设备策略
您可以通过创建策略来配置 XenMobile® 与设备的交互方式。尽管许多策略适用于所有设备,但每种设备都有一组特定于其操作系统的策略。因此,您可能会发现不同平台之间,甚至不同 Android 设备制造商之间存在差异。
有关每个设备策略的摘要说明,请参阅本文中的设备策略摘要。
注意:
如果您的环境配置了组策略对象 (GPO):
在为 Windows 10 和 Windows 11 设备配置 XenMobile 设备策略时,请记住以下规则。如果一个或多个已注册设备上的策略发生冲突,则与 GPO 对齐的策略优先。
要查看 Android Enterprise 容器支持哪些策略,请参阅 Android Enterprise。
先决条件
- 创建您计划使用的任何交付组。
- 安装任何必要的 CA 证书。
添加设备策略
创建设备策略的基本步骤如下:
- 命名并描述策略。
- 为一个或多个平台配置策略。
- 创建部署规则(可选)。
- 将策略分配给交付组。
- 配置部署计划(可选)。
要创建和管理设备策略,请转至 配置 > 设备策略。
要添加策略:
-
在设备策略页面上,单击添加。添加新策略页面随即显示。
-
单击一个或多个平台以查看所选平台的设备策略列表。单击策略名称以继续添加策略。
您也可以在搜索框中键入策略名称。键入时,将显示潜在匹配项。如果您的策略在列表中,请单击它。结果中仅保留您选择的策略。单击它以打开该策略的策略信息页面。
-
选择要包含在策略中的平台。所选平台的配置页面显示在步骤 5 中。
-
完成策略信息页面,然后单击下一步。策略信息页面收集信息(例如策略名称),以帮助您识别和跟踪策略。此页面对于所有策略都类似。
-
完成平台页面。您在步骤 3 中选择的每个平台都会显示平台页面。这些页面因策略而异。策略在不同平台之间可能有所不同。并非所有策略都适用于所有平台。
某些页面包含项目表。要删除现有项目,请将鼠标悬停在包含列表的行上,然后单击右侧的垃圾桶图标。在确认对话框中,单击删除。
要编辑现有项目,请将鼠标悬停在包含列表的行上,然后单击右侧的铅笔图标。
配置部署规则、分配和计划
有关配置部署规则的更多信息,请参阅部署资源。
-
在平台页面上,展开 Deployment Rules(部署规则),然后配置以下设置。默认情况下,将显示 Base(基本)选项卡。
- 在列表中,单击选项以确定何时部署策略。您可以选择在满足所有条件时或在满足任何条件时部署策略。默认选项设置为 All(所有)。
- 单击 New Rule(新建规则)以定义条件。
- 在列表中,单击条件,例如 Device ownership(设备所有权)和 BYOD。
- 如果要添加更多条件,请再次单击 New Rule(新建规则)。您可以根据需要添加任意数量的条件。
-
单击 Advanced(高级)选项卡以使用布尔选项组合规则。您在 Base(基本)选项卡上选择的条件将显示。
-
您可以使用更高级的布尔逻辑来组合、编辑或添加规则。
- 单击 AND(与)、OR(或)或 NOT(非)。
-
在列表中,选择要添加到规则的条件。然后,单击右侧的加号 (+) 将条件添加到规则。
您可以随时单击以选择条件,然后单击 EDIT(编辑)以更改条件或单击 Delete(删除)以删除条件。
- 单击 New Rule(新建规则)以添加另一个条件。
-
单击 Next(下一步)以转到下一个平台页面,或者在所有平台页面完成后,转到 Assignments(分配)页面。
-
在 Assignments(分配)页面上,选择要应用策略的交付组。如果您单击某个交付组,该组将显示在 Delivery groups to receive app assignment(接收应用程序分配的交付组)框中。
Delivery groups to receive app assignment(接收应用程序分配的交付组)仅在您选择交付组后才会显示。
-
在 Assignments(分配)页面上,展开 Deployment Schedule(部署计划),然后配置以下设置:
- 在 Deploy(部署)旁边,单击 On(开)以计划部署或单击 Off(关)以阻止部署。默认选项设置为 On(开)。
- 在 Deployment schedule(部署计划)旁边,单击 Now(立即)或 Later(稍后)。默认选项设置为 Now(立即)。
