客户端属性
客户端属性包含直接提供给用户设备上 Secure Hub 的信息。您可以使用这些属性来配置高级设置,例如 Citrix PIN。您可以从 Citrix 支持获取客户端属性。
客户端属性会随 Secure Hub 的每个版本以及客户端应用程序偶尔发生更改。有关更常用客户端属性的详细信息,请参阅本文后面的客户端属性参考。
- 在 XenMobile® 控制台中,单击右上角的齿轮图标。此时将显示“设置”页面。
-
在“客户端”下,单击“客户端属性”。此时将显示“客户端属性”页面。您可以从此页面添加、编辑和删除客户端属性。
添加客户端属性
-
单击“添加”。此时将显示“添加新客户端属性”页面。
-
配置以下设置:
- 密钥: 在列表中,单击要添加的属性密钥。重要提示:在更新设置之前,请联系 Citrix 支持。您可以请求一个特殊密钥。
- 值: 所选属性的值。
- 名称: 属性的名称。
- 描述: 属性的描述。
-
单击“保存”。
编辑客户端属性
-
在“客户端属性”表中,选择要编辑的客户端属性。
当您选中客户端属性旁边的复选框时,选项菜单将显示在客户端属性列表上方。当您单击列表中的其他任何位置时,选项菜单将显示在列表的右侧。
-
单击“编辑”。此时将显示“编辑客户端属性”页面。
-
根据需要更改以下信息:
- 密钥: 您无法更改此字段。
- 值: 属性值。
- 名称: 属性名称。
- 描述: 属性描述。
-
单击“保存”以保存更改,或单击“取消”以使属性保持不变。
删除客户端属性
-
在“客户端属性”表中,选择要删除的客户端属性。
您可以通过选中每个属性旁边的复选框来选择多个要删除的属性。
-
单击“删除”。此时将显示确认对话框。再次单击“删除”。
客户端属性参考
XenMobile 预定义的客户端属性及其默认设置如下:
-
CONTAINER_SELF_DESTRUCT_PERIOD
- 显示名称:MDX 容器自毁期限
-
自毁功能可在指定天数不活动后阻止访问 Secure Hub 和托管应用程序。超过时间限制后,应用程序将无法使用。擦除数据包括清除每个已安装应用程序的应用程序数据,包括应用程序缓存和用户数据。
不活动时间是指服务器在特定时间长度内未收到用于验证用户的身份验证请求。例如,如果此属性设置为 30 天,并且用户在 30 天以上未使用应用程序,则策略将生效。
此全局安全策略适用于 iOS 和 Android 平台,是对现有应用程序锁定和擦除策略的增强。
- 要配置此全局策略,请转至“设置”>“客户端属性”并添加自定义密钥 CONTAINER_SELF_DESTRUCT_PERIOD。
- 值:天数
-
DEVICE_LOGS_TO_IT_HELP_DESK
- 显示名称:将设备日志发送到 IT 帮助台
- 此属性启用或禁用将日志发送到 IT 帮助台的功能。
- 可能的值:true 或 false
- 默认值:false
-
DISABLE_LOGGING
- 显示名称:禁用日志记录
-
使用此属性可阻止用户从其设备收集和上传日志。此属性会禁用 Secure Hub 和所有已安装 MDX 应用程序的日志记录。用户无法从“支持”页面发送任何应用程序的日志。即使显示邮件撰写对话框,也不会附加日志。一条消息指示日志记录已禁用。此设置还会阻止您在 XenMobile 控制台中更新 Secure Hub 和 MDX 应用程序的日志设置。
当此属性设置为 true 时,Secure Hub 会将“阻止应用程序日志”设置为 true。因此,当应用新策略时,MDX 应用程序将停止日志记录。
- 可能的值:true 或 false
- 默认值:false(未禁用日志记录)
-
ENABLE_CRASH_REPORTING
- 显示名称:启用崩溃报告
- 如果为 true,Citrix 会收集崩溃报告和诊断信息,以帮助排查 Secure Hub for iOS 和 Android 的问题。如果为 false,则不收集任何数据。
- 可能的值:true 或 false
- 默认值:true
-
ENABLE_CREDENTIAL_STORE
- 显示名称:启用凭据存储
- 启用凭据存储意味着 Android 或 iOS 用户在访问移动生产力应用程序时只需输入一次密码。无论是否启用 Citrix PIN,您都可以使用凭据存储。如果您未启用 Citrix PIN,用户将输入其 Active Directory 密码。XenMobile 仅支持将 Active Directory 密码与 Secure Hub 和公共应用商店应用程序的凭据存储结合使用。如果您将 Active Directory 密码与凭据存储结合使用,XenMobile 不支持 PKI 身份验证。
- Secure Mail 中的自动注册要求您将此属性设置为 true。
