本文介绍了适用于 iOS 应用程序的 MDX 策略。您可以在 Citrix Endpoint Management 控制台中更改策略设置。有关详细信息，请参阅添加应用程序。

以下列表不包括 Secure Web 特有的 MDX 策略。有关 Secure Web 中显示的策略的详细信息，请参阅 Secure Web 策略。

身份验证

设备密码

如果设置为 “开”，则在设备启动或在一段时间不活动后恢复时，需要 PIN 或密码才能解锁设备。使用 Apple 文件加密对应用程序数据进行加密需要设备密码。设备上的所有应用程序的数据都将加密。默认值为 “关”。

应用程序密码

如果设置为 “开”，则在应用程序启动或在一段时间不活动后恢复时，需要 PIN 或密码才能解锁应用程序。默认值为 “开”。

要配置所有应用程序的不活动计时器，请在 “设置” 选项卡上的 “客户端属性” 中以分钟为单位设置 INACTIVITY_TIMER 值。默认不活动计时器值为 60 分钟。要禁用不活动计时器，以便仅在应用程序启动时显示 PIN 或密码提示，请将该值设置为零。

注意：

如果为“加密密钥”策略选择安全脱机，则此策略将自动启用。

最长脱机时间（小时）

定义应用程序在不重新确认应用程序授权和不从 Citrix Endpoint Management 刷新策略的情况下可以运行的最长时间。到期时，如果需要，可能会触发登录到服务器。默认值为 168 小时（7 天）。最短时间为 1 小时。

备用 Citrix Gateway

注意：

此策略在 Endpoint Management 控制台中的名称为 Alternate NetScaler® Gateway。

必须用于身份验证以及与此应用程序的微型 VPN 会话的特定备用 Citrix Gateway 的地址。此策略是可选的。与“需要联机会话”策略结合使用时，此策略会强制应用程序重新向特定网关进行身份验证。此类网关通常具有不同的（更高保证的）身份验证要求和流量管理策略。如果留空，则始终使用服务器的默认网关。默认值为空。

设备安全性

阻止越狱或 Root

• 如果设置为 “开”，则当设备越狱或 Root 时，应用程序将被锁定。如果设置为 “关”，则即使设备越狱或 Root，应用程序也可以运行。默认值为 “开”。

• 网络要求

• 要求 Wi-Fi

• 如果设置为 “开”，则当设备未连接到 Wi-Fi 网络时，应用程序将被锁定。如果设置为 “关”，则如果设备具有活动连接（例如 4G/3G、LAN 或 Wi-Fi 连接），则应用程序可以运行。默认值为 “关”。

允许的 Wi-Fi 网络

逗号分隔的 Wi-Fi 网络列表。如果网络名称包含任何非字母数字字符（包括逗号），则该名称必须用双引号引起来。应用程序仅在连接到列出的某个网络时运行。如果为空，则允许所有网络。此值不影响与蜂窝网络的连接。默认值为空。

其他访问

禁用强制升级

禁用要求用户在 App Store 中升级到最新版本应用程序的要求。默认值为 “开”。

应用程序更新宽限期（小时）

定义系统发现应用程序更新可用后，应用程序可以继续使用的宽限期。默认值为 168 小时（7 天）。

注意：

我们建议您不要使用零值。零值会立即阻止正在运行的应用程序被使用，直到下载并安装更新（不向用户发出任何警告）。使用此值可能会导致用户被迫退出应用程序（可能会丢失工作）以遵守强制更新的情况。

锁定后擦除应用程序数据

锁定应用程序时擦除数据并重置应用程序。如果设置为 “关”，则锁定应用程序时不会擦除应用程序数据。默认值为 “关”。

应用程序可能因以下任何原因被锁定：

• 用户的应用程序授权丢失
• 应用程序订阅已删除
• 帐户已删除
• Secure Hub 已卸载
• 应用程序身份验证失败次数过多
• 检测到越狱设备（根据策略设置）
• 设备因其他管理操作而处于锁定状态

活动轮询周期（分钟）

当应用程序启动时，MDX Framework 会轮询 Citrix Endpoint Management 以确定当前的应用程序和设备状态。假设可以访问运行 Endpoint Management 的服务器，该 Framework 将返回有关设备的锁定/擦除状态以及应用程序的启用/禁用状态的信息。无论是否可以访问服务器，都会根据活动轮询周期间隔安排后续轮询。在该周期到期后，将再次尝试新的轮询。默认值为 60 分钟（1 小时）。

重要提示：

仅当针对高风险应用程序将此值设置得较低时，性能才可能受到影响。

加密

加密类型

允许您选择 MDX 或设备平台处理数据加密。如果选择 MDX 加密，则 MDX 会加密数据。如果选择 平台加密（强制合规性），则设备平台会加密数据。默认值为 MDX 加密。

