适用于 Android 的第三方应用的 MDX 策略

本文介绍了适用于 Android 的第三方应用的 MDX 策略。您可以在 Citrix Endpoint Management™ 控制台中更改策略设置。

身份验证

应用密码

如果设置为“开”，则在应用启动或在不活动一段时间后恢复时，需要 PIN 或密码才能解锁应用。默认值为“开”。

要为所有应用配置不活动计时器，请在“设置”选项卡上的“客户端属性”中将 INACTIVITY_TIMER 值设置为分钟。默认不活动计时器值为 60 分钟。要禁用不活动计时器，以便仅在应用启动时显示 PIN 或密码提示，请将该值设置为零。

注意：

如果您为“加密密钥”策略选择“安全脱机”，此策略将自动启用。

最长脱机时间（小时）

定义了应用在无需网络登录即可重新确认授权和刷新策略的情况下可以脱机运行的最长持续时间。默认值为 168 小时（7 天）。最短持续时间为 1 小时。

系统会在该期限到期前 30、15 和 5 分钟提醒用户登录。到期后，应用将保持锁定状态，直到用户完成成功的网络登录。

备用 Citrix Gateway

注意：

此策略在 Endpoint Management 控制台中的名称为“备用 NetScaler® Gateway”。

特定备用 Citrix Gateway（以前称为 NetScaler Gateway）的地址，用于此应用的身份验证和微 VPN 会话。这是一项可选策略，与“需要联机会话”策略结合使用时，会强制应用重新向特定网关进行身份验证。此类网关通常具有不同的（更高保障的）身份验证要求和流量管理策略。如果留空，则始终使用服务器的默认设置。默认值为空。

设备安全性

阻止越狱或已 Root

如果设置为“开”，则当设备已越狱或已 Root 时，应用将被锁定。如果设置为“关”，则即使设备已越狱或已 Root，应用也可以运行。默认值为“开”。

要求设备锁定

如果设置为“设备 PIN 或密码”，则如果设备没有 PIN 或密码，应用将被锁定。如果设置为“设备图案屏幕锁定”，则如果设备未设置图案屏幕锁定，应用将被锁定。如果设置为“关”，则即使设备未设置 PIN、密码或图案屏幕锁定，也允许应用运行。默认值为“关”。

• “设备 PIN 或密码”要求 Android 4.1 (Jelly Bean) 或更高版本。将策略设置为“设备 PIN 或密码”会阻止应用在旧版本上运行。

• 在 Android M 设备上，“设备 PIN 或密码”和“设备图案屏幕锁定”选项具有相同的效果：无论选择哪个选项，如果设备未设置 PIN、密码或图案屏幕锁定，应用都将被锁定。

• 网络要求

要求 Wi-Fi

如果设置为“开”，则当设备未连接到 Wi-Fi 网络时，应用将被锁定。如果设置为“关”，则如果设备具有活动连接（例如 4G/3G、LAN 或 Wi-Fi 连接），应用可以运行。默认值为“关”。

允许的 Wi-Fi 网络

允许的 Wi-Fi 网络的逗号分隔列表。如果网络名称包含任何非字母数字字符（包括逗号），则名称必须用双引号引起来。仅当连接到列出的某个网络时，应用才能运行。如果留空，则允许所有网络。这不影响与蜂窝网络的连接。默认值为空。

其他访问

• 应用更新宽限期（小时）

• 定义了在系统发现有应用更新可用之后，应用可以使用的宽限期。默认值为 168 小时（7 天）。

注意：

不建议使用零值，因为它会立即阻止正在运行的应用被使用，直到更新下载并安装（不向用户发出任何警告）。这可能导致正在运行应用的用户被迫退出应用（可能会丢失工作），以符合所需的更新。

