Citrix Endpoint Management

客户端属性

客户端属性的信息直接提供给用户设备上的 Citrix Secure Hub。可以使用这些属性配置高级设置,如 Citrix PIN。您可以从 Citrix 支持部门获取客户机属性。

随着 Citrix Secure Hub 的每次发布,客户端属性都可能发生变化,客户端应用程序偶尔也会发生变化。有关通常要配置的客户端属性的详细信息,请参阅本文末尾的客户端属性参考

  1. 在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。
  2. 客户端下方,单击客户端属性。此时将显示客户端属性页面。可以从此页面添加、编辑和删除客户端属性。

    “客户端属性”屏幕

添加客户端属性

  1. 单击添加。此时将显示添加新客户端属性页面。

    “客户端属性”屏幕

  2. 配置以下设置:

    • 密钥: 从下拉列表中单击要添加的属性密钥。重要提示: 在更新设置之前,请联系 Citrix 支持。您可以申请一个特殊键。
    • 值: 选定属性的值。
    • 名称: 属性的名称。
    • 说明: 属性的说明。
  3. 单击保存

编辑客户端属性

  1. 客户端属性表格中,选择要编辑的客户端属性。

    选中客户机属性旁边的复选框以打开客户机属性列表上方的选项菜单。单击列表中的其他任意位置可在列表右侧打开选项菜单。

  2. 单击编辑。此时将显示编辑客户端属性页面。

    “客户端属性”屏幕

  3. 适当更改以下信息:

    • 键: 无法更改此字段。
    • 值: 属性值。
    • 名称: 属性名称。
    • 说明: 属性说明。
  4. 单击保存以保存您所做更改,或单击取消保留属性不变。

删除客户端属性

  1. 客户端属性表格中,选择要删除的客户端属性。

    通过选中每个属性旁边的复选框,可以选择多个要删除的属性。

  2. 单击删除。此时将显示确认对话框。再次单击删除

客户端属性参考

Citrix Endpoint Management 的预定义客户端属性及其默认设置如下所示:

  • ALLOW_CLIENTSIDE_PROXY

    • 显示名称:ALLOW_CLIENTSIDE_PROXY

    • 如果您的用户想要使用他们在 iOS 手机上配置的代理,请将此自定义策略设置为默认值 true

      某些用户可能已在其设备上的设置 > Wi-Fi > 配置代理中配置了代理。如果 Citrix Secure Hub 无法为这些用户打开,请执行以下操作之一:

      • 从设备上删除代理配置,然后重启 Citrix Secure Hub。
      • 将设备连接到另一个 Wi-Fi 网络。 Citrix Secure Hub 重新进行身份验证后,它会获得 ALLOW_CLIENTSIDE_PROXY 属性并打开。
    • 如果 ALLOW_CLIENTSIDE_PROXY 为且用户在其设备上配置了代理 ,则 Citrix Endpoint Management 会检测该代理。但是,Citrix Secure Hub 不使用代理并显示错误消息。如果设备连接到启用了代理的接入点或路由器,则 Citrix Endpoint Management 不会检测到代理。为了获得最高的安全性,我们建议您使用证书固定。 有关为 Citrix Secure Hub 启用证书固定功能的信息,请参阅证书固定。

    • 要配置此自定义客户端策略,请转至设置 > 客户端属性,添加自定义键 ALLOW_CLIENTSIDE_PROXY,并设置

  • CONTAINER_SELF_DESTRUCT_PERIOD

    • 显示名称:MDX 容器自毁期限
    • 自毁功能会阻止在指定的非活动天数后访问 Citrix Secure Hub 和托管应用程序。超过该时间限制后,应用程序将不再可用。擦除数据包括清除已安装的各应用程序的应用程序数据,包括应用程序缓存和用户数据。

      不活动时间是指在经过特定时间长度后,服务器不接收身份验证请求以验证用户。假设此属性为 30 天。如果用户未使用该应用程序的时间超过 30 天,则该政策将生效。

      此全局安全策略适用于 iOS 和 Android 平台,是对现有应用程序锁定和擦除策略的增强。

    • 要配置此全局策略,请转至设置 > 客户端属性,然后添加自定义键 CONTAINER_SELF_DESTRUCT_PERIOD
    • 值:天数
  • DEVICE_LOGS_TO_IT_HELP_DESK

    • 显示名称:向 IT 技术支持人员发送设备日志
    • 此属性启用或禁用向 IT 技术支持人员发送日志的功能。
    • 可能的值:truefalse
    • 默认值:false
  • DISABLE_LOGGING

