Product Documentation

设备和应用程序策略

通过 XenMobile 设备和应用程序策略,可以在多种因素之间实现最佳平衡,例如:

  • 企业安全性
  • 公司数据和资产保护
  • 用户隐私
  • 高效、积极的用户体验

这些因素之间的最佳平衡点可能有所差别。例如,监管比较严格的组织(例如金融组织)要求采取比其他行业(例如教育和零售行业)更严格的安全控制措施,而后者主要考虑的是如何提高用户工作效率。

您可以根据用户的身份、设备、位置和连接类型集中控制和配置策略来限制对公司内容的恶意使用。如果设备丢失或被盗,您可以远程禁用、锁定或擦除业务应用程序和数据。综合上述因素,我们可以开发一种解决方案,不仅可以提高员工满意度和工作效率,同时还能确保安全性和管理控制。

本文主要介绍与安全性有关的多个设备和应用程序策略。

解决安全风险的策略

XenMobile 设备和应用程序策略解决可能会带来安全风险的多种情况,例如:

  • 用户尝试从不可信设备和不可预测的位置访问应用程序和数据时。
  • 用户在设备之间传递数据时。
  • 未经授权的用户尝试访问数据时。
  • 已离开公司的用户使用自己的设备 (BYOD) 时。
  • 用户错放设备时。
  • 用户需要随时安全地访问网络时。
  • 用户使自己的设备处于托管状态且您需要将工作数据与个人数据区分开时。
  • 设备处于空闲状态并需要再次验证用户凭据时。
  • 用户将敏感内容复制并粘贴到不受保护的电子邮件系统时。
  • 用户在保存了个人帐户和公司帐户的设备上收到包含敏感数据的电子邮件附件或 Web 链接时。

保护公司数据时,这些情况与两个主要考虑因素相关,即数据所处的状态:

  • 静态
  • 传输中

XenMobile 如何保护静态数据

存储在移动设备上的数据称为静态数据。通过 XenMobile 中的移动应用程序管理 (MAM) 功能可以对移动生产力应用程序、启用了 MDX 的应用程序及其关联数据进行完整的管理、安全保护和控制。Worx App SDK(支持对应用程序进行 XenMobile 部署)利用 Citrix MDX 应用程序容器技术将用户移动设备上的公司应用程序和数据与个人应用程序和数据区分开。这样,您可以通过基于策略的综合控制来保护任何自定义开发、第三方或 BYO 移动应用程序的安全。

除了详尽的 MDX 策略库之外,XenMobile 还包括应用程序级别的加密。XenMobile 单独对任何启用了 MDX 的应用程序中存储的数据加密,而不需要设备 PIN 代码,也不需要您管理设备以强制执行策略。

通过策略和 Worx App SDK,您可以︰

  • 使用一个安全的移动容器区分公司和个人应用程序和数据。
  • 通过加密和其他移动数据丢失防护 (DLP) 技术保护应用程序的安全。

MDX 策略提供多种操作控制,以便您可以在 MDX 打包的应用程序之间启用无缝集成,同时还控制所有通信。这样,您可以强制执行策略,例如,确保仅启用了 MDX 的应用程序可以访问数据。

除了设备和应用程序策略控制,保护静态数据的最佳方法是加密。XenMobile 为启用了 MDX 的应用程序中存储的任何数据添加一层加密,从而让您可以对公用文件加密、私密文件加密和加密排除项等功能进行策略控制。Worx App SDK 使用符合 FIPS 140-2 的 AES 256 位加密,并将密钥存储在受保护的 Citrix Secret Vault 中。

XenMobile 如何保护传输中的数据

在用户的移动设备与您的内部网络之间移动的数据称为传输中的数据。MDX 应用程序容器技术实现了通过 NetScaler Gateway 对内部网络进行应用程序特定的 VPN 访问。

鉴于以下情况:员工希望从移动设备访问安全的企业网络中的以下资源:公司电子邮件服务器、公司 Intranet 中托管的启用了 SSL 的 Web 应用程序以及存储在文件服务器或 Microsoft SharePoint 上的文档。MDX 支持从移动设备通过应用程序特定的 Micro VPN 访问所有这些企业资源。每个设备都有自己的专用 Micro VPN 通道。