- 如果单击 Later(稍后),请单击日历图标,然后选择部署的日期和时间。
- 在 Deployment condition(部署条件)旁边,单击 On every connection(每次连接时)或单击 Only when previous deployment has failed(仅当上次部署失败时)。默认选项设置为 On every connection(每次连接时)。
-
在 Deploy for always-on connection(部署用于始终连接)旁边,单击 On(开)或 Off(关)。默认选项设置为 Off(关)。
注意:
此选项在您已在 Settings > Server Properties(设置 > 服务器属性)中配置计划后台部署密钥时适用。始终连接选项不适用于 iOS 设备。
您配置的部署计划对所有平台都相同。您所做的任何更改都适用于所有平台,但 Deploy for always on connection(部署用于始终连接)除外,此选项不适用于 iOS。
-
单击 Save(保存)。
该策略将显示在 Device Policies(设备策略)表中。
从设备中删除设备策略
从设备中删除设备策略的步骤取决于平台。
-
Android
要从 Android 设备中删除设备策略,请使用 XenMobile 卸载设备策略。有关详细信息,请参阅 XenMobile 卸载设备策略。
-
iOS 和 macOS
要从 iOS 或 macOS 设备中删除设备策略,请使用配置文件删除设备策略。在 iOS 和 macOS 设备上,所有策略都是 MDM 配置文件的一部分。因此,您可以为要删除的策略创建配置文件删除设备策略。其余策略和配置文件将保留在设备上。有关信息,请参阅 Profile Removal device policy(配置文件删除设备策略)。
-
Windows 10 和 Windows 11
您无法直接从 Windows 台式机或平板电脑设备中删除设备策略。但是,您可以使用以下任一方法:
-
取消注册设备,然后将一组新策略推送到设备。用户随后重新注册以继续。
-
推送安全操作以选择性擦除特定设备。该操作会从设备中删除所有企业应用程序和数据。然后,从仅包含该设备的交付组中删除设备策略,并将该交付组推送到设备。用户随后重新注册以继续。
-
-
Chrome OS
要从 Chrome OS 设备中删除设备策略,可以从仅包含该设备的交付组中删除设备策略。然后,将该交付组推送到设备。
编辑设备策略
要编辑策略,请选择策略旁边的复选框以显示策略列表上方的选项菜单。或者,单击列表中的策略以显示列表右侧的选项菜单。
要查看策略详细信息,请单击显示更多。
要编辑设备策略的所有设置,请单击编辑。
如果单击删除,将显示确认对话框。再次单击删除以删除策略。
检查策略部署状态
在配置 > 设备策略页面上单击策略行以检查其部署状态。
当策略部署挂起时,用户可以通过点击 Secure Hub 中的首选项 > 设备信息 > 刷新策略来刷新策略。
筛选已添加的设备策略列表
您可以按策略类型、平台和关联的交付组筛选已添加的策略列表。在配置 > 设备策略页面上,单击显示筛选器。在列表中,选择要查看的项目的复选框。
单击保存此视图以保存筛选器。筛选器的名称随后将显示在保存此视图按钮下方的一个按钮中。
设备策略摘要
| 设备策略名称 | 设备策略说明 |
|---|---|
| AirPlay Mirroring | 将特定的 AirPlay 设备(例如另一台 Mac 电脑)添加到 iOS 设备。您还可以选择将设备添加到受监督设备的允许列表中。该选项将用户限制为仅允许列表中的 AirPlay 设备。 |
| AirPrint | 将 AirPrint 打印机添加到 iOS 设备上的 AirPrint 打印机列表。此策略有助于在打印机和设备位于不同子网的环境中提供支持。 |
| Android Enterprise App Permissions | 配置 Android Enterprise 应用程序在工作配置文件中如何处理 Google 所谓的“危险”权限的请求。 |
| Android Enterprise App Restrictions | 更新与 Android 应用程序关联的限制。 |
| APN | 确定用于将设备连接到特定电话运营商的通用分组无线服务 (GPRS) 的设置。此设置已在大多数新手机中定义。如果您的组织不使用消费者 APN 从移动设备连接到 Internet,请使用此策略。 |
