Propriétés du serveur
Les propriétés de serveur sont des propriétés globales qui s’appliquent aux opérations, utilisateurs et appareils sur une instance XenMobile entière. Citrix vous recommande d’évaluer pour votre environnement les propriétés de serveur abordées dans cet article. Assurez-vous de consulter Citrix avant de modifier d’autres propriétés du serveur.
La modification de certaines propriétés de serveur nécessite un redémarrage de chaque nœud de serveur XenMobile. XenMobile vous informe lorsqu’un redémarrage est requis.
Certaines propriétés de serveur contribuent à améliorer les performances et la stabilité. Pour plus d’informations, consultez la section Optimisation des opérations XenMobile.
Mettre à disposition les applications Android d’ancienne génération sur les appareils Android Enterprise : si l’option afw.allow.legacy.apps
est définie sur true
, les appareils Android Enterprise reçoivent à la fois les applications Android d’ancienne génération et les applications Android Enterprise. Si l’option est définie sur false
, les appareils Android Enterprise reçoivent uniquement les applications Android Enterprise. La valeur par défaut est true
.
Autoriser les extensions de fichier pour la stratégie de fichiers : configurez l’option file.extension.allowlist
à l’aide d’une liste séparée par des virgules des types de fichiers que les administrateurs peuvent charger à l’aide de la stratégie de fichiers. Les types de fichiers suivants ne peuvent pas être chargés même si vous les ajoutez à cette liste d’autorisation :
- .cab
- .appx
- .ipa
- .apk
- .xap
- .mdx
- .exe
La valeur par défaut est 7z,rar,zip,csv,xls,xlsx,jad,jar,pdf,bmp,gif,jpg,png,pps,ppt,pptx,bsh,js,lua,mscr,pl,py,rb,sh,tcl,txt,htm,html,doc,docx,rtf,xap
.
Accéder à toutes les applications dans Google Play Store d’entreprise : lorsque l’option est définie sur true
, XenMobile rend toutes les applications du Google Play Store public accessibles depuis le Google Play Store d’entreprise. La définition de cette propriété sur true
autorise les applications du Google Play Store public pour tous les utilisateurs d’Android Entreprise. Les administrateurs peuvent ensuite utiliser la stratégie Restrictions pour contrôler l’accès à ces applications. Valeur par défaut false
.
Inscription d’appareils Android Enterprise en mode profil de travail sur appareils appartenant à l’entreprise : lorsque l’option afw.work_profile_for_corporate_owned_device.enrollment_mode.enabled
est définie sur true
, les appareils exécutant Android 11 ou version ultérieure peuvent s’inscrire au mode profil de travail sur appareils appartenant à l’entreprise (mode WPCOD). La console XenMobile Server reflète les modifications apportées à ce mode d’inscription. Si cette option est définie sur false
, aucun paramètre WPCOD n’est disponible. La valeur par défaut est true
.
Paramètres de restrictions Android Enterprise supplémentaires : si l’option afw.restriction.policy.v2
est définie sur true
, les paramètres de restriction suivants sont disponibles pour les appareils Android Enterprise :
- Autoriser désinstallation d’applications
- Autoriser le partage Bluetooth
Pour de plus amples informations sur ces paramètres, consultez la section Stratégies de restrictions.
Restrictions Android Enterprise pour les appareils COPE : définissez l’option afw.restriction.cope
sur true
pour activer le paramètre Appliquer aux appareils entièrement gérés avec un profil de travail/profil de travail sur appareils appartenant à l’entreprise dans la stratégie de restrictions. La valeur par défaut est true
. Pour de plus amples informations sur ce paramètre, consultez la section Stratégies de restrictions.
Autoriser les noms d’hôte pour les liens App Store iOS : la propriété ios.app.store.allowed.hostnames
est une liste des noms d’hôtes autorisés utilisés lors du chargement d’applications publiques de l’App Store sur le serveur à l’aide des API publiques. Si vous envisagez de charger des applications publiques de l’App Store à l’aide des API publiques plutôt que de les charger via le serveur, configurez cette propriété. La valeur par défaut est itunes.apple.com,vpp.itunes.apple.com,apps.apple.com
.
