Android向け業務用モバイルアプリのMDXポリシー
この文書では、Androidアプリに関するMDXポリシーについて説明します。ポリシーの設定は、Citrix Endpoint Managementコンソールで変更します。詳しくは、「アプリの追加」を参照してください。
次の一覧には、Secure Web固有のMDXポリシーは含まれません。Secure Webに表示されるポリシーについて詳しくは、「Secure Webポリシー」を参照してください。
認証
アプリのパスコード
[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。デフォルト値は [オン] です。
すべてのアプリに対して無操作タイマーを構成するには、[設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMERの値を分単位で設定します。無通信タイマーのデフォルト値は60分間です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。
注:
[暗号キー]ポリシーで[セキュリティで保護されたオフラインアクセス]を選択した場合、このポリシーは自動的に有効になります。
最大オフライン期間 (時間)
ネットワークへログオンして権利の再確認とポリシー更新を行うことなく、アプリをオフラインで実行できる最大期間を定義します。デフォルト値は168時間(7日間)です。最短の期間は1時間です。
期間が終了する30分前、15分前、5分前に、ログオンするようユーザーに警告メッセージが表示されます。この期間が終了すると、ユーザーがネットワークログオンに成功するまで、アプリはロックされたままになります。
代替Citrix Gateway
注:
Endpoint Managementコンソールでは、このポリシー名は「代替NetScaler Gateway」です。
認証と、このアプリとのマイクロVPNセッションに使用する特定の代替Citrix Gateway(旧称NetScaler Gateway)のアドレスです。[代替NetScaler Gateway] はオプションのポリシーで、[オンラインセッションを必須とする]ポリシーと組み合わせて使用すると、アプリに特定のゲートウェイへの再認証を強制します。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。空のままにしておいた場合は、常にサーバーのデフォルト設定が使用されます。デフォルト値は空です。
デバイスのセキュリティ
ジェイルブレイクまたはRoot化を禁止
[オン] の場合、デバイスがジェイルブレイクされたまたはRoot化された時、アプリがロックされます。[オフ] の場合、デバイスがジェイルブレイクされたまたはRoot化された時でも、アプリを実行できます。デフォルト値は [オン] です。
デバイスの暗号化を要求
[オン] に設定すると、デバイスで暗号化が構成されていない場合、アプリがロックされます。[オフ] に設定すると、デバイスで暗号化が構成されていない場合でも、アプリケーションの実行が許可されます。デフォルト値は、[オフ] です。
注:
このポリシーは、Android 3.0(Honeycomb)でのみサポートされます。ポリシーを [オン] に設定すると、アプリが古いバージョンで実行されるのを防ぐことができます。
デバイスのロックを必須とする
[デバイスのPINまたはパスコード] が選択されている場合、デバイスにPINまたはパスコードが設定されていないと、アプリがロックされます。[デバイスのパターン画面ロック] が選択されている場合、デバイスにパターン画面ロックが設定されていないと、アプリがロックされます。[オフ] の場合、デバイスにPIN、パスコード、またはパターン画面ロックが設定されていなくてもアプリの実行が許可されます。デフォルト値は、[オフ] です。
[デバイスのPINまたはパスコード] を使用するには、Android 4.1(Jelly bean)以降が必要です。ポリシーを [デバイスのPINまたはパスコード] に設定すると、アプリが古いバージョンで実行されるのを防ぐことができます。
Android Mデバイスでは、[デバイスのPINまたはパスコード] および [デバイスのパターン画面ロック] のオプションは同じ効果があります。つまり、これらのオプションのいずれかを有効にすると、デバイスにPIN、パスコード、またはパターン画面ロックが未設定の場合アプリがロックされます。
ネットワークの要件
Wi-Fiを必須とする
[オン] の場合、デバイスがWi-Fiネットワークに接続されていない時にアプリがロックされます。[オフ] の場合、デバイスに4G/3G、LAN接続、またはWi-Fi接続などのアクティブな接続がある場合でもアプリを実行できます。デフォルト値は、[オフ] です。
許可されたWi-Fiネットワーク
許可するWi-Fiネットワークのコンマ区切りの一覧。ネットワーク名に英数字以外の文字(コンマなど)を含める場合は、ネットワーク名を二重引用符で囲む必要があります。一覧にあるネットワークに接続された場合のみ、アプリが実行されます。一覧を空白のままにした場合、すべてのネットワークが許可されます。この値は、モバイルネットワークへの接続に影響しません。デフォルトでは何も設定されていません。
その他のアクセス
アプリ更新猶予期間(時間)
