适用于 iOS 的移动生产力应用程序的 MDX 策略
本文介绍面向 iOS 应用程序的 MDX 策略。在 Citrix Endpoint Management 控制台中更改策略设置。有关详细信息,请参阅添加应用程序。
以下列表不包括特定于 Secure Web 的 MDX 策略。有关针对 Secure Web 而显示的策略的详细信息,请参阅关于 Secure Web 策略。
身份验证
设备通行码
如果设置为开,则当设备在启动时或在处于不活动状态一段时间后恢复时,必须输入 PIN 码或通行码才能解锁此设备。要使用 Apple 文件加密功能加密应用程序数据,必须使用设备通行码。设备上所有应用程序的数据都将被加密。默认值为关。
应用程序通行码
如果设置为 On(启用),启用程序在处于不活动状态一段时间后启动或恢复时需要输入 PIN 或通行码才能解锁。默认值为开。
要配置所有应用程序的不活动计时器,请在设置选项卡上的客户端属性中设置 INACTIVITY_TIMER 值(以分钟为单位)。默认不活动计时器值为 60 分钟。要禁用不活动计时器以便 PIN 或通行码提示仅在应用程序启动时出现,请将值设置为 0。
注意:
如果为“加密密钥”策略选择安全脱机,则将自动启用此策略。
最长脱机期限(小时)
定义应用程序可以运行而不需要从 Citrix Endpoint Management 重新确认应用程序授权并刷新策略的最长期限。过期后,可能会根据需要触发到服务器的登录。默认值为 168 小时(7 天)。最短期限为 1 小时。
备用 Citrix Gateway
注意:
此策略在 Endpoint Management 控制台中的名称为备用 NetScaler Gateway。
必须用于身份验证以及与此应用程序之间的微型 VPN 会话的特定备用 Citrix Gateway 的地址。此策略为可选策略。与“Online session required”(需要联机会话)策略结合使用时将强制应用程序重新对特定网关进行身份验证。此类网关通常具有不同的(具有更高保障)身份验证要求和流量管理策略。如果保留为空,则将始终使用服务器的默认网关。默认值为空。
设备安全
阻止越狱或获得 Root 权限
如果设置为 On(启用),则将在设备已越狱或已获得 root 权限后锁定应用程序。如果设置为 Off(禁用),则即使设备已越狱或已获得 root 权限,应用程序仍可运行。默认值为开。
网络要求
需要 Wi-Fi
如果设置为开,则当设备未连接到 Wi-Fi 网络时,应用程序将被锁定。如果设置为关,则当设备具有活动连接(例如 4G/3G、LAN 或 Wi-Fi 连接)时,应用程序可以运行。默认值为关。
允许使用的 Wi-Fi 网络
Wi-Fi 网络的逗号分隔列表。如果网络名称中包含任何非字母数字字符(包括逗号),则必须用双引号将名称括起来。应用程序仅会在连接到所列网络之一的情况下运行。如果为空,则允许所有网络。此值不会影响与手机网络的连接。默认值为空。
其他访问
禁用所需的升级
禁用用户升级到 App Store 中的最新版本的应用程序的要求。默认值为开。
应用程序更新宽限期(小时)
定义系统检测到应用程序更新可用时可以继续使用应用程序的宽限期。默认值为 168 小时(7 天)。
注意:
我们建议您不要使用值 0。值 0 会立即阻止使用正在运行的应用程序,直至下载并安装更新(但不会向用户发出任何警告)。使用此值可能会导致出现用户被强制退出应用程序的情况(可能会丢失工作),以遵从所需的更新。
锁定时擦除应用程序数据
锁定应用程序后,擦除数据并重置应用程序。如果设置为 Off(禁用),锁定应用程序时将不擦除应用程序数据。默认值为关。
应用程序可能由于以下任何原因而锁定:
- 用户丢失应用程序授权
- 应用程序订阅被删除
- 帐户已删除
- Secure Hub 已卸载
- 应用程序身份验证失败的次数过多
- 检测到已越狱的设备(根据策略设置)
- 设备被其他管理操作置于锁定状态
活动轮询期限(分钟)
应用程序启动时,MDX 框架将轮询 Citrix Endpoint Management 以确定当前应用程序和设备状态。如果能够访问运行 Endpoint Management 的服务器,该框架将返回与设备的锁定/擦除状态和应用程序的启用/禁用状态有关的信息。无论是否能够访问该服务器,都会根据活动轮询期限时间间隔安排后续的轮询。超过此期限后,将重新尝试执行新轮询。默认值为 60 分钟(1 小时)。
重要:
只有在应用程序面临高风险时才将此值设置为低于默认值,否则性能可能会受到影响。
加密
加密类型
允许您选择 MDX 还是设备平台负责处理数据加密。如果选择 MDX 加密,MDX 会加密数据。如果选择强制合规的平台加密,设备平台将对数据进行加密。默认值为 MDX 加密。
不合规设备行为
允许您在设备不符合加密的最低合规性要求时选择一项操作。选择允许应用程序允许应用程序正常运行。选择允许应用程序在显示警告后运行以便应用程序在显示警告后运行。选择阻止以阻止应用程序运行。默认值为允许应用程序在显示警告后运行。
