通行码设备策略
可以根据贵组织的标准在 XenMobile 中创建通行码策略。可以要求在用户设备上输入通行码,并且可以设置各种格式和通行码规则。您可以为 iOS、macOS、Android、Samsung KNOX、Android Enterprise 和 Windows Desktop/Tablet 创建策略。每种平台需要一组不同的值,本文将对此进行介绍。
要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略。
iOS 设置
- 需要通行码: 选择此选项以要求输入通行码并显示 iOS 通行码设备策略的配置选项。页面将展开以允许您配置通行码要求、通行码安全性和策略设置的相关设置。
-
通行码要求
- 最小长度: 在列表中,单击通行码的最小长度。默认值为 6。
- 允许使用简单通行码: 选择是否允许使用简单通行码。简单通行码是指重复或连续的字符集。默认值为开。
- 需含字符: 选择是否要求通行码至少包含一个字母。默认值为关。
- 符号数下限: 在列表中,单击通行码必须包含的符号数量。默认值为 0。
-
通行码安全
- 设备锁定宽限期(不活动分钟): 在列表中,单击用户必须输入通行码以解锁锁定设备之前的时间长度。默认值为无。
- 此时间后锁定设备(不活动分钟数): 在列表中,单击设备在锁定之前可以不活动的时间长度。默认值为“无”。
- 通行码有效期限(1 - 730 天): 键入有效天数,超过此天数后,通行码将过期。有效值为 1-730。默认值为 0,表示通行码永不过期。
- 保存的以前用过的密码数量(0-50): 键入要保存的使用过的密码数量。用户无法使用在此列表中找到的任何密码。有效值为 0-50。默认值为 0,表示用户可以重复使用密码。
- 失败登录尝试次数上限: 在列表中,单击用户在成功登录之前可以失败的次数,超过此次数后,设备将被完全擦除。默认值为未定义。
macOS 设置
- 需要通行码: 选择此选项以要求输入通行码并显示 iOS 通行码设备策略的配置选项。页面将展开以允许您配置通行码要求、通行码安全性和策略设置的相关设置。
- 如果未启用需要通行码,请在尝试登录失败后的延迟时间(分钟)旁边, 键入允许用户重新输入其通行码之前延迟的分钟数。
- 如果启用了需要通行码,请配置以下设置:
-
通行码要求
- 最小长度: 在列表中,单击通行码的最小长度。默认值为 6。
- 允许使用简单通行码: 选择是否允许使用简单通行码。简单通行码是指重复或连续的字符集。默认值为开。
- 需含字符: 选择是否要求通行码至少包含一个字母。默认值为关。
- 符号数下限: 在列表中,单击通行码必须包含的符号数量。默认值为 0。
-
通行码安全
- 设备锁定宽限期(不活动分钟): 在列表中,单击用户必须输入通行码以解锁锁定设备之前的时间长度。默认值为无。
- 此时间后锁定设备(不活动分钟数): 在列表中,单击设备在锁定之前可以不活动的时间长度。默认值为无。
- 通行码有效期限(1 - 730 天): 键入有效天数,超过此天数后,通行码将过期。有效值为 1-730。默认值为 0,表示通行码永不过期。
- 保存的以前用过的密码数量(0-50): 键入要保存的使用过的密码数量。用户无法使用在此列表中找到的任何密码。有效值为 0-50。默认值为 0,表示用户可以重复使用密码。
- 失败登录尝试次数上限: 在列表中,单击用户在成功登录之前可以失败的次数,超过此次数后,设备将被锁定。默认值为未定义。
- 尝试登录失败后的延迟时间(分钟): 键入允许用户重新输入其通行码之前延迟的分钟数。
- 强制重置通行码: 用户下次进行身份验证时,必须重置通行码。
-
策略设置
- 配置文件作用域: 选择此策略是应用于用户还是整个系统。默认值为用户。此选项仅在 macOS 10.7 及更高版本中可用。
Android 设置
注意:
Android 的默认值为关。
- 需要通行码: 选择此选项以要求输入通行码并显示 Android 通行码设备策略的配置选项。页面将展开以允许您配置通行码要求、通行码安全性、加密和 Samsung SAFE 的相关设置。
-
通行码要求
