已弃用的设备策略

注意:

从 2018 年第二季度开始,对 Symbian 和 Windows Mobile/CE 设备的支持将不再对新客户可用。有关 Microsoft 产品生命周期的信息,请参阅https://support.microsoft.com/en-us/lifecycle/search/1143

APN 设备策略 (Windows Mobile/CE)

如果贵组织不使用使用者 APN 从移动设备连接到 Internet,可以使用访问点名称 (APN) 设备策略。APN 策略确定将设备连接到特定电话运营商的通用分组无线服务 (GPRS) 所使用的设置。大多数新式电话中已经定义此设置。

Windows Mobile/CE 设置

  • APN: 键入接入点的名称。此名称必须与接受的某个 Android APN 匹配,否则策略将失败。
  • 网络: 在列表中,单击要使用的网络类型。默认值为内置办公网络
  • 用户名: 此字符串指定此 APN 的用户名。如果用户名丢失,则在配置文件安装期间设备会提示该字符串。
  • 密码: 此 APN 的用户密码。为进行混码处理,对密码进行了编码。如果负载中缺少密码,则配置文件安装期间设备会提示输入密码。

“应用程序访问” 设备策略 (Windows Mobile/CE)

Endpoint Management 中的 “应用程序访问” 设备策略允许您定义满足以下任一条件的应用程序的列表:

  • 需要安装到设备上
  • 可以在设备上安装
  • 不能安装在设备上。

然后,可以创建自动化操作,以使设备符合此应用程序列表。

一次只能配置一种类型的访问策略。可以针对必选的应用程序列表、推荐的应用程序列表或禁止的应用程序列表添加策略。在同一个应用程序访问策略中, 不能同时包含必需的、建议的或禁用的应用程序。如果为每种列表类型创建一个策略,建议谨慎地为每个策略命名。这种做法可以帮助您了解 Endpoint Management 中的哪项策略适用于哪种应用程序列表。

Mobile/CE 设置

  • 访问策略: 单击必填建议禁止。默认值为必填
  • 要向列表中添加一个或多个应用程序,请单击添加,然后执行以下操作:
    • 应用程序名称: 输入应用程序的名称。
    • 应用程序标识符: 输入可选的应用程序标识符。
    • 单击保存取消
    • 对要添加的每个应用程序重复这些步骤。

应用程序清单设备策略 (Windows Mobile/CE)

应用程序清单策略用于收集托管设备上的应用程序清单。之后 Endpoint Management 可以将清单与部署到这些设备的任何应用程序访问策略进行比较。这样,您可以发现出现在应用程序黑名单或白名单上的应用程序,并采取相应的操作。

在应用程序访问策略中禁止应用程序时, 应用程序将显示在黑名单中。在应用程序访问策略中需要应用程序时, 应用程序将显示在白名单中。

Windows Mobile/CE 设置

  • 对于所选的每个平台,保留默认设置或将设置更改为。默认值为

应用程序卸载设备策略 (Windows Mobile/CE)

通过应用程序卸载策略,您可以因任意多种原因从用户设备中删除应用程序。您可能不希望再支持某些应用程序。或者,贵公司希望将现有应用程序替换为不同供应商提供的类似应用程序。

当此策略部署到用户设备时,应用程序被删除。用户将收到安装应用程序的提示。

Windows Mobile/CE 设置

  • 要卸载的应用程序: 对于您要添加的每个应用程序,单击添加,然后执行以下操作:
    • 应用程序名称: 在列表中,单击现有应用程序,或单击新增输入新的应用程序名称。如果此平台没有配置应用程序,该列表将是空的,您必须添加新的应用程序。
    • 单击添加以添加应用程序,或单击取消以取消添加应用程序。

应用程序通道设备策略 (Windows Mobile/CE)

