设备和应用程序策略
Citrix Endpoint Management 设备和应用程序策略使您能够优化因素之间的平衡,例如:
- 企业安全性
- 公司数据和资产保护
- 用户隐私
- 高效、积极的用户体验
这些因素之间的最佳平衡点可能有所差别。例如,监管比较严格的组织(例如金融组织)要求采取比其他行业(例如教育和零售行业)更严格的安全控制措施,而后者主要考虑的是如何提高用户工作效率。
您可以根据用户的身份、设备、位置和连接类型集中控制和配置策略来限制对公司内容的恶意使用。如果设备丢失或被盗,您可以远程禁用、锁定或擦除业务应用程序和数据。总体结果是,该解决方案可以提高员工满意度和生产力,同时确保安全性和管理控制。
本文主要介绍与安全性有关的多个设备和应用程序策略。
解决安全风险的策略
Citrix Endpoint Management 设备和应用程序策略可解决许多可能构成安全风险的情况,例如:
- 用户尝试从不可信设备和不可预测的位置访问应用程序和数据。
- 用户在设备之间传递数据
- 未经授权的用户尝试访问数据
- 已离开公司的用户使用自己的设备 (BYOD)
- 用户错放设备
- 用户必须始终安全地访问网络
- 用户使自己的设备处于托管状态且您必须将工作数据与个人数据区分开
- 设备处于空闲状态并需要再次验证用户凭据。
- 用户将敏感内容复制并粘贴到不受保护的电子邮件系统。
- 用户在保存了个人帐户和公司帐户的设备上收到包含敏感数据的电子邮件附件或 Web 链接。
保护公司数据时,这些情况与两个主要考虑因素相关,即数据所处的状态:
- 静态
- 传输中
Citrix Endpoint Management 如何保护静态数据
存储在移动设备上的数据称为静态数据。Citrix Endpoint Management 使用 iOS 和 Android 平台提供的设备加密。Citrix Endpoint Management 通过合规性检查等功能补充了基于平台的加密,这些功能可通过 Citrix MAM SDK 获得。
Citrix Endpoint Management 中的移动应用程序管理 (MAM) 功能可实现对 Citrix 移动生产力应用程序、支持 MDX 的应用程序及其相关数据的全面管理、安全和控制。
移动应用程序 SDK 支持使用 Citrix MDX 应用程序容器技术部署用于 Citrix Endpoint Management 的应用程序。容器技术将企业应用程序和数据与个人应用程序和用户设备上的数据分离开来。数据分离允许您通过基于策略的综合控制来保护任何自定义开发的、第三方或 BYO 移动应用程序的安全。
Citrix Endpoint Management 还包括应用程序级加密。Citrix Endpoint Management 可单独加密存储在任何支持 MDX 的应用程序中的数据,无需设备密码,也无需您管理设备即可实施策略。
- 在 iOS 设备上,Citrix Endpoint Management 使用经过 FIPS 验证的强大加密服务和库,例如钥匙串。
- OpenSSL 为各种设备平台提供经 FIPS 验证的模块。OpenSSL 进一步保护动态数据以及管理和注册设备所需的证书。
- Citrix Endpoint Management 使用 MAM SDK 共享保管库 API 在具有相同钥匙串访问组的应用程序之间共享托管内容。例如,您可以通过注册的应用程序共享用户证书,以便应用程序可以从安全保管库获取证书。
- Citrix Endpoint Management 使用平台提供的设备加密。
- 应用级别的 Citrix Endpoint Management MAM 控件会进行合规性检查,以验证每次启动应用程序时是否启用了设备加密。
Citrix Endpoint Management 如何保护传输中的数据
在用户的移动设备与您的内部网络之间移动的数据称为传输中的数据。MDX 应用程序容器技术实现了通过 NetScaler Gateway 对内部网络进行应用程序特定的 VPN 访问。
考虑一下员工想要通过移动设备访问安全企业网络中的以下资源的情况:
- 公司电子邮件服务器
- 公司 Intranet 上托管的启用了 SSL 的 Web 应用程序
- 存储在文件服务器或 Microsoft SharePoint 上的文档
MDX 支持从移动设备通过应用程序特定的 Micro VPN 访问所有这些企业资源。每个设备都有自己的专用 Micro VPN 通道。
Micro VPN 功能不需要设备范围的 VPN(可能会危及不可信移动设备上的安全)。因此,内部网络不会面临可能影响整个公司系统的恶意软件或攻击。企业移动应用程序和个人移动应用程序可以在一台设备上共存。
