设备策略
可以通过创建策略,配置 XenMobile 与您的设备的交互方式。尽管很多策略对所有设备通用,但是每种设备均具有一组特定于其操作系统的策略。因此,您可能会发现平台之间的差异,甚至 Android 设备的不同制造商之间的差异。
有关每个设备策略的摘要说明,请参阅本文中的设备策略摘要。
注意:
如果您的环境配置了组策略对象 (GPO):
为 Windows 10 和 Windows 11 设备配置 XenMobile 设备策略时,请记住以下规则。如果已注册的一台或多台设备上的某个策略冲突,则优先应用与 GPO 对应的策略。
要查看 Android Enterprise 容器支持的策略,请参阅 Android Enterprise。
必备条件
- 创建计划使用的任何交付组。
- 安装所有必需的 CA 证书。
添加设备策略
创建设备策略的基本步骤如下:
- 为策略命名并添加说明。
- 为一个或多个平台配置策略。
- 创建部署规则(可选)。
- 将策略分配到交付组。
- 配置部署计划(可选)。
要创建和管理设备策略,请转到配置 > 设备策略。
要添加策略,请执行以下操作:
-
在设备策略页面上,单击添加。将显示添加新策略页面。
-
单击一个或多个平台可查看适用于选定平台的设备策略的列表。单击某个策略名称可继续添加该策略。
还可以在搜索框中键入策略的名称。随着键入,将显示可能的匹配项。如果列表中存在您的策略,请单击此策略。只有选中的策略保留在结果中。单击此策略以打开其策略信息页面。
-
选择要包含在策略中的平台。选定平台的配置页面显示在步骤 5 中。
-
完成策略信息页面,然后单击下一步。策略信息页面收集策略名称等信息,以帮助您识别和跟踪自己的策略。此页面在所有策略之间相似。
-
完成平台页面。显示在步骤 3 选择的每个平台的平台页面。这些页面因策略而异。策略可能会因平台而异。并非所有策略都适用于所有平台。
一些页面包括项目表。要删除现有项目,请将鼠标悬停在包含此列表的行上方,然后单击右侧的垃圾桶图标。在确认对话框中,单击删除。
要编辑现有项目,请将鼠标悬停在包含此列表的行上方,然后单击右侧的铅笔图标。
配置部署规则、分配和计划
有关配置部署规则的详细信息,请参阅部署资源。
-
在平台页面上,展开部署规则,然后配置以下设置。默认情况下将显示基础选项卡。
- 在此列表中,单击选项以确定部署策略的时间。可以选择在满足全部条件时部署策略,或在满足任意条件时部署策略。默认选项设置为全部。
- 单击新建规则以定义条件。
- 在列表中,单击条件,例如设备所有权和 BYOD。
- 如果要添加更多条件,请再次单击新建规则。您可以添加任意多项条件。
-
单击高级选项卡以使用布尔选项组合规则。此时将显示您在基础选项卡上选择的条件。
-
您可以使用更多高级布尔逻辑来组合、编辑或添加规则。
- 单击 AND、OR 或 NOT。
-
在列表中,选择要添加到规则的条件。然后单击右侧的加号 (+) 向规则添加条件。
您随时可以通过单击选择某个条件,然后单击编辑以更改此条件或单击删除以删除此条件。
- 单击新建规则添加其他条件。
-
单击下一步移到下一个平台页面,或者在完成所有平台页面后移到分配页面。
-
在分配页面上,选择要应用策略的交付组。如果单击某个交付组,此组将显示在用于接收应用程序分配的交付组框中。
用于接收应用程序分配的交付组在您选择某个交付组之后才显示。
-
在分配页面上,展开部署计划,然后配置以下设置:
- 在部署旁边,单击开以计划部署,或单击关以阻止部署。默认选项设置为开。
- 在部署计划旁边,单击立即或稍后。默认选项设置为立即。
- 如果单击以后,请单击日历图标,然后选择部署的日期和时间。
- 在部署条件旁边,单击每次连接时或单击仅当之前的部署失败时。默认选项设置为每次连接时。
-
在为始终启用的连接部署旁边,单击开或关。默认选项设置为关。
注意:
如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。始终启用选项不适用于 iOS 设备。
