适用于 Android 移动生产力应用的 MDX 策略
本文介绍了适用于 Android 应用的 MDX 策略。您可以在 Citrix Endpoint Management 控制台中更改策略设置。有关详细信息,请参阅添加应用。
以下列表不包括 Secure Web 特有的 MDX 策略。有关 Secure Web 中显示的策略的详细信息,请参阅 Secure Web 策略。
身份验证
应用密码
如果设置为“开”,则当应用启动或在一段时间不活动后恢复时,需要 PIN 或密码才能解锁应用。默认值为“开”。
要为所有应用配置不活动计时器,请在“设置”选项卡上的“客户端属性”中以分钟为单位设置 INACTIVITY_TIMER 值。默认不活动计时器值为 60 分钟。要禁用不活动计时器,以便仅在应用启动时显示 PIN 或密码提示,请将该值设置为零。
注意:
如果为“加密密钥”策略选择“安全脱机”,则此策略将自动启用。
最长脱机时间(小时)
定义应用在没有网络登录的情况下脱机运行的最长时间,以便重新确认授权和刷新策略。默认值为 168 小时(7 天)。最短时间为 1 小时。
在期限到期前 30、15 和 5 分钟,系统会提醒用户登录。到期后,应用将保持锁定状态,直到用户成功完成网络登录。
备用 Citrix Gateway
注意:
Endpoint Management 控制台中的此策略名称为“备用 NetScaler® Gateway”。
特定备用 Citrix Gateway(以前称为 NetScaler Gateway)的地址,用于此应用的身份验证和微 VPN 会话。“备用 NetScaler Gateway”是一个可选策略,与“需要联机会话”策略一起使用时,会强制应用重新向特定网关进行身份验证。此类网关通常具有不同的(更高保障的)身份验证要求和流量管理策略。如果留空,则始终使用服务器的默认值。默认值为空。
设备安全性
阻止越狱或已 Root 的设备
如果设置为“开”,则当设备越狱或已 Root 时,应用将被锁定。如果设置为“关”,则即使设备越狱或已 Root,应用也可以运行。默认值为“开”。
要求设备加密
如果设置为“开”,则如果设备未配置加密,应用将被锁定。如果设置为“关”,则即使设备未配置加密,应用也可以运行。默认值为“关”。
注意:
此策略仅在 Android 3.0 (Honeycomb) 上受支持。将策略设置为“开”会阻止应用在旧版本上运行。
-
要求设备锁定
-
如果选择“设备 PIN 或密码”,则如果设备没有 PIN 或密码,应用将被锁定。如果选择“设备图案屏幕锁定”,则如果设备未设置图案屏幕锁定,应用将被锁定。如果设置为“关”,则即使设备未设置 PIN、密码或图案屏幕锁定,应用也可以运行。默认值为“关”。
-
“设备 PIN 或密码”要求最低版本为 Android 4.1 (Jelly bean)。将策略设置为“设备 PIN 或密码”会阻止应用在旧版本上运行。
- 在 Android M 设备上,“设备 PIN 或密码”和“设备图案屏幕锁定”选项具有相同的效果:使用其中任一选项,如果设备未设置 PIN、密码或图案屏幕锁定,应用将被锁定。
网络要求
要求 Wi-Fi
如果设置为“开”,则当设备未连接到 Wi-Fi 网络时,应用将被锁定。如果设置为“关”,则如果设备具有活动连接(例如 4G/3G、LAN 或 Wi-Fi 连接),应用可以运行。默认值为“关”。
允许的 Wi-Fi 网络
允许的 Wi-Fi 网络的逗号分隔列表。如果网络名称包含任何非字母数字字符(包括逗号),则名称必须用双引号括起来。应用仅在连接到所列网络之一时运行。如果留空,则允许所有网络。此值不影响蜂窝网络连接。默认值为空。
其他访问
应用更新宽限期(小时)
定义系统发现有可用应用更新后,应用可以使用的宽限期。默认值为 168 小时(7 天)。
注意:
不建议使用零,因为它会立即阻止正在运行的应用被使用,直到更新下载并安装(没有任何用户警告)。此值可能导致用户被迫退出正在运行的应用(可能丢失工作)以遵守所需的更新。
禁用要求用户升级到应用商店中最新版本应用的功能。默认值为“开”。
锁定后擦除应用数据
当应用被锁定时,擦除数据并重置应用。如果设置为“关”,则当应用被锁定时,应用数据不会被擦除。默认值为“关”。
