Tareas y aspectos relevantes para administradores

Directivas MDX para aplicaciones móviles de productividad para iOS

En este artículo se describen las directivas MDX para las aplicaciones de iOS. Puede cambiar la configuración de directivas en la consola de Citrix Endpoint Management. Para obtener más información, consulte Agregar aplicaciones.

En la lista siguiente no se incluyen directivas MDX específicas de Secure Web. Para obtener más información acerca de las directivas específicas de Secure Web, consulte Directivas de Secure Web.

Autenticación

Código de acceso de dispositivo

Si está activada, se requiere un PIN o un código de acceso para desbloquear el dispositivo cuando se inicia o se reanuda después de un periodo de inactividad. Se requiere un código de acceso al dispositivo para cifrar los datos de las aplicaciones presentes en él con el cifrado de archivos de Apple. Se cifran los datos de todas las aplicaciones del dispositivo. Está desactivada de forma predeterminada.

Código de acceso de aplicación

Si la directiva está activada, se requiere un PIN o un código de acceso para desbloquear la aplicación cuando ésta se inicia o se reanuda después de un periodo de inactividad. Está activada de forma predeterminada.

Para configurar el temporizador de inactividad de todas las aplicaciones, establezca el valor de INACTIVITY_TIMER en minutos, en la ficha Parámetros, en Propiedades de cliente. El valor predeterminado del temporizador de inactividad es 60 minutos. Para inhabilitar el temporizador de inactividad, de modo que la petición de PIN o código de acceso aparezca solo cuando se inicie la aplicación, establezca un valor de cero.

Nota:

Si selecciona Acceso seguro sin conexión en la directiva Claves de cifrado, esta directiva se activa automáticamente.

Periodo máximo sin conexión (horas)

Define el período de tiempo máximo que una aplicación puede ejecutarse sin tener que volver a confirmar los derechos para la aplicación y las directivas de actualización desde Citrix Endpoint Management. Una vez transcurrido este periodo de tiempo, se puede provocar un inicio de sesión en el servidor si es necesario. El valor predeterminado es 168 horas (7 días). El período mínimo de tiempo es 1 hora.

Citrix Gateway alternativo

Nota:

En la consola de Endpoint Management, este nombre de directiva es NetScaler Gateway alternativo.

Dirección de un Citrix Gateway específico alternativo que debe usarse para la autenticación y para sesiones de micro VPN con esta aplicación. Esta directiva es opcional. Cuando se usa junto con la directiva Sesión con conexión requerida, obliga a las aplicaciones a volver a autenticarse con la puerta de enlace específica. Estas puertas de enlace suelen tener directivas de administración de tráfico y requisitos de autenticación diferentes (mayor nivel de control). Si se deja vacío, se usa siempre la puerta de enlace predeterminada del servidor. Está vacío de forma predeterminada.

Seguridad del dispositivo

Bloquear si está liberado por jailbreak o rooting

Si está activada, la aplicación se bloquea cuando el dispositivo se libera por jailbreak o por rooting. Si está desactivada, la aplicación se puede ejecutar incluso aunque el dispositivo esté liberado por jailbreak o por rooting. Está activada de forma predeterminada.

Requisitos de la red

Requerir Wi-Fi

Si está activada, la aplicación se bloquea si el dispositivo no está conectado a una red Wi-Fi. Si está desactivada, la aplicación se puede ejecutar incluso aunque el dispositivo no tenga una conexión activa (Wi-Fi, 4G, 3G o LAN). Está desactivada de forma predeterminada.

Redes Wi-Fi permitidas

Una lista, delimitada por comas, de las redes Wi-Fi. Si el nombre de la red contiene caracteres no alfanuméricos (incluidas las comas), el nombre debe estar entre comillas dobles. La aplicación solo se ejecuta si se conecta a una de las redes de la lista. Si se deja en blanco, se permiten todas las redes. Este valor no afecta a las conexiones con las redes de telefonía móvil. El valor predeterminado está en blanco.

Otros accesos

Inhabilitar actualización obligatoria

Inhabilita el requisito de que los usuarios deban actualizar a la versión más reciente de la aplicación en el App Store. Está activada de forma predeterminada.

Período de gracia de actualización de aplicación (horas)

Define el período de gracia durante el cual se puede seguir mediante una aplicación después de que el sistema haya detectado la existencia de una actualización disponible para la aplicación. El valor predeterminado es 168 horas (7 días).

Nota:

Le recomendamos que no utilice un valor de cero. Un valor de cero impediría inmediatamente usar una aplicación que estuviera ejecutándose, sin advertir al usuario, hasta que se descargara e instalara la actualización. Este valor podría provocar una situación en la que se forzaría al usuario a salir de la misma (lo que podría hacer que perdiera su trabajo), para poder realizar la actualización requerida.

Borrar datos de la aplicación al bloquear

Borra los datos y reinicia la aplicación cuando ésta se bloquea. Si está desactivada, los datos de la aplicación no se borran cuando la aplicación se bloquea. Está desactivada de forma predeterminada.

Una aplicación puede bloquearse por cualquiera de las siguientes razones:

  • El usuario pierde el derecho a usar la aplicación
  • Se elimina la suscripción a la aplicación
  • Se elimina la cuenta
  • Se desinstala Secure Hub
  • Demasiados errores de autenticación en la aplicación
  • Se detecta que el dispositivo se ha liberado por jailbreak (por configuración de directiva)
  • El dispositivo se bloquea por otra acción administrativa

Período de sondeo activo (minutos)

Cuando se inicia una aplicación, el marco de MDX sondea Citrix Endpoint Management para determinar el estado actual de la aplicación y del dispositivo. Si se puede establecer la conexión con el servidor que ejecuta Endpoint Management, el marco devuelve información sobre el estado de bloqueo y borrado del dispositivo, además del estado de habilitación o inhabilitación de la aplicación. Tanto si se puede establecer la conexión con el servidor como si no, se programa un sondeo posterior según el intervalo que esté activo para el período de sondeos. Una vez finalizado el período, comienza un nuevo sondeo. El valor predeterminado es 60 minutos (1 hora).

Importante:

Establezca un valor menor solo para aplicaciones de alto riesgo, ya que el rendimiento podría verse afectado.

