XenMobile Server

Políticas de dispositivo

Você pode configurar como o XenMobile interage em seus dispositivos por meio de políticas. Apesar de muitas políticas serem comuns a todos os dispositivos, cada dispositivo tem um conjunto de políticas específicas ao seu sistema operacional. Como resultado, você poderá encontrar diferenças entre plataformas e até mesmo entre dispositivos com Android de diferentes fabricantes.

Para obter uma descrição resumida de cada política de dispositivo, consulte Resumos de política de dispositivo neste artigo.

Nota:

Se o seu ambiente estiver configurado com Objetos de Política de Grupo (GPOs):

Quando você configurar políticas de dispositivo do XenMobile para dispositivos Windows 10 e Windows 11, lembre-se das regras a seguir. Se uma política em um ou mais dispositivos registrados for conflitante, a política alinhada ao GPO terá precedência.

Para ver a quais políticas o contêiner do Android Enterprise dá suporte, consulte Android Enterprise.

Pré-requisitos

  • Crie os grupos de entrega que você planeja usar.
  • Instale todos os certificados AC necessários.

Adicionar uma política de dispositivo

As etapas básicas para criar uma política de dispositivo são as seguintes:

  1. Nomeie e descreva a política.
  2. Configure a política para uma ou mais plataformas.
  3. Crie regras de implantação (opcional).
  4. Atribua a política a grupos de entrega.
  5. Configure o cronograma de implantação (opcional).

Para criar e gerenciar políticas de dispositivos, acesse Configurar > Políticas de dispositivo.

Imagem da tela de configuração de políticas de dispositivos

Para adicionar uma política:

  1. Na página Políticas de dispositivo, clique em Adicionar. A página Adicionar uma Nova Política é exibida.

    Imagem da tela de configuração de políticas de dispositivos

  2. Clique em uma ou mais plataformas para exibir uma lista das políticas de dispositivo para as plataformas selecionadas. Clique em um nome de política para continuar adicionando a política.

    Imagem da tela de configuração de políticas de dispositivos

    Você também pode digitar o nome da política na caixa de pesquisa. Conforme você digita, possíveis correspondências são exibidas. Se a sua política estiver na lista, clique nela. Somente a política selecionada permanece nos resultados. Clique nela para abrir a página Informações sobre a política referente a essa política.

  3. Selecione as plataformas que você deseja incluir na política. As páginas de configuração das plataformas selecionadas são exibidas na Etapa 5.

  4. Preencha a página Informações sobre a política e clique em Avançar. A página Informações sobre a política reúne as informações, como o nome da política, para ajudá-lo a identificar e rastrear as políticas. Essa página é semelhante para todas as políticas.

  5. Preencha as páginas de plataforma. As páginas de plataforma são exibidas para cada plataforma selecionada na Etapa 3. Essas páginas são diferentes para cada política. Uma política pode ser diferente entre as plataformas. Nem todas as políticas se aplicam a todas as plataformas.

    Algumas páginas incluem tabelas de itens. Para excluir um item existente, passe o mouse sobre a linha que contém a listagem e clique no ícone de lixeira no lado direito. Na caixa de diálogo de confirmação, clique em Excluir.

    Para editar um item existente, passe o mouse sobre a linha que contém a listagem e clique no ícone de caneta no lado direito.

Para configurar regras de implantação, atribuições e cronograma

Para obter mais informações sobre como configurar as regras de implantação, incluindo ilustrações, consulte Implantar recursos.

  1. Na página da plataforma, expanda Regras de implantação e defina estas configurações: A guia Base é exibida por padrão.

    • Nas listas, clique nas opções para determinar quando a política deve ser implantada. Você pode optar por implantar a política quando todas as condições forem atendidas ou quando qualquer condição for atendida. A opção padrão é definida como Todos.
    • Clique em Nova regra para definir as condições.
    • Nas listas, clique nas condições, como Propriedade do dispositivo e BYOD.
    • Clique em Nova regra novamente se você desejar adicionar mais condições. Você pode adicionar quantas condições desejar.
  2. Clique na guia Avançado para combinar as regras com as opções boolianas. As condições que você escolheu na guia Base são exibidas.