- 最小长度: 在列表中,单击通行码的最小长度。默认值为 6。
- 生物特征识别: 选择是否启用生物特征识别。如果启用此选项,需含字符字段将隐藏。默认值为关。
- 需含字符: 在列表中,单击“无限制”、“数字和字母”、“仅限数字”或“仅限字母”以配置通行码的组成方式。默认值为无限制。
- 高级规则: 选择是否应用高级通行码规则。此选项适用于 Android 3.0 及更高版本。默认值为关。
- 启用高级规则时,请在下面每个列表中,单击通行码必须包含的每种字符类型的最小数量:
- 符号: 符号的最小数量。
- 字母: 字母的最小数量。
- 小写字母: 小写字母的最小数量。
- 大写字母: 大写字母的最小数量。
- 数字或符号: 数字或符号的最小数量。
- 数字: 数字的最小数量。
-
通行码安全
- 此时间后锁定设备(不活动分钟数): 在列表中,单击设备在锁定之前可以不活动的时间长度。默认值为无
- 通行码有效期限(1 - 730 天): 键入有效天数,超过此天数后,通行码将过期。有效值为 1-730。默认值为 0,表示通行码永不过期。
- 保存的以前用过的密码数量(0-50): 键入要保存的使用过的密码数量。用户无法使用在此列表中找到的任何密码。有效值为 0-50。默认值为 0,表示用户可以重复使用密码。
- 失败登录尝试次数上限: 在列表中,单击用户在成功登录之前可以失败的次数,超过此次数后,设备将被擦除。默认值为未定义。
-
加密
-
启用加密: 选择是否启用加密。此选项适用于 Android 3.0 及更高版本。无论需要通行码设置为何,此选项都可用。
要加密其设备,用户必须首先具有充电电池并将此设备接通电源一个小时或更长时间,以便进行加密。如果中断加密过程,可能会丢失其设备上的部分或全部数据。设备加密后,过程无法逆转,除非执行出厂重置,但这样会擦除设备上的所有数据。
-
-
Samsung SAFE
注意:
在 Samsung SAFE 设备上禁用面部或虹膜识别的解决方法:为 Samsung SAFE 创建限制设备策略。在“限制策略”中,打开禁用应用程序,并将
com.samsung.android.bio.face.service
或com.samsung.android.server.iris
添加到表中。然后部署限制策略。- 对所有用户使用相同的通行码: 选择是否对所有用户使用相同的通行码。默认值为关。此设置仅适用于 Samsung SAFE 设备,无论需要通行码设置为何,此设置都可用。
- 启用对所有用户使用相同的通行码时,请在通行码字段键入供所有用户使用的通行码。
- 启用需要通行码时,请配置以下 Samsung SAFE 设置:
- 更改的字符: 键入用户必须在以前的通行码中更改的字符数量。默认值为 0。
- 字符可以出现的次数: 键入某个字符可以在通行码中出现的最大次数。默认值为 0。
- 字母序列长度: 键入通行码中字母序列的最大长度。默认值为 0。
- 数字序列长度: 键入通行码中数字序列的最大长度。默认值为 0。
- 允许用户将密码设为可见: 选择用户是否可以将通行码设为可见。默认值为开。
-
配置生物特征身份验证。选择是否启用生物特征身份验证。默认值为关。如果将其设置为开,则可以设置以下选项:
- 允许指纹。选择是否允许用户使用指纹进行身份验证。
- 允许虹膜。选择是否允许用户使用虹膜进行身份验证。
-
禁止的字符: 可以创建禁止的字符串以阻止用户使用 password、pwd、welcome、123456、111111 等很容易被猜到的不安全字符串。对于要拒绝的每个字符串,单击添加,然后执行以下操作:
- 禁止的字符: 键入用户不能使用的字符串。
- 单击保存以添加字符串,或单击取消以取消添加字符串。
Samsung KNOX 设置
-
通行码要求
- 最小长度: 在列表中,单击通行码的最小长度。默认值为 6。
- 允许用户将密码设为可见: 选择是否允许用户将密码设为可见。
-
禁止的字符: 可以创建禁止的字符串以阻止用户使用 password、pwd、welcome、123456、111111 等很容易被猜到的不安全字符串。对于要拒绝的每个字符串,单击添加,然后执行以下操作:
- 禁止的字符: 键入用户不能使用的字符串。
- 单击保存以添加字符串,或单击取消以取消添加字符串。
-
数量下限
- 更改的字符: 键入用户必须在以前的通行码中更改的字符数量。默认值为 0。
- 符号: 键入通行码中所需符号的最小数量。默认值为 0。
-
数量上限
- 字符可以出现的次数: 键入某个字符可以在通行码中出现的最大次数。默认值为 0。
- 字母序列长度: 键入通行码中字母序列的最大长度。默认值为 0。
- 数字序列长度: 键入通行码中数字序列的最大长度。默认值为 0。
-
通行码安全
- 此时间后锁定设备(不活动分钟数): 在列表中,单击设备在锁定之前可以不活动的秒数。默认值为无。
- 通行码有效期限(1 - 730 天): 键入有效天数,超过此天数后,通行码将过期。有效值为 1-730。默认值为 0,表示通行码永不过期。
- 保存的以前用过的密码数量(0-50): 键入要保存的使用过的密码数量。用户无法使用在此列表中找到的任何密码。有效值为 0-50。默认值为 0,表示用户可以重复使用密码。
- 如果超过失败登录尝试次数,设备将锁定: 在列表中,单击用户在成功登录之前可以失败的次数,超过此次数后,设备将被锁定。默认值为未定义。
- 如果超过失败登录尝试次数,设备将被擦除: 在列表中,单击用户在成功登录之前可以失败的次数,超过此次数后,将从设备中擦除 KNOX 容器(以及 KNOX 数据)。在擦除后,用户需要重新初始化 KNOX 容器。默认值为未定义。
Android Enterprise 设置
对于 Android Enterprise 设备,可以要求设备的通行码或 Android Enterprise 工作配置文件的安全质询或两者。
对于运行 Android 9.0 或更高版本以及 Samsung Knox 3.0 及更高版本的设备,请在 Android Enterprise 页面上为Samsung Knox 配置设置。对于运行早期版本的 Android 或 Samsung Knox 的设备,请使用 Samsung Knox 页面。
注意:
当运行 Samsung Knox 3.0 的设备注册为工作配置文件设备时,Knox 3.0 及更高版本的设备通行码设置也不适用于设备通行码,即使您对其进行了配置亦如此。
- 需要设备通行码: 需要设备上的通行码。当此设置设为开时,请配置设备通行码的通行码要求和设备通行码的通行码安全性下的设置。默认设置为关。
- Show apps and shortcuts while passcode is not in compliance(在通行码不合规时显示应用程序和快捷方式):如果此设置为开,设备上的应用程序和快捷方式也不会被隐藏,即使通行码不合规亦如此。当此设置设为关时,如果通行码不合规,应用程序和快捷方式将被隐藏。如果启用此设置,Citrix 建议您创建一项自动操作,以便在通行码不合规时将设备标记为不合规。默认设置为关。
-
设备通行码的通行码要求:
- 最小长度: 指定通行码的最小长度。默认值为 6。
- 允许用户将密码设为可见: 适用于运行 Samsung Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。仅适用于完全托管设备。此设置不适用于注册为工作配置文件设备的设备。允许用户将密码设为可见。默认设置为关。
- 生物特征识别: 启用生物特征识别。如果此设置设为开,则隐藏需含字符字段。默认值为关。
- 需含字符: 指定通行码所需的字符类型。在列表中,选择无限制、数字和字母、仅数字或仅字母。请仅对运行 Android 7.0 的设备使用无限制。Android 7.1 及更高版本不遵守无限制设置。默认值为数字和字母。
- 禁止的字符串: 适用于运行 Samsung Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。 仅适用于完全托管设备。此设置不适用于注册为工作配置文件设备的设备。指定用户不能用作通行码的字符串。可以创建禁止的字符串以阻止用户使用 password、pwd、welcome、123456、111111 等很容易被猜到的不安全字符串。对于要拒绝的每个字符串:单击添加;键入您不希望用户使用的字符串;单击保存以添加字符串,或单击取消以取消添加字符串。
