MAM SDK 策略(适用于 iOS 第三方应用)
本文介绍了 MAM SDK 策略(适用于 iOS 第三方应用)。您可以在策略 XML 文件中或在添加应用时在 Citrix Endpoint Management™ 控制台中直接更改策略设置。
应用网络访问
网络访问
-
注意:
-
-
隧道 - Web SSO 是设置中 安全浏览 的名称。其行为相同。
设置选项如下:
- 已阻止:您的应用使用的网络 API 失败。根据之前的指南,您应妥善处理此类故障。
- 无限制:所有网络调用都直接进行,不经过隧道。
- 隧道 - Web SSO:HTTP/HTTPS URL 被重写。此选项仅允许 HTTP 和 HTTPS 流量的隧道传输。隧道 - Web SSO 的一个显著优势是 HTTP 和 HTTPS 流量的单点登录 (SSO) 以及 PKINIT 身份验证。在 Android 上,此选项的设置开销较低,因此是 Web 浏览类型操作的首选选项。
身份验证
应用密码
如果设置为 开,则当应用启动或在一段时间不活动后恢复时,需要 PIN 或密码才能解锁应用。默认值为 开。
要为所有应用配置不活动计时器,请在 设置 选项卡上的 客户端属性 中设置 INACTIVITY_TIMER 的值(以分钟为单位)。默认不活动计时器值为 60 分钟。要禁用不活动计时器,以便仅在应用启动时显示 PIN 或密码提示,请将该值设置为零。
定义应用在不重新确认应用授权和不从 Citrix Endpoint Management 刷新策略的情况下可以运行的最长时间。到期时,如果需要,可能会触发登录到服务器。默认值为 168 小时(7 天)。最短时间为 1 小时。
应用日志
默认日志输出
确定移动生产力应用诊断日志记录工具默认使用的输出介质。可能的值为文件、控制台或两者。默认值为 文件。
默认日志级别
控制移动生产力应用诊断日志记录工具的默认详细程度。每个级别都包含较低值级别。可能的级别范围包括:
- 0 - 不记录任何内容
- 1 - 严重错误
- 2 - 错误
- 3 - 警告
- 4 - 信息性消息
- 5 - 详细信息性消息
- 6 到 15 - 调试级别 1 到 10
默认值为级别 4(信息性消息)。
最大日志文件数
限制移动生产力应用诊断日志记录工具在滚动更新之前保留的日志文件数量。最小值为 2。最大值为 8。默认值为 2。
最大日志文件大小
限制移动生产力应用诊断日志记录工具在滚动更新之前保留的日志文件大小(以兆字节 (MB) 为单位)。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。
模糊日志中的 URL
如果设置为 开,则会拦截并将来自应用的系统或控制台日志重定向到移动生产力应用诊断工具。如果设置为 关,则不会拦截应用对系统或控制台日志的使用。
默认值为 开。
阻止应用日志
-
如果设置为 开,则禁止应用使用移动生产力应用诊断日志记录工具。如果设置为 关,则会记录应用日志,并且可以使用 Secure Hub 电子邮件支持功能收集这些日志。默认值为 关。
-
应用交互
剪切和复制
阻止、允许或限制此应用的剪贴板剪切和复制操作。如果设置为 受限,则复制的剪贴板数据将放置在仅对应用可用的私有剪贴板中。默认值为 受限。
粘贴
阻止、允许或限制此应用的剪贴板粘贴操作。如果设置为 受限,则粘贴的剪贴板数据源自仅对应用可用的私有剪贴板。默认值为 无限制。
文档交换(打开方式)
阻止、允许或限制此应用的文档交换操作。如果设置为 受限,则文档只能与其他应用交换。
如果设置为 无限制,请将“启用加密”策略设置为 开,以便用户可以在未封装的应用中打开文档。如果接收应用未封装或已禁用加密,Citrix Endpoint Management 将解密文档。默认值为 受限。
受限的“打开方式”例外列表
当“文档交换(打开方式)”策略设置为 受限 时,即使“文档交换(打开方式)”策略设置为 受限 且“启用加密”设置为 开,应用也可以与此逗号分隔的非托管应用 ID 列表共享文档。默认例外列表允许 Office 365 应用:
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
此策略仅支持 Office 365 应用。
阻止、限制或允许此应用的入站文档交换操作。如果设置为 受限,则文档只能与其他应用交换。默认值为 无限制。
如果设置为 已阻止 或 受限,您可以使用“入站文档交换白名单”策略来指定可以向此应用发送文档的应用。
注意:
“入站文档交换白名单”策略仅支持运行 iOS 12 的设备。
选项:无限制、已阻止 或 受限
应用 URL 方案
iOS 应用可以将 URL 请求分派给已注册处理特定方案(例如 “http://“)的其他应用。此功能提供了一种机制,允许应用将帮助请求传递给另一个应用。此策略用于筛选传递到此应用进行处理的方案(即入站 URL)。默认值为空,这意味着所有已注册的应用 URL 方案都将被阻止。
策略应格式化为逗号分隔的模式列表,其中每个模式前面可以带有加号“+”或减号“-”。入站 URL 将按照列出的顺序与模式进行比较,直到找到匹配项。一旦匹配,所采取的操作由前缀决定。
- 减号“-”前缀会阻止 URL 传递到此应用。
- 加号“+”前缀允许 URL 传递到应用进行处理。
- 如果模式未提供“+”或“-”,则假定为“+”(允许)。
- 如果入站 URL 与列表中的任何模式都不匹配,则该 URL 将被阻止。
下表包含应用 URL 方案的示例:
| 方案 | 需要 URL 方案的应用 | 用途 |
|---|---|---|
| ctxmobilebrowser | Secure Web- | 允许 Secure Web 处理来自其他应用的 HTTP: URL。- |
| ctxmobilebrowsers | Secure Web- | 允许 Secure Web 处理来自其他应用的 HTTPS: URL。 |
| ctxmail | Secure Mail- | 允许 Secure Mail 处理来自其他应用的 mailto: URL。 |
| COL-G2M | GoToMeeting- | 允许封装的 GoToMeeting 应用处理会议请求。 |
| ctxsalesforce | Citrix® for Salesforce- | 允许 Citrix for Salesforce 处理 Salesforce 请求。 |
| wbx | WebEx | 允许封装的 WebEx 应用处理会议请求。 |
应用交互(出站 URL)
允许的 URL
iOS 应用可以向已注册处理特定方案(例如 "http://")的其他应用程序分派 URL 请求。此功能提供了一种机制,使应用能够将帮助请求传递给另一个应用。此策略用于筛选从本应用传递给其他应用处理的 URL(即出站 URL)。
此策略应格式化为逗号分隔的模式列表,其中每个模式前面可以带有加号 “+” 或减号 “-“。出站 URL 将按照列出的顺序与这些模式进行比较,直到找到匹配项。一旦匹配,所采取的操作由前缀决定。减号 “-“ 前缀会阻止 URL 传递给另一个应用。加号 “+” 前缀允许 URL 传递给另一个应用进行处理。如果模式未提供 “+” 或 “-“,则假定为 “+”(允许)。一对由 “=” 分隔的值表示替换,其中第一个字符串的出现会被第二个字符串替换。您可以使用正则表达式 “^” 前缀来搜索字符串,以将其锚定到 URL 的开头。如果出站 URL 不匹配列表中的任何模式,则会被阻止。
合规性
设备密码
如果启用,设备启动或从不活动状态恢复后,需要 PIN 或密码才能解锁设备。使用 Apple 文件加密对应用数据进行加密时,需要设备密码。设备上的所有应用数据都将加密。默认值为禁用。
阻止越狱或已取得 Root 权限的设备
如果启用,当设备越狱或已取得 Root 权限时,应用将被锁定。如果禁用,即使设备越狱或已取得 Root 权限,应用也可以运行。默认值为启用。
不合规设备行为
允许您选择当设备不符合最低加密合规性要求时要执行的操作。选择允许应用以使应用正常运行。选择警告后允许应用以使应用在警告出现后运行。选择阻止以阻止应用运行。默认值为警告后允许应用。