不合规设备行为

允许您选择当设备不符合最低加密合规性要求时要执行的操作。选择 允许应用程序 以使应用程序正常运行。选择 警告后允许应用程序 以使应用程序在显示警告后运行。选择 阻止 以阻止应用程序运行。默认值为 警告后允许应用程序。

启用 MDX 加密

如果设置为 “关”，则设备上存储的数据不会加密。如果设置为 “开”，则设备上存储的数据会加密。默认值为 “开”。

• 注意：

• 如果在部署应用程序后更改此策略，用户必须重新安装该应用程序。

数据库加密排除项

数据库自动加密排除列表。要阻止对特定数据库进行加密，请将条目添加到此逗号分隔的正则表达式列表中。如果数据库路径名与任何正则表达式匹配，则该数据库将从加密中排除。排除模式支持 Posix 1003.2 扩展正则表达式语法。模式匹配不区分大小写。

示例

\\.db$,\\.sqlite$ 排除以 .db 或 .sqlite 结尾的任何数据库路径名。

\/Database\/unencrypteddb\.db 匹配 Database 子文件夹中的数据库 unencrypteddb.db。

\/Database\/ 匹配其路径中包含 /Database/ 的所有数据库。

默认值为空。

文件加密排除项

未自动加密的文件排除列表。要阻止对特定文件集进行加密，请将条目添加到此逗号分隔的正则表达式列表中。如果文件路径名与任何正则表达式匹配，则该文件将从加密中排除。排除模式支持 Posix 1003.2 扩展正则表达式语法。模式匹配不区分大小写。

示例

\\.log$,\\.dat$ 排除以 .log 或 .dat 结尾的任何文件路径名。

\/Documents\/unencrypteddoc\.txt 匹配 Documents 子文件夹中文件 unencrypteddoc.txt 的内容。

\/Documents\/UnencryptedDocs\/.*\.txt 匹配 /Documents/UnencryptedDocs/ 子路径下的“.txt”文件。

默认值为空。

应用程序交互

剪切和复制

阻止、允许或限制此应用程序的剪贴板剪切和复制操作。如果设置为受限，则复制的剪贴板数据将放置在仅 MDX 应用程序可用的专用剪贴板中。默认值为受限。

粘贴

阻止、允许或限制此应用程序的剪贴板粘贴操作。如果设置为受限，则粘贴的剪贴板数据将来自仅 MDX 应用程序可用的专用剪贴板。默认值为不受限。

文档交换（打开方式）

• 阻止、允许或限制此应用程序的文档交换操作。如果设置为受限，则文档只能与其他 MDX 应用程序交换。

• 如果设置为不受限，请将“启用加密”策略设置为开，以便用户可以在未封装的应用程序中打开文档。如果接收应用程序未封装或已禁用加密，Citrix Endpoint Management 将解密文档。 默认值为受限。

受限的“打开方式”例外列表

当“文档交换（打开方式）”策略设置为受限时，MDX 应用程序可以与此逗号分隔的非托管应用程序 ID 列表共享文档。即使“文档交换（打开方式）”策略设置为受限且“启用加密”设置为开，此规则也适用。默认例外列表允许 Office 365 应用程序：

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

此策略仅支持 Office 365 应用程序。

注意：

请务必考虑此策略的安全隐患。例外列表允许内容在非托管应用程序和 MDX 环境之间传输。

连接安全级别

确定用于连接的 TLS/SSL 的最低版本。如果设置为 TLS，则连接支持所有 TLS 协议。如果设置为 SSLv3 和 TLS，则连接支持 SSL 3.0 和 TLS。默认值为 TLS。

入站文档交换（打开方式）

阻止、限制或允许此应用程序的入站文档交换操作。如果设置为受限，则文档只能与其他 MDX 应用程序交换。默认值为不受限。

如果设置为已阻止或受限，您可以使用“入站文档交换白名单”策略来指定可以将文档发送到此应用程序的应用程序。

选项：不受限、已阻止或受限

应用程序 URL 方案

iOS 应用程序可以将 URL 请求分派给已注册以处理特定方案（例如“http://”）的其他应用程序。此功能提供了一种机制，使应用程序可以将帮助请求传递给另一个应用程序。此策略用于筛选传递到此应用程序以进行处理的方案（即入站 URL）。默认值为空，这意味着所有已注册的应用程序 URL 方案都将被阻止。

该策略必须格式化为逗号分隔的模式列表，其中每个模式前面都有一个加号“+”或减号“-”。入站 URL 将按照列出的顺序与模式进行比较，直到找到匹配项。一旦匹配，前缀将决定采取的操作。

