Citrix Endpoint Management

设备策略

您可以通过创建策略来配置 Citrix Endpoint Management 如何与您的设备进行交互。尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。因此,您可能会发现平台之间的差异,甚至 Android 设备的不同制造商之间的差异。

要查看对每个平台可用的策略,请执行以下操作:

  1. 在 Citrix Endpoint Management 控制台中,转 到配置 > 设备策略
  2. 单击添加
  3. 每个设备平台显示在策略平台窗格中的列表中。如果该窗格未打开,请单击显示过滤器
  4. 要查看适用于某个平台的所有策略的列表,请选择该平台。要查看适用于多个平台的策略的列表,请选择所有这些平台。仅当策略适用于选择的每个平台时,才会显示在列表中。

过滤的“设备策略”配置屏幕

有关每个设备策略的摘要说明,请参阅本文中的设备策略摘要

注意:

如果您的环境配置了组策略对象 (GPO):

在为 Windows 10 和 Windows 11 配置 Citrix Endpoint Management 设备策略时,请记住以下规则。如果已注册的一台或多台设备上的某个策略冲突,则优先应用与 GPO 对应的策略。

要查看 Android Enterprise 容器支持的策略,请参阅 Android Enterprise

必备条件

  • 创建计划使用的任何交付组。
  • 安装所有必需的 CA 证书。

添加设备策略

创建设备策略的基本步骤如下:

  1. 为策略命名并添加说明。

    重要:

    请勿在策略名称中使用正斜杠 (/)。如果执行此操作,以后编辑策略时可能会出现错误。

  2. 为一个或多个平台配置策略。
  3. 创建部署规则(可选)。
  4. 将策略分配到交付组。
  5. 配置部署计划(可选)。

要创建和管理设备策略,请转到配置 > 设备策略

“设备策略”配置屏幕

要添加策略,请执行以下操作:

  1. 设备策略页面上,单击添加。将显示添加新策略页面。

    “设备策略”配置屏幕

  2. 单击一个或多个平台可查看适用于选定平台的设备策略的列表。单击某个策略名称可继续添加该策略。

    “设备策略”配置屏幕

    还可以在搜索框中键入策略的名称。随着键入,将显示可能的匹配项。如果列表中存在您的策略,请单击此策略。只有您选择的策略才会保留在结果中。单击此策略以打开其策略信息页面。

  3. 选择要包含在策略中的平台。选定平台的配置页面显示在步骤 5 中。

  4. 完成策略信息页面,然后单击下一步策略信息页面收集策略名称等信息,以帮助您识别和跟踪自己的策略。此页面在所有策略之间相似。

  5. 完成平台页面。显示在步骤 3 选择的每个平台的平台页面。这些页面因策略而异。策略可能会因平台而异。并非所有策略都适用于所有平台。

    一些页面包括项目表。要删除现有商品,请将鼠标悬停在包含清单的行上,然后单击右侧的垃圾桶图标。在确认对话框中,单击删除

    要编辑现有项目,请将鼠标悬停在包含清单的行上,然后单击右侧的钢笔图标。

配置部署规则、分配和计划

有关配置部署规则的详细信息,请参阅部署资源

  1. 在平台页面上,展开部署规则,然后配置以下设置。默认情况下将显示基础选项卡。

    • 在列表中,单击选项以指定部署条件。可以选择在满足全部条件时部署策略,或在满足任意条件时部署策略。默认选项设置为“全部”。
    • 单击新建规则以定义条件。
    • 在列表中,单击条件,例如设备所有权BYOD
    • 如果要添加更多条件,请再次单击新建规则。您可以根据需要添加任意数量的条件。
  2. 单击高级选项卡以使用布尔选项组合规则。此时将显示您在基础选项卡上选择的条件。

