Citrix Endpoint Management

服务器属性

服务器属性是适用于跨整个 Endpoint Management 实例的操作、用户和设备的全局属性。Citrix 建议评估您的环境中设置的本文中介绍的服务器属性。更改其他服务器属性之前,请务必咨询 Citrix。

要更新服务器属性,请转到 设置 > 服务器属性

添加、编辑或删除服务器属性

在 Endpoint Management 中,可以将属性应用到服务器。

  1. 在 Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击服务器属性。此时将显示服务器属性页面。可以从此页面添加、编辑和删除服务器属性。

    服务器属性

添加服务器属性

  1. 单击添加。此时将显示添加新服务器属性页面。

    服务器属性

  2. 配置以下设置:

    • 密钥:在列表中,选择合适的密钥。键区分大小写。如果要编辑属性值或申请特殊密钥,请联系 Citrix 支持。
    • 值:根据选择的键输入一个值。
    • 显示名称:输入新属性值显示在服务器属性表中的名称。
    • 说明:(可选)键入新服务器属性的说明。
  3. 单击保存

编辑服务器属性

  1. 服务器属性表中,选择要编辑的服务器属性。

    选中服务器属性旁边的复选框时,选项菜单将显示在服务器属性列表上方。单击列表中的其他任意位置可在列表右侧打开选项菜单。

  2. 单击编辑。此时将显示编辑新服务器属性页面。

    服务器属性

  3. 适当更改以下信息:

    • 键: 无法更改此字段。
    • 值: 属性值。
    • 显示名称:属性名称。
    • 说明: 属性说明。
  4. 单击保存以保存您所做更改,或单击取消保留属性不变。

删除服务器属性

  1. 在 “ 服务器属性 ” 表中,选择要删除的服务器属性。

  2. 单击删除。此时将显示确认对话框。再次单击删除

服务器属性定义

访问托管 Google Play 应用商店中的所有应用程序

  • 如果设置为 true,Endpoint Management 将使公共 Google Play 应用商店中的所有应用程序可从托管 Google Play 应用商店访问。您可以使用 限制设备策略 控制对这些应用程序的访问权限。默认值为 false

始终添加设备

  • 如果设置为 true,Endpoint Management 会将设备添加到 Endpoint Management 控制台,即使注册失败亦如此。因此,您可以查看尝试注册了哪些设备。默认值为 false

AG 客户端证书颁发限制时间间隔

  • 两次生成证书之间的宽限期。此时间间隔阻止 Endpoint Management 在短时间内为某个设备生成多个证书。Citrix 建议您不要更改此值。默认值为 30 分钟。

Audit Logger(审核记录器)

  • 如果设置为 False,则不记录用户界面 (UI) 事件。默认值为 False

阻止注册已获得 Root 权限的 Android 设备和已越狱的 iOS 设备

此属性设置为时,Endpoint Management 将阻止注册已获得 Root 权限的 Android 设备和已越狱的 iOS 设备。对于所有安全级别,建议的设置为 true。默认值为 true

cdn.s3.retry. 间隔和 cdn.s3.max.重试

cdn.s3.retry.intervalcdn.s3.max.retry 服务器属性协同工作,以设置每次 macOS PKG 文件上传的最长时间限制。默认情况下,Endpoint Management 将文件上传时间限制为 100 秒。如果文件上传超过该限制,上传将失败。要更改默认值,请按如下方式配置 cdn.s3.retry.intervalcdn.s3.max.retry 键:

  • cdn.s3.retry.interval。允许您定义 Endpoint Management 验证文件上传是否成功完成的时间间隔(以毫秒为单位)。默认值为 10000
  • cdn.s3.max.retry。允许您定义验证重试的最大次数,之后上传失败。默认值为 10

两个密钥一起工作以限制文件上传时间。默认情况下,时间限制为 100 秒(10000*10 毫秒)。

证书续订(秒)

  • Endpoint Management 在证书过期之前开始续订证书的秒数。例如,证书将于 12 月 30 日过期,此属性设置为 30 天。如果设备在 12 月 1 日至 12 月 30 日之间连接,Endpoint Management 将尝试续订证书。默认值为 2592000 秒(30 天)。