应用可能因以下任何原因被锁定:
- 用户失去应用授权
- 应用订阅已删除
- 帐户已删除
- Secure Hub 已卸载
- 应用身份验证失败次数过多
- 检测到越狱设备(根据策略设置)
- 设备因其他管理操作而处于锁定状态
活动轮询周期(分钟)
当应用启动时,MDX 框架会轮询 Citrix Endpoint Management 以确定当前应用和设备状态。假设可以访问运行 Endpoint Management 的服务器,框架会返回有关设备的锁定/擦除状态以及应用的启用/禁用状态的信息。无论是否可以访问服务器,都会根据活动轮询周期间隔安排后续轮询。周期到期后,将再次尝试新的轮询。默认值为 60 分钟(1 小时)。
重要提示:
仅对高风险应用将此值设置得更低,否则性能可能会受到影响。
加密
加密类型
- 允许您选择是由 MDX 还是设备平台处理数据加密。如果选择 MDX 加密,则 MDX 会加密数据。如果选择带合规性强制的平台加密,则设备平台会加密数据。默认值为 MDX 加密。
不合规设备行为
允许您选择当设备不符合最低加密合规性要求时要执行的操作。选择允许应用程序以使应用程序正常运行。选择警告后允许应用程序以使应用程序在警告出现后运行。选择阻止以阻止应用程序运行。默认值为警告后允许应用程序。
加密密钥
启用用于派生加密密钥的机密以在设备上持久保存。仅允许脱机访问是唯一可用的选项。
Citrix 建议您设置身份验证策略以启用网络登录或脱机密码质询,从而保护对加密内容的访问。
私有文件加密
控制以下位置的私有数据文件加密:/data/data/<appname> 和 /mnt/sdcard/Android/data/<appname>。
已禁用选项表示私有文件未加密。安全组选项使用同一安全组中所有 MDX 应用程序共享的密钥加密私有文件。应用程序选项使用此应用程序独有的密钥加密私有文件。默认值为安全组。
私有文件加密排除项
包含一个逗号分隔的文件路径列表。每个路径都是一个正则表达式,表示一个或多个已加密的文件。文件路径是相对于内部和外部沙盒的。默认值为空。
排除项仅适用于以下文件夹:
- **内部存储:**
`/data/data/<your_package_name>`
-
SD 卡:
/storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>/storage/emulated/legacy/Android/data/<your_package_name>
示例
| 要排除的文件 | 私有文件加密排除项中的值 |
|---|---|
| /data/data/com.citrix.mail/files/a.txt | ^files/a.txt |
| /storage/emulated/0/Android/data/com.citrix.mail/files 中的所有文本文件 | ^files/(.)+.txt$ |
| /data/data/com.citrix.mail/files 中的所有文件 | ^files/ |
公共文件访问限制
包含一个逗号分隔的列表。每个条目都是一个正则表达式路径,后跟 (NA)、(RO) 或 (RW)。与路径匹配的文件被限制为无访问权限、只读或读写访问。列表按顺序处理,并使用第一个匹配的路径来设置访问限制。默认值为空。
此策略仅在公共文件加密已启用(从禁用选项更改为安全组或应用程序选项)时强制执行。此策略仅适用于现有未加密的公共文件,并指定何时加密这些文件。
| 要排除的文件 | 私有文件加密中的值 |
|---|---|
| 外部存储上的下载文件夹只读 | EXT:^Download/(RO) |
| 虚拟存储上 Music 文件夹中的所有 MP3 文件无访问权限 | VS:^Music/(.)+.mp3$(NA) |
-
公共文件加密
- 控制公共文件的加密。如果为已禁用,则公共文件未加密。如果为安全组,则使用同一安全组中所有 MDX 应用程序共享的密钥加密公共文件。如果为应用程序,则使用此应用程序独有的密钥加密公共文件。
默认值为安全组。
公共文件加密排除项
包含一个逗号分隔的文件路径列表。每个路径都是一个正则表达式,表示一个或多个未加密的文件。文件路径是相对于默认外部存储和任何设备特定的外部存储的。