启用 MDX 加密
如果设置为 Off(禁用),则不加密设备上存储的数据。如果设置为 On(启用),则将加密设备上存储的数据。默认值为开。
小心:
如果您在部署某个应用程序后更改了此策略,用户必须重新安装该应用程序。
数据库加密排除项
不自动加密的数据库的排除列表。要阻止对特定数据库执行数据库加密,请将一个条目添加到正则表达式的逗号分隔列表中。如果数据库路径名称与任何正则表达式匹配,则会将该数据库从加密中排除。排除模式支持 Posix 1003.2 扩展正则表达式语法。模式匹配不区分大小写。
示例
\\.db$,\\.sqlite$ 会将以 .db 或 .sqlite 结尾的所有数据库路径名称排除在外。
\/Database\/unencrypteddb\.db 与 Database 子文件夹中的数据库 unencrypteddb.db 相匹配。
\/Database\/ 与其路径中包含 /Database/ 的所有数据库相匹配。
默认值为空。
文件加密排除项
不自动加密的文件的排除列表。要阻止加密一组特定的文件,请将一个条目添加到正则表达式的逗号分隔列表中。如果文件路径名称与任何正则表达式匹配,则会将该文件从加密中排除。排除模式支持 Posix 1003.2 扩展正则表达式语法。模式匹配不区分大小写。
示例
\\.log$,\\.dat$ 将以 .log 或 .dat 结尾的所有文件路径名称排除在外。
\/Documents\/unencrypteddoc\.txt 与 Documents 子文件夹中的文件 unencrypteddoc.txt 的内容相匹配。
\/Documents\/UnencryptedDocs\/.*\.txt 与子路径 /Documents/UnencryptedDocs/ 下的 .txt 文件相匹配。
默认值为空。
应用程序交互
剪切和复制
阻止、允许或限制此应用程序的剪贴板剪切和复制操作。如果选择限制,复制的剪贴板数据将放置在仅对 MDX 应用程序可用的专用剪贴板中。默认值为限制。
粘贴
阻止、允许或限制此应用程序的剪贴板粘贴操作。如果选择限制,粘贴的剪贴板数据来源于仅对 MDX 应用程序可用的专用剪贴板。默认为不限制。
文档交换(打开方式)
阻止、允许或限制此应用程序的文档交换操作。如果选择限制,则只能与其他 MDX 应用程序交换文档。
如果设置为不限制,则“启用加密”策略设置为开,以便用户可以打开解包的应用程序中的文档。如果收到的应用程序未打包或者禁用了加密,Citrix Endpoint Management 将解密文档。 默认值为限制。
受限制的打开方式例外列表
“文档交换(打开方式)”策略设置为限制时,MDX 应用程序可以与逗号分隔的非托管应用程序 ID 列表共享文档。即使“文档交换(打开方式)”策略设置为限制,“启用加密”设置为开亦如此。默认例外列表允许 Office 365 应用程序:
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
此策略仅支持 Office 365 应用程序。
小心:
请务必考虑此策略对安全性的潜在影响。例外列表允许内容在非托管应用程序与 MDX 环境之间传播。
连接安全级别
确定连接使用的 TLS/SSL 的最低版本。如果选择 TLS,连接将支持所有 TLS 协议。如果选择 SSLv3 和 TLS,连接将支持 SSL 3.0 和 TLS。默认值为 TLS。
入站文档交换(打开方式)
阻止、限制或允许此应用程序的入站文档交换操作。如果选择限制,则只能与其他 MDX 应用程序交换文档。默认为不限制。
如果设置为阻止或限制,则您可以使用“入站文档交换白名单”策略指定可向此应用程序发送文档的应用程序。
选项:不限制、阻止或限制
应用程序 URL 方案
iOS 应用程序可以将 URL 请求发送给已注册的其他应用程序,以处理特定方案(例如 http://)。此工具提供某个应用程序将帮助请求传递到另一个应用程序的机制。此策略用于过滤从此应用程序传递到其他应用程序以便进行处理的 URL (即出站 URL)。默认值为空,意味着阻止所有已注册的应用程序 URL 方案。
此策略的格式必须为逗号分隔的模式列表,其中每种模式的前面都可能带有加号“+”或减号“-”。将入站 URL 按照列出的顺序与这些模式进行比较,直到找到匹配项。匹配后,所执行的操作将取决于前缀。
- 前缀减号 (-) 阻止将 URL 传递到此应用程序中。
- 前缀加号 (+) 允许将 URL 传递到此应用程序中以进行处理。
- 如果随模式提供 + 或 -,则会假定提供 +(允许)。
- 将阻止与列表中的任何模式都不匹配的入站 URL。
下表包含应用程序 URL 方案示例:
| 方案 | 需要 URL 方案的应用程序 | 用途 |
|---|---|---|
ctxmobilebrowser |