连接超时

  • 会话不活动超时(分钟),在这段时间之后 Endpoint Management 关闭与设备的 TCP 连接。会话保持打开状态。适用于 Android 设备。默认值为 5 分钟。

默认部署渠道

  • 确定 Endpoint Management 将资源部署到设备的方式:在用户级别 (DEFAULT_TO_USER) 或设备级别。默认值为 DEFAULT_TO_DEVICE

设备标记

  • 如果设置 enable.device.taggingtrue,Endpoint Management 会自动按设备类型标记设备。您可以使用设备标签部署策略和应用程序或配置交付组。Endpoint Management 将标签应用于以下内容的设备:
    • BYOD 标签
      • iOS 用户注册
      • Android Enterprise 工作资料
    • 公司标签
      • Android Enterprise 完全托管的企业设备
      • 批量注册
        • Apple 商务管理设备
        • Apple 校园教务管理设备
        • Windows AutoPilot 设备
        • Android Enterprise 批量注册

禁用主机名验证

  • 默认情况下,主机名验证对除 Microsoft PKI 服务器以外的传出连接启用。当主机名验证失败时,服务器日志中包含以下错误:“无法连接到批量购买服务器:主机名 ‘192.0.2.0’ 与对等方提供的证书主题不匹配”。如果主机名验证中断了您的部署,请将此属性更改为 true。默认值为 false

禁用 SSL 服务器验证

  • 如果为 True,则在满足所有以下条件时禁用 SSL 服务器证书验证:
    • 您在 Endpoint Management 上启用了基于证书的身份验证
    • Microsoft CA 服务器是证书颁发者
    • 内部 CA 对您的证书进行了签名,其根 Endpoint Management 不信任。

    默认值为 True

启用崩溃报告

  • 如果设置为 true,Citrix 将收集崩溃报告和诊断信息以帮助对 Secure Hub for iOS 和 Secure Hub for Android 相关问题进行故障排除。如果设置为 false,则不收集任何数据。默认值为 true

启用/禁用休眠统计信息日志记录以进行诊断

  • 如果设置为 True,则启用休眠统计日志记录,以协助对应用程序性能问题进行故障排除。Hibernate 是用于与 Microsoft SQL Server 的 Endpoint Management 连接的组件。默认情况下,此日志记录功能已禁用,因为它会影响应用程序的性能。只应在短时间内启用日志记录功能,以避免生成巨大的日志文件。Endpoint Management 将此日志写入 /opt/sas/logs/hibernate_stats.log。默认值为 False

启用 macOS OTAE

  • 如果设置为 false,则阻止在 macOS 设备上使用注册链接,这意味着 macOS 用户只能使用注册邀请进行注册。默认值为 true

启用通知触发器

  • 启用或禁用 Secure Hub 客户端通知. 值 true 表示启用通知。默认值为 true

完全拉取 ActiveSync 允许和拒绝的用户

  • Endpoint Management 拉取 ActiveSync 允许和拒绝的用户的完整列表(基准)的时间间隔(秒)。默认值为 28800 秒。

确定是否已启用遥测

  • 确定是否已启用遥测。遥测又称为客户体验改善计划 (CEIP)。您可以在安装或升级 Endpoint Management 时选择加入 CEIP。如果 Endpoint Management 有 15 次连续失败的上载,则会禁用遥测。默认值为 false

不活动超时(分钟)

  • Endpoint Management 注销非活动用户的分钟数。用户必须使用 Endpoint Management 公共 API 才能访问 Endpoint Management 控制台或任何第三方应用程序。超时值 0 表示非活动用户保持登录状态。对于访问该 API 的第三方应用程序,通常有必要保持登录状态。默认值为 5

  • 如果 Web 服务超时类型服务器属性为 INACTIVITY_TIMEOUT: 此属性定义分钟数,超过此时间后,Endpoint Management 注销执行了以下操作的不活动管理员︰

    • 使用适用于 REST 的公共 API 服务访问 Endpoint Management 控制台
    • 使用适用于 REST 的公共 API 服务来访问任何第三方应用程序。超时为 0 意味着不活动用户保持登录状态。

include.device.properties.during.search

  • 在设备搜索中包括所有设备属性。默认值为,该设置将搜索范围限制到以下设备属性,以便快速搜索:
    • 序列号
    • IMEI
    • Wi-Fi MAC 地址
    • 蓝牙 MAC 地址
    • Active Sync ID
    • 用户名