- 要配置此自定义客户端策略,请转至“设置”>“客户端属性”,添加自定义密钥 ENABLE_CREDENTIAL_STORE,并将“值”设置为 true。
-
ENABLE_FIPS_MODE
- 显示名称:启用 FIPS 模式
- 此属性启用或禁用移动设备上的 FIPS 模式。更改值后,Secure Hub 会在下次在线身份验证时将新值传递给设备。
- 可能的值:true 或 false
- 默认值:false
-
ENABLE_PASSCODE_AUTH
- 显示名称:启用 Citrix PIN 身份验证
-
此属性允许您启用 Citrix PIN 功能。通过 Citrix PIN 或密码,系统会提示用户定义一个 PIN 以代替其 Active Directory 密码。当 ENABLE_PASSWORD_CACHING 启用或 XenMobile 使用证书身份验证时,此设置会自动启用。
对于脱机身份验证,Citrix PIN 会在本地进行验证,并允许用户访问其请求的应用程序或内容。对于联机身份验证,Citrix PIN 或密码会解锁 Active Directory 密码或证书,然后将其发送以与 XenMobile 进行身份验证。
如果 ENABLE_PASSCODE_AUTH 为 true 且 ENABLE_PASSWORD_CACHING 为 false,则联机身份验证将始终提示输入密码,因为 Secure Hub 不会保存密码。
- 可能的值:true 或 false
- 默认值:false
-
ENABLE_PASSWORD_CACHING
- 显示名称:启用用户密码缓存
- 此属性允许 Active Directory 密码在移动设备上本地缓存。当您将此属性设置为 true 时,还必须将 ENABLE_PASSCODE_AUTH 属性设置为 true。启用用户密码缓存后,XenMobile 会提示用户设置 Citrix PIN 或密码。
- 可能的值:true 或 false
- 默认值:false
-
ENABLE_TOUCH_ID_AUTH
- 显示名称:启用 Touch ID 身份验证
-
对于支持 Touch ID 身份验证的设备,此属性启用或禁用设备上的 Touch ID 身份验证。要求:
用户设备必须启用 Citrix PIN 或 LDAP。如果 LDAP 身份验证已关闭(例如,因为仅使用基于证书的身份验证),则用户必须设置 Citrix PIN。在这种情况下,即使客户端属性 ENABLE_PASSCODE_AUTH 为 false,XenMobile 也需要 Citrix PIN。
将 ENABLE_PASSCODE_AUTH 设置为 false,以便用户启动应用程序时,必须响应提示才能使用 Touch ID。
- 可能的值:true 或 false
-
默认值:false
-
ENABLE_WORXHOME_CEIP
- 显示名称:启用 Worx Home CEIP
- 此属性可启用客户体验改善计划。此功能会定期向 Citrix 发送匿名配置和使用数据。这些数据有助于 Citrix 提高 XenMobile 的质量、可靠性和性能。
- 值:true 或 false
- 默认值:false
-
ENCRYPT_SECRETS_USING_PASSCODE
- 显示名称:使用通行码加密机密
-
此属性将敏感数据存储在设备上的机密保管库中,而不是存储在基于平台的本机存储(例如 iOS 钥匙串)中。此属性可对关键工件启用强加密并添加用户熵。用户熵是只有用户知道的用户生成的随机 PIN 码。
Citrix 建议您启用此属性,以帮助提高用户设备上的安全性。因此,用户会遇到更多 Citrix PIN 身份验证提示。
- 可能的值:true 或 false
- 默认值:false
-
INACTIVITY_TIMER
- 显示名称:不活动计时器
-
此属性定义用户可以将其设备置于不活动状态的时长,然后无需提示输入 Citrix PIN 或通行码即可访问应用程序。要为 MDX 应用程序启用此设置,请将“应用程序通行码”设置设为“开”。如果“应用程序通行码”设置设为“关”,则用户将被重定向到 Secure Hub 以执行完全身份验证。更改此设置后,该值将在用户下次收到身份验证提示时生效。
在 iOS 上,“不活动计时器”还控制 MDX 和非 MDX 应用程序对 Secure Hub 的访问。
- 可能的值:任何正整数
- 默认值:15(分钟)
-
ON_FAILURE_USE_EMAIL
- 显示名称:失败时使用电子邮件将设备日志发送到 IT 帮助台
- 此属性可启用或禁用使用电子邮件将设备日志发送到 IT 的功能。
- 可能的值:true 或 false
- 默认值:true
-
PASSCODE_EXPIRY
- 显示名称:PIN 更改要求
- 此属性定义 Citrix PIN 或通行码的有效期,过期后用户将被强制更改其 Citrix PIN 或通行码。更改此设置后,新值仅在当前 Citrix PIN 或通行码过期时设置。