锁定后擦除应用数据

当应用被锁定时，擦除数据并重置应用。如果设置为“关”，则当应用被锁定时，应用数据不会被擦除。默认值为“关”。

应用可能因以下任何原因而被锁定：

• 用户失去应用授权
• 应用订阅已删除
• 帐户已删除
• Secure Hub 已卸载
• 应用身份验证失败次数过多
• 检测到越狱设备（根据策略设置）
• 设备因其他管理操作而处于锁定状态

活动轮询周期（分钟）

应用启动时，MDX 框架会轮询 Citrix Endpoint Management 以确定当前应用和设备状态。假设可以访问运行 Endpoint Management 的服务器，框架会返回有关设备的锁定/擦除状态以及应用的启用/禁用状态的信息。无论服务器是否可访问，都会根据活动轮询周期间隔安排后续轮询。期限到期后，将再次尝试新的轮询。默认值为 60 分钟（1 小时）。

重要提示：

仅对高风险应用降低此值，否则性能可能会受到影响。

不合规设备行为

允许您在设备不符合最低合规性要求时选择一个操作。选择“允许应用”以使应用正常运行。选择“警告后允许应用”以使应用在警告出现后运行。选择“阻止”以阻止应用运行。默认值为“警告后允许应用”。

公共文件迁移

仅当您启用“公共文件加密”策略（从“禁用”更改为“安全组”或“应用程序”）时才强制执行此策略。此策略仅适用于现有未加密的公共文件，并指定何时加密这些文件。默认值为“写入 (RO/RW)”。

选项：

• 禁用。不加密现有文件。
• 写入 (RO/RW)。仅当现有文件以只写或读写访问方式打开时才加密它们。
  • 任何。当现有文件以任何模式打开时加密它们。

注意：

-  >-  新文件或被覆盖的现有未加密文件在任何情况下都会加密替换文件。

• • 加密现有公共文件会使该文件对没有相同加密密钥的其他应用不可用。

安全组

如果您希望 Citrix Endpoint Management 管理的所有移动应用彼此交换信息，请将此字段留空。定义一个安全组名称，以管理特定应用集（例如，财务或人力资源）的安全设置。

注意：

如果您更改现有应用的此策略，用户必须删除并重新安装该应用才能应用策略更改。

允许的 Secure Web 域

此策略仅对未被 URL 筛选策略排除的域生效。添加一个逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀列表，当文档交换受限时，这些域名或 DNS 后缀将重定向到 Secure Web 应用。

如果此策略包含任何条目，则当文档交换受限时，只有主机字段与列表中至少一个项目匹配（通过 DNS 后缀匹配）的 URL 才会重定向到 Secure Web 应用。

所有其他 URL 将发送到默认的 Android 网络浏览器（绕过文档交换受限策略）。默认值为空。

应用交互

剪切和复制

阻止、允许或限制此应用的剪贴板剪切和复制操作。如果设置为受限，则复制的剪贴板数据将放置在仅 MDX 应用可用的专用剪贴板中。默认值为受限。

粘贴

• 阻止、允许或限制应用的剪贴板粘贴操作。如果设置为受限，则粘贴的剪贴板数据来源于仅 MDX 应用可用的专用剪贴板。默认值为不受限。

• 文档交换（打开方式）

• 阻止、允许或限制应用的文档交换操作。如果设置为受限，则文档只能与其他 MDX 应用以及“受限打开方式例外列表”策略中指定的应用例外进行交换。如果设置为不受限，请将“私有文件加密”和“公共文件加密”策略设置为已禁用，以便用户可以在未封装的应用中打开文档。默认值为受限。

受限打开方式例外列表

当“文档交换（打开方式）”策略设置为受限时，此 Android Intent 列表允许传递到非托管应用。需要熟悉 Android Intent 才能向列表中添加筛选器。筛选器可以指定操作、程序包、方案或任意组合。

