适用于 Android 的移动生产力应用程序的 MDX 策略
本文介绍面向 Android 应用程序的 MDX 策略。在 Citrix Endpoint Management 控制台中更改策略设置。有关详细信息,请参阅添加应用程序。
以下列表不包括特定于 Secure Web 的 MDX 策略。有关针对 Secure Web 而显示的策略的详细信息,请参阅关于 Secure Web 策略。
身份验证
应用程序通行码
如果设置为 On(启用),启用程序在处于不活动状态一段时间后启动或恢复时需要输入 PIN 或通行码才能解锁。默认值为开。
要配置所有应用程序的不活动计时器,请在设置选项卡上的客户端属性中设置 INACTIVITY_TIMER 值(以分钟为单位)。默认不活动计时器值为 60 分钟。要禁用不活动计时器以便 PIN 或通行码提示仅在应用程序启动时出现,请将值设置为 0。
注意:
如果为“加密密钥”策略选择“安全脱机”,则将自动启用此策略。
最长脱机期限(小时)
定义应用程序在不执行网络登录的情况下重新确认授权和刷新策略时可以脱机运行的最长期限。默认值为 168 小时(7 天)。最短期限为 1 小时。
将在期限过期前 30 分钟、15 分钟和 5 分钟提醒用户登录。过期后,应用程序将保持锁定,直到用户完成一次成功的网络登录。
备用 Citrix Gateway
注意:
此策略在 Endpoint Management 控制台中的名称为备用 NetScaler Gateway。
对此应用程序的身份验证和 Micro VPN 会话使用的特定备用 Citrix Gateway(以前称为 NetScaler Gateway)的地址。备用 NetScaler Gateway 是一项可选策略,当与“要求联机会话”策略结合使用时,将强制应用程序对特定网关重新进行身份验证。此类网关通常具有不同的(具有更高保障)身份验证要求和流量管理策略。如果保留为空,则将始终使用服务器的默认设置。默认值为空。
设备安全
阻止越狱或获得 Root 权限
如果设置为 On(启用),则将在设备已越狱或已获得 root 权限后锁定应用程序。如果设置为 Off(禁用),则即使设备已越狱或已获得 root 权限,应用程序仍可运行。默认值为开。
要求设备加密
如果设置为 On(启用),则在设备未配置加密时将锁定应用程序。如果设置为关,则即使设备未配置加密,也允许应用程序运行。默认值为关。
注意:
此策略仅在 Android 3.0 (Honeycomb) 上受支持。将此策略设置为开将阻止应用程序在较旧的版本上运行。
需要设备锁定
如果选择设备 PIN 码或通行码,则当设备没有 PIN 码或通行码时,应用程序将锁定。如果设置为设备图案形屏幕锁,则在设备未设置图案锁时,应用程序会锁定。如果设置为 Off(禁用),则即使设备未设置 PIN、通行码或图案锁,也允许应用程序运行。默认值为关。
设备 PIN 码或通行码要求至少使用 Android 4.1 版本 (Jelly bean)。将此策略设置为设备 PIN 码或通行码将阻止应用程序在较旧的版本上运行。
在 Android M 设备上,设备 PIN 或通行码和设备图案屏幕锁选项具有相同的效果:启用任一选项后,如果设备未设置 PIN、通行码或图案屏幕锁,应用程序将被锁定。
网络要求
需要 Wi-Fi
如果设置为开,则当设备未连接到 Wi-Fi 网络时,应用程序将被锁定。如果设置为关,则当设备具有活动连接(例如 4G/3G、LAN 或 Wi-Fi 连接)时,应用程序可以运行。默认值为关。
允许使用的 Wi-Fi 网络
允许连接的 Wi-Fi 网络的逗号分隔列表。如果网络名称中包含任何非字母数字字符(包括逗号),则必须用双引号将名称括起来。应用程序仅会在连接到所列网络之一的情况下运行。如果留空,则允许所有网络。此值不会影响与手机网络的连接。默认值为空。
其他访问
应用程序更新宽限期(小时)
定义在系统检测到可用应用程序更新时,可继续使用应用程序的宽限期。默认值为 168 小时(7 天)。
注意:
不建议使用 0,因为该值会立即阻止使用正在运行的应用程序,直至下载并安装更新(但不会向用户发出任何警告)。此值会导致出现运行该应用程序的用户被强制退出应用程序的情况(可能会丢失工作),以遵从所需的更新。
禁用所需的升级
禁用用户升级到 App Store 中的最新版本的应用程序的要求。默认值为开。
锁定时擦除应用程序数据