- 可能的值:建议 1 到 99。要取消 PIN 重置,请将值设置为一个较大的数字(例如,100,000,000,000)。如果您最初将有效期设置为 1 到 99 天之间,然后在此期间更改为较大的数字:PIN 仍将在初始期限结束时过期,但之后不会再过期。
- 默认值:90(天)
-
PASSCODE_HISTORY
- 显示名称:PIN 历史记录
- 此属性定义用户在更改其 Citrix PIN 或通行码时不能重复使用的先前 Citrix PIN 或通行码的数量。更改此设置后,新值将在用户下次重置其 Citrix PIN 或通行码时设置。
- 可能的值:1 到 99
- 默认值:5
-
PASSCODE_MAX_ATTEMPTS
- 显示名称:PIN 尝试次数
- 此属性定义用户在收到完全身份验证提示之前可以尝试输入错误 Citrix PIN 或通行码的次数。用户成功完成完全身份验证后,系统会提示他们创建 Citrix PIN 或通行码。
- 可能的值:任何正整数
- 默认值:15
-
PASSCODE_MIN_LENGTH
- 显示名称:PIN 长度要求
- 此属性定义 Citrix PIN 的最小长度。
- 可能的值:4 到 10
- 默认值:6
-
PASSCODE_STRENGTH
- 显示名称:PIN 强度要求
- 此属性定义 Citrix PIN 或通行码的强度。更改此设置后,用户下次收到身份验证提示时,系统会提示他们创建 Citrix PIN 或通行码。
- 可能的值:低、中、高 或 强
- 默认值:中
- 基于 PASSCODE_TYPE 设置的每种强度设置的密码规则如下:
数字通行码的规则:
| 通行码强度 | 数字通行码类型规则 | 允许 | 不允许 |
|---|---|---|---|
| 低 | 所有数字,允许任何序列 | 444444, 123456, 654321 | |
| 中(默认设置) | 所有数字不能相同或连续。 | 444333, 124567, 136790, 555556, 788888 | 444444, 123456, 654321 |
| 高 | 相邻数字不能相同。 | 123512, 134134, 132312, 131313, 987456 | 080080, 112233, 135579, 987745, 919199 |
| 强 | 不要使用相同的数字超过两次。不要使用三个或更多连续数字。不要使用三个或更多反向连续数字。 | 102983, 085085, 824673, 132312 | 132132, 131313, 902030 |
字母数字通行码的规则:
| 通行码强度 | 字母数字通行码类型规则 | 允许 | 不允许 |
|---|---|---|---|
| 低 | 必须包含至少一个数字和一个字母 | aa11b1, Abcd1#, Ab123~, aaaa11, aa11aa | AAAaaa, aaaaaa, abcdef |
| 中(默认设置) | 除了低通行码强度的规则外,字母和所有数字不能相同。字母不能连续,数字也不能连续。 | aa11b1, aaa11b, aaa1b2, abc145, xyz135, sdf123, ab12c3, a1b2c3, Abcd1#, Ab123~ | aaaa11, aa11aa, or aaa111; abcd12, bcd123, 123abc, xy1234, xyz345, or cba123 |
| 高 | 包含至少一个大写字母和一个小写字母。 | Abcd12, jkrtA2, 23Bc#, AbCd | abcd12, DFGH2 |
| 强 | 包含至少一个数字、一个特殊符号、一个大写字母和一个小写字母。 | Abcd1#, Ab123~, xY12#3, Car12#, AAbc1# | abcd12, Abcd12, dfgh12, jkrtA2 |
-
PASSCODE_TYPE
- 显示名称:PIN 类型
-
此属性定义用户是可定义数字 Citrix PIN 还是字母数字通行码。选择“数字”时,用户只能使用数字 (Citrix PIN)。选择“字母数字”时,用户可以使用字母和数字的组合(通行码)。
如果更改此设置,用户下次收到身份验证提示时必须设置新的 Citrix PIN 或通行码。
- 可能的值:数字 或 字母数字
- 默认值:数字
-
REFRESHINTERVAL
- 显示名称:REFRESHINTERVAL
- 默认情况下,XenMobile 每 3 天 ping 一次自动发现服务器 (ADS) 以获取固定证书。要更改刷新间隔,请转至“设置 > 客户端属性”,添加自定义密钥 REFRESHINTERVAL,并将“值”设置为小时数。
- 默认值:72 小时(3 天)
