Product Documentation

设备策略

Jul 13, 2017

可以通过创建策略,配置 XenMobile 与您的设备的交互方式。尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。因此,您可能会发现平台之间的差异,甚至 Android 设备的不同制造商之间的差异。

有关按平台列表的策略,请下载 Device Policies by Platform Matrix PDF(设备策略(按平台)列表PDF)有关每个设备策略的摘要说明,请参阅本文中的设备策略摘要

Important

在创建策略之前,请完成以下要求:

  • 创建计划使用的交付组。
  • 安装所有必需的 CA 证书。

创建设备策略的基本步骤如下:

  1. 为策略命名并添加说明。
  2. 为一个或多个平台配置策略。
  3. 创建部署规则(可选)。
  4. 将策略分配到交付组。
  5. 配置部署计划(可选)。

要创建和管理设备策略,请转到配置 > 设备策略

localized image

添加设备策略

1. 在设备策略页面上,单击添加

此时将显示添加新策略对话框。展开更多以查看更多策略。

localized image

2. 查找要添加的策略,执行以下操作之一:

  • 单击策略。

    此时将显示所选策略的策略信息页面。

  • 在搜索框中键入策略的名称。随着键入,将显示可能的匹配项。如果列表中存在您的策略,请单击此策略。只有选中的策略保留在结果中。单击此策略以打开其策略信息页面。

    如果选定的策略位于 More(更多)区域中,则只有展开 More(更多)才会显示此策略。

localized image

3. 选择要包含在策略中的平台。选定平台的配置页面显示在步骤 5 中。

注意:只有策略支持的平台才会被列出。

localized image

4. 完成策略信息页面,然后单击下一步策略信息页面收集策略名称等信息,以帮助您识别和跟踪自己的策略。此页面在所有策略之间相似。

5. 完成平台页面。显示在步骤 3 选择的每个平台的平台页面。这些页面因策略而异。策略可能会因平台而异。并非所有策略都适用于所有平台。

配置部署规则:

注意:有关配置部署规则的详细信息,请参阅部署资源

a. 展开部署规则,然后配置以下设置。默认情况下将显示基础选项卡。

  • 在此列表中,单击选项以确定部署策略的时间。可以选择在满足所有条件时部署策略,或在满足任意条件时部署策略。默认选项为全部
  • 单击新建规则以定义条件。
  • 在列表中,单击条件,如设备所有权BYOD
  • 如果要添加更多条件,请再次单击新建规则。您可以添加任意多项条件。

b. 单击高级选项卡以使用布尔选项组合规则。此时将显示您在基础选项卡上选择的条件。

c. 您可以使用更多高级布尔逻辑来组合、编辑或添加规则。

  • 单击 ANDORNOT
  • 在列表中,选择要添加到规则的条件。然后单击右侧的加号 (+) 向规则添加条件。

您随时可以通过单击选择某个条件,然后单击编辑以更改此条件或单击删除以删除此条件。

  • 单击新建规则添加其他条件。

6. 单击下一步移到下一个平台页面,或者在完成所有平台页面后移到分配页面。

7. 在分配页面上,选择要应用此策略的交付组。如果单击某个交付组,此组将显示在用于接收应用程序分配的交付组框中。

注意:用于接收应用程序分配的交付组您选择某个交付组之后才显示。

localized image

8. 在分配页面上,展开部署计划,然后配置以下设置:

  • 部署旁边,单击以计划部署,或单击以阻止部署。默认选项为
  • 部署计划旁边,单击立即稍后。默认选项为立即
  • 如果单击稍后,请单击日历图标,然后选择部署的日期和时间。
  • 部署条件旁边,单击每次连接时或单击仅当之前的部署失败时。默认选项为每次连接时
  • 为始终启用的连接部署旁边,单击。默认选项为

注意:

  • 已在设置 > 服务器属性中配置了计划后台部署密钥的情况下此选项适用。始终启用选项不适用于 iOS 设备。
  • 配置的部署计划对所有平台相同。您所做的更改适用于所有平台,为始终启用的连接部署除外,它不适用于 iOS。
localized image