配置的部署计划对所有平台相同。您所做的更改适用于所有平台,为始终启用的连接部署除外,它不适用于 iOS。
-
单击保存。
该策略显示在设备策略表中。
从设备中删除设备策略
从设备中删除设备策略的步骤取决于平台。
-
Android
要从 Android 设备中删除设备策略,请使用 XenMobile 卸载设备策略。有关信息,请参阅 XenMobile 卸载设备策略。
-
iOS 和 macOS
要从 iOS 或 macOS 设备中删除设备策略,请使用“配置文件删除”设备策略。在 iOS 和 macOS 设备上,所有策略都属于 MDM 配置文件的一部分。因此,可以仅针对要删除的策略创建“配置文件删除”设备策略。策略和配置文件的其余部分仍保留在设备上。有关信息,请参阅“配置文件删除”设备策略。
-
Windows 10 和 Windows 11
不能直接从 Windows Desktop 或 Tablet 设备中删除设备策略。但是,可以使用以下方法之一:
-
取消注册设备,然后将新的一组策略推送到设备。用户随后将重新注册以继续。
-
推送安全操作以选择性擦除特定设备。该操作将从设备中删除所有企业应用程序和数据。然后从仅包含该设备的交付组中删除设备策略,并将该交付组推送给设备。用户随后将重新注册以继续。
-
-
Chrome OS
要从 Chrome OS 设备中删除某个设备策略,可以从仅包含该设备的交付组中删除该设备策略。您随后将该交付组推送给设备。
编辑设备策略
要编辑某个策略,请选中策略旁边的复选框,以在策略列表上方显示选项菜单。或者单击列表中的某个策略,以在此列表右侧显示选项菜单。
要查看策略详细信息,请单击显示更多。
要编辑某个设备策略的所有设置,请单击编辑。
如果单击删除,将显示确认对话框。再次单击删除以删除策略。
检查策略部署状态
单击配置 > 设备策略页面上的策略行以检查其部署状态。
当策略部署处于挂起状态时,用户可以通过轻按首选项 > 设备信息 > 刷新策略从 Secure Hub 刷新策略。
过滤已添加的设备策略列表
可以按策略类型、平台和关联的交付组过滤已添加的策略列表。在配置 > 设备策略页面上,单击显示过滤器。在列表中,选择您要查看的项对应的复选框。
单击保存此视图以保存过滤器。之后过滤器的名称显示在保存此视图按钮下面的一个按钮中。
设备策略摘要
| 设备策略名称 | 设备策略说明 |
|---|---|
| AirPlay 镜像 | 将特定 AirPlay 设备(例如其他 Mac 计算机)添加到 iOS 设备。还可以使用用于将设备添加到受监督设备的允许列表中的选项。该选项仅将用户限制到允许列表中的 AirPlay 设备。 |
| AirPrint | 将 AirPrint 打印机添加到 iOS 设备上的 AirPrint 打印机列表。通过此策略可以更加轻松地为打印机和设备位于不同子网的环境提供支持。 |
| Android Enterprise 应用程序权限 | 配置对工作配置文件内部的 Android Enterprise 应用程序的请求如何处理 Google 称作“危险”权限的权限。 |
| Android Enterprise 应用程序限制 | 更新与 Android 应用程序相关联的限制。 |
| APN | 确定将设备连接到特定电话运营商的通用分组无线服务 (GPRS) 所使用的设置。大多数新式电话中已定义此设置。如果贵组织不使用使用者 APN 从移动设备连接到 Internet,请使用此策略。 |
| 应用程序访问 | 定义设备上的必需、可选或受阻止应用程序的列表。然后,可以创建自动化操作,以使设备符合此应用程序列表。 |
| 应用程序属性 | 为 iOS 设备指定各种属性,例如托管应用程序捆绑包 ID 或 PerApp VPN 标识符。 |
