适用于 iOS 的第三方应用程序的 MDX 策略

本文介绍面向第三方 iOS 应用程序的 MDX 策略。添加应用程序时,可以直接在策略 XML 文件或 Citrix Endpoint Management 控制台中更改策略设置。

身份验证

设备通行码

如果设置为,则当设备在启动时或在处于不活动状态一段时间后恢复时,必须输入 PIN 码或通行码才能解锁此设备。要使用 Apple 文件加密功能加密应用程序数据,必须使用设备通行码。设备上所有应用程序的数据都将被加密。默认值为

应用程序通行码

如果设置为 On(启用),启用程序在处于不活动状态一段时间后启动或恢复时需要输入 PIN 或通行码才能解锁。默认值为

要配置所有应用程序的不活动计时器,请在设置选项卡上的客户端属性中设置 INACTIVITY_TIMER 值,单位为分钟。默认不活动计时器值为 60 分钟。要禁用不活动计时器以便 PIN 或通行码提示仅在应用程序启动时出现,请将值设置为 0。

注意:

如果为“加密密钥”策略选择安全脱机,则此策略将自动启用。

要求联机会话

最长脱机期限(小时)

定义应用程序可以运行而不需要从 Citrix Endpoint Management 重新确认应用程序授权并刷新策略的最长期限。过期后,可能会根据需要触发到服务器的登录。默认值为 168 小时(7 天)。最长期限为 1 小时。

备用 Citrix Gateway

注意:

此策略在 Endpoint Management 控制台中的名称为备用 NetScaler Gateway

应对此应用程序的身份验证和 Micro VPN 会话使用的特定备用 Citrix Gateway 的地址。这是一项可选策略,当与“要求联机会话”策略结合使用时,将强制应用程序对特定网关重新进行身份验证。此类网关通常具有不同的(具有更高保障)身份验证要求和流量管理策略。如果保留为空,则将始终使用服务器的默认网关。默认值为空。

设备安全

阻止越狱或获得 Root 权限

如果设置为 On(启用),则将在设备已越狱或已获得 root 权限后锁定应用程序。如果设置为 Off(禁用),则即使设备已越狱或已获得 root 权限,应用程序仍可运行。默认值为

网络要求

需要 Wi-Fi

如果设置为,则当设备未连接到 Wi-Fi 网络时,应用程序将被锁定。如果设置为,则当设备具有活动连接(例如 4G/3G、LAN 或 Wi-Fi 连接)时,应用程序可以运行。默认值为

允许使用的 Wi-Fi 网络

Wi-Fi 网络的逗号分隔列表。如果网络名称中包含任何非字母数字字符(包括逗号),则必须用双引号将名称括起来。应用程序将仅在连接到所列网络之一的情况下运行。如果为空,则允许所有网络。这不会影响与手机网络的连接。默认值为空。

其他访问

应用程序更新宽限期(小时)

定义系统检测到应用程序更新可用时可以继续使用应用程序的宽限期。默认值为 168 小时(7 天)

注意:

不建议使用值 0,因为该值会立即阻止使用正在运行的应用程序,直至下载并安装更新(但不会向用户发出任何警告)。这可能会导致出现用户被强制退出应用程序的情况(可能会丢失工作),以遵从所需的更新。

锁定时擦除应用程序数据

锁定应用程序后,擦除数据并重置应用程序。如果设置为 Off(禁用),锁定应用程序时将不擦除应用程序数据。默认值为

应用程序可能由于以下任何原因而锁定:

  • 用户丢失应用程序授权
  • 应用程序订阅被删除
  • 帐户已删除
  • Secure Hub 已卸载
  • 应用程序身份验证失败的次数过多
  • 检测到已越狱的设备(根据策略设置)
  • 设备被其他管理操作置于锁定状态

活动轮询期限(分钟)

应用程序启动时,MDX 框架将轮询 Citrix Endpoint Management 以确定当前应用程序和设备状态。如果能够访问运行 Endpoint Management 的服务器,该框架将返回与设备的锁定/擦除状态和应用程序的启用/禁用状态有关的信息。无论是否能够访问该服务器,都会根据活动轮询期限时间间隔安排后续的轮询。超过此期限后,将重新尝试执行新轮询。默认值为 60 分钟(1 小时)。

重要:

只有在应用程序面临高风险时才将此值设置为低于默认值,否则性能可能会受到影响。

加密

加密类型

允许您选择是由 MDX 还是由设备平台处理数据加密。如果选择 MDX 加密,MDX 会加密数据。如果选择强制合规的平台加密,设备平台将对数据进行加密。对于现有应用程序,默认值设置为 MDX 加密,直至将其更改为强制合规的平台加密。而对于新发布的应用程序,默认值为强制合规的平台加密