    • 显示名称:禁用日志记录
    • 使用此属性可阻止用户从其设备收集和上载日志。此属性禁用 Citrix Secure Hub 和所有已安装的 MDX 应用程序的日志记录。用户无法从“支持”页面发送任何应用程序的日志。尽管出现了邮件合成对话框,但并未附加日志。此时将显示一条消息,指示日志记录功能已禁用。此设置还阻止您在 Citrix Secure Hub 和 MDX 应用程序的 Citrix Endpoint Management 控制台中更新日志设置。

      当此属性设置为时,Citrix Secure Hub 会将阻止应用程序日志设置为真。因此,应用新策略时,MDX 应用程序将停止日志记录。

    • 可能的值:truefalse
    • 默认值:false(不禁用日志记录)
  • ENABLE_CRASH_REPORTING

    • 显示名称:启用崩溃报告
    • 如果 属实,Citrix 会收集崩溃报告和诊断信息,以帮助解决适用于 iOS 和 Android 的 Citrix Secure Hub 的问题。如果设置为 false,则不收集任何数据。
    • 可能的值:truefalse
    • 默认值:true
  • ENABLE_CREDENTIAL_STORE

    • 显示名称:启用凭据存储区
    • 启用凭据存储区意味着 Android 或 iOS 用户在访问 Citrix 移动生产力应用程序时输入一次其密码。可以使用凭据存储区,而无论您是否启用了 Citrix PIN。如果不启用 Citrix PIN,用户输入其 Active Directory 密码。Citrix Endpoint Management 仅支持在 Citrix Secure Hub 和公共商店应用程序的凭据存储中使用 Active Directory 密码。如果您在凭据存储中使用 Active Directory 密码,则 Citrix Endpoint Management 不支持 PKI 身份验证。
    • 在 Citrix Secure Mail 中自动注册需要您将此属性设置为 true。
    • 要配置此自定义客户端策略,请转至设置 > 客户端属性,添加自定义键 ENABLE_CREDENTIAL_STORE,并将设置为 true
  • ENABLE_PASSCODE_AUTH

    • 显示名称: 启用 Citrix PIN 身份验证
    • 此属性允许您打开 Citrix PIN 功能。启用 Citrix PIN 或通行码后,系统将提示用户定义要使用的 PIN(而非其 Active Directory 密码)。当启用 ENABLE_PASSWORD_CACHING 或 Citrix Endpoint Management 使用证书身份验证时,此设置将自动启用。

      执行脱机身份验证时,Citrix PIN 将在本地验证,并且允许用户访问请求的应用程序或内容。对于在线身份验证,Citrix PIN 或密码会解锁 Active Directory 密码或证书,然后将其发送到使用 Citrix Endpoint Management 进行身份验证。

      如果 ENABLE_PASSCODE_AUTH 为真且 ENABLE_PASSWORD_CACHING 为假,则在线身份验证始终提示输入密码,因为 Citrix Secure Hub 不会保存密码。

    • 可能的值:truefalse
    • 默认值:false
  • ENABLE_PASSWORD_CACHING

    • 显示名称: 启用用户密码缓存
    • 此属性允许在移动设备上本地缓存 Active Directory 密码。将此属性设置为 true 时,还必须将 ENABLE_PASSCODE_AUTH 属性设置为 true。启用用户密码缓存后,Citrix Endpoint Management 会提示用户设置 Citrix PIN 码或密码。
    • 可能的值:truefalse
    • 默认值:false
  • ENABLE_TOUCH_ID_AUTH

    • 显示名称: 启用 Touch ID 身份验证
    • 对于支持 Touch ID 身份验证的设备,此属性将在设备上启用或禁用 Touch ID 身份验证。要求:

      用户设备必须启用 Citrix PIN 或 LDAP。如果 LDAP 身份验证处于关闭状态(例如,因为使用了仅基于证书的身份验证),则用户必须设置 Citrix PIN。 **在这种情况下,即使客户端属性 ENABLE_PASSCODE_AUTH 为假,Citrix Endpoint Management 也需要 Citrix PIN 码。**

      ENABLE_PASSCODE_AUTH 设置为 false,以便用户启动应用程序时,他们必须响应提示以使用 Touch ID。

    • 可能的值:truefalse
    • 默认值:false
  • ENABLE_WORXHOME_CEIP

    • 显示名称:启用 Citrix Secure Hub CEIP
    • 此属性将打开客户体验改善计划。该功能会定期向 Citrix 发送匿名配置和使用数据。这些数据有助于 Citrix 提高 Citrix Endpoint Management 的质量、可靠性和性能。
    • 值:truefalse
    • 默认值:false
  • ENCRYPT_SECRETS_USING_PASSCODE