公共文件加密排除项仅包括外部文件夹位置。
示例
| 要排除的文件 | 公共文件加密排除项中的值 |
|---|---|
| SD 卡上的下载文件夹 | Download |
| Music 文件夹中的所有 MP3 文件 | ^Music/(.)+.mp3$ |
公共文件迁移
仅当您启用公共文件加密策略(从已禁用更改为安全组或应用程序)时,此策略才强制执行。此策略仅适用于现有未加密的公共文件,并指定何时加密这些文件。默认值为写入 (RO/RW)。
已禁用选项表示现有文件未加密。写入 (RO/RW) 选项仅在以只写或读写访问模式打开现有文件时才对其进行加密。任何选项在以任何模式打开现有文件时对其进行加密。选项:
- 已禁用。不加密现有文件。
- 写入 (RO/RW)。仅在以只写或读写访问模式打开现有文件时才对其进行加密。
-
任何。在以任何模式打开现有文件时对其进行加密。
-
注意:
-
-
-在新文件或被覆盖的现有未加密文件中,替换文件在任何情况下都会被加密。
-
-加密现有公共文件会使该文件对没有相同加密密钥的其他应用程序不可用。
应用程序交互
安全组
如果您希望所有由 Citrix Endpoint Management™ 管理的移动应用程序相互交换信息,请将此字段留空。定义一个安全组名称以管理特定应用程序集(例如,财务或人力资源)的安全设置。
注意:
如果您更改现有应用程序的此策略,用户必须删除并重新安装该应用程序才能应用策略更改。
剪切和复制
阻止、允许或限制此应用程序的剪贴板剪切和复制操作。如果设置为受限,则复制的剪贴板数据将放置在仅适用于 MDX 应用程序的专用剪贴板中。默认值为受限。
-
粘贴
-
阻止、允许或限制此应用程序的剪贴板粘贴操作。如果设置为受限,则粘贴的剪贴板数据将来源于仅适用于 MDX 应用程序的专用剪贴板。默认值为不受限。
-
文档交换(打开方式)
- 阻止、允许或限制此应用程序的文档交换操作。如果设置为受限,则文档只能与其他 MDX 应用程序以及受限“打开方式”例外列表策略中指定的应用程序例外进行交换。如果设置为不受限,请将“专用文件加密”和“公共文件加密”策略设置为已禁用,以便用户可以在未封装的应用程序中打开文档。默认值为受限。
从筛选中排除的 URL 域
此策略用于将某些出站 URL 从 MDX 筛选中排除。以下以逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀将从任何 MDX 筛选中排除。如果此策略包含任何条目,则主机字段与列表中至少一个项目匹配(通过 DNS 后缀匹配)的 URL 将未经更改地发送到默认浏览器。默认值为空。
允许的安全 Web 域
此策略仅对未被 URL 筛选策略排除的域有效。添加以逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀列表,当文档交换受限时,这些域名或 DNS 后缀将重定向到安全 Web 应用程序。
如果此策略包含任何条目,则当文档交换受限时,只有主机字段与列表中至少一个项目匹配(通过 DNS 后缀匹配)的 URL 才会重定向到安全 Web 应用程序。
所有其他 URL 都将发送到默认的 Android Web 浏览器(绕过“文档交换受限”策略)。默认值为空。
受限“打开方式”例外列表
当“文档交换(打开方式)”策略设置为受限时,此 Android Intent 列表允许传递到非托管应用程序。需要熟悉 Android Intent 才能向列表中添加筛选器。筛选器可以指定操作、程序包、方案或任意组合。
示例
{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->
注意
请务必考虑此策略的安全隐患。例外列表允许内容在非托管应用程序和 MDX 环境之间传输。
入站文档交换(打开方式)
阻止、限制或允许此应用程序的入站文档交换操作。如果设置为受限,则文档只能与其他 MDX 应用程序进行交换。默认值为不受限。
如果设置为已阻止或受限,则可以使用“入站文档交换白名单”策略指定可以向此应用程序发送文档的应用程序。有关其他策略交互的信息,请参阅“阻止图库”策略。
选项:不受限、已阻止或受限