为了提供更高的安全级别,您可以使用备用 NetScaler Gateway 策略配置支持 MDX 的应用程序。该策略用于身份验证以及与应用程序的微型 VPN 会话。您可以使用具有微型 VPN 会话要求策略的备用 NetScaler Gateway 来强制应用程序对特定网关重新进行身份验证。此类网关通常可能具有不同的(更高保障)的身份验证要求和流量管理策略。
除了安全功能外,Micro VPN 功能还提供数据优化技术,包括压缩算法。压缩算法确保:
- 仅传输最少的数据
- 传输在最快的时间内完成。速度改进了用户体验,这是移动设备采用的关键成功因素。
请定期重新评估设备策略,例如在以下情况下:
- 当由于设备操作系统更新的发布而导致新版本的 Citrix Endpoint Management 包含新的或更新的策略时
-
添加设备类型时:
尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。因此,您可能会发现 iOS、Android 和 Windows 设备之间的差异,甚至不同制造商提供的 Android 设备设备之间的差异。
- 使 Citrix Endpoint Management 的运营与企业或行业变化保持同步,例如新的公司安全政策或合规法规
- 新版本的 MAM SDK 包括新的或更新的策略时
- 添加或更新应用程序时
- 根据新应用程序或新要求为用户集成新的工作流程
应用程序策略和用例场景
尽管您可以选择通过 Citrix Secure Hub 提供哪些应用程序,但您可能还需要定义这些应用程序如何与 Citrix Endpoint Management 进行交互。使用应用程序策略:
- 如果您希望用户在特定时间段过后进行身份验证。
- 如果您希望为用户提供对其信息的脱机访问权限。
以下个部分内容包括一些策略和示例用法。
- 有关您可以使用 MAM SDK 集成到 iOS 和 Android 应用程序中的第三方策略的列表,请参阅 MAM SDK 概述。
- 有关每个平台的所有 MDX 策略的列表,请参阅 MDX 策略概览。
身份验证策略
-
设备通行码
为什么要使用此策略: 启用“设备通行码”策略可强制执行仅当设备上已启用设备通行码时用户才能访问 MDX 应用程序。此功能可确保在设备级别使用 iOS 加密。
用户示例: 启用此策略意味着,用户必须先在其 iOS 设备上设置一个通行码,然后才能访问 MDX 应用程序。
-
应用程序通行码
为何使用此策略: 启用应用程序密码策略,让 Citrix Secure Hub 提示用户在打开应用程序和访问数据之前对托管应用程序进行身份验证。用户可能会使用他们的 Active Directory 密码、Citrix PIN 码或 iOS TouchID 进行身份验证,具体取决于您在 Citrix Endpoint Management 控制台的 设置 > 客户端属性下 配置的内容。您可以在“客户端属性”中设置非活动计时器,这样 Citrix Secure Hub 在计时器到期之前不会提示用户重新对托管应用程序进行身份验证。
应用程序通行码与设备通行码不同。将设备密码策略推送到设备后,Citrix Secure Hub 会提示用户配置密码或 PIN 码。用户必须在打开设备或非活动计时器过期时解锁其设备。有关详细信息,请参阅 Citrix Endpoint Management 中的身份验证。
用户示例: 在设备上打开 Citrix Secure Web 应用程序时,如果不活动期限已过期,用户必须输入其 Citrix PIN,才能浏览 Web 站点。
-
要求 Micro VPN 会话
为什么使用此策略: 如果应用程序需要访问 Web 应用程序(Web 服务)才能运行,请启用此策略。然后,Citrix Endpoint Management 提示用户在使用应用程序之前连接到企业网络或进行活动会话。
用户示例: 当用户尝试打开启用了 micro VPN 会话要求策略的 MDX 应用程序时:在连接到网络之前,他们无法使用该应用程序。连接必须使用手机网络或 Wi-Fi 服务。
-
最长脱机期限
为什么使用此策略: 将此策略用作额外的安全选项。该政策确保在指定时长内脱机运行应用程序的用户必须重新确认应用程序授权并刷新政策。
用户示例: 如果您为某个 MDX 应用程序配置“最长脱机期限”,用户可以打开并脱机使用该应用程序,直到脱机计时器期限过期。此时,如果系统提示,用户必须通过手机网络或 Wi-Fi 服务重新连接网络并重新进行身份验证。
其他访问策略
-
应用程序更新宽限期(小时)
为什么要使用此策略: 应用程序更新宽限期是指用户在必须更新应用商店中有更新版本的应用程序之前可用的时间。在过期时,用户必须更新该应用程序才能访问该应用程序中的数据。设置此值时,请谨记您的移动办公人员的需求,尤其是在国际出差时可能很长一段时间脱机的用户。