    • 显示名称: 使用通行码加密机密
    • 此属性将敏感数据存储在设备上的 Secret Vault 中(而非基于平台的本机存储中),例如 iOS 钥匙串。此属性允许使用强加密的密钥,但还会添加用户熵。用户熵是用户生成的只有自己知道的随机 PIN 代码。

      Citrix 建议您启用此属性以帮助提高用户设备的安全性。因此,用户将遇到多个要求输入 Citrix PIN 的身份验证提示。

    • 可能的值:truefalse
    • 默认值:false
  • INACTIVITY_TIMER

    • 显示名称:不活动计时器
    • 此属性定义用户可以保持其设备处于不活动状态且之后访问应用程序不会提示输入 Citrix PIN 或通行码的时间长度。要为 MDX 应用程序启用此设置,请将“应用程序通行码”设置设为“开”。如果将 应用程序密码 设置设置为 关闭,则用户将被重定向到 Citrix Secure Hub 进行全面身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。

      在 iOS 上,不活动计时器还控制对适用于 MDX 和非 MDX 应用程序的 Citrix Secure Hub 的访问。

    • 可能的值:任意正整数
    • 默认值:15(分钟)
  • ON_FAILURE_USE_EMAIL

    • 显示名称:失败时使用电子邮件向 IT 帮助台发送设备日志
    • 此属性启用或禁用使用电子邮件向 IT 发送设备日志的功能。
    • 可能的值:truefalse
    • 默认值:true
  • PASSCODE_EXPIRY

    • 显示名称:PIN 更改要求
    • 此属性定义 Citrix PIN 或通行码的有效时间长度,超过此时间后,系统将强制用户更改其 Citrix PIN 或通行码。更改此设置时,仅在当前 Citrix PIN 或通行码过期时才设置新值。
    • 可能的值:199(建议)。为了永远不重置 PIN,请将该值设置为一个大的数值(例如 100000000000)。如果最初设置的过期期限介于 1 到 99 天之间,然后在该时间段内更改为更大的数值,PIN 在初始期限结束时仍会过期,但之后永不过期。
    • 默认值:90(天)
  • PASSCODE_HISTORY

    • 显示名称:PIN 历史记录
    • 此属性定义之前使用的 Citrix PIN 或通行码的数量,用户在更改其 Citrix PIN 或通行码时不能重用。如果更改此设置,用户下次重置其 Citrix PIN 或通行码时将设置新值。
    • 可能的值:199
    • 默认值: 5
  • PASSCODE_MAX_ATTEMPTS

    • 显示名称:PIN 尝试次数
    • 此属性定义用户可以尝试输入错误 Citrix PIN 或通行码的次数,之后系统将提示用户进行完全身份验证。用户成功进行完整身份验证后,系统会提示他们创建 Citrix PIN 或密码。
    • 可能的值:任意正整数
    • 默认值:15
  • PASSCODE_MIN_LENGTH

    • 显示名称:PIN 长度要求
    • 此属性定义 Citrix PIN 的最小长度。
    • 可能的值:410
    • 默认值:6
  • PASSCODE_STRENGTH

    • 显示名称: PIN 强度要求
    • 此属性定义 Citrix PIN 或通行码的强度。更改此设置时,系统将在下次提示用户进行身份验证时提示其创建 Citrix PIN 或通行码。
    • 可能的值:
    • 默认值:
    • 每种强度设置的密码规则如下所示,具体取决于 PASSCODE_TYPE 设置:

数字通行码的规则:

通行码强度 数字通行码类型的规则 允许 不允许
允许所有数字,任何序列 444444, 123456, 654321  
中(默认设置) 所有数字不能相同,也不能连续。 444333, 124567, 136790, 555556, 788888 444444, 123456, 654321
相邻的数字不能相同。 123512, 134134, 132312, 131313, 987456 080080, 112233, 135579, 987745, 919199
请勿使用同一编号超过两次。请勿连续使用三个或更多连续数字。请勿按相反的顺序使用三个或更多连续的数字。 102983, 085085, 824673, 132312 132132, 131313, 902030

字母数字通行码的规则:

