设备策略

可以通过创建策略,配置 XenMobile 与您的设备的交互方式。尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。因此,您可能会发现平台之间的差异,甚至 Android 设备的不同制造商之间的差异。

有关每个设备策略的摘要说明,请参阅本文中的设备策略摘要

注意:

如果您的环境配置了组策略对象 (GPO):

为 Windows 10 配置 XenMobile 设备策略时,请记住以下规则。如果已注册的一台或多台 Windows 10 设备上的某个策略冲突,则优先应用与 GPO 对应的策略。

要查看 Android for Work 容器支持的策略,请参阅 Android for Work

必备条件

  • 创建计划使用的交付组。
  • 安装所有必需的 CA 证书。

添加设备策略

创建设备策略的基本步骤如下:

  1. 为策略命名并添加说明。
  2. 为一个或多个平台配置策略。
  3. 创建部署规则(可选)。
  4. 将策略分配到交付组。
  5. 配置部署计划(可选)。

要创建和管理设备策略,请转到配置 > 设备策略

“设备策略”配置屏幕图

要添加策略,请执行以下操作:

  1. 设备策略页面上,单击添加。将显示添加新策略页面。

    “设备策略”配置屏幕图

  2. 单击一个或多个平台可查看适用于选定平台的设备策略的列表。单击某个策略名称可继续添加该策略。

    “设备策略”配置屏幕图

    还可以在搜索框中键入策略的名称。随着键入,将显示可能的匹配项。如果列表中存在您的策略,请单击此策略。只有选中的策略保留在结果中。单击此策略以打开其策略信息页面。

  3. 选择要包含在策略中的平台。选定平台的配置页面显示在步骤 5 中。

  4. 完成策略信息页面,然后单击下一步策略信息页面收集策略名称等信息,以帮助您识别和跟踪自己的策略。此页面在所有策略之间相似。

  5. 完成平台页面。显示在步骤 3 选择的每个平台的平台页面。这些页面因策略而异。策略可能会因平台而异。并非所有策略都适用于所有平台。

    一些页面包括项目表。要删除现有项目,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾桶图标。在确认对话框中,单击删除

    要编辑现有项目,请将鼠标悬停在包含此列表的行上方,然后单击右侧的铅笔图标。

配置部署规则、分配和计划

有关配置部署规则的详细信息,请参阅部署资源

  1. 在平台页面上,展开部署规则,然后配置以下设置。默认情况下将显示基础选项卡。

    • 在此列表中,单击选项以确定部署策略的时间。可以选择在满足所有条件时部署策略,或在满足任意条件时部署策略。默认选项为全部
    • 单击新建规则以定义条件。
    • 在列表中,单击条件,例如,设备所有权BYOD
    • 如果要添加更多条件,请再次单击新建规则。您可以添加任意多项条件。
  2. 单击高级选项卡以使用布尔选项组合规则。此时将显示您在基础选项卡上选择的条件。

  3. 您可以使用更多高级布尔逻辑来组合、编辑或添加规则。

    • 单击
    • 在列表中,选择要添加到规则的条件。然后单击右侧的加号 (+) 向规则添加条件。

      您随时可以通过单击选择某个条件,然后单击编辑以更改此条件或单击删除以删除此条件。

    • 单击新建规则添加其他条件。
  4. 单击下一步移到下一个平台页面,或者在完成所有平台页面后移到分配页面。

  5. 分配页面上,选择要应用策略的交付组。如果单击某个交付组,此组将显示在用于接收应用程序分配的交付组框中。

    用于接收应用程序分配的交付组在您选择某个交付组之后才显示。

    “设备策略”配置屏幕图

  6. 分配页面上,展开部署计划,然后配置以下设置:

    • 部署旁边,单击以计划部署,或单击以阻止部署。默认选项为
    • 部署计划旁边,单击立即以后。默认选项为立即
    • 如果单击以后,请单击日历图标,然后选择部署的日期和时间。
    • 部署条件旁边,单击每次连接时或单击仅当之前的部署失败时。默认选项为每次连接时
    • 为始终启用的连接部署旁边,单击。默认选项为

      注意:

      如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。始终启用选项不适用于 iOS 设备。

      配置的部署计划对所有平台相同。您所做的更改适用于所有平台,为始终启用的连接部署除外,它不适用于 iOS。

    “设备策略”配置屏幕图

  7. 单击保存

    该策略显示在设备策略表中。

编辑或删除设备策略

要编辑或删除某个策略,请选中策略旁边的复选框,以在策略列表上方显示选项菜单。或者单击列表中的某个策略,以在此列表右侧显示选项菜单。

“设备策略”配置屏幕图

要查看策略详细信息,请单击显示更多

要编辑某个设备策略的所有设置,请单击编辑

如果单击删除,将显示确认对话框。再次单击删除

过滤已添加的设备策略列表

可以按策略类型、平台和关联的交付组过滤已添加的策略列表。在配置 > 设备策略页面上,单击显示过滤器。在列表中,选择您要查看的项对应的复选框。

“设备策略”配置屏幕图

单击保存此视图以保存过滤器。之后过滤器的名称显示在保存此视图按钮下面的一个按钮中。

设备策略摘要

设备策略名称 设备策略说明
AirPlay 镜像 将特定 AirPlay 设备(例如 Apple TV 或其他 Mac 计算机)添加到 iOS 设备。还可以使用用于将设备添加到受监督设备的白名单中的选项。该选项仅将用户限制到白名单中的 AirPlay 设备。
AirPrint 将 AirPrint 打印机添加到 iOS 设备上的 AirPrint 打印机列表。通过此策略可以更加轻松地为打印机和设备位于不同子网的环境提供支持。
Android for Work 应用程序权限 配置对工作配置文件内部的 Android for Work 应用程序的请求如何处理 Google 称作“危险”权限的权限。
Android for Work 应用程序限制 更新与 Android 应用程序相关联的限制。
APN 确定将设备连接到特定电话运营商的通用分组无线服务 (GPRS) 所使用的设置。大多数新式电话中已定义此设置。如果贵组织不使用使用者 APN 从移动设备连接到 Internet,请使用此策略。
应用程序访问 定义设备上的必需、可选或受阻止应用程序的列表。然后,可以创建自动化操作,以使设备符合此应用程序列表。
应用程序属性 为 iOS 设备指定各种属性,例如托管应用程序捆绑包 ID 或 PerApp VPN 标识符。
应用程序配置 远程配置支持托管配置的应用程序的各种设置和行为。为此,您要将 XML 配置文件(称为属性列表或 plist)部署到 iOS 设备。或者,将键/值对部署到 Windows 10 手机、台式机或平板电脑设备。
应用程序清单 收集托管设备上的应用程序清单。之后 XenMobile 将清单与部署到这些设备的任何应用程序访问策略进行比较。这样一来,便可以检测应用程序黑名单或白名单上的应用程序,然后采取相应操作。
应用程序锁定 定义用户可以或无法在 iOS 或某些 Android 设备上运行的应用程序列表。
应用程序网络使用 设置网络使用规则,以指定 iOS 设备上托管应用程序如何使用网络(例如手机网络数据网络)。规则仅适用于托管应用程序。托管应用程序是指您通过 XenMobile 部署到用户设备的应用程序。
应用程序限制 创建您要阻止用户在 Samsung KNOX 设备上安装的应用程序的黑名单。您还可以创建您要允许用户安装的应用程序的白名单。
应用程序卸载 从用户设备中删除应用程序。
应用程序卸载限制 指定用户可以或无法卸载的应用程序。
应用程序通知 控制 iOS 用户如何从指定的应用程序接收通知。
BitLocker 配置在 Windows 10 设备上的 BitLocker 界面中可用的设置。
浏览器 定义用户设备是否可以使用浏览器或设备可以使用的浏览器功能。
日历(CalDav) 将日历 (CalDAV) 帐户添加到 iOS 或 macOS 设备。使用 CalDAV 帐户,用户可以将计划数据与支持 CalDAV 的任何服务器同步。
手机网络 配置手机网络设置。
连接管理器 为自动连接到 Internet 和专用网络的应用程序指定连接设置。此策略仅适用于 Windows Pocket PC。
联系人(CardDAV) 将 iOS 联系人 (CardDAV) 帐户添加到 iOS 或 macOS 设备。使用 CardDAV 帐户,用户可以将联系人数据与支持 CardDAV 的任何服务器同步。
控制操作系统更新 将最新的操作系统更新部署到支持的受监督设备。
将应用程序复制到 Samsung 容器 将已在设备上安装的应用程序复制到受支持的 Samsung 设备上的 SEAMS 或 KNOX 容器。复制到 SEAMS 容器的应用程序显示在设备主屏幕上。复制到 KNOX 容器的应用程序仅当用户登录 KNOX 容器时可用。
凭据 启用使用 XenMobile 中的 PKI 配置进行集成身份验证。例如,使用 PKI 实体、密钥库、凭据提供程序或服务器证书。
自定义 XML 自定义设备预配、设备功能启用、设备配置和故障管理等功能。