    当此属性设置为时,设备搜索可能需要更长时间。

ios.delayBeforeDeclareUnreachable; macos.delayBeforeDeclareUnreachable

  • 指定脱机 iOS 或 macOS 设备被视为无法访问之前的天数。当 iOS 或 macOS 设备达到指定的限制时,它们将停止使用 Endpoint Management 进行检查。两个属性的默认值都为 45 天。

如有需要,iOS 设备管理注册将安装根 CA

  • 对于所有 Endpoint Management 环境,服务器属性 ios.mdm.enrollment.installRootCaIfRequired 设置为 False。Endpoint Management 使用公开信任的证书链,因此没有必要将根 CA 推送到设备。(此属性仅用于本地环境。)

iOS 设备管理注册最后一个步骤延迟

  • 在设备注册过程中,此属性的值指定在设备上安装 MDM 配置文件与启动代理之间需等待的时间量。Citrix 建议仅针对网络延迟或速度问题编辑此属性。在这种情况下,不要将该值设置为超过 5000 毫秒(5 秒)。默认值为 1000 毫秒(1 秒)。

iOS 设备管理身份交付模式

  • 指定 Endpoint Management 使用 SCEP(出于安全原因而推荐使用)还是 PKCS12 向设备分发 MDM 证书。在 PKCS12 模式下,密钥对在服务器上生成,并且不执行任何协商。默认值为 SCEP

iOS 设备管理身份密钥大小

  • 定义 MDM 身份、iOS 配置文件服务和 Endpoint Management iOS 代理身份的私钥的大小。默认为 2048

iOS 设备管理身份续订天数

  • 指定 Endpoint Management 在证书过期之前开始续订证书的天数。例如:如果证书将于 10 天后过期,并且此属性设置为 10 天:当设备在过期之前 9 天连接时,Endpoint Management 会颁发新证书。默认值为 30 天。

iOS MDM APNS 私钥密码

  • 此属性包含 APNs 密码,Endpoint Management 向 Apple 服务器推送通知需要该密码。

设备断开连接之前不活动的时长

  • 指定设备在 Endpoint Management 将其断开连接之前可以保持不活动状态的时长,包括最后一次身份验证。默认值为 7 天。

local.user.account.lockout.time

  • 指定用户在超过锁定限制后必须等待的分钟数。支持的值为 0-999。默认值为 30 分钟。

local.user.account.lockout.limit

  • 指定每个用户连续无效登录尝试的最大次数。支持的值为 0-999。默认值为 6 次尝试。

mac.dep.admin.passwd。旋转

此服务器属性允许您为通过 Apple 部署计划注册的 macOS 设备配置管理员密码轮换间隔。Endpoint Management 检查是否每天轮换管理员帐户的密码。默认情况下,Endpoint Management 每 10,080 分钟(7 天)轮换一次密码。按如下方式配置 mac.dep.admin.passwd.rotate 密钥:

  • 值: 管理员定义 的 Endpoint Management 轮换密码的时间间隔(以分钟为单位)。键入等于或大于 360(6 小时)的值。Endpoint Management 忽略小于 360 的值,而是每 360 分钟(6 小时)轮换一次密码。
  • 显示名称: 管理员定义
  • 说明:由管理员定义

MAM Only Device Max(仅 MAM 设备最大值)

  • 此自定义键限制每个用户可以注册的仅 MAM 设备数。按如下所示配置键。0 表示设备注册数不受限制。

  • 键 = number.of.mam.devices.per.user
  • 值 = 5
  • 显示名称 = 仅 MAM 设备最大值
  • 说明 = 限制每个用户可以注册的 MAM 设备数。

MaxNumberOfWorker

  • 导入许多批量购买许可证时使用的线程数量。默认值为 3。如果需要进一步优化,可以增加线程的数量。但是,更多的线程会导致 CPU 使用率较高。

Citrix Gateway (NetScaler) 单点登录

  • 如果设置为 False,则在从 Citrix Gateway 到 Endpoint Management 的单点登录期间禁用 Endpoint Management 回调功能。如果 Citrix Gateway 配置包括回调 URL,则 Endpoint Management 使用回调功能验证 Citrix Gateway 会话 ID。默认值为 False