9. 单击保存

该策略显示在设备策略表中。

编辑或删除设备策略

要编辑或删除某个策略,请选中策略旁边的复选框,以在策略列表上方显示选项菜单。或者单击列表中的某个策略,以在此列表右侧显示选项菜单。

localized image

要查看策略详细信息,请单击显示更多

要编辑某个设备策略的所有设置,请单击编辑

如果单击删除,将显示确认对话框。再次单击删除

过滤已添加的设备策略列表

可以按策略类型、平台和关联的交付组过滤已添加的策略列表。在配置 > 设备策略页面中,单击显示过滤器。在列表中,选择您要查看的项对应的复选框。

localized image

单击保存此视图以保存过滤器。之后过滤器的名称显示在保存此视图按钮下面的一个按钮中。

设备策略摘要

设备策略名称

设备策略说明

AirPlay 镜像

此策略用于将特定 AirPlay 设备(如 Apple 电视或其他 Mac 计算机)添加到 iOS 设备。您还可以将设备添加到受监督设备的白名单,从而使用户仅限于白名单上的 AirPlay 设备。

AirPrint

此策略允许您向 iOS 设备上的 AirPrint 打印机列表添加 AirPrint 打印机。通过此策略可以更加轻松地为打印机和设备位于不同子网的环境提供支持。适用于 iOS 7.0 及更高版本。

注意:请确保知道每个打印机的 IP 地址和资源路径。

Android for Work 应用程序限制

此策略允许您更改与 Android 应用程序关联的限制,但是在更改前,必须满足以下必备条件:

APN

如果贵组织不使用使用者 APN 从移动设备连接到 Internet,可以使用此策略。此策略用于确定将设备连接到特定电话运营商的通用分组无线服务 (GPRS) 所使用的设置。大多数新式电话中已经定义此设置。

应用程序访问

此策略允许您定义以下应用程序列表:

  • 需要安装在设备上的应用程序
  • 或者,可以安装在设备上的应用程序
  • 或者,不得安装在设备上的应用程序

然后,可以创建自动化操作,以使设备符合此应用程序列表。

应用程序属性

此策略允许您为 iOS 设备指定各种属性,例如托管应用程序捆绑包 ID 或“为应用单独设置 VPN”标识符。

应用程序配置

此策略允许您远程为支持托管配置的应用程序配置各种设置和行为。为此,您要将 XML 配置文件(称为属性列表或 plist)部署到 iOS 设备。或者,将键/值对部署到 Windows 10 手机、台式机或平板电脑设备。

应用程序清单

此策略允许您收集托管设备上的应用程序清单。之后 XenMobile 将清单与部署到这些设备的任何应用程序访问策略进行比较。这样一来,便可以检测应用程序黑名单或白名单上的应用程序,然后采取相应操作。

应用程序锁定

此策略定义用户可以在设备上运行或无法在设备上运行的应用程序列表。

可以同时为 iOS 和 Android 设备配置此策略,但策略的执行方式则因平台而异。例如,不能阻止在 iOS 设备上运行多个应用程序

应用程序锁定策略适用于大多数 Android L 和 M 的设备。但是,应用程序锁定策略不适用于 Android N 或更高版本的设备,因为 Google 弃用了所需的 API。

对于 iOS 设备,每个策略只能选择一个 iOS 应用程序。因此,用户只能使用其设备运行单个应用程序。在强制执行应用程序锁定策略时,用户无法在设备上执行除您明确允许的选项之外的任何其他活动。

应用程序网络使用

此策略用于设置网络使用规则,以指定 iOS 设备上托管应用程序使用网络(如手机网络数据网络)的方式。规则仅适用于托管应用程序。托管应用程序是指您通过 XenMobile 部署到用户设备的应用程序。托管应用程序不包括这些应用程序:

  • 用户直接下载到其设备的应用程序。即,应用程序不是通过 XenMobile 部署的。
  • 在 XenMobile 中注册设备时,设备上已安装的应用程序。

应用程序限制

此策略用于创建您要阻止用户在 Samsung KNOX 设备上安装的应用程序的黑名单。您还可以创建您要允许用户安装的应用程序的白名单。

应用程序卸载

此策略允许您出于以下几种原因从用户设备中删除应用程序。例如,您可能不希望支持某些应用程序。或者,您的公司可能希望将现有应用程序替换为不同供应商提供的类似应用程序。当此策略部署到用户设备时,应用程序被删除。用户会收到卸载应用程序的提示,但 Samsung KNOX 设备除外。Samsung KNOX 设备用户不会收到卸载应用程序的提示。

应用程序卸载限制

此策略允许您指定用户可以或无法卸载的应用程序。

浏览器

此策略允许您定义用户设备是否可以使用浏览器或设备可以使用的浏览器功能。在 Samsung 设备上,可以禁用浏览器,也可以启用或禁用弹出消息、JavaScript、Cookie、自动填充以及是否强制显示欺诈警告。