  3. 您可以使用更多高级布尔逻辑来组合、编辑或添加规则。

    • 单击 ANDORNOT
    • 在列表中,选择要添加到规则的条件。然后单击右侧的加号 (+) 向规则添加条件。

      您随时可以单击以选择某个条件,然后单击编辑删除

    • 单击新建规则添加其他条件。
  4. 单击下一步移到下一个平台页面,或者在完成所有平台页面后移到分配页面。

  5. 分配页面上,选择要应用策略的交付组。如果单击某个交付组,此组将显示在用于接收应用程序分配的交付组框中。

    用于接收应用程序分配的交付组在您选择某个交付组之后才显示。

    “设备策略”配置屏幕

  6. 分配页面上,展开部署计划,然后配置以下设置:

    • 部署旁边,单击以计划部署,或单击以阻止部署。默认选项设置为
    • 在“部署计划”旁边,单击“现在”或“稍后”。默认选项设置为“现在”。
    • 如果单击以后,请单击日历图标,然后选择部署的日期和时间。
    • 在“部署条件”旁边,单击“启用每个连接”,或单击“仅当先前的部署失败时”。默认选项设置为每次连接时
    • 在“为始终启用的连接部署”旁边,单击“”或“”。默认选项设置为

      注意:

      如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。

      始终启用选项:

      • 不适用于 iOS 设备
      • 不适用于开始使用版本 10.18.19 或更高版本的 Citrix Endpoint Management 的 Android 和 Android Enterprise 客户
      • 不建议在 10.18.19 版本之前开始使用 Citrix Endpoint Management 的 Android 和 Android Enterprise 客户使用

      配置的部署计划对所有平台相同。您所做的更改适用于所有平台,但为始终启用的连接部署除外。

    “设备策略”配置屏幕

  7. 单击保存

    该策略显示在设备策略表中。

从设备中删除设备策略

从设备中删除设备策略的步骤取决于平台。

  • Android

    要从 Android 设备上删除设备策略,请使用 Citrix Endpoint Management 卸载设备策略。有关信息,请参阅 Citrix Endpoint Management 卸载设备策略

  • iOS 和 macOS

    要从 iOS 或 macOS 设备中删除设备策略,请使用“配置文件删除”设备策略。在 iOS 和 macOS 设备上,所有策略都属于 MDM 配置文件的一部分。因此,您可以仅为要删除的策略创建配置文件删除设备策略。其余的策略和配置文件将保留在设备上。有关详细信息,请参阅“删除配置文件设备策略”。

  • Windows 10 和 Windows 11

    不能直接从 Windows Desktop 或 Tablet 设备中删除设备策略。但是,可以使用以下方法之一:

    • 取消注册设备,然后将新的一组策略推送到设备。用户随后将重新注册以继续。

    • 推送安全操作以选择性擦除特定设备。该操作将从设备中删除所有企业应用程序和数据。然后,您可以从只有该设备的交付组中删除设备策略,并将该交付组推送到该设备。用户随后将重新注册以继续。