Micro VPN 功能不需要设备范围的 VPN(可能会危及不可信移动设备上的安全)。因此,内部网络不会面临可能影响整个公司系统的恶意软件或攻击。公司移动应用程序和个人移动应用程序能够在一个设备上共存。

为了提高安全级别,您可以为启用了 MDX 的应用程序配置备用 NetScaler Gateway 策略(用于身份验证和与应用程序的 Micro VPN 会话)。您可以将备用 NetScaler Gateway 与“要求联机会话”策略结合使用,以强制应用程序向特定网关重新进行身份验证。此类网关通常具有不同的(具有更高保障)身份验证要求和流量管理策略。

除了安全功能外,Micro VPN 还提供数据优化技术(包括用于确保只需传输很少的数据以及在可能最快的时间内完成传输的压缩算法),从而改进用户体验,这是移动项目成功的关键成功因素。

应定期重新评估设备策略,例如在以下情况下:

  • 由于发布了设备操作系统更新,新版本的 XenMobile 包括新的或更新的策略时。
  • 添加新的设备类型时。尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。因此,您可能会发现 iOS、Android 和 Windows 设备之间的差异,甚至运行 Android 的不同制造商的设备之间也存在差异。
  • 使 XenMobile 操作与企业或行业变化(例如,新公司安全策略或合规性规章)保持同步。
  • 新版本的 MDX Toolkit 包括新的或更新的策略时。
  • 添加或更新应用程序时。
  • 由于新应用程序或新要求,需要为用户集成新工作流时。

应用程序策略和用例场景

虽然您可以选择通过 Secure Hub 提供的应用程序,您可能还希望定义这些应用程序与 XenMobile 的交互方式。如果您希望用户在过了特定时间段后进行身份验证,或者您希望为用户提供脱机访问其信息的权限,可通过应用程序策略实现。下面列出了其中一些策略,并介绍了相应的使用方法。有关每个平台的所有 MDX 策略的列表,请参阅 MDX 策略概览

身份验证策略

  • 设备通行码

    为什么要使用此策略: 启用“设备通行码”策略可强制执行仅当设备上已启用设备 PIN 时用户才能访问 MDX 应用程序。对于 iOS 9 设备,此功能可确保在设备级别以及对 MDX 容器使用 iOS 加密。

    用户示例: 启用此策略意味着,用户必须先在其 iOS 设备上设置一个 PIN 代码,然后才能访问 MDX 应用程序。

  • 应用程序通行码

    为什么要使用此策略: 启用“应用程序通行码”策略可让 Secure Hub 提示用户先向托管应用程序进行身份验证,然后才能打开应用程序并访问数据。用户可使用其 Active Directory 密码、Citrix PIN 或 iOS Touch ID 进行身份验证,具体取决于您在 XenMobile Server 设置中的“客户端属性”下配置的内容。您可以在“客户端属性”中设置不活动计时器,以便在持续使用时,Secure Hub 不提示用户向托管应用程序进行身份验证,直到计时器过期。

    应用程序通行码不同于设备通行码,原因在于,设备通行码策略推送到设备后,Secure Hub 将提示用户配置通行码或 PIN,当用户打开设备或不活动计时器过期时,他们必须先解锁,才能访问其设备。有关详细信息,请参阅 XenMobile 中的身份验证

    用户示例: 在设备上打开 Citrix Secure Web 应用程序时,如果不活动期限已过期,用户必须输入其 Citrix PIN,才能浏览 Web 站点。

  • 要求联机会话

    为什么要使用此策略: 如果某个应用程序要求访问 Web 应用程序(Web 服务)才能运行,则启用此策略以使 XenMobile 提示用户连接到企业网络或具有活动会话才能使用该应用程序。