  3. Você pode usar a lógica booliana mais avançada para combinar, editar ou adicionar regras.

    • Clique em AND, OR ou NOT.
    • Nas listas, selecione as condições que você deseja adicionar à regra. Em seguida, clique no sinal de mais (+) no lado direito para adicionar a condição à regra.

      A qualquer momento, clique para selecionar uma condição e, em seguida, clique em EDITAR para alterar a condição ou em Excluir para removê-la.

    • Clique em Nova regra para adicionar outra condição.
  4. Clique em Avançar para ir até a próxima página de plataforma ou, quando todas as páginas da plataforma estiverem preenchidas, até a página Atribuições.

  5. Na página Atribuições, selecione os grupos de entrega aos quais você deseja aplicar a política. Se você clicar em um grupo de entrega, o grupo será exibido na caixa Grupos de entrega que receberão a atribuição de aplicativos.

    Grupos de entrega que receberão a atribuição de aplicativos não aparece até que você selecione um grupo de entrega.

    Imagem da tela de configuração de políticas de dispositivos

  6. Na página Atribuições, expanda o Cronograma de implantação e depois defina as seguintes configurações:

    • Ao lado de Implantar, clique em I para agendar a implantação ou em O para impedi-la. A opção padrão é definida como Ativado.
    • Ao lado do Cronograma de implantação, clique em Agora ou Mais tarde. A opção padrão é Agora.
    • Se você clicar em Mais tarde, clique no ícone de calendário e selecione a data e a hora da implantação.
    • Ao lado de Condição de implantação, clique em Em cada conexão ou em Somente quando a implantação anterior tiver falhado. A opção padrão é Em cada conexão.
    • Ao lado de Implantar para conexões permanentes, clique em I ou O. A opção padrão está definida como Desativado.

      Nota:

      Essa opção será aplicável quando você tiver configurado a chave de implantação em segundo plano do cronograma em Configurações > Propriedades do servidor. A opção sempre conectada não está disponível para dispositivos iOS.

      O cronograma de implantação que você configura é o mesmo para todas as plataformas. Todas as alterações feitas se aplicam a todas as plataformas, exceto Implantar para conexões permanentes, que não se aplica ao iOS.

    Imagem da tela de configuração de políticas de dispositivos

  7. Clique em Salvar.

    A política é exibida na tabela Políticas de dispositivo.

Remover uma política de dispositivo de um dispositivo

As etapas para remover uma política de dispositivo de um dispositivo dependem da plataforma.

  • Android

    Para remover uma política de dispositivo de um dispositivo Android, use a política de dispositivo de desinstalação do XenMobile. Para obter informações, consulte a Política de dispositivo de desinstalação do XenMobile.

  • iOS e macOS

    Para remover uma política de dispositivo de um dispositivo iOS ou macOS, use a política de dispositivo de remoção de perfil. Em dispositivos iOS e macOS, todas as políticas fazem parte do perfil MDM. Assim, você pode criar uma política de dispositivo de remoção de perfil apenas para a política que deseja remover. O resto das políticas e o perfil permanecem no dispositivo. Para obter informações, consulte Política de dispositivo de remoção de perfil.

  • Windows 10 e Windows 11

    Você não pode remover diretamente uma política de dispositivo de um dispositivo Desktop ou Tablet com Windows. No entanto, você pode usar um dos seguintes métodos:

    • Cancelar o registro do dispositivo e, em seguida, enviar por push um novo conjunto de políticas para o dispositivo. Depois, os usuários se registram novamente para continuar.

    • Enviar uma ação de segurança por push para limpar seletivamente o dispositivo específico. Essa ação remove todos os aplicativos e dados corporativos do dispositivo. Em seguida, você remove a política de dispositivo de um grupo de entrega que contém apenas esse dispositivo e envia o grupo de entrega para o dispositivo por push. Depois, os usuários se registram novamente para continuar.

  • SO Chrome

    Para remover uma política de dispositivo de um dispositivo Chrome OS, você pode remover a política de dispositivo de um grupo de entrega que contém apenas esse dispositivo. Em seguida, você envia o grupo de entrega para o dispositivo por push.

