设备和应用程序策略

通过 Endpoint Management 设备和应用程序策略,可以在多种因素之间实现最佳平衡,例如:

  • 企业安全性
  • 公司数据和资产保护
  • 用户隐私
  • 高效、积极的用户体验

这些因素之间的最佳平衡点可能有所差别。例如,监管比较严格的组织(例如金融组织)要求采取比其他行业(例如教育和零售行业)更严格的安全控制措施,而后者主要考虑的是如何提高用户工作效率。

您可以根据用户的身份、设备、位置和连接类型集中控制和配置策略来限制对公司内容的恶意使用。如果设备丢失或被盗,您可以远程禁用、锁定或擦除业务应用程序和数据。综合上述因素,我们可以开发一种解决方案,不仅可以提高员工满意度和工作效率,同时还能确保安全性和管理控制。

本文主要介绍与安全性有关的多个设备和应用程序策略。

解决安全风险的策略

Endpoint Management 设备和应用程序策略解决可能会带来安全风险的多种情况,例如在以下情况下:

  • 用户尝试从不可信设备和不可预测的位置访问应用程序和数据。
  • 用户在设备之间传递数据
  • 未经授权的用户尝试访问数据
  • 已离开公司的用户使用自己的设备 (BYOD)。
  • 用户错放设备
  • 用户必须始终安全地访问网络
  • 用户使自己的设备处于托管状态且您必须将工作数据与个人数据区分开
  • 设备处于空闲状态并需要再次验证用户凭据。
  • 用户将敏感内容复制并粘贴到不受保护的电子邮件系统。
  • 用户在保存了个人帐户和公司帐户的设备上收到包含敏感数据的电子邮件附件或 Web 链接。

保护公司数据时,这些情况与两个主要考虑因素相关,即数据所处的状态:

  • 静态
  • 传输中

Endpoint Management 如何保护静态数据

存储在移动设备上的数据称为静态数据。通过 Endpoint Management 中的移动应用程序管理 (MAM) 功能可以对 Citrix 移动生产力应用程序、启用了 MDX 的应用程序及其关联数据进行完整的管理、安全保护和控制。

移动应用程序 SDK 通过使用 Citrix MDX 应用程序容器技术启用 Endpoint Management 部署的应用程序。容器技术将企业应用程序和数据与个人应用程序和用户设备上的数据分离开来。数据分离允许您通过基于策略的综合控制来保护任何自定义开发的、第三方或 BYO 移动应用程序的安全。

除了详尽的 MDX 策略库之外,Endpoint Management 还包括应用程序级别的加密。Endpoint Management 单独对任何启用了 MDX 的应用程序中存储的数据加密,而不需要设备 PIN 代码,也不需要您管理设备以强制执行策略。

通过策略和移动应用程序 SDK,您可以︰

  • 使用一个安全的移动容器区分公司和个人应用程序和数据。
  • 通过加密和其他移动数据丢失防护 (DLP) 技术保护应用程序的安全。

MDX 策略提供多种操作控制,以便您可以在 MDX 打包的应用程序之间启用无缝集成,同时还控制所有通信。这样,您可以强制执行策略,例如,确保仅启用了 MDX 的应用程序可以访问数据。

除了设备和应用程序策略控制,保护静态数据的最佳方法是加密。

  • Endpoint Management 为启用了 MDX 的应用程序中存储的任何数据添加了一个加密层。
  • 可以使用策略控制公用文件加密、私密文件加密和加密排除项等功能。
  • 移动应用程序 SDK 使用符合 FIPS 140-2 的 AES 256 位加密,并将密钥存储在受保护的 Citrix Secret Vault 中。

Endpoint Management 如何保护传输中的数据

在用户的移动设备与您的内部网络之间移动的数据称为传输中的数据。MDX 应用程序容器技术实现了通过 Citrix Gateway 对内部网络进行应用程序特定的 VPN 访问。