应用程序通道旨在提高移动应用程序的服务连续性及数据传输可靠性。应用程序通道定义移动设备应用程序的客户端组件与应用程序服务器组件之间的代理参数。

通过在此策略中定义的通道发送的任何应用程序流量均先通过 Endpoint Management,然后再被重定向到运行此应用程序的服务器。

Windows Mobile/CE 设置

  • 连接发起者: 单击设备服务器以指定发起连接的源。

  • 协议: 在列表中,单击要使用的协议。默认值为通用 TCP

  • 每台设备最大连接数: 键入一个数字,用于指定应用程序可以建立的并发 TCP 连接数。此字段仅适用于设备发起的连接。

  • 定义连接超时: 选择是否设置通道关闭前应用程序可以空闲的时间长度。

    • 连接超时:指定将定义连接超时设置为时的超时时间。超时是通道关闭前应用程序可以空闲的秒数。
  • 阻止手机网络连接通过此通道: 选择是否在漫游时阻止此通道。不会阻止 WiFi 和 USB 连接。

  • 重定向到 Endpoint Management:在列表中, 单击设备连接到 Endpoint Management 的方式。默认值为通过应用程序设置

    • 如果选择使用本地别名,请在本地别名中键入别名。默认值为 localhost
    • 如果选择 IP 地址范围,请在 IP 地址范围起点中键入起始 IP 地址。然后在 IP 地址范围中键入 to IP address ( ip 地址范围)。
  • 客户端端口: 键入客户端端口号。通常情况下, 此值与服务器端口相同。

  • IP 地址或服务器名称: 键入应用程序服务器的 IP 地址或名称。此字段仅适用于设备发起的连接。

  • 服务器端口: 键入服务器端口号。

连接管理器设备策略 (Windows Mobile/CE)

在 Endpoint Management 中,可以为自动连接到 Internet 的应用程序指定连接设置并提供网络。此策略仅适用于 Windows Pocket PC。

Windows Mobile/CE 设置

注意:

内置办公网络表示所有连接均指向公司的 Intranet。内置 Internet 表示所有连接均指向 Internet。

  • 自动连接到专用网络的应用程序使用: 在列表中,单击内置办公网络内置 Internet。默认值为内置办公网络

  • 自动连接到 Internet 的应用程序使用: 在列表中,单击内置办公网络内置 Internet。默认值为内置办公网络

连接计划设备策略 (Windows Mobile/CE)

可以创建连接计划策略,用于控制用户设备如何及何时连接到 Endpoint Management。可以指定用户需要手动连接其设备、设备永久保持连接状态或设备在定义的时间范围内进行连接。

Windows Mobile/CE 设置

  • 需要连接设备: 单击要为此计划设置的选项。
    • 总是: 连接永久保持活动状态。在网络连接断开后, 用户设备上的 Endpoint Management 尝试重新连接到 Endpoint Management 服务器。Endpoint Management 会通过定期传输控制数据包来监视连接。Citrix 建议使用此选项以优化安全性。如果选择总是,还要对设备通道策略使用定义连接超时设置以确保连接不会耗尽电池电量。通过保持连接处于活动状态,您可以根据需要将擦除或锁定等安全命令推送到设备。此外,请务必在部署到设备的每个策略中选择部署计划选项为始终启用的连接部署
    • 从不: 手动进行连接。用户必须从其设备上的 Endpoint Management 启动连接。Citrix 建议不要对生产部署使用此选项,因为这会阻止您将安全策略部署到设备。因此, 用户不会收到任何新应用程序或策略。
    • 每隔: 按照指定间隔进行连接。如果此选项生效,则当您发送锁定或擦除等安全策略时:Endpoint Management 将在下次设备连接时在设备上处理该操作。选择此选项后,将显示每隔 N 分钟连接一次字段,您必须在其中输入设备必须进行重新连接的间隔分钟数。默认值 (最小值) 为120
    • 定义计划:启用后, 在网络连接断开后, 用户设备上的 Endpoint Management 尝试重新连接到 Endpoint Management 服务器。Endpoint Management 在您定义的时间范围内通过以固定间隔传输控制数据包来监视连接。有关如何定义连接时间范围的信息,请参阅下文中的“定义连接的时间范围”。
      • 在这些时段内保持永久连接: 在定义的时间范围内,用户设备必须连接。
      • 要求每个范围内存在一个连接: 在定义的任一时间范围内用户设备必须至少连接一次。
      • 使用本地设备时间而非 UTC: 将定义的时间范围与本地设备时间而非协调世界时 (UTC) 同步。