入站文档交换白名单
当“入站文档交换”策略受限或已阻止时,此以逗号分隔的应用程序 ID 列表(包括非 MDX 应用程序)允许向应用程序发送文档。此策略处于隐藏状态,无法编辑。
连接安全级别
确定用于连接的 TLS/SSL 的最低版本。如果设置为TLS,则连接支持所有 TLS 协议。如果设置为SSLv3 和 TLS,则连接支持 SSL 3.0 和 TLS。默认值为TLS。
应用程序限制
重要:
请务必考虑阻止应用程序访问或使用手机功能的策略的安全隐患。当这些策略设置为关闭时,内容可以在非托管应用程序和安全环境之间传输。
阻止摄像头
如果设置为启用,则阻止应用程序直接使用摄像头硬件。默认值为启用。
阻止图库
如果设置为启用,则阻止应用程序访问设备上的图库。默认值为禁用。此策略与“入站文档交换(打开方式)”策略协同工作。
- 如果“入站文档交换(打开方式)”设置为受限,则在托管应用程序中工作的用户无法从图库附加图像,无论“阻止图库”设置如何。
- 如果“入站文档交换(打开方式)”设置为不受限,则在托管应用程序中工作的用户会遇到以下情况:
- 如果“阻止图库”设置为禁用,则用户可以附加图像。
- 如果“阻止图库”设置为启用,则用户无法附加图像。
阻止麦克风录音
如果设置为启用,则阻止应用程序直接使用麦克风硬件。默认值为启用。
阻止位置服务
如果设置为启用,则阻止应用程序使用位置服务组件(GPS 或网络)。Secure Mail 的默认值为禁用。
阻止短信撰写
如果设置为启用,则阻止应用程序使用用于从应用程序发送短信/文本消息的短信撰写功能。默认值为启用。
阻止屏幕捕获
如果设置为启用,则阻止用户在应用程序运行时进行屏幕捕获。此外,当用户切换应用程序时,会模糊应用程序屏幕。默认值为启用。
使用 Android 近场通信 (NFC) 功能时,某些应用程序会在传输内容之前截取自身的屏幕截图。要在封装的应用程序中启用该功能,请将“阻止屏幕捕获”策略更改为禁用。
阻止设备传感器
如果启用,阻止应用使用设备传感器(例如加速度计、运动传感器和陀螺仪)。默认值为启用。
阻止 NFC
如果启用,阻止应用使用近场通信 (NFC)。默认值为启用。
阻止打印
- 如果启用,阻止应用打印数据。如果应用具有“共享”命令,您必须将“文档交换(打开方式)”设置为受限或已阻止才能完全阻止打印。默认值为启用。
启用 ShareFile
允许用户使用 ShareFile 传输文件。默认值为启用。
应用网络访问
网络访问
注意:
隧道 - Web SSO 是设置中 安全浏览 的名称。行为相同。
设置选项如下:
- 使用以前的设置:默认为您在早期策略中设置的值。如果更改此选项,则不得恢复为该选项。另请注意,新策略的更改在用户将应用升级到版本 18.12.0 或更高版本之前不会生效。
- 已阻止:您的应用使用的网络 API 失败。根据以前的准则,您必须妥善处理此类故障。
- 无限制:所有网络调用都直接进行,并且未进行隧道传输。
- 隧道 - 完全 VPN:来自托管应用的所有流量都通过 Citrix Gateway 进行隧道传输。
- 隧道 - Web SSO:HTTP/HTTPS URL 将被重写。此选项仅允许对 HTTP 和 HTTPS 流量进行隧道传输。隧道 - Web SSO 的一个显著优势是 HTTP 和 HTTPS 流量的单点登录 (SSO) 以及 PKINIT 身份验证。在 Android 上,此选项的设置开销较低,因此是 Web 浏览类型操作的首选选项。
如果选择其中一个隧道模式,将在此初始模式下创建回企业网络的每应用 VPN 隧道。在此,将使用 Citrix Gateway 分割隧道设置。Citrix 建议将隧道完全 VPN 用于采用客户端证书或端到端 SSL 连接到企业网络中资源的连接。Citrix 建议将隧道 - Web SSO 用于需要单点登录 (SSO) 的连接。
需要微型 VPN 会话
- 如果是,用户必须连接到企业网络并具有活动会话。如果否,则不需要活动会话。默认值为使用以前的设置。对于新上传的应用,默认值为否。在升级到此策略之前选择的任何设置都将保持有效,直到选择使用以前的设置以外的选项。
排除列表