示例

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
<!--NeedCopy-->

注意

请务必考虑此策略的安全隐患。例外列表允许内容在非托管应用和 MDX 环境之间传输。

入站文档交换（打开方式）

阻止、限制或允许此应用的入站文档交换操作。如果设置为受限，则文档只能与其他 MDX 应用进行交换。默认值为不受限。

• 如果设置为已阻止或受限，可以使用“入站文档交换白名单”策略指定可向此应用发送文档的应用。有关其他策略交互的信息，请参阅“阻止图库”策略。

• 选项：不受限、已阻止或受限

• 应用限制

重要提示：

请务必考虑阻止应用访问或使用手机功能的策略的安全隐患。当这些策略设置为关闭时，内容可以在非托管应用和安全环境之间传输。

阻止摄像头

如果设置为启用，则阻止应用直接使用摄像头硬件。默认值为启用。

阻止图库

如果设置为启用，则阻止应用访问设备上的图库。默认值为禁用。此策略与“入站文档交换（打开方式）”策略结合使用。

• 如果“入站文档交换（打开方式）”设置为受限，则托管应用中的用户无法从图库附加图像，无论“阻止图库”设置如何。
• 如果“入站文档交换（打开方式）”设置为不受限，则托管应用中的用户将遇到以下情况：
  • 如果“阻止图库”设置为禁用，则用户可以附加图像。
  • 如果“阻止图库”设置为启用，则用户无法附加图像。

阻止麦克风录音

如果设置为启用，则阻止应用直接使用麦克风硬件。默认值为启用。

阻止位置服务

如果设置为启用，则阻止应用使用位置服务组件（GPS 或网络）。Secure Mail 的默认值为禁用。

阻止短信撰写

如果设置为启用，则阻止应用使用用于从应用发送短信/文本消息的短信撰写功能。默认值为启用。

阻止屏幕捕获

如果设置为启用，则阻止用户在应用运行时进行屏幕捕获。此外，当用户切换应用时，会模糊应用屏幕。默认值为启用。

使用 Android 近场通信 (NFC) 功能时，某些应用会在传输内容之前截取自身的屏幕截图。要在封装的应用中启用该功能，请将“阻止屏幕捕获”策略更改为禁用。

阻止设备传感器

如果设置为启用，则阻止应用使用设备传感器（例如加速度计、运动传感器和陀螺仪）。默认值为启用。

阻止 NFC

如果设置为启用，则阻止应用使用近场通信 (NFC)。默认值为启用。

阻止应用日志

如果设置为“开”，则禁止应用使用移动生产力应用诊断日志记录功能。如果设置为“关”，则会记录应用日志，并且可以通过 Secure Hub 电子邮件支持功能进行收集。默认值为“关”。

阻止打印

如果设置为“开”，则阻止应用打印数据。如果应用具有“共享”命令，则必须将“文档交换 (打开方式)”设置为“受限”或“已阻止”才能完全阻止打印。默认值为“开”。

应用网络访问

网络访问

注意：

隧道 - Web SSO 是设置中 安全浏览 的名称。其行为相同。

设置选项如下：

• 使用以前的设置：默认使用您在早期策略中设置的值。如果更改此选项，则不应恢复为该选项。另请注意，新策略的更改在用户将应用升级到版本 18.12.0 或更高版本之前不会生效。
• 已阻止：您的应用使用的网络 API 将失败。根据以前的准则，您应妥善处理此类故障。
• 无限制：所有网络调用都直接进行，不通过隧道。
• 隧道 - 完全 VPN：来自托管应用的所有流量都通过 Citrix Gateway 隧道传输。
• 隧道 - Web SSO：HTTP/HTTPS URL 将被重写。此选项仅允许 HTTP 和 HTTPS 流量的隧道传输。隧道 - Web SSO 的一个显著优势是 HTTP 和 HTTPS 流量的单点登录 (SSO) 以及 PKINIT 身份验证。在 Android 上，此选项的设置开销较低，因此是 Web 浏览类型操作的首选选项。
• 隧道 - 完全 VPN 和 Web SSO：允许根据需要自动在 VPN 模式之间切换。如果网络请求因特定 VPN 模式无法处理的身份验证请求而失败，则会以备用模式重试。