• 减号“-”前缀会阻止 URL 传递到此应用程序。
• 加号“+”前缀允许 URL 传递到应用程序进行处理。
• 如果模式未提供“+”或“-”，则假定为“+”（允许）。
• 如果入站 URL 与列表中的任何模式都不匹配，则该 URL 将被阻止。

下表包含应用程序 URL 方案的示例：

Scheme	App that requires the URL scheme	Purpose
ctxmobilebrowser	Secure Web-	允许 Secure Web 处理来自其他应用程序的 HTTP: URL。-
ctxmobilebrowsers	Secure Web-	允许 Secure Web 处理来自其他应用程序的 HTTPS: URL。
ctxmail	Secure Mail-	允许 Secure Mail 处理来自其他应用程序的 mailto: URL。
COL-G2M	GoToMeeting-	允许封装的 GoToMeeting 应用程序处理会议请求。
ctxsalesforce	Citrix for Salesforce -	允许 Citrix for Salesforce 处理 Salesforce 请求。
wbx	WebEx	允许封装的 WebEx 应用程序处理会议请求。

应用程序交互（出站 URL）

从 URL 筛选中排除的域

此策略将出站 URL 从任何“允许的 URL”筛选中排除。添加逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀列表，以从“允许的 URL”筛选中排除。如果此策略为空（默认值），则定义的“允许的 URL”筛选将处理 URL。如果此策略包含任何条目，则主机字段与列表中至少一个项目匹配（通过 DNS 后缀匹配）的 URL 将未经更改地发送到 iOS。此通信将绕过“允许的 URL”筛选逻辑。默认值为空。

允许的 URL

iOS 应用程序可以将 URL 请求分派给已注册以处理特定方案（例如“http://”）的其他应用程序。此功能提供了一种机制，使应用程序可以将帮助请求传递给另一个应用程序。此策略用于筛选从此应用程序传递到其他应用程序以进行处理的 URL（即出站 URL）。

该策略必须格式化为逗号分隔的模式列表，其中每个模式前面可能有一个加号“+”或减号“-”。出站 URL 将按照列出的顺序与模式进行比较，直到找到匹配项。一旦匹配，前缀将决定采取的操作。减号“-”前缀会阻止 URL 传递到另一个应用程序。加号“+”前缀允许 URL 传递到另一个应用程序进行处理。如果模式未提供“+”或减号“-”，则假定为“+”（允许）。由“=”分隔的一对值表示替换，其中第一个字符串的出现将被第二个字符串替换。您可以使用正则表达式“^”前缀来搜索字符串，以将其锚定到 URL 的开头。如果出站 URL 与列表中的任何模式都不匹配，则该 URL 将被阻止。

默认值

+maps.apple.com

+itunes.apple.com

^http:=ctxmobilebrowser:

• ^https:=ctxmobilebrowsers:

• ^mailto:=ctxmail:

+^citrixreceiver:

+^telprompt:

+^tel:

+^lmi-g2m:

+^maps:ios_addr

+^mapitem:

+^sms:

+^facetime:

• +^ctxnotes:

• +^ctxnotesex:

• +^ctxtasks:

• +^facetime-audio:

+^itms-apps:

+^ctx-sf:

+^sharefile:

+^lync:

+^slack:

+^msteams:

如果此设置为空，则所有 URL 都将被阻止，但以下 URL 除外：

• http:
• https:
• +citrixreceiver: +tel:

下表包含允许的 URL 示例：

URL 格式	描述
^mailto:=ctxmail	所有 mailto: URL 都在 Secure Mail 中打开。
^http	所有 HTTP URL 都在 Secure Web 中打开。
^https	所有 HTTPS URL 都在 Secure Web 中打开。
^tel	允许用户拨打电话。
-//www.dropbox.com	阻止从托管应用分发的 Dropbox URL。
+^COL-G2M	允许托管应用打开 GoToMeeting 客户端应用。
-^SMS	阻止使用消息聊天客户端。
-^wbx	阻止托管应用打开 WebEx 客户端应用。
+^ctxsalesforce	允许 Citrix for Salesforce 与您的 Salesforce 服务器通信。

允许的 Secure Web 域

此策略仅影响会将 URL 重定向到 Secure Web 应用（^ http:=ctxmobilebrowser: 和 ^https:=ctxmobilebrowsers:）的“允许的 URL”策略条目。添加一个逗号分隔的完全限定域名 (FQDN) 或 DNS 后缀列表，这些域名或 DNS 后缀允许重定向到 Secure Web 应用。如果此策略为空（默认值），则所有域都可以重定向到 Secure Web 应用。如果此策略包含任何条目，则只有主机字段与列表中至少一个项目（通过 DNS 后缀匹配）匹配的那些 URL 才会重定向到 Secure Web 应用。所有其他 URL 都将未经修改地发送到 iOS，从而绕过 Secure Web 应用。默认值为空。