逗号分隔的 FQDN 或 DNS 后缀列表,用于直接访问而不是通过 VPN 连接访问。此策略仅适用于 Citrix Gateway 配置为分割隧道反向模式时的隧道 - Web SSO 模式。
阻止本地主机连接
-
如果启用,应用不允许建立本地主机连接。本地主机是用于设备上本地通信的地址(例如 127.0.0.1)。本地主机绕过本地网络接口硬件并访问主机上运行的网络服务。如果禁用,此策略将覆盖“网络访问”策略,这意味着如果设备在本地运行代理服务器,应用可以连接到安全容器外部。默认值为禁用。
-
证书标签
与 StoreFront™ 证书集成服务结合使用时,此标签标识此应用所需的特定证书。如果未提供标签,则不会提供可用于公钥基础结构 (PKI) 的证书。默认值为空(不使用证书)。
应用日志
默认日志输出
确定 Citrix Endpoint Management 应用诊断日志记录功能默认使用的输出介质。可能的选项是文件、控制台或两者。默认值为文件。
默认日志级别
-
控制移动生产力应用诊断日志记录功能的默认详细程度。级别数字越高,包含的日志记录越详细。
- 0 - 不记录任何内容
- 1 - 严重错误
- 2 - 错误
- 3 - 警告
- 4 - 信息性消息
- 5 - 详细信息性消息
- 6 到 15 - 调试级别 1 到 10
默认值为级别 4(信息性消息)。
最大日志文件数
限制移动生产力应用诊断日志记录功能在滚动更新之前保留的日志文件数。最小值为 2。最大值为 8。默认值为 2。
最大日志文件大小
限制移动生产力应用诊断日志记录功能在滚动更新之前保留的日志文件大小(以 MB 为单位)。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。
重定向应用日志
如果启用,拦截并将应用中的系统或控制台日志重定向到移动生产力应用诊断功能。如果此设置为禁用,则不会拦截应用对系统或控制台日志的使用。默认值为启用。
加密日志
如果启用,Citrix Endpoint Management 会在记录诊断日志时对其进行加密。如果禁用,诊断日志在应用沙盒中保持未加密状态。
注意:
根据配置的日志级别,日志加密可能会对应用性能和电池续航时间产生显著影响。
默认值为禁用。
应用地理围栏
中心点经度
应用程序受限运行的范围内的点/半径地理围栏中心点的经度(X 坐标)。当在配置的地理围栏外部运行时,应用程序将保持锁定状态。该值必须以带符号的度数格式 (DDD.dddd) 表示,例如“-31.9635”。西经必须以负号开头。默认值为 0。
中心点纬度
应用程序受限运行的范围内的点/半径地理围栏中心点的纬度(Y 坐标)。当在配置的地理围栏外部运行时,应用程序将保持锁定状态。
该值必须以带符号的度数格式 (DDD.dddd) 表示,例如“43.06581”。南纬必须以负号开头。默认值为 0。
半径
应用程序受限运行的范围内的地理围栏半径。当在配置的地理围栏外部运行时,应用程序将保持锁定状态。 该值必须以米为单位表示。当设置为零时,地理围栏将被禁用。默认值为 0(已禁用)。
分析
Google Analytics 详细信息
Citrix 收集分析数据以改进产品质量。选择“匿名”可选择不包含公司可识别信息。
应用程序设置
Secure Mail Exchange Server
Exchange Server 的完全限定域名 (FQDN),或者(仅适用于 iOS)IBM Notes Traveler 服务器。默认值为空。如果在此字段中提供域名,用户将无法编辑它。如果将此字段留空,用户将提供其自己的服务器信息。
注意:
如果更改现有应用程序的此策略,用户必须删除并重新安装应用程序才能应用策略更改。
Secure Mail 用户域
Exchange 用户或(仅适用于 iOS)Notes 用户的默认 Active Directory 域名。默认值为空。
后台网络服务
允许进行后台网络访问的服务地址的 FQDN 和端口。此值可以是 Exchange Server 或 ActiveSync 服务器,位于您的内部网络中或 Secure Mail 连接到的其他网络中,例如 mail.example.com:443。
如果配置此策略,请将“网络访问”策略设置为“隧道连接到内部网络”。此策略在配置网络访问策略时生效。当 Exchange Server 位于您的内部网络中并且您希望使用 NetScaler Gateway 代理连接到内部 Exchange Server 时,请使用此策略。