鉴于以下情况:员工希望从移动设备访问安全的企业网络中的以下资源:公司电子邮件服务器、公司 Intranet 中托管的启用了 SSL 的 Web 应用程序以及存储在文件服务器或 Microsoft SharePoint 上的文档。MDX 支持从移动设备通过应用程序特定的 Micro VPN 访问所有这些企业资源。每个设备都有自己的专用 Micro VPN 通道。

Micro VPN 功能不需要设备范围的 VPN(可能会危及不可信移动设备上的安全)。因此,内部网络不会面临可能影响整个公司系统的恶意软件或攻击。公司移动应用程序和个人移动应用程序能够在一个设备上共存。

要提供更高级别的安全性,可以使用“备用 Citrix Gateway”策略配置启用了 MDX 的应用程序。该策略用于身份验证和与应用程序的 Micro VPN 会话。您可以将备用 Citrix Gateway 与“要求 Micro VPN 会话”策略结合使用,以强制应用程序向特定网关重新进行身份验证。此类网关通常具有不同的(具有更高保障)身份验证要求和流量管理策略。

除了安全功能外,Micro VPN 还提供数据优化技术,包括压缩算法。压缩算法可确保:

  • 仅传输最少的数据
  • 传输在最快的时间内完成。速度改进了用户体验,这是移动设备采用的关键成功因素。

请定期重新评估设备策略,例如在以下情况下:

  • 由于发布了设备操作系统更新,新版本的 Endpoint Management 包括新的或更新的策略时。
  • 添加设备类型时 尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。因此,您可能会发现 iOS、Android 和 Windows 设备之间的差异,甚至运行 Android 的不同制造商的设备之间也存在差异。
  • 使 Endpoint Management 操作与企业或行业变化(例如,新公司安全策略或合规性规章)保持同步。
  • 新版本的 MDX Service 包括新的或更新的策略时
  • 添加或更新应用程序时
  • 由于新应用程序或新要求而需要为用户集成新工作流

应用程序策略和用例场景

虽然您可以选择通过 Secure Hub 提供的应用程序,您可能还希望定义这些应用程序与 Endpoint Management 的交互方式。使用应用程序策略:

  • 如果您希望用户在特定时间段过后进行身份验证。
  • 如果您希望为用户提供对其信息的脱机访问权限。

以下个部分内容包括一些策略和示例用法。有关每个平台的所有 MDX 策略的列表,请参阅 MDX 策略概览

身份验证策略

  • 设备通行码

    为什么要使用此策略: 启用“设备通行码”策略可强制执行仅当设备上已启用设备 PIN 时用户才能访问 MDX 应用程序。此功能可确保在设备级别以及对 MDX 容器使用 iOS 加密。

    用户示例: 启用此策略意味着,用户必须先在其 iOS 设备上设置一个 PIN 代码,然后才能访问 MDX 应用程序。

  • 应用程序通行码

    为什么要使用此策略: 启用“应用程序通行码”策略可让 Secure Hub 提示用户先向托管应用程序进行身份验证,然后才能打开应用程序并访问数据。用户可使用其 Active Directory 密码、Citrix PIN 或 iOS Touch ID 进行身份验证,具体取决于您在 Endpoint Management 控制台中的设置 > 客户端属性下配置的设置。可以在“客户端属性”中设置不活动计时器,以便 Secure Hub 不提示用户重新向托管应用程序进行身份验证,直到计时器过期。

    应用程序通行码与设备通行码不同。将设备通行码策略推送到设备后,Secure Hub 会提示用户配置通行码或 PIN。用户必须在打开设备或非活动计时器过期时解锁其设备。有关详细信息,请参阅Endpoint Management 中的身份验证

    用户示例: 在设备上打开 Citrix Secure Web 应用程序时,如果不活动期限已过期,用户必须输入其 Citrix PIN,才能浏览 Web 站点。

  • 要求 Micro VPN 会话

    为什么使用此策略: 如果应用程序需要访问 Web 应用程序(Web 服务)才能运行,请启用此策略。然后,Endpoint Management 会提示用户连接到企业网络或在使用应用程序之前具有活动会话。

