MDX Toolkit

MDX Toolkit 19.8.0 是在 Citrix.com 上发布的版本。

MDX Service 可以使用 MDX 版本 19.8.9 或 19.6.5 封装第三方应用程序。有关详细信息,请参阅 MDX Service

MDX Toolkit 19.8.0 中的新增功能

此版本支持 Android Q。

MDX Toolkit 19.6.5 中的新增功能

加密管理。加密管理允许您使用新式设备平台安全性,同时确保设备处于足够的状态,以便有效地使用平台安全性。确定了设备必须遵守的一组安全标准,并被视为符合加密管理要求。然后,您可以识别不合规的设备,并限制对不符合这些标准的设备上的应用程序的访问。

通过使用加密管理,您可以消除本地数据加密冗余,因为文件系统加密是由 Android 和 iOS 平台提供的。加密管理还提高了性能(避免双重加密)和应用程序与 MDX 的兼容性。

注意:

为了帮助入门,您可以在 Citrix Endpoint Management 中运行新报告,以列出组织中不符合要求的设备。此报告有助于确定启用对合规性强制执行的影响。要访问报告,请打开 Endpoint Management 控制台,然后导航至分析 > 报告 > 不合规设备,然后生成报告。 “不合规设备” 报告在运行 Citrix Endpoint Management 版本 19.6.0.2 或更高版本的环境中提供。

加密类型

要使用加密管理功能,请在 Endpoint Management 控制台中,将加密类型 MDX 策略设置为强制合规的平台加密。这样可以实现加密管理,并且用户设备上的所有现有加密应用程序数据将无缝转换到由设备而非 MDX 加密的状态。在此转换期间,应用程序将暂停以进行一次性数据迁移。成功迁移后,本地存储的数据的加密责任将从 MDX 转移到设备平台。MDX 在每次应用程序启动时都会继续检查设备的合规性。此功能适用于 MDM + MAM 和仅 MAM 环境。

加密类型策略设置为强制合规的平台加密时,新策略将取代您现有的 MDX 加密。

有关加密管理 MDX 策略的详细信息,请参阅以下内容中的“加密”部分:

不合规设备行为

当设备低于最低合规性要求时,“不合规设备行为”MDX 策略将允许您选择要执行的操作:

  • 允许应用程序 — 允许应用程序正常运行。
  • 允许应用程序在显示警告后运行 — 警告用户应用程序不符合最低合规性要求,但允许应用程序运行。此为默认值。
  • 阻止应用程序 — 阻止应用程序运行。

以下标准确定设备是否满足最低合规性要求。

运行 iOS 的设备:

  • iOS 10:应用程序正在运行高于或等于指定版本的操作系统版本。
  • 调试器访问:应用程序未启用调试。
  • 越狱设备:应用程序不在越狱设备上运行。
  • 设备通行码:“设备通行码”设置为“开”。
  • 数据共享:未为应用程序启用数据共享。

运行 Android 的设备:

  • Android SDK 24 (Android 7 Nougat):应用程序正在运行高于或等于指定版本的操作系统版本。
  • 调试器访问:应用程序未启用调试。
  • 已获得 root 权限的设备:应用程序不在已获得 root 权限的设备上运行。
  • 设备锁定:“设备通行码”设置为“开”。
  • 设备已加密:应用程序在加密设备上运行。

支持 WkWebView。此版本包括对 WkWebView 的支持。WkWebView 是 Apple 框架,用于显示 Web 内容,与以前使用的 UIWebView 框架相比,性能和安全性都得以改进。使用 WKWebView 框架构建的 iOS 应用程序允许流量在使用“通道 - Web SSO”策略时通过 Micro VPN(也称为 SSL VPN)传输。不需要任何设置配置即可使用此功能。

注意:

如果您已使用“完整 VPN 通道”,则可以继续使用 UIWebView 框架,或者切换到使用安全浏览模式(推荐)。

限制:

在以下情况下不支持 WkWebView:

  • 运行 iOS 10 或更早版本的设备。
  • 运行 Endpoint Management 与 EMS/InTune 集成的设置。
  • 同时使用 WKWebView 组件的两个实例的应用程序。
  • 为“完整 VPN 模式”配置的设置。

支持 Google Play 的 64 位应用程序。自 2019 年 8 月 1 日起,Google Play 要求应用程序支持 64 位体系结构。此版本的 MDX Toolkit 支持打包 64 位版本的应用程序。要评估您的应用程序是否为 64 位设备做好准备,以及有关使用 64 位库构建应用程序的说明,请参阅 Google Play 上的 Google 开发人员文档。

更新了加密库。MDX Toolkit 19.6.5 包括更新后的加密库。这些库会定期更新,以跟上最新的安全趋势,并帮助修复安全漏洞。我们也不赞成使用较旧的密码。此更新提高了安全性,因为此更新强制环境使用最新和最安全的密码。但是,当用户更新到使用 MDX Toolkit 19.6.5 打包的应用程序时,不更新密码可能会导致错误。

如果您是 Citrix Gateway 客户,并计划通过 iOS 和 Android 第三方应用程序来允许使用 SSL VPN,请确认您已完成以下步骤。

  • 在 Citrix Gateway 上,在“SSL 密码”选项中添加以下密码套件值:- ECDHE-RSA-AES256-GCM-SHA384。有关添加安全密码的步骤,请参阅安全密码别名
  • 启用椭圆曲线加密 (ECC)。有关详细信息,请参阅 ECDSA 密码套件支持

支持运行 Android 使用 Chrome 74。此版本包括支持在已升级到 Chrome 版本 74 的 Android 的设备上使用 Micro VPN。

支持 Apktool 版本 2.4。此版本包括对使用 Apktool 版本 2.4 的应用程序的支持。

早期版本中的新增功能

MDX Toolkit 19.3.5 中的新增功能

MDX Toolkit 19.3.5 中包含多个修复。有关详细信息,请参阅 已修复的问题

MDX Toolkit 18.12.0 中的新增功能

网络策略行为。新策略取代以前的网络策略,以统一功能并使策略更加直观。有关更改的详细信息,请参见下表。

旧策略 Intune 策略 新策略 注意
“网络访问”、“首选 VPN 模式”和“允许 VPN 模式切换” 启用 http/https 重定向(使用 SSO),禁用 mVPN 完整通道(TCP 级别)重定向 网络访问  
拆分通道排除列表 mVPN 通道排除列表 排除列表  
要求联机会话 需要建立 mVPN 会话 要求 Micro VPN 会话 如果是 Endpoint Management MAM,则相应的宽限期策略将控制用户必须重新建立 VPN 会话的时间。Intune MAM 不支持宽限期。

对于新的“网络访问”和“要求 Micro VPN 会话”策略,我们建议您选择一个新值。默认情况下,选择使用以前的设置,该设置使用您已在更早版本的策略中设置的值。更改后,您不应还原为使用以前的设置。如果要发布新应用程序,请勿选择使用以前的设置。另请注意,在用户将应用程序升级到 18.12.0 之前,对新策略所做的更改将不起作用。

对新上载的应用程序,默认值如下:

  • 网络访问: 阻止除 Secure Mail 以外的所有应用程序。由于 Intune 的状态不是被阻止,因此 Secure Mail 的默认值为无限制
  • 排除列表:
  • 要求 Micro VPN 会话:

    升级到 18.12.0 的客户的注意事项:

    “网络访问”策略默认设置为您之前的 VPN 设置,无需任何操作。如果更改访问类型,则在您将应用程序升级到 18.12.0 之前,更改才会生效。

有关详细信息,请参阅以下内容中的“应用程序网络访问”部分:

MDX Toolkit 10.8.60

MDX 支持 Android P。现在,您可以打包适用于 Android P 的应用程序。

MDX 现在提供波兰语版本。

MDX Toolkit 10.8.35

对排除策略所做的更改。在 Android 设备上,非 MDX 应用程序现在可以接收 MDX 应用程序中加密的文件的解密副本。当“文档交换(打开方式)”策略设置为限制时,“受限制的打开方式例外列表”策略中列出的应用程序可以接收 MDX 应用程序中已加密的文件。接收文件时,这些文件的内容将解密到本地存储,并在关闭文件时从本地存储中删除。例如,将 {package=com.microsoft.office.word} 添加到“文档交换(打开方式)”策略使 Word 应用程序能够接收来自 MDX 应用程序的解密文件。

MDX Toolkit 10.7.20

控制净推荐值问卷调查: Citrix Files 应用程序的新策略“允许 NPS Citrix Files”允许您间歇性向用户显示一份净推荐值问卷调查以获得反馈。默认值为

不通过通道传输端点策略:Citrix Endpoint Management SDK 和应用程序用于各种功能的某些服务端点需要从 Micro VPN 通道中排除。MDX 默认执行此操作,但可能会通过在 Citrix Endpoint Management 服务器上设置一个客户端属性来覆盖此列表。有关在 Citrix Endpoint Management 控制台中配置客户端属性的详细信息,请参阅客户端属性。有关覆盖服务端点列表的详细信息,请参阅 TUNNEL_EXCLUDE_DOMAINS。默认从通道中排除的默认域列表如下所示。

  • ssl.google-analytics.com
  • app.launchdarkly.com
  • mobile.launchdarkly.com
  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com
  • hockeyapp.net
  • rttf.citrix.com
  • rttf-test.citrix.com
  • rttf-staging.citrix.com
  • cis.citrix.com
  • cis-test.citrix.com
  • cis-staging.citrix.com
  • pushreg.xm.citrix.com
  • crashlytics.com
  • fabric.io

用于控制在本机浏览器中从 Secure Mail 打开 URL 的新策略:SecureWebDomains 策略控制要将哪些域发送到 Secure Web 浏览器(而非本机浏览器)。以逗号分隔的 URL 主机域列表与应用程序通常发送到外部处理程序的任何 URL 的主机名部分相匹配。管理员通常会将此策略配置为 Secure Web 要处理的内部域的列表。

此功能适用于 iOS 和 Android。在版本 10.6.25 中修复了 Android 设备上的策略的早期已知问题。

ExcludeUrlFilterForDomains 策略是从 URL 过滤中排除的 Web 站点域的列表,以逗号分隔。包括列表中的任何域的 URL 将发送到用户的本机浏览器,而非 Secure Web。如果此策略为空,则所有 URL 都将通过 URL 过滤器传递。此策略的优先级高于 SecureWebDomains 策略。默认策略值为空。

MDX 支持向 Citrix Insight Service (CIS) 发送崩溃报告:如果 Citrix 报告策略设置为,并且出现崩溃情况,MDX 将创建一个包含可用的任何日志和崩溃报告的报告捆绑包,并将其上载到 CIS。然后将删除支持捆绑包并将崩溃通知相关的移动生产力应用程序,以便其同时创建一个支持捆绑包。

MDX Toolkit 10.7.10

MDX Toolkit 10.7.10 是支持打包移动生产力应用程序的最后一个版本。用户从公共应用商店访问移动生产力应用程序 10.7.5 及更高版本。有关列出能够通过 MDX Toolkit 10.7.10 打包的移动生产力应用程序企业版本的表格,请参见移动生产力应用程序管理和交付中的“移动生产力应用程序的企业交付”部分。

MDX Toolkit 10.7.10 中包含多个修复。有关详细信息,请参阅 已修复的问题

MDX Toolkit 10.7.5

MDX Toolkit 10.7.5 中包含多个修复。有关详细信息,请参阅 已修复的问题