编辑设备策略

要编辑策略,请选中策略旁边的复选框。选项菜单显示在策略列表上方。或者,单击列表中的策略以显示更多控件。

“设备策略”配置屏幕

要查看策略详细信息,请单击显示更多

要编辑某个设备策略的所有设置,请单击编辑

如果单击删除,将显示确认对话框。再次单击删除以删除策略。

检查策略部署状态

单击配置 > 设备策略页面上的策略行以检查其部署状态。

“设备策略部署状态”屏幕

待部署策略时,用户可以通过 点击“首选项”>“设备信息”“刷新策略”,从 Citrix Secure Hub 刷新策略。

过滤已添加的设备策略列表

可以按策略类型、平台和关联的交付组过滤已添加的策略列表。在配置 > 设备策略页面上,单击显示过滤器。在列表中,选中要查看的项目的复选框。

“设备策略”配置屏幕

单击保存此视图以保存过滤器。之后过滤器的名称显示在保存此视图按钮下面的一个按钮中。

设备策略摘要

设备策略名称 设备策略说明
AirPlay 镜像 将特定 AirPlay 设备(例如 Apple TV 或其他 Mac 计算机)添加到 iOS 设备。还可以将设备添加到受监督设备的允许列表中。该选项仅将用户限制到允许列表中的 AirPlay 设备。
AirPrint 将 AirPrint 打印机添加到 iOS 设备上的 AirPrint 打印机列表。通过此策略可以更加轻松地为打印机和设备位于不同子网的环境提供支持。
APN 确定将设备连接到特定电话运营商的通用分组无线服务 (GPRS) 所使用的设置。大多数新式电话中已定义此设置。如果贵组织不使用使用者 APN 从移动设备连接到 Internet,请使用此策略。
应用程序访问 定义设备上的必需、可选或受阻止应用程序的列表。然后,可以创建自动化操作,以使设备符合此应用程序列表。
应用程序属性 为 iOS 设备指定各种属性,例如托管应用程序捆绑包 ID 或 PerApp VPN 标识符。
应用程序配置 远程配置支持托管配置的应用程序的各种设置和行为。为此,您要将 XML 配置文件(称为属性列表或 plist)部署到 iOS 设备。或者,将键/值对部署到 Windows 10 台式机或平板电脑设备。
应用程序清单 收集托管设备上的应用程序清单。然后,Citrix Endpoint Management 将清单与部署到这些设备上的任何应用程序访问策略进行比较。通过这种方式,您可以检测应用程序访问允许列表或阻止列表中的应用程序,然后正确操作。
应用程序锁定 定义用户可以或无法在 iOS 或某些 Android 设备上运行的应用程序列表。可以将 iPad 转变为 kiosk。
应用程序权限 配置对工作配置文件内部的 Android Enterprise 应用程序的请求如何处理 Google 称作“危险”权限的权限。
应用程序卸载 从用户设备中删除应用程序。
应用程序卸载限制 指定用户可以或无法卸载的应用程序。
应用程序防护 仅对于 Microsoft Edge 浏览器,此策略会指定 Windows Defender 应用程序防护设置。设置包括是否阻止企业站点上的外部内容。
应用程序通知 控制 iOS 用户如何从指定的应用程序接收通知。
自动更新托管应用程序 控制 Android Enterprise 设备上安装的托管应用程序的更新方式。
BitLocker 配置在 Windows 10 和 Windows 11 设备上的 BitLocker 界面中可用的设置。
蓝牙 在 iOS 设备上启用或禁用蓝牙。
浏览器 定义用户设备是否可以使用浏览器或设备可以使用的浏览器功能。
日历 (CalDAV) 将日历 (CalDAV) 帐户添加到 iOS 或 macOS 设备。使用 CalDAV 帐户,用户可以将计划数据与支持 CalDAV 的任何服务器同步。
手机网络 配置手机网络设置。
连接计划 Android 设备需要重新连接到 Citrix Endpoint Management 以进行 MDM 管理、应用推送和策略部署。如果不向设备发送此策略并且未启用 Google FCM,设备将无法重新连接回服务器。
联系人 (CardDAV) 将 iOS 联系人 (CardDAV) 帐户添加到 iOS 或 macOS 设备。使用 CardDAV 帐户,用户可以将联系人数据与支持 CardDAV 的任何服务器同步。
凭据 在 Citrix Endpoint Management 中使用您的 PKI 配置启用集成身份验证。例如,使用 PKI 实体、密钥库、凭据提供程序或服务器证书。
自定义 XML 自定义功能,例如预配设备、启用设备功能、配置设备和管理故障。
Defender 配置适用于台式机和平板电脑的 Windows 10 和 Windows 11 的 Windows Defender 设置。
Device Guard 启用安全启动、UEFI 锁和虚拟化等安全功能。