如果选择其中一个隧道模式，则会在此初始模式下创建应用级 VPN 隧道以返回到企业网络，并使用 Citrix Gateway 分割隧道设置。Citrix 建议对使用客户端证书或端到端 SSL 连接到企业网络中资源的连接使用隧道 - 完全 VPN。Citrix 建议对需要单点登录 (SSO) 的连接使用隧道 - Web SSO。

需要微型 VPN 会话

如果设置为“是”，则用户必须连接到企业网络并具有活动会话。如果设置为“否”，则不需要活动会话。默认值为“使用以前的设置”。对于新上传的应用，默认值为“否”。在升级到此策略之前选择的任何设置都将保持有效，直到选择“使用以前的设置”以外的选项。

需要微型 VPN 会话的宽限期（分钟）

定义了系统发现应用更新可用后，应用可以继续使用的宽限期。默认值为 168 小时（7 天）。

注意：

不建议使用零值，因为它会立即阻止正在运行的应用被使用，直到更新下载并安装（不向用户发出任何警告）。这可能导致用户被迫退出正在运行的应用（可能会丢失工作）以遵守所需的更新。

证书标签

与 StoreFront™ 证书集成服务结合使用时，此标签标识此应用所需的特定证书。如果未提供标签，则不会提供证书以供公共密钥基础结构 (PKI) 使用。默认值为空（不使用证书）。

排除列表

以逗号分隔的 FQDN 或 DNS 后缀列表，这些 FQDN 或 DNS 后缀将直接访问，而不是通过 VPN 连接访问。这仅适用于 Citrix Gateway 配置为反向分割隧道模式时的隧道 - Web SSO 模式。

阻止本地主机连接

如果设置为“开”，则不允许应用建立本地主机连接。本地主机是设备上本地通信的地址（例如 127.0.0.1 或 ::1）。本地主机绕过本地网络接口硬件并访问主机上运行的网络服务。如果设置为“关”，则此策略将覆盖“网络访问”策略，这意味着如果设备在本地运行代理服务器，则应用可以连接到安全容器外部。默认值为“关”。

应用日志

默认日志输出

确定 Citrix Endpoint Management 应用诊断日志记录功能默认使用的输出介质。可能的选项是文件、控制台或两者。默认值为文件。

默认日志级别

控制移动生产力应用诊断日志记录功能的默认详细程度。级别数字越高，日志记录越详细。

• 0 - 不记录任何内容
• 1 - 严重错误
• 2 - 错误
• 3 - 警告
• 4 - 信息性消息
• 5 - 详细信息性消息
• 6 到 15 - 调试级别 1 到 10

默认值为级别 4（信息性消息）。

最大日志文件数

限制移动生产力应用诊断日志记录功能在滚动更新之前保留的日志文件数量。最小值为 2。最大值为 8。默认值为 2。

最大日志文件大小

限制移动生产力应用诊断日志记录功能在滚动更新之前保留的日志文件大小（以兆字节 (MB) 为单位）。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。

应用地理围栏

中心点经度

应用受限运行的点/半径地理围栏中心点的经度（X 坐标）。当在配置的地理围栏之外运行时，应用将保持锁定状态。应以带符号的度数格式 (DDD.dddd) 表示，例如“-31.9635”。西经应以负号开头。默认值为 0。

中心点纬度

应用受限运行的点/半径地理围栏中心点的纬度（Y 坐标）。当在配置的地理围栏之外运行时，应用将保持锁定状态。

应以带符号的度数格式 (DDD.dddd) 表示，例如“43.06581”。南纬应以负号开头。默认值为 0。

半径

应用受限运行的地理围栏半径。当在配置的地理围栏之外运行时，应用将保持锁定状态。 应以米为单位表示。当设置为零时，地理围栏将被禁用。默认值为 0（已禁用）。

分析

Google Analytics 详细信息

Citrix 收集分析数据以提高产品质量。选择“匿名”可选择不包含公司可识别信息。