Citrix Endpoint Management

网络设备策略

网络设备策略允许您通过定义以下项目来管理用户如何将设备连接到 Wi-Fi 网络:

  • 网络名称和类型
  • 身份验证和安全策略
  • 代理服务器使用
  • 其他 Wi-Fi 相关详细信息

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

必备条件

在创建策略之前,请完成以下操作:

  • 创建计划使用的任何交付组。
  • 了解网络名称和类型。
  • 了解计划使用的任何身份验证或安全类型。
  • 了解可能需要的任何代理服务器信息。
  • 安装所有必需的 CA 证书。
  • 具有所有必需共享密钥。
  • 为基于证书的身份验证创建 PKI 实体。
  • 配置凭据提供程序。

有关详细信息,请参阅身份验证及文中各节。

iOS 设置

“设备策略”配置屏幕

  • 网络类型: 在列表中,选择标准传统热点Hotspot 2.0 以设置您计划使用的网络类型。
  • 网络名称: 键入显示在设备的可用网络列表中的 SSID。不适用于 Hotspot 2.0
  • 隐藏网络: 选择是否隐藏网络。
  • 自动加入此无线网络: 选择设备是否自动加入网络。如果设备连接到另一个网络,则它不会加入此网络。在设备自动连接之前,用户必须断开与以前的网络的连接。默认值为
  • 禁用俘获型网络检测: 专用网络助手可帮助用户访问订阅网络或 Wi-Fi 热点网络。您通常会在咖啡馆、酒店和其他公共场所找到这些网络。如果设置为,设备仍可以连接到俘获型网络,但用户必须打开浏览器并手动登录。默认值为
  • 使用静态 MAC 地址: MAC 地址是设备在网络中传输的唯一标识符。为了提高隐私性,iOS 和 iPadOS 设备每次连接到网络时都可以使用不同的 MAC 地址。如果设置为,设备在连接到此网络时将始终使用相同的 MAC 地址。如果设置为,设备每次连接到此网络时都将使用不同的 MAC 地址。默认值为
  • 安全类型: 在列表中,选择您计划使用的安全类型。不适用于 Hotspot 2.0
    • 无 - 无需进一步配置。
    • WEP
    • WPA/WPA2/WPA3 Personal
    • 任何(Personal)
    • WEP Enterprise
    • WPA/WPA2/WPA3 企业版:对于 Windows 10 的最新版本,请将简单证书注册协议 (SCEP) 配置为使用 WPA-2 企业版。然后,Citrix Endpoint Management 可以将证书发送给设备以向 Wi-Fi 服务器进行身份验证。要配置 SCEP,请转到设置 > 凭据提供程序的“分发”页面。有关详细信息,请参阅凭据提供程序
    • 任何(Enterprise)