    用户示例: 用户尝试打开启用了“要求 Micro VPN 会话”策略的 MDX 应用程序时:只能在连接到网络后才能使用该应用程序。连接必须使用手机网络或 Wi-Fi 服务。

  • 最长脱机期限

    为什么使用此策略: 将此策略用作额外的安全选项。该策略可确保在指定时间内脱机运行应用程序的用户必须重新确认应用程序授权并刷新策略。

    用户示例: 如果您为某个 MDX 应用程序配置“最长脱机期限”,用户可以打开并脱机使用该应用程序,直到脱机计时器期限过期。此时,如果系统提示,用户必须通过手机网络或 Wi-Fi 服务重新连接网络并重新进行身份验证。

其他访问策略

  • 应用程序更新宽限期(小时)

    为什么要使用此策略: 应用程序更新宽限期是指为用户预留的一段时间,到此时间后,用户必须更新应用商店中发布的较新版本的应用程序。在过期时,用户必须更新该应用程序才能访问该应用程序中的数据。设置此值时,请谨记您的移动办公人员的需求,尤其是在国际出差时可能很长一段时间脱机的用户。

    用户示例: 加载应用商店中的新版本的 Secure Mail,然后将应用程序更新宽限期设置为 6 小时。然后,Secure Hub 用户在路由到应用商店之前有 6 个小时的时间升级 Secure Mail。

  • 活动轮询期限(分钟)

    为什么要使用此策略: 活动轮询期限是指 Endpoint Management 检查应用程序以确定何时执行安全操作(例如,应用程序锁定和应用程序擦除)的时间间隔。

    用户示例: 如果将“活动轮询期限”策略设置为 60 分钟,然后发送应用程序锁定命令,则将在上次轮询后的 60 分钟内发生锁定。

加密策略

为什么使用这些策略: Endpoint Management 包括一个带有强加密层的 Secret Vault,Citrix 移动生产力应用程序可用来保留敏感数据。数据(例如密码和加密密钥)在设备上进行加密,而不依赖于平台本机密钥库。因此,如果该设备以任何方式受到安全威胁,公司数据仍在 MDX 容器中保持加密状态。Endpoint Management 会在将数据传输到容器外部之前对数据进行模糊处理。

用户示例: 如果设备所有者未设置设备 PIN 或设备 PIN 已泄露,Secure Hub 容器内的公司数据仍保持安全。

应用程序交互策略

为什么要使用这些策略: 可使用应用程序交互策略来控制文档和数据从 MDX 应用程序传输到设备上其他应用程序的流。例如,您可以阻止用户:

  • 将数据移动到容器外部的个人应用程序
  • 将容器外部的数据粘贴到容器化应用程序中

用户示例: 您将应用程序交互策略设置为“限制”,这意味着用户可以将文本从 Secure Mail 复制到 Secure Web。用户无法将该数据复制到容器外部的个人 Safari 或 Chrome 浏览器。此外,用户还可以从 Secure Mail 打开附加的文档到 Citrix Files 或 QuickEdit。用户无法在容器外部的个人文件查看应用程序中打开附加的文档。

应用程序限制策略

为什么要使用这些策略: 可使用应用程序限制策略来控制用户可以从打开的 MDX 应用程序访问的功能。这些限制有助于确保该应用程序运行时不会发生任何恶意活动。在 iOS 和 Android 之间应用程序限制策略略有不同。例如,在 iOS 中,您可以在 MDX 应用程序运行时阻止对 iCloud 的访问。在 Android 中,您可以在 MDX 应用程序运行时停止 NFC 的使用。

用户示例: 假设您在 iOS 上启用应用程序限制策略以阻止在 MDX 应用程序中使用听写功能。因此,在 MDX 应用程序运行时,用户无法在 iOS 键盘上使用听写功能。因此,用户听写的数据不会传递到不安全的第三方云听写服务。用户在容器外部打开其个人应用程序时,用户仍可使用听写选项进行自己的个人通信。