默认值为空,这意味着后台网络服务不可用。
后台服务票证过期
后台网络服务票证在此期间保持有效的时间段。过期后,将需要企业登录才能续订票证。默认值为 168 小时(7 天)。
后台网络服务网关
用于后台网络服务的备用网关地址,格式为 FQDN:port。此地址是 Citrix Gateway FQDN 和端口号,Secure Mail 使用它连接到内部 Exchange Server。在 Citrix Gateway 配置实用程序中,必须配置安全票证颁发机构 (STA) 并将策略绑定到虚拟服务器。
默认值为空,这意味着不存在备用网关。
如果配置此策略,请将“网络访问”策略设置为“隧道连接到内部网络”。此策略在配置网络访问策略时生效。当 Exchange Server 位于您的内部网络中并且您希望使用 Citrix Gateway 代理连接到内部 Exchange Server 时,请使用此策略。
导出联系人
重要:
如果用户可以直接访问您的 Exchange Server(即在 Citrix Gateway 外部),请勿启用此功能。否则,联系人将在设备和 Exchange 中重复。
如果设置为“关”,将阻止 Secure Mail 联系人单向同步到设备并阻止共享 Secure Mail 联系人(作为 vCard)。默认值为“关”。
要导出的联系人字段
控制要导出到通讯簿的联系人字段。如果设置为“所有”,将导出所有联系人字段。如果设置为“姓名和电话”,将导出所有姓名和电话相关的联系人字段。如果设置为“姓名、电话和电子邮件”,将导出所有姓名、电话和电子邮件相关的联系人字段。默认值为“所有”。
接受所有 SSL 证书
如果设置为“开”,Secure Mail 将接受所有 SSL 证书(无论是否有效)并允许访问。如果设置为“关”,Secure Mail 将在发生证书错误时阻止访问并显示警告。默认值为“关”。
使用安全连接
如果设置为“开”,Secure Mail 将使用安全连接。如果设置为“关”,Secure Mail 将不使用安全连接。默认值为“开”。
信息权限管理
如果设置为“开”,Secure Mail 将支持 Exchange 信息权限管理 (IRM) 功能。默认值为“关”。
控制锁定屏幕通知
控制邮件和日历通知是否显示在锁定的设备屏幕上。如果选择“允许”,通知中包含的所有信息都将显示。如果选择“阻止”,通知将不显示。如果选择“电子邮件发件人或事件标题”,则仅显示电子邮件发件人的姓名或日历事件的标题。如果选择“仅计数”,则仅显示邮件和会议邀请的计数以及日历提醒的时间。默认值为“允许”。
默认同步间隔
指定 Secure Mail 的默认同步间隔。Secure Mail 用户可以更改默认值。
“Exchange ActiveSync 邮箱”策略设置“最大电子邮件期限筛选器”优先于此策略。如果指定的默认同步间隔大于最大电子邮件期限筛选器,则将改用“最大电子邮件期限”筛选器设置。Secure Mail 仅显示小于“Active Sync 最大电子邮件期限”筛选器设置的同步间隔值。
默认值为 3 天。
启用通过 Wi-Fi 下载附件
如果设置为“开”,则 Secure Mail 的“下载附件”选项将启用,用户默认可以通过内部 Wi-Fi 网络下载附件。如果设置为“关”,则 Secure Mail 的“下载附件”选项将禁用,用户默认无法通过 Wi-Fi 下载附件。默认值为“关”。
允许脱机文档
指定用户是否以及可以在设备上存储脱机文档多长时间。默认值为“无限制”。
启用电子邮件草稿自动保存
如果设置为“开”,Secure Mail 支持将邮件自动保存到“草稿”文件夹。默认值为“开”。
初始身份验证机制
此策略指示是使用 MDX 提供的邮件服务器地址填充首次使用预配屏幕上的“地址”字段,还是使用用户电子邮件地址。默认值为“邮件服务器地址”。
初始身份验证凭据
此策略定义必须选择哪个值作为用户名以填充到初始首次使用预配屏幕中。默认值为“注册用户名”。
启用周数
如果设置为“开”,日历视图将包含周数。默认值为“关”。
电子邮件分类