应用限制

重要提示：

请务必考虑阻止应用访问或使用手机功能的策略所带来的安全隐患。当这些策略处于关闭状态时，内容可以在非托管应用和安全环境之间传输。

阻止摄像头

如果设置为开，则阻止应用直接使用摄像头硬件。默认值为关。

阻止照片库

如果设置为开，则阻止应用访问设备上的照片库。默认值为开。

阻止麦克风录音

如果设置为开，则阻止应用直接使用麦克风硬件。默认值为开。

阻止听写

如果设置为开，则阻止应用直接使用听写服务。默认值为开。

阻止定位服务

如果设置为开，则阻止应用使用定位服务组件（GPS 或网络）。Secure Mail 的默认值为关。

阻止短信撰写

如果设置为开，则阻止应用使用用于从应用发送短信/文本消息的短信撰写功能。默认值为开。

阻止电子邮件撰写

如果设置为开，则阻止应用使用用于从应用发送电子邮件消息的电子邮件撰写功能。默认值为开。

阻止 iCloud

如果设置为开，则阻止应用使用 iCloud 存储和共享设置及数据。

注意：

iCloud 数据文件受“阻止文件备份”策略控制。

默认值为开。

阻止查找

如果设置为开，则阻止应用使用“查找”功能，该功能可在词典、iTunes、App Store、电影放映时间、附近位置等中搜索突出显示的文本。默认值为开。

阻止文件备份

如果设置为开，则阻止 iCloud 或 iTunes 备份数据文件。默认值为开。

阻止 AirPrint

如果设置为开，则阻止应用使用 AirPrint 功能将数据打印到支持 AirPrint 的打印机。默认值为开。

阻止 AirDrop

如果设置为开，则阻止应用使用 AirDrop。默认值为开。

阻止文件附件

注意：

此策略在 iOS 11 或更高版本上强制执行。

如果设置为开，则禁用附件处理。默认值为关。

阻止 Facebook 和 Twitter API

如果设置为开，则阻止应用使用 iOS Facebook 和 Twitter API。默认值为开。

模糊屏幕内容

如果设置为开，则当用户切换应用时，屏幕会模糊。此策略可防止 iOS 录制屏幕内容和显示缩略图。默认值为开。

阻止第三方键盘（仅限 iOS 11 及更高版本）

如果设置为开，则阻止应用在 iOS 8+ 上使用第三方键盘扩展。默认值为开。

阻止应用日志

如果设置为开，则禁止应用使用移动生产力应用诊断日志记录功能。如果设置为关，则会记录应用日志，并且可以通过 Secure Hub 电子邮件支持功能进行收集。默认值为关。

启用 ShareFile

允许用户使用 ShareFile 传输文件。默认值为开。

启用从文件附加

允许用户从 iOS 文件应用添加附件。默认值为开。

应用网络访问

网络访问

• 注意：

  隧道 - Web SSO 是设置中安全浏览的名称。行为相同。

设置选项如下：

• 已阻止：所有网络访问均被阻止。您的应用使用的网络 API 将失败。根据之前的指导原则，您必须妥善处理此类故障。
• 无限制：所有网络调用都直接进行，不经过隧道。
• 隧道 - Web SSO：HTTP/HTTPS URL 被重写。此选项仅允许 HTTP 和 HTTPS 流量的隧道传输。隧道 - Web SSO 的一个显著优势是 HTTP 和 HTTPS 流量的单点登录 (SSO) 以及 PKINIT 身份验证。在 Android 上，此选项的设置开销较低，因此是 Web 浏览类型操作的首选选项。

如果您正在使用隧道 - 完全 VPN 或隧道 - 完全 VPN 和 Web SSO 策略，则必须切换到隧道 - Web SSO 策略。如果您继续使用已弃用的策略，您的电子邮件将无法同步。

注意：

如果您正在使用隧道 - 完全 VPN 并且配置了安全票证颁发机构 (STA)，则现代身份验证屏幕将无法加载。

需要微型 VPN 会话

• 如果设置为是，则用户必须连接到企业网络并具有活动会话。如果设置为否，则不需要活动会话。默认值为使用以前的设置。对于新上传的应用，默认值为否。在升级到此新策略之前选择的任何设置都将保持有效，直到选择使用以前的设置以外的选项。

微型 VPN 会话所需宽限期（分钟）

此值确定用户在“需要在线会话”策略阻止他们进一步使用应用之前（直到在线会话得到验证）可以使用应用多少分钟。默认值为 0（无宽限期）。此策略不适用于与 Microsoft Intune/EMS 的集成。