应用程序网络访问策略

为什么要使用这些策略: 可使用应用程序网络访问策略来提供从设备上容器中的 MDX 应用程序访问企业网络内部数据的权限。设置通过通道连接到内部网络选项可自动启动通过 Citrix Gateway 从 MDX 应用程序到后端 Web 服务或数据存储的 Micro VPN。

用户示例: 用户打开启用了通道的 MDX 应用程序时,浏览器将打开 Intranet 站点,而无需用户启动 VPN。该应用程序会自动使用 Micro VPN 技术访问内部站点。

应用程序地理定位和地理围栏策略

为什么要使用这些策略: 控制应用程序地理定位和地理围栏功能的策略包括中心点经度、中心点纬度和半径。这些策略包含在 MDX 应用程序中访问特定地理区域的数据的权限。这些策略按纬度和经度坐标半径定义地理区域。如果用户尝试在定义的半径外使用应用程序,则应用程序保持锁定状态,用户无法访问应用程序数据。

用户示例: 用户在其办公地点时可以访问合并和收购数据。当用户离开办公地点时,不可访问此敏感数据。

Secure Mail 应用程序策略

  • 后台网络服务

    为什么要使用此策略: Secure Mail 中的后台网络服务使用 Secure Ticket Authority (STA),实际上这是用于通过 Citrix Gateway 进行连接的 SOCKS5 代理。STA 支持长时间连接,与 Micro VPN 相比,可延长电池寿命。因此,STA 非常适用于持续连接的邮件。Citrix 建议您为 Secure Mail 配置这些设置。NetScaler for XenMobile 向导会自动为 Secure Mail 设置 STA。

    用户示例: 未启用 STA 且 Android 用户打开 Secure Mail 时,系统提示用户打开 VPN(在设备上保持打开状态)。启用了 STA 且 Android 用户打开 Secure Mail 时,Secure Mail 将无缝连接,而无需任何 VPN。

  • 默认同步时间间隔

    为什么要使用此策略: 此设置指定用户首次访问 Secure Mail 时同步到 Secure Mail 的电子邮件默认天数。两周的电子邮件同步所需的时间超过三天的电子邮件。要同步的更多数据会延长用户的设置过程。

    用户示例: 假设用户首次设置 Secure Mail 时默认同步时间间隔设置为三天。用户可以在其收件箱中看到他们从现在到过去三天收到的任何电子邮件。如果用户想查看三天以前的电子邮件,可以执行搜索。Secure Mail 随即将显示服务器上存储的较早电子邮件。安装 Secure Mail 后,每个用户都可以更改此设置以更好地满足自己的需求。

设备策略和用例行为

设备策略(有时称为 MDM 策略)确定 Endpoint Management 管理设备的方式。尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。下面列出了其中一些设备策略,并介绍了相应的使用方法。有关所有设备策略的列表,请参阅设备策略下的文章。

  • 应用程序清单策略

    为什么要使用此策略: 要查看用户安装的应用程序,请将“应用程序清单”策略部署到设备。如果您未部署该策略,则只能查看用户从应用商店安装的应用程序,但看不到个人安装的应用程序。使用“应用程序清单”策略将某些应用程序列入黑名单以阻止其在公司设备上运行。

    用户示例: 使用 MDM 托管的设备的用户不能禁用此功能。用户的个人安装的应用程序对 Endpoint Management 管理员可见。

  • 应用程序锁定策略

    为什么要使用此策略: 对于 Android,可以通过应用程序锁定策略将应用程序列入黑名单或白名单。例如,通过将应用程序列入白名单,可以配置 kiosk 设备。通常情况下,只将应用程序锁定策略部署到公司拥有的设备,因为它会限制用户可以安装的应用程序。您可以设置覆盖密码以允许用户访问被阻止的应用程序。

    用户示例: 假设您部署的应用程序锁定策略阻止“愤怒的小鸟”应用程序。用户可以从 Google Play 安装“愤怒的小鸟”应用程序,但当其打开该应用程序时,将显示一条消息,告知其管理员已阻止该应用程序。

