Product Documentation

客户端属性

Apr 26, 2017
客户端属性包含用户设备上直接提供给 Secure Hub 的信息。可以使用这些属性配置高级设置,如 Citrix PIN。从 Citrix 支持获取客户端属性。

每次发布客户端应用程序(尤其是 Secure Hub)时,均会更改客户端属性。有关通常要配置的客户端属性的详细信息,请参阅本文中后面的内容介绍的客户端属性参考
  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。
  2. 客户端下方,单击客户端属性。此时将显示客户端属性页面。可以从此页面添加、编辑和删除客户端属性。
localized image

添加客户端属性

1. 单击添加。此时将显示添加新客户端属性页面。

localized image

2. 配置以下设置:

  • :在列表中,单击要添加的属性键。重要执行任何更改或请求特殊键以进行更改时请联系 Citrix 支持。
  • :输入选定属性的值。
  • 名称:输入属性的名称。
  • 说明:输入属性的说明。

3. 单击保存

编辑客户端属性

1. 在客户端属性表格中,选择要编辑的客户端属性。

注意:如果选中某个客户端属性旁边的复选框,选项菜单将显示在客户端属性列表的上方;如果单击此列表的任何其他位置,选项菜单将显示在列表的右侧。

2. 单击编辑。此时将显示编辑客户端属性页面。

localized image

3. 适当更改以下信息:

  • 密钥:无法更改此字段。
  • :属性的值。
  • 名称:属性的名称。
  • 说明:属性的说明。

4. 单击保存以保存您的更改,或单击取消保持属性不变。

删除客户端属性

1. 在客户端属性表格中,选择要删除的客户端属性。

注意可以通过选中每个属性旁边的复选框,选择要删除的多个属性。

2. 单击删除此时将显示确认对话框。再次单击删除

客户端属性参考

XenMobile 首选客户端属性及其默认设置如下所示。

CONTAINER_SELF_DESTRUCT_PERIOD

显示名称:MDX 容器自毁期限

自毁功能阻止在经过特定天数的非活动状态后访问 Secure Hub 和托管应用程序。超过此时间限制后,应用程序不再可用,用户设备取消从 XenMobile 服务器注册。擦除数据包括清除已安装的各应用程序的应用程序数据,包括应用程序缓存和用户数据。不活动时间是指在经过特定时间长度后,服务器不接收身份验证请求以验证用户。例如,如果为此策略设置 30 天,用户不使用 Secure Hub 或其他应用程序的时间超过 30 天,则此策略生效。

此全局安全策略适用于 iOS 和 Android 平台,是对现有应用程序锁定和擦除策略的增强。

要配置此全局策略,请转至设置 > 客户端属性,然后添加自定义键 CONTAINER_SELF_DESTRUCT_PERIOD

值:天数

DEVICE_LOGS_TO_IT_HELP_DESK

显示名称:向 IT 技术支持人员发送设备日志

此属性启用或禁用向 IT 技术支持人员发送日志的功能。

可能的值:truefalse

默认值:false

DISABLE_LOGGING

显示名称:禁用日志记录

此属性允许您禁用用户从其设备收集并上载日志的功能。将为 Secure Hub 和安装的所有 MDX 应用程序禁用日志记录功能。用户无法从“支持”页面发送任何应用程序的日志;即使通过显示的电子邮件撰写对话框,也无法附加日志,但会添加指出日志记录功能被禁用的消息。除了在用户设备上产生的影响,您也无法在 XenMobile 控制台中修改 Secure Hub 和 MDX 应用程序的日志设置。

将此属性设置为 true 时,Secure Hub 将阻止应用程序日志设置为 true,以确保在应用新策略时 MDX 应用程序停止记录日志。

可能的值:truefalse

默认值:false(不禁用日志记录)

ENABLE_CRASH_REPORTING

显示名称:启用崩溃报告

此属性启用或禁用使用 XenMobile 应用程序的 Crashlytics 的崩溃报告。

可能的值:truefalse

默认值:false

ENABLE_CREDENTIAL_STORE

显示名称:启用凭据存储区

启用凭据存储区意味着 Android 或 iOS 用户在访问 XenMobile 应用程序时输入一次其密码。  可以使用凭据存储区,无论是否启用 Citrix PIN。如果不启用 Citrix PIN,用户输入其 Active Directory 密码。XenMobile 只对 Secure Hub 和公共应用商店应用程序支持将 Active Directory 密码用于凭据存储区。如果您将 Active Directory 密码用于凭据存储区,XenMobile 不支持 PKI 身份验证。