锁定应用程序后,擦除数据并重置应用程序。如果设置为 Off(禁用),锁定应用程序时将不擦除应用程序数据。默认值为关。
应用程序可能由于以下任何原因而锁定:
- 用户丢失应用程序授权
- 应用程序订阅被删除
- 帐户已删除
- Secure Hub 已卸载
- 应用程序身份验证失败的次数过多
- 检测到已越狱的设备(根据策略设置)
- 设备被其他管理操作置于锁定状态
活动轮询期限(分钟)
应用程序启动时,MDX 框架将轮询 Citrix Endpoint Management 以确定当前应用程序和设备状态。如果能够访问运行 Endpoint Management 的服务器,该框架将返回与设备的锁定/擦除状态和应用程序的启用/禁用状态有关的信息。无论是否能够访问该服务器,都会根据活动轮询期限时间间隔安排后续的轮询。超过此期限后,将重新尝试执行新轮询。默认值为 60 分钟(1 小时)。
重要:
只有在应用程序面临高风险时才将此值设置为低于默认值,否则性能可能会受到影响。
加密
加密类型
允许您选择 MDX 还是设备平台负责处理数据加密。如果选择 MDX 加密,MDX 会加密数据。如果选择强制合规的平台加密,设备平台将对数据进行加密。默认值为 MDX 加密。
不合规设备行为
允许您在设备不符合加密的最低合规性要求时选择一项操作。选择允许应用程序允许应用程序正常运行。选择允许应用程序在显示警告后运行以便应用程序在显示警告后运行。选择阻止以阻止应用程序运行。默认值为允许应用程序在显示警告后运行。
加密密钥
允许用于派生加密密钥的密钥永久保留在设备上。允许脱机访问是唯一可用的选项。
Citrix 建议您将身份验证策略设置为启用网络登录或脱机密码质询,以保护对加密内容的访问。
私密文件加密
控制位于以下位置的私密数据文件的加密:/data/data/<appname> 和 /mnt/sdcard/Android/data/<appname>。
已禁用选项表示专用文件未加密。安全组选项使用由同一安全组中的所有 MDX 应用程序共享的密钥对专用文件进行加密。应用程序选项使用特定于此应用程序的密钥对私密文件进行加密。 默认值为安全组。
私密文件加密排除项
包含以逗号分隔的文件路径列表。每个路径都是一个正则表达式,代表一个或多个加密的文件。文件路径相对于内部和外部沙盒。默认值为空。
排除项仅适用于以下文件夹:
-
内部存储:
/data/data/<your_package_name>
-
SD 卡:
/storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>
/storage/emulated/legacy/Android/data/<your_package_name>
示例
要排除的文件 | 私密文件加密排除项中的值 |
---|---|
/data/data/com.citrix.mail/files/a.txt | ^files/a.txt |
/storage/emulated/0/Android/data/com.citrix.mail/files 中的所有文本文件 | ^files/(.)+.txt$ |
/data/data/com.citrix.mail/files 中的所有文件 | ^files/ |
公用文件的访问限制
包含以逗号分隔的列表。每个条目都是一个正则表达式路径,后跟 (NA)、(RO) 或 (RW)。匹配路径的文件仅限于无访问权限、只读或读取/写入权限。按顺序处理列表,第一个匹配路径将用于设置访问限制。默认值为空。
仅当启用公用文件加密时才会强制执行此策略,即从禁用选项更改为安全组或应用程序选项。此策略仅适用于未加密的现有公用文件,并指定了对这些文件进行加密的时间。
要排除的文件 | 私密文件加密中的值 |
---|---|
外部存储上的 Downloads 文件夹(只读) | EXT:^Download/(RO) |
虚拟存储上的 Music 文件夹中的所有 MP3 文件(无访问权限) | VS:^Music/(.)+.mp3$(NA) |
公用文件加密
控制公共文件的加密。如果设置为 Disabled(已禁用),则不加密公用文件。如果设置为 SecurityGroup(安全组),则使用由同一安全组中的所有 MDX 应用程序共享的密钥对公用文件进行加密。如果设置为 Application(应用程序),使用此应用程序独有的密钥对公共文件进行加密。
