适用于 iOS 第三方应用的 MDX 策略

本文介绍了适用于 iOS 第三方应用的 MDX 策略。您可以在添加应用时直接在策略 XML 文件中或在 Citrix Endpoint Management™ 控制台中更改策略设置。

身份验证

设备密码

如果设置为 “开”，则设备在启动或在一段时间不活动后恢复时，需要 PIN 或密码才能解锁设备。使用 Apple 文件加密对应用数据进行加密需要设备密码。设备上的所有应用数据都将加密。默认值为 “关”。

应用密码

如果设置为 “开”，则应用在启动或在一段时间不活动后恢复时，需要 PIN 或密码才能解锁应用。默认值为 “开”。

要为所有应用配置不活动计时器，请在 “设置” 选项卡上的 “客户端属性” 中以分钟为单位设置 INACTIVITY_TIMER 值。默认不活动计时器值为 60 分钟。要禁用不活动计时器，以便仅在应用启动时显示 PIN 或密码提示，请将该值设置为零。

注意：

如果为“加密密钥”策略选择 “安全脱机”，则此策略将自动启用。

需要联机会话

最长脱机时间（小时）

定义应用在不重新确认应用授权和不从 Citrix Endpoint Management 刷新策略的情况下可以运行的最长时间。到期后，如果需要，可能会触发登录到服务器。默认值为 168 小时（7 天）。最短时间为 1 小时。

备用 Citrix Gateway

注意：

此策略在 Endpoint Management 控制台中的名称为 Alternate NetScaler® Gateway。

特定备用 Citrix Gateway 的地址，该网关应与此应用一起用于身份验证和微 VPN 会话。这是一个可选策略，当与“需要联机会话”策略结合使用时，它会强制应用重新向特定网关进行身份验证。此类网关通常具有不同的（更高保证的）身份验证要求和流量管理策略。如果留空，则始终使用服务器的默认网关。默认值为空。

设备安全性

• 阻止越狱或已 Root

• 如果设置为 “开”，则当设备越狱或已 Root 时，应用将被锁定。如果设置为 “关”，则即使设备越狱或已 Root，应用也可以运行。默认值为 “开”。

• 网络要求

• 需要 Wi-Fi

如果设置为 “开”，则当设备未连接到 Wi-Fi 网络时，应用将被锁定。如果设置为 “关”，则如果设备具有活动连接（例如 4G/3G、LAN 或 Wi-Fi 连接），应用可以运行。默认值为 “关”。

允许的 Wi-Fi 网络

以逗号分隔的 Wi-Fi 网络列表。如果网络名称包含任何非字母数字字符（包括逗号），则该名称必须用双引号引起来。应用仅在连接到所列网络之一时运行。如果为空，则允许所有网络。这不影响与蜂窝网络的连接。默认值为空。

其他访问

应用更新宽限期（小时）

定义系统发现有可用应用更新后，应用可以继续使用的宽限期。默认值为 168 小时（7 天）。

注意：

不建议使用零值，因为它会立即阻止正在运行的应用被使用，直到更新下载并安装完毕（不向用户发出任何警告）。这可能会导致用户被迫退出应用（可能丢失工作）以遵守所需的更新。

锁定后擦除应用数据

锁定应用时擦除数据并重置应用。如果设置为 “关”，则锁定应用时不会擦除应用数据。默认值为 “关”。

应用可能因以下任何原因被锁定：

• 用户失去应用授权
• 应用订阅已删除
• 帐户已删除
• Secure Hub 已卸载
• 应用身份验证失败次数过多
• 检测到越狱设备（根据策略设置）
• 设备因其他管理操作而处于锁定状态

活动轮询周期（分钟）

应用启动时，MDX Framework 会轮询 Citrix Endpoint Management 以确定当前应用和设备状态。假设可以访问运行 Endpoint Management 的服务器，该框架会返回有关设备的锁定/擦除状态以及应用的启用/禁用状态的信息。无论是否可以访问服务器，都会根据活动轮询周期间隔安排后续轮询。周期到期后，将再次尝试新的轮询。默认值为 60 分钟（1 小时）。

• 重要提示：

• 仅对高风险应用降低此值，否则可能会影响性能。

不合规设备行为

允许您在设备不符合最低合规性要求时选择操作。选择 “允许应用” 以使应用正常运行。选择 “警告后允许应用” 以在警告出现后运行应用。选择 “阻止” 以阻止应用运行。默认值为 “警告后允许应用”。