要在 Secure Mail 中自动注册,需要将此属性设置为 true

要配置此自定义客户端策略,请转至设置 > 客户端属性,添加自定义键 ENABLE_CREDENTIAL_STORE,并将设置为 true。    

ENABLE_FIPS_MODE

显示名称:启用 FIPS 模式

此属性在移动设备上启用或禁用 FIPS 模式。更改此值后,Secure Hub 会在执行下一次联机身份验证时将新值传递到设备。

可能的值:truefalse

默认值:false

ENABLE_NETWORK_EXTENSION

显示名称:ENABLE_NETWORK_EXTENSION

默认情况下,XenMobile 在 Secure Hub 安装时启用 Apple 网络扩展框架。要禁用网络扩展,请转至设置 > 客户端属性,添加自定义键 ENABLE_NETWORK_EXTENSION 并将设置为 false

默认值:true

ENABLE_PASSCODE_AUTH

显示名称:启用 Citrix PIN 身份验证

此属性允许您打开 Citrix PIN 功能。启用 Citrix PIN 或通行码后,系统将提示用户定义要使用的 PIN(而非其 Active Directory 密码)。如果启用了 ENABLE_PASSWORD_CACHING,或者如果 XenMobile 使用证书身份验证,此设置将自动启用。

如果用户执行脱机身份验证,Citrix PIN 将在本地验证,并且允许用户访问所请求的应用程序或内容。如果用户执行联机身份验证,Citrix PIN 或通行码将用于解锁 Active Directory 密码或证书,随后将发送后者以通过 XenMobile 执行身份验证。

可能的值:truefalse

默认值:false

ENABLE_PASSWORD_CACHING

显示名称:启用用户密码缓存。

此属性允许在移动设备本地缓存用户的 Active Directory 密码。将此属性设置为 true 时,还必须将 ENABLE_PASSCODE_AUTH 属性设置为 true。如果启用了用户密码缓存,XenMobile 将提示用户设置 Citrix PIN 或通行码。

可能的值:truefalse

默认值:false

ENABLE_TOUCH_ID_AUTH

显示名称:启用 Touch ID 身份验证

对于支持 Touch ID 身份验证的设备,此属性将在设备上启用或禁用 Touch ID 身份验证。要求:

用户设备必须启用 Citrix PIN 或 LDAP。如果 LDAP 身份验证处于关闭状态(例如,因为使用了仅基于证书的身份验证),则用户必须设置 Citrix PIN。在这种情况下,XenMobile 要求使用 Citrix PIN,即使客户端属性 ENABLE_PASSCODE_AUTHfalse 也是如此。

ENABLE_PASSCODE_AUTH 设置为 false,以便用户启动应用程序时,他们必须响应提示以使用 Touch ID。

可能的值:truefalse

默认值:false

ENABLE_WORXHOME_CEIP

显示名称:启用 Worx Home CEIP

此属性将打开客户体验改善计划。这样会定期向 Citrix 发送匿名配置和使用数据。此数据可帮助 Citrix 改善 XenMobile 的品质、可靠性和性能。

值:truefalse

默认值:false

ENABLE_WORXHOME_GA

显示名称:在 Worx Home 中启用 Google Analytics

此属性启用或禁用在 Worx Home 中使用 Google Analytics 收集数据的功能。更改此设置时,仅当用户下次登录 Secure Hub (Worx Home) 时才设置新值。

可能的值:truefalse

默认值:true

ENCRYPT_SECRETS_USING_PASSCODE

显示名称:使用通行码加密机密

此属性允许将敏感数据存储在移动设备上的 Secret Vault 中(而非基于平台的本机存储中),例如 iOS 钥匙串。此属性允许您使用强加密的密钥,但还会添加用户熵(用户生成的只有自己知道的随机 PIN 代码)。

Citrix 建议您启用此属性以帮助提高用户设备的安全性。因此,用户将遇到多个要求输入 Citrix PIN 的身份验证提示。

可能的值:truefalse

默认值:false

INACTIVITY_TIMER

显示名称:不活动计时器

此属性定义用户可以保持其设备处于不活动状态且之后访问应用程序不会提示输入 Citrix PIN 或通行码的时间(单位为分钟)。要为 MDX 应用程序启用此设置,必须将应用程序通行码设置设为开。如果“应用程序通行码”设置设为“关”,用户将被重定向到 Secure Hub 以执行完全身份验证。更改此设置时,该值将在系统下次提示用户进行身份验证时生效。

注意:在 iOS 上,不活动计时器还将管理 MDX 应用程序和非 MDX 应用程序对 Secure Hub 的访问。

可能的值:任意正整数

默认值:15

ON_FAILURE_USE_EMAIL

显示名称:失败时使用电子邮件向 IT 技术支持人员发送设备日志

此属性启用或禁用使用电子邮件向 IT 发送设备日志的功能。

可能的值:truefalse

默认值:true

PASSCODE_EXPIRY

显示名称:PIN 更改要求

此属性定义 Citrix PIN 或通行码的有效时间(单位为天),超过此时间后,系统将强制用户更改其 Citrix PIN 或通行码。更改此设置时,仅当用户的当前 Citrix PIN 或通行码过期时才设置新值。