默认值为安全组。
公用文件加密排除项
包含以逗号分隔的文件路径列表。每个路径都是一个正则表达式,代表一个或多个不加密的文件。文件路径相对于默认外部存储和任何设备特定的外部存储。
公用文件加密排除项只包括外部文件夹位置。
示例
要排除的文件 | 公用文件加密排除项中的值 |
---|---|
SD 卡上的 Downloads 文件夹 | 下载 |
Music 文件夹中的所有 MP3 文件 | ^Music/(.)+.mp3$ |
公用文件迁移
仅当启用了“Public file encryption”(公共文件加密)策略时才会强制执行此策略,即从 Disabled(已禁用)更改为 SecurityGroup(安全组)或 Application(应用程序)。此策略仅适用于未加密的现有公用文件,并指定了对这些文件进行加密的时间。默认值为 Write (RO/RW)(写入(RO/RW))。
禁用选项表示现有文件未加密。写入(RO/RW) 选项仅在为只写或读/写访问权限打开现有文件时对其进行加密。任何选项将在任何模式下打开现有文件时均对其进行加密。选项:
- 已禁用。不对现有文件进行加密。
- 写入(只写/读写)。仅在为只读或读/写访问权限打开现有文件时对其进行加密。
- 任意。在任何模式下打开现有文件时均对其进行加密。
备注:
- 在每种情况下,新文件或被覆盖的现有未加密文件将加密替换文件。
- 加密现有的公用文件将使其他不具有相同加密密钥的应用程序无法使用该文件。
应用程序交互
安全组
如果您希望 Citrix Endpoint Management 托管的所有移动应用程序相互交换信息,请将此字段留空。定义安全组名称,以管理特定应用程序集(例如财务或人力资源)的安全设置。
小心:
如果您为现有应用程序更改了此策略,则用户必须删除并重新安装该应用程序才能应用策略更改。
剪切和复制
阻止、允许或限制此应用程序的剪贴板剪切和复制操作。如果选择限制,复制的剪贴板数据将放置在仅对 MDX 应用程序可用的专用剪贴板中。默认值为限制。
粘贴
阻止、允许或限制此应用程序的剪贴板粘贴操作。如果选择限制,粘贴的剪贴板数据来源于仅对 MDX 应用程序可用的专用剪贴板。默认为不限制。
文档交换(打开方式)
阻止、允许或限制此应用程序的文档交换操作。如果设置为限制,则只能与其他 MDX 应用程序交换文档,以及与“受限制的打开方式例外列表”策略中指定的应用程序异常进行交换。如果设置为不限制,则必须将“私密文件加密”和“公用文件加密”策略设置为禁用,以便用户可以在未打包的应用程序中打开文档。默认值为限制。
从过滤中排除的 URL 域
此策略用于从 MDX 过滤中排除特定的出站 URL。以下完全限定域名 (FQDN) 或 DNS 后缀的逗号分隔列表将从所有 MDX 过滤中被排除。如果此策略中包含任何条目,则主机字段与列表中至少一个项目相匹配(通过 DNS 后缀匹配)的 URL 将被原样发送至默认浏览器。默认值为空。
允许的 Secure Web 域
此策略仅对 URL 过滤策略未排除的域有效。添加在“文档交换”设置为“限制”时重定向到 Secure Web 应用程序的完全限定域名(FQDN)或 DNS 后缀的列表,以逗号分隔。
如果此策略包含任何条目,则仅在“文档交换”策略设置为“限制”时将主机字段至少匹配列表中的一个项目(通过 DNS 后缀匹配)的 URL 重定向到 Secure Web 应用程序。
所有其他 URL 都发送到默认的 Android Web 浏览器(绕过“文档交换限制”策略)。默认值为空。
受限制的打开方式例外列表
“文档交换(打开方式)”策略设置为限制时,允许将此 Android 意向列表传递到非托管应用程序。需要熟悉 Android 意向才能向列表中添加过滤器。过滤器可以指定操作、软件包、方案或任意组合。
示例
{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->
小心:
请务必考虑此策略对安全性的潜在影响。例外列表允许内容在非托管应用程序与 MDX 环境之间传播。
入站文档交换(打开方式)
阻止、限制或允许此应用程序的入站文档交换操作。如果选择限制,则只能与其他 MDX 应用程序交换文档。默认为不限制。
如果设置为阻止或限制,则您可以使用“入站文档交换白名单”策略指定可向此应用程序发送文档的应用程序。有关其他策略交互的信息,请参阅“阻止库”策略。
选项:不限制、阻止或限制
