适用于 iOS 的第三方应用程序的 MAM SDK 策略
本文介绍面向第三方 iOS 应用程序的 MAM SDK 策略。添加应用程序时,可以直接在策略 XML 文件或 Citrix Endpoint Management 控制台中更改策略设置。
应用程序网络访问
网络访问
注意:
通道 - Web SSO 是设置中安全浏览的名称。该行为是相同的。
设置选项如下所示:
- 阻止:由您的应用程序使用的网络 API 将失败。根据以前的原则,应正确处理此类故障。
- 不限制:所有网络调用都将直接传输,而不通过通道传输。
- 通道 - Web SSO:重写 HTTP/HTTPS URL。此选项仅允许通过通道传输 HTTP 和 HTTPS 流量。通道 - Web SSO 的一个重要优点是可针对 HTTP 和 HTTPS 流量进行单点登录 (SSO),以及执行 PKINIT 身份验证。在 Android 中,此选项的设置开销低,因此是适用于 Web 浏览操作类型的优先选项。
身份验证
应用程序通行码
如果设置为 On(启用),启用程序在处于不活动状态一段时间后启动或恢复时需要输入 PIN 或通行码才能解锁。默认值为开。
要配置所有应用程序的不活动计时器,请在设置选项卡上的客户端属性中设置 INACTIVITY_TIMER 值(以分钟为单位)。默认不活动计时器值为 60 分钟。要禁用不活动计时器以便 PIN 或通行码提示仅在应用程序启动时出现,请将值设置为 0。
注意:
如果为“加密密钥”策略选择安全脱机,则将自动启用此策略。
最长脱机期限(小时)
定义应用程序可以运行而不需要从 Citrix Endpoint Management 重新确认应用程序授权并刷新策略的最长期限。过期后,可能会根据需要触发到服务器的登录。默认值为 168 小时(7 天)。最长期限为 1 小时。
应用程序日志
默认日志输出
确定移动生产力应用程序诊断日志记录工具默认使用的输出媒介。可能的媒介为文件、控制台或两者。默认值为文件。
默认日志级别
控制移动生产力应用程序诊断日志记录工具的默认详细程度。每个级别包括较小级别的值。可能的级别范围包括:
- 0 - 不记录任何内容
- 1 - 严重错误
- 2 - 错误
- 3 - 警告
- 4 - 信息消息
- 5 - 详细信息消息
- 6 到 15 - 调试值 1 到 10
默认值为级别 4(信息消息)。
日志文件数上限
限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件数。最小值为 2。最大值为 8。默认值为 2。
日志文件大小上限
限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件的大小 (MB)。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。
遮蔽日志中的 URL
如果设置为开,则会截获系统或控制台日志并将其从应用程序重定向到移动生产力应用程序诊断工具。如果设置为关,则不会截获系统的应用程序使用情况或控制台日志。
默认值为开。
阻止应用程序日志
如果设置为开,则会阻止应用程序使用移动生产力应用程序诊断日志记录设备。如果设置为关,则将记录应用程序日志,并且可使用 Secure Hub 电子邮件支持功能收集应用程序日志。默认值为关。
应用程序交互
剪切和复制
阻止、允许或限制此应用程序的剪贴板剪切和复制操作。如果选择限制,复制的剪贴板数据将放置在仅对应用程序可用的专用剪贴板中。默认值为限制。
粘贴
阻止、允许或限制此应用程序的剪贴板粘贴操作。如果选择限制,粘贴的剪贴板数据来源于仅对应用程序可用的专用剪贴板。默认为不限制。
文档交换(打开方式)
阻止、允许或限制此应用程序的文档交换操作。如果选择限制,则只能与其他应用程序交换文档。
如果设置为不限制,则“启用加密”策略设置为开,以便用户可以打开解包的应用程序中的文档。如果收到的应用程序未封装或者禁用了加密,Citrix Endpoint Management 将解密文档。 默认值为限制。
受限制的打开方式例外列表
将“文档交换(打开方式)”策略设置为限制时,应用程序可以与逗号分隔的非托管应用程序 ID 列表共享文档,即使将“文档交换(打开方式)”策略设置为限制,并将“启用加密”策略设置为开也是如此。默认例外列表允许 Office 365 应用程序:
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