Cifrado

Tipo de cifrado

Le permite elegir si es MDX o la plataforma del dispositivo quien maneja el cifrado de datos. Si selecciona Cifrado MDX, MDX cifra los datos. Si selecciona Cifrado de plataforma con cumplimiento de requisitos, la plataforma del dispositivo cifra los datos. El valor predeterminado es Cifrado MDX.

Comportamiento de dispositivos no conformes

Le permite elegir una acción cuando un dispositivo no cumple los requisitos mínimos de cifrado. Seleccione Permitir aplicación para que dicha aplicación se ejecute como es habitual. Seleccione Permitir aplicación después de la advertencia para que esta se ejecute después de que aparezca la advertencia. Selecciona Bloquear para impedir que la aplicación se ejecute. El valor predeterminado es Permitir aplicación después de la advertencia.

Habilitar cifrado MDX

Si está desactivada, los datos almacenados en el dispositivo no se cifran. Si está activada, los datos almacenados en el dispositivo se cifran. Está activada de forma predeterminada.

Precaución:

Si cambia esta directiva después de la implementación de una aplicación, los usuarios deberán volver a instalar la aplicación.

Exclusiones de cifrado de bases de datos

Lista de exclusión de bases de datos que no se cifran automáticamente. Para impedir el cifrado de una base de datos específica, agregue una entrada a esta lista de expresiones regulares, separadas por comas. Una base de datos se excluye del cifrado si el nombre de su ruta coincide con alguna de las expresiones regulares. Los patrones de exclusión admiten la sintaxis de expresiones regulares extendidas POSIX 1003.2. El cotejo de patrones no distingue entre mayúsculas y minúsculas.

Ejemplos

\\.db$,\\.sqlite$ excluye los nombres de ruta de las bases de datos que terminen en .db o .sqlite.

\/Database\/unencrypteddb.db coincide con la base de datos unencrypteddb.db en la subcarpeta Database.

\/Database\/ coincide con todas las bases de datos que contengan /Database/ en su ruta.

Está vacío de forma predeterminada.

Exclusiones de cifrado de archivos

Lista de exclusión de archivos que no se cifran automáticamente. Para impedir el cifrado de un conjunto específico de archivos, agregue una entrada a la lista separada por comas de expresiones regulares. Un archivo se excluye del cifrado si el nombre de su ruta coincide con alguna de las expresiones regulares. Los patrones de exclusión admiten la sintaxis de expresiones regulares extendidas POSIX 1003.2. El cotejo de patrones no distingue entre mayúsculas y minúsculas.

Ejemplos

\\.log$,\\.dat$ excluye los nombres de ruta de las archivos que terminen en .log o .dat.

\/Documents\/unencrypteddoc\.txt coincide con el contenido del archivo unencrypteddoc.txt en la subcarpeta Documents.

\/Documents\/UnencryptedDocs\/.*\.txt coincide con los archivos “.txt” en la subruta /Documents/UnencryptedDocs/.

Está vacío de forma predeterminada.

Interacción entre aplicaciones

Cortar y pegar

Bloquea, permite o restringe las operaciones de copiado y pegado de portapapeles para esta aplicación. Si tiene el valor Restringido, los datos de portapapeles copiados se colocan en un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Restringido.

Pegar

Bloquea, permite o restringe las operaciones de pegado del portapapeles para esta aplicación. Si tiene el valor Restringido, los datos de portapapeles pegados se extraen de un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Sin restricciones.

Intercambio de documentos (Abrir en)

Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para la aplicación. Cuando se establece en Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX.

Cuando se establece en Sin restricciones, debe activar las directivas “Cifrado de archivos privados” y “Cifrado de archivos públicos” para que los usuarios puedan abrir documentos en aplicaciones no empaquetadas. Si la aplicación que recibe el documento no está empaquetada o tiene inhabilitado el cifrado, Citrix Endpoint Management descifra el documento. El valor predeterminado es Restringido.

Lista de excepciones de la apertura restringida

Cuando la directiva “Intercambio de documentos (Abrir en)” tiene el valor Restringido, una aplicación MDX puede compartir documentos con esta lista de ID, separados por comas, de aplicaciones no administradas. Esto es cierto incluso si la directiva “Intercambio de documentos (Abrir en)” tiene el valor Restringido y la opción Habilitar cifrado está activada. La lista de excepciones predeterminada permite las aplicaciones de Office 365:

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

Solo se admiten aplicaciones de Office 365 para esta directiva.

Precaución:

Tenga en cuenta las implicaciones de seguridad de esta directiva. Esta lista de excepciones permite que el contenido viaje entre aplicaciones no administradas y el entorno MDX.

Nivel de seguridad de la conexión

Determina la versión mínima de TLS/SSL utilizada para las conexiones. Si tiene el valor TLS, las conexiones admiten todos los protocolos TLS. Si tiene el valor SSLv3 y TLS, las conexiones admiten SSL 3.0 y TLS. La opción predeterminada es TLS.

Intercambio de documentos entrantes (Abrir en)

Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para la aplicación. Si tiene el valor Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX. El valor predeterminado es Sin restricciones.

Si tiene el valor Bloqueado o Restringido, puede usar la directiva “Lista de intercambio de documentos entrantes permitidos” para indicar las aplicaciones que pueden enviar documentos a la aplicación.

Opciones: Sin restricciones, Bloqueado o Restringido.

Esquemas de URL de aplicaciones

Las aplicaciones iOS pueden enviar solicitudes URL a otras aplicaciones registradas para gestionar esquemas específicos, (como “http://”). Esta función proporciona un mecanismo para que una aplicación pueda transferir solicitudes de ayuda a otra aplicación. Esta directiva sirve para filtrar los esquemas que se transfieren a la aplicación para que los gestione (es decir, direcciones URL de entrada). El valor predeterminado está vacío, lo que significa que se bloquean todos los esquemas de URL de aplicaciones registradas.

La directiva tiene el formato de una lista de patrones, separados por comas, donde cada patrón va precedido de un signo más “+” o un signo menos “-“. Las direcciones URL entrantes se comparan con estos patrones en el orden indicado hasta que se produce una coincidencia. Una vez encontrada una coincidencia, el prefijo dicta la acción a seguir.