    以下各节列出了要为上述各个连接类型配置的选项。

  • 代理服务器设置
    • 代理配置: 在列表中,选择手动自动以设置 VPN 连接通过代理服务器路由的方式,然后配置任何其他选项。默认值为,表示无需进一步配置。
    • 如果选择手动,请配置以下设置:
      • 主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。
      • 端口: 键入代理服务器端口号。
      • 用户名: 键入向代理服务器进行身份验证的可选用户名。
      • 密码: 键入向代理服务器进行身份验证的可选密码。
    • 如果选择自动,请配置以下设置:
      • 服务器 URL: 键入用于定义代理配置的 PAC 文件的 URL。
      • 允许在无法访问 PAC 时直接连接: 选择是否允许用户在无法访问 PAC 文件时直接连接到目标位置。默认值为
  • 快车道 QoS 标记: 如果不限制支持 Cisco 快车道 QoS 的 Wi-Fi 网络的 QoS 标记,则将允许所有应用程序使用 L2 和 L3 标记。如果限制 QoS 标记,请指定能够使用 L2 和 L3 标记的应用程序。
    • 启用 QoS 标记: 如果限制 QoS 标记,请使用此设置完全将其禁用或仅标记某些应用程序。如果设置为,则完全禁用 QoS 标记。如果设置为,请配置可以使用 QoS 标记的应用程序列表。默认值为
    • 允许 Apple 音频/视频通话: 选择音频和视频通话应用程序是否可以使用 QoS 标记。如果设置为,视频和音频通话的质量可能会受到影响。
    • 允许特定应用程序: 将应用程序软件包 ID 添加到此列表中,以允许应用程序使用 QoS 标记。
  • Hotspot 2.0 设置
    • 显示的运算符名称: Hotspot 设备广播的友好名称。用户会在其可用 Wi-Fi 网络列表中看到此名称。
    • 域名: 用于 Hotspot 2.0 协商的域名。
    • 允许连接漫游伙伴网络: 如果设置为,从其家用网络漫游的设备可以连接到合作伙伴网络。
    • 漫游联盟组织标识符(OI): 添加设备可以访问的组织标识符列表。漫游联盟 OI 属于使用共享身份验证方法的组织。如果您配置的热点不可用,设备将连接到此处列出的漫游联盟 OI。
    • 网络访问标识符(NAI)领域名称: 配置用于识别连接到漫游网络的用户的领域名称列表。NAI 以 user@realm 形式传输。
    • 移动设备国家/地区代码(MCC)和移动设备网络配置(MNC): 移动设备国家/地区代码由三位数字组成,用于标识网络所属的国家/地区。移动网络代码由 2 个或 3 个唯一数字组成。一起使用时,MCC/MNC 唯一标识移动网络运营商。
  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。
    • 允许用户删除策略: 可以选择用户何时可以从其设备中删除策略。从菜单中选择始终需要通行码从不。如果选择需要通行码,请在删除通行码字段中键入通行码。不适用于 iOS。

适用于 iOS 的“WPA”、“WPA Personal”、“任何(Personal)”设置

密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。

适用于 iOS 的“WEP Enterprise”、“WPA Enterprise”、“WPA2 Enterprise”、“WPA3 Enterprise”、“任何(Enterprise)”设置

选择这些安全类型中的任何一种时,EAP 设置将显示在 QoS 设置之后。

重要提示:

如果选择 WPA2 Enterprise 安全类型,则必须至少允许一个 EAP 协议。

  • 允许使用的 EAP 协议: 启用要支持的 EAP 类型,然后配置相关设置。每个可用 EAP 类型的默认值为
  • 内部身份验证(TTLS): 仅在启用 TTLS 时需要。在列表中,选择要使用的内部身份验证方法。选项包括:PAPCHAPMSCHAPMSCHAPv2。默认值为 MSCHAPv2
  • 使用 PAC 的 EAP-FAST: 选择是否使用受保护的访问凭据 (PAC)。
    • 如果选择使用 PAC,请选择是否要使用预配 PAC。
      • 如果选择 配置 PAC,请选择是否允许最终用户客户端与 Citrix Endpoint Management 之间进行匿名 TLS 握手。
        • 匿名预配 PAC
  • 身份验证:
    • 用户名: 键入用户名。
    • 为连接单独设置密码: 选择用户是否在每次登录时都需要提供密码。
    • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。
    • 身份凭据(密钥库或 PKI 凭据): 在列表中,选择身份凭据的类型。默认值为
    • 外部标识: 仅在启用 PEAPTTLS EAP-FAST 时需要。键入外部可见的用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
    • 需要 TLS 证书: 选择是否需要 TLS 证书。
  • 信任
    • 可信证书: 要添加可信证书,请单击添加,然后,针对要添加的各个证书执行以下操作:
      • 应用程序: 在列表中,单击要添加的应用程序。
      • 单击保存以保存证书,或者单击取消
    • 可信服务器证书名称: 要添加可信服务器证书公用名,请单击添加,然后针对要添加的名称执行以下操作:
      • 证书: 键入服务器证书的名称。可以使用通配符指定名称,如 wpa.*.example.com。
      • 单击保存以保存证书名称,或者单击取消
  • 允许信任例外: 选择当证书不可信时是否在用户设备上显示证书信任对话框。默认值为