日历(CalDav)

此策略用于将日历 (CalDAV) 帐户添加到 iOS 或 Mac OS X 设备。使用 CalDAV 帐户,用户可以将计划数据与支持 CalDAV 的任何服务器同步。

手机网络

该策略允许您配置手机网络设置。

连接管理器

此策略用于为自动连接到 Internet 和专用网络的应用程序指定连接设置。此策略仅适用于 Windows Pocket PC。

联系人(CardDAV)

此策略用于将 iOS 联系人 (CardDAV) 帐户添加到 iOS 或 Mac OS X 设备。使用 CardDAV 帐户,用户可以将联系人数据与支持 CardDAV 的任何服务器同步。

将应用程序复制到 Samsung 容器

此策略用于将已安装在设备上的应用程序复制到受支持的 Samsung 设备上的 SEAMS 或 KNOX 容器。复制到 SEAMS 容器的应用程序显示在设备主屏幕上。复制到 KNOX 容器的应用程序仅当用户登录 KNOX 容器时可用。

凭据

此策略用于支持使用 XenMobile 中的 PKI 配置进行集成身份验证。例如,使用 PKI 实体、密钥库、凭据提供程序或服务器证书。有关凭据的信息,请参阅证书和身份验证

每种设备平台都需要一组不同的值,“凭据策略”一文将对此进行介绍。

自定义 XML

此策略用于自定义以下功能:

  • 置备,例如配置设备以及启用或禁用功能
  • 设备配置,例如允许用户更改设置和设备参数
  • 软件升级,例如提供要加载到设备中的新软件或缺陷修复(包括应用程序和系统软件)
  • 故障管理,例如接收来自设备的错误和状态报告

可以在 Windows 中使用 Open Mobile Alliance Device Management (OMA DM) API 创建自己的自定义 XML 配置。本主题中不介绍如何使用 OMA DM API。有关使用 OMA DM API 的详细信息,请参阅 Microsoft Developer Network 站点上的 OMA 设备管理

Defender

此策略用于配置适用于台式机和平板电脑的 Windows 10 的 Windows Defender 设置。

删除文件和文件夹

此策略用于从 Windows Mobile/CE 设备中删除特定的文件或文件夹。

删除注册表项和值

此策略用于从 Windows Mobile/CE 设备中删除特定的注册表项和值。

设备运行状况证明

此策略需要 Windows 10 设备报告其运行状况的状态。为此,它们向 Health Attestation Service (HAS) 发送特定数据和运行时信息以供分析。HAS 创建并返回运行状况证明证书,然后,设备将此证书发送给 XenMobile。XenMobile 收到运行状况证明证书后,根据该证书的内容,部署您设置的自动操作。

有关详细信息,请参阅 Microsoft Device HealthAttestation CSP 页面。

设备名称

此策略用于对 iOS 和 Mac OS X 设备设置名称,以便您可以轻松识别设备。可以使用宏、文本或二者的组合定义设备名称。有关宏的信息,请参阅

企业中心

此面向 Windows Phone 的策略允许您通过企业中心公司应用商店分发应用程序。

对于一种 Windows Phone Secure Hub 模式,XenMobile 仅支持一种企业中心策略。例如,不要使用不同版本的 Secure Home for XenMobile Enterprise Edition 创建多个企业中心策略。只能在设备注册过程中部署初始企业中心策略。

Exchange

XenMobile 提供两个传递电子邮件的选项。可以使用此 MDM 策略为在设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。或者,您可以容器化的 Secure Mail 应用程序提供 ActiveSync 电子邮件。

文件

此策略用于将为用户执行某些功能的脚本文件添加到 XenMobile。或者,您可以添加您希望 Android 设备用户能够在其设备上访问的文档文件。添加文件时,还可以指定设备上要存储该文件的目录。例如,要向 Android 用户发送一份公司文档或 .pdf 文件,请将该文件部署到设备。然后,告诉用户文件所在位置。

字体

此策略用于向 iOS 和 Mac OS X 设备添加更多字体。字体必须是 TrueType (.TTF) 字体或 OpenType (.OFT) 字体。不支持字体集合(.TTC 或 .OTC)。对于 iOS,此策略仅适用于 iOS 7.0 及更高版本。

主屏幕布局


此策略用于指定 iOS 9.3 及更高版本的受监督设备上的 iOS 主屏幕的应用程序和文件夹布局。

导入 iOS 和 Mac OS X 配置文件

此策略用于将 iOS 和 OS X 设备的设备配置 XML 文件导入到 XenMobile 中。此文件包含您通过使用 Apple Configurator 准备的设备安全策略和限制。有关使用 Apple Configurator 创建配置文件的详细信息,请参阅 Apple Configurator 帮助页面。

