Product Documentation

为 iOS 9 配置 iOS 数据保护策略

Sep 13, 2016

Important

在之前的建议中,Citrix 已将发现的一个问题告知用户,即 XenMobile 托管的移动应用程序写入 iOS 9 设备的文件不使用 Citrix 加密。 有关此建议的详细信息,请参阅 iOS 9 和 XenMobile。 现在,更新后的 MDX Toolkit 中提供了此问题的解决方案。 有关详细信息,请参阅 MDX Toolkit 10.2 中的新增功能。 此解决方案提供的加密级别与 iOS 8 支持的级别相同。

如本文中所述,创建的用于为 iOS 9 支持的应用程序文件提供其他安全性的 XenMobile MDX 策略仍可用,但是默认情况下设置为。 无须设置设备通行码以启用 iOS 数据保护,也无须在 XenMobile 控制台中实施设备通行码。

以下选项可帮助保护数据。  

  • 通过要求设备通行码使用 iOS 文件数据保护功能来加密数据。

Apple 需要设备通行码,以使用 iOS 文件加密功能来加密设备上的所有应用程序数据。 为支持 iOS 级别保护,MDX Toolkit 10.2 包含一个新策略,即设备通行码,此策略需要 iOS 9 设备上的 PIN 或通行码。 默认情况下,此策略设置为。 此策略以每个应用程序为基础应用,并且不论 XenMobile 是以 MDM 模式运行还是以 MAM 模式运行均可以使用。

  • 除了需要 PIN 或通行码,还可以指定最低 iOS 数据保护类,用于存储在文件系统上的应用程序数据。
  • 如果不希望使用 PIN 或通行码,可以通过 WorxMail(阻止文件附件策略)、WorxNotes(阻止文件附件策略)和 WorxWeb((iOS 9 安全限制策略)的新策略限制存储在 iOS 9 设备上的数据。
  • 必须满足澳大利亚信号局 (ASD) 数据保护要求的企业可以使用 WorxMail 和 WorxWeb 的“启用 iOS 数据保护”新策略。

为 iOS 9 配置最低数据保护类策略

要在启用设备 PIN 的 iOS 设备上实现其他保护功能,可以选择为应用程序存储在设备上的文件设置 iOS 设备级别加密。

iOS 文件加密具有多个数据保护级别。 利用新的“最低数据保护类”策略,可以指定用于存储的任何 MDX 应用程序数据的保护类(除非应用程序已经指定了更高的保护级别)。

策略值包括:

  • 完全 – 设备锁定时,文件变为不可用。 只能在设备解锁后对文件执行打开、读取和写操作。
  • 完全(除非打开) 如果设备锁定时文件处于打开状态,应用程序可以继续使用文件。 此为默认值。 设备锁定时可以创建文件;设备锁定时不可以打开文件。
  • 直至首次解锁 设备重新启动时,在用户首次解锁设备前,文件处于锁定状态且无法读取。 设备首次解锁后,可以创建、打开、读取和写入文件。
  • 文件没有特殊保护措施,可以随时对其执行读写操作。

默认情况下隐藏“最低数据保护类”策略。 要在 XenMobile 中显示此策略并进行配置,请按照以下步骤操作(使用 WorxMail 作为示例应用程序)。

1. 从 http://www.citrix.com/downloads/xenmobile/product-software.html 下载 MDX Toolkit 10.2 和 Worx 移动应用程序 10.2。

2. 在 Finder 中,浏览到 Applications\Citrix\MDXToolkit\Data 并打开每个 Worx 应用程序的 .xml 文件。 对于 WorxMail,文件名为 com.citrix.mail_policy_metadata.xml。

localized image

3. 要在 XenMobile 控制台中显示“最低数据保护类”策略,请使用文本编辑器打开此策略的 XML 文件,找到 MinimumDataProtectionClass,将 PolicyHidden 值更改为 False。 保存并关闭该文件。

localized image

4. 使用 MDX Toolkit 10.2 打包最新版本的 Worx 应用程序。 有关详细信息,请参阅打包 iOS 移动应用程序打包适用于 iOS 8 或 iOS 9 的 Worx 应用程序

5. 使用 XenMobile 控制台将 MDX 文件加载到 XenMobile:对于新应用程序,请导航到配置 > 应用程序 > 添加,然后单击 MDX。 对于升级,请参阅在 XenMobile 中升级应用程序

localized image

6. 若要求用户提供设备通行码,以便在 iOS 9 设备上实施 iOS 数据保护,请务必将“设备通行码”策略设置为

localized image

用户升级应用程序时,首次在不具有通行码的 iOS 9 设备上打开 Worx 应用程序(版本 10.2)或使用 MDX Toolkit 10.2 打包的应用程序时,Worx 会提示用户创建通行码。

localized image

7. 要在启用设备通行码的设备上实现其他保护措施,请设置“最低数据保护类”级别。

localized image

8. 正常配置应用程序策略并保存设置,以将应用程序部署到 Worx Store。

要运行使用 MDX Toolkit 10.2 打包的 Worx 应用程序,需要使用 Worx Home 10.2。

localized image

适用于 iOS 9 的其他 Worx 应用程序文件控制策略

上节介绍的“最低数据保护类”策略仅在设备上设置了设备 PIN 时可用。 如果不想实施设备级别 PIN,可以阻止文件存储在 WorxMail、WorxNotes 和 WorxWeb 中。