设备运行状况证明 需要 Windows 10 和 Windows 11 设备报告其运行状况的状态。为此,它们向 Health Attestation Service (HAS) 发送特定数据和运行时信息以供分析。HAS 创建并返回健康身份验证证书,然后设备将其发送到 Citrix Endpoint Management。当 Citrix Endpoint Management 收到健康身份验证证书时,它可以根据该证书的内容部署您配置的自动操作。
设备名称 在 iOS 和 macOS 设备上设置名称,以便您可以轻松识别设备。可以使用宏、文本或二者的组合定义设备名称。
教育配置 配置教师和学生的设备以供 Apple 教育使用。如果教师使用“课堂”应用程序,则需要配置教育配置设备策略。支持 iOS (iPadOS) 设备。
Citrix Endpoint Management 选项 配置从 Android 设备连接到 Citrix Endpoint Management 时的 Citrix Secure Hub 行为。
Citrix Endpoint Management 卸载 从 Android 设备上卸载 Citrix Endpoint Management。部署后,此策略会从部署组中的所有设备上删除 Citrix Endpoint Management。
Exchange 为设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。
文件 向 Citrix Endpoint Management 添加脚本文件,为用户执行某些功能。或者,您可以添加您希望 Android 设备用户在其设备上访问的文档文件。添加文件时,还可以指定设备上要存储该文件的目录。
FileVault 此策略允许您在已注册的 macOS 设备上启用 FileVault 设备加密。还可以控制用户在登录过程中可以跳过 FileVault 设置的次数。适用于 macOS 10.7 或更高版本。
防火墙 配置防火墙设置。提供要在设备上允许或阻止的 IP 地址、端口和主机名。还可以配置代理和代理重新路由设置。
字体 在 iOS 和 macOS 设备上添加字体。字体必须是 TrueType (.TTF) 字体或 OpenType (.OFT) 字体。Citrix Endpoint Management 不支持字体集(.TTC、.OTC)。
主屏幕布局 指定受监督的 iOS 设备上的 iOS 主屏幕的应用程序和文件夹布局。
导入 iOS 和 macOS 配置文件 将 iOS 和 macOS 设备的设备配置 XML 文件导入 Citrix Endpoint Management。此文件包含您通过使用 Apple Configurator 准备的设备安全策略和限制。
键盘锁管理 控制用户在解锁设备键盘锁和工作质询键盘锁之前可用的功能。还可以控制完全托管设备和专用设备的设备键盘锁功能。例如,您可以禁用锁屏功能,例如指纹解锁、信任代理和通知。
Knox Platform for Enterprise 密钥 允许您提供所需的 Samsung Knox Platform for Enterprise (KPE) 许可证信息。
Launcher 配置 指定 Android 设备上的 Citrix Launcher 的设置,例如允许的应用程序以及 Launcher 图标的自定义徽标图像。
LDAP 提供与要用于 iOS 设备的 LDAP 服务器有关的信息,包括任何必要的帐户信息(例如 LDAP 服务器主机名)。此策略还提供了一组在查询 LDAP 服务器时使用的 LDAP 搜索策略。
位置 假设设备启用了 Citrix Secure Hub 的 GPS,则允许您在地图上对设备进行地理定位。将此策略部署到设备后,您可以从 Citrix Endpoint Management 发送定位命令。之后设备会返回其位置坐标。Citrix Endpoint Management 还支持地理围栏和跟踪策略。
锁屏界面消息 将消息设置为当设备丢失时在以下设备上显示:共用的 iPad 的登录窗口和受监督 iOS 设备的锁屏界面。
邮件 在 iOS 或 macOS 设备上配置电子邮件帐户。
托管配置 控制 Android Enterprise 设备的各种应用配置选项和应用程序限制。
托管域 定义应用于电子邮件和 Safari 浏览器的托管域。托管域可以控制哪些应用程序可以使用 Safari 打开从域下载的文档,从而保护公司数据。对于受监督的 iOS 设备,可以指定 URL 或子域以控制用户通过浏览器打开文档、附件或下载内容的方式。
最大常驻用户数 指定共用的 iPad 的最大用户数。支持 iOS 和 iPadOS 设备。
MDM 选项 在受监督的 iOS 设备上管理“查找我的电话”和“iPad 激活锁”。
网络 允许管理员将 Wi-Fi 路由器详细信息部署到托管设备。路由器详细信息包括 SSID、身份验证数据和配置数据。
网络使用情况 设置网络使用规则,以指定 iOS 设备上托管应用程序如何使用网络(例如手机网络数据网络)。规则仅适用于托管应用程序。托管应用程序是您通过 Citrix Endpoint Management 部署到用户设备的应用程序。