- 高级规则: 对可能出现在通行码中的字符类型应用高级规则。当此设置设为开时,请在数量下限和数量上限下配置设置。此设置不适用于 Android 5.0 之前的 Android 设备。默认值为关。
-
数量下限:
- 符号: 指定符号的最小数量。默认值为 0。
- 字母: 指定字母的最小数量。默认值为 0。
- 小写字母: 指定小写字母的最小数量。默认值为 0。
- 大写字母: 指定大写字母的最小数量。默认值为 0。
- 数字或符号: 指定数字或符号的最小数量。默认值为 0。
- 数字: 指定数字的最小数量。默认值为 0。
- 更改的字符: 适用于运行 Samsung Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。 仅适用于完全托管设备。此设置不适用于注册为工作配置文件设备的设备。指定用户必须在以前的通行码中更改的字符数量。默认值为 0。
-
数量上限: 适用于运行 Samsung Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。 仅适用于完全托管设备。此设置不适用于注册为工作配置文件设备的设备。
- 字符可以出现的次数: 指定某个字符可以在通行码中出现的最大次数。默认值为 0,这意味着没有上限。
- 字母序列长度: 指定通行码中字母序列的最大长度。默认值为 0,这意味着没有上限。
- 数字序列长度: 指定通行码中数字序列的最大长度。默认值为 0,这意味着没有上限。
-
设备通行码的通行码安全性:
- 此次数后擦除设备(失败登录尝试次数): 指定用户可以登录失败的次数,超过此次数后,设备将被完全擦除。默认值为未定义。
- 此时间后锁定设备(不活动分钟数) (0-999): 指定设备在锁定之前可以不活动的分钟数。默认值为无。
- 通行码有效期限(1 - 730 天): 指定有效天数,超过此天数后,通行码将过期。有效值为 1-730。默认值为 0,表示通行码永不过期。
- 保存的以前用过的密码数量(0-50): 指定要保存的使用过的密码数量。用户无法使用在此列表中找到的任何密码。有效值为 0-50。默认值为 0,表示用户可以重复使用密码。
- 此次数后锁定设备(失败登录尝试次数): 适用于运行 Samsung Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。 仅适用于完全托管设备。此设置不适用于注册为工作配置文件设备的设备。指定用户可以登录失败的次数,超过此次数后,设备将被锁定。默认值为未定义。
- 工作配置文件安全质询: 要求用户完成安全质询才能访问 Android Enterprise 工作配置文件中运行的应用程序。适用于运行 Android 7.0 及更高版本的设备。当此设置设为开时,请配置工作配置文件安全质询的通行码要求和工作配置文件安全质询的通行码安全性下的设置。默认设置为关。
-
工作配置文件安全质询的通行码要求:
- 最小长度: 指定通行码的最小长度。默认值为 6。
- 允许用户将密码设为可见: 适用于运行 Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。允许用户将密码设为可见。默认设置为关。
- 生物特征识别: 启用生物特征识别。如果此设置设为开,则隐藏需含字符字段。默认值为关。
- 需含字符: 指定通行码所需的字符类型。在列表中,选择无限制、数字和字母、仅数字或仅字母。请仅对运行 Android 7.0 的设备使用无限制。Android 7.1 及更高版本不遵守无限制设置。默认值为数字和字母。
- 禁止的字符串: 适用于运行 Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。指定用户不能用作通行码的字符串。可以创建禁止的字符串以阻止用户使用 password、pwd、welcome、123456、111111 等很容易被猜到的不安全字符串。对于要拒绝的每个字符串:单击添加;键入您不希望用户使用的字符串;单击保存以添加字符串,或单击取消以取消添加字符串。