是否需要 Kiosk

此策略用于限制应用程序在 Samsung SAFE 设备上的使用。您可以将可用应用程序限于特定的一个或多个应用程序。此策略对计划仅运行特定类型或类别的应用程序的企业设备很有用。此策略还允许您针对 Kiosk 模式选择设备主屏幕和锁屏界面墙纸使用的自定义图片。

Launcher 配置

此面向 Android 设备的策略用于为 Citrix Launcher 指定以下内容:

  • 允许的应用程序
  • 用于 Citrix Launcher 图标的自定义徽标图像
  • Citrix Launcher 的自定义背景图像
  • 退出 Launcher 时的密码要求

LDAP

此面向 iOS 设备的策略提供有关要使用的 LDAP 服务器的信息,包括任何必要的帐户信息(例如 LDAP 主机名)。此策略还提供了一组在查询 LDAP 服务器时使用的 LDAP 搜索策略。

位置

此策略允许您在地图上对设备进行地理定位(假定该设备已为 Secure Hub 启用 GPS)。将此策略部署到设备之后,可以从 XenMobile 服务器发送定位命令。之后设备会返回其位置坐标。XenMobile 还支持地理围栏和跟踪策略。

邮件

此策略用于在 iOS 或 Mac OS X 设备上配置电子邮件帐户。

托管域

此策略用于定义应用于电子邮件和 Safari 浏览器的托管域。托管域可以控制哪些应用程序可以使用 Safari 打开从域下载的文档,从而保护企业数据。对于 iOS 8 及更高版本的受监管设备,可以指定 URL 或子域以控制用户通过浏览器打开文档、附件或下载内容的方式。

MDM 选项

此策略用于在受监督的 iOS 7.0 及更高版本的手机设备上管理“查找我的 iPhone 和 iPad 激活锁”。有关将 iOS 设备置于受监督模式的步骤,请参阅批量注册 iOS 和 macOS 设备

组织信息

此策略用于为 XenMobile 部署到 iOS 设备的警报消息指定组织信息。适用于 iOS 7 及更高版本。

需要通行码

此策略允许您在托管设备上强制执行 PIN 代码或密码。您可以为设备上的通行码设置复杂性和超时。

个人热点

此策略允许用户不在 WiFi 网络的范围内时连接到 Internet。用户通过其 iOS 设备上手机网络数据连接并使用个人热点功能进行连接。适用于 iOS 7.0 及更高版本。

配置文件删除

此策略用于在部署时从 iOS 或 Mac OS X 设备中删除应用程序配置文件。

置备配置文件

此策略用于指定要发送到设备的企业分发置备配置文件。在开发 iOS 企业应用程序以及为其进行代码签名时,通常会包括置备配置文件。Apple 要求应用程序的配置文件在 iOS 设备上运行。如果置备配置文件缺失或已过期,用户轻按应用程序以将其打开时,应用程序将崩溃。

删除置备配置文件

此策略用于删除 iOS 置备配置文件。有关置备配置文件的信息,请参阅置备配置文件设备策略

代理

此策略用于为运行 Windows Mobile/CE 和 iOS 6.0 或更高版本的设备指定全局 HTTP 代理设置。只能为每个设备部署一个全局 HTTP 代理策略。

注册表

Windows Mobile/CE 注册表存储关于应用程序、驱动器、用户首选项和配置设置的数据。此策略用于定义用于管理 Windows Mobile/CE 设备的注册表项和值。

远程支持

此策略允许您远程访问 Samsung KNOX 设备。

限制

此策略用于提供在托管设备上执行锁定和控制功能的数百种选项。限制选项示例:禁用相机或麦克风、强制执行漫游规则以及强制访问第三方服务(例如应用商店)。

漫游

此策略用于配置在 iOS 和 Windows Mobile/CE 设备上是否允许语音和数据漫游。如果禁用语音漫游,会自动禁用数据漫游。对于 iOS,此策略适用于 iOS 5.0 及更高版本的设备。

Samsung SAFE 防火墙

此策略允许您为 Samsung 设备配置防火墙设置。提供要允许设备访问或要阻止设备访问的 IP 地址、端口和主机名。还可以配置代理和代理重新路由设置。

Samsung MDM 许可证密钥

此策略用于指定内置 Samsung Enterprise License Management (ELM) 密钥,必须先将该密钥部署到设备,才能部署 SAFE 策略和限制。XenMobile 支持并扩展了 Samsung for Enterprise (SAFE) 和 Samsung KNOX 策略。