锁定后擦除应用数据
当应用被锁定时,擦除数据并重置应用。如果禁用,当应用被锁定时,应用数据不会被擦除。默认值为禁用。
应用可能因以下任何原因被锁定:
- 用户失去应用授权
- 应用订阅已删除
- 帐户已删除
- Secure Hub 已卸载
- 应用身份验证失败次数过多
- 检测到越狱设备(根据策略设置)
- 设备因其他管理操作而处于锁定状态
活动轮询周期(分钟)
应用启动时,MAM SDK 框架会轮询 Citrix Endpoint Management 以确定当前应用和设备状态。假设可以访问运行 Endpoint Management 的服务器,该框架会返回有关设备的锁定/擦除状态以及应用的启用/禁用状态的信息。无论服务器是否可访问,都会根据活动轮询周期间隔安排后续轮询。周期到期后,将再次尝试新的轮询。默认值为 60 分钟(1 小时)。
重要提示:
仅针对高风险应用降低此值,否则可能会影响性能。
应用更新宽限期(小时)
定义系统发现有可用应用更新后,应用可以继续使用的宽限期。默认值为 168 小时(7 天)。
注意:
不建议使用零值,因为它会立即阻止正在运行的应用被使用,直到更新下载并安装完成(不会向用户发出任何警告)。这可能会导致用户被迫退出应用(可能丢失工作)以遵守所需的更新。
应用限制
重要提示:
请务必考虑阻止应用访问或使用手机功能的策略所带来的安全隐患。当这些策略处于禁用状态时,内容可以在非托管应用和安全环境之间传输。
阻止摄像头
如果启用,则阻止应用直接使用摄像头硬件。默认值为禁用。
阻止照片库
如果启用,则阻止应用访问设备上的照片库。默认值为启用。
阻止麦克风录音
如果启用,则阻止应用直接使用麦克风硬件。默认值为启用。
阻止听写
如果启用,则阻止应用直接使用听写服务。默认值为启用。
阻止定位服务
如果启用,则阻止应用使用定位服务组件(GPS 或网络)。对于 Secure Mail,默认值为禁用。
阻止 SMS 撰写
如果启用,则阻止应用使用用于从应用发送 SMS/文本消息的 SMS 撰写功能。默认值为启用。
阻止 iCloud
如果启用,则阻止应用使用 iCloud 存储和共享设置及数据。
注意:
iCloud 数据文件受“阻止文件备份”策略控制。
默认值为启用。
阻止查找
如果启用,则阻止应用使用“查找”功能,该功能可在词典、iTunes、App Store、电影放映时间、附近位置等中搜索突出显示的文本。默认值为启用。
阻止文件备份
如果启用,则阻止 iCloud 或 iTunes 备份数据文件。默认值为启用。
阻止 AirPrint
如果启用,则阻止应用使用 AirPrint 功能将数据打印到支持 AirPrint 的打印机。默认值为启用。
阻止 AirDrop
如果启用,则阻止应用使用 AirDrop。默认值为启用。
阻止 Facebook 和 Twitter API
如果启用,则阻止应用使用 iOS Facebook 和 Twitter API。默认值为启用。
模糊屏幕内容
如果启用,当用户切换应用时,屏幕内容将被遮蔽。此策略可阻止 iOS 录制屏幕内容和显示缩略图。默认值为启用。
阻止第三方键盘(仅限 iOS 11 及更高版本)
如果启用,则阻止应用在 iOS 8+ 上使用第三方键盘扩展。默认值为启用。
应用地理围栏
中心点经度
应用受限运行的点/半径地理围栏中心点的经度(X 坐标)。当在配置的地理围栏之外运行时,应用将保持锁定状态。
应以带符号的度数格式 (DDD.dddd) 表示,例如“-31.9635”。西经应以负号开头。默认值为 0。
中心点纬度
应用受限运行的点/半径地理围栏中心点的纬度(Y 坐标)。当在配置的地理围栏之外运行时,应用将保持锁定状态。
应以带符号的度数格式 (DDD.dddd) 表示,例如“43.06581”。南纬应以负号开头。默认值为 0。
半径
应用受限运行的地理围栏半径。当在配置的地理围栏之外运行时,应用将保持锁定状态。
应以米为单位表示。当设置为零时,地理围栏将被禁用。当启用“阻止定位服务”策略时,地理围栏功能无法正常工作。默认值为 0(禁用)。