Secure Web- | 允许 Secure Web 处理来自其他应用程序的 HTTP: URL。- |
ctxmobilebrowsers |
Secure Web- | 允许 Secure Web 处理来自其他应用程序的 HTTPS: URL。 |
ctxmail |
Secure Mail- | 允许 Secure Mail 处理来自其他应用程序的 mailto: URL。 |
| COL-G2M | GoToMeeting- | 允许打包 GoToMeeting 应用程序处理会议请求。 |
ctxsalesforce |
Citrix for Salesforce - | 允许 Citrix for Salesforce 处理 Salesforce 请求。 |
wbx |
WebEx | 允许打包 WebEx 应用程序处理会议请求。 |
应用程序交互(出站 URL)
从 URL 过滤中排除的域
此策略将排除任何“允许的 URL”过滤中的出站 URL。添加要从“允许的 URL”过滤中排除的完全限定域名 (FQDN) 或 DNS 后缀的列表,以逗号分隔。如果此策略为空(默认值),定义的“允许的 URL”过滤过程为 URL。如果此策略中包含任何条目,则主机字段至少匹配列表中的一个项目(通过 DNS 后缀匹配)的 URL 将被原样发送至 iOS。此通信绕过“允许的 URL”过滤逻辑。默认值为空。
允许的 URL
iOS 应用程序可以将 URL 请求发送给已注册的其他应用程序,以处理特定方案(例如 "http://")。此工具提供某个应用程序将帮助请求传递到另一个应用程序的机制。此策略用于过滤从此应用程序传递到其他应用程序以便进行处理的 URL(即出站 URL)。
此策略的格式必须为逗号分隔的模式列表,其中每个模式的前面可能都带有加号 (+) 或减号 (-)。将出站 URL 按照列出的顺序与这些模式进行比较,直到找到匹配项。匹配后,前缀将决定所执行的操作。前缀减号“-”阻止将该 URL 传出到其他应用程序。前缀加号“+”允许将该 URL 传出到其他应用程序以便进行处理。如果随模式提供 + 或 -,则会假定提供 +(允许)。一对由 = 分隔的值指示替换,即将出现的第一个字符串替换为第二个字符串。您可以使用正则表达式 ^ 前缀来搜索字符串以将其固定在 URL 的开头。如果出站 URL 与列表中的任何模式都不匹配,则将阻止该 URL。
默认值
+maps.apple.com
+itunes.apple.com
^http:=ctxmobilebrowser:
^https:=ctxmobilebrowsers:
^mailto:=ctxmail:
+^citrixreceiver:
+^telprompt:
+^tel:
+^lmi-g2m:
+^maps:ios_addr
+^mapitem:
+^sms:
+^facetime:
+^ctxnotes:
+^ctxnotesex:
+^ctxtasks:
+^facetime-audio:
+^itms-apps:
+^ctx-sf:
+^sharefile:
+^lync:
+^slack:
+^msteams:
如果此设置为空,则将阻止所有 URL,但以下各项除外:
http:https:+citrixreceiver: +tel:
下表包含允许的 URL 示例:
| URL 格式 | 说明 |
|---|---|
| ^mailto:=ctxmail | 所有 mailto: URL 在 Secure Mail 中打开。 |
| ^http | 所有 HTTP URL 在 Secure Web 中打开。 |
| ^https | 所有 HTTPS URL 在 Secure Web 中打开。 |
| ^tel | 允许用户拨打电话。 |
-//www.dropbox.com |
阻止从托管应用程序发送的 Dropbox URL。 |
| +^COL-G2M | 允许托管应用程序打开 GoToMeeting 客户端应用程序。 |
| -^SMS | 阻止使用消息聊天客户端。 |
| -^wbx | 阻止托管应用程序打开 WebEx 客户端应用程序。 |
| +^ctxsalesforce | 允许 Citrix for Salesforce 与 Salesforce 服务器通信。 |
允许的 Secure Web 域
此策略仅影响会将 URL 重定向到 Secure Web 应用程序的“允许的 URL”策略条目(^ http:=ctxmobilebrowser: 和 ^https:=ctxmobilebrowsers:)。添加允许重定向到 Secure Web 应用程序的完全限定域名 (FQDN) 或 DNS 后缀的列表,以逗号分隔。如果此策略为空(默认值),所有域都可以重定向到 Secure Web 应用程序。如果此策略包含任何条目,则仅将主机字段至少匹配列表中的一个项目(通过 DNS 后缀匹配)的 URL 重定向到 Secure Web 应用程序。所有其他 URL 都将按原样发送到 iOS,从而绕过 Secure Web 应用程序。 默认值为空。
