Citrix Endpoint Management

应用程序锁定设备策略

应用程序锁定设备策略定义了以下任一应用程序的列表:

  • 允许在设备上运行。
  • 阻止在设备上运行。

策略的确切运行方式因支持的每个平台而异。例如,不能阻止在 iOS 设备上运行多个应用程序。

同样,对于 iOS 设备,每个策略只能选择一个 iOS 应用程序。用户只能使用其设备运行单个应用程序。在强制执行应用程序锁定设备策略时,用户无法在设备上执行除您明确允许的选项之外的任何其他活动。

此外,必须监督 iOS 设备才能推送应用程序锁定策略。

虽然设备策略适用于大多数 Android L 和 M 设备,但是,应用程序锁定不适用于 Android N 或更高版本的设备。它不起作用,因为 Google 弃用了所需的 API。

对于托管 Windows Desktop 和 Tablet,您可以创建一个应用程序锁定设备策略,该策略定义允许列表和阻止列表中的应用程序列表。可以允许或阻止可执行文件、MSI 安装程序、应用商店应用程序、DLL 和脚本。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

iOS 设置

“设备策略”配置屏幕

  • 应用程序捆绑包 ID: 在列表中,单击应用此策略的应用程序,或单击新增向列表中添加应用程序。如果选择新增,请在显示的字段中键入应用程序名称。
  • 选项: 对于每个选项,除禁用触摸屏默认值为之外,默认值均为
    • 禁用触摸屏
    • 禁用设备旋转感应
    • 禁用音量按钮
    • 禁用铃声开关

      禁用铃声开关设置为时,铃声行为取决于首次禁用时开关所处的位置。

    • 禁用睡眠/唤醒按钮
    • 禁用自动锁定
    • 禁用 VoiceOver
    • 启用缩放
    • 启用反转颜色
    • 启用 AssistiveTouch
    • 启用朗读所选内容
    • 启用单声道音频
    • 启用语音控制
  • 用户已启用的选项: 对于每个选项,默认值为
    • 允许 VoiceOver 调整
    • 允许缩放调整
    • 允许反转颜色调整
    • 允许 AssitiveTouch 调整
    • 允许语音控制调整
  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历以选择具体删除日期。
      • 删除前的持续时间(小时): 键入一个数字(以小时为单位),直到删除策略。仅适用于 iOS 6.0 或更高版本。

将 iPad 配置为网亭

可以使用应用程序锁定设备策略运行受监督的 iPad 作为展台。Apple 将此功能称为单应用模式。有关此功能的详细信息,请参阅Apple 文档。在部署此策略之前,请务必部署要运行的应用程序。

  1. 导航到配置 > 设备策略,然后单击添加
  2. 选择应用程序锁定策略。
  3. 键入策略名称和可选说明
  4. 仅选择 iOS 平台。
  5. 对于应用程序捆绑包 ID,请选择要在 iPad 上运行的应用程序。
  6. 如前所述,配置所需的任何选项并保存策略。
  7. 将策略添加到与 iPad 相同的交付组,然后部署策略。

Android 设置

注意:

不能使用“应用程序锁定”设备策略阻止 Android 的“设置”应用程序。

“设备策略”配置屏幕

  • 应用程序锁定参数
    • 锁定消息: 键入用户尝试打开锁定的应用程序时看到的消息。
    • 解锁密码: 键入用于解锁应用程序的密码。
    • 阻止卸载: 选择是否允许用户卸载应用程序。默认值为
    • 锁定屏幕: 单击浏览并导航到显示在设备锁屏界面上的图像文件所在位置,选择此图像。
    • 强制执行: 单击黑名单创建不允许在设备上运行的应用程序列表。单击白名单创建允许在设备上运行的应用程序列表。

      注意:

      Endpoint Management 控制台包含术语“黑名单”和“白名单”。我们正在将即将发布的版本中的这些术语更改为“阻止列表”和“允许列表”。

  • 应用程序: 单击添加,然后执行以下操作:
    • 应用程序名称: 在列表中,单击要添加到允许或阻止列表中的应用程序的名称。或者,单击新增将应用程序添加到可用应用程序列表中。
    • 如果选择新增,请在显示的字段中键入应用程序名称。
    • 单击保存取消
    • 为要添加到允许列表或阻止列表中的每个应用程序重复执行这些步骤。

Windows Desktop 和 Tablet 设置

应用程序锁定的必备条件

  • 在 Windows 中,在 Windows 10 桌面上的本地安全策略编辑器中配置规则。
  • 导出策略 XML 文件。Citrix 建议您在 Windows 中创建默认规则,以避免锁定默认配置或导致设备上出现问题。
  • 然后,使用应用程序锁定设备策略将 XML 文件上载到 Endpoint Management。有关创建规则的详细信息,请参阅此 Microsoft 文章: https://docs.microsoft.com/en-us/windows/security/threat-protection/applocker/applocker-overview

从 Windows 配置和导出策略 XML 文件

重要:

通过 Windows 策略编辑器配置策略 XML 文件时,请使用“仅审核”模式。

  1. 在 Windows 计算机中,启动本地安全策略编辑器。单击启动,键入本地安全策略,然后单击本地安全策略
  2. 在控制台树中,展开应用程序控制策略
  3. 单击 AppLocker,然后在中心窗格中,单击 Configurerule enforcement(配置规则强制执行)。
  4. 选择已配置,然后选择强制规则。启用了某个规则时,Enforce rules(强制执行规则)为默认值。
  5. 右键单击 AppLocker,单击 Export Policy(导出策略),然后保存 XML 文件。

注意:

可以创建 Executable Rules(可执行规则)、Windows Installer Rules(Windows 安装程序规则)、Script Rules(脚本规则)和 Packaged App Rules(封装应用程序规则)。为此,请右键单击文件夹,然后单击 Create New Rule(创建新规则)。

将策略 XML 文件导入 Endpoint Management

创建应用程序锁定策略。在应用程序锁定策略文件设置中,单击浏览并导航到 XML 文件。

停止应用“应用程序锁定”策略

在 Endpoint Management 中部署“应用程序锁定”策略后:要停止应用该“应用程序锁定”策略,请创建一个空 XML 文件。然后,创建另一个“应用程序锁定”策略,上载文件并部署该策略。启用了“应用程序锁定”的设备不受影响。首次接收该测uede设备未设置“应用程序锁定”策略。

应用程序锁定设备策略