定义连接的时间范围

启用下列选项时,将显示一个时间表,您可以利用此时间表设置所需的时间范围。您可以启用其中一个选项,也可以同时启用两个选项,以满足在指定时间需要永久连接或在特点时限内需要连接的需求。时间线中的每个方块为30分钟。因此,如果您希望在每个工作日的上午 8:00 到上午 9:00 之间连接,请单击时间表上每个工作日的上午 8:00 到上午 9:00 之间的两个方格。

例如, 下图中的两个时间表需要:

  • 每个工作日在 8:00 AM 和 9:00 AM 之间建立永久连接。
  • 在 12:00 AM 星期六和 1:00 AM 周日之间建立永久连接。
  • 在每个工作日的 5:00 AM 和 8:00 AM 之间或介于 10:00 AM 到 11:00 PM 之间至少有一个连接。

凭据设备策略 (Windows Mobile/CE)

可以在 Endpoint Management 中创建凭据设备策略, 以便在 Endpoint Management 中使用您的 PKI 配置启用集成身份验证。例如,与 PKI 实体、密钥库、凭据提供程序或服务器证书集成。有关凭据的详细信息,请参阅 证书和身份验证

注意:

创建此策略前,需要具有计划用于各平台的凭据信息,以及任何证书和密码。

Windows Mobile/CE 设置

  • 存储设备: 在列表中,单击凭据的证书存储位置。默认值为。选项包括:
    • 特许执行信任颁发机构: 使用属于此存储的证书签名的应用程序将在特许信任级别下运行。
    • 非特许执行信任颁发机构: 使用属于此存储的证书签名的应用程序将在一般信任级别下运行。
    • SPC(软件发行程序证书): 软件发行程序证书 (SPC) 用于签名 .cab 文件。
    • 根: 包含根证书或自签名证书的证书存储。
    • CA: 包含加密信息(包括中间证书颁发机构)的证书存储。
    • 我的: 包含最终用户个人证书的证书存储。
  • 凭据类型: 证书是适用于 Windows Mobile/CE 设备的唯一凭据类型。
  • 凭据文件路径: 单击浏览并导航到凭据文件所在位置,选择此文件。

自定义 XML 设备策略 (Windows Mobile/CE)

可以在 Endpoint Management 中创建自定义 XML 策略,以自定义以下功能:

  • 预配,包括配置设备以及启用或禁用功能
  • 设备配置,包括允许用户更改设置和设备参数
  • 软件升级,包括提供要加载到设备中的新软件或缺陷修复(包括应用程序和系统软件)
  • 故障管理,包括接收来自设备的错误和状态报告

对于 Windows 设备:可以在 Windows 中使用 Open Mobile Alliance Device Management (OMA DM) API 创建自己的自定义 XML 配置。本主题中不介绍如何使用 OMA DM API 创建自定义 XML。有关使用 OMA DM API 的详细信息,请参阅 Microsoft Developer Network 站点上的 OMA 设备管理

Windows Mobile/CE 设置

  • XML 内容: 键入或剪切并粘贴要添加到策略的自定义 XML 代码。

    单击下一步后,Endpoint Management 将检查 XML 内容语法。内容框下将显示所有语法错误。请先修复所有错误,然后再继续操作。

    如果没有语法错误,将显示自定义 XML 策略分配页面。

删除文件和文件夹设备策略 (Windows Mobile/CE)

可以在 Endpoint Management 中创建一个策略,用于从 Windows Mobile/CE 设备删除特定的文件或文件夹。

Windows Mobile/CE 设置

  • 要删除的文件和文件夹: 对于要删除的每个文件或文件夹,单击“添加”,然后执行以下操作:
    • 路径: 键入文件或文件夹的路径。
    • 类型: 在列表中,单击“文件”或“文件夹”。默认值为“文件”。
    • 单击保存以保存文件或文件夹,或单击取消不保存文件夹或文件夹。