小心:

对于新添加的应用程序,当您从强制合规的平台加密更改为 MDX 加密时,您将被迫删除并重新安装该应用程序。

不合规设备行为

允许您在设备不符合加密的最低合规性要求时选择一项操作。选择允许应用程序允许应用程序正常运行。选择允许应用程序在显示警告后运行以便应用程序在显示警告后运行。选择阻止以阻止应用程序运行。默认值为允许应用程序在显示警告后运行

启用 MDX 加密

如果设置为 Off(禁用),则不加密设备上存储的数据。如果设置为 On(启用),则将加密设备上存储的数据。默认值为

小心:

如果您在部署某个应用程序后更改了此策略,用户必须重新安装该应用程序。

数据库加密排除项

不自动加密的数据库的排除列表。要阻止对特定数据库执行数据库加密,请将一个条目添加到正则表达式的逗号分隔列表中。如果数据库路径名称与任何正则表达式匹配,则会将该数据库从加密中排除。排除模式支持 Posix 1003.2 扩展正则表达式语法。模式匹配不区分大小写。

示例

\.db$,\.sqlite$ 将以 .db 或 .sqlite 结尾的所有数据库路径名称排除在外。

\/Database\/unencrypteddb\.db 将与 Database 子文件夹中的数据库 unencrypteddb.db 相匹配。

\/Database\/ 将与其路径中包含 /Database/ 的所有数据库相匹配。

默认值为空。

文件加密排除项

不自动加密的文件的排除列表。要阻止加密一组特定的文件,请将一个条目添加到正则表达式的逗号分隔列表中。如果文件路径名称与任何正则表达式匹配,则会将该文件从加密中排除。排除模式支持 Posix 1003.2 扩展正则表达式语法。模式匹配不区分大小写。

示例

\.log$,\.dat$ 将以 .log 或 .dat 结尾的所有文件路径名称排除在外。

\/Documents\/unencrypteddoc\.txt 与 Documents 子文件夹中的文件 unencrypteddoc.txt 的内容相匹配。

\/Documents\/UnencryptedDocs\/.*\.txt 与子路径 /Documents/UnencryptedDocs/ 下的 .txt 文件相匹配。

默认值为空。

安全组

如果您希望 Endpoint Management 托管的所有移动应用程序相互交换信息,请将此字段留空。定义安全组名称,以管理特定应用程序集(例如财务或人力资源)的安全设置。

小心:

要对现有应用程序应用此策略,用户必须删除并重新安装该应用程序。

应用程序交互

剪切和复制

阻止、允许或限制此应用程序的剪贴板剪切和复制操作。如果选择限制,复制的剪贴板数据将放置在仅对 MDX 应用程序可用的专用剪贴板中。默认值为限制

粘贴

阻止、允许或限制此应用程序的剪贴板粘贴操作。如果选择限制,粘贴的剪贴板数据来源于仅对 MDX 应用程序可用的专用剪贴板。默认为不限制

文档交换(打开方式)

阻止、允许或限制此应用程序的文档交换操作。如果选择限制,则只能与其他 MDX 应用程序交换文档。

如果设置为不限制,则“启用加密”策略设置为,以便用户可以打开解包的应用程序中的文档。如果收到的应用程序未打包或者禁用了加密,Citrix Endpoint Management 将解密文档。 默认值为限制

受限制的打开方式例外列表

将“文档交换(打开方式)”策略设置为限制时,MDX 应用程序可以与逗号分隔的非托管应用程序 ID 列表共享文档,即使将“文档交换(打开方式)”策略设置为限制,并将“启用加密”策略设置为也是如此。默认排除列表允许 Office 365 应用程序:

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

此策略仅支持 Office 365 应用程序。

警告:

请务必考虑此策略对安全性的潜在影响。例外列表允许内容在非托管应用程序与 MDX 环境之间传播。

入站文档交换(打开方式)

阻止、限制或允许此应用程序的入站文档交换操作。如果选择限制,则只能与其他 MDX 应用程序交换文档。默认为不限制

如果设置为阻止限制,则您可以使用“入站文档交换白名单”策略指定可向此应用程序发送文档的应用程序。

选项:不限制阻止限制

应用程序 URL 方案

iOS 应用程序可以将 URL 请求发送给已注册的其他应用程序,以处理特定方案(例如 http://)。此工具提供某个应用程序将帮助请求传递到另一个应用程序的机制。此策略用于过滤从此应用程序传递到其他应用程序以便进行处理的 URL (即出站 URL)。默认值为空,意味着阻止所有已注册的应用程序 URL 方案。

