网络访问控制

如果已在网络中设置了网络访问控制 (NAC) 设备(如 Cisco ISE),则在 XenMobile 中,可以启用过滤器以根据规则或属性设置设备的 NAC 兼容性。如果 XenMobile 中的托管设备不满足指定条件,并因此被标记为“不合规”,NAC 设备将在您的网络中阻止此设备。对于 iOS 设备,可以部署 VPN 策略并启用 NAC 过滤器以阻止安装了不合规应用程序的设备建立 VPN 连接。有关详细信息,请参阅下面的“iOS NAC 配置”部分。

在 XenMobile 控制台中,从列表中选择一个或多个条件,以将设备设为“不合规”。

XenMobile 支持以下 NAC 合规性过滤器:

匿名设备: 检查设备是否处于匿名模式。如果在设备尝试重新连接时 XenMobile 无法重新对用户进行身份验证,则可以执行此检查。

Samsung KNOX 认证失败: 检查设备是否无法通过 Samsung KNOX 认证服务器的查询。

禁止的应用程序: 检查设备是否具有应用程序访问策略中定义的禁止的应用程序。有关应用程序访问策略的详细信息,请参阅应用程序访问设备策略

不活动设备: 按照“服务器属性”中“Device Inactivity Days Threshold”(设备不活动天数阈值)设置的定义,检查设备是否处于不活动状态。有关详细信息,请参阅服务器属性

缺少所需的应用程序: 检查设备是否缺少在应用程序访问策略中定义的所需应用程序。

非推荐应用程序: 检查设备是否具有应用程序访问策略中定义的非推荐应用程序。

不合规密码: 检查用户密码是否合规。在 iOS 和 Android 设备上,XenMobile 可以确定设备上的当前密码是否符合发送到该设备的通行码策略。例如,在 iOS 设备上,如果 XenMobile 向该设备发送了通行码策略,则用户可在 60 分钟内设置密码。在用户设置密码之前,通行码可能不合规。

不合规设备: 根据“不合规设备”属性检查设备是否不合规。该属性通常由自动化操作进行更改,或由第三方利用 XenMobile API 进行更改。

吊销状态: 检查设备证书是否已吊销。再次授权之前,已吊销的设备无法重新注册。

已获得 root 权限的 Android 设备和已越狱的 iOS 设备: 检查 Android 设备或 iOS 设备是否已被越狱。

非托管设备: 检查设备是否仍处于托管状态,受 XenMobile 控制。例如,在 MAM 模式下运行的设备或已取消注册的设备为非托管设备。

注意:

“隐式合规/不合规”过滤器仅在由 XenMobile 托管的设备上设置默认值。例如,任何已安装加入黑名单的应用程序的设备或未注册的设备都将被标记为“不合规”,并会被 NAC 设备阻止在您的网络外。

配置网络访问控制

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击网络访问控制。此时将显示网络访问控制页面。

    “网络访问控制”设置图

  3. 选中要启用的设为不合规过滤器旁边的复选框。

  4. 单击保存

网络访问控制

In this article