  • Con el signo menos (-) se bloquea el paso de la dirección URL a la aplicación.
  • Con el signo más (+) se permite el paso de la dirección URL a la aplicación, para que lo gestione.
  • Si no figura ningún signo “+” o signo “-“ como prefijo del patrón, se interpreta que va precedido del signo “+” (permitir).
  • Si una dirección URL entrante no coincide con ningún patrón de la lista, la dirección URL se bloquea.

La siguiente tabla contiene ejemplos de esquemas de URL de aplicaciones:

Esquema Aplicación que requiere el esquema de URL Propósito
ctxmobilebrowser Secure Web- Permite que Secure Web gestione las direcciones URL “HTTP:” de otras aplicaciones.
ctxmobilebrowsers Secure Web- Permite que Secure Web gestione las direcciones URL “HTTPS:” de otras aplicaciones.
ctxmail Secure Mail- Permite que Secure Mail gestione las URL mailto: provenientes de otras aplicaciones.
COL-G2M GoToMeeting- Permite que una aplicación empaquetada de GoToMeeting controle las solicitudes de reunión.
ctxsalesforce Citrix for Salesforce Permite que Citrix for Salesforce gestione las solicitudes de Salesforce.
wbx WebEx Permite que una aplicación empaquetada de WebEx controle las solicitudes de reunión.

Interacción entre aplicaciones (URL de salida)

Dominios excluidos del filtrado de URL

Esta directiva excluye las direcciones URL salientes de cualquier filtrado de “Direcciones URL permitidas”. Agregue una lista, separada por comas, de nombres de dominio completos (FQDN) o sufijos DNS para excluirlos del Filtrado de “Direcciones URL permitidas”. Si esta directiva está vacía (el valor predeterminado), los procesos de filtrado definidos para “Direcciones URL permitidas” son URL. Si esta directiva contiene entradas, las direcciones URL con campos de host que coincidan con al menos un elemento de la lista (a través de las coincidencias con los sufijos DNS) se envía inalterado a iOS. Esta comunicación no sigue la lógica de filtrado de “Direcciones URL permitidas”. Está vacío de forma predeterminada.

Direcciones URL permitidas

Las aplicaciones iOS pueden enviar solicitudes URL a otras aplicaciones registradas para gestionar esquemas específicos, (como "http://"). Esta función proporciona un mecanismo para que una aplicación pueda transferir solicitudes de ayuda a otra aplicación. Esta directiva sirve para filtrar los URL que se transfieren de esta aplicación a otras aplicaciones para que los gestione (es decir, direcciones URL de salida).

La directiva debe tener el formato de una lista de patrones, separada por comas, donde cada patrón puede ir precedido de un signo más “+” o un signo menos “-“. Las direcciones URL de salida se comparan con estos patrones en el orden indicado hasta que se produce una coincidencia. Una vez encontrada una coincidencia, el prefijo dicta la acción a seguir. El signo menos (-) bloquea el paso de la dirección URL a otra aplicación. En cambio, el signo más (+) permite el paso de la dirección URL a otra aplicación para que lo gestione. Si no figura ningún signo “+” o signo “-“ como prefijo del patrón, se interpreta que va precedido del signo “+” (permitir). Un par de valores separados por “=” indican una sustitución, donde los casos de la primera cadena se reemplazan por la segunda. Puede usar el prefijo de expresión regular “^” de búsqueda para anclarla al comienzo de la URL. Si una dirección URL de salida no coincide con ningún patrón de la lista, la dirección URL se bloquea.

Predeterminado

+maps.apple.com

+itunes.apple.com

^http:=ctxmobilebrowser:

^https:=ctxmobilebrowsers:

^mailto:=ctxmail:

+^citrixreceiver:

+^telprompt:

+^tel:

+^lmi-g2m:

+^maps:ios_addr

+^mapitem:

+^sms:

+^facetime:

+^ctxnotes:

+^ctxnotesex:

+^ctxtasks:

+^facetime-audio:

+^itms-apps:

+^ctx-sf:

+^sharefile:

+^lync:

+^slack:

+^msteams:

Si se deja el parámetro en blanco, se bloquearán todas las direcciones URL excepto las siguientes:

  • http:
  • https:
  • +citrixreceiver: +tel:

La siguiente tabla contiene ejemplos de direcciones URL permitidas:

Formato de URL Descripción
^mailto:=ctxmail Todas las URL mailto: se abren en Secure Mail.
^http Todas las direcciones URL HTTP se abren en Secure Web.
^https Todas las direcciones URL HTTPS se abren en Secure Web.
^tel Permite al usuario realizar llamadas.
-//www.dropbox.com Bloquea las URL de Dropbox enviadas desde aplicaciones administradas.
+^COL-G2M Permite que las aplicaciones administradas abran la aplicación cliente de GoToMeeting.
-^SMS Bloquea el uso de un cliente de mensajería por chat.
-^wbx Bloquea que las aplicaciones administradas abran la aplicación cliente de WebEx.
+^ctxsalesforce Permite que Citrix for Salesforce se comunique con el servidor de Salesforce.

Dominios permitidos de Secure Web

Esta directiva solo se aplica a las entradas de la directiva “Direcciones URL permitidas” que redirige las URL en cuestión a la aplicación Secure Web (^ http:=ctxmobilebrowser: y ^https:=ctxmobilebrowsers:). Agregue una lista de nombres de dominio completo (FQDN) o sufijos DNS, separados por comas, que pueden redirigirse a la aplicación Secure Web. Si esta directiva está vacía (la opción predeterminada), se permite que todos los dominios se redirijan a la aplicación Secure Web. En cambio, si esta directiva contiene entradas, solo aquellas URL cuyos campos de host coincidan con al menos un elemento de la lista (por cotejo de sufijos DNS) se redirigirán a la aplicación Secure Web. Todas las demás URL se envían sin cambios a iOS (sin pasar por la aplicación Secure Web). El valor predeterminado está vacío.

Restricciones de aplicaciones

Importante:

Asegúrese de tener en cuenta las implicaciones para la seguridad de las directivas que bloquean el acceso de las aplicaciones a las funciones del teléfono. Cuando estas directivas están desactivadas, el contenido puede viajar entre las aplicaciones no administradas y el entorno Secure.