计划


此策略是必需的策略,用于使 Android 和 Windows Mobile 设备重新连接到 XenMobile 服务器以进行 MDM 管理、应用程序推送和策略部署。如果不向设备发送此策略并且未启用 Google FCM,设备将无法重新连接回服务器。
 

SCEP

此策略用于配置 iOS 和 Mac OS X 设备以从外部 SCEP 服务器检索证书。您还可以使用 SCEP 从连接到 XenMobile 的 PKI 向设备交付证书。为此,请在分布式模式下创建 PKI 实体和 PKI 提供程序。有关详细信息,请参阅 PKI 实体

SSO 帐户

此策略用于创建单点登录 (SSO) 帐户,以便用户只需登录设备一次,即可访问 XenMobile 和内部公司资源。用户无需在设备上存储任何凭据。可以跨应用程序(包括 App Store 中的应用程序)使用此 SSO 帐户企业用户凭据。此策略与 Kerberos 身份验证兼容。适用于 iOS 7.0 及更高版本。

存储加密

此策略用于对内部和外部存储进行加密。对于某些设备,此策略可防止用户在其设备上使用存储卡。

订阅日历

此策略用于将订阅日历添加到 iOS 设备上的日历列表。www.apple.com/downloads/macosx/calendars 提供了您可以订阅的公共日历列表。

请务必先订阅某个日历,才能将其添加到用户设备上已订阅的日历列表中。

条款和条件

此策略需要用户接受贵公司控制与公司网络的连接的特定策略。当用户向 XenMobile 注册其设备时,系统会向其显示条款和条件,用户必须接受这些条款和条件才能注册其设备。拒绝这些条款和条件会取消注册过程。

通道

 

此策略用于提高移动应用程序的服务连续性和数据传输可靠性。应用程序通道定义移动设备应用程序的客户端组件与应用程序服务器组件之间的代理参数。还可以使用应用程序通道创建设备的远程支持通道以使用管理支持。

注意:通过在此策略中定义的通道发送的任何应用程序流量均先通过 XenMobile。然后流量被重定向到运行该应用程序的服务器。

VPN

此策略用于提供对使用传统 VPN 网关技术的后端系统的访问。此策略用于提供可以部署到设备的 VPN 网关连接的详细信息。XenMobile 支持多个 VPN 提供商,包括 Cisco AnyConnect、Juniper 及 Citrix VPN。如果您的 VPN 网关支持此选项,您可以将此策略链接到 CA 并按需启用 VPN。

墙纸

此策略用于添加 .png 或 .jpg 文件,以设置 iOS 设备锁屏界面、主屏幕或二者的墙纸。适用于 iOS 7.1.2 及更高版本。要在 iPad 和 iPhone 上使用不同的墙纸,请创建不同的墙纸策略并将其部署到相应的用户。

Web 内容过滤器

此策略用于过滤 iOS 设备上的 Web 内容。XenMobile 使用 Apple 自动过滤功能和您添加到白名单和黑名单的站点。仅适用于 iOS 7.0 及更高版本的受监督设备。有关将 iOS 设备置于受监督模式的信息,请参阅使用 Apple Configurator 将 iOS 设备置于受监督模式

Web 剪辑

此策略用于向 Web 站点中放置快捷方式或 Web 剪辑,以使它们和应用程序一起出现在用户设备上。您可以指定自己的图标来表示 iOS、Mac OS X 和 Android 设备的 Web 剪辑。Windows 平板电脑只需要一个标签和一个 URL。

WiFi

此策略允许管理员将 WiFi 路由器详细信息部署到托管设备。路由器详细信息包括 SSID、身份验证数据和配置数据。

Windows CE 证书

此策略用于从外部 PKI 创建 Windows Mobile/CE 证书并将其交付给用户设备。有关证书和 PKI 实体的详细信息,请参阅证书和身份验证。

XenMobile Store

此策略用于指定 XenMobile Store Web 剪辑是否显示在用户设备的主屏幕上。

XenMobile 选项

此策略用于配置在从 Android 和 Windows Mobile/CE 设备连接到 XenMobile 时 Secure Hub 的行为。

XenMobile 卸载

此策略用于从 Android 和 Window Mobile/CE 设备卸载 XenMobile。部署此策略时,它将从部署组中的所有设备上删除 XenMobile。