功能概述

应用锁为管理员提供一种校验进入安全应用用户身份的方法，放心的让用户访问内网业务。应用锁支持手势锁、指纹认证、Face ID 认证（具体需手机支持）等生物认证方式。

准备工作

• EMM 授权：EMM 标准版及以上授权
• 对接封装平台：保证 EMM 设备能与 ea.sangfor.com 的 TCP 8800 端口通信，若有防火墙等安全设备，则需在其放通该地址和端口。
• 保证互联网接入 EMM 设备：放通 HTTPS 的接入端口（默认 TCP443 端口），若有 HTTP 端口接入跳转 HTTPS 需求的，或者是分布式环境或者多线路环境的，则需要放通 HTTP 端口（默认 TCP80 端口）。若是单臂部署，则还需在出口设备上映射这些端口。
• 证书相关：准备 iOS 企业开发证书、iOS 描述文件、Android 企业签名证书、授信 SSL 证书，并导入设备。
• 准备 APP：准备待封装待 ipa、apk 文件。

配置步骤

配置思路：设备封装 ipa、apk 文件，APP 封装完成后，发布到应用商店，勾选离开应用后再进入，需要使用生物识别（指纹/面部或手势解锁）

在策略组中设置强制用户开启应用锁，用户启用应用锁后，离开安全域 X（0-1440） 分钟再次进入，需要验证应用锁将策略组关联给对应的用户

用户下载 aWork，下载封装后的 APP 使用

配置指导在 SSL 控制台【SSL VPN 设置】-【EMM】-【应用封装】中对所需的 APP 进行应用封装，封装类型选择增强沙箱的模式

在 SSL 控制台【SSL VPN 设置】-【EMM】-【应用商店】中发布封装后的 APP，勾选离开应用后再进入，需要使用生物识别（指纹/面部）或手势解锁

在 SSL 控制台【SSL VPN 设置】-【策略组管理】-【EMM】中设置强制用户启用应用锁，用户启用应用锁后，离开安全域 X 分钟再次进入，需要验证应用锁。

在 SSL 控制台【SSL VPN 设置】-【用户管理】中将策略组关联给对应用户

效果展示

iOS、Android 打开安全应用均需要验证应用锁

Android 系统：安全应用与 aWork 共用本地锁页面，当安全应用需要进行本地锁认证时，会拉起 aWork 来完成本地锁认证，认证成功后会跳转到安全应用；

iOS 系统：安全应用自带本地锁页面，当安全应用需要进行本地锁认证时，直接在安全应用上完成本地锁认证。

注意事项

1、若不选择强制用户启用应用锁，则终端用户可自主关闭应用锁，终端用户自主关闭应用 锁后，即使在应用商店开启了应用锁的开关，应用锁功能也不生效。

2、由于安全应用之间（包含 aWork）的数据同步依赖 aWork 进程，因此，下列情况可能会出现弹手势锁框不准确的情况：

• aWork 进程不在（杀掉、未打开）安全应用进程在，此时服务端修改了应用锁配置（eg：从开到关）,此时由于安全应用不能同步更新到这个状态，仍然会弹出手势 锁。
• aWork 进程在，安全应用进程不在，此时如果修改了 aWork 本地锁的配置，安全应用无法同步更新本地锁的配置，仍然会按照上一次获取的配置进行手势锁的显示。
• PS：只影响第一次，之后不修改配置就会正常，对安全能力没有影响。