应用程序限制
重要:
请务必考虑用于阻止应用程序访问或使用电话功能的策略对安全性的潜在影响。当那些策略设置为关时,内容可以在非托管应用程序与安全的环境之间传播。
阻止相机
如果设置为开,则将阻止应用程序直接使用摄像头硬件。默认值为关。
阻止照片库
如果设置为开,则将阻止应用程序访问设备上的照片库。默认值为开。
阻止麦克风录音
如果设置为开,则将阻止应用程序直接使用麦克风软件。默认值为开。
阻止听写
如果设置为开,则将阻止应用程序直接使用听写服务。默认值为开。
阻止定位服务
如果设置为开,则将阻止应用程序使用定位服务组件(GPS 或网络)。对于 Secure Mail,默认值为关。
阻止 SMS 撰写
如果设置为开,则将阻止应用程序使用用于从该应用程序发送 SMS/文本消息的 SMS 撰写功能。 默认值为开。
阻止电子邮件撰写
如果设置为开,则阻止应用程序使用用于从该应用程序发送电子邮件消息的电子邮件撰写功能。 默认值为开。
阻止 iCloud
如果设置为开,则将阻止应用程序使用 iCloud 存储和共享设置及数据。
注意:
iCloud 数据文件由“阻止文件备份”策略控制。
默认值为开。
阻止查找
如果设置为开,则阻止应用程序使用查找功能,该功能将搜索字典、iTunes、App Store、电影放映时间、附件的位置等对象中高亮显示的文本。默认值为开。
阻止文件备份
如果设置为开,则将阻止 iCloud 或 iTunes 备份数据文件。默认值为开。
阻止 AirPrint
如果设置为开,则阻止应用程序使用 AirPrint 功能将数据打印到启用了 AirPrint 的打印机。默认值为开。
阻止 AirDrop
如果设置为开,则将阻止应用程序直接使用 AirDrop。默认值为开。
阻止文件附件
注意:
此策略将在 iOS 11 或更高版本上执行。
如果设置为开,附件处理将处于禁用状态。默认值为关。
阻止 Facebook 和 Twitter API
如果设置为开,则阻止应用程序使用 iOS Facebook 和 Twitter API。默认值为开。
遮蔽屏幕内容
如果设置为开,则当用户切换应用程序时,将隐藏屏幕。此策略阻止 iOS 录制屏幕内容和显示缩略图。默认值为开。
阻止第三方键盘(仅限 iOS 11 及更高版本)
如果设置为开,则将阻止应用程序在 iOS 8 及更高版本上使用第三方键盘扩展。默认值为开。
阻止应用程序日志
如果设置为开,则会阻止应用程序使用移动生产力应用程序诊断日志记录设备。如果设置为关,则将记录应用程序日志,并且可以使用 Secure Hub 电子邮件支持功能收集应用程序日志。默认值为关。
启用 ShareFile
允许用户使用 ShareFile 传输文件。默认值为开。
启用从文件附加
允许用户从 iOS 文件应用程序添加附件。 默认值为开。
应用程序网络访问
网络访问
注意:
通道 - Web SSO 是设置中安全浏览的名称。该行为是相同的。
设置选项如下所示:
- 阻止:阻止所有网络访问。由您的应用程序使用的网络 API 将失败。根据以前的原则,必须正确处理此类故障。
- 不限制:所有网络调用都将直接传输,而不通过通道传输。
- 通道 - Web SSO:重写 HTTP/HTTPS URL。此选项仅允许通过通道传输 HTTP 和 HTTPS 流量。通道 - Web SSO 的一个重要优点是可针对 HTTP 和 HTTPS 流量进行单点登录 (SSO),以及执行 PKINIT 身份验证。在 Android 中,此选项的设置开销低,因此是适用于 Web 浏览操作类型的优先选项。
如果您使用的是通道 - 完整 VPN 或通道 - 完整 VPN 和 Web SSO 策略,则必须切换到通道 - Web SSO 策略。如果继续使用已弃用的策略,您的电子邮件将无法同步。
注意:
如果您使用的是 通道 - 完整 VPN,并且配置了 Secure Ticket Authority (STA),则无法加载新式验证屏幕。
要求 Micro VPN 会话
如果设置为是,用户必须连接到企业网络并且具有活动会话。如果设置为否,则不需要活动会话。默认值是使用以前的设置。对于新上载的应用程序,默认值为否。在升级到此新策略之前,无论选择哪个设置仍有效,直到选择除使用以前的设置之外的选项为止。
要求 Micro VPN 会话宽限期(分钟)
此值确定“要求联机会话”策略阻止用户进一步脱机使用应用程序(直到验证联机会话)之前,用户可以脱机使用应用程序的分钟数。默认值为 0(无宽限期)。此策略不适用于与 Microsoft Intune/EMS 的集成。
证书标签
与 StoreFront 证书集成服务结合使用时,此标签将标识此应用程序所需的特定证书。如果未提供任何标签,证书将不可与公钥基础结构 (PKI) 结合使用。默认值为空(不使用证书)。
排除列表