用户示例: 您在应用商店中加载新版本的 Citrix Secure Mail,然后将应用更新宽限期设置为 6 小时。然后,Citrix Secure Hub 用户有 6 小时的时间升级 Citrix Secure Mail,然后才能转到应用商店。
-
活动轮询期限(分钟)
为何使用此策略: 有效轮询期是 Citrix Endpoint Management 检查应用程序何时执行安全操作(例如应用程序锁定和应用程序擦除)的时间间隔。
用户示例: 如果将“活动轮询期限”策略设置为 60 分钟,然后发送应用程序锁定命令,则将在上次轮询后的 60 分钟内发生锁定。
不合规设备行为策略
当设备低于最低合规性要求时,“不合规设备行为”策略将允许您选择要执行的操作。有关信息,请参阅不合规设备行为。
应用程序交互策略
为什么要使用这些策略: 可使用应用程序交互策略来控制文档和数据从 MDX 应用程序传输到设备上其他应用程序的流。例如,您可以阻止用户:
- 将数据移动到容器外部的个人应用程序
- 将容器外部的数据粘贴到容器化应用程序中
用户示例: 您将应用程序交互策略设置为受限,这意味着用户可以将文本从 Citrix Secure Mail 复制到 Citrix Secure Web。用户无法将该数据复制到容器外部的个人 Safari 或 Chrome 浏览器。此外,用户可以将附加的文档从 Citrix Secure Mail 打开到 Citrix Files 或 QuickEdit 中。用户无法在容器外部的个人文件查看应用程序中打开附加的文档。
应用程序限制策略
为什么要使用这些策略: 可使用应用程序限制策略来控制用户可以从打开的 MDX 应用程序访问的功能。这些限制有助于确保应用程序运行时不会发生任何恶意活动。在 iOS 和 Android 之间应用程序限制策略略有不同。例如,在 iOS 中,您可以在 MDX 应用程序运行时阻止对 iCloud 的访问。在 Android 中,您可以在 MDX 应用程序运行时停止 NFC 的使用。
用户示例: 假设您在 iOS 上启用应用程序限制策略以阻止在 MDX 应用程序中使用听写功能。因此,在 MDX 应用程序运行时,用户无法在 iOS 键盘上使用听写功能。因此,用户口述的数据不会传递给不安全的第三方云听写服务。当用户在容器外打开其个人应用程序时,听写选项仍可供用户进行个人通信。
应用程序网络访问策略
为什么要使用这些策略: 可使用应用程序网络访问策略来提供从设备上容器中的 MDX 应用程序访问企业网络内部数据的权限。隧道-Web SSO 选项仅允许对 HTTP 和 HTTPS 流量进行隧道传输。该选项为 HTTP 和 HTTPS 流量以及 PKINIT 身份验证提供单点登录 (SSO)。
用户示例: 用户打开启用了通道的 MDX 应用程序时,浏览器将打开 Intranet 站点,而无需用户启动 VPN。该应用程序会自动使用 Micro VPN 技术访问内部站点。
应用程序地理定位和地理围栏策略
为什么要使用这些策略: 控制应用程序地理定位和地理围栏功能的策略包括中心点经度、中心点纬度和半径。这些策略有权访问特定地理区域的 MDX 应用程序中的数据。这些策略按纬度和经度坐标半径定义地理区域。如果用户尝试在定义的半径之外使用应用程序,则该应用程序将保持锁定状态,用户无法访问应用程序数据。
用户示例: 用户在其办公地点时可以访问合并和收购数据。当用户离开办公地点时,不可访问此敏感数据。
Citrix Secure Mail 应用程序政策
-
后台网络服务
为何使用此策略: Citrix Secure Mail 中的后台网络服务使用 Secure Ticket Authority (STA),后者实际上是通过 NetScaler Gateway 进行连接的 SOCKS5 代理。STA 支持长时间连接,与 Micro VPN 相比,可延长电池寿命。因此,STA 非常适合持续连接的邮件。Citrix 建议您为 Citrix Secure Mail 配置这些设置。适用于 XenMobile 的 NetScaler 向导会自动为 Citrix Secure Mail 设置 STA。
用户示例: 当未启用 STA 且 Android 用户打开 Citrix Secure Mail Secure 时,系统会提示他们打开 VPN,VPN 在设备上保持打开状态。启用 STA 且 Android 用户打开 Citrix Secure Mail 时,Citrix Secure Mail 无需 VPN 即可无缝连接。
-
默认同步时间间隔
为何使用此策略: 此设置指定了用户首次访问 Citrix Secure Mail 时同步到 Citrix Secure Mail 的默认电子邮件天数。两周的电子邮件同步所需的时间超过三天的电子邮件。要同步的更多数据会延长用户的设置过程。