| App Access | 定义设备上必需、可选或禁止的应用程序列表。然后,您可以创建自动化操作以响应设备对该应用程序列表的合规性。 |
| App Attributes | 为 iOS 设备指定属性,例如托管应用程序捆绑包 ID 或每应用程序 VPN 标识符。 |
| App Configuration | 远程配置支持托管配置的应用程序的各种设置和行为。为此,您可以将 XML 配置文件(称为属性列表或 plist)部署到 iOS 设备。或者,您可以将键/值对部署到 Windows 10 手机,或运行 Windows 10 或 Windows 11 的台式机或平板电脑设备。 |
| App Inventory | 收集托管设备上应用程序的清单。XenMobile 然后将该清单与部署到这些设备的任何应用程序访问策略进行比较。通过这种方式,您可以检测应用程序访问允许列表或阻止列表中的应用程序,然后采取正确的操作。 |
| App Lock | 定义用户可以在 iOS 或某些 Android 设备上运行或无法运行的应用程序列表。 |
| App Network Usage | 设置网络使用规则,以指定托管应用程序如何在 iOS 设备上使用网络,例如蜂窝数据网络。这些规则仅适用于托管应用程序。托管应用程序是您通过 XenMobile 部署到用户设备的应用程序。 |
| App Uninstall | 从用户设备中删除应用程序。 |
| Apps Notifications | 控制 iOS 用户如何接收来自指定应用程序的通知。 |
| Automatically update managed apps | 控制 Android Enterprise 设备上已安装的托管应用程序的更新方式。 |
| BitLocker | 配置 Windows 10 和 Windows 11 设备上 BitLocker 界面中可用的设置。 |
| Calendar (CalDav) | 将日历 (CalDAV) 帐户添加到 iOS 或 macOS 设备。CalDAV 帐户使用户能够与支持 CalDAV 的任何服务器同步日程安排数据。 |
| Cellular | 配置蜂窝网络设置。 |
| Connection Manager | 指定应用程序自动连接到 Internet 和专用网络的连接设置。此策略仅适用于 Windows Pocket PC。 |
| Contacts (CardDAV) | 将 iOS 联系人 (CardDAV) 帐户添加到 iOS 或 macOS 设备。CardDAV 帐户使用户能够与支持 CardDAV 的任何服务器同步联系人数据。 |
| Control OS Updates | 将最新的操作系统更新部署到受支持的受监督设备。 |
| Credentials | 启用与 XenMobile 中 PKI 配置的集成身份验证。例如,使用 PKI 实体、密钥库、凭据提供程序或服务器证书。 |
| Custom XML | 自定义设备预配、设备功能启用、设备配置和故障管理等功能。 |
| Defender | 配置 Windows 10 和 Windows 11 台式机和平板电脑的 Windows Defender 设置。 |
| Device Health Attestation | 要求 Windows 10 和 Windows 11 设备报告其运行状况。为此,它们会将特定数据和运行时信息发送到运行状况证明服务 (HAS) 进行分析。HAS 会创建并返回一个运行状况证明证书,设备随后会将其发送到 XenMobile。当 XenMobile 收到运行状况证明证书时,它会根据该证书的内容部署您配置的自动操作。 |
| Device Name | 设置 iOS 和 macOS 设备上的名称,以便您可以识别设备。您可以使用宏、文本或两者的组合来定义设备名称。 |
| Education Configuration | 配置教师和学生设备以用于 Apple Education。如果教师使用 Classroom 应用程序,则需要 Education Configuration 设备策略。 |
| Exchange | 为设备上的本机电子邮件客户端启用 ActiveSync 电子邮件。 |