    用户示例: 用户尝试打开已启用“要求联机会话”策略的 MDX 应用程序时,只能在使用手机网络或 WiFi 服务连接到网络后才能使用该应用程序。

  • 最长脱机期限

    为什么要使用此策略: 将此策略作为额外的安全选项使用,用于确保用户在未重新确认应用程序授权并从 XenMobile 刷新策略的情况下不能长时间脱机运行应用程序。

    用户示例: 如果您为某个 MDX 应用程序配置“最长脱机期限”,用户可以打开并脱机使用该应用程序,直到脱机计时器期限过期。此时,如果系统提示,用户必须通过手机网络或 WiFi 服务重新连接网络并重新进行身份验证。

其他访问策略

  • 应用程序更新宽限期(小时)

    为什么要使用此策略: 应用程序更新宽限期是指为用户预留的一段时间,到此时间后,用户必须更新 XenMobile Store 中发布的较新版本的应用程序。在过期时,用户必须更新该应用程序才能访问该应用程序中的数据。设置此值时,请谨记您的移动办公人员的需求,尤其是在国际出差时可能很长一段时间脱机的办公人员。

    用户示例: 加载 XenMobile Store 中的新版本的 Secure Mail,然后将应用程序更新宽限期设置为 6 小时。Secure Mail 的所有用户将都看到一条消息,要求其更新自己的 Secure Mail 应用程序,直到过了 6 小时。过了 6 小时后,Secure Hub 会将用户路由至 XenMobile Store。

  • 活动轮询期限(分钟)

    为什么要使用此策略: 活动轮询期限是指 XenMobile 检查应用程序以确定何时执行安全操作(例如,应用程序锁定和应用程序擦除)的时间间隔。

    用户示例: 如果将“活动轮询期限”策略设置为 60 分钟,则从 XenMobile 向设备发送应用程序锁定命令时,将在上次轮询后的 60 分钟内发生锁定。

加密策略

为什么要使用这些策略: XenMobile 包括具有强加密层的 Secret Vault,Secure Hub 及其他移动生产力应用程序使用其在设备上保存敏感数据(例如,密码和加密密钥),而不依赖于平台本机密钥库。因此,如果该设备以任何方式受到安全威胁,公司数据仍在 MDX 容器中保持加密状态,并且 XenMobile 在容器外部传输数据之前先对其进行模糊处理。

用户示例: 如果设备所有者未设置设备 PIN 或设备 PIN 已泄露,Secure Hub 容器内的公司数据仍保持安全。

应用程序交互策略

为什么要使用这些策略: 可使用应用程序交互策略来控制文档和数据从 MDX 应用程序传输到设备上其他应用程序的流。例如,您可以阻止用户在容器外部将数据移至其个人应用程序或从容器外部将数据粘贴到容器化应用程序中。

用户示例: 您将应用程序交互策略设置为“限制”,这意味着用户可以将文本从 Secure Mail 复制到 Secure Web,但不能将该数据复制到容器外部的其个人 Safari 或 Chrome 浏览器。此外,用户可以在 ShareFile 或 Quick Edit 中打开 Secure Mail 中的附加文档,但不能在容器外部的自己的个人文件查看应用程序中打开附加文档。

应用程序限制策略

为什么要使用这些策略: 可使用应用程序限制策略来控制用户可以从打开的 MDX 应用程序访问的功能。这有助于确保该应用程序运行时不会发生任何恶意活动。在 iOS 和 Android 之间应用程序限制策略略有不同。例如,在 iOS 中,您可以在 MDX 应用程序运行时阻止对 iCloud 的访问。在 Android 中,您可以在 MDX 应用程序运行时停止 NFC 的使用。

用户示例: 如果在 iOS 上启用应用程序限制策略以阻止在 MDX 应用程序中使用听写功能,则在 MDX 应用程序运行时,用户无法在 iOS 键盘上使用听写功能。因此,用户听写的数据不会传递到不安全的第三方云听写服务。用户在容器外部打开其个人应用程序时,用户仍可使用听写选项进行自己的个人通信。

应用程序网络访问策略

为什么要使用这些策略: 可使用应用程序网络访问策略来提供从设备上容器中的 MDX 应用程序访问企业网络内部数据的权限。对于网络访问策略,设置通过通道连接到内部网络选项可自动启动通过 NetScaler 从 MDX 应用程序到后端 Web 服务或数据存储的 Micro VPN。