连续失败的上载次数

  • 显示客户体验改善计划 (CEIP) 上载过程中连续失败的次数。Endpoint Management 会在上载失败时增加该值。上载失败 15 次后,Endpoint Management 将禁用 CEIP(又称为遥测)。有关详细信息,请参阅服务器属性确定是否已启用遥测。Endpoint Management 在上载成功时将该值重置为 0

每个设备的用户数

  • 能够在 MDM 中注册相同设备的用户的最大数量。值 0 表示能够注册相同设备的用户数量不受限制。默认值为 0

optional.user.identity.attributes

  • 此服务器属性允许您自定义可选 Active Directory 用户属性。

    创建自定义密钥,然后在字段中编辑用户属性,以定义 Endpoint Management 创建用户帐户时可以访问的属性。有关详细信息,请参阅自定义用户属性

    • 键:自定义键
    • 键:optional.user.identity.attributes
    • 值:commonName、firstName、lastName、displayName、streetAddress、city、state、country、workPhone、homePhone、mobilePhone、company、department、description、employeeID、faxNumber、initials、ipPhone、manager、homePostalAddress、otherMobile、pager、physicalDeliveryOfficeName、postalCode、postOfficeBox、title、organization、preferredLanguage
    • 显示名称:optional.user.identity.attributes
    • 说明:可选 Active Directory 用户属性

macOS 和 iOS/iPadOS 注册配置文件的组织名称

  • 键入的 apple.mdm.enrollment.profile.organization.name 的值与提供注册配置文件的组织的名称相对应。当用户将其设备注册到 Endpoint Management 时,将显示名称。显示的默认名称为 Citrix Workspace

提取允许和被拒绝的用户的增量更改

  • Endpoint Management 在运行 PowerShell 命令以获取 ActiveSync 设备的增量时等待来自域的响应的秒数。默认值为 60 秒。

从 Microsoft 证书服务器读取超时

  • Endpoint Management 在执行读取时等待来自证书服务器的响应的秒数。如果证书服务器速度缓慢,并且具有大量流量,您可以将此值增加到 60 秒或更长时间。120 秒后没有响应的证书服务器需要维护。默认值为 15000 毫秒(15 秒)。

REST Web 服务

  • 启用 REST Web 服务。默认值为 true

以指定大小的块检索设备信息

  • 此值在内部用于设备导出期间的多线程处理。如果该值较高,则单个线程解析较多的设备。如果该值较低,则有较多的线程提取设备。降低该值可能会提高导出和设备列表提取的性能,但可能会减少可用内存。默认值为 1000

shp.console.enable

  • 如果设置为 False,则阻止访问自助服务门户。导航到端口 4443 上的门户的用户会收到“拒绝被访问”消息。如果设置为 true,则提供通过端口 443 访问自助服务门户的权限。

    默认值为 False

enable.new.shp

  • 如果设置为 False,则阻止用户从自助服务门户启用其设备。如果设置为 True,用户可以从自助服务门户启用其设备。

    BitLocker 恢复密钥功能要求您将此属性设置为 False,并将 shp.console.enable 属性设置为 True

    默认值为 False

会话日志清理时间(天)

  • Endpoint Management 保留会话日志的天数。默认值为 7

Content Collaboration 配置类型

  • 指定 Citrix Files 存储类型。ENTERPRISE 表示启用 Citrix Files Enterprise 模式。CONNECTORS 表示仅提供对通过 Endpoint Management 控制台创建的存储区域连接器的访问权限。默认值为 NONE,它显示 配置 > Citrix Files 屏幕的初始视图,您可以在 Citrix Files 企业版和连接器之间进行选择。默认值为 NONE

静态超时(分钟)

  • 如果 Web 服务超时类型服务器属性为 STATIC_TIMEOUT: 此属性定义分钟数,超过此时间后,Endpoint Management 注销执行了以下操作的管理员︰
    • 使用适用于 REST 的公共 API 服务访问 Endpoint Management 控制台。
    • 使用适用于 REST 的公共 API 服务访问任何第三方应用程序。