应用交互

剪切和复制

阻止、允许或限制此应用的剪贴板剪切和复制操作。如果设置为 “受限”，则复制的剪贴板数据将放置在仅 MDX 应用可用的私有剪贴板中。默认值为 “受限”。

粘贴

阻止、允许或限制此应用的剪贴板粘贴操作。如果设置为 “受限”，则粘贴的剪贴板数据源自仅 MDX 应用可用的私有剪贴板。默认值为 “不受限”。

文档交换（在以下位置打开）

阻止、允许或限制此应用的文档交换操作。如果设置为 “受限”，则文档只能与其他 MDX 应用交换。

如果设置为 “不受限”，请将“启用加密”策略设置为 “开”，以便用户可以在未封装的应用中打开文档。如果接收应用未封装或已禁用加密，Citrix Endpoint Management 将解密文档。 默认值为 “受限”。

受限的“在以下位置打开”例外列表

当“文档交换（在以下位置打开）”策略设置为 “受限” 时，MDX 应用可以与此逗号分隔的非托管应用 ID 列表共享文档，即使“文档交换（在以下位置打开）”策略设置为 “受限” 且“启用加密”设置为 “开”。默认例外列表允许 Office 365 应用：

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

仅此策略支持 Office 365 应用程序。

注意：

请务必考虑此策略的安全隐患。例外列表允许内容在非托管应用程序和 MDX 环境之间传输。

入站文档交换（打开方式）

阻止、限制或允许此应用程序的入站文档交换操作。如果设置为受限，则文档只能与其他 MDX 应用程序交换。默认值为无限制。

• 如果设置为已阻止或受限，则可以使用“入站文档交换白名单”策略指定可向此应用程序发送文档的应用程序。

• 注意：

  “入站文档交换白名单”策略仅支持运行 iOS 12 的设备。

选项：无限制、已阻止或受限

应用程序 URL 方案

iOS 应用程序可以将 URL 请求调度到已注册以处理特定方案（例如“http://”）的其他应用程序。此功能提供了一种机制，使应用程序能够将帮助请求传递给另一个应用程序。此策略用于筛选传递到此应用程序以进行处理的方案（即入站 URL）。默认值为空，这意味着所有已注册的应用程序 URL 方案都将被阻止。

策略应格式化为逗号分隔的模式列表，其中每个模式前面可以带一个加号“+”或减号“-”。入站 URL 将按照列出的顺序与模式进行比较，直到找到匹配项。一旦匹配，所采取的操作由前缀决定。

• 减号“-”前缀阻止 URL 传递到此应用程序。
• 加号“+”前缀允许 URL 传递到应用程序进行处理。
• 如果模式中未提供“+”或“-”，则假定为“+”（允许）。
• 如果入站 URL 与列表中的任何模式都不匹配，则该 URL 将被阻止。

下表包含应用程序 URL 方案的示例：

应用程序交互（出站 URL）

从 URL 筛选中排除的域

此策略将出站 URL 从任何“允许的 URL”筛选中排除。添加一个逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀列表，以将其从“允许的 URL”筛选中排除。如果此策略为空（默认值），则定义的“允许的 URL”筛选将处理 URL。如果此策略包含任何条目，则主机字段与列表中至少一个项目匹配（通过 DNS 后缀匹配）的那些 URL 将未经更改地发送到 iOS，从而绕过“允许的 URL”筛选逻辑。默认值为空。

允许的 URL

iOS 应用程序可以将 URL 请求调度到已注册以处理特定方案（例如“http://”）的其他应用程序。此功能提供了一种机制，使应用程序能够将帮助请求传递给另一个应用程序。此策略用于筛选从此应用程序传递到其他应用程序以进行处理的 URL（即出站 URL）。

策略应格式化为逗号分隔的模式列表，其中每个模式前面可以带一个加号“+”或减号“-”。出站 URL 将按照列出的顺序与模式进行比较，直到找到匹配项。一旦匹配，所采取的操作由前缀决定。减号“-”前缀阻止 URL 传递到另一个应用程序。加号“+”前缀允许 URL 传递到另一个应用程序进行处理。如果模式中未提供“+”或“-”，则假定为“+”（允许）。由“=”分隔的一对值表示替换，其中第一个字符串的出现将被第二个字符串替换。您可以使用正则表达式“^”前缀来搜索字符串，以将其锚定到 URL 的开头。如果出站 URL 与列表中的任何模式都不匹配，则该 URL 将被阻止。

默认值

+maps.apple.com

+itunes.apple.com

^http:=ctxmobilebrowser:

^https:=ctxmobilebrowsers:

^mailto:=ctxmail:

+^citrixreceiver:

+^telprompt:

+^tel:

+^lmi-g2m:

+^maps:ios_addr

• +^mapitem:

+^sms:

+^facetime:

+^ctxnotes:

+^ctxnotesex:

+^ctxtasks:

+^facetime-audio:

+^itms-apps:

• +^ctx-sf:

• +^sharefile:

• +^lync:

• +^slack:

如果此设置为空白，则所有 URL 都将被阻止，但以下 URL 除外：

• http:
• https:
• +citrixreceiver: +tel:

下表包含允许的 URL 的示例：

允许的 Secure Web 域

此策略仅影响会将 URL 重定向到 Secure Web 应用程序的“允许的 URL”策略条目（^http:=ctxmobilebrowser: 和 ^https:=ctxmobilebrowsers:）。添加一个逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀列表，这些域名或后缀允许重定向到 Secure Web 应用程序。如果此策略包含任何条目，则只有主机字段与列表中至少一个项目匹配（通过 DNS 后缀匹配）的那些 URL 才会重定向到 Secure Web 应用程序。所有其他 URL 均未经更改发送到 iOS，从而绕过 Secure Web 应用程序。默认值为空。

应用程序限制

重要提示：

请务必考虑阻止应用程序访问或使用手机功能的策略所带来的安全影响。当这些策略处于关闭状态时，内容可以在非托管应用程序和安全环境之间传输。

阻止摄像头

如果处于启用状态，则阻止应用程序直接使用摄像头硬件。默认值为关闭。

阻止照片库

如果处于启用状态，则阻止应用程序访问设备上的照片库。默认值为启用。

阻止麦克风录音

如果处于启用状态，则阻止应用程序直接使用麦克风硬件。默认值为启用。

阻止听写

如果处于启用状态，则阻止应用程序直接使用听写服务。默认值为启用。

阻止定位服务

如果处于启用状态，则阻止应用程序使用定位服务组件（GPS 或网络）。Secure Mail 的默认值为关闭。

阻止短信撰写

如果处于启用状态，则阻止应用程序使用用于从应用程序发送短信/文本消息的短信撰写功能。默认值为启用。

阻止电子邮件撰写

如果处于启用状态，则阻止应用程序使用用于从应用程序发送电子邮件消息的电子邮件撰写功能。默认值为启用。

阻止 iCloud

如果处于启用状态，则阻止应用程序使用 iCloud 存储和共享设置和数据。

注意：

iCloud 数据文件由“阻止文件备份”策略控制。

默认值为启用。

阻止查找

如果处于启用状态，则阻止应用程序使用“查找”功能，该功能可在词典、iTunes、App Store、电影放映时间、附近位置等中搜索突出显示的文本。默认值为启用。

阻止文件备份

如果处于启用状态，则阻止数据文件通过 iCloud 或 iTunes 进行备份。默认值为启用。

阻止 AirPrint

如果处于启用状态，则阻止应用程序使用 AirPrint 功能将数据打印到支持 AirPrint 的打印机。默认值为启用。

阻止 AirDrop

如果处于启用状态，则阻止应用程序使用 AirDrop。默认值为启用。

阻止 Facebook 和 Twitter API

如果处于启用状态，则阻止应用程序使用 iOS Facebook 和 Twitter API。默认值为启用。

模糊屏幕内容

如果处于启用状态，则当用户切换应用程序时，屏幕会模糊。此策略可阻止 iOS 录制屏幕内容并显示缩略图。默认值为启用。

阻止第三方键盘（仅限 iOS 11 及更高版本）

如果处于启用状态，则阻止应用程序使用 iOS 8+ 上的第三方键盘扩展。默认值为启用。

阻止应用程序日志

如果处于启用状态，则禁止应用程序使用移动生产力应用程序诊断日志记录功能。如果处于关闭状态，则会记录应用程序日志，并且可以通过 Secure Hub 电子邮件支持功能进行收集。默认值为关闭。

应用程序网络访问

网络访问

注意：

隧道 - Web SSO 是设置中 Secure Browse 的名称。行为相同。

设置选项如下：

• 已阻止：所有网络访问均被阻止。您的应用程序使用的网络 API 将失败。根据之前的准则，您应妥善处理此类故障。
• 无限制：所有网络调用都直接进行，不进行隧道传输。
• 隧道 - Web SSO：HTTP/HTTPS URL 将被重写。此选项仅允许对 HTTP 和 HTTPS 流量进行隧道传输。隧道 - Web SSO 的一个显著优势是 HTTP 和 HTTPS 流量的单点登录 (SSO) 以及 PKINIT 身份验证。在 Android 上，此选项的设置开销较低，因此是 Web 浏览类型操作的首选选项。