要直接访问而非通过 VPN 连接的 FQDN 或 DNS 的逗号分隔列表。当在拆分通道反向模式下配置了 Citrix Gateway 时,此值仅适用于通道 - Web SSO 模式。
应用程序日志
默认日志输出
确定移动生产力应用程序诊断日志记录工具默认使用的输出媒介。可能的媒介为文件、控制台或两者。默认值为文件。
默认日志级别
控制移动生产力应用程序诊断日志记录工具的默认详细程度。每个级别包括较小级别的值。可能的级别范围包括:
- 0 - 不记录任何内容
- 1 - 严重错误
- 2 - 错误
- 3 - 警告
- 4 - 信息消息
- 5 - 详细信息消息
- 6 到 15 - 调试值 1 到 10
默认值为级别 4(信息消息)。
日志文件数上限
限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件数。最小值为 2。最大值为 8。默认值为 2。
日志文件大小上限
限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件的大小 (MB)。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。
应用程序地理围栏
中心点经度
限制在其中运行应用程序的点/半径地理围栏的中心点的经度(X 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。
值必须以带符号的度数格式 (DDD.dddd) 进行表示,例如 -31.9635。西部经度的前面必须带减号。默认值为 0。
中心点纬度
限制在其中运行应用程序的点/半径地理围栏的中心点的纬度(Y 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。
该值必须以带符号的度数格式 (DDD.dddd) 进行表示,例如 -43.06581。南部纬度的前面必须带减号。默认值为 0。
半径
允许在其中运行应用程序的地理围栏的半径。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。
该值必须以米表示。如果设置为零,地理围栏将处于禁用状态。启用“阻止定位服务”策略后,地理围栏功能无法正常运行。默认值为 0(禁用)。
启用 Google Analytics
如果设置为开,Citrix 将收集匿名数据以提高产品质量。如果设置为关,则不收集任何数据。 默认值为开。
分析
Google Analytics 的详细信息级别
Citrix 收集分析数据以提高产品质量。选择匿名将不包括公司的可识别信息。默认值为完整。
报告
Citrix 报告
如果设置为开,Citrix 将收集崩溃报告和诊断信息以帮助对相关问题进行故障排除。如果设置为关,Citrix 将不收集数据。
注意:
Citrix 可能会使用功能标志控制此功能。必须同时启用功能标志和此策略,才能使此功能正常工作。
默认值为关。
上载令牌
您可以从您的 Citrix Insight Services (CIS) 帐户获取上载令牌。如果指定此可选令牌,CIS 可以访问从您的设备上载的崩溃报告和诊断信息。Citrix 有权访问相同的信息。默认值为空。
仅通过 Wi-Fi 发送报告
如果设置为开,Citrix 将仅在您连接到 Wi-Fi 网络时发送崩溃报告和诊断数据。默认值为开。
报告文件缓存最大值
限制清除缓存之前保留的崩溃报告和诊断包的大小。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。
应用程序交互
显式注销通知
如果设置为禁用,则应用程序不会在用户注销期间激活。如果设置为仅共享设备,则只有在将设备配置为共享设备时,应用程序才会在用户注销期间激活。对于 Secure Mail,默认值为仅共享设备。
应用程序设置
Secure Mail Exchange Server
Exchange Server 或 IBM Notes Traveler 服务器(仅限 iOS)的完全限定域名 (FQDN)。默认值为空。如果在此字段中提供了一个域名,则用户不能对其进行编辑。如果留空此字段,则用户可提供自己的服务器信息。
小心:
如果您为现有应用程序更改了此策略,则用户必须删除并重新安装该应用程序才能应用策略更改。
Secure Mail 用户域
Exchange 用户或(仅限 iOS)Notes 用户的默认 Active Directory 域名。默认值为空。
后台网络服务
允许后台网络访问使用的服务地址的 FQDN 和端口。此值可能是 Exchange Server 或 ActiveSync 服务器,位于您的内部网络中或 Secure Mail 连接到的其他网络中(例如 mail.example.com:443)。