    默认值为 60

触发代理消息抑制

  • 启用或禁用 Secure Hub 客户端消息传递。值 false 表示启用消息传递。默认值为 true

触发代理声音抑制

  • 启用或禁用 Secure Hub 客户端声音。值 false 表示启用声音。默认值为 true

Android 设备的未经身份验证的应用程序下载

  • 如果设置为 True,则可以将自托管应用程序下载到运行 Android Enterprise 的 Android 设备。如果启用了在 Google Play 应用商店中静态提供下载 URL 的 Android Enterprise 选项,Endpoint Management 将需要此属性。在这种情况下,下载 URL 不能包含具有身份验证令牌的一次性票证(由 XAM 一次性票证服务器 属性定义)。默认值为 False

Windows 设备的未经身份验证的应用程序下载

  • 仅用于不验证一次性票证的较旧的 Secure Hub 版本。如果设置为 False,则可以将未经身份验证的应用程序从 Endpoint Management 下载到 Windows 设备。默认值为 False

使用 ActiveSync ID 对 ActiveSync 擦除设备执行操作

  • 如果为 true,适用于 Exchange ActiveSync 的 Endpoint Management 连接器将使用 ActiveSync 标识符作为 asWipeDevice 方法的参数。默认值为 false

仅限来自 Exchange 的用户

  • 如果设置为 true,则禁用针对 ActiveSync Exchange 用户的用户身份验证。默认值为 false

VP 基准时间间隔

  • Endpoint Management 从 Apple 重新导入批量购买许可证的最小时间间隔。刷新许可证信息可确保 Endpoint Management 反映所有更改,例如,手动从批量购买中删除导入的应用程序时。默认情况下,Endpoint Management 按每 1440 分钟的最小时间间隔为基准刷新批量购买许可证。

    • 如果您安装了许多批量购买许可证(例如,超过 50000):Citrix 建议增加基准时间间隔以降低导入许可证的频率和开销。

    • 如果您预计 Apple 会频繁更改批量购买许可证:Citrix 建议降低该值以使更改及时更新到 Endpoint Management 中。

    • 两个基准之间的最小时间间隔为 60 分钟。此外,Endpoint Management 每隔 60 分钟执行一次增量导入,以捕获自上次导入后所做的更改。因此,如果批量购买基准时间间隔为 60 分钟,则基准之间的时间间隔可能会最长延迟 119 分钟。

Web 服务超时类型

  • 指定如何使从公共 API 中获取的身份验证令牌过期。
    • 如果设置为 STATIC_TIMEOUT: Endpoint Management 会将令牌视为已过期,具体取决于服务器属性静态超时(分钟) 的值。

    • 如果设置为 INACTIVITY_TIMEOUT: Endpoint Management 会将令牌视为已过期,具体取决于服务器属性不活动超时(分钟) 的值。默认值为 STATIC_TIMEOUT

Windows Phone MDM 证书延长的有效期(5 年)

  • MDM 为 Windows Phone 和 Tablet 颁发的设备证书的有效期。在设备管理过程中,设备使用设备证书向 MDM 服务器进行身份验证。如果设置为 true,有效期为五年。如果设置为 false,有效期为两年。默认值为 true

Windows WNS 通道 - 续订之前的天数

  • ChannelURI 的续订频率。默认值为 10 天。

Windows WNS 检测信号时间间隔

  • Endpoint Management 在以每五分钟三次的速率连接到某个设备之后再次连接到该设备之前等待的时间。默认值为 6 小时。

XAM 一次性票据

  • 一次性身份验证令牌 (OTT) 对下载应用程序有效的毫秒数。此属性与 Android 设备的未经身份验证的应用程序下载属性和 Windows 设备的未经身份验证的应用程序下载属性一起使用。这些属性指定是否允许进行未经身份验证的应用程序下载。默认值为 3600000

Endpoint Management MDM 自助服务门户控制台的最长不活动时间间隔(分钟)

  • 此属性名称反映了较旧的 Endpoint Management 版本。此属性控制 Endpoint Management 控制台的最大不活动时间间隔。该时间间隔是 Endpoint Management 从 Endpoint Management 控制台注销不活动用户之前的分钟数。超时为 0 表示非活动用户保持登录状态。默认值为 30
服务器属性