| 应用程序配置 | 远程配置支持托管配置的应用程序的各种设置和行为。为此,您要将 XML 配置文件(称为属性列表或 plist)部署到 iOS 设备。或者,您可以为 Windows 10 Phone 或者运行 Windows 10 或 Windows 11 的台式机或平板电脑设备部署键/值对。 |
| 应用程序清单 | 收集托管设备上的应用程序清单。之后 XenMobile 将清单与部署到这些设备的任何应用程序访问策略进行比较。这样一来,便可以检测应用程序访问允许列表或阻止列表中的应用程序,然后采取相应操作。 |
| 应用程序锁定 | 定义用户可以或无法在 iOS 或某些 Android 设备上运行的应用程序列表。 |
| 应用程序网络使用 | 设置网络使用规则,以指定 iOS 设备上托管应用程序如何使用网络(例如手机网络数据网络)。规则仅适用于托管应用程序。托管应用程序是指您通过 XenMobile 部署到用户设备的应用程序。 |
| 应用程序卸载 | 从用户设备中删除应用程序。 |
| 应用程序通知 | 控制 iOS 用户如何从指定的应用程序接收通知。 |
| 自动更新托管应用程序 | 控制 Android Enterprise 设备上安装的托管应用程序的更新方式。 |
| BitLocker | 配置在 Windows 10 和 Windows 11 设备上的 BitLocker 界面中可用的设置。 |
| 日历(CalDav) | 将日历 (CalDAV) 帐户添加到 iOS 或 macOS 设备。使用 CalDAV 帐户,用户可以将计划数据与支持 CalDAV 的任何服务器同步。 |
| 手机网络 | 配置手机网络设置。 |
| 连接管理器 | 为自动连接到 Internet 和专用网络的应用程序指定连接设置。此策略仅适用于 Windows Pocket PC。 |
| 联系人 (CardDAV) | 将 iOS 联系人 (CardDAV) 帐户添加到 iOS 或 macOS 设备。使用 CardDAV 帐户,用户可以将联系人数据与支持 CardDAV 的任何服务器同步。 |
| 控制操作系统更新 | 将最新的操作系统更新部署到支持的受监督设备。 |
| 凭据 | 启用使用 XenMobile 中的 PKI 配置进行集成身份验证。例如,使用 PKI 实体、密钥库、凭据提供程序或服务器证书。 |
| 自定义 XML | 自定义设备预配、设备功能启用、设备配置和故障管理等功能。 |
| Defender | 配置 Windows 10 和 Windows 11 台式机和平板电脑的 Windows Defender 设置。 |
| 设备运行状况证明 | 需要 Windows 10 和 Windows 11 设备报告其运行状况的状态。为此,它们向 Health Attestation Service (HAS) 发送特定数据和运行时信息以供分析。HAS 创建并返回运行状况证明证书,然后,设备将此证书发送给 XenMobile。XenMobile 收到运行状况证明证书后,根据该证书的内容,部署您设置的自动操作。 |
| 设备名称 | 在 iOS 和 macOS 设备上设置名称,以便您可以轻松识别设备。可以使用宏、文本或二者的组合定义设备名称。 |
| 教育配置 | 配置教师和学生的设备以供 Apple 教育使用。如果教师使用“课堂”应用程序,则需要配置教育配置设备策略。 |
| Exchange | 为设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。 |
| 文件 | 将为用户执行某些功能的脚本文件添加到 XenMobile。或者,您可以添加您希望 Android 设备用户能够在其设备上访问的文档文件。添加文件时,还可以指定设备上要存储该文件的目录。 |
| FileVault | 此策略允许您在已注册的 macOS 设备上启用 FileVault 设备加密。还可以控制用户在登录过程中可以跳过 FileVault 设置的次数。适用于 macOS 10.7 或更高版本。 |
