适用于 Android 的第三方应用程序的 MDX 策略

本文介绍面向 Android 第三方应用程序的 MDX 策略。可以在 Citrix Endpoint Management 控制台中更改策略设置。

身份验证

应用程序通行码

如果设置为 On(启用),启用程序在处于不活动状态一段时间后启动或恢复时需要输入 PIN 或通行码才能解锁。默认值为

要配置所有应用程序的不活动计时器,请在设置选项卡上的“客户端属性”中设置 INACTIVITY_TIMER 值,单位为分钟。默认不活动计时器值为 60 分钟。要禁用不活动计时器以便 PIN 或通行码提示仅在应用程序启动时出现,请将值设置为 0。

注意:

如果为“加密密钥”策略选择“安全脱机”,则此策略将自动启用。

最长脱机期限(小时)

定义应用程序在不执行网络登录(目的是重新确认授权和刷新策略)的情况下可以脱机运行的最长期限。默认值为 168 小时(7 天)。最长期限为 1 小时。

系统将在该期限过期前 30 分钟、15 分钟和 5 分钟时分别提醒用户登录;过期后,应用程序将保持锁定状态,直至用户成功完成网络登录。

备用 Citrix Gateway

注意:

此策略在 Endpoint Management 控制台中的名称为备用 NetScaler Gateway

对此应用程序的身份验证和 Micro VPN 会话使用的特定备用 Citrix Gateway(以前称为 NetScaler Gateway)的地址。这是一项可选策略,当与“要求联机会话”策略结合使用时,将强制应用程序对特定网关重新进行身份验证。此类网关通常具有不同的(具有更高保障)身份验证要求和流量管理策略。如果保留为空,则将始终使用服务器的默认设置。默认值为空。

设备安全

阻止越狱或获得 Root 权限

如果设置为 On(启用),则将在设备已越狱或已获得 root 权限后锁定应用程序。如果设置为 Off(禁用),则即使设备已越狱或已获得 root 权限,应用程序仍可运行。默认值为

需要设备锁定

如果设置为 Device PIN or passcode(设备 PIN 或通行码),则当设备没有 PIN 或通行码时,应用程序会锁定。如果设置为 Device pattern screen lock(设备图案锁),则在设备未设置图案锁时,应用程序会锁定。如果设置为 Off(禁用),则即使设备未设置 PIN、通行码或图案锁,也允许应用程序运行。默认值为

设备 PIN 码或通行码要求至少使用 Android 4.1 版本 (Jellybean)。将此策略设置为设备 PIN 码或通行码将阻止应用程序在较旧的版本上运行。

在 Android M 设备上,设备 PIN 码或通行码以及设备图案屏幕锁选项的作用相同:启用其中任一选项后,如果设备未设置 PIN 码、通行码或图案屏幕锁,应用程序将被锁定。

网络要求

需要 Wi-Fi

如果设置为,则当设备未连接到 Wi-Fi 网络时,应用程序将被锁定。如果设置为,则当设备具有活动连接(例如 4G/3G、LAN 或 Wi-Fi 连接)时,应用程序可以运行。默认值为

允许使用的 Wi-Fi 网络

允许连接的 Wi-Fi 网络的逗号分隔列表。如果网络名称中包含任何非字母数字字符(包括逗号),则必须用双引号将名称括起来。应用程序将仅在连接到所列网络之一的情况下运行。如果留空,则允许所有网络。这不会影响与手机网络的连接。默认值为空。

其他访问

应用程序更新宽限期(小时)

定义在系统检测到可用应用程序更新时,可继续使用应用程序的宽限期。默认值为 168 小时(7 天)。

注意:

不建议使用值 0,因为该值会立即阻止使用正在运行的应用程序,直至下载并安装更新(但不会向用户发出任何警告)。这可能会导致出现运行该应用程序的用户被强制退出应用程序的情况(可能会丢失工作),以遵从所需的更新。

锁定时擦除应用程序数据

锁定应用程序后,擦除数据并重置应用程序。如果设置为 Off(禁用),锁定应用程序时将不擦除应用程序数据。默认值为

应用程序可能由于以下任何原因而锁定:

  • 用户丢失应用程序授权
  • 应用程序订阅被删除
  • 帐户已删除
  • Secure Hub 已卸载
  • 应用程序身份验证失败的次数过多
  • 检测到已越狱的设备(根据策略设置)
  • 设备被其他管理操作置于锁定状态

活动轮询期限(分钟)