如果配置了此策略,请将“网络访问”策略设置为通过通道连接到内部网络。仅当您配置了网络访问策略时,此策略才会生效。当 Exchange Server 驻留在您的内部网络中时,或者您想要使用 Citrix Gateway(以前称为 NetScaler Gateway)作为连接到内部 Exchange Server 的代理时,请使用此策略。
默认值为空,表示后台网络服务不可用。
后台服务票据过期日期
后台网络服务票据保持有效的时间段。过期后,需要企业登录以续订票据。默认值为 168 小时(7 天)。
后台网络服务网关
用于后台网络服务的备用网关地址,采用 fqdn:port 格式。此值是 Secure Mail 用于连接到内部 Exchange Server 的 Citrix Gateway FQDN 和端口号。在 Citrix Gateway 配置实用程序中,您必须配置 Secure Ticket Authority (STA) 并将此策略绑定到虚拟服务器。默认值为空,表示备用网关不存在。
如果配置了此策略,请将“网络访问”策略设置为通过通道连接到内部网络。仅当您配置了网络访问策略时,此策略才会生效。当 Exchange Server 驻留在您的内部网络中,并且您想要使用 Citrix Gateway 作为连接到内部 Exchange Server 的代理时,请使用此策略。
导出联系人
重要:
如果用户可直接访问您的 Exchange Server(即在 Citrix Gateway 外),请勿启用此功能。否则,会在设备上和 Exchange 中创建重复的联系人。
如果设置为关,则阻止将 Secure Mail 联系人单向同步到设备,并阻止共享 Secure Mail 联系人(例如 vCard)。默认值为关。
要导出的联系人字段
控制要导出到通讯簿的联系人字段。如果选择全部,将导出所有联系人字段。如果选择姓名和电话,则将导出所有与姓名和电话相关的联系人字段。如果选择姓名、电话和电子邮件,则将导出所有与姓名、电话和电子邮件相关的联系人字段。
默认值为全部。
接受所有 SSL 证书
如果设置为开,Secure Mail 将接受所有 SSL 证书(无论是否有效)并允许进行访问。如果设置为关,Secure Mail 会在发生证书错误时阻止访问,并显示警告。
默认值为关。
控制锁定屏幕通知
控制是否在锁定的设备屏幕上显示邮件和日历通知。如果选择允许,将显示通知中包含的所有信息。如果选择阻止,将不显示通知。如果选择电子邮件发件人或事件标题,则仅显示电子邮件发件人的姓名或日历事件的标题。如果设置为仅计数,则会显示邮件和会议邀请的数量以及日历提醒的时间。默认值为允许。
默认电子邮件通知
如果设置为开,Secure Mail 将显示电子邮件的锁屏界面通知。默认值为开。
默认同步时间间隔
指定 Secure Mail 的默认同步时间间隔。Secure Mail 用户可以更改默认设置。Exchange ActiveSync 邮箱策略设置电子邮件过滤器过滤的最长时间段的优先级高于此策略。如果指定的“默认同步时间间隔”大于“电子邮件过滤器过滤的最长时间段”,则将改为使用电子邮件过滤器过滤的最长时间段设置。
Secure Mail 仅会显示小于 Active Sync Maximum email age filter(Active Sync 电子邮件过滤器过滤的最长时间段)设置的同步时间间隔值。
默认值是 3 天。
邮件搜索限制
限制可从移动设备访问的历史邮件数量,这是通过限制包括在邮件服务器搜索中的天数实现的。默认值是无限制。
要限制同步到移动设备的邮件数量,请配置“最大客户端同步间隔”策略。
最大同步间隔
通过限制同步期限控制在移动设备本地存储的邮件数量。默认值为全部。要限制可在设备邮件服务器上检索的时间段,请配置“邮件服务器搜索限制”策略。
启用周数
如果设置为开,则日历视图中包括周数。默认值为关。
允许通过 Wi-Fi 下载附件
如果设置为开,则启用 Secure Mail 的“下载附件”选项,以便默认情况下用户能够通过内部 Wi-Fi 网络下载附件。如果设置为关,则禁用 Secure Mail 的“下载附件”选项,以便默认情况下用户不能通过 Wi-Fi 下载附件。
默认值为关。
允许存储脱机文档
指定用户是否能够在设备上存储脱机文档以及可以存储的时间。默认值是无限制。
信息权限管理
如果设置为开,则 Secure Mail 支持 Exchange 信息权限管理 (IRM) 功能。默认值为关。
电子邮件分类
如果设置为开,Secure Mail 将支持电子邮件的 SEC(安全性)标记和 DLM(分发限制标记)。分类标记在电子邮件标头中作为 X 保护标记的值显示。请务必配置相关的电子邮件分类策略。
默认值为关。
电子邮件分类标记
指定要对用户可用的分类标记。如果列表为空,Secure Mail 将不包括保护标记列表。标记列表中包含冒号分隔的值对。每个值对中都包含 Secure Mail 中显示的值以及标记值(在 Secure Mail 中附加到电子邮件主题和标头的文本)。例如,在标记对 UNOFFICIAL,SEC=UNOFFICIAL 中,列表值为 UNOFFICIAL,标记值为 SEC=UNOFFICIAL。