此策略仅支持 Office 365 应用程序。
小心:
请务必考虑此策略对安全性的潜在影响。例外列表允许内容在非托管应用程序与 MAM SDK 环境之间传播。
入站文档交换(打开方式)
阻止、限制或允许此应用程序的入站文档交换操作。如果选择限制,则只能与其他应用程序交换文档。默认为不限制。
如果设置为阻止或限制,则您可以使用“入站文档交换白名单”策略指定可向此应用程序发送文档的应用程序。
注意:
“入站文档交换白名单”策略仅支持 iOS 12 上运行的设备。
选项:不限制、阻止或限制
应用程序 URL 方案
iOS 应用程序可以将 URL 请求发送给已注册的其他应用程序,以处理特定方案(例如 http://)。此工具提供某个应用程序将帮助请求传递到另一个应用程序的机制。此策略用于过滤从此应用程序传递到其他应用程序以便进行处理的 URL (即出站 URL)。默认值为空,意味着阻止所有已注册的应用程序 URL 方案。
此策略的格式应为逗号分隔的模式列表,其中每个模式的前面可能都带有加号 (+) 或减号 (-)。将入站 URL 按照列出的顺序与这些模式进行比较,直到找到匹配项。匹配后,采取的操作将由前缀规定。
- 前缀减号 (-) 阻止将 URL 传递到此应用程序中。
- 前缀加号 (+) 允许将 URL 传递到此应用程序中以进行处理。
- 如果随模式提供 + 或 -,则会假定提供 +(允许)。
- 将阻止与列表中的任何模式都不匹配的入站 URL。
下表包含应用程序 URL 方案示例:
| 方案 | 需要 URL 方案的应用程序 | 用途 |
|---|---|---|
| ctxmobilebrowser | Secure Web- | 允许 Secure Web 处理来自其他应用程序的 HTTP: URL。- |
| ctxmobilebrowsers | Secure Web- | 允许 Secure Web 处理来自其他应用程序的 HTTPS: URL。 |
| ctxmail | Secure Mail- | 允许 Secure Mail 处理来自其他应用程序的 mailto: URL。 |
| COL-G2M | GoToMeeting- | 允许封装 GoToMeeting 应用程序处理会议请求。 |
| ctxsalesforce | Citrix for Salesforce- | 允许 Citrix for Salesforce 处理 Salesforce 请求。 |
| wbx | WebEx | 允许封装 WebEx 应用程序处理会议请求。 |
应用程序交互(出站 URL)
允许的 URL
iOS 应用程序可以将 URL 请求发送给已注册的其他应用程序,以处理特定方案(例如 "http://")。此工具提供某个应用程序将帮助请求传递到另一个应用程序的机制。此策略用于过滤从此应用程序传递到其他应用程序以便进行处理的 URL(即出站 URL)。
此策略的格式应为逗号分隔的模式列表,其中每个模式的前面可能都带有加号 (+) 或减号 (-)。将出站 URL 按照列出的顺序与这些模式进行比较,直到找到匹配项。匹配后,采取的操作将由前缀规定。前缀减号“-”阻止将该 URL 传出到其他应用程序。前缀加号“+”允许将该 URL 传出到其他应用程序以便进行处理。如果随模式提供 + 或 -,则会假定提供 +(允许)。一对由 = 分隔的值指示替换,即将出现的第一个字符串替换为第二个字符串。您可以使用正则表达式 ^ 前缀来搜索字符串以将其固定在 URL 的开头。如果出站 URL 与列表中的任何模式都不匹配,则将阻止该 URL。
合规性
设备通行码
如果设置为开,则当设备在启动时或在处于不活动状态一段时间后恢复时,必须输入 PIN 码或通行码才能解锁此设备。要使用 Apple 文件加密功能加密应用程序数据,必须使用设备通行码。设备上所有应用程序的数据都将被加密。默认值为关。
阻止越狱或获得 Root 权限
如果设置为 On(启用),则将在设备已越狱或已获得 root 权限后锁定应用程序。如果设置为 Off(禁用),则即使设备已越狱或已获得 root 权限,应用程序仍可运行。默认值为开。
不合规设备行为
允许您在设备不符合加密的最低合规性要求时选择一项操作。选择允许应用程序允许应用程序正常运行。选择允许应用程序在显示警告后运行以便应用程序在显示警告后运行。选择阻止以阻止应用程序运行。默认值为允许应用程序在显示警告后运行。
锁定时擦除应用程序数据
锁定应用程序后,擦除数据并重置应用程序。如果设置为 Off(禁用),锁定应用程序时将不擦除应用程序数据。默认值为关。