入站文档交换白名单
将“入站文档交换”策略设置为“限制”或“阻止”时,允许此逗号分隔的应用程序 ID 列表(包括非 MDX 应用程序)向应用程序发送文档。此策略处于隐藏状态,无法编辑。
连接安全级别
确定连接使用的 TLS/SSL 的最低版本。如果选择 TLS,连接将支持所有 TLS 协议。如果选择 SSLv3 和 TLS,连接将支持 SSL 3.0 和 TLS。默认值为 TLS。
应用程序限制
重要:
请务必考虑用于阻止应用程序访问或使用电话功能的策略对安全性的潜在影响。当那些策略设置为关时,内容可以在非托管应用程序与安全的环境之间传播。
阻止相机
如果设置为开,则将阻止应用程序直接使用摄像头硬件。默认值为开。
阻止库
如果设置为开,则阻止应用程序访问设备上的库。默认值为关。此策略与“入站文档交换(打开方式)”策略结合使用。
- 如果“入站文档交换(打开方式)”策略设置为限制,在托管应用程序中工作的用户将无法从库中附加图像,而无论“阻止库”策略设置为何。
- 如果“入站文档交换(打开方式)”策略设置为不限制,在托管应用程序中工作的用户会遇到以下情况:
- 如果“阻止库”设置为关,则用户可以附加图像。
- 如果“阻止库”设置为开,则将阻止用户附加图像。
阻止麦克风录音
如果设置为开,则将阻止应用程序直接使用麦克风软件。默认值为开。
阻止定位服务
如果设置为开,则将阻止应用程序使用定位服务组件(GPS 或网络)。对于 Secure Mail,默认值为关。
阻止 SMS 撰写
如果设置为开,则将阻止应用程序使用用于从该应用程序发送 SMS/文本消息的 SMS 撰写功能。 默认值为开。
阻止屏幕捕获
如果设置为开,则将阻止用户在应用程序运行期间生成屏幕截图。此外,当用户切换应用程序时,会遮蔽应用程序屏幕。默认值为开。
使用 Android 近场通信 (Near Field Communication, NFC) 功能时,某些应用程序在执行无线收发内容之前将创建自身的屏幕快照。要在打包应用程序中启用该功能,请将阻止屏幕捕获策略更改为关。
阻止设备传感器
如果设置为开,则将阻止应用程序使用设备传感器(例如加速计、运动传感器和陀螺仪)。默认值为开。
阻止 NFC
如果设置为开,则将阻止应用程序使用近场通信 (Near Field Communication, NFC)。默认值为开。
阻止应用程序日志
如果设置为开,则会阻止应用程序使用移动生产力应用程序诊断日志记录设备。如果设置为关,则将记录应用程序日志,并且可以使用 Secure Hub 电子邮件支持功能收集应用程序日志。默认值为关。
阻止打印
如果设置为开,则将阻止应用程序打印数据。如果应用程序具有共享命令,则必须将“文档交换(打开方式)”设置为限制或阻止以完全阻止打印。默认值为开。
启用 ShareFile
允许用户使用 ShareFile 传输文件。默认值为开。
应用程序网络访问
网络访问
注意:
通道 - Web SSO 是设置中安全浏览的名称。该行为是相同的。
设置选项如下所示:
- 使用以前的设置:默认值为您已在更早版本的策略中设置的值。如果更改了此选项,则不得还原到此选项。另请注意,在用户将应用程序升级到版本 18.12.0 或更高版本之前,对新策略所做的更改将不起作用。
- 阻止:由您的应用程序使用的网络 API 将失败。根据以前的原则,必须正确处理此类故障。
- 不限制:所有网络调用都将直接传输,而不通过通道传输。
- 通道 - 完整 VPN:来自托管应用程序的所有流量均通过 Citrix Gateway 进行通道传输。
- 通道 - Web SSO:重写 HTTP/HTTPS URL。此选项仅允许通过通道传输 HTTP 和 HTTPS 流量。通道 - Web SSO 的一个重要优点是可针对 HTTP 和 HTTPS 流量进行单点登录 (SSO),以及执行 PKINIT 身份验证。在 Android 中,此选项的设置开销低,因此是适用于 Web 浏览操作类型的优先选项。
如果选择其中一个通道模式,则在此初始模式下创建返回到企业网络的 PerApp VPN 通道。此处使用 Citrix Gateway 拆分通道设置。Citrix 建议对通过客户端证书或端到端 SSL 与企业网络中的资源建立的连接使用通道完整 VPN。Citrix 建议您对需要单点登录的连接使用通道 - Web SSO。
要求 Micro VPN 会话