如果设置为“开”,Secure Mail 支持 SEC(安全)和 DLM(传播限制标记)的电子邮件分类标记。分类标记在电子邮件标头中显示为“X-Protective-Marking 值”。请务必配置相关的电子邮件分类策略。默认值为“关”。
电子邮件分类标记
指定要提供给最终用户的分类标记。如果列表为空,Secure Mail 将不包含保护性标记列表。标记列表包含以分号分隔的值对。每个值对都包含在 Secure Mail 中显示的值以及作为附加到 Secure Mail 中电子邮件主题和标头的文本的标记值。例如,在标记对 "UNOFFICIAL,SEC=UNOFFICIAL;" 中,列表值为“UNOFFICIAL”,标记值为“SEC=UNOFFICIAL”。
电子邮件分类命名空间
指定所用分类标准在电子邮件标头中要求的分类命名空间。例如,命名空间“gov.au”在标头中显示为“NS=gov.au”。默认值为空。
电子邮件分类版本
指定所用分类标准在电子邮件标头中要求的分类版本。例如,版本“2012.3”在标头中显示为“VER=2012.3”。默认值为空。
默认电子邮件分类
指定如果用户未选择标记,Secure Mail 将应用于电子邮件的保护性标记。此值必须在“电子邮件分类标记”策略的列表中。默认值为“UNOFFICIAL”。
邮件搜索限制
通过限制邮件服务器搜索中包含的天数,限制可从移动设备访问的邮件历史记录量。要限制同步到移动设备的邮件量,请配置“最大同步间隔”策略。默认值为“无限制”。
最大同步间隔
通过限制同步周期,控制本地存储在移动设备上的邮件量。
要限制设备可在邮件服务器上搜索的时间段,请配置“邮件服务器搜索限制”策略。
可用值包括:
- 3 天
- 1 周
- 2 周
- 1 个月
- 所有
默认值为“所有”。
日历 Web 和音频选项
- GoToMeeting 和用户输入 - 选择此选项时,用户可以选择要设置的会议类型。选项包括 GoToMeeting(打开 GoToMeeting 页面)和“其他会议”(允许用户手动输入会议信息)。
- 仅限用户输入 - 选择此选项时,用户将直接转到“其他会议”页面,可在其中手动输入会议信息。
S/MIME 公共证书源
指定 S/MIME 公共证书的来源。如果设置为“Exchange”,Secure Mail 将从 Exchange Server 提取证书。如果设置为“LDAP”,Secure Mail 将从 LDAP 服务器提取证书。默认值为“Exchange”。
LDAP 服务器地址
LDAP 服务器地址,包括端口号。默认值为空。
LDAP 基本 DN
LDAP 基本可分辨名称。默认值为空。
匿名访问 LDAP
如果此策略设置为“开”,Secure Mail 可以在未经事先身份验证的情况下搜索 LDAP。默认值为“关”。
允许的电子邮件域
定义允许的电子邮件域列表,采用逗号分隔格式,例如 server.company.com,server.company.co.uk。默认值为空,这意味着 Secure Mail 不会筛选电子邮件域并支持所有电子邮件域。Secure Mail 会将列出的域与电子邮件地址中的域名进行匹配。
例如,当 server.company.com 是列出的域名,并且电子邮件地址为 user@internal.server.company.com 时,Secure Mail 支持该电子邮件地址。
推送通知
启用基于 FCM 的邮箱活动通知。如果设置为“开”,Secure Mail 支持推送通知。默认值为“关”。
推送通知 EWS 主机名
托管邮件的 Exchange Web Services (EWS) 的服务器。该值必须是 EWS 的 URL 以及端口号。默认值为空。
推送通知区域
Secure Mail 用户 FCM 主机所在的区域。选项包括 Americas、EMEA 和 PAC。默认值为 Americas。
尝试在身份验证失败时迁移用户名
此策略尝试将 Exchange 用户名迁移到 UPN 以进行身份验证。默认值为“关”。
报告网络钓鱼邮件地址
如果已配置,可以将可疑网络钓鱼邮件报告给指定的电子邮件地址或逗号分隔的电子邮件地址列表。默认值为空。如果未配置此策略,则无法报告网络钓鱼邮件。
报告网络钓鱼机制