Defender 配置适用于台式机和平板电脑的 Windows 10 的 Windows Defender 设置。
删除文件和文件夹 从 Windows Mobile/CE 设备中删除特定的文件或文件夹。
删除注册表项和值 从 Windows Mobile/CE 设备中删除特定的注册表项和值。
设备运行状况证明 需要 Windows 10 设备报告其运行状况的状态。为此,它们向 Health Attestation Service (HAS) 发送特定数据和运行时信息以供分析。HAS 创建并返回运行状况证明证书,然后,设备将此证书发送给 XenMobile。XenMobile 收到运行状况证明证书后,根据该证书的内容,部署您设置的自动操作。
设备名称 在 iOS 和 macOS 设备上设置名称,以便您可以轻松识别设备。可以使用宏、文本或二者的组合定义设备名称。
教育配置 配置教师和学生的设备以供 Apple 教育使用。如果教师使用“课堂”应用程序,则需要配置教育配置设备策略。
企业中心 通过企业中心公司应用商店将应用程序分发到 Windows Phone。对于一种 Windows Phone Secure Hub 模式,XenMobile 仅支持一种企业中心策略。例如,不要使用不同版本的 Secure Home for XenMobile Enterprise Edition 创建多个企业中心策略。只能在设备注册过程中部署初始企业中心策略。
Exchange 为设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。
文件 将为用户执行某些功能的脚本文件添加到 XenMobile。或者,您可以添加您希望 Android 设备用户能够在其设备上访问的文档文件。添加文件时,还可以指定设备上要存储该文件的目录。
FileVault 此策略允许您在已注册的 macOS 设备上启用 FileVault 设备加密。还可以控制用户在登录过程中可以跳过 FileVault 设置的次数。适用于 macOS 10.7 或更高版本。
防火墙 配置防火墙设置。提供要在设备上允许或阻止的 IP 地址、端口和主机名。还可以配置代理和代理重新路由设置。
字体 在 iOS 和 macOS 设备上添加字体。字体必须是 TrueType (.TTF) 字体或 OpenType (.OFT) 字体。XenMobile 不支持字体集合(.TTC 或 .OTC)。
主屏幕布局 指定 iOS 9.3 及更高版本的受监督设备上的 iOS 主屏幕的应用程序和文件夹布局。
导入 iOS 和 macOS 配置文件 将 iOS 和 macOS 设备的设备配置 XML 文件导入到 XenMobile 中。此文件包含您通过使用 Apple Configurator 准备的设备安全策略和限制。
是否需要 Kiosk 限制应用程序在 Samsung SAFE 设备上的使用。您可以将可用应用程序限于特定的一个或多个应用程序。此策略对计划仅运行特定类型或类别的应用程序的企业设备很有用。此策略还允许您针对 Kiosk 模式选择设备主屏幕和锁屏界面墙纸使用的自定义图片。
Launcher 配置 指定 Android 设备上的 Citrix Launcher 的设置,例如允许的应用程序以及 Launcher 图标的自定义徽标图像。
LDAP 提供与要用于 iOS 设备的 LDAP 服务器有关的信息,包括任何必要的帐户信息(例如 LDAP 服务器主机名)。此策略还提供了一组在查询 LDAP 服务器时使用的 LDAP 搜索策略。
位置 允许您在地图上对设备进行地理定位(假定该设备已为 Secure Hub 启用 GPS)。将此策略部署到设备之后,可以从 XenMobile Server 发送定位命令。之后设备会返回其位置坐标。XenMobile 还支持地理围栏和跟踪策略。
邮件 在 iOS 或 macOS 设备上配置电子邮件帐户。
托管域 定义应用于电子邮件和 Safari 浏览器的托管域。托管域可以控制哪些应用程序可以使用 Safari 打开从域下载的文档,从而保护公司数据。对于 iOS 8 及更高版本的受监管设备,可以指定 URL 或子域以控制用户通过浏览器打开文档、附件或下载内容的方式。
MDM 选项 在受监督的 iOS 7.0 及更高版本的手机设备上管理“查找我的 iPhone 和 iPad 激活锁”。
组织信息 为 XenMobile 部署到 iOS 设备的警报消息指定组织信息。
通行码 在托管设备上强制使用 PIN 代码或密码。您可以为设备上的通行码设置复杂性和超时。
个人热点 允许用户不在 WiFi 网络的范围内时连接到 Internet。用户通过其 iOS 设备上手机网络数据连接并使用个人热点功能进行连接。
配置文件删除 从 iOS 或 macOS 设备中删除应用程序配置文件。
预配配置文件 指定要发送到设备的企业分发预配配置文件。在开发 iOS 企业应用程序以及为其进行代码签名时,通常会包括预配配置文件。Apple 要求应用程序的配置文件在 iOS 设备上运行。如果预配配置文件缺失或已过期,用户轻按应用程序以将其打开时,应用程序将崩溃。