Bloquear cámara

Si la directiva está activada, impide que una aplicación utilice directamente el hardware de la cámara. Esta opción está desactivada de forma predeterminada.

Bloquear fototeca

Si está activada, impide que una aplicación tenga acceso a la biblioteca de fotos o fototeca del dispositivo. Está activada de forma predeterminada.

Bloquear grabación de micrófono

Si está activada, impide que una aplicación utilice directamente el hardware del micrófono. Está activada de forma predeterminada.

Bloquear dictado

Si está activada, impide que una aplicación utilice directamente los servicios de dictado. Está activada de forma predeterminada.

Bloquear servicios de localización

Si está activada, impide que una aplicación use los componentes de los servicios de localización geográfica (GPS o red). De forma predeterminada, está desactivada para Secure Mail.

Bloquear redacción de SMS

Si está activada, impide que una aplicación use la función de redacción de mensajes SMS que se usa para enviar mensajes SMS o mensajes de texto desde la aplicación. Está activada de forma predeterminada.

Bloquear redacción de correo electrónico

Si está activada, impide que una aplicación use la función de redacción de correo electrónico, que se usa para enviar mensajes de correo electrónico desde la aplicación. Está activada de forma predeterminada.

Bloquear iCloud

Si está activada, impide que una aplicación use iCloud para almacenar y compartir la configuración y los datos.

Nota:

El archivo de datos de iCloud está controlado por la directiva “Bloquear copia de seguridad de archivos”.

Está activada de forma predeterminada.

Bloquear búsqueda

Sí está activada, impide que una aplicación utilice la función Buscar, que busca texto resaltado en el Diccionario, iTunes, App Store, horarios de películas, ubicaciones cercanas, etcétera. Está activada de forma predeterminada.

Bloquear copia de seguridad de archivos

Si está activada, impide que iCloud o iTunes hagan copias de seguridad de archivos. Está activada de forma predeterminada.

Bloquear AirPrint

Si está activada, impide el acceso de la aplicación a las funciones de AirPrint para imprimir datos en impresoras habilitadas para AirPrint. Está activada de forma predeterminada.

Bloquear AirDrop

Si está activada, impide que una aplicación utilice AirDrop. Está activada de forma predeterminada.

Bloquear archivos adjuntos

Nota:

Esta directiva solo se aplica en iOS 11 o versiones posteriores.

Si está activada, la gestión de datos adjuntos de correo está inhabilitada. Está desactivada de forma predeterminada.

Bloquear API de Facebook y Twitter

Si está activada, impide que una aplicación use las API de iOS para Facebook y Twitter. Está activada de forma predeterminada.

Oscurecer contenido de pantalla

Si está activada, cuando los usuarios cambian de aplicación, la pantalla se oscurece. Esta directiva impide que iOS grabe el contenido de la pantalla y que muestre vistas en miniatura. Está activada de forma predeterminada.

Bloquear teclados de terceros (solo iOS 11 y versiones posteriores)

Si está activada, impide que una aplicación use extensiones de teclado de terceros en dispositivos iOS 8 o posteriores. Está activada de forma predeterminada.

Bloquear registros de aplicaciones

Si está activada, impide que una aplicación use la función de captura de registros de diagnóstico de las aplicaciones móviles de productividad. Si está desactivada, los registros de la aplicación se capturan y es posible que se recopilen con la función de correo de Secure Hub. Está desactivada de forma predeterminada.

Habilitar ShareFile

Permite a los usuarios utilizar ShareFile para transferir archivos. Está activada de forma predeterminada.

Permitir adjuntar desde archivos

Permite a los usuarios agregar archivos adjuntos desde la aplicación Archivos de iOS. Está activada de forma predeterminada.

Acceso a red de las aplicaciones

Acceso de red

Nota:

SSO web en túnel es el nombre de Secure Browser en los parámetros. El comportamiento es el mismo.

Las opciones de configuración son las siguientes:

  • Si tiene el valor Bloqueada, se bloquea todo el acceso de red. Fallan las API de red utilizadas por la aplicación. Como se indica en la directriz anterior, debe poder gestionar correctamente dicho fallo.
  • Sin restricciones: Todas las llamadas de red se envían directamente, no por túnel.
  • Túnel - SSO web: Se reescribe la URL de HTTP/HTTPS. Esta opción solo permite el envío por túnel del tráfico HTTP y HTTPS. Una ventaja considerable del túnel y SSO web es la autenticación PKINIT y el tipo de inicio de sesión Single Sign-On (SSO) para el tráfico HTTP y HTTPS. En Android, esta opción no consume muchos recursos. Por lo tanto, es la opción preferida para operaciones del tipo exploración web.

Si utiliza las directivas Túnel - VPN completo o Túnel - VPN completo y SSO web, debe cambiar a la directiva Túnel - SSO web. Sus correos electrónicos no se sincronizan si continúa utilizando las directivas obsoletas.

Nota:

Si usa Túnel - VPN completo y Secure Ticket Authority (STA) está configurado, la pantalla de autenticación moderna no se carga.

Sesión de micro VPN requerida

Si está activada, el usuario debe contar con una sesión activa y una conexión a la red de la empresa. Si está desactivada, no se necesita tener una sesión activa. El valor predeterminado es Usar parámetro anterior. Para las aplicaciones recién cargadas, está desactivada de forma predeterminada. La configuración que se seleccionó antes de la actualización a esta nueva directiva permanece en vigor hasta que se seleccione una opción distinta de Usar parámetro anterior.

Periodo de gracia para requerir sesión con micro VPN (minutos)

Este valor determina cuántos minutos pueden utilizar una aplicación los usuarios antes de que la directiva Sesión con conexión requerida les impida seguir utilizándola (hasta que la sesión con conexión sea validada). El valor predeterminado es 0 (no hay periodo de gracia). Esta directiva no es aplicable para la integración con Microsoft Intune/EMS.