删除注册表项和值设备策略 (Windows Mobile/CE)

可以在 Endpoint Management 中创建一个策略,用于从 Windows Mobile/CE 设备删除特定的注册表项和值。

Windows Mobile/CE 设置

  • 要删除的注册表项和值: 对于要删除的每个注册表项和值,单击添加,然后执行以下操作:
    • 注册表项: 键入注册表项路径。此字段为必填字段。注册表项路径应以 HKEY_CLASSES_ROOT\ 或 HKEY_CURRENT_USER\ or HKEY_LOCAL_MACHINE\ 或 HKEY_USERS\ 开头。
    • 值: 键入要删除的值名称,或让此字段留空以删除整个注册表项。
    • 单击保存以保存注册表项和值,或单击取消不保存注册表项和值。

“文件” 设备策略 (Windows Mobile/CE)

可以向 Endpoint Management 添加脚本文件, 以对用户执行某些功能。利用此策略可以添加以下文件类型:

  • 文本文件(.xml、.html、.py 等)
  • 使用 MortScript 创建的脚本文件

Windows Mobile/CE 设置

  • 要导入的文件: 单击“浏览”并导航到要导入的文件位置,选择此文件。
  • 文件类型: 选择文件脚本。选择脚本时,将显示立即执行。选择是否在上载文件时执行脚本。默认值为
  • 替换宏表达式: 选择是否将脚本中的宏令牌名称替换为设备或用户属性。默认值为
  • 目标文件夹: 在列表中,选择存储已上载文件的位置,或单击新增选择未列出的文件位置。此外,还可以使用以下宏作为路径标识符的开头:
    • %Flash Storage%\
    • %Endpoint Management Folder%\
    • %Program Files%\
    • %My Documents%\
    • %Windows%\
  • 目标文件夹名: (可选)如果必须在部署到设备上之前更改文件名,请键入一个不同名称。
  • 仅在不同时复制文件: 在列表中,选择是否在与现有文件不同时复制文件。默认值为仅在文件存在差异时复制文件
  • 只读文件: 选择文件是否为只读文件。默认值为
  • 隐藏文件: 选择文件是否显示在文件列表中。默认值为

代理设备策略 (Windows Mobile/CE)

可以在 Endpoint Management 中添加一个设备策略,用于为运行 Windows Mobile/CE 和 iOS 的设备指定全局 HTTP 代理设置。只能为每个设备部署一个全局 HTTP 代理策略。

Windows Mobile/CE 设置

  • 网络: 在列表中,单击要使用的网络类型。默认值为内置办公网络。可能的选项包括:
    • 用户定义的办公网络
    • 用户定义的 Internet
    • 内置办公网络
    • 内置 Internet
  • 网络: 在列表中,单击要使用的网络连接协议。默认值为 HTTP。可能的选项包括:
    • HTTP
    • WAP
    • Socks 4
    • Socks 5
  • 代理服务器的主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。此字段为必填字段。
  • 代理服务器的端口: 键入代理服务器的端口号。此字段为必填字段。默认值为 80
  • 用户名: 键入向代理服务器进行身份验证的可选用户名。
  • 密码: 键入向代理服务器进行身份验证的可选密码。
  • 域名: 键入可选域名。
  • 启用: 选择是否启用代理。默认值为

注册表设备策略 (Windows Mobile/CE)

Windows Mobile/CE 注册表存储关于应用程序、驱动器、用户首选项和配置设置的数据。在 Endpoint Management 中,您可以定义用于管理 Windows Mobile/CE 设备的注册表项和值。

Windows Mobile/CE 设置

对于要添加的每个注册表项或注册表项/值对,单击添加,然后执行以下操作:

  • 注册表项路径: 键入注册表项的完整路径。例如,键入 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows 以指定从 HKEY_LOCAL_MACHINE 根注册表项到 Windows 注册表项的路由。
  • 注册表值的名称: 键入注册表项值的名称。例如,键入 ProgramFilesDir 将该值名称添加到注册表项路径 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion。如果将此字段留空,表示将添加注册表项而非注册表项/值对。
  • 类型: 在列表中,单击值的数据类型。默认值为 DWORD。可能的选项包括:
    • DWORD: 32 位无符号整数。
    • 字符串: 任意字符串。
    • 扩展字符串: 可以包含环境变量(例如 %TEMP% 或 %USERPROFILE%)的字符串值。
    • 二进制: 任意二进制数据。
  • 值: 键入与注册表值名称关联的值。例如,要指定 ProgramFilesDir 的值,请键入 C:\Program Files
  • 单击保存以保存注册表项信息,或单击取消不保存注册表项信息。

限制设备策略 (Windows Mobile/CE)

限制设备策略允许或限制用户设备上的某些特性或功能,例如相机。您还可以设置安全限制、对媒体内容的限制以及对用户能够和不能安装的应用程序类型的限制。大多数限制设置默认为允许

提示:

如果您为任何选项选择,则意味着用户可以执行该操作或使用该功能。例如:

相机。如果设置为,用户将可以在其设备上使用相机。如果设置为,用户将无法在其设备上使用相机。

Windows Mobile/CE 设置

“设备策略”配置屏幕图

  • 蓝牙/红外收发(Obex): 通过 Bluetooth 或红外线启用 OBEX(OBject EXchange 协议)以在设备之间交换数据。
  • 相机: 在用户设备上启用相机。
  • WiFi 开关: 允许用户切换 WiFi 网络。
  • 蓝牙: 在用户设备上启用蓝牙。

漫游设备策略 (Windows Mobile/CE)

可以在 Endpoint Management 中添加一个设备策略,以配置是否允许语音和数据漫游。禁用语音漫游时,会自动禁用数据漫游。

Windows Mobile/CE 设置

  • 漫游时
    • 只使用按需连接: 如果用户在其设备上手动触发连接,或者如果移动应用程序请求强制进行连接,设备才会连接到 Endpoint Management。例如, 如果已相应设置 Exchange Server, 则为推送邮件请求。此选项会临时禁用默认设备连接计划策略。
    • 阻止所有手机网络连接,但 Endpoint Management 管理的连接除外: 除了在 Endpoint Management 应用程序通道或其他 Endpoint Management 设备管理任务中正式声明的数据流量外,该设备不会发送或接收任何其他数据。例如,此选项将禁用所有通过设备的 Web 浏览器到 Internet 的连接。
    • 阻止 Endpoint Management 管理的所有手机网络连接: 所有通过 Endpoint Management 通道传输的应用程序数据都将被阻止(包括 Endpoint Management Remote Support)。但是,不会阻止与纯“设备管理”相关的数据流量。
    • 阻止与 Endpoint Management 的所有手机网络连接: 除非设备通过 USB、WiFi 或其默认移动运营商手机网络重新进行连接,否则在设备和 Endpoint Management 之间不会传输任何流量。
  • 国内漫游时
    • 忽略国内漫游: 用户在国内漫游时不阻止任何数据。

WiFi 设备策略 (Windows Mobile/CE)

借助 WiFi 策略,您可以通过定义以下项目来管理用户将其设备连接到 WiFi 网络的方式:

  • 网络名称和类型
  • 身份验证和安全策略
  • 代理服务器使用
  • 其他 WiFi 详细信息

必备条件

在创建策略之前,请务必完成以下步骤:

  • 创建计划使用的任何交付组。
  • 了解网络名称和类型。
  • 了解计划使用的任何身份验证或安全类型。
  • 了解可能需要的任何代理服务器信息。
  • 安装所有必需的 CA 证书。
  • 具有所有必需共享密钥。
  • 为基于证书的身份验证创建 PKI 实体。
  • 配置凭据提供程序。