用户示例: 用户打开已启用通道的 MDX 应用程序(例如 Secure Web)时,浏览器将打开并启动 Intranet 站点,而无需用户启动 VPN。Secure Web 应用程序会自动使用 Micro VPN 技术访问内部站点。

应用程序地理定位和地理围栏策略

为什么要使用这些策略: 控制应用程序地理定位和地理围栏功能的策略包括中心点经度、中心点纬度和半径。这些策略包含在 MDX 应用程序中访问特定地理区域的数据的权限。这些策略按纬度和经度坐标半径定义地理区域。如果用户尝试在定义的半径外使用应用程序,则应用程序保持锁定状态,用户无法访问应用程序数据。

用户示例: 用户在其办公地点时可以访问合并和收购数据。当用户离开办公地点时,不可访问此敏感数据。

Secure Mail 应用程序策略

  • 后台网络服务

    为什么要使用此策略: Secure Mail 中的后台网络服务利用 Secure Ticket Authority (STA),实际上这是用于通过 NetScaler Gateway 进行连接的 SOCKS5 代理。STA 支持长时间连接,与 Micro VPN 相比,可延长电池寿命。因此,STA 非常适用于持续连接的邮件。Citrix 建议您为 Secure Mail 配置这些设置。NetScaler for XenMobile 向导会自动为 Secure Mail 设置 STA。

    用户示例: 未启用 STA 且 Android 用户打开 Secure Mail 时,系统提示用户打开 VPN(在设备上保持打开状态)。启用了 STA 且 Android 用户打开 Secure Mail 时,Secure Mail 将无缝连接,而无需任何 VPN。

  • 默认同步时间间隔

    为什么要使用此策略: 此设置指定用户首次访问 Secure Mail 时同步到 Secure Mail 的电子邮件默认天数。请注意,同步 2 周的电子邮件所用时间比 3 天长,并会延长用户的设置过程。

    用户示例: 如果“默认同步时间间隔”设置为 3 天,则当用户首次设置 Secure Mail 时,他们会在其收件箱中看到从当前到过去 3 天收到的任何电子邮件。如果用户想查看 3 天以前的电子邮件,可以执行搜索。Secure Mail 随即将显示服务器上存储的较早电子邮件。安装 Secure Mail 后,每个用户都可以更改此设置以更好地满足自己的需求。

设备策略和用例行为

设备策略(有时称为 MDM 策略)确定 XenMobile 处理设备的方式。尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。下面列出了其中一些设备策略,并介绍了相应的使用方法。有关所有设备策略的列表,请参阅设备策略下的文章。

  • 应用程序清单策略

    为什么要使用此策略: 如果您需要查看用户安装的应用程序,可将应用程序清单策略部署到设备。如果您未部署应用程序清单策略,则只能查看用户从 XenMobile Store 安装的应用程序,但看不到任何个人安装的应用程序。如果您想要将某些应用程序列入黑名单以阻止在公司设备上运行,必须使用此策略。

    用户示例: 使用 MDM 托管的设备的用户不能禁用此功能。用户的个人安装的应用程序对 XenMobile 管理员可见。

  • 应用程序锁定策略

    为什么要使用此策略: 对于 Android,可以通过应用程序锁定策略将应用程序列入黑名单或白名单。例如,通过将应用程序列入白名单,可以配置 kiosk 设备。通常情况下,只将应用程序锁定策略部署到公司拥有的设备,因为它会限制用户可以安装的应用程序。您可以设置覆盖密码以允许用户访问被阻止的应用程序。

    用户示例: 假设您部署的应用程序锁定策略阻止“愤怒的小鸟”应用程序。用户可以从 Google Play 安装“愤怒的小鸟”应用程序,但当其打开该应用程序时,将显示一条消息,告知其管理员已阻止该应用程序。