Etiqueta de certificado

Cuando se usa con el servicio de integración de certificados de StoreFront, esta etiqueta identifica el certificado específico requerido para esta aplicación. Si no se suministra ninguna etiqueta, no se proporciona ningún certificado para usarlo con una infraestructura de clave pública (PKI). Está vacío de forma predeterminada (no se utiliza ningún certificado).

Lista de exclusión

Lista delimitada por comas de nombres de dominio completos FQDN o sufijos DNS a los que se puede acceder directamente en lugar de a través de una conexión VPN. Este valor solo se aplica al modo SSO web en túnel cuando Citrix Gateway está configurado con el modo de túnel dividido inverso.

Registros de aplicaciones

Salida de registros predeterminada

Determina los medios de salida predeterminados que utilizarán las funciones de registro de diagnósticos de las aplicaciones móviles de productividad. Las opciones disponibles son “archivo”, “consola” o ambos: “archivo,consola”. La opción predeterminada es archivo.

Nivel de registro predeterminado

Controla el nivel predeterminado de detalle del registro que ofrece la función de registro de diagnósticos de las aplicaciones móviles de productividad. Cada nivel incluye niveles de valores menores. Los niveles posibles son:

  • 0 - Nothing logged (Nada registrado)
  • 1 - Critical errors (Errores críticos)
  • 2 - Errors (Errores)
  • 3 - Warnings (Advertencias)
  • 4 - Informational messages (Mensajes informativos)
  • 5 - Detailed informational messages (Mensajes informativos detallados)
  • De 6 a 15 - Debug levels 1 through 10 (Niveles de depuración del 1 al 10)

El valor predeterminado es el nivel 4 (mensajes informativos).

Máximo de archivos de registros

Limita la cantidad de archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 2. El valor máximo es 8. El valor predeterminado es 2.

Tamaño máximo de archivo de registros

Limita el tamaño en MB de los archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 1 MB. El valor máximo es 5 MB. El valor predeterminado es 2 MB.

Geocerca de la aplicación

Longitud del punto central

Longitud (también conocida como “coordenada X”), es el centro del punto/radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada.

El valor debe expresarse en formato de grados con signo negativo o positivo (GGG.gggg); por ejemplo, “-31.9635”. Las longitudes occidentales deben ir precedidas de un signo menos (-). El valor predeterminado es 0.

Latitud del punto central

Latitud (también conocida como “coordenada Y”), es el centro del punto/radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada.

El valor debe expresarse en formato de grados con signo negativo o positivo (GGG.gggg); por ejemplo, “43.06581”. Las latitudes meridionales deben ir precedidas de un signo menos (-). El valor predeterminado es 0.

Radio

El radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada.

El valor debe expresarse en metros. Cuando se establece en cero, la geocerca se inhabilita. Cuando la directiva Bloquear servicios de localización está habilitada, la geocerca no funciona correctamente. El valor predeterminado es 0 (inhabilitada).

Habilitar Google Analytics

Si está activada, Citrix recopila datos anónimos para mejorar la calidad del producto. Si está desactivada, no se recopilan datos. Está activada de forma predeterminada.

Analytics

Nivel de detalle de Google Analytics

Citrix recopila datos de análisis para mejorar la calidad del producto. Al seleccionar Anónimo, los usuarios no incluyen información identificable de la empresa. La opción predeterminada es la recopilación completa.

Informes

Informes de Citrix

Si está activada, Citrix recopila informes de errores y diagnósticos para ayudar a solucionar problemas. Si está desactivada, Citrix no recopila datos.

Nota:

Citrix también puede controlar esta función con una marca de función. Tanto la marca de funcionalidad como esta directiva deben estar habilitadas para que esta función pueda usarse correctamente.

Está desactivada de forma predeterminada.

Token de carga

Puede obtener un token de carga desde su cuenta de Citrix Insight Services (CIS). Si especifica este token opcional, CIS le permite acceder a informes de fallos y diagnósticos cargados desde sus dispositivos. Citrix tiene acceso a esa misma información. Está vacío de forma predeterminada.

Enviar informes solo con Wi-Fi

Si está activada, Citrix envía informes de errores y diagnósticos solo cuando está conectado a una red Wi-Fi. Está activada de forma predeterminada.

Tamaño máximo de caché de informes

Limita el tamaño de los paquetes de informes de errores y diagnósticos retenidos antes de borrar la caché. El valor mínimo es 1 MB. El valor máximo es 5 MB. El valor predeterminado es 2 MB.

Interacción entre aplicaciones

Notificación explícita de cierre de sesión

Si tiene el valor Inhabilitado, la aplicación no se activa durante el cierre de sesión de un usuario. Si tiene el valor Solo dispositivos compartidos, la aplicación se activa durante el cierre de sesión de un usuario solo si el dispositivo está configurado como dispositivo compartido. El valor predeterminado para Secure Mail es Solo dispositivos compartidos.

Parámetros de aplicaciones

Servidor Exchange de Secure Mail

El nombre de dominio completo (FQDN) de un servidor Exchange Server o, solo para iOS, el nombre de un servidor IBM Notes Traveler. Está vacío de forma predeterminada. Si quiere proporcionar un nombre de dominio en este campo, los usuarios no lo pueden modificar. Si deja el campo vacío, los usuarios podrán indicar la información de su propio servidor.

Precaución:

Si cambia esta directiva para una aplicación, los usuarios deben eliminar la aplicación y volver a instalarla para que se aplique el cambio de directiva.

Dominio de usuario de Secure Mail

El nombre de dominio de Active Directory predeterminado de los usuarios de Exchange o, (solo para iOS) de Notes. Está vacío de forma predeterminada.

Servicios de red en segundo plano

El nombre FQDN y las direcciones de puerto de servicio permitidas para el acceso de red en segundo plano. Es posible que este valor sea un servidor Exchange o un servidor de ActiveSync, ya sea en la red interna o en otra red a la que se conecte Secure Mail, como, por ejemplo, mail.ejemplo.com:443.

Si configura esta directiva, establezca la directiva “Acceso de red” con el valor Túnel a la red interna. Esta directiva se aplicará cuando configure la directiva de acceso a la red. Use esta directiva cuando el servidor Exchange Server resida en la red interna o si quiere usar Citrix Gateway (anteriormente NetScaler Gateway) como proxy de la conexión con el servidor Exchange Server interno.