有关详细信息,请参阅身份验证及文中各小节。

Windows Mobile/CE 设置

  • 网络名称: 键入在用户设备上的可用网络列表中的 SSID。
  • 设备到设备连接(临时): 允许两个设备直接连接。默认值为
  • 网络: 选择设备是连接到外部 Internet 来源还是官方 Intranet。
  • 身份验证: 在列表中,选择用于 WiFi 连接的安全类型。
    • 开放
    • WPA Personal
    • WPA-2 Personal
    • WPA-2 Enterprise

以下各节列出了要为上述各个连接类型配置的选项。

适用于 Windows Mobile/CE 的“开放”设置

  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows Mobile/CE 的“WPA Personal”、“WPA-2 Personal”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • 隐藏的网络(网络打开或关闭时启用): 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows Mobile/CE 的“WPA-2 Enterprise”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • EAP 类型: 在列表中,选择 PEAP-MSCHAPv2TLS 以设置 EAP 类型。默认值为 PEAP-MSCHAPv2
  • 即使隐藏,也进行连接: 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。
  • 通过 SCEP 推送证书: 选择是否使用简单证书注册协议 (SCEP) 将证书推送到用户设备。
  • SCEP 的凭据提供程序: 在列表中,选择 SCEP 凭据提供程序。默认值为 ““。
  • 提供的密钥(自动): 选择是否自动提供密钥。默认值为
  • 密码: 在此字段中键入密码。
  • 密钥索引: 选择密钥索引。可用选项包括 1234

Windows CE 证书设备策略 (Windows Mobile/CE)

可以在 Endpoint Management 中创建一个设备策略,用于创建并向用户设备交付来自外部 PKI 的 Windows Mobile/CE 证书。

Windows CE 设置

  • 凭据提供程序: 在列表中,单击凭据提供程序。默认值为 ““。
  • 生成的 PKCS#12 的密码: 键入用于加密凭据的密码。
  • 目标文件夹: 在列表中,单击凭据的目标文件夹或单击新增以添加列表中尚未存在的文件夹。预定义选项为:
    • %Flash Storage%\
    • % Endpoint Management 文件夹% \
    • %Program Files%\
    • %My Documents%\
    • %Windows%\
  • 目标文件名: 键入凭据文件的名称。

Endpoint Management 选项设备策略 (Windows Mobile/CE)

添加 Endpoint Management 选项策略,用于配置在从 Windows Mobile/CE 设备连接到 Endpoint Management 时 Secure Hub 的行为。

Windows Mobile/CE 设置

  • 设备代理配置
    • Endpoint Management 备份配置: 在列表中,单击用于在用户设备上备份 Endpoint Management 配置的选项。默认值为已禁用。可用选项包括:
      • 已禁用
      • Endpoint Management 安装后的第一个连接
      • 每次设备重新启动后首次连接时
    • 连接到办公网络
    • 连接到 Internet 网络
    • 连接到内置办公网络: 设置为时,Endpoint Management 将自动检测网络。
    • 连接到内置 Internet 网络: 设置为时,Endpoint Management 将自动检测网络。
    • 托盘栏通知 - 隐藏托盘栏图标: 选择是隐藏还是显示托盘栏图标。默认值为
    • 连接超时(秒): 键入连接超时前连接可以空闲的时间长度(秒)。默认值为 20 秒。
    • 保持连接时间间隔(秒): 键入保持连接打开的时间长度(秒)。默认值为 120 秒。
  • 远程支持
    • 在允许远程控制前提示用户: 选择是否在允许远程支持控制前提示用户。默认值为
    • 在文件传输前: 在列表中,单击是否向用户警告文件传输,或是否请求用户许可。可用值:不警告用户警告用户请求用户许可。默认值为不警告用户

Endpoint Management 卸载设备策略 (Windows Mobile/CE)

可以在 Endpoint Management 中添加一个设备策略, 用于从 Window Mobile/CE 设备卸载 Endpoint Management。部署此策略时,它将从部署组中的所有设备上删除 Endpoint Management。

Windows Mobile/CE 设置

  • 从设备中卸载 Endpoint Management: 选择是否从部署此策略的每个设备中卸载 Endpoint Management。默认值为