如果选择了隧道 - Web SSO 选项，则在此初始模式下会创建一个每应用程序 VPN 隧道，返回到企业网络，并使用 Citrix Gateway 分割隧道设置。Citrix 建议对需要单点登录 (SSO) 的连接使用隧道 - Web SSO。

需要微型 VPN 会话

如果为是，则用户必须连接到企业网络并拥有活动会话。如果为否，则不需要活动会话。默认值为使用上一个设置。对于新上传的应用程序，默认值为否。在升级到此新策略之前选择的任何设置都将保持有效，直到选择使用上一个设置以外的选项。

微型 VPN 会话所需宽限期（分钟）

此值确定用户可以在“需要在线会话”策略阻止他们进一步使用应用程序（直到在线会话经过验证）之前使用应用程序的分钟数。默认值为0（无宽限期）。此策略不适用于与 Microsoft Intune/EMS 的集成。

证书标签

与 StoreFront™ 证书集成服务结合使用时，此标签标识此应用程序所需的特定证书。如果未提供标签，则不会提供证书以用于公钥基础结构 (PKI)。默认值为空（不使用证书）。

排除列表

以逗号分隔的 FQDN 或 DNS 后缀列表，这些后缀将直接访问，而不是通过 VPN 连接访问。这仅适用于 Citrix Gateway 配置了反向拆分隧道模式时的隧道 - Web SSO 模式。

应用程序日志

默认日志输出

确定移动生产力应用程序诊断日志记录工具默认使用的输出介质。可能的值为文件、控制台或两者。默认值为文件。

默认日志级别

控制移动生产力应用程序诊断日志记录工具的默认详细程度。每个级别都包含较低值级别。可能的级别范围包括：

• 0 - 不记录任何内容
• 1 - 严重错误
• 2 - 错误
• 3 - 警告
• 4 - 信息性消息
• 5 - 详细信息性消息
• 6 到 15 - 调试级别 1 到 10

默认值为级别 4（信息性消息）。

最大日志文件数

限制移动生产力应用程序诊断日志记录工具在滚动更新之前保留的日志文件数量。最小值为 2。最大值为 8。默认值为 2。

最大日志文件大小

限制移动生产力应用程序诊断日志记录工具在滚动更新之前保留的日志文件大小（以兆字节 (MB) 为单位）。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。

重定向系统日志

如果为开，则拦截并将应用程序的系统或控制台日志重定向到移动生产力应用程序诊断工具。如果为关，则不拦截应用程序对系统或控制台日志的使用。

默认值为开。

应用程序地理围栏

中心点经度

应用程序受限运行的“点/半径”地理围栏中心点的经度（X 坐标）。当在配置的地理围栏之外运行时，应用程序将保持锁定状态。

应以带符号的度数格式 (DDD.dddd) 表示，例如“-31.9635”。西经应以负号开头。默认值为0。

中心点纬度

应用程序受限运行的“点/半径”地理围栏中心点的纬度（Y 坐标）。当在配置的地理围栏之外运行时，应用程序将保持锁定状态。

应以带符号的度数格式 (DDD.dddd) 表示，例如“43.06581”。南纬应以负号开头。默认值为0。

半径

应用程序受限运行的地理围栏半径。当在配置的地理围栏之外运行时，应用程序将保持锁定状态。

应以米为单位表示。当设置为零时，地理围栏将被禁用。当“阻止位置服务”策略启用时，地理围栏无法正常工作。默认值为0（禁用）。

分析

Google Analytics 详细程度

Citrix 收集分析数据以提高产品质量。选择匿名可选择退出包含公司可识别信息。默认值为“完整”。

报告

Citrix 报告

如果为开，Citrix 会收集崩溃报告和诊断信息以帮助排查问题。如果为关，Citrix 不会收集数据。

注意：

Citrix 也可能通过功能标志控制此功能。此功能要正常运行，必须同时启用功能标志和此策略。

默认值为关。

上传令牌

您可以从 Citrix Insight Services (CIS) 帐户获取上传令牌。如果您指定此可选令牌，CIS 将允许您访问从设备上传的崩溃报告和诊断信息。Citrix 也可以访问相同的信息。默认值为空。

仅通过 Wi-Fi 发送报告

如果为开，Citrix 仅在连接到 Wi-Fi 网络时发送崩溃报告和诊断信息。默认值为开。

报告文件缓存最大值

限制在清除缓存之前保留的崩溃报告和诊断捆绑包的大小。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。