El valor predeterminado está vacío, lo que implica que los servicios de red en segundo plano no están disponibles.

Caducidad del tíquet de servicios en segundo plano

El período de validez del tíquet del servicio de red en segundo plano. Después de caducar, se requerirá un inicio de sesión empresarial para renovar el tíquet. El valor predeterminado es 168 horas (7 días).

Puerta de enlace de servicio de red en segundo plano

Dirección alternativa de puerta de enlace a utilizar con los servicios de red en segundo plano, con el formato fqdn:port. Este valor es el número de puerto y el nombre de dominio completo de Citrix Gateway que usa Secure Mail para conectarse al servidor Exchange Server interno. En la herramienta de configuración de Citrix Gateway, se debe configurar la entidad Secure Ticket Authority (STA) y vincular la directiva con el servidor virtual. El valor predeterminado está vacío, lo que implica que no existe una puerta de enlace alternativa.

Si configura esta directiva, establezca la directiva “Acceso de red” con el valor Túnel a la red interna. Esta directiva se aplicará cuando configure la directiva de acceso a la red. Use esta directiva cuando el servidor Exchange resida en la red interna y quiera usar Citrix Gateway como proxy de la conexión con el servidor Exchange interno.

Exportar contactos

Importante:

No habilite esta función si los usuarios pueden acceder a su servidor Exchange Server directamente (es decir, fuera de Citrix Gateway). De lo contrario, los contactos duplicados se crean tanto en el dispositivo como en Exchange.

Si está desactivada, impide la sincronización unidireccional de los contactos de Secure Mail con el dispositivo y el uso compartido de los contactos de Secure Mail (como vCards). Está desactivada de forma predeterminada.

Campos de contacto para exportar

Controla los campos de los contactos que se exportan a la libreta de direcciones. Si tiene el valor Todos, se exportan todos los campos de los contactos. Si tiene el valor Nombre y teléfono, se exportan todos los campos del contacto relacionados con el nombre y el teléfono. Si tiene el valor Nombre, teléfono y correo electrónico, se exportan todos los campos del contacto relacionados con el nombre, el teléfono y el correo electrónico.

El valor predeterminado es Todos.

Aceptar todos los certificados SSL

Si está activada, Secure Mail acepta todos los certificados SSL (válidos o no) y permite el acceso. Si está desactivada, Secure Mail bloquea el acceso y muestra un mensaje de advertencia cuando se produce un error de certificado.

Está desactivada de forma predeterminada.

Control de notificaciones en pantalla bloqueada

Controla si las notificaciones de correo electrónico y de calendario aparecen en la pantalla de un dispositivo bloqueado. Si tiene el valor Permitir, aparece toda la información contenida en la notificación. Si tiene el valor Bloquear, las notificaciones no aparecen. Si tiene el valor Remitente del correo o título del evento, aparece únicamente el nombre del remitente del correo electrónico o el título del evento de calendario. Si tiene el valor Solo recuento, aparece la cantidad de correos y de invitaciones a reuniones, así como la hora de los avisos del calendario. El valor predeterminado es Permitir.

Notificación predeterminada de correo electrónico

Sí está activada, Secure Mail mostrará la notificación de pantalla bloqueada para mensajes de correo electrónico. Está activada de forma predeterminada.

Intervalo de sincronización predeterminado

Especifica el intervalo de sincronización predeterminado para Secure Mail. Los usuarios de Secure Mail pueden cambiar el valor predeterminado. El parámetro Filtro de antigüedad máxima de correo de la directiva Buzón de Exchange ActiveSync tiene prioridad sobre esta directiva. Si especifica un “Intervalo de sincronización predeterminado” mayor que el filtro de antigüedad máxima de correo, se usa este último en su lugar.

Secure Mail solo muestra los valores de intervalo de sincronización inferiores al parámetro de filtro Antigüedad máxima de correo de ActiveSync.

El valor predeterminado es tres días.

Límite de búsqueda de correo

Limita la cantidad de historial de correo que sea accesible desde dispositivos móviles, porque limita la cantidad de días que se incluyen en las búsquedas del servidor de correo. El valor predeterminado es Sin límite.

Para restringir la cantidad de correo que se sincroniza con un dispositivo móvil, configure la directiva “Periodo máximo de sincronización de clientes”.

Intervalo máximo de sincronización

Controla la cantidad de mensajes que se almacenan localmente en el dispositivo móvil limitando el periodo de sincronización del correo. El valor predeterminado es Todos. Para restringir el período de tiempo que un dispositivo puede realizar búsquedas en el servidor de correo, configure la directiva “Límite de búsqueda en servidor de correo”.

Habilitar los números de semana

Si está activada, las vistas de calendario incluyen el número de la semana. Está desactivada de forma predeterminada.

Habilitar la descarga de adjuntos por Wi-Fi

Si está activada, se habilita la opción “Descargar adjuntos” en Secure Mail, de modo que los usuarios pueden, de forma predeterminada, descargar datos adjuntos por redes Wi-Fi internas permitidas. Si está desactivada, se inhabilita la opción “Descargar adjuntos” en Secure Mail, de modo que, de forma predeterminada, los usuarios no pueden descargar datos adjuntos por Wi-Fi.

Está desactivada de forma predeterminada.

Permitir documentos sin conexión

Especifica si los usuarios pueden almacenar documentos sin conexión en los dispositivos y cuánto tiempo pueden conservarlos. El valor predeterminado es Sin límite.

Information Rights Management

Si está activada, Secure Mail admite la funcionalidad Information Rights Management (IRM) de Exchange. Está desactivada de forma predeterminada.

Clasificación de correo electrónico

Si está activada, Secure Mail admite la marca de clasificación de correo electrónico para seguridad (SEC) y los marcadores de limitación de difusión. Las marcas de clasificación aparecen en los encabezados de los correos como valores “X-Protective-Marking”. Asegúrese de configurar las directivas de clasificación de correo electrónico relacionadas.

Está desactivada de forma predeterminada.