- 高级规则: 对可能出现在通行码中的字符类型应用高级规则。当此设置设为开时,请在数量下限和数量上限下配置设置。此设置不适用于 Android 5.0 之前的 Android 设备。默认值为关。
-
数量下限:
- 符号: 指定符号的最小数量。默认值为 0。
- 字母: 指定字母的最小数量。默认值为 0。
- 小写字母: 指定小写字母的最小数量。默认值为 0。
- 大写字母: 指定大写字母的最小数量。默认值为 0。
- 数字或符号: 指定数字或符号的最小数量。默认值为 0。
- 数字: 指定数字的最小数量。默认值为 0。
- 更改的字符: 适用于运行 Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。指定用户必须在以前的通行码中更改的字符数量。默认值为 0。
-
数量上限: 适用于运行 Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。
- 字符可以出现的次数: 指定某个字符可以在通行码中出现的最大次数。默认值为 0,这意味着没有上限。
- 字母序列长度: 指定通行码中字母序列的最大长度。默认值为 0,这意味着没有上限。
- 数字序列长度: 指定通行码中数字序列的最大长度。默认值为 0,这意味着没有上限。
-
启用统一通行码: 如果设置为开,则用户将一个通行码用于其设备和工作配置文件。如果设置为关:
- 用户必须对其设备和工作配置文件使用不同的通行码。
- 设备上的 Use one lock(使用一个锁)设置(如果用户希望为其设备和工作配置文件使用一个通行码)已禁用。用户无法启用该设置。
- 如果工作配置文件安全质询的通行码要求比设备通行码更复杂:系统将提示启用了 Use one lock(使用一个锁)设置的用户更改其工作配置文件通行码。
默认值为关。自 Android 9.0 起可用。
-
工作配置文件安全质询的通行码安全性
- 此次数后擦除容器(失败登录尝试次数): 指定用户可以登录失败的次数,超过此次数后,工作配置文件及其数据将从设备中擦除。擦除后,用户需要重新初始化工作配置文件。默认值为未定义。
- 此时间后锁定容器(不活动分钟数): 指定在锁定工作配置文件之前设备可以不活动的分钟数。默认值为无。
- 通行码有效期限(1 - 730 天): 指定有效天数,超过此天数后,通行码将过期。有效值为 1-730。默认值为 0,表示通行码永不过期。
- 保存的以前用过的密码数量(0-50): 指定要保存的使用过的密码数量。用户无法使用在此列表中找到的任何密码。有效值为 0-50。默认值为 0,表示用户可以重复使用密码。
- 此次数后锁定容器(失败登录尝试次数): 适用于运行 Knox 3.0 及更高版本并且配置了有效的 Knox 许可证密钥的设备。指定用户可以登录失败的次数,超过此次数后,设备将被锁定。默认值为未定义。
Windows Desktop/Tablet 设置
- 不允许便捷登录: 选择是否允许用户使用图片密码或生物特征识别登录访问其设备。默认值为关。
- 最小通行码长度: 在列表中,单击通行码的最小长度。默认值为 6。
- 擦除前的通行码尝试次数上限: 在列表中,单击用户在成功登录之前可以失败的次数,超过此次数后,将从设备中擦除公司数据。默认值为 4。
- 通行码有效期限(0 - 730 天): 键入有效天数,超过此天数后,通行码将过期。有效值为 0-730。默认值为 0,表示通行码永不过期。
- 通行码历史记录: (1-24): 键入要保存的使用过的通行码数量。用户无法使用在此列表中找到的任何通行码。有效值为 1-24。必须在此字段中输入介于 1 到 24 之间的数值。默认值为 0。
- 设备锁定前的最长不活动时间(1 - 999 分钟): 输入设备在锁定之前可以不活动的时间长度(分钟)。有效值为 1-999。必须在此字段中输入介于 1 到 999 之间的数值。默认值为 0。