此策略的格式应为逗号分隔的模式列表,其中每个模式的前面可能都带有加号 (+) 或减号 (-)。将入站 URL 按照列出的顺序与这些模式进行比较,直到找到匹配项。匹配后,采取的操作将由前缀规定。

  • 前缀减号 (-) 阻止将 URL 传递到此应用程序中。
  • 前缀加号 (+) 允许将 URL 传递到此应用程序中以进行处理。
  • 如果随模式提供 + 或 -,则会假定提供 +(允许)。
  • 将阻止与列表中的任何模式都不匹配的入站 URL。

下表包含应用程序 URL 方案示例:

方案 需要 URL 方案的应用程序 用途
ctxmobilebrowser Secure Web- 允许 Secure Web 处理来自其他应用程序的 HTTP: URL。-
ctxmobilebrowsers Secure Web- 允许 Secure Web 处理来自其他应用程序的 HTTPS: URL。
ctxmail Secure Mail- 允许 Secure Mail 处理来自其他应用程序的 mailto: URL。
COL-G2M GoToMeeting- 允许打包 GoToMeeting 应用程序处理会议请求。
ctxsalesforce Citrix for Salesforce- 允许 Citrix for Salesforce 处理 Salesforce 请求。
wbx WebEx 允许打包 WebEx 应用程序处理会议请求。

应用程序交互(出站 URL)

从 URL 过滤中排除的域

此策略将排除任何“允许的 URL”过滤中的出站 URL。添加要从“允许的 URL”过滤中排除的完全限定域名 (FQDN) 或 DNS 后缀的列表,以逗号分隔。如果此策略为空(默认值),定义的“允许的 URL”过滤过程为 URL。如果此策略中包含任何条目,则主机字段至少匹配列表中的一个项目(通过 DNS 后缀匹配)的 URL 将被原样发送至 iOS,从而绕过“允许的 URL”过滤逻辑。默认值为空。

允许的 URL

iOS 应用程序可以将 URL 请求发送给已注册的其他应用程序,以处理特定方案(例如 "http://")。此工具提供某个应用程序将帮助请求传递到另一个应用程序的机制。此策略用于过滤从此应用程序传递到其他应用程序以便进行处理的 URL(即出站 URL)。

此策略的格式应为逗号分隔的模式列表,其中每个模式的前面可能都带有加号 (+) 或减号 (-)。将出站 URL 按照列出的顺序与这些模式进行比较,直到找到匹配项。匹配后,采取的操作将由前缀规定。前缀减号“-”阻止将该 URL 传出到其他应用程序。前缀加号“+”允许将该 URL 传出到其他应用程序以便进行处理。如果随模式提供 + 或 -,则会假定提供 +(允许)。一对由 = 分隔的值指示替换,即将出现的第一个字符串替换为第二个字符串。您可以使用正则表达式 ^ 前缀来搜索字符串以将其固定在 URL 的开头。如果出站 URL 与列表中的所有模式都不匹配,则将被阻止。

默认值

+maps.apple.com

+itunes.apple.com

^http:=ctxmobilebrowser:

^https:=ctxmobilebrowsers:

^mailto:=ctxmail:

+^citrixreceiver:

+^telprompt:

+^tel:

+^lmi-g2m:

+^maps:ios_addr

+^mapitem:

+^sms:

+^facetime:

+^ctxnotes:

+^ctxnotesex:

+^ctxtasks:

+^facetime-audio:

+^itms-apps:

+^ctx-sf:

+^sharefile:

+^lync:

+^slack:

如果此设置为空,则将阻止所有 URL,但以下各项除外:

  • http:
  • https:
  • +citrixreceiver: +tel:

下表包含允许的 URL 示例:

URL 格式 说明
^mailto:=ctxmail: 所有 mailto: URL 在 Secure Mail 中打开。
^http: 所有 HTTP URL 在 Secure Web 中打开。
^https: 所有 HTTPS URL 在 Secure Web 中打开。
^tel: 允许用户拨打电话。
-//www.dropbox.com 阻止从托管应用程序发送的 Dropbox URL。
+^COL-G2M: 允许托管应用程序打开 GoToMeeting 客户端应用程序。
-^SMS: 阻止使用消息聊天客户端。
-^wbx: 阻止托管应用程序打开 WebEx 客户端应用程序。
+^ctxsalesforce: 允许 Citrix for Salesforce 与 Salesforce 服务器通信。