Port APNS secondaire : vous pouvez utiliser le port 2197 au lieu du port 443 pour envoyer et recevoir des notifications APNs depuis api.push.apple.com
. Le port utilise l’API du fournisseur APNs basé sur HTTP/2. Définissez la propriété apns.http2.alternate.port.enabled
sur true
pour utiliser le port 2197. La valeur par défaut de la propriété de serveur apns.http2.alternate.port.enabled
est false
.
Activer la validation du mot de passe pour empêcher l’ajout d’utilisateurs locaux possédant des mots de passe faibles : si l’option enable.password.strength.validation
est définie sur true
, vous ne pouvez pas ajouter d’utilisateurs locaux possédant des mots de passe faibles. Si l’option est définie sur false
, vous pouvez créer des utilisateurs locaux avec un mot de passe faible. La valeur par défaut est true
.
Bloquer l’inscription des appareils iOS jailbreakés et des appareils Android rootés : lorsque cette propriété est définie sur true
, XenMobile bloque les inscriptions pour les appareils Android rootés et les appareils iOS jailbreakés. La valeur par défaut est true
. Le paramètre recommandé est true
pour tous les niveaux de sécurité.
Inscription requise : wsapi.mdm.required.flag
cette propriété, qui s’applique uniquement lorsque le mode de XenMobile Server est défini sur ENT, indique si vous souhaitez que les utilisateurs s’inscrivent à MDM. La propriété s’applique à tous les utilisateurs et appareils de l’instance XenMobile. La nécessité d’une inscription offre un niveau de sécurité supérieur. Cependant, cette décision dépend si vous voulez exiger MDM ou non. Par défaut, l’inscription n’est pas requise.
Lorsque cette propriété est définie sur false
, les utilisateurs pourront refuser l’inscription, mais ne pourront toujours accéder aux applications sur leurs appareils via le XenMobile Store. Lorsque cette propriété est définie sur true
, tout utilisateur refusant l’inscription se voit refuser l’accès aux applications.
Si vous modifiez cette propriété après l’inscription des utilisateurs, les utilisateurs doivent se réinscrire.
Pour plus d’informations sur l’exigence (ou non) d’une inscription MDM, consultez la section Gestion des appareils et inscription MDM.
Enable multimode enrollment : la propriété enable.multimode.xms
permet de créer des profils d’inscription sur un XenMobile Server qui contrôle les paramètres d’inscription pour la gestion des appareils et des applications pour Android et iOS. En outre, la nouvelle fonctionnalité de profils d’inscription améliorés permet l’inscription d’appareils dédiés pour Android et l’inscription MAM exclusif pour les appareils Android et iOS. Lorsque cette propriété est false
, ces options d’inscription ne sont pas disponibles lors de la configuration de profils d’inscription. La valeur par défaut est true
. Les appareils qui s’inscrivent lorsque cette propriété est true
fonctionnent toujours si vous réglez la propriété sur false
.
Activer le portail d’auto-assistance : si shp.console.enable
est false
, empêche l’accès au portail en libre-service. Les utilisateurs qui accèdent au portail en libre-service sur le port 443 reçoivent une erreur 404. Les utilisateurs qui accèdent au portail sur le port 4443 reçoivent un message « Accès refusé ». Si cette propriété est définie sur true
, permet d’accéder au portail en libre-service via le port 443. Valeur par défaut false
.
Local user account lockout limit : à l’aide de la stratégie de restriction, vous pouvez définir une limite sur les tentatives de connexion pour les utilisateurs Active Directory. Utilisez la clé local.user.account.lockout.limit
pour faire de même pour les comptes d’utilisateurs locaux. Une fois que les utilisateurs ont tenté de se connecter le nombre de fois que vous spécifiez, ils ne peuvent pas réessayer tant qu’un certain temps ne s’est pas écoulé. Configurez ce délai avec la propriété Local user account lockout time. La valeur par défaut est 6
.
