ao registro do MDM em servidores atribuídos no Apple Business Manager ou Apple School Manager. No entanto, durante o registro manual no MDM, os usuários de dispositivos iOS recebem somente a solicitação do certificado de dispositivo MDM durante o registro.
Para proporcionar uma melhor experiência ao usuário durante o registro manual, a Citrix recomenda alterar a propriedade do servidor ios.mdm.enrollment.installRootCaifRequired para False. O valor padrão é True. Com essa alteração, uma janela do Safari é aberta durante o registro no MDM para simplificar a instalação do perfil para os usuários.
Intervalo de linha de base do VPP: a propriedade vpp.baseline define o intervalo mínimo em que o XenMobile reimporta as licenças de compra por volume da Apple. A atualização de informações de licença garante que o XenMobile reflita todas as alterações, como quando você exclui manualmente um aplicativo importado da compra por volume. Por padrão, o XenMobile atualiza a linha de base da licença de compra por volume no mínimo a cada 1440 minutos.
Se você tem muitas licenças de compra por volume instaladas (por exemplo, mais de 50.000), a Citrix recomenda que você aumente o intervalo básico para reduzir a sobrecarga de importação de licenças. Se você espera alterações frequentes na licença de compra por volume da Apple, a Citrix recomenda que você reduza o valor para manter o XenMobile atualizado com as alterações. O intervalo mínimo entre duas linhas de base é de 60 minutos. Como o cron job é executado a cada 60 minutos, se o intervalo da linha de base da compra por volume for de 60 minutos, o intervalo entre as linhas de base poderá ser adiado em até 119 minutos.
Intervalo máximo de inatividade para o console do portal de autoatendimento do XenMobile MDM (em minutos): esse nome de propriedade reflete as versões antigas do XenMobile. A propriedade controla o intervalo máximo de inatividade do console XenMobile. Esse intervalo é o número de minutos após os quais o XenMobile faz logoff de um usuário inativo do console XenMobile. Um tempo limite de 0 significa que um usuário inativo permanece conectado. O padrão é 30.
Suporte obsoleto para o gateway Nexmo SMS: a propriedade deprecate.carrier.sms.gateway remove o suporte para o gateway SMS Nexmo, que é definido como True por padrão. O Nexmo SMS também foi preterido no Portal de Autoajuda.
Suporte preterido para a interface do provedor de serviços móveis (MSP): a propriedade deprecate.mobile.service.provider remove a interface MSP do console do , que está definida como True por padrão.
Suporte preterido para a política do Windows Information Protection: de acordo com o anúncio do Windows, suspendeu o suporte para o Windows Information Protection (WIP). A propriedade do servidor windows.wip.deprecation remove o suporte para o WIP, que está definida como True por padrão.
Suporte preterido para o campo “Controlar Enterprise FOTA” na política Controlar atualização de SO para Android Enterprise: se a propriedade afw.disable.osupdate.efota estiver definida como True, o campo Controlar Enterprise FOTA será descontinuado na política Controlar atualização de SO para Android Enterprise. O valor padrão é definido como True.
Suporte para aplicativos corporativos em dispositivos macOS: se a propriedade mac.app.push estiver definida como True, os aplicativos corporativos serão instalados automaticamente quando baixados em dispositivos que executam o macOS. O valor padrão é definido como True.
Suporte para eSIM em dispositivos iOS: se a propriedade ios.esim.support estiver definida como True, o XenMobile Server obterá as informações do eSIM dos dispositivos iOS e exibirá as propriedades relacionadas ao eSIM na interface do usuário.
Suporte ao campo “Domínio” na política de Wi-Fi para configurações 802.1x para Android Enterprise: se a propriedade afw.network.domain.support estiver definida como True, o campo Domínio será adicionado às Configurações 802.1x para Android Enterprise.
Suporte para atualização automática de aplicativos opcionais no iOS: se a propriedade apple.ios.optional_app_update estiver definida como True, os aplicativos opcionais no iOS inscritos na loja do Citrix Secure Hub também serão atualizados automaticamente. O valor padrão é definido como False.
Aprimoramento do relatório do dispositivo para o total de tentativas de implantação de aplicativos e os 100 principais aplicativos instalados: se a propriedade device.report.enhancement.enabled estiver definida como True, duas novas colunas Versão do sistema operacional e Modelo do dispositivo serão adicionados em Total de tentativas de implantação de aplicativos, e o novo relatório de dispositivo Principais 100 aplicativos instalados foi adicionado para mostrar os 100 melhores aplicativos instalados em cada plataforma.
Suporte para Retorno ao Funcionamento para iPhone e iPad: quando a propriedade ios.mdm.return.to.service está definida como True, você pode usar o recurso Retorno ao Funcionamento para iPhones e iPads com iOS 17 ou posterior. A configuração padrão para essa propriedade é True.
Suporte para a opção de VPN always-on na política de VPN para Android Enterprise: se a propriedade afw.policy.vpn_always_on_lockdown estiver definida como True, as opções Ativar VPN always-on e Ativar bloqueio foram adicionadas na política VPN para a plataforma Android Enterprise. O valor padrão é True.
Suporte preterido para a opção VPN always-on na política de opções para Android Enterprise: a propriedade afw.policy.hide_vpn_always_on remove a opção VPN always-on da política de Opções do XenMobile na plataforma Android Enterprise. O valor padrão é True.
Alerta de descontinuação do MDX legado: se a propriedade legacy.mdx.deprecation.alert estiver definida como True, um alerta aparecerá no console do XenMobile Server se você tiver aplicativos do MDX com o modo MDX legado publicados. O valor padrão é True.
O suporte para Firebase Cloud Messaging migrou para usar a nova API http v1: se a propriedade afw.fcm.httpv1.migration estiver definida como True, você poderá usar o Firebase Cloud Messaging com a nova API HTTP v1. O valor padrão é False.
Suporte para Retorno ao Funcionamento para iPhone e iPad: quando a propriedade ios.mdm.return.to.service está definida como True, você pode usar o recurso Retorno ao Funcionamento para iPhones e iPads com iOS 17 ou posterior. A configuração padrão para essa propriedade é True.
Suporte para acessar e usar o aplicativo de email de perfil de trabalho a partir do perfil pessoal: quando a propriedade afw.mailapp.crossworkprofile está definida como True, ela ativa o recurso que permite acessar e usar o aplicativo de email de perfil de trabalho a partir do perfil pessoal nas configurações do Android Enterprise. O padrão é True.
Suporte para aplicar uma versão mínima do sistema operacional para concluir a configuração no registro automatizado: quando a propriedade ios.mdm.minimum_os_version.enrollment está definida como True, você pode impor um requisito mínimo de versão do sistema operacional para concluir a configuração durante o registro automatizado no iOS 17 ou posterior. O padrão é True.
Suporte para Samsung Knox Enhanced Attestation v3: quando a propriedade afw.knox.attestation.v3 é definida como True, você pode melhorar a funcionalidade de segurança em dispositivos Samsung Knox. O padrão é True.