用户示例: 假设当用户首次设置 Citrix Secure Mail 时,默认同步间隔设置为三天。用户可以在其收件箱中看到他们从现在到过去三天收到的任何电子邮件。如果用户想查看三天以前的电子邮件,可以执行搜索。然后,Citrix Secure Mail 会显示存储在服务器上的旧电子邮件。安装 Citrix Secure Mail 后,每个用户都可以更改此设置以更好地满足自己的需求。
设备策略和用例行为
设备策略(有时也称为 MDM 策略)决定了 Citrix Endpoint Management 如何管理设备。尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。下面列出了其中一些设备策略,并介绍了相应的使用方法。有关所有设备政策的列表,请参阅设备策略下的文章。
-
应用程序清单策略
为什么要使用此策略: 要查看用户安装的应用程序,请将“应用程序清单”策略部署到设备。如果您未部署该策略,则只能查看用户从应用商店安装的应用程序,但看不到个人安装的应用程序。使用“应用程序清单”策略阻止某些应用程序在公司设备上运行。
用户示例: 使用 MDM 托管的设备的用户不能禁用此功能。Citrix Endpoint Management 管理员可以看到用户亲自安装的应用程序。
-
应用程序锁定策略
为什么要使用此策略: 对于 Android,应用程序锁定策略允许您将应用程序放置在允许列表或阻止列表中。例如,对于允许运行的应用程序,可以配置展台设备。通常,您只能将应用程序锁定策略部署到企业拥有的设备,因为它限制了用户可以安装的应用程序。您可以设置覆盖密码以允许用户访问被阻止的应用程序。
用户示例: 假设您部署的应用程序锁定策略阻止“愤怒的小鸟”应用程序。用户可以从 Google Play 安装“愤怒的小鸟”应用程序,但当其打开该应用程序时,将显示一条消息,告知其管理员已阻止该应用程序。
-
连接计划策略
为何使用此策略:连接计划策略 允许 Windows Mobile 设备重新连接到 Citrix Endpoint Management 以进行 MDM 管理、应用推送和策略部署。对于 Android 和 Android Enterprise 设备,请改用 Google Firebase Cloud Messaging (FCM)。FCM 控制与 Citrix Endpoint Management 的连接。计划选项如下所示:
-
从不: 手动进行连接。用户必须在其设备上从 Citrix Endpoint Management 启动连接。Citrix 建议不要对生产部署使用此选项,因为这会阻止您将安全策略部署到设备。因此,用户不会收到新应用程序或策略。默认情况下,从不选项处于启用状态。
-
每个: 按所选间隔连接。当您发送安全策略(例如锁定或擦除)时,Citrix Endpoint Management 将在设备下次连接时处理设备上的策略。
-
定义时间表: 网络连接中断后,Citrix Endpoint Management 尝试将用户的设备重新连接到 Citrix Endpoint Management 服务器。Citrix Endpoint Management 通过在您定义的时间范围内定期传输控制数据包来监视连接。
用户示例: 您希望将通行码策略部署到注册的设备。调度策略确保设备定期连接到服务器以收集新策略。
-
-
凭据策略
为什么要使用此策略: 通常与网络策略一起使用,凭据策略允许您将证书进行身份验证部署到需要证书身份验证的内部资源中
用户示例: 您部署在设备上配置无线网络的网络策略。Wi-Fi 网络要求使用证书进行身份验证。凭据策略将部署证书,该证书随后存储在操作系统密钥库中。之后,用户在连接到内部资源时可以选择该证书。
-
Exchange 策略
为何使用此策略: 使用 Citrix Endpoint Management,您可以通过两种方式发送 Microsoft Exchange ActiveSync 电子邮件。
-
Citrix Secure Mail 应用程序 :使用您从公共应用商店或应用商店分发的 Citrix Secure Mail 应用程序发送电子邮件。
-
本机电子邮件应用程序: 为设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。可以使用宏提取其 Active Directory 属性中的用户数据进行填充,例如,提取
${user.username}
中的数据填充用户名,提取${user.domain}
中的数据填充用户域。
用户示例: 当您推送 Exchange 策略时,将向设备发送 Exchange Server 详细信息。然后,Citrix Secure Hub 提示用户进行身份验证,他们的电子邮件开始同步。