  • 连接计划策略

    为什么要使用此策略: “连接计划”策略使 Windows Mobile 设备能够重新连接回 Endpoint Management 以进行 MDM 管理、应用程序推送和策略部署。对于 Android、Android Enterprise 和 Chrome OS 设备,请改为使用 Google Firebase Cloud Messaging (FCM)。FCM 控制与 Endpoint Management 的连接。计划选项如下所示:

    • 从不: 手动进行连接。用户必须从其设备上的 Endpoint Management 启动连接。Citrix 建议不要对生产部署使用此选项,因为这会阻止您将安全策略部署到设备。因此,用户不会收到新应用程序或策略。默认情况下,从不选项处于启用状态。

    • 每隔: 按照指定间隔进行连接。发送锁定或擦除等安全策略时,Endpoint Management 将在下次设备连接时在设备上处理该策略。

    • 定义计划: Endpoint Management 尝试在网络连接断开后将用户的设备重新连接到 Endpoint Management 服务器。Endpoint Management 通过在您定义的时间范围内定期传输控制数据包来监视连接。

    用户示例: 您希望将通行码策略部署到注册的设备。计划策略可确保设备以固定间隔重新连接到服务器以收集新策略。

  • 凭据策略

    为什么要使用此策略: 凭据策略常与 Wi-Fi 策略结合使用,您可以通过该策略向需要证书身份验证的内部资源部署用于身份验证的证书。

    用户示例: 您在设备上部署用于配置无线网络的 Wi-Fi 策略。Wi-Fi 网络要求使用证书进行身份验证。凭据策略将部署证书,该证书随后存储在操作系统密钥库中。之后,用户在连接到内部资源时可以选择该证书。

  • Exchange 策略

    为什么要使用此策略: 使用 Endpoint Management 时,您有两种方式传递 Microsoft Exchange ActiveSync 电子邮件。

    • Secure Mail 应用程序: 使用从公共应用商店或应用商店分发的 Secure Mail 应用程序传递电子邮件。

    • 本机电子邮件应用程序: 为设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。可以使用宏提取其 Active Directory 属性中的用户数据进行填充,例如,提取 ${user.username} 中的数据填充用户名,提取 ${user.domain} 中的数据填充用户域。

    用户示例: 当您推送 Exchange 策略时,将向设备发送 Exchange Server 详细信息。Secure Hub 随后提示用户进行身份验证并且电子邮件开始同步。

  • 定位策略

    为什么要使用此策略: 如果已在设备上为 Secure Hub 启用了 GPS,您可以通过定位策略在地图上对设备进行地理定位。部署此策略并随后从 Endpoint Management 发送定位命令后,设备将返回位置坐标。

    用户示例: 部署了定位策略且在设备上启用了 GPS 后,如果用户错放了设备,他们可以登录 Endpoint Management 自助服务门户,然后选择定位选项,可在地图上查看其设备位置。用户选择是否允许 Secure Hub 使用定位服务。当用户自己注册设备时,您无法强制使用定位服务。使用此策略的另一个注意事项是对电池寿命的影响。

  • 通行码策略

    为什么要使用此策略: 通行码策略允许您在托管设备上强制执行 PIN 代码或密码。此通行码策略允许您在设备上设置通行码的复杂性和超时。

    用户示例: 将通行码策略部署到托管设备时,Secure Hub 会提示用户配置通行码或 PIN。通行码或 PIN 允许用户在启动期间或非活动计时器过期时访问其设备。

  • 配置文件删除策略

    为什么要使用此策略: 假设您将某个策略部署到一组用户,以后必须从其中一部分用户删除该策略。可以通过创建“配置文件删除”策略来删除所选用户的策略。然后,使用部署规则将“配置文件删除”策略仅部署到指定的用户。

    用户示例: 将配置文件删除策略部署到用户设备时,用户可能不会发现所做的更改。例如,如果“配置文件删除”策略删除了禁用设备相机的限制,用户不知道该更改。当所做的更改影响用户体验时,请考虑让用户了解。