| Files | 将脚本文件添加到 XenMobile,以执行用户的某些功能。或者,您可以添加 Android 设备用户希望在其设备上访问的文档文件。添加文件时,您还可以指定希望文件存储在设备上的目录。 |
| FileVault | 此策略允许您在已注册的 macOS 设备上启用 FileVault 设备加密。您还可以控制用户在登录期间可以跳过 FileVault 设置的次数。适用于 macOS 10.7 或更高版本。 |
| Font | 将字体添加到 iOS 和 macOS 设备。字体必须是 TrueType (.TTF) 或 OpenType (.OFT) 字体。XenMobile 不支持字体集合 (.TTC 或 .OTC)。 |
| Home screen layout | 指定 iOS 9.3 及更高版本受监督设备上 iOS 主屏幕的应用程序和文件夹布局。 |
| Import iOS & macOS Profile | 将 iOS 和 macOS 设备的设备配置 XML 文件导入 XenMobile。该文件包含您使用 Apple Configurator 准备的设备安全策略和限制。 |
| Keyguard Management | 控制用户在解锁设备键盘锁和工作挑战键盘锁之前可用的功能。您还可以控制完全托管和专用设备的设备键盘锁功能。例如,您可以禁用锁屏功能,例如指纹解锁、信任代理和通知。 |
| Kiosk | 限制 Samsung SAFE 设备上的应用程序使用。您可以将可用应用程序限制为特定应用程序或多个应用程序。此策略对于旨在仅运行特定类型或类别的应用程序的企业设备非常有用。此策略还允许您为信息亭模式选择设备主屏幕和锁屏壁纸的自定义图像。 |
| Knox Platform for Enterprise Key | 允许您提供所需的 Samsung Knox Platform for Enterprise (KPE) 许可证信息。 |
| Launcher Configuration | 指定 Citrix Launcher 在 Android 设备上的设置,例如允许的应用程序和 Launcher 图标的自定义徽标图像。 |
| LDAP | 提供有关用于 iOS 设备的 LDAP 服务器的信息,包括任何必要的帐户信息(例如 LDAP 服务器主机名)。该策略还提供了一组 LDAP 搜索策略,用于查询 LDAP 服务器。 |
| Location | 允许您在地图上对设备进行地理定位,前提是设备已为 Secure Hub 启用 GPS。将此策略部署到设备后,您可以从 XenMobile Server 发送定位命令。然后,设备会响应其位置坐标。XenMobile 还支持地理围栏和跟踪策略。 |
| 配置 iOS 或 macOS 设备上的电子邮件帐户。 | |
| Managed Domains | 定义适用于电子邮件和 Safari 浏览器的托管域。托管域通过控制哪些应用程序可以打开从使用 Safari 的域下载的文档来帮助您保护企业数据。对于 iOS 8 及更高版本受监督的设备,您可以指定 URL 或子域来控制用户如何从浏览器打开文档、附件和下载。 |
| MDM Options | 管理受监督的 iOS 7.0 及更高版本手机设备上的“查找我的手机”和 iPad 激活锁。 |
| Organization Info | 指定 XenMobile 部署到 iOS 设备的警报消息的组织信息。 |
| Passcode | 在托管设备上强制执行 PIN 码或密码。您可以设置设备上密码的复杂性和超时。 |
| Personal Hotspot | 允许用户在没有 Wi-Fi 网络覆盖的情况下连接到 Internet。用户通过其 iOS 设备上的蜂窝数据连接进行连接,使用个人热点功能。 |
| Profile Removal | 从 iOS 或 macOS 设备中删除应用程序配置文件。 |
| Provisioning Profile | 指定要发送到设备的企业分发预配配置文件。当您开发和代码签名 iOS 企业应用程序时,通常会包含一个预配配置文件。Apple 要求应用程序在 iOS 设备上运行需要此配置文件。如果预配配置文件丢失或已过期,则当用户点击打开应用程序时,应用程序会崩溃。 |
| Provisioning Profile Removal | 删除 iOS 预配配置文件。 |