Local user account lockout time : la propriété local.user.account.lockout.time
vous permet de définir un nombre de minutes qui doivent s’écouler avant qu’un compte d’utilisateur local verrouillé puisse tenter de se connecter à nouveau. La valeur par défaut est de 30
minutes.
Maximum size of file upload restriction enabled : activez la restriction de la taille maximale de fichier pour les chargements, paramètre max.file.size.upload.restriction
sur true
. Si vous activez cette restriction, configurez la taille maximale du fichier à l’aide de max.file.size.upload.allowed
. La valeur par défaut de cette propriété est true
.
Maximum size of file upload allowed : avec max.file.size.upload.allowed
, vous pouvez définir une taille maximale de fichier pour les chargements. Exemples de valeur : 500 B
, 1 KB
, 1 MB
, 1 MiB
, 1 G
ou 1 GiB
. La valeur par défaut est 5 MB
.
Délai d’inactivité en minutes : il s’agit du nombre de minutes après lequel XenMobile ferme la session d’un utilisateur inactif qui utilisait l’API publique de XenMobile Server pour accéder à la console XenMobile ou à toute application tierce. Un délai d’expiration de 0
signifie qu’un utilisateur inactif reste connecté. Pour les applications tierces qui accèdent à l’API, il est généralement nécessaire de rester connecté. La valeur par défaut est 5
.
Inscription à la gestion des appareils iOS : installer l’autorité de certification racine si nécessaire : le dernier workflow d’inscription d’Apple nécessite que les utilisateurs installent manuellement les profils MDM. Ce workflow ne s’applique pas à l’inscription MDM aux serveurs affectés dans Apple Business Manager ou Apple School Manager. Toutefois, lors de l’inscription manuelle dans MDM, les utilisateurs d’appareils iOS reçoivent uniquement l’invite de certificat d’appareil MDM lors de l’inscription.
Pour améliorer l’expérience utilisateur lors de l’inscription manuelle, Citrix recommande de modifier la propriété du serveur ios.mdm.enrollment.installRootCaIfRequired
sur False. La valeur par défaut est True. Avec cette modification, une fenêtre Safari s’ouvre pendant l’inscription MDM afin de simplifier l’installation du profil pour les utilisateurs.
Intervalle de ligne de base minimum VPP : la propriété vpp.baseline
définit l’intervalle minimum après lequel XenMobile ré-importe les licences d’achat en volume depuis Apple. L’actualisation des informations de licence permet de s’assurer que XenMobile reflète toutes les modifications, par exemple en cas de suppression manuelle d’une application importée à partir de l’achat en volume. Par défaut, XenMobile actualise la ligne de base de licence d’achat en volume toutes les 1440
minutes au minimum.
Si de nombreuses licences d’achat en volume sont installées (plus de 50 000, par exemple), il est recommandé d’augmenter l’intervalle de ligne de base pour réduire la charge de l’importation de licences. Si vous prévoyez des modifications fréquentes de licence d’achat en volume depuis Apple, il est recommandé de réduire la valeur pour que XenMobile reste à jour. L’intervalle minimal entre deux lignes de base est de 60 minutes. Étant donné que la tâche cron s’exécute toutes les 60 minutes, si l’intervalle entre les références d’achat en volume est de 60 minutes, l’intervalle entre les références peut être retardé, jusqu’à 119 minutes.
Intervalle max d’inactivité sur le portail en libre-service de XenMobile MDM (minutes) : ce nom de propriété reflète les anciennes versions de XenMobile. La propriété contrôle l’intervalle maximal d’inactivité de la console XenMobile. Cet intervalle est le nombre de minutes après lesquelles XenMobile ferme la session d’un utilisateur inactif sur la console XenMobile. Un délai d’expiration de 0 signifie qu’un utilisateur inactif reste connecté. La valeur par défaut est 30
.