证书标签

• 与 StoreFront™ 证书集成服务一起使用时，此标签标识此应用所需的特定证书。如果未提供标签，则不会提供证书以用于公钥基础结构 (PKI)。默认值为空（不使用证书）。

• 排除列表

以逗号分隔的 FQDN 或 DNS 后缀列表，这些 FQDN 或 DNS 后缀将直接访问，而不是通过 VPN 连接访问。此值仅适用于 Citrix Gateway 配置为反向拆分隧道模式时的隧道 - Web SSO 模式。

• 应用日志

• 默认日志输出

确定移动生产力应用诊断日志记录功能默认使用的输出介质。可能的值为文件、控制台或两者。默认值为文件。

默认日志级别

• 控制移动生产力应用诊断日志记录功能的默认详细程度。每个级别都包含较低级别的值。可能的级别范围包括：

• 0 - 不记录任何内容
• 1 - 严重错误
• 2 - 错误
• 3 - 警告
• 4 - 信息性消息
• 5 - 详细信息性消息

• 6 到 15 - 调试级别 1 到 10

• 默认值为级别 4（信息性消息）。

• 最大日志文件数

限制移动生产力应用诊断日志记录功能在滚动更新前保留的日志文件数量。最小值为 2。最大值为 8。默认值为 2。

最大日志文件大小

限制移动生产力应用诊断日志记录功能在滚动更新前保留的日志文件大小（以 MB 为单位）。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。

应用地理围栏

中心点经度

应用受限运行的点/半径地理围栏中心点的经度（X 坐标）。当在配置的地理围栏之外运行时，应用将保持锁定状态。

该值必须以带符号的度数格式 (DDD.dddd) 表示，例如“-31.9635”。西经必须以负号开头。默认值为 0。

中心点纬度

应用受限运行的点/半径地理围栏中心点的纬度（Y 坐标）。当在配置的地理围栏之外运行时，应用将保持锁定状态。

该值必须以带符号的度数格式 (DDD.dddd) 表示，例如“43.06581”。南纬必须以负号开头。默认值为 0。

半径

应用受限运行的地理围栏半径。当在配置的地理围栏之外运行时，应用将保持锁定状态。

该值必须以米为单位表示。当设置为零时，地理围栏将被禁用。当“阻止位置服务”策略启用时，地理围栏无法正常工作。默认值为 0（已禁用）。

启用 Google Analytics

如果设置为“开”，Citrix 会收集匿名数据以改进产品质量。如果设置为“关”，则不收集任何数据。 默认值为“开”。

分析

Google Analytics 详细程度

Citrix 收集分析数据以改进产品质量。选择“匿名”可使用户选择不包含公司可识别信息。默认值为“完整”。

报告

Citrix 报告

如果设置为“开”，Citrix 会收集崩溃报告和诊断信息以帮助排查问题。如果设置为“关”，Citrix 不会收集数据。

注意：

Citrix 也可能通过功能标志控制此功能。此功能要正常运行，必须同时启用功能标志和此策略。

默认值为“关”。

上传令牌

您可以从 Citrix Insight Services (CIS) 帐户获取上传令牌。如果您指定此可选令牌，CIS 将允许您访问从设备上传的崩溃报告和诊断信息。Citrix 可以访问相同的信息。默认值为空。

仅通过 Wi-Fi 发送报告

如果设置为“开”，Citrix 仅在您连接到 Wi-Fi 网络时发送崩溃报告和诊断信息。默认值为“开”。

报告文件缓存最大值

限制在清除缓存之前保留的崩溃报告和诊断捆绑包的大小。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。

应用交互

显式注销通知

如果设置为“禁用”，则在用户注销期间不会激活应用。如果设置为“仅限共享设备”，则仅当设备配置为共享设备时，应用才会在用户注销期间激活。Secure Mail 的默认值为“仅限共享设备”。

应用设置

Secure Mail Exchange Server

Exchange Server 的完全限定域名 (FQDN)，或者（仅限 iOS）IBM Notes Traveler 服务器的完全限定域名。默认值为空。如果您在此字段中提供域名，用户将无法编辑。如果您将此字段留空，用户将提供自己的服务器信息。

注意：

如果您更改现有应用的此策略，用户必须删除并重新安装该应用才能应用策略更改。

Secure Mail 用户域

Exchange 用户的默认 Active Directory 域名，或者（仅限 iOS）Notes 用户的默认域名。默认值为空。

后台网络服务

允许进行后台网络访问的服务地址的 FQDN 和端口。此值可以是 Exchange Server 或 ActiveSync 服务器，位于您的内部网络中，也可以位于 Secure Mail 连接到的其他网络中，例如 mail.example.com:443。