允许的 Secure Web 域

此策略仅影响会将 URL 重定向到 Secure Web 应用程序的“允许的 URL”策略条目(^ http:=ctxmobilebrowser: 和 ^https:=ctxmobilebrowsers:)。添加允许重定向到 Secure Web 应用程序的完全限定域名 (FQDN) 或 DNS 后缀的列表,以逗号分隔。如果此策略为空(默认值),所有域都可以重定向到 Secure Web 应用程序。如果此策略包含任何条目,则仅将主机字段至少匹配列表中的一个项目(通过 DNS 后缀匹配)的 URL 重定向到 Secure Web 应用程序。所有其他 URL 都将按原样发送到 iOS,从而绕过 Secure Web 应用程序。 默认值为空。

应用程序限制

重要:

请务必考虑用于阻止应用程序访问或使用电话功能的策略对安全性的潜在影响。当那些策略设置为时,内容可以在非托管应用程序与安全的环境之间传播。

阻止相机

如果设置为,则将阻止应用程序直接使用摄像头硬件。默认值为

阻止照片库

如果设置为,则将阻止应用程序访问设备上的照片库。默认值为

阻止麦克风录音

如果设置为,则将阻止应用程序直接使用麦克风软件。默认值为

阻止听写

如果设置为,则将阻止应用程序直接使用听写服务。默认值为

阻止定位服务

如果设置为,则将阻止应用程序使用定位服务组件(GPS 或网络)。对于 Secure Mail,默认值为

阻止 SMS 撰写

如果设置为,则将阻止应用程序使用用于从该应用程序发送 SMS/文本消息的 SMS 撰写功能。 默认值为

阻止电子邮件撰写

如果设置为,则阻止应用程序使用用于从该应用程序发送电子邮件消息的电子邮件撰写功能。 默认值为

阻止 iCloud

如果设置为,则将阻止应用程序使用 iCloud 存储和共享设置及数据。

注意:

iCloud 数据文件由“阻止文件备份”策略控制。

默认值为

阻止查找

如果设置为,则阻止应用程序使用查找功能,该功能将搜索字典、iTunes、App Store、电影放映时间、附件的位置等对象中高亮显示的文本。默认值为

阻止文件备份

如果设置为,则将阻止 iCloud 或 iTunes 备份数据文件。默认值为

阻止 AirPrint

如果设置为,则阻止应用程序使用 AirPrint 功能将数据打印到启用了 AirPrint 的打印机。默认值为

阻止 AirDrop

如果设置为,则将阻止应用程序直接使用 AirDrop。默认值为

阻止 Facebook 和 Twitter API

如果设置为,则阻止应用程序使用 iOS Facebook 和 Twitter API。默认值为

遮蔽屏幕内容

如果设置为,则当用户切换应用程序时,将隐藏屏幕。此策略阻止 iOS 录制屏幕内容和显示缩略图。默认值为

阻止第三方键盘(仅限 iOS 11 及更高版本)

如果设置为,则将阻止应用程序在 iOS 8 及更高版本上使用第三方键盘扩展。默认值为

阻止应用程序日志

如果设置为,则会阻止应用程序使用移动生产力应用程序诊断日志记录设备。如果设置为,则将记录应用程序日志,并且可使用 Secure Hub 电子邮件支持功能收集应用程序日志。默认值为

应用程序网络访问

网络访问

注意:

通道 - Web SSO 是设置中安全浏览的名称。该行为是相同的。

设置选项如下所示:

  • 使用以前的设置:默认值为您已在更早版本的策略中设置的值。如果更改了此选项,则您不应还原为使用以前的设置。另请注意,在用户将应用程序升级到版本 18.12.0 或更高版本之前,对新策略所做的更改将不起作用。
  • 阻止:阻止所有网络访问。由您的应用程序使用的网络 API 将失败。根据以前的原则,应正确处理此类故障。
  • 不限制:所有网络调用都将直接传输,而不通过通道传输。
  • 通道 - 完整 VPN:来自托管应用程序的所有流量均通过 Citrix Gateway 进行通道传输。
  • 通道 - Web SSO:重写 HTTP/HTTPS URL。此选项仅允许通过通道传输 HTTP 和 HTTPS 流量。通道 - Web SSO 的一个重要优点是可针对 HTTP 和 HTTPS 流量进行单点登录 (SSO),以及执行 PKINIT 身份验证。在 Android 中,此选项的设置开销低,因此是适用于 Web 浏览操作类型的优先选项。
  • 通道 - 完整 VPN 和 Web SSO:根据需要允许在 VPN 模式之间自动切换。如果网络请求由于不能在特定的 VPN 模式下处理身份验证请求而失败,则会在备选模式下重试。