电子邮件分类命名空间
根据所使用的分类标准指定电子邮件标头中所需的分类命名空间。例如,命名空间 gov.au 在标头中显示为 NS=gov.au。
默认值为空。
电子邮件分类版本
根据所使用的分类标准指定电子邮件标头中所需的分类版本。例如,版本 2012.3 在标头中显示为 VER=2012.3。
默认值为空。
默认电子邮件分类
指定当用户未选择标记时,Secure Mail 对电子邮件应用的保护标记。此值必须在“电子邮件分类标记”策略的列表中。
默认值为 UNOFFICIAL。
启用自动保存电子邮件草稿
如果设置为开,Secure Mail 支持自动将邮件保存到草稿文件夹中。
默认值为开。
初始身份验证机制
此策略指示必须使用 MDX 提供的邮件服务器地址填充首次使用预配屏幕上的“地址”字段,还是必须使用用户的电子邮件地址。
默认值为邮件服务器地址。
初始身份验证凭据
此策略定义必须选择作为用户名以填充到初始首次使用置备屏幕中的值。
默认值为注册用户名。
启用自动填充用户名
如果启用,用户名将在帐户预配用户界面中自动填充。默认值为开。
启用 iOS 数据保护
注意:
此策略适用于必须满足澳大利亚信号理事会 (ASD) 计算机安全要求的企业。
在处理文件时,启用 iOS 数据保护。如果此策略设置为开,则在应用程序沙盒中创建和打开文件时指定文件保护级别。默认值为关。
推送通知 EWS 主机名
为邮件托管 Exchange Web Services (EWS) 的服务器。值必须为 EWS 的 URL 以及端口号。默认值为空。
推送通知
启用与邮箱活动有关的基于 APNs 的通知。如果设置为开,Secure Mail 将支持推送通知。
默认值为关。
推送通知地理区域
面向 Secure Mail 用户的 APNs 主机所在的区域。选项包括美洲地址、EMEA 和 APAC。默认值为美洲地区。
S/MIME 公用证书来源
指定 S/MIME 证书的来源。如果设置为电子邮件,则必须通过电子邮件将证书发送给用户,用户随后在 Secure Mail 中打开电子邮件并导入附加的证书。
如果设置为共享保管库,支持的数字身份提供程序将向 Secure Apps 共享保管库提供证书。与第三方提供程序的集成要求您为用户发布相关的应用程序。有关用户体验的详细信息,请参阅“首次启动 Secure Mail 过程中启用 S/MIME”策略的说明。
默认值为电子邮件。
首次启动 Secure Mail 过程中启用 S/MIME
确定在“S/MIME 证书源”策略设置为共享保管库的情况下,Secure Mail 是否会在首次启动 Secure Mail 时启用 S/MIME。如果设置为开,Secure Mail 将在共享保管库中存在面向用户的证书时启用 S/MIME。如果共享保管库中没有证书,系统将提示用户导入证书。在这两种情况下,用户必须在 Secure Mail 中创建帐户之前,从受支持的数字身份提供程序应用程序配置证书。
如果设置为关,Secure Mail 将不启用 S/MIME,用户可以在 Secure Mail 设置中启用 S/MIME。默认值为关。
日历 Web 和音频选项
- GoToMeeting 和用户输入:用户可以选择自己想到设置的会议类型。选项包括 GoToMeeting(打开一个 GoToMeeting 页面)以及其他会议(允许用户手动输入会议信息)。
- 仅输入用户:用户将直接转至“其他会议”页面,可以在该页面上手动输入会议信息。
S/MIME 公用证书来源
指定 S/MIME 公用证书的来源。如果设置为 Exchange,Secure Mail 将从 Exchange Server 中提取证书。如果设置为 LDAP,Secure Mail 将从 LDAP 服务器中提取证书。默认值为 Exchange。
LDAP 服务器地址
LDAP 服务器地址,包括端口号。默认值为空。
LDAP 基础 DN
LDAP 基础标识名。默认值为空。
匿名访问 LDAP
如果此策略设置为开,Secure Mail 不需要事先进行身份验证即可搜索 LDAP。默认值为关。
允许使用的电子邮件域
以逗号分隔的格式定义允许使用的电子邮件域的列表,例如 server.company.com,server.company.co.uk。默认值为空,这表示 Secure Mail 不会过滤电子邮件域,并且支持所有电子邮件域。Secure Mail 会将列出的域与电子邮件地址中的域名进行匹配。例如,当 server.company.com 为列出的域名,并且电子邮件地址为 user@internal.server.company.com 时,Secure Mail 将支持该电子邮件地址。
在身份验证失败时尝试迁移用户名
尝试将 Exchange 用户名迁移到 UPN 以进行身份验证。默认值为关。
报告网络钓鱼邮件地址
