Citrix Endpoint Management

Android 设备的强制合规(技术预览版)

注意:

技术预览版中的各项功能可在非生产环境或有限生产环境中使用,并为客户提供共享反馈的机会。Citrix 不接受技术预览版中各项功能的支持案例,但欢迎提供改进这些功能的反馈。您可以通过单击向我们发送您的反馈来提供有关此功能的反馈。Citrix 可能会根据反馈的严重性、紧迫性和重要性对反馈执行操作。

对于在设备所有者模式下注册的 Android 设备,客户管理员可以管理设备合规性。他们可以定义自定义规则来评估合规性,包括:

  • 确保设备密码强度符合指定标准。
  • 验证所有必需应用程序的安装。
  • 确认移除所有禁止的应用程序。

如果发现设备不合规,客户可以提示用户纠正问题。此外,还有更严格的措施可供选择,例如冻结设备上的应用程序以限制用户访问,直到达到合规性为止。 要启用此功能,需要两个必备条件,因为服务器端和客户端都需要进行更改:

  • 将 CEM 服务器升级到版本 24.8.0。
  • 将 Secure Hub 升级到版本 24.8.0。

Android 设备合规管理程序

  1. 激活专门用于 CEM 服务器的功能标志 afw.policy.compliance
  2. 添加和部署合规性策略。
    1. 在“配置”选项卡中,选择“设备策略”,然后单击“合规性”。

      设备策略

    2. 使用以下设置配置策略:

      • 启用合规性检查:此设置控制设备是否接受合规性检查。要撤消已部署的合规策略,请禁用此选项并重新部署该策略。仅从交付组中删除策略将无效。

      启用合规性检查

      • 违规操作:在“仅限警告”和“冻结应用程序”(仅限企业自有设备)之间进行选择。选择“仅警告”将在 Secure Hub 中通知用户有关不合规的项目,并要求他们解决这些问题。选择“冻结应用程序”(仅限企业自有设备)可锁定设备上的所有应用程序,但管理员可以自定义“未冻结应用程序”列表以排除特定应用程序,例如 Secure Hub(用于显示和解析不合规项目)、Google Play 商店(用于安装必要的应用程序)、设置(用于恢复出厂设置)和短信(用于紧急通信)。Freeze 应用程序(仅限企业自有设备)仅适用于公司拥有的设备。

      冻结应用程序

      • 验证密码合规性:检查设备密码是否符合指定标准。通常与密码策略一起使用。
      • 验证必需的应用程序:显示必填应用程序列表。确保这些应用程序已安装在设备上。

      注意:

      • 在“必需应用程序”下列出的应用程序还必须包含在交付组的必需应用程序部分中,以确保其功能。否则,它们将无效。
      • 由于必需的应用可能无法在托管 Google Play 中使用,因此最终用户将保持锁定模式。

      验证所需的应用程序

      • 验证禁止的应用程序:显示禁止的应用程序列表。确保这些应用程序均未安装。

      注意:

      管理员应避免将系统预安装的应用程序添加到“禁止的应用程序”列表中,因为最终用户无权将其删除。

  3. 部署策略。
    1. 在 Secure Hub 中,单击“刷新策略”或等待 6 小时的定期同步以将策略部署到设备。
    2. 部署后,将立即触发合规性检查。在“冻结应用程序”模式下,不合规的设备会同时限制设备及其应用程序,直到满足合规性为止。

    设备策略

    如果管理员将不合规操作配置为冻结应用程序,则 Secure Hub 和设备本身都将限制应用程序的使用。特别说明:

    • 通知栏中将出现持续通知,提醒用户应用程序已被冻结。

    Citrix Secure Hub

    • 除默认允许的应用程序或“未冻结的应用程序”列表中列出的应用程序外,单击时将冻结且无响应。
    • 在设备达到合规性之前,此状态会一直持续下去。即使在重新启动或进行系统升级之后,设备也会立即恢复到这种冻结状态(Secure Hub 升级期间除外,这需要用户手动启动)。
  4. 不合规解决方案:
    • 当设备不兼容时,Secure Hub 将无法通过常用方法(单击“设备信息”页面中的“刷新策略”按钮)刷新策略。
    • 取而代之的是,通过下拉显示不合规项目的页面来提供替代解决方案,然后通过吐司通知传达刷新结果。

    刷新请求成功

    • 用户的具体操作:
      • 设置更复杂的密码以满足标准。
      • 从 Google Play 应用商店安装所需的应用程序。
      • 卸载禁止的应用程序。
  5. 监视合规性
    • 查看合规状态:“管理”->“设备”->“状态”中的新合规性状态图标。绿色表示合规,橙色表示不合规。

    合规状态

    • 在“管理”->“设备”->“设备详细信息”->“属性”->“安全信息”中提供了详细的合规性状态。

    设备兼容

故障排除

  1. 在 Google Play 商店中找不到配置的所需应用,导致设备变得不合规且无法解决问题。这是一个设计缺陷。

    设计缺陷

    CEM Server 通过链接 1 和 2 将所需的应用程序推送到 Secure Hub 和 Google Servers,但是链接 3 是我们无法控制的。当 Secure Hub 使用链接 1 检查所需的应用程序时,我们无法保证托管的 Google Play 商店有这些应用程序可用。这种差异意味着,尽管合规政策要求Secure Hub安装这些应用程序,但可能无法立即在商店中找到它们。通常,Google 服务器会使用链接 3 在 24 小时内将所需的应用程序推送到设备上。

  2. 在升级 Secure Hub 之前,设备不合规,应用程序被冻结。但是,在升级 Secure Hub 之后,所有应用程序都解冻了。之所以发生这种情况,是因为在升级过程中,Secure Hub 的操作被终止,使其无法保持应用程序冻结。 此问题是已知的,目前尚无解决方案。我们正在积极与 Google 合作解决这个问题,并预计未来版本会有所改进。完成升级后,用户可以手动启动 Secure Hub 以启动该过程并将应用程序恢复到冻结状态。

  3. 如何解冻应用程序? 最常见的方法是用户解决所有不合规问题,从而使设备合规并自动解冻所有应用程序。如果无法快速实现合规性,则可以采取以下步骤: - 将相关应用程序添加到“未冻结应用程序”列表并执行下拉刷新。 - 将“不合规操作”更改为“警告”并执行下拉刷新。 - 禁用与不合规项目对应的检查开关或主开关,然后执行下拉刷新。 - 如果上述方法均不起作用,请启用特定 CEM 服务器的功能标志 afw.locktaskmode.disable,然后执行下拉刷新。此操作会强制解冻所有应用程序,但是 Secure Hub 仍处于屏蔽状态,与将“不合规操作”设置为“警告”时类似。 - 禁用特定 CEM 服务器的功能标志 afw.policy.compliance 并执行下拉刷新。 - 在 Secure Hub 无法连接到 CEM 服务器的最坏情况下,从“设置”中执行出厂重置。

  4. 在 Citrix Endpoint Management 中,分析-> 控制面板下显示的合规状态与本策略中提及的合规状态不同。此功能尚未开发,将在未来版本中得到增强。

    控制板

  5. 此功能不适用于通过 COSU/WPCOD/BYOD 模式注册的设备。目前,它仅支持在设备所有者 (DO) 模式下注册的设备。

Android 设备的强制合规(技术预览版)