利用可能なアプリの更新が検出された時から、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日間)です。
注:
0を使用することは推奨されません。(更新がダウンロードされインストールされるまで)実行中のアプリケーションが即座に使用できなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新に準拠するために、アプリケーションを実行中のユーザーが、強制的にアプリケーションを終了させられることがあります(作業が破棄されてしまう可能性があります)。
必要なアップグレードを無効化
App Storeでアプリの最新バージョンにアップグレードするという要件を無効にします。デフォルト値は [オン] です。
ロック時にアプリデータを消去
アプリがロックされた時に、データを消去し、アプリをリセットします。[オフ] の場合、アプリがロックされてもアプリデータは消去されません。デフォルト値は、[オフ] です。
アプリは次のいずれかの理由によりロックされます。
- アプリのユーザー権の喪失
- アプリのサブスクリプションの削除
- アカウントが削除されました
- Secure Hubがアンインストールされました
- 指定回数を超えたアプリ認証失敗
- ジェイルブレイクされたデバイスの検出(ポリシー設定ごと)
- ほかの管理措置によりロック状態にされたデバイスの検出
アクティブなポーリング周期(分)
アプリを起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイス状態を判別します。Endpoint Managementを実行中のサーバーへの到達が可能だと推測されると、フレームワークは、デバイスのロックと消去の状態、およびアプリの有効または無効状態に関する情報を返します。サーバーへの到達の可否にかかわらず、アクティブなポーリング期間の間隔を元にして、それ以降のポーリングがスケジュールされます。期間が終了した後、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。
重要:
リスクの高いアプリにのみこの値を低く設定します。そうしないと、パフォーマンスが低下する可能性があります。
暗号化
暗号化の種類
データの暗号化をMDXとデバイスプラットフォームのどちらで処理するかを選択できます。[MDX暗号化] を選択すると、データはMDXによって暗号化されます。[コンプライアンス強制によるプラットフォーム暗号化] を選択すると、データはデバイスプラットフォームによって暗号化されます。デフォルト値は [MDX暗号化] です。
非準拠デバイスの動作
デバイスが暗号化の最低コンプライアンス要件を順守していない場合のアクションを選択できます。[アプリを許可] を選択すると、アプリが通常どおり動作します。[警告後にアプリを許可する] を選択すると、警告が表示された後にアプリが実行されます。[ブロック] を選択すると、アプリの実行をブロックします。デフォルト値は [警告後にアプリを許可する] です。
暗号キー
暗号キーの生成に使用されるシークレットを有効にして、デバイスで永続させます。[オフラインアクセスを許可]のみを実行できます。
暗号化されたコンテンツへのアクセスを保護するため[認証]ポリシーを設定してネットワークログオンまたはオフラインパスワードチャレンジを有効にすることをお勧めします。
プライベートファイルの暗号化
次の場所の個人データファイルの暗号化を制御します:/data/data/<appname>および/mnt/sdcard/Android/data/<appname>。
[無効] オプションを指定した場合、プライベートファイルは暗号化されません。[セキュリティグループ] オプションを選択すると、同じセキュリティグループのすべてのMDXアプリケーションで共有されているキーを使って、プライベートファイルが暗号化されます。[アプリケーション] オプションを選択した場合、このアプリケーションに対して一意のキーを使ってプライベートファイルが暗号化されます。デフォルト値は [セキュリティグループ] です。
プライベートファイルの暗号化から除外する対象
コンマで区切ったパスの一覧があります。各パスは、暗号化された1つまたは複数のファイルを表す正規表現です。ファイルパスは内部および外部サンドボックスと相対します。デフォルト値は空です。
以下のフォルダーのみが除外の対象になります。
-
内部ストレージ:
/data/data/<your_package_name> -
SDカード:
/storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>/storage/emulated/legacy/Android/data/<your_package_name>
例
| 除外するファイル | プライベートファイルの暗号化から除外する値 |
|---|---|
| /data/data/com.citrix.mail/files/a.txt | ^files/a.txt |
| /storage/emulated/0/Android/data/com.citrix.mail/files内のすべてのテキストファイル | ^files/(.)+.txt$ |
| /data/data/com.citrix.mail/filesのすべてのファイル | ^files/ |
パブリックファイルへのアクセス制限