Office 将 Microsoft Office 应用程序部署到运行 Windows 10(版本 1709 或更高版本)或 Windows 11 的设备上。
组织信息 为 Citrix Endpoint Management 部署到 iOS 设备的警报消息指定组织信息。
操作系统更新 将最新的操作系统更新部署到受支持且受监督的设备。
通行码 在托管设备上强制使用 PIN 代码或密码。您可以为设备上的通行码设置复杂性和超时。
通行码锁宽限期 指定共用的 iPad 屏幕保持锁定的分钟数,之后用户必须输入通行码才能解锁屏幕。支持 iOS 和 iPadOS 设备。
个人热点 允许用户不在 Wi-Fi 网络的范围内时连接到 Internet。用户通过其 iOS 设备上手机网络数据连接并使用个人热点功能进行连接。
配置文件删除 从 macOS 设备中删除应用程序配置文件。
预配配置文件 指定要发送到设备的企业分发预配配置文件。在开发 iOS 企业应用程序以及为其进行代码签名时,通常会包括预配配置文件。Apple 要求应用程序的配置文件在 iOS 设备上运行。如果预配配置文件缺失或已过期,用户轻按应用程序以将其打开时,应用程序将崩溃。
删除预配配置文件 删除 iOS 预配配置文件。
代理 为运行 iOS 的设备指定全局 HTTP 代理设置。只能为每个设备部署一个全局 HTTP 代理策略。
限制 提供在托管设备上执行锁定和控制功能的数百种选项。限制选项示例:禁用相机或麦克风、强制执行漫游规则以及强制访问第三方服务(例如应用商店)。
漫游 配置在 iOS 设备上是否允许语音和数据漫游。如果禁用语音漫游,会自动禁用数据漫游。
Samsung MDM 许可证密钥 指定必须部署到设备的内置 Samsung Enterprise License Management (ELM) 密钥。Citrix Endpoint Management 还支持 Samsung Enterprise Firmware-Over-The-Air (E-FOTA) 服务。
SCEP 将 iOS 和 macOS 设备配置为从外部 SCEP 服务器检索证书。您还可以使用 SCEP 从连接到 Citrix Endpoint Management 的 PKI 向设备提供证书。为此,请在分布式模式下创建 PKI 实体和 PKI 提供程序。
单点登录 (SSO) 帐户 创建 SSO 帐户,使用户只需登录一次即可访问 Citrix Endpoint Management 和您的公司内部资源。用户无需在设备上存储任何凭据。Citrix Endpoint Management 使用跨应用程序(包括来自 App Store 的应用程序)的 SSO 帐户的企业用户证书。此策略与 Kerberos 身份验证兼容。适用于 iOS。
存储加密 加密内部和外部存储。对于某些设备,此策略可防止用户在其设备上使用存储卡。
应用商店 指定应用商店 Web 剪辑是否显示在用户设备的主屏幕上。
已订阅的日历 将订阅的日历添加到 iOS 设备上的日历列表中。在将日历添加到用户设备上的已订阅日历列表之前,请务必订阅该日历。
条款和条件 要求用户接受贵公司控制与企业网络的连接的特定策略。当用户使用 Citrix Endpoint Management 注册设备时,他们必须接受条款和条件才能注册设备。拒绝这些条款和条件会取消注册过程。
通道 在任何移动设备应用程序的客户端组件和应用服务器组件之间定义代理参数。
VPN 提供对使用传统 VPN 网关技术的后端系统的访问权限。此策略用于提供可以部署到设备的 VPN 网关连接的详细信息。Citrix Endpoint Management 支持多家 VPN 提供商,包括思科 AnyConnect、瞻博网络和 Citrix VPN。如果您的 VPN 网关支持此选项,您可以将此策略链接到 CA 并按需启用 VPN。
墙纸 添加 .png 或 .jpg 文件,以设置 iOS 设备锁屏界面、主屏幕或二者的墙纸。要在 iPad 和 iPhone 上使用不同的墙纸,请创建不同的墙纸策略并将其部署到相应的用户。
Web 剪辑 在 Web 站点中放置快捷方式或 Web 剪辑,以便其与应用程序一起出现在用户设备上。您可以指定自己的图标来表示 iOS、macOS 和 Android 设备的 Web 剪辑。Windows 平板电脑只需要一个标签和一个 URL。
Web 内容过滤器 过滤 iOS 设备上的 Web 内容。Citrix Endpoint Management 使用 Apple 的自动筛选功能以及您添加到允许列表和屏蔽列表的站点。仅适用于受监督的 iOS 设备。
Windows 代理 启用此策略以在 Windows 桌面版和平板电脑版上运行上载的 PowerShell 脚本。
Windows GPO 配置 为受 Citrix Workspace Environment Management 支持的任何 Windows 设备配置组策略对象 (GPO)。
Windows Hello 企业版 启用 Windows 功能,以便用户可以在其设备上预配 Windows Hello 企业版。此策略还允许您配置通行码限制和其他安全功能。