应用程序启动时,MDX 框架将轮询 Citrix Endpoint Management 以确定当前应用程序和设备状态。如果能够访问运行 Endpoint Management 的服务器,该框架将返回与设备的锁定/擦除状态和应用程序的启用/禁用状态有关的信息。无论是否能够访问该服务器,都会根据活动轮询期限时间间隔安排后续的轮询。超过此期限后,将重新尝试执行新轮询。默认值为 60 分钟(1 小时)。

重要:

只有在应用程序面临高风险时才将此值设置为低于默认值,否则性能可能会受到影响。

加密

加密类型

允许您选择是由 MDX 还是由设备平台处理数据加密。如果选择 MDX 加密,MDX 会加密数据。如果选择强制合规的平台加密,设备平台将对数据进行加密。默认值为 MDX 加密

不合规设备行为

允许您在设备不符合加密的最低合规性要求时选择一项操作。选择允许应用程序允许应用程序正常运行。选择允许应用程序在显示警告后运行以便应用程序在显示警告后运行。选择阻止以阻止应用程序运行。默认值为允许应用程序在显示警告后运行

加密密钥

允许用于派生加密密钥的密钥永久保留在设备上。允许脱机访问是唯一可用的选项。

Citrix 建议您将身份验证策略设置为启用网络登录或脱机密码质询,以保护对加密内容的访问。

MDX 专用文件加密

控制位于以下位置的私密数据文件的加密:files in the following locations: /data/data/ 和 /mnt/sdcard/Android/data/。应用程序名称>应用程序名称>

已禁用选项表示专用文件未加密。安全组选项使用由同一安全组中的所有 MDX 应用程序共享的密钥对专用文件进行加密。应用程序选项使用特定于此应用程序的密钥对私密文件进行加密。 默认值为安全组

私密文件加密排除项

包含以逗号分隔的文件路径列表。每个路径都是一个正则表达式,代表一个或多个加密的文件。文件路径相对于内部和外部沙盒。默认值为空。

排除项仅适用于以下文件夹:

  • 内部存储:

    /data/data/< your_package_name >

  • SD 卡:

    /storage/emulated/<SD Card Slot>/Android/data/< your_package_name >

    /storage/emulated/legacy/Android/data/< your_package_name >

示例

要排除的文件 私密文件加密排除项中的值
/data/data/com.citrix.mail/files/a.txt ^files/a.txt
/storage/emulated/0/Android/data/com.citrix.mail/files 中的所有文本文件 ^files/(.)+.txt$
/data/data/com.citrix.mail/files 中的所有文件 ^files/

MDX 公用文件加密

控制公共文件的加密。如果设置为 Disabled(已禁用),则不加密公用文件。如果设置为 SecurityGroup(安全组),则使用由同一安全组中的所有 MDX 应用程序共享的密钥对公用文件进行加密。如果设置为 Application(应用程序),使用此应用程序独有的密钥对公共文件进行加密。

默认值为安全组

公用文件加密排除项

包含以逗号分隔的文件路径列表。每个路径都是一个正则表达式,代表一个或多个不加密的文件。文件路径相对于默认外部存储和任何设备特定的外部存储。

公用文件加密排除项只包括外部文件夹位置。

示例

要排除的文件 公用文件加密排除项中的值
SD 卡上的 Downloads 文件夹 下载
“音乐”文件夹中的所有 MP3 文件 ^Music/(.)+.mp3$

公用文件迁移

仅当启用了“Public file encryption”(公共文件加密)策略时才会强制执行此策略,即从 Disabled(已禁用)更改为 SecurityGroup(安全组)或 Application(应用程序)。此策略仅适用于未加密的现有公用文件,并指定了对这些文件进行加密的时间。默认值为 Write (RO/RW)(写入(RO/RW))。

禁用选项表示现有文件未加密。写入(WO/RW) 选项仅在为只写或读/写访问权限打开现有文件时对其进行加密。任何选项将在任何模式下打开现有文件时均对其进行加密。选项:

  • 已禁用。不对现有文件进行加密。
  • 写入(只写/读写)。仅在为只读或读/写访问权限打开现有文件时对其进行加密。
  • 任意。在任何模式下打开现有文件时均对其进行加密。

注意:

  • 在每种情况下,新文件或被覆盖的现有未加密文件将加密替换文件。
  • 加密现有的公用文件将使其他不具有相同加密密钥的应用程序无法使用该文件。

安全组

如果您希望 Citrix Endpoint Management 托管的所有移动应用程序相互交换信息,请将此字段留空。定义安全组名称,以管理特定应用程序集(例如财务或人力资源)的安全设置。

警告:

如果您为现有应用程序更改了此策略,则用户必须删除并重新安装该应用程序才能应用策略更改。

允许的 Secure Web 域

此策略仅对 URL 过滤策略未排除的域有效。添加在“文档交换”设置为“限制”时重定向到 Secure Web 应用程序的完全限定域名(FQDN)或 DNS 后缀的列表,以逗号分隔。