  • 阻止文件附件策略 - 对于 WorxMail,“阻止文件附件”策略禁止运行 iOS 9 的设备下载附件。
  • 阻止作为附件通过电子邮件发送 - 对于 WorxNotes(仅限 Exchange 版本),“阻止作为附件通过电子邮件发送”策略禁止使用带有 PDF 附件的电子邮件发送备忘录。  注意 - WorxNotes 与 ShareFile 结合使用时,备忘录 为文件而非数据, 因此, 完全依赖数据通行码进行加密。
  • iOS 9 安全限制策略 - 对于 WorxWeb,iOS 9 安全限制策略禁止下载文件和脱机页面。 此策略还禁用 Cookie 缓存和 HTML 5 本地存储。 启用此策略会使 Web 页面加载变慢。

这些策略默认情况下处于禁用状态。 要在将应用程序加载到 XenMobile 中时启用这些策略,请按照以下步骤操作。

1. 使用 MDX Toolkit 10.2 打包最新版本的 Worx 应用程序。 有关详细信息,请参阅打包 iOS 移动应用程序打包适用于 iOS 8 或 iOS 9 的 Worx 应用程序

2. 使用 XenMobile 控制台将 MDX 文件加载到 XenMobile 服务器:对于新应用程序,请导航到配置 > 应用程序 > 添加,然后单击 MDX。 对于升级,请参阅在 XenMobile 中升级应用程序

localized image

3. 在运行 iOS 9 的设备上的 WorxMail 中阻止文件附件:导航到“应用程序限制”部分,找到“阻止文件附件”策略,并将其设置为

启用此策略不会影响运行更早操作系统版本的设备。

localized image

4. 在运行 iOS 9 的设备上的 WorxNotes 中阻止作为附件发送备忘录:导航到“应用程序限制”部分,找到“阻止作为附件通过电子邮件发送”策略,并将其设置为

启用此策略不会影响运行更早操作系统版本的设备。

localized image

5. 在运行 iOS 9 的设备上的 WorxWeb 中阻止下载文件和脱机页面:导航到“应用程序限制”部分,找到“iOS 9 安全限制”策略,并将其设置为

启用此策略不会影响运行更早操作系统版本的设备。

localized image

6. 正常配置应用程序策略并保存设置,以将应用程序部署到 Worx Store。

要运行使用 MDX Toolkit 10.2 打包的 Worx 应用程序,需要使用 Worx Home 10.2。

localized image

为 WorxMail 和 WorxWeb 配置 iOS 数据保护

必须满足澳大利亚信号局 (ASD) 数据保护要求的企业可以使用 WorxMail 和 WorxWeb 的“启用 iOS 数据保护”新策略。 默 认情况 下,这些策略设置为。 将 WorxWeb 的“启用 iOS 数据保护”设置为时,WorxWeb 为沙盒中的所有文件使用 A 类保护级别。 有关 WorxMail 数据保护的详细信息,请参阅澳大利亚信号局 (Australian Signals Directorate) 数据保护。 如果启用此策略,将使用最高数据保护类,因此无需再指定“最低数据保护类”策略。

要更改“启用 iOS 数据保护”策略,请执行以下操作:

1. 使用 MDX Toolkit 10.2 打包最新版本的 Worx 应用程序。 有关详细信息,请参阅打包 iOS 移动应用程序打包适用于 iOS 8 或 iOS 9 的 Worx 应用程序

2. 使用 XenMobile 控制台将 MDX 文件加载到 XenMobile 服务器:对于新应用程序,请导航到配置 > 应用程序 > 添加,然后单击 MDX。 对于升级,请参阅在 XenMobile 中升级应用程序

localized image

3. 对于 WorxMail,请浏览到“应用程序设置”,找到“启用 iOS 数据保护”策略,然后将其设置为。 

启用此策略不会影响运行更早操作系统版本的设备。

localized image

4. 对于 WorxWeb,请浏览到“应用程序设置”,找到“启用 iOS 数据保护”策略,然后将其设置为。 

启用此策略不会影响运行更早操作系统版本的设备。

localized image

6. 正常配置应用程序策略并保存设置,以将应用程序部署到 Worx Store。

要运行使用 MDX Toolkit 10.2 打包的 Worx 应用程序,需要使用 Worx Home 10.2。

localized image