设备策略(按平台)

策略 iOS macOS Android Enterprise Android(旧版 DA) Windows Desktop/Tablet 其他
AirPlay 镜像设备策略 X X        
AirPrint 设备策略 X          
APN 设备策略 X     X    
应用程序访问设备策略 X     X    
应用程序属性设备策略 X          
应用程序配置设备策略 X       X  
应用程序清单设备策略 X X X X X  
应用程序锁定设备策略 X     X X  
应用程序权限设备策略     X      
应用程序卸载设备策略 X X X X    
应用程序卸载限制设备策略           X
应用程序防护设备策略         X  
应用程序通知设备策略 X          
自动更新托管应用程序     X      
BitLocker 设备策略         X  
“蓝牙”设备策略 X          
浏览器设备策略           X
日历 (CalDav) 设备策略 X X        
手机网络设备策略 X          
连接计划设备策略     X X    
联系人 (CardDAV) 设备策略 X X        
将应用程序复制到 Samsung 容器设备策略           X
凭据设备策略 X X X X X  
自定义 XML 设备策略     X   X  
Defender 设备策略         X  
Device Guard 设备策略         X  
设备运行状况证明设备策略         X  
设备名称设备策略 X X        
教育配置设备策略 X          
Citrix Endpoint Management 选项设备策略     X X    
Citrix Endpoint Management 卸载设备策略       X    
Exchange 设备策略 X X X X X  
文件设备策略     X X    
FileVault 设备策略   X        
防火墙设备策略   X     X  
字体设备策略 X X        
主屏幕布局设备策略 X          
“导入设备配置”设备策略           X
“导入 iOS 和 macOS 配置文件”设备策略 X X        
键盘锁管理设备策略     X      
网亭设备策略     X   X  
Launcher 配置设备策略     X X    
LDAP 设备策略 X X        
位置设备策略 X   X X    
锁屏界面消息设备策略 X          
邮件设备策略 X X        
托管配置设备策略     X      
托管域设备策略 X          
最大常驻用户数设备策略 X          
MDM 选项设备策略 X          
网络设备策略 X   X X    
网络使用设备策略 X          
Office 设备策略         X  
组织信息设备策略 X          
“操作系统更新”设备策略 X X X   X  
通行码设备策略 X X X X X  
通行码锁定宽限期设备策略 X          
个人热点设备策略 X          
“配置文件删除”设备策略 X X        
预配配置文件设备策略 X          
删除预配配置文件设备策略 X          
代理设备策略 X          
限制设备策略 X X   X X  
漫游设备策略 X          
Samsung MDM 许可证密钥设备策略     X      
SCEP 设备策略 X X        
Siri 和听写策略 X          
SSO 帐户设备策略 X          
存储加密设备策略            
应用商店设备策略 X     X X  
已订阅的日历设备策略 X          
条款和条件设备策略 X     X X  
通道设备策略       X    
VPN 设备策略 X X   X X  
墙纸设备策略 X          
Web 剪辑设备策略 X X   X X  
Web 内容过滤器设备策略 X          
Windows 代理设备策略         X  
Windows GPO 配置设备策略         X  
Windows Hello 企业版设备策略         X  
设备策略