-
SEND_LDAP_ATTRIBUTES
- 对于 Android、iOS 或 macOS 设备的仅 MAM 部署:您可以配置 XenMobile,以便使用电子邮件凭据注册 Secure Hub 的用户自动注册 Secure Mail。因此,用户无需提供额外信息或采取额外步骤即可注册 Secure Mail。
- 要配置此全局客户端策略,请转至“设置 > 客户端属性”,添加自定义密钥 SEND_LDAP_ATTRIBUTES,并按如下所示设置“值”。
- 值:
userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname}, displayName=${user.displayName},mail=${user.mail} - 属性值指定为宏,类似于 MDM 策略。
-
以下是此属性的示例帐户服务响应:
<property value="userPrincipalName=user@site.com,sAMAccountName=eng1,displayName=user\,test1,email=user@site.com\,user@site.com" name="SEND_LDAP_ATTRIBUTES"/> - 对于此属性,XenMobile 将逗号字符视为字符串终止符。因此,如果属性值包含逗号,请在其前面加上反斜杠。反斜杠可防止客户端将嵌入的逗号解释为属性值的结尾。使用“
\\”表示反斜杠字符。
-
HIDE_THREE_FINGER_TAP_MENU
- 当未设置此属性或将其设置为 false 时,用户可以通过在其设备上执行三指轻触来访问隐藏功能菜单。隐藏功能菜单允许用户重置应用程序数据。将此属性设置为 true 可禁用用户对隐藏功能菜单的访问。
- 要配置此全局客户端策略,请转至“设置 > 客户端属性”,添加自定义密钥 HIDE_THREE_FINGER_TAP_MENU,并设置“值”。
-
TUNNEL_EXCLUDE_DOMAINS
- 显示名称:隧道排除域
- 默认情况下,MDX 会从微 VPN 隧道中排除 XenMobile SDK 和应用程序用于各种功能的某些服务终结点。例如,这些终结点包括不需要通过企业网络路由的服务,例如 Google Analytics、Citrix Cloud™ 服务和 Active Directory 服务。使用此客户端属性可覆盖默认的排除域列表。
- 要配置此全局客户端策略,请转至“设置 > 客户端属性”,添加自定义密钥 TUNNEL_EXCLUDE_DOMAINS,并设置“值”。
-
值:要将默认列表替换为您要从隧道中排除的域,请键入一个逗号分隔的域后缀列表。要将所有域包含在隧道中,请键入 none。默认值为:
app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream,launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com
XenMobile Server 的自定义客户端属性如下:
-
ENABLE_MAM_NFACTOR_SSO
- 此属性允许您在使用 NetScaler® Gateway 中的高级身份验证策略时,在 Secure Hub 的 MAM 注册或登录期间启用或禁用 MAM nFactor SSO。如果该值设置为 true,则在 Secure Hub 的 MAM 注册或登录期间启用 MAM nFactor SSO。
-
要配置此属性,请转至“设置 > 客户端属性”并单击“添加”。在“密钥”下拉菜单中选择“自定义密钥”,并根据需要更新以下信息:
- 密钥 - ENABLE_MAM_NFACTOR_SSO
- 值 - true 或 false
- 名称 - ENABLE_MAM_NFACTOR_SSO
- 描述 - 添加相关描述
-
MICROSOFT_CERTIFICATE_STRONG_MAPPING
-
此属性控制在使用 Secure Mail 和 Microsoft 公钥基础结构 (PKI) 时,是否通过将安全标识符 (SID) 附加到主题备用名称 (SAN) 来续订现有客户端证书以支持证书强映射功能。如果该值设置为 true,则将续订现有客户端证书以包含 SAN SID。
-
此属性仅适用于 Microsoft PKI。
-
要配置此属性,请转至“设置 > 客户端属性”并单击“添加”。在“密钥”下拉菜单中选择“自定义密钥”,并根据需要更新以下信息:
- 密钥 - MICROSOFT_CERTIFICATE_STRONG_MAPPING
- 值 - true 或 false
- 名称 - MICROSOFT_CERTIFICATE_STRONG_MAPPING
- 描述 - 续订客户端证书以包含 SAN SID
-