Editar uma política de dispositivo

Para editar uma política, selecione a caixa de seleção ao lado de uma política para mostrar o menu de opções acima da lista de políticas. Ou clique em uma política na lista para exibir o menu de opções no lado direito da lista.

Imagem da tela de configuração de políticas de dispositivos

Para exibir os detalhes da política, clique em Mostrar mais.

Para editar as configurações de uma política de dispositivo, clique em Editar.

Se você clicar em Excluir, é exiba uma caixa de diálogo de confirmação. Clique em Excluir novamente para excluir a política.

Verificar o status de implantação da política

Clique em uma linha de política na página Configurar > Políticas de dispositivo para verificar o seu status de implantação.

Tela de status de implantação de políticas de dispositivo

Quando uma implantação de política está pendente, os usuários podem atualizar a política do Secure Hub tocando em Preferências > Informações do dispositivo > Atualizar política.

Filtrar a lista de políticas de dispositivo adicionadas

Você pode filtrar a lista de políticas adicionadas por tipos de política, plataformas e grupos de entrega associados. Na página Configurar > Políticas de dispositivos, clique em Mostrar Filtro. Na lista, selecione as caixas de seleção relativas aos itens que deseja ver.

Imagem da tela de configuração de políticas de dispositivos

Clique em SALVAR ESTA EXIBIÇÃO para salvar um filtro. O nome do filtro, em seguida, é exibida em um botão abaixo do botão SALVAR ESTA EXIBIÇÃO.