| 字体 | 在 iOS 和 macOS 设备上添加字体。字体必须是 TrueType (.TTF) 字体或 OpenType (.OFT) 字体。XenMobile 不支持字体集合(.TTC 或 .OTC)。 |
| 主屏幕布局 | 指定 iOS 9.3 及更高版本的受监督设备上的 iOS 主屏幕的应用程序和文件夹布局。 |
| 导入 iOS 和 macOS 配置文件 | 将 iOS 和 macOS 设备的设备配置 XML 文件导入到 XenMobile 中。此文件包含您通过使用 Apple Configurator 准备的设备安全策略和限制。 |
| 键盘锁管理 | 控制用户在解锁设备键盘锁和工作质询键盘锁之前可用的功能。还可以控制完全托管设备和专用设备的设备键盘锁功能。例如,您可以禁用锁屏功能,例如指纹解锁、信任代理和通知。 |
| Kiosk | 限制应用程序在 Samsung SAFE 设备上的使用。您可以将可用应用程序限于特定的一个或多个应用程序。此策略对计划仅运行特定类型或类别的应用程序的企业设备很有用。此策略还允许您针对 Kiosk 模式选择设备主屏幕和锁屏界面墙纸使用的自定义图片。 |
| Knox Platform for Enterprise 密钥 | 允许您提供所需的 Samsung Knox Platform for Enterprise (KPE) 许可证信息。 |
| Launcher 配置 | 指定 Android 设备上的 Citrix Launcher 的设置,例如允许的应用程序以及 Launcher 图标的自定义徽标图像。 |
| LDAP | 提供与要用于 iOS 设备的 LDAP 服务器有关的信息,包括任何必要的帐户信息(例如 LDAP 服务器主机名)。此策略还提供了一组在查询 LDAP 服务器时使用的 LDAP 搜索策略。 |
| 位置 | 允许您在地图上对设备进行地理定位(假定该设备已为 Secure Hub 启用 GPS)。将此策略部署到设备之后,可以从 XenMobile Server 发送定位命令。之后设备会返回其位置坐标。XenMobile 还支持地理围栏和跟踪策略。 |
| 邮件 | 在 iOS 或 macOS 设备上配置电子邮件帐户。 |
| 托管域 | 定义应用于电子邮件和 Safari 浏览器的托管域。托管域可以控制哪些应用程序可以使用 Safari 打开从域下载的文档,从而保护公司数据。对于 iOS 8 及更高版本的受监管设备,可以指定 URL 或子域以控制用户通过浏览器打开文档、附件或下载内容的方式。 |
| MDM 选项 | 在受监督的 iOS 7.0 及更高版本的手机设备上管理“查找我的 iPhone 和 iPad 激活锁”。 |
| 组织信息 | 为 XenMobile 部署到 iOS 设备的警报消息指定组织信息。 |
| 通行码 | 在托管设备上强制使用 PIN 代码或密码。您可以为设备上的通行码设置复杂性和超时。 |
| 个人热点 | 允许用户不在 Wi-Fi 网络的范围内时连接到 Internet。用户通过其 iOS 设备上手机网络数据连接并使用个人热点功能进行连接。 |
| 配置文件删除 | 从 iOS 或 macOS 设备中删除应用程序配置文件。 |
| 预配配置文件 | 指定要发送到设备的企业分发预配配置文件。在开发 iOS 企业应用程序以及为其进行代码签名时,通常会包括预配配置文件。Apple 要求应用程序的配置文件在 iOS 设备上运行。如果预配配置文件缺失或已过期,用户轻按应用程序以将其打开时,应用程序将崩溃。 |
| 删除预配配置文件 | 删除 iOS 预配配置文件。 |
| 代理 | 为运行 iOS 的设备指定全局 HTTP 代理设置。只能为每个设备部署一个全局 HTTP 代理策略。 |
| 限制 | 提供在托管设备上执行锁定和控制功能的数百种选项。限制选项示例:禁用相机或麦克风、强制执行漫游规则以及强制访问第三方服务(例如应用商店)。 |