通行码强度 字母数字通行码类型的规则 允许 不允许
必须至少有一个数字和一个字母 aa11b1、Abcd1#、Ab123~、aaaa11、aa11aa AAAaaa、aaaaaa、abcdef
中(默认设置) 除“低”通行码强度的规则外,字母和所有数字都不能相同。字母和数字都不能连续。 aa11b1、aaa11b、aaa1b2、abc145、xyz135、sdf123、ab12c3、a1b2c3、Abcd1#、Ab123~ aaaa11、aa11aa 或 aaa111;abcd12、bcd123、123abc、xy1234、xyz345 或 cba123
至少包括一个大写字母和一个小写字母。 Abcd12、jkrtA2、23Bc#、AbCd abcd12、DFGH2
至少包括一个数字、一个特殊符号、一个大写字母以及一个小写字母。 Abcd1#、Ab123~、xY12#3、Car12#、AAbc1# abcd12、Abcd12、dfgh12、jkrtA2
  • PASSCODE_TYPE

    • 显示名称:PIN 类型
    • 此属性定义用户是否可以定义数字 Citrix PIN 或字母数字密码。选择数字时,用户只能定义数字 (Citrix PIN)。选择字母数字时,用户可以使用字母和数字的组合(通行码)。

      如果更改此设置,用户必须在系统下次提示进行身份验证时设置新 Citrix PIN 或通行码。

    • 可能的值:数字字母数字
    • 默认值:数字
  • REFRESHINTERVAL

    • 显示名称:REFRESHINTERVAL
    • 默认情况下,Citrix Endpoint Management 每 3 天 ping 一次自动发现服务器 (ADS) 以获取固定证书。要更改刷新时间间隔,请转至设置 > 客户端属性,添加自定义键 REFRESHINTERVAL,并将设置为小时数。
    • 默认值:72 小时(3 天)
  • SEND_LDAP_ATTRIBUTES

    • 对于 Android、iOS 或 macOS 设备的仅限 MAM 的部署:您可以配置 Citrix Endpoint Management,以便使用电子邮件凭据注册 Citrix Secure Hub 的用户自动注册 Citrix Secure Mail。因此,用户不会提供额外信息或采取额外措施来注册 Citrix Secure Mail。
    • 要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键 SEND_LDAP_ATTRIBUTES,并按如下所示设置
    • 值:userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname}, displayName=${user.displayName},mail=${user.mail}
    • 与 MDM 策略类似,属性值会指定为宏。
    • 以下示例介绍了帐户服务如何响应此属性:

      <property value="userPrincipalName=user@site.com,sAMAccountName=eng1,displayName=user\,test1,email=user@site.com\,user@site.com" name="SEND_LDAP_ATTRIBUTES"/>

    • 对于此属性,Citrix Endpoint Management 将逗号字符视为字符串终止符。因此,如果属性值包含逗号,则在其前面加上反斜杠。反斜杠将阻止客户端将嵌入的逗号解释为属性值的结尾。反斜杠字符表示为 "\\"
  • HIDE_THREE_FINGER_TAP_MENU

    • 如果未设置此属性或将其设置为 false,则用户可以通过在设备上用三根手指点击来访问隐藏的功能菜单。隐藏的功能菜单允许用户重置应用程序数据。将此属性设置为 true 将禁止用户访问隐藏的功能菜单。
    • 要配置此全局客户端策略,请前往“设置”>“客户端属性”,添加自定义密钥 HIDE_THREE_FINGER_TAP_MENU 并设置
  • TUNNEL_EXCLUDE_DOMAINS

    • 显示名称:通道排除域
    • 默认情况下,MDX 将从 Micro VPN 通道中排除移动应用程序 SDK 和应用程序用于各种功能的某些服务端点。例如,这些端点包括不需要通过企业网络路由的服务,例如 Google Analytics、Citrix Cloud Services 和 Active Directory 服务。可使用此客户端属性覆盖排除的默认域列表。
    • 要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键 TUNNEL_EXCLUDE_DOMAINS,并设置
    • 值:要将默认列表替换为要从通道中排除的域,请键入以逗号分隔的域后缀列表。要在通道中包括所有域,请键入 none。默认为:

      app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com

Citrix Endpoint Management 的自定义客户端属性如下所示:

ENABLE_MAM_NFACTOR_SSO:

  • 此属性允许您在 MAM 注册或登录 Secure Hub 过程中启用或禁用 MAM nFactor SSO,同时使用 NetScaler Gateway 中的高级身份验证策略。如果该值设置为 true,则在 MAM 注册或登录 Secure Hub 期间,将启用 MAM nFactor SSO。
  • 要配置此属性,请转至设置 > 客户端属性,然后单击添加。在下拉菜单中选择自定义键,然后根据需要更新以下信息:

    • 键 - ENABLE_MAM_NFACTOR_SSO
    • 值 - true 或 false
    • 名称 - ENABLE_MAM_NFACTOR_SSO
    • 说明 - 添加相关说明
客户端属性