Fin de la prise en charge de la passerelle Nexmo SMS : la propriété deprecate.carrier.sms.gateway
supprime la prise en charge de la passerelle Nexmo SMS, qui est définie sur True par défaut. La prise en charge de Nexmo SMS est également obsolète dans le portail en libre-service.
Fin de la prise en charge de l’interface du fournisseur de services mobiles (MSP) : la propriété deprecate.mobile.service.provider
supprime l’interface MSP de la console XenMobile Server, qui est définie sur True par défaut.
Fin de la prise en charge de la stratégie Protection des informations Windows : conformément à l’annonce de Windows, XenMobile Server ne prend plus en charge la Protection des informations Windows (WIP). La propriété du serveur windows.wip.deprecation
supprime la prise en charge de WIP, qui est définie sur True par défaut.
Obsolescence du champ « Contrôler les mises à jour Enterprise FOTA » dans la stratégie « Contrôler les mises à jour du système d’exploitation pour Android Enterprise » : si la propriété afw.disable.osupdate.efota
est définie sur True, le champ Contrôler les mises à jour Enterprise FOTA devient obsolète dans la stratégie « Contrôler les mises à jour du système d’exploitation pour Android Enterprise ». La valeur par défaut est définie sur True.
Prise en charge des applications d’entreprise sur les appareils macOS : si la propriété mac.app.push
est définie sur True, les applications d’entreprise sont automatiquement installées lors de leur téléchargement sur les appareils exécutant macOS. La valeur par défaut est définie sur True.
Prise en charge de la carte eSim sur les appareils iOS : si la propriété ios.esim.support
est définie sur True, XenMobile Server obtient les informations de la carte eSim des appareils iOS et affiche les propriétés de l’appareil associées sur l’interface utilisateur.
Prise en charge du champ “ Domaine ” dans la stratégie Wi-Fi pour les paramètres 802.1x pour Android Enterprise : si la propriété afw.network.domain.support
est définie sur True, le champ Domaine est ajouté dans les paramètres 802.1x pour Android Enterprise.
Prise en charge de la mise à jour automatique des applications iOS facultatives : si la propriété apple.ios.optional_app_update
est définie sur True, les applications iOS facultatives souscrites depuis le magasin Citrix Secure Hub sont également mises à jour automatiquement. La valeur par défaut est définie sur False.
Amélioration du rapport sur les appareils avec l’ajout du nombre total de tentatives de déploiement d’applications et des 100 applications les plus installées : si la propriété device.report.enhancement.enabled
est définie sur True, deux nouvelles colonnes, Version du système d’exploitation et Modèle de l’appareil, sont ajoutées dans la section Nombre total de tentatives de déploiementd’applications et le nouveau rapport sur les 100 applications les plus installées est ajouté pour afficher les 100 meilleures applications installées pour chaque plateforme.
Prise en charge de l’option VPN Always-On dans la stratégie VPN pour Android Enterprise : si la propriété afw.policy.vpn_always_on_lockdown
est définie sur True, les options Activer le VPN Always-On et Activer le verrouillage sont ajoutées à la stratégie VPN pour la plateforme Android Enterprise. La valeur par défaut est True.
Fin de prise en charge de l’option VPN Always-On dans la stratégie Options pour Android Enterprise : la propriété afw.policy.hide_vpn_always_on
supprime l’optionVPN Always-On de la stratégie Options XenMobile sur la plateforme Android Enterprise. La valeur par défaut est True.
Alerte de fin de prise en charge de l’application MDX d’ancienne génération : si la propriété legacy.mdx.deprecation.alert
est définie sur True, une alerte s’affiche sur la console XenMobile Server si des applications utilisant le mode MDX d’ancienne génération ont été publiées. La valeur par défaut est True.
Prise en charge de Firebase Cloud Messaging avec l’utilisation de la nouvelle API http v1 : si la propriété afw.fcm.httpv1.migration
est définie sur True, vous pouvez utiliser Firebase Cloud Messaging avec la nouvelle API HTTP v1. La valeur par défaut est False.