如果您配置此策略，请将“网络访问策略”设置为“隧道连接到内部网络”。此策略在您配置网络访问策略时生效。当 Exchange Server 位于您的内部网络中，并且您希望使用 Citrix Gateway（以前称为 NetScaler Gateway）代理到内部 Exchange Server 的连接时，请使用此策略。

默认值为空，表示后台网络服务不可用。

后台服务票证过期

后台网络服务票证的有效时间段。过期后，需要企业登录才能续订票证。默认值为 168 小时（7 天）。

后台网络服务网关

用于后台网络服务的备用网关地址，格式为 fqdn:port。此值是 Secure Mail 用于连接到内部 Exchange Server 的 Citrix Gateway FQDN 和端口号。在 Citrix Gateway 配置实用程序中，您必须配置安全票证颁发机构 (STA) 并将策略绑定到虚拟服务器。默认值为空，表示不存在备用网关。

如果您配置此策略，请将“网络访问策略”设置为“隧道连接到内部网络”。此策略在您配置网络访问策略时生效。当 Exchange Server 位于您的内部网络中，并且您希望使用 Citrix Gateway 代理到内部 Exchange Server 的连接时，请使用此策略。

导出联系人

重要提示：

如果用户可以直接访问您的 Exchange Server（即在 Citrix Gateway 外部），请勿启用此功能。否则，设备和 Exchange 中会创建重复的联系人。

如果设置为“关”，则阻止 Secure Mail 联系人单向同步到设备以及共享 Secure Mail 联系人（作为 vCard）。默认值为“关”。

要导出的联系人字段

控制要导出到地址簿的联系人字段。如果设置为“全部”，则导出所有联系人字段。如果设置为“姓名和电话”，则导出所有与姓名和电话相关的联系人字段。如果设置为“姓名、电话和电子邮件”，则导出所有与姓名、电话和电子邮件相关的联系人字段。

默认值为“全部”。

接受所有 SSL 证书

如果设置为“开”，Secure Mail 将接受所有 SSL 证书（无论是否有效）并允许访问。如果设置为“关”，当发生证书错误时，Secure Mail 将阻止访问并显示警告。

默认值为“关”。

控制锁定屏幕通知

控制邮件和日历通知是否显示在锁定的设备屏幕上。如果设置为“允许”，则显示通知中包含的所有信息。如果设置为“阻止”，则不显示通知。如果设置为“电子邮件发件人或事件标题”，则仅显示电子邮件发件人的姓名或日历事件的标题。如果设置为“仅计数”，则显示邮件和会议邀请的计数以及日历提醒的时间。默认值为“允许”。

默认电子邮件通知

如果设置为“开”，Secure Mail 将显示电子邮件的锁定屏幕通知。默认值为“开”。

默认同步间隔

指定 Secure Mail 的默认同步间隔。Secure Mail 用户可以更改默认值。“Exchange ActiveSync 邮箱”策略设置“最大电子邮件期限筛选器”优先于此策略。如果您指定的默认同步间隔大于最大电子邮件期限筛选器，则改用“最大电子邮件期限筛选器”设置。

Secure Mail 仅显示小于“Active Sync 最大电子邮件期限筛选器”设置的同步间隔值。

默认值为 3 天。

邮件搜索限制

通过限制邮件服务器搜索中包含的天数，限制可从移动设备访问的邮件历史记录量。默认值为“无限制”。

要限制同步到移动设备的邮件量，请配置“最大客户端同步周期”策略。

最大同步间隔

通过限制同步周期，控制本地存储在移动设备上的邮件量。默认值为“全部”。要限制设备可在邮件服务器上搜索的时间段，请配置“邮件服务器搜索限制”策略。

启用周数

如果设置为“开”，日历视图将包含周数。默认值为“关”。

启用通过 Wi-Fi 下载附件

如果设置为“开”，则启用 Secure Mail 的“下载附件”选项，以便用户默认可以通过允许的内部 Wi-Fi 网络下载附件。如果设置为“关”，则禁用 Secure Mail 的“下载附件”选项，以便用户默认无法通过 Wi-Fi 下载附件。

默认值为“关”。

允许脱机文档

指定用户是否以及可以脱机存储文档多长时间。默认值为“无限制”。

信息权限管理

如果设置为“开”，Secure Mail 将支持 Exchange 信息权限管理 (IRM) 功能。默认值为“关”。

电子邮件分类

如果设置为“开”，Secure Mail 将支持 SEC（安全）和 DLM（传播限制标记）的电子邮件分类标记。分类标记在电子邮件标头中显示为“X-Protective-Marking”值。请务必配置相关的电子邮件分类策略。