Resumos de políticas de dispositivo

Nome da Política de Dispositivo Descrição da Política de Dispositivo
Espelhamento de AirPlay Adiciona dispositivos AirPlay específicos (como outro computador Mac) aos dispositivos iOS. Você também tem a opção de adicionar dispositivos a uma lista de permissão de dispositivos supervisionados. Essa opção limita os usuários a apenas os dispositivos AirPlay na lista de permissão.
AirPrint Adiciona impressoras AirPrint à lista de impressoras AirPrint nos dispositivos iOS. Essa política facilita o suporte aos ambientes nos quais as impressoras e os dispositivos estão em sub-redes diferentes.
Permissões do aplicativo Android Enterprise Configura como as solicitações para aplicativos do Android Enterprise nos perfis de trabalho lidam com o que o Google chama de permissões “perigosas”.
Restrições de aplicativos Android Enterprise Atualiza as restrições associadas aos aplicativos Android.
APN Determina as configurações usadas para conectar os seus dispositivos ao General Packet Radio Service (GPRS) de uma operadora de telefonia específica. Essa configuração já está definida na maioria dos novos telefones. Use essa política se sua organização não usar um APN de consumidor para conexão com a Internet de um dispositivo móvel.
Acesso aos aplicativos Define uma lista dos aplicativos necessários, opcionais ou evitados no dispositivo. Você pode criar uma ação automatizada para reagir à conformidade do dispositivo com essa lista de aplicativos.
Atributos de aplicativo Especifica atributos, como o ID d eum pacote de aplicativo gerenciado ou um identificador de VPN por aplicativo, para dispositivos iOS.
Configuração do aplicativo Define remotamente várias configurações e comportamentos de aplicativos que dão suporte à configuração gerenciada. Para fazer isso, você deve implantar um arquivo de configuração XML (chamado de lista de propriedades, ou plist) nos dispositivos iOS. Ou você implanta pares de chave/valor no telefone, desktop ou tablet Windows 10 executando Windows 10 ou dispositivos Windows 11.
Inventário de aplicativos Coleta um inventário dos aplicativos em dispositivos gerenciados. O XenMobile compara então o inventário com todas políticas de acesso aos aplicativos implantadas nesses dispositivos. Dessa forma, você pode detectar aplicativos que estão em uma lista de permissão ou de bloqueio de acesso a aplicativo e tomar as devidas providências.
Bloqueio de aplicativo Define uma lista de aplicativos que os usuários podem ou não executar em determinados dispositivos Android ou iOS.
Uso de rede de aplicativos Define regras de uso de rede para especificar como os aplicativos gerenciados usam redes, como redes de dados celulares, nos dispositivos iOS. As regras se aplicam somente aos aplicativos gerenciados. Os aplicativos gerenciados são aqueles que você implanta nos dispositivos de usuários por meio do XenMobile.
Desinstalação de aplicativo Remova aplicativos dos dispositivos do usuário.
Notificações de aplicativos Controla como os usuários do iOS recebem notificações de aplicativos especificados.
Atualizar automaticamente aplicativos gerenciados Controla como os aplicativos gerenciados instalados são atualizados em dispositivos Android Enterprise.
BitLocker Ajusta as configurações disponíveis na interface do BitLocker em dispositivos Windows 10 e Windows 11.
Calendário (CalDav) Adiciona uma conta de calendário (CalDAV) a dispositivos iOS ou macOS. A conta CalDAV permite que os usuários sincronizem dados de agendamento com qualquer servidor compatível com CalDAV.
Celular Define as configurações de rede celular.
Gerenciador de conexões Especifica as configurações de conexão dos aplicativos que se conectam automaticamente à Internet e a redes privadas. Essa política está disponível somente em Windows Pocket PCs.
Contatos (CardDAV) Adiciona uma conta de contato do iOS (CardDAV) a dispositivos iOS ou macOS. A conta CardDAV permite que os usuários sincronizem dados de contato com qualquer servidor compatível com CardDAV.
Controlar atualizações do sistema operacional Implanta as mais recentes atualizações de sistema operacional em dispositivos supervisionados com suporte.
Credenciais Permite que autenticação integrada com sua configuração de PKI no XenMobile. Por exemplo, com uma entidade PKI, um keystore, um provedor de credenciais ou um certificado de servidor.
XML personalizado Personaliza recursos como provisionamento de dispositivos, habilitação de recursos do dispositivo, configuração do dispositivo e gerenciamento de falhas.
Defender Define as configurações do Windows Defender para desktops e tablets Windows 10 e Windows 11.
Atestado de integridade de dispositivo Requer que os dispositivos Windows 10 e Windows 11 informem o estado da sua integridade. Para que eles enviem dados específicos e informações de tempo de execução para o serviço de atestado de integridade (HAS) para análise. O HAS cria e retorna um Certificado de Atestado de Integridade que o dispositivo envia para o XenMobile. Quando o XenMobile recebe o Certificado de Atestado de Integridade, com base no conteúdo daquele certificado, ele pode implantar ações automáticas que você configurou.