删除预配配置文件 删除 iOS 预配配置文件。
代理 为运行 Windows Mobile/CE 和 iOS 的设备指定全局 HTTP 代理设置。只能为每个设备部署一个全局 HTTP 代理策略。
注册表 定义允许您管理 Windows Mobile/CE 设备的注册表项和值。Windows Mobile/CE 注册表存储关于应用程序、驱动器、用户首选项和配置设置的数据。
远程支持 向您提供远程访问 Samsung KNOX 设备的权限。
限制 提供在托管设备上执行锁定和控制功能的数百种选项。限制选项示例:禁用相机或麦克风、强制执行漫游规则以及强制访问第三方服务(例如应用商店)。
漫游 配置在 iOS 和 Windows Mobile/CE 设备上是否允许语音和数据漫游。如果禁用语音漫游,会自动禁用数据漫游。
Samsung MDM 许可证密钥 指定内置 Samsung Enterprise License Management (ELM) 密钥,必须先将该密钥部署到设备,才能部署 SAFE 策略和限制。XenMobile 还支持 Samsung Enterprise Firmware-Over-The-Air (E-FOTA) 服务。XenMobile 支持并扩展了 Samsung for Enterprise (SAFE) 和 Samsung KNOX 策略。
计划 必需策略,用于使 Android 和 Windows Mobile 设备重新连接到 XenMobile Server 以进行 MDM 管理、应用程序推送和策略部署。如果不向设备发送此策略并且未启用 Google FCM,设备将无法重新连接回服务器。
SCEP 将 iOS 和 macOS 设备配置为从外部 SCEP 服务器检索证书。您还可以使用 SCEP 从连接到 XenMobile 的 PKI 向设备交付证书。为此,请在分布式模式下创建 PKI 实体和 PKI 提供程序。
SSO 帐户 创建单点登录 (SSO) 帐户,以便用户只需登录设备一次,即可访问 XenMobile 和内部公司资源。用户无需在设备上存储任何凭据。XenMobile 跨应用程序(包括 App Store 中的应用程序)使用 SSO 帐户的企业用户凭据。此策略与 Kerberos 身份验证兼容。适用于 iOS。
存储加密 加密内部和外部存储。对于某些设备,此策略可防止用户在其设备上使用存储卡。
已订阅的日历 将订阅的日历添加到 iOS 设备上的日历列表。请务必先订阅某个日历,才能将其添加到用户设备上已订阅的日历列表中。
条款和条件 要求用户接受贵公司控制与企业网络的连接的特定策略。当用户在 XenMobile 中注册其设备时,必须接受这些条款和条件才能注册其设备。拒绝这些条款和条件会取消注册过程。
通道 仅用于远程支持。通过 Remote Support,您的技术支持代表能够远程控制托管的 Windows CE 和 Android 移动设备。远程支持不适用于本地群集 XenMobile Server 部署。
VPN 提供对使用传统 VPN 网关技术的后端系统的访问权限。此策略用于提供可以部署到设备的 VPN 网关连接的详细信息。XenMobile 支持多个 VPN 提供商,包括 Cisco AnyConnect、Juniper 及 Citrix VPN。如果您的 VPN 网关支持此选项,您可以将此策略链接到 CA 并按需启用 VPN。
墙纸 添加 .png 或 .jpg 文件,以设置 iOS 设备锁屏界面、主屏幕或二者的墙纸。要在 iPad 和 iPhone 上使用不同的墙纸,请创建不同的墙纸策略并将其部署到相应的用户。
Web 内容过滤器 过滤 iOS 设备上的 Web 内容。XenMobile 使用 Apple 自动过滤功能和您添加到白名单和黑名单的站点。仅适用于受监督的 iOS 设备。
Web 剪辑 在 Web 站点中放置快捷方式或 Web 剪辑,以便其与应用程序一起出现在用户设备上。您可以指定自己的图标来表示 iOS、macOS 和 Android 设备的 Web 剪辑。Windows 平板电脑只需要一个标签和一个 URL。
WiFi 允许管理员将 WiFi 路由器详细信息部署到托管设备。路由器详细信息包括 SSID、身份验证数据和配置数据。
Windows CE 证书 从外部 PKI 创建 Windows Mobile/CE 证书并将其交付到用户设备。
Windows 信息保护 指定在您为策略设置的强制级别需要 Windows 信息保护的应用程序。此策略适用于 Windows 10 1607 版及更高版本的受监督设备。
XenMobile Store 指定 XenMobile Store Web 剪辑是否显示在用户设备的主屏幕上。
XenMobile 选项 配置在从 Android 和 Windows Mobile/CE 设备连接到 XenMobile 时 Secure Hub 的行为。
XenMobile 卸载 从 Android 和 Window Mobile/CE 设备中卸载 XenMobile。部署此策略时,它将从部署组中的所有设备上删除 XenMobile。