默认值为“关”。

电子邮件分类标记

指定要提供给用户的分类标记。如果列表为空，Secure Mail 将不包含保护标记列表。标记列表包含由分号分隔的值对。每对都包含显示在 Secure Mail 中的值以及作为附加到 Secure Mail 中电子邮件主题和标头的文本的标记值。例如，在标记对“UNOFFICIAL,SEC=UNOFFICIAL;”中，列表值为“UNOFFICIAL”，标记值为“SEC=UNOFFICIAL”。

电子邮件分类命名空间

指定所用分类标准在电子邮件标头中所需的分类命名空间。例如，命名空间“gov.au”在标头中显示为“NS=gov.au”。

默认值为空。

电子邮件分类版本

指定电子邮件标头中按所用分类标准要求的分类版本。例如，版本“2012.3”在标头中显示为“VER=2012.3”。

默认值为空。

默认电子邮件分类

指定如果用户未选择标记，Secure Mail 将应用于电子邮件的保护性标记。此值必须在“电子邮件分类标记”策略的列表中。

默认值为 UNOFFICIAL。

启用电子邮件草稿自动保存

如果设置为“开”，Secure Mail 支持将邮件自动保存到“草稿”文件夹。

默认值为“开”。

初始身份验证机制

此策略指示是使用 MDX 提供的邮件服务器地址还是用户的电子邮件地址来填充首次使用预配屏幕上的“地址”字段。

默认值为“邮件服务器地址”。

初始身份验证凭据

此策略定义必须选择作为用户名以填充到初始首次使用预配屏幕中的值。

默认值为“注册用户名”。

启用用户名自动填充

如果启用，用户名将自动填充到帐户预配用户界面中。默认值为“开”。

启用 iOS 数据保护

注意：

此策略适用于必须满足澳大利亚信号局 (ASD) 计算机安全要求的企业。

在处理文件时启用 iOS 数据保护。如果设置为“开”，则指定在应用程序沙盒中创建和打开文件时的文件保护级别。默认值为“关”。

推送通知 EWS 主机名

托管用于邮件的 Exchange Web Services (EWS) 的服务器。该值必须是 EWS 的 URL 以及端口号。默认值为空。

推送通知

启用基于 APNs 的邮箱活动通知。如果设置为“开”，Secure Mail 支持推送通知。

默认值为“关”。

推送通知区域

Secure Mail 用户 APNs 主机所在的区域。选项包括“美洲”、“EMEA”和“APAC”。默认值为“美洲”。

S/MIME 公共证书源

指定 S/MIME 证书的来源。如果设置为“电子邮件”，则必须将用户证书通过电子邮件发送给用户，然后用户在 Secure Mail 中打开电子邮件并导入附加的证书。

如果设置为“共享保管库”，受支持的数字身份提供商会将证书提供给 Secure App 共享保管库。与第三方提供商的集成要求您向用户发布相关应用程序。有关用户体验的详细信息，请参阅“首次启动 Secure Mail 时启用 S/MIME”策略的说明。

默认值为“电子邮件”。

首次启动 Secure Mail 时启用 S/MIME

确定 Secure Mail 是否在首次启动 Secure Mail 时启用 S/MIME（如果 S/MIME 证书源策略为“共享保管库”）。如果设置为“开”，则如果共享保管库中有用户的证书，Secure Mail 将启用 S/MIME。如果共享保管库中没有证书，系统会提示用户导入证书。在这两种情况下，用户都必须在 Secure Mail 中创建帐户之前从受支持的数字身份提供商应用程序配置证书。

如果设置为“关”，Secure Mail 不会启用 S/MIME，用户可以在 Secure Mail 设置中启用它。默认值为“关”。

日历 Web 和音频选项

• GoToMeeting 和用户输入： 用户可以选择他们想要设置的会议类型。选项包括 GoToMeeting（打开 GoToMeeting 页面）和“其他会议”（允许用户手动输入会议信息）。
• 仅限用户输入： 用户将直接转到“其他会议”页面，在那里他们可以手动输入会议信息。

S/MIME 公共证书源

指定 S/MIME 公共证书的来源。如果设置为“Exchange”，Secure Mail 将从 Exchange Server 获取证书。如果设置为“LDAP”，Secure Mail 将从 LDAP 服务器获取证书。默认值为“Exchange”。

LDAP 服务器地址

LDAP 服务器地址，包括端口号。默认值为空。

LDAP 基本 DN

LDAP 基本可分辨名称。默认值为空。

匿名访问 LDAP

如果此策略设置为“开”，Secure Mail 可以在未经事先身份验证的情况下搜索 LDAP。默认值为“关”。

允许的电子邮件域

定义允许的电子邮件域列表，采用逗号分隔格式，例如 server.company.com,server.company.co.uk。默认值为空，这意味着 Secure Mail 不会筛选电子邮件域并支持所有电子邮件域。Secure Mail 将列出的域与电子邮件地址中的域名进行匹配。例如，当 server.company.com 是列出的域名且电子邮件地址为 user@internal.server.company.com 时，Secure Mail 支持该电子邮件地址。