  • 限制策略

    为什么要使用此策略: 限制策略允许您使用许多选项来锁定和控制托管设备上的特性和功能。可以为受支持的设备启用数百个限制选项。例如,您可以:禁用设备上的相机或麦克风、强制执行漫游规则以及强制访问第三方服务(例如应用商店)。

    用户示例: 如果您将限制部署到 iOS 设备,用户可能无法访问 iCloud 或 Apple App Store。

  • 条款和条件策略

    为什么要使用此策略: 可能有必要向用户告知托管其设备涉及的法律法规。此外,您可能希望确保用户知道向设备推送公司数据时的安全风险。您可以通过“条款和条件”文档在用户注册之前发布规则和声明。

    用户示例: 用户将在注册过程中看到条款和条件信息。如果他们拒绝接受所列条件,则注册过程将结束,他们将无法访问公司数据。您可以生成报告以提供给 HR/法律/合规团队,报告中显示接受或拒绝这些条款的用户。

  • VPN 策略

    为什么要使用此策略: 使用 VPN 策略,可通过使用较旧 VPN 网关技术访问后端系统。该策略支持多个 VPN 提供商,包括 Cisco AnyConnect、Juniper 和 Citrix VPN。此外,也可以将此策略链接到 CA 并按需启用 VPN(如果 VPN 网关支持此选项)。

    用户示例: 启用 VPN 策略后,当用户访问内部域时,用户的设备将打开 VPN 连接。

  • Web 剪辑策略

    为什么要使用此策略: 如果您想要向设备推送可直接打开 Web 站点的图标,可使用 Web 剪辑策略。Web 剪辑包含指向 Web 站点的链接,并可以包括自定义图标。在设备上,Web 剪辑类似应用程序图标。

    用户示例: 用户可以单击 Web 剪辑图标打开 Internet 站点以获取所需服务的访问权限。使用 Web 链接比在浏览器中键入链接地址更方便。

  • Wi-Fi 策略

    为什么要使用此策略: 通过 Wi-Fi 策略可以将 Wi-Fi 网络详细信息(例如 SSID、身份验证数据和配置数据)部署到托管设备。

    用户示例: 在部署 Wi-Fi 策略后,设备将自动连接到 Wi-Fi 网络并对用户进行身份验证,以便用户可访问此网络。

  • Windows 信息保护策略

    为什么要使用此策略: 可使用 Windows 信息保护 (WIP) 策略来避免企业数据可能发生的泄漏。您可以指定在您设置的强制级别需要 Windows 信息保护的应用程序。例如,您可以阻止任何不恰当的数据共享,或者在发生不恰当的数据共享时发出警告,并允许用户覆盖该策略。您可以无提示运行 WIP,同时记录和允许不恰当的数据共享。

    用户示例: 假设您配置 WIP 策略以阻止不恰当的数据共享。如果用户将受保护的文件复制或保存到不受保护的位置,将显示类似如下的消息: You can’t place work protected content in this location(您不能将受工作保护的内容放在此位置)。

  • Endpoint Management 应用商店策略

    为什么要使用此策略: 该应用商店是一个统一的应用商店,管理员可以在此发布其用户所需的所有公司应用程序和数据资源。管理员可以添加:

    • Web 应用程序、SaaS 应用程序、MDX 打包的应用程序
    • Citrix 移动生产力应用程序
    • 本机移动应用程序,例如 .ipa 或 .apk 文件
    • Apple App Store 或 Google Play 应用程序
    • Web 链接
    • 使用 Citrix StoreFront 发布的 Citrix Virtual Apps

    用户示例: 用户将其设备注册到 Endpoint Management 后,他们将通过 Citrix Secure Hub 应用程序访问应用商店,如果使用 Citrix Workspace,则通过 Workspace 访问应用商店。然后,用户可以查看所有可用的企业应用程序和服务。用户可以在应用商店中单击某个应用程序以进行安装、访问数据、对应用程序进行评分和评论以及下载应用程序更新。