  • 连接计划策略

    为什么要使用此策略: 您必须使用连接计划策略,以使 Android 和 Windows Mobile 设备可以重新连接到 XenMobile 以进行 MDM 管理、应用程序推送和策略部署。如果未部署此策略,并且未启用 Google Firebase Cloud Messaging (FCM),设备将无法重新连接到 XenMobile。请务必在基础软件包中部署此策略以注册设备。计划选项如下所示:

    • 总是: 连接永久保持活动状态。Citrix 建议使用此选项以优化安全性。如果选择总是,还要使用连接计时器策略来确保连接不会耗尽电池电量。通过保持连接处于活动状态,您可以根据需要将擦除或锁定等安全命令推送到设备。此外,还必须在部署到设备的每个策略中选择“部署计划”选项为始终启用的连接部署

    • 从不: 手动进行连接。Citrix 建议不要对生产部署使用此选项,因为从不选项会阻止您将安全策略部署到设备,因此,用户从不会收到任何新应用程序或策略。

    • 每隔: 按照指定间隔进行连接。如果此选项生效,则当您发送锁定或擦除等安全策略时,XenMobile 将在下次设备连接时在设备上处理该策略。

    • 定义计划: 启用后,在网络连接断开后,XenMobile 尝试将用户设备重新连接到 XenMobile Server,并在您定义的时间范围内通过以固定间隔传输控制数据包监视连接。

    用户示例: 您希望将通行码策略部署到注册的设备。计划策略可确保设备以固定间隔重新连接到服务器以收集新策略。

  • 凭据策略

    为什么要使用此策略: 凭据策略常与 WiFi 策略结合使用,您可以通过该策略向需要证书身份验证的内部资源部署用于身份验证的证书。

    用户示例: 您在设备上部署用于配置无线网络的 WiFi 策略。WiFi 网络要求使用证书进行身份验证。凭据策略将部署证书,该证书随后存储在操作系统密钥库中。之后,用户在连接到内部资源时可以选择该证书。

    • Exchange 策略

    为什么要使用此策略: 使用 XenMobile 时,您有两种方式传递 Microsoft Exchange ActiveSync 电子邮件。

    • Secure Mail 应用程序: 使用从公共应用商店或 XenMobile Store 分发的 Secure Mail 应用程序传递电子邮件。

    • 本机电子邮件应用程序: 使用 Exchange 策略为设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。对本机电子邮件使用 Exchange 策略时,您可以使用宏提取其 Active Directory 属性中的用户数据进行填充,例如,提取 ${user.username} 中的数据填充用户名,提取 ${user.domain} 中的数据填充用户域。

    用户示例: 当您推送 Exchange 策略时,将向设备发送 Exchange Server 详细信息。Secure Hub 随后提示用户进行身份验证并且电子邮件开始同步。

  • 定位策略

    为什么要使用此策略: 如果已在设备上为 Secure Hub 启用了 GPS,您可以通过定位策略在地图上对设备进行地理定位。部署此策略并随后从 XenMobile Server 发送定位命令后,设备将返回位置坐标。

    用户示例: 部署了定位策略且在设备上启用了 GPS 后,如果用户错放了设备,他们可以登录 XenMobile 自助服务门户,然后选择定位选项,可在地图上查看其设备的位置。请注意,用户可进行选择以允许 Secure Hub 使用定位服务。当用户自己注册设备时,您无法强制使用定位服务。使用此策略的另一个注意事项是对电池寿命的影响。

  • 通行码策略

    为什么要使用此策略: 通行码策略允许您在托管设备上强制执行 PIN 代码或密码。此通行码策略允许您在设备上设置通行码的复杂性和超时。

    用户示例: 当您将通行码策略部署到设备后,Secure Hub 将提示用户配置通行码或 PIN,当用户打开设备或不活动计时器过期时,他们必须先解锁,才能访问其设备。

  • 配置文件删除策略

    为什么要使用此策略: 假设您将某个策略部署到一组用户,以后需要从其中一部分用户删除该策略。您可以创建配置文件删除策略并使用部署规则将该配置文件删除策略仅部署到指定的用户名,以针对选定用户删除策略。