如果已配置,您可以向指定的电子邮件地址或逗号分隔的电子邮件地址列表报告可疑的网络钓鱼邮件。默认值为空。如果未配置此策略,您将无法报告网络钓鱼邮件。
报告网络钓鱼机制
此策略指示用于报告可疑网络钓鱼邮件的机制。
- 通过附件进行报告 – 以附件格式报告网络钓鱼邮件。该附件会被发送到在“报告网络钓鱼邮件地址”策略中配置的某个电子邮件地址或以逗号分隔的电子邮件地址的列表。
- 通过转发进行报告:以转发邮件的形式报告网络钓鱼邮件。该邮件会被发送到在“报告网络钓鱼邮件地址”策略中配置的某个电子邮件地址或以逗号分隔的电子邮件地址的列表。
注意:
此策略将仅适用于 Microsoft Exchange Server。
默认值为通过附件进行报告。
Skype for Business 会议域
此策略包含用于 Skype for Business 会议的域的列表,以逗号分隔。
Secure Mail 已处理具有以下 URL 前缀的会议:
https://joinhttps://meethttps://lync
利用此策略,可以在表单 https://*domain* 中添加其他 Skype for Business 域。该域可以是字母数字字符的字符串,并且不能包含任何特殊字符。请勿输入前导 https:// 或后续点。
示例:
如果策略值为 customDomain1,customDomain2,则 Skype for Business 的受支持 URL 前缀为:
https://customDomain1http://customDomain1https://customDomain2http://customDomain2
默认值为空。
导出日历
此策略允许将 Secure Mail 日历事件导出到您的设备或个人日历。您可以在您的个人日历中查看您的事件。您可以使用 Secure Mail 编辑事件。默认值为会议时间。
以下 MDX 策略值适用于您的个人日历中显示的日历事件字段:
- 无(不导出)
- 会议时间
- 会议时间、地点
- 会议时间、主题、地点
- 会议时间、主题、地点和备注
来电显示
如果设置为开,Secure Mail 将向 iOS 提供您已保存的联系人的姓名和电话号码以作为来电显示。此数据仅用于识别和显示来自您已保存的 Secure Mail 联系人列表的传入呼叫的详细信息。默认值为开。
针对 Office 365 的 OAuth 支持
Office 365 身份验证机制
此策略指示在 Office 365 中配置帐户时使用 OAuth 机制进行身份验证。
- 不使用 OAuth:不使用 OAuth,并且 Secure Mail 使用基本身份验证来配置帐户。
- 将 OAuth 与用户名和密码结合使用: 用户必须提供其用户名和密码,以及 OAuth 流的 MFA 代码(可选)。
- 将 OAuth 与客户端证书结合使用: 用户使用客户端证书对 OAuth 流程进行身份验证。
默认值为不使用 OAuth。
可信 Exchange Online 主机名
定义在配置帐户时使用 OAuth 机制进行身份验证的可信 Exchange Online 主机名的列表。此值是逗号分隔的格式,例如 server.company.com, server.company.co.uk。如果列表为空,Secure Mail 将对帐户配置使用基本身份验证。默认值为 outlook.office365.com。
可信 AD FS 主机名
定义密码在 Office 365 OAuth 身份验证过程中填充的 Web 页面的可信 AD FS 主机名列表。此值是逗号分隔的格式,例如 sts.companyname.com, sts.company.co.uk。如果列表为空,Secure Mail 将不自动填充密码。Secure Mail 将列出的主机名与 Office 365 身份验证过程中遇到的 Web 页面的主机名进行匹配,并检查页面是否使用 HTTPS 协议。例如,当 sts.company.com 是列出的一个主机名时,如果用户导航到 https://sts.company.com,则在页面具有密码字段的情况下,Secure Mail 将填充密码。默认值为 login.microsoftonline.com。
邮件重定向
邮件重定向
阻止或限制撰写任何邮件。Secure Mail 会将邮件撰写重定向到 Secure Mail。如果设置了帐户,本机邮件会将设置重定向到本机邮件。默认设置为 Secure Mail。
Slack 集成
启用 Slack
阻止或允许 Slack 集成。如果设置为开,Secure Mail 界面将包括各种 Slack 功能。如果设置为关,Secure Mail 界面将不包括 Slack 功能。默认值为关。
Slack 工作区名称
贵公司的 Slack 工作区名称。如果提供了名称,Secure Mail 将在登录期间预填充该工作区名称。如果未提供名称,用户必须输入工作区名称 (name.slack.com)。默认值为空。