Nome do dispositivo Define os nomes em dispositivos iOS e macOS para que você possa identificá-los. Você pode usar macros, texto ou uma combinação de ambos para definir um nome de dispositivo.
Configuração de educação Configura os dispositivos de instrutor e estudante para uso com o Apple Educação. Se os instrutores usam o aplicativo de Sala de Aula, é necessária a política do dispositivo Configuração de Educação.
Exchange Ativa os emails do ActiveSync para o cliente de email nativo no dispositivo.
Arquivos Adiciona os arquivos de script ao XenMobile que executam determinadas funções para usuários. Ou você pode adicionar arquivos de documento que deseja que os usuários do dispositivo Android tenham acesso em seus dispositivos. Quando você adiciona o arquivo, pode também especificar o diretório no qual deseja que o arquivo seja armazenado no dispositivo.
FileVault Esta política permite que você ative a criptografia do dispositivo FileVault em dispositivos macOS registrados. Você também pode controlar o número de vezes que um usuário pode ignorar a configuração do FileVault durante o logon. Disponível para macOS 10.7 ou versões posteriores.
Fonte Adiciona mais fontes para dispositivos iOS e macOS. As fontes devem ser TrueType (.TTF) ou OpenType (.OFT). O XenMobile não dá suporte a coleções de fontes (.TTC ou .OTC).
Layout da tela inicial Especifica o layout de aplicativos e pastas para a tela inicial do iOS em dispositivos supervisionados iOS 9.3 e versões posteriores.
Importar perfil de iOS e macOS Importa arquivos XML de configuração de dispositivo para dispositivos iOS e macOS para o XenMobile. O arquivo contém as políticas de segurança do dispositivo e as restrições que você prepara por meio do Apple Configurator.
Gerenciamento de proteção do teclado Controla os recursos disponíveis para os usuários antes que eles desbloqueiem a proteção do teclado do dispositivo e o keyguard do Work Challenge. Você também pode controlar os recursos de proteção do teclado do dispositivo para dispositivos totalmente gerenciados e dedicados. Por exemplo, você pode desativar recursos de tela de bloqueio, como desbloqueio por impressão digital, agentes confiáveis e notificações.
Quiosque Restringe o uso do aplicativo em dispositivos Samsung SAFE. Você pode limitar os aplicativos disponíveis a um ou mais aplicativos específicos. Essa política é útil para dispositivos corporativos que foram criados para executar somente um tipo ou classe específico de aplicativos. Esta política também permite que você escolha imagens personalizadas para a tela inicial do dispositivo e papéis de parede de bloqueio de tela no modo de quiosque.
Chave do Knox Platform for Enterprise Permite que você forneça as informações de licença necessárias do Samsung Knox Platform for Enterprise (KPE).
Configuração do Launcher Especifica as configurações para o Citrix Launcher nos dispositivos Android, como os aplicativos permitidos e uma imagem de logotipo personalizado para o ícone do Launcher.
LDAP Oferece informações sobre um servidor LDAP a ser usado nos dispositivos iOS, incluindo qualquer informação de conta necessária como o nome de host do servidor LDAP. A política também fornece um conjunto de políticas de pesquisa de LDAP a serem usadas ao consultar o servidor LDAP.
Localização Permite geolocalizar dispositivos em um mapa, desde que o aparelho esteja com o GPS ativado no Secure Hub. Depois de implantar essa política no dispositivo, você pode enviar um comando de localização a partir do XenMobile Server. O dispositivo responde com as suas coordenadas de localização. O XenMobile também oferece suporte a políticas de geocerca e de rastreamento.
Email Configura uma conta de email em dispositivos iOS ou macOS.
Domínios gerenciados Define os domínios gerenciados que se aplicam a emails e ao navegador Safari. Os domínios gerenciados ajudam você a proteger dados corporativos ao controlar quais aplicativos podem abrir documentos baixados de domínios usando o Safari. Para dispositivos supervisionados iOS 8 e versões posteriores, você pode especificar as URLs ou os subdomínios para controlar como os usuários podem abrir documentos, anexos e downloads do navegador.
Opções de MDM Gerencia o bloqueio de ativação Buscar iPhone e iPad em dispositivos supervisionados iOS 7.0 e versões posteriores.
Informações sobre a organização Especifica as informações da organização para mensagens de alerta que o XenMobile implanta em dispositivos iOS.
Código secreto Impõe um código PIN ou senha em um dispositivo gerenciado. Você pode definir a complexidade e os tempos limite do código secreto no dispositivo.
Ponto de acesso pessoal Permite que os usuários se conectem à internet quando não estão dentro do alcance de uma rede WiFi. Os usuários se conectam por meio da conexão de dados celulares no seu dispositivo iOS, usando a funcionalidade de ponto de acesso pessoal.
Remoção de perfil Remove o perfil de aplicativo dos dispositivos iOS ou macOS.