    用户示例: 将配置文件删除策略部署到用户设备时,用户可能不会发现所做的更改。例如,如果配置文件删除策略删除了禁用设备摄像头的限制,用户不知道现在允许使用摄像头。当所做的更改影响用户体验时,请考虑让用户了解。

  • 限制策略

    为什么要使用此策略: 限制策略允许您使用许多选项来锁定和控制托管设备上的特性和功能。您可以对受支持的设备启用数以百计的限制选项,包括禁用设备上的摄像头或麦克风、对第三方服务(例如,应用商店)执行漫游规则和访问等。

    用户示例: 如果您将限制部署到 iOS 设备,用户可能无法访问 iCloud 或 iTunes Store。

  • 条款和条件策略

    为什么要使用此策略: 您可能需要向用户告知托管其设备涉及的法律法规。此外,您可能希望确保用户知道向设备推送公司数据时的安全风险。您可以通过自定义的条款和条件文档在用户注册之前发布规则和声明。

    用户示例: 用户将在注册过程中看到条款和条件信息。如果他们拒绝接受所列条件,则注册过程将结束,他们将无法访问公司数据。您可以生成报告以提供给 HR/法律/合规团队,报告中显示接受或拒绝这些条款的用户。

  • VPN 策略

    为什么要使用此策略: 使用 VPN 策略,可通过使用较旧 VPN 网关技术访问后端系统。该策略支持许多 VPN 提供商,包括 Cisco AnyConnect、Juniper 及 Citrix VPN。此外,也可以将此策略链接到 CA 并按需启用 VPN(如果 VPN 网关支持此选项)。

    用户示例: 启用 VPN 策略后,当用户访问内部域时,用户的设备将打开 VPN 连接。

  • Web 剪辑策略

    为什么要使用此策略: 如果您想要向设备推送可直接打开 Web 站点的图标,可使用 Web 剪辑策略。Web 剪辑包含指向 Web 站点的链接,并可以包括自定义图标。在设备上,Web 剪辑类似应用程序图标。

    用户示例: 用户可以单击 Web 剪辑图标打开提供其需要访问的服务的 Internet 站点。与打开浏览器应用程序并键入链接地址的方式相比,使用 Web 链接更加方便。

  • WiFi 策略

    为什么要使用此策略: 通过 WiFi 策略可以将 WiFi 网络详细信息(例如 SSID、身份验证数据和配置数据)部署到托管设备。

    用户示例: 在部署 WiFi 策略后,设备将自动连接到 WiFi 网络并对用户进行身份验证,以便用户可访问此网络。

  • Windows 信息保护策略

    为什么要使用此策略: 可使用 Windows 信息保护 (WIP) 策略来避免企业数据可能发生的泄漏。您可以指定在您设置的强制级别需要 Windows 信息保护的应用程序。例如,您可以阻止任何不恰当的数据共享,或者在发生不恰当的数据共享时发出警告,并允许用户覆盖该策略。您可以无提示运行 WIP,同时记录和允许不恰当的数据共享。

    用户示例: 假设您配置 WIP 策略以阻止不恰当的数据共享。如果用户将受保护的文件复制或保存到不受保护的位置,将显示类似如下的消息: You can’t place work protected content in this location(您不能将受工作保护的内容放在此位置)。

  • XenMobile Store 策略

    为什么要使用此策略: XenMobile Store 是一个统一的应用商店,管理员可以在此发布其用户所需的所有公司应用程序和数据资源。管理员可以添加 Web 应用程序、SaaS 应用程序、MDX 打包的应用程序、Citrix 生产力应用程序、本机移动应用程序(例如 .ipa 或 .apk 文件)、iTunes 和 Google Play 应用程序、Web 链接以及使用 Citrix StoreFront 发布的 XenApp 和 XenDesktop 应用程序。

    用户示例: 用户将其设备注册到 XenMobile 后,便可通过 Citrix Secure Hub 应用程序访问 XenMobile Store。之后,用户可以看到可供其使用的所有公司应用程序和服务。用户可以在 XenMobile Store 中单击某个应用程序以进行安装、访问数据、对应用程序进行评分和评论以及下载应用程序更新。