此策略指示用于报告可疑网络钓鱼邮件的机制。
- 通过附件 (.eml) 报告 – 将网络钓鱼邮件作为附件报告。附件将发送到在“报告网络钓鱼邮件地址”策略中配置的电子邮件地址或逗号分隔的电子邮件地址列表。
- 通过转发报告 – 将网络钓鱼邮件作为转发报告。邮件将转发到在“报告网络钓鱼邮件地址”策略中配置的电子邮件地址或逗号分隔的电子邮件地址列表。
注意:
此策略仅适用于 Microsoft Exchange 服务器。
默认值为“通过附件 (.eml) 报告”。
Skype for Business 会议域
此策略包含用于 Skype for Business 会议的逗号分隔的域列表。 Secure Mail 已处理具有以下 URL 前缀的会议:
https://joinhttps://meethttps://lync
借助此策略,可以添加其他 Skype for Business 域,格式为 https://*domain*。域可以是字母数字字符串,不能包含任何特殊字符。请勿输入前面的 https:// 或后面的点。
示例
如果策略值为 customDomain1,customDomain2,则 Skype for Business 支持的 URL 前缀将为:
https://customDomain1
http://customDomain1
https://customDomain2
http://customDomain2
默认值为空。
导出日历
此策略允许将 Secure Mail 日历事件导出到设备或个人日历。可以在个人日历中查看事件。可以使用 Secure Mail 编辑事件。默认值为“会议时间”。
个人日历中显示的日历事件字段可使用以下 MDX 策略值:
- 无(不导出)
- 会议时间
- 会议时间、地点
- 会议时间、主题、地点
- 会议时间、可用性、与会者、主题、地点、备注
Office 365 的 OAuth 支持
对 O365 使用新式身份验证
如果此策略设置为“开”,Secure Mail 在 Office 365 上配置帐户时将使用 OAuth 协议进行身份验证。如果设置为“关”,Secure Mail 将使用基本身份验证。默认值为“关”。
受信任的 Exchange Online 主机名
定义使用 OAuth 机制在配置帐户时进行身份验证的受信任 Exchange Online 主机名列表。此值采用逗号分隔格式,例如 server.company.com, server.company.co.uk。如果列表为空,则 Secure Mail 将使用基本身份验证进行帐户配置。默认值为 outlook.office365.com。
受信任的 AD FS 主机名
定义在 Office 365 OAuth 身份验证期间自动填充密码的网页的受信任 AD FS 主机名列表。此值采用逗号分隔格式,例如 sts.companyname.com、sts.company.co.uk。如果列表为空,则 Secure Mail 不会自动填充密码。Secure Mail 会将列出的主机名与在 Office 365 身份验证期间遇到的网页的主机名进行匹配,并检查该页面是否使用 HTTPS 协议。
例如,当 sts.company.com 是列出的主机名,并且用户导航到 https://sts.company.com 时,如果页面具有密码字段,Secure Mail 将填充密码。默认值为 login.microsoftonline.com。
新式身份验证的自定义用户代理
此策略允许更改新式身份验证的默认用户代理字符串。如果已配置,此用户代理字符串将用于 Microsoft AD FS 身份验证。如果未配置此策略,则在新式身份验证期间将使用默认 Secure Mail 用户代理。
Slack 集成
启用 Slack
阻止或允许 Slack 集成。如果设置为“开”,Secure Mail 界面将包含 Slack 功能。如果设置为“关”,Secure Mail 界面将不包含 Slack 功能。
Slack 工作区名称
贵公司的 Slack 工作区名称。如果提供名称,Secure Mail 将在登录期间预填充工作区名称。如果未提供名称,用户必须键入工作区名称 (name.slack.com)。