-
-
定位策略
为何使用此策略: 如果设备启用了 Citrix Secure Hub 的 GPS,则位置策略允许您在地图上对设备进行地理定位。部署此策略并从 Citrix Endpoint Management 发送定位命令后,设备会使用位置坐标进行响应。
用户示例: 部署位置策略并在设备上启用 GPS 时:如果用户放错了设备,他们可以登录 Citrix Endpoint Management 自助门户并选择定位选项以在地图上查看其设备位置。用户选择是否允许 Citrix Secure Hub 使用定位服务。当用户自己注册设备时,您无法强制使用定位服务。使用此策略的另一个注意事项是对电池寿命的影响。
-
通行码策略
为什么要使用此策略: 通行码策略允许您在托管设备上强制执行 PIN 代码或密码。此通行码策略允许您在设备上设置通行码的复杂性和超时。
用户示例: 将密码策略部署到托管设备时,Citrix Secure Hub 会提示用户配置密码或 PIN 码。通行码或 PIN 允许用户在启动期间或非活动计时器过期时访问其设备。
-
配置文件删除策略
为什么要使用此策略: 假设您将某个策略部署到一组用户,以后必须从其中一部分用户删除该策略。可以通过创建“配置文件删除”策略来删除所选用户的策略。然后,使用部署规则将配置文件删除策略仅部署到指定用户。
用户示例: 将配置文件删除策略部署到用户设备时,用户可能不会发现所做的更改。例如,如果“配置文件删除”策略删除了禁用设备相机的限制,用户不知道该更改。当所做的更改影响用户体验时,请考虑让用户了解。
-
限制策略
为什么要使用此策略: 限制策略允许您使用许多选项来锁定和控制托管设备上的特性和功能。可以为受支持的设备启用数百个限制选项。例如,您可以:禁用设备上的相机或麦克风、强制执行漫游规则以及强制访问第三方服务(例如应用商店)。
用户示例: 如果您将限制部署到 iOS 设备,用户可能无法访问 iCloud 或 Apple App Store。
-
条款和条件策略
为什么要使用此策略: 可能有必要向用户告知托管其设备涉及的法律法规。此外,您可能需要确保用户意识到将公司数据推送到设备时存在的安全风险。您可以通过“条款和条件”文档在用户注册之前发布规则和声明。
用户示例: 用户将在注册过程中看到条款和条件信息。如果他们拒绝接受所列条件,则注册过程将结束,他们将无法访问公司数据。您可以生成报告以提供给 HR/法律/合规团队,报告中显示接受或拒绝这些条款的用户。
-
VPN 策略
为什么要使用此策略: 使用 VPN 策略,可通过使用较旧 VPN 网关技术访问后端系统。该策略支持多个 VPN 提供商,包括 Cisco AnyConnect、Juniper 和 Citrix VPN。此外,也可以将此策略链接到 CA 并按需启用 VPN(如果 VPN 网关支持此选项)。
用户示例: 启用 VPN 策略后,当用户访问内部域时,用户的设备将打开 VPN 连接。
-
Web 剪辑策略
为什么要使用此策略: 如果您想要向设备推送可直接打开 Web 站点的图标,可使用 Web 剪辑策略。网络剪辑具有指向网站的链接,可以包含自定义图标。在设备上,Web 剪辑类似应用程序图标。
用户示例: 用户可以单击 Web 剪辑图标打开 Internet 站点以获取所需服务的访问权限。使用 Web 链接比在浏览器中键入链接地址更方便。
-
网络策略
为什么要使用此策略: 网络策略允许您将 Wi-Fi 网络详细信息(例如 SSID、身份验证数据和配置数据)部署到受管设备。
用户示例: 在部署网络策略后,设备将自动连接到 Wi-Fi 网络并对用户进行身份验证,以便用户可访问此网络。
-
Endpoint Management 应用商店策略
为什么要使用此策略: 该应用商店是一个统一的应用商店,管理员可以在此发布其用户所需的所有公司应用程序和数据资源。管理员可以添加:
- Web 应用程序、SaaS 应用程序和启用了 MAM SDK 的应用程序或 MDX 封装的应用程序
- Citrix 移动生产力应用程序
- 本机移动应用程序,例如 .ipa 或 .apk 文件
- Apple App Store 或 Google Play 应用程序
- Web 链接
- 使用 Citrix StoreFront 发布的 Citrix Virtual Apps
用户示例: 用户将其设备注册到 Citrix Endpoint Management 后,他们通过 Citrix Secure Hub 应用程序访问应用商店。然后,用户可以查看所有可供他们使用的企业应用程序和服务。用户可以在应用商店中单击某个应用程序以进行安装、访问数据、对应用程序进行评分和评论以及下载应用程序更新。