如果此策略包含任何条目,则仅在“文档交换”策略设置为“限制”时将主机字段至少匹配列表中的一个项目(通过 DNS 后缀匹配)的 URL 重定向到 Secure Web 应用程序。

所有其他 URL 都将发送到默认的 Android Web 浏览器(绕过“文档交换限制”策略)。默认值为空。

应用程序交互

剪切和复制

阻止、允许或限制此应用程序的剪贴板剪切和复制操作。如果选择限制,复制的剪贴板数据将放置在仅对 MDX 应用程序可用的专用剪贴板中。默认值为限制

粘贴

阻止、允许或限制此应用程序的剪贴板粘贴操作。如果选择限制,粘贴的剪贴板数据来源于仅对 MDX 应用程序可用的专用剪贴板。默认为不限制

文档交换(打开方式)

阻止、允许或限制此应用程序的文档交换操作。如果设置为限制,则只能与其他 MDX 应用程序交换文档,以及与“受限制的打开方式例外列表”策略中指定的应用程序异常进行交换。如果设置为不限制,则必须将“私密文件加密”和“公用文件加密”策略设置为禁用,以便用户可以在未打包的应用程序中打开文档。默认值为限制

受限制的打开方式例外列表

“文档交换(打开方式)”策略设置为限制时,允许将此 Android 意向列表传递到非托管应用程序。需要熟悉 Android 意向才能向列表中添加过滤器。过滤器可以指定操作、软件包、方案或任意组合。

示例

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}

警告:

请务必考虑此策略对安全性的潜在影响。例外列表允许内容在非托管应用程序与 MDX 环境之间传播。

入站文档交换(打开方式)

阻止、限制或允许此应用程序的入站文档交换操作。如果选择限制,则只能与其他 MDX 应用程序交换文档。默认为不限制

如果设置为阻止限制,则您可以使用“入站文档交换白名单”策略指定可向此应用程序发送文档的应用程序。有关其他策略交互的信息,请参阅“阻止库”策略。

选项:不限制阻止限制

应用程序限制

重要:

请务必考虑用于阻止应用程序访问或使用电话功能的策略对安全性的潜在影响。当那些策略设置为时,内容可以在非托管应用程序与安全的环境之间传播。

阻止相机

如果设置为,则将阻止应用程序直接使用摄像头硬件。默认值为

阻止库

如果设置为,则阻止应用程序访问设备上的库。默认值为。此策略与“入站文档交换(打开方式)”策略一起工作。

  • 如果“入站文档交换(打开方式)”策略设置为限制,在托管应用程序中工作的用户将无法从库中附加图像,而无论“阻止库”策略设置为何。
  • 如果“入站文档交换(打开方式)”策略设置为不限制,在托管应用程序中工作的用户会遇到以下情况:
    • 如果“阻止库”设置为,则用户可以附加图像。
    • 如果“阻止库”设置为,则将阻止用户附加图像。

阻止麦克风录音

如果设置为,则将阻止应用程序直接使用麦克风软件。默认值为

阻止定位服务

如果设置为,则将阻止应用程序使用定位服务组件(GPS 或网络)。对于 Secure Mail,默认值为

阻止 SMS 撰写

如果设置为,则将阻止应用程序使用用于从该应用程序发送 SMS/文本消息的 SMS 撰写功能。 默认值为

阻止屏幕捕获

如果设置为,则将阻止用户在应用程序运行期间生成屏幕截图。此外,当用户切换应用程序时,会遮蔽应用程序屏幕。默认值为

使用 Android 近场通信 (Near Field Communication, NFC) 功能时,某些应用程序在执行无线收发内容之前将创建自身的屏幕快照。要在打包应用程序中启用该功能,请将“阻止屏幕捕获”策略更改为

阻止设备传感器

如果设置为,则将阻止应用程序使用设备传感器(例如加速计、运动传感器和陀螺仪)。默认值为

阻止 NFC

如果设置为,则将阻止应用程序使用近场通信 (Near Field Communication, NFC)。默认值为

阻止应用程序日志

如果设置为,则会阻止应用程序使用移动生产力应用程序诊断日志记录设备。如果设置为,则将记录应用程序日志,并且可使用 Secure Hub 电子邮件支持功能收集应用程序日志。默认值为

阻止打印

如果设置为,则将阻止应用程序打印数据。如果应用程序具有共享命令,则必须将“文档交换(打开方式)”设置为限制阻止以完全阻止打印。默认值为

应用程序网络访问

网络访问

注意:

通道 - Web SSO 是设置中安全浏览的名称。该行为是相同的。

设置选项如下所示:

  • 使用以前的设置:默认值为您已在更早版本的策略中设置的值。如果更改了此选项,则不应还原到此选项。另请注意,在用户将应用程序升级到版本 18.12.0 或更高版本之前,对新策略所做的更改将不起作用。
  • 阻止:由您的应用程序使用的网络 API 将失败。根据以前的原则,应正确处理此类故障。
  • 不限制:所有网络调用都将直接传输,而不通过通道传输。
  • 通道 - 完整 VPN:来自托管应用程序的所有流量均通过 Citrix Gateway 进行通道传输。
  • 通道 - Web SSO:重写 HTTP/HTTPS URL。此选项仅允许通过通道传输 HTTP 和 HTTPS 流量。通道 - Web SSO 的一个重要优点是可针对 HTTP 和 HTTPS 流量进行单点登录 (SSO),以及执行 PKINIT 身份验证。在 Android 中,此选项的设置开销低,因此是适用于 Web 浏览操作类型的优先选项。

如果选择其中一个通道模式,则在此初始模式下创建返回到企业网络的 PerApp VPN 通道,并使用 Citrix Gateway 拆分通道设置。Citrix 建议对通过客户端证书或端到端 SSL 与企业网络中的资源建立的连接使用通道完整 VPN。Citrix 建议对需要单点登录 (SSO) 的连接使用通道 - Web SSO

要求 Micro VPN 会话

如果设置为,用户必须连接到企业网络并且具有活动会话。如果设置为,则不需要活动会话。默认值是使用以前的设置。对于新上载的应用程序,默认值为。在升级到此策略之前,无论选择哪个设置仍有效,直到选择除使用以前的设置之外的选项为止。

要求 Micro VPN 会话宽限期(分钟)

定义系统检测到应用程序更新可用时可以继续使用应用程序的宽限期。默认值为 168 小时(7 天)。

注意:

不建议使用值 0,因为该值会立即阻止使用正在运行的应用程序,直至下载并安装更新(但不会向用户发出任何警告)。这可能会导致出现运行该应用程序的用户被强制退出应用程序的情况(可能会丢失工作),以遵从所需的更新。

证书标签

与 StoreFront 证书集成服务结合使用时,此标签将标识此应用程序所需的特定证书。如果未提供任何标签,证书将不可与公钥基础结构 (PKI) 结合使用。默认值为空(不使用证书)。

排除列表

要直接访问而非通过 VPN 连接的 FQDN 或 DNS 的逗号分隔列表。当在拆分通道反向模式下配置了 Citrix Gateway 时,此策略仅适用于通道 - Web SSO 模式。

阻止建立 localhost 连接

如果设置为,则不允许应用程序建立 localhost 连接。Localhost 是一个地址(例如 127.0.0.1 或 ::1),用于在设备上进行的通信。localhost 将跳过本地网络接口硬件并访问该主机上运行的网络服务。如果设置为,此策略将覆盖网络访问策略,这意味着如果设备在本地运行代理服务器,应用程序可以在安全容器外部进行连接。默认值为

应用程序日志

默认日志输出

确定 Citrix Endpoint Management 应用程序诊断日志记录工具默认使用的输出媒介。可能的媒介为文件、控制台或两者。默认值为“文件”。

默认日志级别

控制移动生产力应用程序诊断日志记录工具的默认详细程度。较高级别的数字包括较详细的日志记录。

  • 0 - 不记录任何内容
  • 1 - 严重错误
  • 2 - 错误
  • 3 - 警告
  • 4 - 信息消息
  • 5 - 详细信息消息
  • 6 到 15 - 调试值 1 到 10

默认值为级别 4(信息消息)。

日志文件数上限

限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件数。最小值为 2。最大值为 8。默认值为 2

日志文件大小上限

限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件的大小 (MB)。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。

应用程序地理围栏

中心点经度

限制在其中运行应用程序的点/半径地理围栏的中心点的经度(X 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。应以带符号的度数格式 (DDD.dddd) 进行表示,例如 -31.9635。西部经度的前面应带减号。默认值为 0

中心点纬度

限制在其中运行应用程序的点/半径地理围栏的中心点的纬度(Y 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。

应以带符号的度数格式 (DDD.dddd) 进行表示,例如 43.06581。南部纬度的前面应带减号。默认值为 0

半径

允许在其中运行应用程序的地理围栏的半径。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。 应以米为单位进行表示。如果设置为零,地理围栏将处于禁用状态。默认值为 0(禁用)。

分析

Google Analytics 的详细信息

Citrix 收集分析数据以提高产品质量。选择“匿名”将不包括公司的可识别信息。