可能的值:1 - 建议使用 99。如果希望用户永远不需要重置其 PIN 代码,请将该值设置为一个非常大的值(例如 100000000000)。如果最初设置的过期期限介于 1 到 99 天之间,然后在该时间段内更改为更大的数值,PIN 在初始期限结束时仍会过期,但之后永不过期。

默认值:90

PASSCODE_HISTORY

显示名称:PIN 历史记录

此属性定义之前使用的 Citrix PIN 或通行码的数量,用户在更改其 Citrix PIN 或通行码时不能重用。如果更改此设置,用户下次重置其 Citrix PIN 或通行码时将设置新值。

可能的值:1 - 99

默认值:5

PASSCODE_MAX_ATTEMPTS

显示名称:PIN 尝试次数

此属性定义用户可以尝试输入错误 Citrix PIN 或通行码的次数,之后系统将提示用户进行完全身份验证。用户成功执行完全身份验证后,系统将提示其创建新 Citrix PIN 或通行码。

可能的值:任意正整数

默认值:15

PASSCODE_MIN_LENGTH

显示名称:PIN 长度要求

此属性定义 Citrix PIN 的最小长度。

可能的值:1 - 99

默认值:6

PASSCODE_STRENGTH

显示名称:PIN 强度要求

此属性定义 Citrix PIN 或通行码的强度。更改此设置时,系统将在下次提示用户进行身份验证时提示其设置新 Citrix PIN 或通行码。

可能的值:

默认值:

下表介绍了每个强度设置的密码规则,具体取决于 PASSCODE_TYPE 设置:

通行码强度

数字通行码类型的规则

字母数字通行码类型的规则

所有数字,允许使用任意顺序

必须至少包含一个数字和一个字母。

不允许使用:AAAaaa、aaaaaa、abcdef

允许使用:aa11b1、Abcd1#、Ab123~、aaaa11、aa11aa


(默认设置)

1. 所有数字不能相同。例如,不允许使用 444444。

2. 所有数字不能连续。例如,不允许使用 123456 或 654321。

允许使用:444333、124567、136790、555556、788888

“低”通行码强度的规则补充:

1. 字母和数字不能相同。例如,不允许使用 aaaa11、aa11aa 或 aaa111。

2. 字母和数字都不能连续。例如,不允许使用 abcd12、bcd123、123abc、xy1234、xyz345 或 cba123。

允许使用:aa11b1、aaa11b、aaa1b2、abc145、xyz135、sdf123、ab12c3、a1b2c3、Abcd1#、Ab123~

与“中”Citrix PIN 通行码强度相同。

通行码应该至少包含一个大写字母和一个小写字母。

不允许:abcd12、DFGH2

允许:Abcd12、jkrtA2、23Bc#、AbCd

与“中”Citrix PIN 通行码强度相同。

通行码至少应包括一个数字、一个特殊符号、一个大写字母以及一个小写字母。

不允许使用:abcd12、Abcd12、dfgh12、jkrtA2

允许使用:Abcd1#、Ab123~、xY12#3、Car12#、AAbc1#

 

PASSCODE_TYPE

显示名称:PIN 类型

此属性定义用户能够定义数字型 Citrix PIN 还是字母数字型通行码。选择数字时,用户只能定义数字 (Citrix PIN)。选择字母数字时,用户可以使用字母和数字的组合(通行码)。

注意:更改此设置时,用户必须在系统下次提示进行身份验证时设置新 Citrix PIN 或通行码。

可能的值:数字字母数字

默认值:数字

REFRESHINTERVAL

显示名称:REFRESHINTERVAL

默认情况下,XenMobile 每隔 3 天会对自动发现服务器 (ADS) 执行 ping 命令查找固定证书。要更改刷新时间间隔,请转至设置 > 客户端属性,添加自定义键 REFRESHINTERVAL,并将设置为小时数。

默认值:72 小时(3 天)

SEND_LDAP_ATTRIBUTES

对于仅 MAM 部署,可以配置 XenMobile,以便使用电子邮件凭据在 Secure Hub 中注册的 Android 或 iOS 设备用户能够自动注册 Secure Mail。这意味着用户无需输入额外的信息或执行额外的步骤即可注册 Secure Mail。

要配置此全局客户端策略,请转至设置 > 客户端属性,添加自定义键 SEND_LDAP_ATTRIBUTES,并按如下所示设置

值:userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},
displayName=${user.displayName},mail=${user.mail}

与 MDM 策略类似,属性值会指定为宏。

以下示例介绍了帐户服务如何响应此属性:

注意:对于此属性,XenMobile 会将逗号字符视为字符串终止符。因此,如果属性值包含逗号,则必须在逗号前面加上反斜杠,以防止客户端将嵌入的逗号视为属性值的结尾。反斜杠字符表示为“\\”。