| Proxy | 为运行 iOS 的设备指定全局 HTTP 代理设置。每个设备只能部署一个全局 HTTP 代理策略。 |
| Restrictions | 提供数百个选项来锁定和控制托管设备上的功能。限制选项示例:禁用摄像头或麦克风、强制执行漫游规则以及强制访问第三方服务(例如应用程序商店)。 |
| Roaming | 配置是否允许 iOS 设备上的语音和数据漫游。如果禁用语音漫游,则会自动禁用数据漫游。 |
| Scheduling | Android 设备需要连接回 XenMobile Server 以进行 MDM 管理、应用程序推送和策略部署。如果您不将此策略发送到设备并且不启用 Google FCM,则设备无法连接回服务器。 |
| SCEP | 配置 iOS 和 macOS 设备以从外部 SCEP 服务器检索证书。您还可以使用 SCEP 从连接到 XenMobile 的 PKI 将证书交付到设备。为此,请在分布式模式下创建 PKI 实体和 PKI 提供程序。 |
| SSO Account | 创建单点登录 (SSO) 帐户,以便用户只需登录一次即可访问 XenMobile 和您的内部公司资源。用户无需在设备上存储任何凭据。XenMobile 将企业用户凭据用于跨应用程序(包括 App Store 中的应用程序)的 SSO 帐户。此策略与 Kerberos 身份验证兼容。适用于 iOS。 |
| Subscribed Calendars | 将订阅的日历添加到 iOS 设备上的日历列表。确保在将其添加到用户设备上的订阅日历列表之前订阅日历。 |
| Terms and Conditions | 要求用户接受公司管理企业网络连接的特定策略。当用户将其设备注册到 XenMobile 时,他们必须接受条款和条件才能注册其设备。拒绝条款和条件将取消注册过程。 |
| Tunnel | 仅用于远程支持。远程支持使您的帮助台代表能够远程控制托管的 Windows CE 和 Android 移动设备。远程支持不适用于群集部署的本地 XenMobile Server。自 2019 年 1 月 1 日起,新客户不再提供远程支持。现有客户可以继续使用该产品,但 Citrix 不会提供增强功能或修复。 |
| VPN | 提供对使用传统 VPN 网关技术的后端系统的访问。此策略提供可部署到设备的 VPN 网关连接详细信息。XenMobile 支持多种 VPN 提供程序,包括 Cisco AnyConnect、Juniper 和 Citrix VPN。如果您的 VPN 网关支持此选项,您可以将此策略链接到 CA 并启用按需 VPN。 |
| Wallpaper | 添加 .png 或 .jpg 文件以在 iOS 设备锁屏、主屏幕或两者上设置壁纸。要在 iPad 和 iPhone 上使用不同的壁纸,请创建不同的壁纸策略并将其部署给相应的用户。 |
| Web Content Filter | 筛选 iOS 设备上的 Web 内容。XenMobile 使用 Apple 自动筛选功能以及您添加到允许列表和阻止列表的站点。仅适用于 iOS 受监督设备。 |
| Webclip | 将网站的快捷方式或 Web 剪辑放置在用户设备上,使其与应用程序一起显示。您可以指定自己的图标来表示 iOS、macOS 和 Android 设备的 Web 剪辑。Windows 平板电脑只需要一个标签和一个 URL。 |
| Wi-Fi | 允许管理员将 Wi-Fi 路由器详细信息部署到托管设备。路由器详细信息包括 SSID、身份验证数据和配置数据。 |
| Windows Information Protection | 指定需要 Windows 信息保护的应用程序,其强制级别由您为策略设置。该策略适用于 Windows 10 和 Windows 11 受监督设备。 |
| XenMobile Store | 指定 XenMobile Store Web 剪辑是否显示在用户设备的主屏幕上。 |
| XenMobile Options | 配置 Android 设备连接到 XenMobile 时 Secure Hub 的行为。 |
| XenMobile Uninstall | 从 Android 和 Windows Mobile/CE 设备卸载 XenMobile。部署后,此策略将从部署组中的所有设备中删除 XenMobile。 |