macOS 设置

“设备策略”配置屏幕

  • 网络: 在列表中,选择您计划使用的网络选项。默认设置为 Wi-Fi
    • Wi-Fi
    • 全球以太网
    • 第一个活动的以太网
    • 第二个活动的以太网
    • 第三个活动的以太网
    • 第一个以太网
    • 第二个以太网
    • 第三个以太网
  • 网络类型: 在列表中,选择标准传统热点Hotspot 2.0 以设置您计划使用的网络类型。
  • 网络名称: 键入显示在设备的可用网络列表中的 SSID。不适用于 Hotspot 2.0
  • 隐藏网络: 选择是否隐藏网络。
  • 自动加入此无线网络: 选择是否自动加入网络。如果设备已连接到另一个网络,则不会加入此网络。在设备自动连接之前,用户必须断开与以前的网络的连接。默认值为
  • 安全类型: 在列表中,选择您计划使用的安全类型。不适用于 Hotspot 2.0
    • 无 - 无需进一步配置。
    • WEP
    • WPA/WPA2 Personal
    • 任何(Personal)
    • WEP Enterprise
    • WPA/WPA2 Enterprise
    • 任何(Enterprise)

    以下各节列出了要为上述各个连接类型配置的选项。

  • 优先级: 对于多个网络,请键入一个数字以定义网络连接的优先级。设备首先连接到优先级最低的网络。负数是可接受的。默认值为 0
  • 代理服务器设置
    • 代理配置: 在列表中,选择手动自动以设置 VPN 连接通过代理服务器路由的方式,然后配置任何其他选项。默认值为,表示无需进一步配置。
    • 如果选择手动,请配置以下设置:
      • 主机名或 IP 地址: 键入代理服务器的主机名或 IP 地址。
      • 端口: 键入代理服务器端口号。
      • 用户名: 键入向代理服务器进行身份验证的可选用户名。
      • 密码: 键入向代理服务器进行身份验证的可选密码。
    • 如果选择自动,请配置以下设置:
      • 服务器 URL: 键入用于定义代理配置的 PAC 文件的 URL。
      • 允许在无法访问 PAC 时直接连接: 选择是否允许用户在无法访问 PAC 文件时直接连接到目标位置。默认值为
  • Hotspot 2.0 设置
    • 显示的运算符名称: Hotspot 设备广播的友好名称。用户会在其可用 Wi-Fi 网络列表中看到此名称。
    • 域名: 用于 Hotspot 2.0 协商的域名。
    • 允许连接漫游伙伴网络: 如果设置为,从其家用网络漫游的设备可以连接到合作伙伴网络。
    • 漫游联盟组织标识符(OI): 添加设备可以访问的组织标识符列表。漫游联盟 OI 属于使用共享身份验证方法的组织。如果您配置的热点不可用,设备将连接到此处列出的漫游联盟 OI。
    • 网络访问标识符(NAI)领域名称: 配置用于识别连接到漫游网络的用户的领域名称列表。NAI 以 user@realm 形式传输。
    • 移动设备国家/地区代码(MCC)和移动设备网络配置(MNC): 移动设备国家/地区代码由三位数字组成,用于标识网络所属的国家/地区。移动网络代码由 2 个或 3 个唯一数字组成。一起使用时,MCC/MNC 唯一标识移动网络运营商。
  • 策略设置
    • 删除策略: 选择计划删除策略的方法。可用选项包括选择日期删除前的持续时间(小时)
      • 选择日期: 单击日历可选择具体删除日期。
      • 删除前的持续时间(小时): 键入发生策略删除操作之前的小时数。
    • 允许用户删除策略: 可以选择用户何时可以从其设备中删除策略。从菜单中选择始终需要通行码从不。如果选择需要通行码,请在删除通行码字段中键入通行码。
    • 配置文件作用域: 选择此策略是应用于用户还是整个系统。默认值为用户。此选项仅在 macOS 10.7 及更高版本中可用。

适用于 macOS 的“WPA”、“WPA Personal”、“WPA 2 Personal”、“任何(Personal)”设置

  • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。

适用于 macOS 的“WEP Enterprise”、“WPA Enterprise”、“WPA2 Enterprise”、“任何(Enterprise)”设置