如果设置为是,用户必须连接到企业网络并且具有活动会话。如果设置为否,则不需要活动会话。默认值是使用以前的设置。对于新上载的应用程序,默认值为否。在升级到此策略之前,无论选择哪个设置仍有效,直到选择除使用以前的设置之外的选项为止。
排除列表
要直接访问而非通过 VPN 连接的 FQDN 或 DNS 的逗号分隔列表。当在拆分通道反向模式下配置了 Citrix Gateway 时,此策略仅适用于通道 - Web SSO 模式。
阻止建立 localhost 连接
如果设置为开,则不允许应用程序建立 localhost 连接。Localhost 是一个地址(例如 127.0.0.1),用于在设备上进行的通信。localhost 将跳过本地网络接口硬件并访问该主机上运行的网络服务。如果设置为关,此策略将覆盖网络访问策略,这意味着如果设备在本地运行代理服务器,应用程序可以在安全容器外部进行连接。默认值为关。
证书标签
与 StoreFront 证书集成服务结合使用时,此标签将标识此应用程序所需的特定证书。如果未提供任何标签,证书将不可与公钥基础结构 (PKI) 结合使用。默认值为空(不使用证书)。
应用程序日志
默认日志输出
确定 Citrix Endpoint Management 应用程序诊断日志记录工具默认使用的输出媒介。可能的媒介为文件、控制台或两者。默认值为文件。
默认日志级别
控制移动生产力应用程序诊断日志记录工具的默认详细程度。较高级别的数字包括较详细的日志记录。
- 0 - 不记录任何内容
- 1 - 严重错误
- 2 - 错误
- 3 - 警告
- 4 - 信息消息
- 5 - 详细信息消息
- 6 到 15 - 调试值 1 到 10
默认值为级别 4(信息消息)。
日志文件数上限
限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件数。最小值为 2。最大值为 8。默认值为 2。
日志文件大小上限
限制滚动更新之前移动生产力应用程序诊断日志记录工具保留的日志文件的大小 (MB)。最小值为 1 MB。最大值为 5 MB。默认值为 2 MB。
重定向应用程序日志
如果设置为开,则会截获系统或控制台日志并将其从应用程序重定向到移动生产力应用程序诊断工具。如果此设置设为关,则不会截获系统的应用程序使用情况或控制台日志。默认值为开。
加密日志
如果设置为开,Citrix Endpoint Management 将在记录日志时对诊断日志加密。如果设置为关,诊断日志在应用程序沙盒中将保持不加密状态。
小心:
根据配置的日志级别,日志加密功能可能会显著影响应用程序性能和电池寿命。
默认值为关。
应用程序地理围栏
中心点经度
限制在其中运行应用程序的点/半径地理围栏的中心点的经度(X 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。值必须以带符号的度数格式 (DDD.dddd) 进行表示,例如 -31.9635。西部经度的前面必须带减号。默认值为 0。
中心点纬度
限制在其中运行应用程序的点/半径地理围栏的中心点的纬度(Y 坐标)。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。
这些值必须以带符号的度数格式 (DDD.dddd) 进行表示,例如 -43.06581。南部纬度的前面必须带减号。默认值为 0。
半径
允许在其中运行应用程序的地理围栏的半径。当在所配置的地理围栏之外操作时,应用程序将保持锁定状态。 该值必须以米表示。 如果设置为零,地理围栏将处于禁用状态。默认值为 0(禁用)。
分析
Google Analytics 的详细信息
Citrix 收集分析数据以提高产品质量。选择“匿名”将不包括公司的可识别信息。
应用程序设置
Secure Mail Exchange Server
Exchange Server 或 IBM Notes Traveler 服务器(仅限 iOS)的完全限定域名 (FQDN)。默认值为空。如果在此字段中提供了一个域名,则用户不能对其进行编辑。如果留空此字段,则用户可提供自己的服务器信息。
小心:
如果您为现有应用程序更改了此策略,则用户必须删除并重新安装该应用程序才能应用策略更改。
Secure Mail 用户域
Exchange 用户或(仅限 iOS)Notes 用户的默认 Active Directory 域名。默认值为空。
后台网络服务