Marcas de clasificación de correo

Especifica el marcado de clasificación que pueden utilizar los usuarios. Si la lista está vacía, Secure Mail no incluye ninguna lista de marcas de protección. La lista de marcas contiene parejas de valores separados por punto y coma. Cada par incluye el valor que aparece en Secure Mail y el valor de marcado (el texto agregado al asunto del mensaje y al encabezado en Secure Mail). Por ejemplo, en la pareja de marcado “UNOFFICIAL,SEC=UNOFFICIAL;”, el valor de la lista es “UNOFFICIAL” y el valor de marcado es “SEC=UNOFFICIAL”.

Espacio de nombres de clasificación de correo

Especifica el espacio de nombres de clasificación requerido en el encabezado del correo electrónico según el estándar de clasificación utilizado. Por ejemplo, el espacio de nombres “gov.au” aparece en el encabezado como “NS=gov.au”.

Está vacío de forma predeterminada.

Versión de clasificación del correo electrónico

Especifica la versión de la clasificación requerida en el encabezado del correo electrónico según el estándar de clasificación utilizado. Por ejemplo, la versión “2012.3” aparece en el encabezado como “VER=2012.3”.

Está vacío de forma predeterminada.

Clasificación predeterminada del correo

Especifica la marca protectora que Secure Mail aplica a un mensaje de correo electrónico si un usuario no elige ninguna marca. Este valor debe estar incluido en la lista de la directiva Marcas de clasificación de correo.

El valor predeterminado es No oficial.

Habilitar guardado automático de borradores

Si está activada, Secure Mail admite el guardado automático de mensajes en la carpeta Borradores.

Está activada de forma predeterminada.

Mecanismo de autenticación inicial

Esta directiva indica si se utiliza la dirección de correo electrónico del usuario o la dirección del servidor de correo proporcionada por MDX para rellenar el campo “dirección” en la pantalla de aprovisionamiento en el primer uso.

El valor predeterminado es Dirección del servidor de correo.

Credenciales iniciales de autenticación

Esta directiva define el valor que debe seleccionarse como nombre de usuario para rellenar la pantalla de aprovisionamiento la primera vez que se usa.

El valor predeterminado es Nombre de usuario de inscripción.

Habilitar el rellenado automático del nombre de usuario

Si está activada, el nombre de usuario se rellena automáticamente en la interfaz de usuario de aprovisionamiento de cuentas. Está activada de forma predeterminada.

Habilitar protección de datos de iOS

Nota:

Esta directiva está pensada para empresas que deben cumplir los requisitos de Australian Signals Directorate (ASD) en materia de seguridad informática.

Habilita la protección de datos de iOS cuando se trabaja con archivos. Si está activada, especifica el nivel de protección cuando se crean y abren archivos en el sandbox de las aplicaciones. Está desactivada de forma predeterminada.

Nombre de host EWS para notificaciones push

El servidor que aloja los servicios web de Exchange (EWS) para el correo. El valor debe ser la URL de EWS, junto con el número de puerto. Está vacío de forma predeterminada.

Notificaciones push

Habilita notificaciones basadas en APNS acerca de la actividad en el buzón de correo. Si está activada, Secure Mail admite las notificaciones push.

Está desactivada de forma predeterminada.

Región de notificaciones push

La región donde está ubicado el host de APNs para los usuarios de Secure Mail. Las opciones son América, Europa-Oriente Medio-África y Asia-Pacífico. El valor predeterminado es América.

Origen de certificado público S/MIME

Especifica el origen de los certificados S/MIME. Si tiene el valor Correo electrónico, tiene que enviar los certificados por correo electrónico a los usuarios para que estos abran el mensaje en Secure Mail e importen los certificados adjuntos.

Si el valor es Caja fuerte compartida, hay un proveedor de identidades digital que suministra los certificados a la caja fuerte compartida de las aplicaciones Secure Apps. La integración con el proveedor de terceros requiere la publicación de una aplicación relacionada para los usuarios. Consulte la descripción de la directiva “Habilitar S/MIME durante el primer inicio de Secure Mail” para ver más información sobre la experiencia del usuario.

El valor predeterminado es Correo electrónico.

Habilitar S/MIME durante el primer inicio de Secure Mail

Determina si Secure Mail habilita S/MIME durante el primer inicio de Secure Mail, si la directiva “Origen de certificado S/MIME” está establecida en Caja fuerte compartida. Si está activada, Secure Mail habilita S/MIME si hay certificados del usuario en la caja fuerte compartida. Si no hay certificados en la caja fuerte compartida, se solicita al usuario que los importe. En ambos casos, los usuarios deben configurar certificados desde la aplicación de un proveedor de identidades digital antes de poder crear una cuenta en Secure Mail.

Si está desactivada, Secure Mail no habilita S/MIME y el usuario puede habilitarlo en los parámetros de Secure Mail. Está desactivada de forma predeterminada.

Opciones de web y audio del calendario

  • GoToMeeting y datos introducidos por el usuario: Los usuarios podrán elegir el tipo de conferencia que les gustaría configurar. Las opciones son: GoToMeeting, que abre una página de GoToMeeting, y Otra conferencia, que permite a los usuarios introducir la información de la reunión manualmente.
  • Solo datos introducidos por el usuario: Los usuarios serán llevados directamente a la página Otra Conferencia, donde pueden introducir manualmente la información de la reunión.

Origen de certificado público S/MIME

Especifica el origen de los certificados públicos S/MIME. Si tiene el valor Exchange, Secure Mail obtiene los certificados desde el servidor Exchange. Si tiene el valor LDAP, Secure Mail obtiene los certificados desde el servidor LDAP. El valor predeterminado es Exchange.

Dirección de servidor LDAP

Dirección del servidor LDAP, incluido el número de puerto. Está vacío de forma predeterminada.

Nombre distintivo de base LDAP

El nombre distintivo base de LDAP. Está vacío de forma predeterminada.

Acceso anónimo a LDAP

Si la directiva está activada, Secure Mail puede efectuar búsquedas LDAP sin autenticación previa. Está desactivada de forma predeterminada.