Perfil de provisionamento Especifica um perfil de provisionamento de distribuição empresarial para enviar para os dispositivos. Quando você desenvolve assina com código um aplicativo empresarial iOS, você geralmente inclui um perfil de provisionamento. A Apple requer que o perfil para o aplicativo seja executado em um dispositivo iOS. Se um perfil de configuração estiver ausente ou tiver expirado, o aplicativo falhará quando um usuário tocar para abri-lo.
Remoção de perfil de provisionamento Remove perfis de provisionamento do iOS.
Proxy Especifica as configurações de proxy HTTP globais para dispositivos que executam o iOS. Você pode implantar somente uma política de proxy HTTP global por dispositivo.
Restrições Fornece centenas de opções para bloquear e controlar recursos e funcionalidades em dispositivos gerenciados. Exemplos de opções de restrição: desativar a câmera ou o microfone, impor regras de roaming e forçar o acesso a serviços de terceiros, como lojas de aplicativos.
Roaming Configura se deve ser permitida voz e o roaming de dados em dispositivos iOS. Se o roaming de voz está desativado, o roaming de dados é automaticamente desativado.
Programação Obrigatória nos dispositivos Android para se conectar de volta ao XenMobile Server para gerenciamento do MDM, envio por push de aplicativos e implantação de políticas. Se você não enviar essa política a dispositivos e não ativar o Google FCM, um dispositivo não poderá se conectar de volta ao servidor.
SCEP Configura dispositivos iOS e macOS para recuperar um certificado de um servidor SCEP externo. Você também pode fornecer um certificado para o dispositivo usando SCEP de uma PKI que esteja conectada ao XenMobile. Para fazer isso, crie uma entidade de PKI e um provedor de PKI em modo distribuído.
Conta SSO Cria contas de logon único (SSO) para que os usuários façam logon somente uma vez para acessar o XenMobile e seus recursos internos da empresa. Os usuários não precisam armazenar nenhuma credencial no dispositivo. O XenMobile usa as credenciais do usuário empresarial da conta SSO entre aplicativos, incluindo os aplicativos da App Store. Essa política é compatível com a autenticação Kerberos. Disponível para o iOS.
Calendários inscritos Adiciona um calendário inscrito à lista de calendários nos dispositivos iOS. Inscreva-se em um calendário antes de adicioná-lo à lista de calendários inscritos nos dispositivos dos usuários.
Termos e condições Requer que os usuários aceitem as políticas específicas da empresa que regem as conexões à rede corporativa. Quando os usuários registram seus dispositivos no XenMobile, eles devem aceitar os termos e condições para registrar os dispositivos. Não aceitar os termos e condições cancela o processo de registro.
Túnel Usada somente para suporte remoto. O suporte remoto permite que o pessoal da central de ajuda assuma o controle remotamente de dispositivos móveis gerenciados Windows CE e Android. O suporte remoto não está disponível para implantações do XenMobile Server em cluster no local. O Remote Support não está mais disponível para novos clientes desde 1º de janeiro de 2019. Os clientes existentes podem continuar a usar o produto, no entanto, a Citrix não fornecerá melhorias ou correções.
VPN Fornece acesso a sistemas de backend que usam a tecnologia de Gateway VPN de legado. Esta política fornece detalhes de conexão gateway VPN que você pode implantar nos dispositivos. XenMobile é compatível com vários provedores de VPN, incluindo Cisco AnyConnect, Juniper e Citrix VPN. Se o seu gateway VPN der suporte a esta opção, você poderá vincular essa política a uma CA e ativar VPN sob demanda.
Papel de parede Adiciona um arquivo .png ou .jpg para definir o papel de parede na tela de bloqueio ou na tela inicial de um dispositivo iOS, ou em ambas. Para usar papéis de parede diferentes em iPads e iPhones, crie políticas diferentes de papéis de parede e implantá-las nos usuários apropriados.
Filtro de conteúdo Web Filtra conteúdo web nos dispositivos iOS. O XenMobile usa a função de filtro automático da Apple e os sites que você adiciona a listas de permissão e de bloqueio. Disponível somente para dispositivos supervisionados iOS.
Clip web Insere atalhos ou clipes Web em sites para que apareçam junto com aplicativos nos dispositivos de usuários. Você pode especificar seus próprios ícones para representar os clipes Web para dispositivos iOS, macOS e Android. O tablet Windows requer somente um rótulo e uma URL.
WiFi Permite que os administradores implantem detalhes do roteador de WiFi em dispositivos gerenciados. Os detalhes do roteador incluem SSID, dados de autenticação e dados de configuração.
Proteção de informações do Windows Especifica os aplicativos que exigem a Proteção de informações do Windows no nível de imposição definido na política. A política é para dispositivos supervisionados do Windows 10 e do Windows 11.
XenMobile Store Especifica se um clip Web da XenMobile Store aparece na tela inicial dos dispositivos do usuário.
Opções do XenMobile Configura o comportamento do Secure Hub quando ele se conecta ao XenMobile a partir de dispositivos Android.
Desinstalação do XenMobile Desinstala o XenMobile dos dispositivos Android e Windows Mobile/CE. Quando implantada, essa política remove o XenMobile de todos os dispositivos no grupo de implantação.
Políticas de dispositivo