允许后台网络访问使用的服务地址的 FQDN 和端口。此值可能是 Exchange Server 或 ActiveSync 服务器,位于您的内部网络中或 Secure Mail 连接到的其他网络中(例如 mail.example.com:443)。
如果配置了此策略,请将“网络访问”策略设置为通过通道连接到内部网络。仅当您配置了“网络访问”策略时,此策略才生效。当 Exchange Server 驻留在您的内部网络中时,并且您想要使用 NetScaler Gateway 代理与内部 Exchange Server 的连接时,可使用此策略。
默认值为空,表示后台网络服务不可用。
后台服务票据过期日期
后台网络服务票据保持有效的时间段。过期后,需要企业登录以续订票据。默认值为 168 小时(7 天)。
后台网络服务网关
用于后台网络服务的备用网关地址,格式为 FQDN:port。此地址是 Secure Mail 用于连接到内部 Exchange Server 的 Citrix Gateway FQDN 和端口号。在 Citrix Gateway 配置实用程序中,您必须配置 Secure Ticket Authority (STA) 并将此策略绑定到虚拟服务器。
默认值为空,表示备用网关不存在。
如果配置了此策略,请将“网络访问”策略设置为通过通道连接到内部网络。仅当您配置了“网络访问”策略时,此策略才生效。当 Exchange Server 驻留在您的内部网络中,并且您想要使用 Citrix Gateway 作为连接到内部 Exchange Server 的代理时,请使用此策略。
导出联系人
重要:
如果用户可直接访问您的 Exchange Server(即在 Citrix Gateway 外),请勿启用此功能。否则,设备中和 Exchange 中的联系人会重复。
如果设置为关,则阻止将 Secure Mail 联系人单向同步到设备,并阻止共享 Secure Mail 联系人(例如 vCard)。默认值为关。
要导出的联系人字段
控制要导出到通讯簿的联系人字段。如果选择全部,将导出所有联系人字段。如果选择姓名和电话,则将导出所有与姓名和电话相关的联系人字段。如果选择姓名、电话和电子邮件,则将导出所有与姓名、电话和电子邮件相关的联系人字段。默认值为全部。
接受所有 SSL 证书
如果设置为开,Secure Mail 将接受所有 SSL 证书(无论是否有效)并允许进行访问。如果设置为关,Secure Mail 会在发生证书错误时阻止访问,并显示警告。默认值为关。
使用安全连接
如果设置为开,Secure Mail 将使用安全连接。如果设置为关,Secure Mail 将不使用安全连接。默认值为开。
信息权限管理
如果设置为开,则 Secure Mail 支持 Exchange 信息权限管理 (IRM) 功能。默认值为关。
控制锁定屏幕通知
控制是否在锁定的设备屏幕上显示邮件和日历通知。如果选择允许,则将显示通知中包含的所有信息。如果选择阻止,则不显示通知。如果选择了邮件发件人或事件标题,则仅显示电子邮件发件人的姓名或日历事件的标题。如果设置为仅计数,则仅会显示邮件和会议邀请的数量以及日历提醒的时间。默认值为允许。
默认同步时间间隔
指定 Secure Mail 的默认同步时间间隔。Secure Mail 用户可以更改默认设置。
Exchange ActiveSync 邮箱策略设置电子邮件过滤器过滤的最长时间段的优先级高于此策略。如果指定的默认同步时间间隔大于电子邮件过滤器过滤的最长时间段,则将改为使用电子邮件过滤器过滤的最长时间段设置。Secure Mail 仅会显示小于 Active Sync 电子邮件过滤器过滤的最长时间段设置的同步时间间隔值。
默认值是 3 天。
允许通过 Wi-Fi 下载附件
如果设置为开,则启用 Secure Mail 的“下载附件”选项,以便默认情况下用户能够通过内部 Wi-Fi 网络下载附件。如果设置为关,则禁用 Secure Mail 的“下载附件”选项,以便默认情况下用户不能通过 Wi-Fi 下载附件。默认值为关。
允许存储脱机文档
指定用户是否能够在设备上存储脱机文档以及可以存储的时间。默认值是无限制。
启用自动保存电子邮件草稿
如果设置为开,Secure Mail 支持自动将邮件保存到草稿文件夹中。默认值为开。
初始身份验证机制
此策略指示是使用 MDX 提供的邮件服务器地址填充首次使用预配屏幕上的地址字段,还是使用用户的电子邮件地址。默认值为邮件服务器地址。