应用程序可能由于以下任何原因而锁定:
- 用户丢失应用程序授权
- 应用程序订阅被删除
- 帐户已删除
- Secure Hub 已卸载
- 应用程序身份验证失败的次数过多
- 检测到已越狱的设备(根据策略设置)
- 设备被其他管理操作置于锁定状态
活动轮询期限(分钟)
应用程序启动时,MAM SDK 框架将轮询 Citrix Endpoint Management 以确定当前应用程序和设备状态。如果能够访问运行 Endpoint Management 的服务器,该框架将返回与设备的锁定/擦除状态和应用程序的启用/禁用状态有关的信息。无论是否能够访问该服务器,都会根据活动轮询期限时间间隔安排后续的轮询。超过此期限后,将重新尝试执行新轮询。默认值为 60 分钟(1 小时)。
重要:
只有在应用程序面临高风险时才将此值设置为低于默认值,否则性能可能会受到影响。
应用程序更新宽限期(小时)
定义系统检测到应用程序更新可用时可以继续使用应用程序的宽限期。默认值为 168 小时(7 天)。
注意:
不建议使用值 0,因为该值会立即阻止使用正在运行的应用程序,直至下载并安装更新(但不会向用户发出任何警告)。这可能会导致出现用户被强制退出应用程序的情况(可能会丢失工作),以遵从所需的更新。
应用程序限制
重要提示:
请务必考虑用于阻止应用程序访问或使用电话功能的策略对安全性的潜在影响。当那些策略设置为关时,内容可以在非托管应用程序与安全的环境之间传播。
阻止相机
如果设置为开,则将阻止应用程序直接使用摄像头硬件。默认值为关。
阻止照片库
如果设置为开,则将阻止应用程序访问设备上的照片库。默认值为开。
阻止麦克风录音
如果设置为开,则将阻止应用程序直接使用麦克风软件。默认值为开。
阻止听写
如果设置为开,则将阻止应用程序直接使用听写服务。默认值为开。
阻止定位服务
如果设置为开,则将阻止应用程序使用定位服务组件(GPS 或网络)。对于 Secure Mail,默认值为关。
阻止 SMS 撰写
如果设置为开,则将阻止应用程序使用用于从该应用程序发送 SMS/文本消息的 SMS 撰写功能。 默认值为开。
阻止 iCloud
如果设置为开,则将阻止应用程序使用 iCloud 存储和共享设置及数据。
注意:
iCloud 数据文件由“阻止文件备份”策略控制。
默认值为开。
阻止查找
如果设置为开,则阻止应用程序使用查找功能,该功能将搜索字典、iTunes、App Store、电影放映时间、附件的位置等对象中高亮显示的文本。默认值为开。
阻止文件备份
如果设置为开,则将阻止 iCloud 或 iTunes 备份数据文件。默认值为开。
阻止 AirPrint
如果设置为开,则阻止应用程序使用 AirPrint 功能将数据打印到启用了 AirPrint 的打印机。默认值为开。
阻止 AirDrop
如果设置为开,则将阻止应用程序直接使用 AirDrop。默认值为开。
阻止 Facebook 和 Twitter API
如果设置为开,则阻止应用程序使用 iOS Facebook 和 Twitter API。默认值为开。
遮蔽屏幕内容
如果设置为开,则当用户切换应用程序时,将隐藏屏幕。此策略阻止 iOS 录制屏幕内容和显示缩略图。默认值为开。
阻止第三方键盘(仅限 iOS 11 及更高版本)
如果设置为开,则将阻止应用程序在 iOS 8 及更高版本上使用第三方键盘扩展。默认值为开。
应用程序地理围栏
中心点经度
限制在其中运行应用程序的点/半径地理围栏的中心点的经度(X 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。
应以带符号的度数格式 (DDD.dddd) 进行表示,例如 -31.9635。西部经度的前面应带减号。默认值为 0。
中心点纬度
限制在其中运行应用程序的点/半径地理围栏的中心点的纬度(Y 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。
应以带符号的度数格式 (DDD.dddd) 进行表示,例如 43.06581。南部纬度的前面应带减号。默认值为 0。
半径
允许在其中运行应用程序的地理围栏的半径。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。
应以米为单位进行表示。如果设置为零,地理围栏将处于禁用状态。启用“阻止定位服务”策略后,地理围栏功能无法正常运行。默认值为 0(禁用)。