  • 连接模式: 如果设置为,则选择用户加入网络时要使用的连接模式。默认值为
    • 系统: 如果已标记,则设备将使用系统凭据对用户进行身份验证。默认值已清除。
    • 登录窗口: 如果已标记,设备将使用在登录窗口中输入的相同凭据对用户进行身份验证。默认值已清除。

选择这些安全类型中的任何一种时,EAP 设置将显示在 QoS 设置之后。

重要提示:

如果选择 WPA2 Enterprise 安全类型,则必须至少允许一个 EAP 协议。

  • 允许使用的 EAP 协议: 启用要支持的 EAP 类型,然后配置相关设置。每个可用 EAP 类型的默认值为
  • 内部身份验证(TTLS): 仅在启用 TTLS 时需要。在列表中,选择要使用的内部身份验证方法。选项包括:PAPCHAPMSCHAPMSCHAPv2。默认值为 MSCHAPv2
  • 使用 PAC 的 EAP-FAST: 选择是否使用受保护的访问凭据 (PAC)。
    • 如果选择使用 PAC,请选择是否使用预配 PAC。
      • 如果选择 配置 PAC,请选择是否允许最终用户客户端与 Citrix Endpoint Management 之间进行匿名 TLS 握手。
        • 匿名预配 PAC
  • 身份验证:
    • 使用 Active Directory 身份验证: 选择是否启用 Active Directory 身份验证。适用于 macOS 10.7 及更高版本。要使此选项可用,请完成以下操作:
      • PEAP 设置为 EAP 协议。
      • 将配置文件范围设置为 系统。只有在将策略应用于整个系统时,才能使用此设置选项。
    • 用户名: 键入用户名。
    • 为连接单独设置密码: 选择用户是否在每次登录时都需要提供密码。
    • 密码: 键入可选密码。如果将此字段留空,用户登录时可能会收到输入其密码提示。
    • 身份凭据(密钥库或 PKI 凭据): 在列表中,选择身份凭据的类型。默认值为
    • 外部标识: 仅在启用 PEAPTTLS EAP-FAST 时需要。键入外部可见的用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
    • 需要 TLS 证书: 选择是否需要 TLS 证书。
  • 信任
    • 可信证书: 要添加可信证书,请单击添加,然后,针对要添加的各个证书执行以下操作:
      • 应用程序: 在列表中,单击要添加的应用程序。
      • 单击保存以保存证书,或者单击取消
    • 可信服务器证书名称: 要添加可信服务器证书公用名,请单击添加,然后针对要添加的名称执行以下操作:
      • 证书: 键入要添加的服务器证书的名称。可以使用通配符指定名称,如 wpa.*.example.com。
      • 单击保存以保存证书名称,或者单击取消
  • 允许信任例外: 选择当证书不可信时是否在用户设备上显示证书信任对话框。默认值为

Android Enterprise 设置

“设备策略”配置屏幕

  • 网络名称: 键入在用户设备上的可用网络列表中的 SSID。
  • 身份验证: 在列表中,选择用于 Wi-Fi 连接的安全类型。
    • 开放
    • 共享虚拟机
    • WPA
    • WPA-PSK
    • WPA2
    • WPA2-PSK
    • 802.1x EAP

以下各节列出了要为上述各个连接类型配置的选项。默认值为

适用于 Android Enterprise 的“开放”、“共享”设置

  • 加密:在列表中,选择已禁用WEP。默认值为 WEP
  • 密码: 键入可选密码。
  • 隐藏网络: 选择是否隐藏网络。

适用于 Android Enterprise 的“WPA”、“WPA-PSK”、“WPA-WPA2”、“WPA2-PSK”设置

  • 加密: 在列表中,选择 TKIPAES。默认值为 TKIP
  • 密码: 键入可选密码。
  • 隐藏网络: 选择是否隐藏网络。

适用于 Android Enterprise 的 802.1x 设置

  • EAP 类型: 在列表中,选择 PEAPTLSTTLS。默认值为 PEAP
  • 密码: 键入可选密码。
  • 身份验证阶段 2: 在列表中,选择PAPMSCHAPMSCHAPPv2GTC。默认值为 PAP
  • 身份: 键入可选用户名和域。
  • 匿名: 键入外部可见的可选用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
  • CA 证书: 在列表中,选择要使用的证书。
  • 域: 键入所需的域名。有关详细信息,请参阅域名