初始身份验证凭据
此策略定义必须选择作为用户名以填充到初始首次使用置备屏幕中的值。默认值为注册用户名。
启用周数
如果设置为开,则日历视图中包括周数。默认值为关。
电子邮件分类
如果设置为开,Secure Mail 将支持电子邮件的 SEC(安全性)标记和 DLM(分发限制标记)。分类标记在电子邮件标头中作为 X 保护标记的值显示。请务必配置相关的电子邮件分类策略。默认值为关。
电子邮件分类标记
指定要对最终用户可用的分类标记。如果列表为空,Secure Mail 将不包括保护标记列表。标记列表中包含冒号分隔的值对。每个值对中都包含 Secure Mail 中显示的值以及标记值(在 Secure Mail 中附加到电子邮件主题和标头的文本)。例如,在标记对 "UNOFFICIAL,SEC=UNOFFICIAL;"
中,列表值为 “UNOFFICIAL”,标记值为 “SEC=UNOFFICIAL”。
电子邮件分类命名空间
根据所使用的分类标准指定电子邮件标头中所需的分类命名空间。例如,命名空间 gov.au 在标头中显示为 NS=gov.au。默认值为空。
电子邮件分类版本
根据所使用的分类标准指定电子邮件标头中所需的分类版本。例如,版本 2012.3 在标头中显示为 VER=2012.3。默认值为空。
默认电子邮件分类
指定当用户未选择标记时,Secure Mail 对电子邮件应用的保护标记。此值必须在“电子邮件分类标记”策略的列表中。默认值为 UNOFFICIAL。
邮件搜索限制
限制可从移动设备访问的历史邮件数量,这是通过限制包括在邮件服务器搜索中的天数实现的。要限制同步到移动设备的邮件数量,请配置最大同步间隔策略。默认值是无限制。
最大同步间隔
通过限制同步期限控制在移动设备本地存储的邮件数量。
要限制可在设备邮件服务器上检索的时间段,请配置“邮件服务器搜索限制”策略。
值包括:
- 3 天
- 1 周
- 2 周
- 1 个月
- 全部
默认值为全部。
日历 Web 和音频选项
- GoToMeeting 和用户输入 - 选择此选项时,用户能够选择自己想要创建的会议类型。选项包括 GoToMeeting(打开一个 GoToMeeting 页面)以及其他会议(允许用户手动输入会议信息)。
- 仅输入用户 - 选择此选项时,用户直接转至“其他会议”页面,可以在该页面上手动输入会议信息。
S/MIME 公用证书来源
指定 S/MIME 公用证书的来源。如果设置为 Exchange,Secure Mail 将从 Exchange Server 中提取证书。如果设置为 LDAP,Secure Mail 将从 LDAP 服务器中提取证书。默认值为 Exchange。
LDAP 服务器地址
LDAP 服务器地址,包括端口号。默认值为空。
LDAP 基础 DN
LDAP 基础标识名。默认值为空。
匿名访问 LDAP
如果此策略设置为开,Secure Mail 不需要事先进行身份验证即可搜索 LDAP。默认值为关。
允许使用的电子邮件域
以逗号分隔的格式定义允许使用的电子邮件域的列表,例如 server.company.com,server.company.co.uk。默认值为空,这表示 Secure Mail 不会过滤电子邮件域,并且支持所有电子邮件域。Secure Mail 会将列出的域与电子邮件地址中的域名进行匹配。
例如,当 server.company.com 为列出的域名,并且电子邮件地址为 user@internal.server.company.com 时,Secure Mail 将支持该电子邮件地址。
推送通知
启用与邮箱活动有关的基于 FCM 的通知。如果设置为开,Secure Mail 将支持推送通知。默认值为关。
推送通知 EWS 主机名
为邮件托管 Exchange Web Services (EWS) 的服务器。值必须为 EWS 的 URL 以及端口号。默认值为空。
推送通知地理区域
面向 Secure Mail 用户的 FCM 主机所在的区域。选项包括美洲地区、EMEA 和 PAC。默认值为美洲地区。
在身份验证失败时尝试迁移用户名
此策略将尝试将 Exchange 用户名迁移到 UPN 以进行身份验证。默认值为关。
报告网络钓鱼邮件地址
如果已配置,您可以向指定的电子邮件地址或逗号分隔的电子邮件地址列表报告可疑的网络钓鱼邮件。默认值为空。如果未配置此策略,您将无法报告网络钓鱼邮件。