身份验证失败时尝试迁移用户名

尝试将 Exchange 用户名迁移到 UPN 以进行身份验证。默认值为 Off。

报告网络钓鱼邮件地址

如果已配置，您可以将可疑网络钓鱼邮件报告给指定的电子邮件地址或逗号分隔的电子邮件地址列表。默认值为空。如果您未配置此策略，则将无法报告网络钓鱼邮件。

报告网络钓鱼机制

此策略指示用于报告可疑网络钓鱼邮件的机制。

• 通过附件报告： 将网络钓鱼邮件作为附件报告。附件将发送到“报告网络钓鱼邮件地址”策略中配置的电子邮件地址或逗号分隔的电子邮件地址列表。
• 通过转发报告： 将网络钓鱼邮件作为转发报告。邮件将转发到“报告网络钓鱼邮件地址”策略中配置的电子邮件地址或逗号分隔的电子邮件地址列表。

注意：

此策略仅适用于 Microsoft Exchange Server。

默认值为 通过附件报告。

Skype for Business 会议域

此策略包含用于 Skype for Business 会议的逗号分隔域列表。

Secure Mail 已处理具有以下 URL 前缀的会议：

• https://join
• https://meet
• https://lync

通过此策略，可以添加其他 Skype for Business 域，格式为 https://*domain*。域可以是字母数字字符字符串，不能包含任何特殊字符。请勿输入前面的 https:// 或后面的点。

示例：

如果策略值为 customDomain1,customDomain2，则 Skype for Business 支持的 URL 前缀将为：

• https://customDomain1
• http://customDomain1
• https://customDomain2
• http://customDomain2

默认值为空。

导出日历

此策略允许将 Secure Mail 日历事件导出到您的设备或个人日历。您可以在个人日历中查看您的事件。您可以使用 Secure Mail 编辑事件。默认值为 会议时间。

以下 MDX 策略值可用于显示在您的个人日历中的日历事件字段：

• 无（不导出）
• 会议时间
• 会议时间、位置
• 会议时间、主题、位置
• 会议时间、主题、位置、备注

来电显示

如果为 On，Secure Mail 会将您保存的联系人的姓名和联系电话提供给 iOS，用于来电显示。此数据仅用于识别和显示来自您保存的 Secure Mail 联系人列表的来电详细信息。默认值为 On。

Office 365 的 OAuth 支持

Office 365 身份验证机制

此策略指示在 Office 365 上配置帐户时用于身份验证的 OAuth 机制。

• 不使用 OAuth： 不使用 OAuth，Secure Mail 使用基本身份验证进行帐户配置。
• 使用带用户名和密码的 OAuth： 用户必须提供其用户名和密码，并可选择提供 MFA 代码以进行 OAuth 流程。
• 使用带客户端证书的 OAuth： 用户使用客户端证书对 OAuth 流程进行身份验证。

默认值为 “不使用 OAuth”。

受信任的 Exchange Online 主机名

定义在配置帐户时使用 OAuth 机制进行身份验证的受信任 Exchange Online 主机名列表。此值采用逗号分隔格式，例如 server.company.com, server.company.co.uk。如果列表为空，Secure Mail 将使用基本身份验证进行帐户配置。默认值为 outlook.office365.com。

受信任的 AD FS 主机名

定义在 Office 365 OAuth 身份验证期间密码自动填充的网页的受信任 AD FS 主机名列表。此值采用逗号分隔格式，例如 sts.companyname.com, sts.company.co.uk。如果列表为空，Secure Mail 不会自动填充密码。Secure Mail 将列出的主机名与 Office 365 身份验证期间遇到的网页主机名进行匹配，并检查该页面是否使用 HTTPS 协议。例如，当 sts.company.com 是列出的主机名且用户导航到 https://sts.company.com 时，如果该页面具有密码字段，Secure Mail 将填充密码。默认值为 login.microsoftonline.com。

邮件重定向

邮件重定向

阻止或限制任何邮件撰写。Secure Mail 将邮件撰写重定向到 Secure Mail。如果已设置帐户，本机邮件会将邮件撰写重定向到本机邮件。默认值为 Secure Mail。

Slack 集成

启用 Slack

阻止或允许 Slack 集成。如果为 ON，Secure Mail 界面将包含 Slack 功能。如果为 OFF，Secure Mail 界面将不包含 Slack 功能。默认值为 OFF。

Slack 工作区名称

您公司的 Slack 工作区名称。如果您提供名称，Secure Mail 会在登录期间预填充工作区名称。如果您不提供名称，用户必须键入工作区名称 (name.slack.com)。默认值为空。