Dominios de correo electrónico permitidos

Define una lista de los dominios de correo electrónico permitidos separados por comas, por ejemplo server.company.com,server.company.co.uk. El valor predeterminado está vacío, lo que implica que Secure Mail no filtra los dominios de correo electrónico y admite todos los dominios de correo electrónico. Secure Mail busca los dominios enumerados en el nombre de dominio de la dirección del correo electrónico. Por ejemplo, si servidor.empresa.com figura como un nombre de dominio de la lista y la dirección de correo electrónico es usuario@interno.servidor.empresa.com, Secure Mail admite esa dirección de correo electrónico.

Intentar migración de nombre de usuario en caso de fallo de autenticación

Intenta migrar el nombre de usuario de Exchange a un nombre UPN para la autenticación. Esta opción está desactivada de forma predeterminada.

Direcciones para notificar mensaje de phishing

Si está configurado, puede notificar mensajes sospechosos de suplantación de identidad (phishing) a una dirección de correo electrónico determinada o a una lista de direcciones de correo electrónico separadas por comas. El valor está vacío de forma predeterminada. Si no configura esta directiva, no podrá notificar los mensajes de phishing.

Mecanismo para notificar phishing

Esta directiva indica el mecanismo utilizado para notificar mensajes sospechosos de phishing.

  • Notificar mediante archivo adjunto: Notifique mensajes de phishing mediante datos adjuntos de correo. El archivo adjunto se envía a una dirección de correo electrónico o a una lista de direcciones separadas por comas que se configura en la directiva “Direcciones para notificar mensaje de phishing”.
  • Notificar mediante reenvío: Notifique mensajes de phishing mediante reenvíos de correo. El correo se reenvía a una dirección de correo electrónico o a una lista de direcciones separadas por comas que se configura en la directiva “Direcciones para notificar mensaje de phishing”.

Nota:

Esta directiva solo está disponible para Microsoft Exchange Server.

El valor predeterminado es Notificar mediante archivo adjunto.

Dominios de reunión de Skype Empresarial

Esta directiva contiene una lista separada por comas de dominios utilizados para reuniones de Skype Empresarial.

Secure Mail ya gestiona las reuniones con prefijo URL de la siguiente manera:

  • https://join
  • https://meet
  • https://lync

Con esta directiva, se pueden agregar otros dominios de Skype Empresarial en el formulario https://*domain*. El dominio puede ser una cadena de caracteres alfanuméricos y no puede contener caracteres especiales. No introduzca el punto antes de https:// ni después.

Ejemplo:

Si el valor de directiva es customDomain1,customDomain2, los prefijos de URL compatibles para Skype Empresarial serían:

  • https://customDomain1
  • http://customDomain1
  • https://customDomain2
  • http://customDomain2

Está vacío de forma predeterminada.

Exportar calendario

Esta directiva permite exportar eventos de calendario de Secure Mail a su dispositivo o calendario personal. Puede ver sus eventos en su calendario personal. Puede modificar los eventos mediante Secure Mail. El valor predeterminado es Hora de reunión.

Dispone de los siguientes valores de directiva MDX para los campos de eventos del calendario que aparecen en el calendario personal:

  • Ninguno (No exportar)
  • Hora de reunión
  • Hora, lugar
  • Hora, asunto, lugar
  • Hora, asunto, lugar, notas

Identificación de llamadas

Si está activada, Secure Mail proporciona el nombre y número de teléfono de sus contactos guardados y los transmite a iOS para identificar a la persona que llama. Estos datos solo se utilizan para identificar y mostrar los detalles de las llamadas entrantes de la lista de contactos de Secure Mail guardada. Está activada de forma predeterminada.

Compatibilidad de OAuth con Office 365

Mecanismo de autenticación de Office 365

Esta directiva indica el mecanismo de OAuth utilizado para la autenticación cuando se configura una cuenta en Office 365.

  • No usar OAuth: OAuth no se utiliza y Secure Mail utiliza la autenticación básica para la configuración de la cuenta.
  • Usar OAuth con nombre de usuario y contraseña: El usuario debe proporcionar su nombre de usuario y contraseña, y opcionalmente, un código MFA para el flujo OAuth.
  • Usar OAuth con certificado de cliente: el usuario autentica el flujo OAuth mediante un certificado del cliente.

El valor predeterminado es “No usar OAuth”.

Nombres de host Exchange Online de confianza

Define una lista de nombres de host Exchange Online de confianza que utilizan el mecanismo OAuth para la autenticación cuando se configura una cuenta. Los elementos de esta lista están separados por comas, como servidor.empresa.com, servidor.empresa.co.uk. Si la lista está vacía, Secure Mail usa la autenticación básica para la configuración de la cuenta. El valor predeterminado es outlook.office365.com.

Nombres de host AD FS de confianza

Defina una lista de nombres de host de AD FS de confianza para las páginas web donde la contraseña se rellena automáticamente durante la autenticación OAuth de Office 365. Los elementos de esta lista están separados por comas, como sts.nombredeempresa.com, sts.empresa.co.uk. Si la lista está vacía, Secure Mail no rellena automáticamente las contraseñas. Secure Mail coteja los nombres de host de la lista con el nombre de host de la página web encontrada durante la autenticación de Office 365 y comprueba si la página usa el protocolo HTTPS. Por ejemplo, cuando sts.company.com es un nombre de host de la lista, si el usuario va a https://sts.company.com, Secure Mail rellena la contraseña si la página tiene un campo de contraseña. El valor predeterminado es login.microsoftonline.com.

Redirección de correo

Redirección de correo

Bloquea o restringe cualquier redacción de correo electrónico. Secure Mail redirige la redacción de correo electrónico a Secure Mail . El correo nativo redirige el correo de composición a correo nativo si se configura una cuenta. El valor predeterminado es Secure Mail.

Integración con Slack

Habilitar Slack

Bloquea o permite la integración de Slack. Si está activada, la interfaz de Secure Mail incluye funciones de Slack. Si está desactivada, la interfaz de Secure Mail no incluye funciones de Slack. Esta opción está desactivada de forma predeterminada.

Nombre del espacio de trabajo de Slack

El nombre del espacio de trabajo de Slack para su empresa. Si proporciona un nombre, Secure Mail rellena previamente el nombre del espacio de trabajo durante el inicio de sesión. Si no proporciona un nombre, los usuarios deben escribir el nombre del espacio de trabajo (nombre.slack.com). Está vacío de forma predeterminada.