    注意:

    当您在运行 Android 13 或更高版本的设备上配置 WiFi 策略时,必须强制更新 CA 证书字段。如果未对其进行更新,配置将失败。

  • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
  • 隐藏网络: 选择是否隐藏网络。

Android(旧版 DA)设置

“设备策略”配置屏幕

  • 网络名称: 键入在用户设备上的可用网络列表中的 SSID。
  • 身份验证: 在列表中,选择用于 Wi-Fi 连接的安全类型。
    • 开放
    • 共享(仅限 Android Enterprise)
    • WPA(仅限 Android Enterprise)
    • WPA-PSK(仅限 Android Enterprise)
    • WPA2
    • WPA2-PSK
    • 802.1x EAP

以下各节列出了要为上述各个连接类型配置的选项。

适用于 Android 的“开放”、“共享”设置

  • 加密:在列表中,选择已禁用WEP。默认值为 WEP
  • 密码: 键入可选密码。
  • 隐藏网络: 选择是否隐藏网络。

适用于 Android 的“WPA”、“WPA-WPA2”、“WPA2-PSK”设置

  • 加密: 在列表中,选择 TKIPAES。默认值为 TKIP
  • 密码: 键入可选密码。
  • 隐藏网络: 选择是否隐藏网络。

适用于 Android 的 802.1x 设置

  • EAP 类型: 在列表中,选择 PEAPTLSTTLS。默认值为 PEAP
  • 密码: 键入可选密码。
  • 身份验证阶段 2: 在列表中,选择PAPMSCHAPMSCHAPPv2GTC。默认值为 PAP
  • 身份: 键入可选用户名和域。
  • 匿名: 键入外部可见的可选用户名。您可以通过键入“anonymous”等通用术语以使用户名不可见来增加安全性。
  • CA 证书: 在列表中,选择要使用的证书。
  • 身份凭据: 在列表中,选择要使用的身份凭据。默认值为
  • 隐藏网络: 选择是否隐藏网络。

Windows Desktop/Tablet 设置

“设备策略”配置屏幕

  • 网络名称: 显示在可用网络列表中的 SSID。
  • 身份验证: 在列表中,单击用于 Wi-Fi 连接的安全类型。
    • 开放
    • WPA Personal
    • WPA-2 Personal
    • WPA Enterprise
    • WPA-2 企业版:对于 Windows 10 的最新版本,请将 SCEP 配置为使用 WPA-2 企业版。SCEP 配置允许 Citrix Endpoint Management 将证书发送给设备以向 Wi-Fi 服务器进行身份验证。要配置 SCEP,请转到设置 > 凭据提供程序分发页面。有关详细信息,请参阅凭据提供程序

以下各节列出了要为上述各个连接类型配置的选项。

打开 Windows 10 和 Windows 11 的设置

  • 隐藏网络: 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows 10 和 Windows 11 的“WPA Personal”、“WPA-2 Personal”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • 共享密钥: 为所选方法提供加密密钥。
  • 隐藏网络: 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。

适用于 Windows 10 和 Windows 11 的“WPA-2 Enterprise”设置

  • 加密: 在列表中,选择 AESTKIP 以设置加密类型。默认值为 AES
  • EAP 类型: 在列表中,选择 PEAP-MSCHAPv2TLS 以设置 EAP 类型。默认值为 PEAP-MSCHAPv2
  • 隐藏网络: 选择是否隐藏网络。
  • 自动连接: 选择是否自动连接到网络。
  • 启用 SCEP? :选择是否使用 SCEP 将证书推送到用户设备。
  • SCEP 的凭据提供程序: 在列表中,选择 SCEP 凭据提供程序。默认值为
网络设备策略