| 漫游 | 配置在 iOS 设备上是否允许语音和数据漫游。如果禁用语音漫游,会自动禁用数据漫游。 |
| 计划 | 必需策略,用于使 Android 设备重新连接到 XenMobile Server 以进行 MDM 管理、应用程序推送和策略部署。如果不向设备发送此策略并且未启用 Google FCM,设备将无法重新连接回服务器。 |
| SCEP | 将 iOS 和 macOS 设备配置为从外部 SCEP 服务器检索证书。您还可以使用 SCEP 从连接到 XenMobile 的 PKI 向设备交付证书。为此,请在分布式模式下创建 PKI 实体和 PKI 提供程序。 |
| SSO 帐户 | 创建单点登录 (SSO) 帐户,以便用户只需登录设备一次,即可访问 XenMobile 和内部公司资源。用户无需在设备上存储任何凭据。XenMobile 跨应用程序(包括 App Store 中的应用程序)使用 SSO 帐户的企业用户凭据。此策略与 Kerberos 身份验证兼容。适用于 iOS。 |
| 已订阅的日历 | 将订阅的日历添加到 iOS 设备上的日历列表。请务必先订阅某个日历,才能将其添加到用户设备上已订阅的日历列表中。 |
| 条款和条件 | 要求用户接受贵公司控制与企业网络的连接的特定策略。当用户在 XenMobile 中注册其设备时,必须接受这些条款和条件才能注册其设备。拒绝这些条款和条件会取消注册过程。 |
| 通道 | 仅用于远程支持。通过 Remote Support,您的技术支持代表能够远程控制托管的 Windows CE 和 Android 移动设备。远程支持不适用于本地群集 XenMobile Server 部署。自 2019 年 1 月 1 日起,远程支持功能不再向新客户提供。现有客户可以继续使用此产品,但 Citrix 将不提供增强功能或修复。 |
| VPN | 提供对使用传统 VPN 网关技术的后端系统的访问权限。此策略用于提供可以部署到设备的 VPN 网关连接的详细信息。XenMobile 支持多个 VPN 提供商,包括 Cisco AnyConnect、Juniper 及 Citrix VPN。如果您的 VPN 网关支持此选项,您可以将此策略链接到 CA 并按需启用 VPN。 |
| 墙纸 | 添加 .png 或 .jpg 文件,以设置 iOS 设备锁屏界面、主屏幕或二者的墙纸。要在 iPad 和 iPhone 上使用不同的墙纸,请创建不同的墙纸策略并将其部署到相应的用户。 |
| Web 内容过滤器 | 过滤 iOS 设备上的 Web 内容。XenMobile 使用 Apple 自动过滤功能和您添加到允许列表和阻止列表的站点。仅适用于受监督的 iOS 设备。 |
| Web 剪辑 | 在 Web 站点中放置快捷方式或 Web 剪辑,以便其与应用程序一起出现在用户设备上。您可以指定自己的图标来表示 iOS、macOS 和 Android 设备的 Web 剪辑。Windows 平板电脑只需要一个标签和一个 URL。 |
| Wi-Fi | 允许管理员将 Wi-Fi 路由器详细信息部署到托管设备。路由器详细信息包括 SSID、身份验证数据和配置数据。 |
| Windows 信息保护 | 指定在您为策略设置的强制级别需要 Windows 信息保护的应用程序。此策略适用于 Windows 10 和 Windows 11 受监督设备。 |
| XenMobile Store | 指定 XenMobile Store Web 剪辑是否显示在用户设备的主屏幕上。 |
| XenMobile 选项 | 配置在从 Android 设备连接到 XenMobile 时 Secure Hub 的行为。 |
| XenMobile 卸载 | 从 Android 和 Window Mobile/CE 设备中卸载 XenMobile。部署此策略时,它将从部署组中的所有设备上删除 XenMobile。 |