如果选择其中一个通道模式,则在此初始模式下创建返回到企业网络的 PerApp VPN 通道,并使用 Citrix Gateway 拆分通道设置。Citrix 建议对通过客户端证书或端到端 SSL 与企业网络中的资源建立的连接使用通道完整 VPN。Citrix 建议对需要单点登录 (SSO) 的连接使用通道 - Web SSO

要求 Micro VPN 会话

如果设置为,用户必须连接到企业网络并且具有活动会话。如果设置为,则不需要活动会话。默认值是使用以前的设置。对于新上载的应用程序,默认值为。在升级到此新策略之前,无论选择哪个设置仍有效,直到选择除使用以前的设置之外的选项为止。

要求 Micro VPN 会话宽限期(分钟)

此值确定“要求联机会话”策略阻止用户进一步脱机使用应用程序(直到验证联机会话)之前,用户可以脱机使用应用程序的分钟数。默认值为 0(无宽限期)。此策略不适用于与 Microsoft Intune/EMS 的集成。

证书标签

与 StoreFront 证书集成服务结合使用时,此标签将标识此应用程序所需的特定证书。如果未提供任何标签,证书将不可与公钥基础结构 (PKI) 结合使用。默认值为空(不使用证书)。

排除列表

要直接访问而非通过 VPN 连接的 FQDN 或 DNS 的逗号分隔列表。当在拆分通道反向模式下配置了 Citrix Gateway 时,此策略仅适用于通道 - Web SSO 模式。

应用程序日志

默认日志输出

确定移动生产力应用程序诊断日志记录工具默认使用的输出媒介。可能的媒介为文件、控制台或两者。默认值为文件

默认日志级别

控制移动生产力应用程序诊断日志记录工具的默认详细程度。每个级别包括较小级别的值。可能的级别范围包括:

  • 0 - 不记录任何内容
  • 1 - 严重错误
  • 2 - 错误
  • 3 - 警告
  • 4 - 信息消息
  • 5 - 详细信息消息
  • 6 到 15 - 调试值 1 到 10

默认值为级别 4(信息消息)。

日志文件数上限

限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件数。最小值为 2。最大值为 8。默认值为 2。

日志文件大小上限

限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件的大小 (MB)。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。

重定向系统日志

如果设置为,则会截获系统或控制台日志并将其从应用程序重定向到移动生产力应用程序诊断工具。如果设置为,则不会截获系统的应用程序使用情况或控制台日志。

默认值为

应用程序地理围栏

中心点经度

限制在其中运行应用程序的点/半径地理围栏的中心点的经度(X 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。

应以带符号的度数格式 (DDD.dddd) 进行表示,例如 -31.9635。西部经度的前面应带减号。默认值为 0

中心点纬度

限制在其中运行应用程序的点/半径地理围栏的中心点的纬度(Y 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。

应以带符号的度数格式 (DDD.dddd) 进行表示,例如 43.06581。南部纬度的前面应带减号。默认值为 0

半径

允许在其中运行应用程序的地理围栏的半径。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。

应以米为单位进行表示。如果设置为零,地理围栏将处于禁用状态。启用“阻止定位服务”策略后,地理围栏功能无法正常运行。默认值为 0(禁用)。

分析

Google Analytics 的详细信息级别

Citrix 收集分析数据以提高产品质量。选择匿名将不包括公司的可识别信息。默认值为完整。

报告

Citrix 报告

如果设置为,Citrix 将收集崩溃报告和诊断信息以帮助对相关问题进行故障排除。如果设置为,Citrix 将不收集数据。

注意:

Citrix 可能还会使用功能标志控制此功能。必须同时启用功能标志和此策略,才能使此功能正常工作。

默认值为

上载令牌

您可以从您的 Citrix Insight Services (CIS) 帐户获取上载令牌。如果指定此可选令牌,CIS 可以访问从您的设备上载的崩溃报告和诊断信息。Citrix 有权访问相同的信息。默认值为空。

仅通过 Wi-Fi 发送报告

如果设置为,Citrix 将仅在您连接到 Wi-Fi 网络时发送崩溃报告和诊断数据。默认值为

报告文件缓存最大值

限制清除缓存之前保留的崩溃报告和诊断包的大小。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。