报告网络钓鱼机制
此策略指示用于报告可疑网络钓鱼邮件的机制。
- 通过附件进行报告(.eml) – 以附件格式报告网络钓鱼邮件。该附件会被发送到在“报告网络钓鱼邮件地址”策略中配置的某个电子邮件地址或以逗号分隔的电子邮件地址的列表。
- 通过转发进行报告 – 以转发邮件的形式报告网络钓鱼邮件。该邮件会被发送到在“报告网络钓鱼邮件地址”策略中配置的某个电子邮件地址或以逗号分隔的电子邮件地址的列表。
注意:
此策略将仅适用于 Microsoft Exchange Server。
默认值为“通过附件进行报告(.eml)”。
Skype for Business 会议域
此策略包含用于 Skype for Business 会议的域的列表,以逗号分隔。 Secure Mail 已处理具有以下 URL 前缀的会议:
https://join
https://meet
https://lync
利用此策略,可以在表单 https://*domain*
中添加其他 Skype for Business 域。该域可以是字母数字字符的字符串,并且不能包含任何特殊字符。请勿输入前导 https://
或后续点。
示例
如果策略值为 customDomain1,customDomain2
,则 Skype for Business 的受支持 URL 前缀为:
https://customDomain1
http://customDomain1
https://customDomain2
http://customDomain2
默认值为空。
导出日历
此策略允许将 Secure Mail 日历事件导出到您的设备或个人日历。您可以在您的个人日历中查看您的事件。您可以使用 Secure Mail 编辑事件。默认值为会议时间。
以下 MDX 策略值适用于您的个人日历中显示的日历事件字段:
- 无(不导出)
- 会议时间
- 会议时间、地点
- 会议时间、主题、地点
- 会议时间、可用性、与会者、主题、地点、备注
针对 Office 365 的 OAuth 支持
对 O365 使用新式验证
如果此策略设置为开,Secure Mail 将在 Office 365 中配置帐户时使用 OAuth 协议进行身份验证。如果设置为关,Secure Mail 将使用基本身份验证。默认值为关。
可信 Exchange Online 主机名
定义在配置帐户时使用 OAuth 机制进行身份验证的可信 Exchange Online 主机名的列表。此值是逗号分隔的格式,例如 server.company.com, server.company.co.uk。如果列表为空,Secure Mail 将对帐户配置使用基本身份验证。默认值为 outlook.office365.com。
可信 AD FS 主机名
定义密码在 Office 365 OAuth 身份验证过程中填充的 Web 页面的可信 AD FS 主机名列表。此值是逗号分隔的格式,例如 sts.companyname.com
, sts.company.co.uk
。如果该列表为空,Secure Mail 将不自动填充密码。Secure Mail 将列出的主机名与 Office 365 身份验证过程中遇到的 Web 页面的主机名进行匹配,并检查页面是否使用 HTTPS 协议。
例如,当 sts.company.com 是列出的一个主机名时,如果用户导航到 https://sts.company.com
,则在页面具有密码字段的情况下,Secure Mail 将填充密码。默认值为 login.microsoftonline.com
。
新式验证的自定义用户代理
此策略允许您要更改新式验证的默认用户代理字符串。 如果已配置,此用户代理字符串将用于对 Microsoft AD FS 进行身份验证。如果未配置此策略,则在新式验证期间将使用默认 Secure Mail 用户代理。
Slack 集成
启用 Slack
阻止或允许 Slack 集成。如果设置为开,Secure Mail 界面将包括各种 Slack 功能。如果设置为关,Secure Mail 界面将不包括 Slack 功能。
Slack 工作区名称
贵公司的 Slack 工作区名称。如果提供了名称,Secure Mail 将在登录期间预填充该工作区名称。如果未提供名称,用户必须输入工作区名称 (name.slack.com)。