コンマ区切りの一覧があります。各エントリは(NA)、(RO)、または(RW)に続く正規表現パスです。パスと一致するファイルへのアクセス権を、[アクセスなし]、[読み取り専用]、または [読み取り/書き込み] のいずれかに制限します。この一覧は順番に処理され、最初に一致したパスがアクセス制限を設定するために使用されます。デフォルト値は空です。
このポリシーは、[パブリックファイルの暗号化] ポリシーを有効([無効] から [セキュリティグループ] または [アプリケーション] に変更)にした場合にのみ適用されます。このポリシーは、既存の暗号化されていないパブリックファイルにのみ適用でき、これらのファイルをいつ暗号化するのかを指定します。
| 除外するファイル | プライベートファイルの暗号化の値 |
|---|---|
| 外部ストレージのダウンロードフォルダー。読み取りのみ | EXT:^Download/(RO) |
| 仮想ストレージのミュージックフォルダーのすべてのMP3ファイル。アクセスなし | VS:^Music/(.)+.mp3$(NA) |
パブリックファイルの暗号化
パブリックファイルの暗号化を制御します。[無効] の場合、パブリックファイルは暗号化されません。[セキュリティグループ] の場合、同じセキュリティグループのすべてのMDXアプリにより共有されたキーを使ってパブリックファイルが暗号化されます。[アプリケーション] の場合、このアプリに対して一意のキーを使ってパブリックファイルが暗号化されます。
デフォルト値は [セキュリティグループ] です。
パブリックファイルの暗号化から除外する対象
コンマで区切ったパスの一覧があります。各パスは、暗号化されない1つまたは複数のファイルを表す正規表現です。ファイルパスはデフォルトの外部ストレージおよびいずれのデバイス特定の外部ストレージとも相対しています。
[パブリックファイルの暗号化から除外する対象]には外部フォルダーの場所のみが含まれます。
例
| 除外するファイル | パブリックファイルの暗号化から除外する値 |
|---|---|
| SDカード上のダウンロードフォルダー | Download |
| ミュージックフォルダー内のすべてのMP3ファイル | ^Music/(.)+.mp3$ |
パブリックファイルの移行
このポリシーは、[パブリックファイルの暗号化]ポリシーを有効([無効] から [セキュリティグループ] または [アプリケーション] に変更)にした場合にのみ適用されます。このポリシーは、既存の暗号化されていないパブリックファイルにのみ適用でき、これらのファイルをいつ暗号化するのかを指定します。デフォルト値は [書き込み(RO/RW)] です。
[無効] オプションを指定した場合、既存のファイルは暗号化されません。[書き込み(RO/RW)] オプションでは、既存のファイルが書き込み専用または読み取り/書き込みアクセスで開かれたときにのみ暗号化します。[特定しない] オプションでは、どのモードであっても、既存のファイルが開かれるたびに暗号化します。以下のオプションがあります:
- 無効。既存のファイルを暗号化しません。
- 書き込み(RO/RW)。書き込み専用または読み取り書き込みアクセスで既存のファイルが開かれた時に暗号化します。
- 特定しない。既存のファイルが開かれるたびに暗号化します。
メモ:
- 新しいファイルまたは上書きされる既存の暗号化されていないファイルは、毎回置換ファイルを暗号化します。
- 既存のパブリックファイルを暗号化すると、同じ暗号化キーがないほかのアプリではそのファイルを使用できなくなります。
アプリ相互作用
セキュリティグループ
Citrix Endpoint Managementで管理するすべてのモバイルアプリで情報を交換させるには、このフィールドを空白のままにします。アプリの特定のセット(たとえば、ファイナンスまたは人事など)に対するセキュリティ設定を管理するには、セキュリティグループ名を定義します。
注意:
既存のアプリケーションに対してこのポリシーを変更する場合、ユーザーがポリシーの変更を適用するには、アプリケーションの削除と再インストールを行う必要があります。
切り取りおよびコピー
このアプリでのクリップボードへの切り取りおよびコピー操作を禁止、許可、または制限します。[制限]の場合、コピーしたクリップボードデータは、MDXアプリのみで使用できるプライベートクリップボードに貼り付けられます。デフォルト値は、[制限] です。
貼り付け
このアプリでのクリップボードへの貼り付け操作を禁止、許可、または制限します。[制限] の場合、クリップボードデータは、MDXアプリのみが使用できるプライベートクリップボードから貼り付けられます。デフォルト値は [制限なし] です。
ドキュメント交換(このアプリケーションで開く)
このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリおよび[このアプリケーションで開く]制限の例外一覧で指定されたアプリの例外とのみ交換できます。[制限なし] に設定する場合は、ラップされていないアプリでユーザーがドキュメントを開けるように、[プライベートファイルの暗号化]および[パブリックファイルの暗号化]ポリシーを [無効] に設定します。デフォルト値は、[制限] です。
フィルタリングから除外されたURLドメイン
このポリシーは、MDXのフィルタリングから特定の送信URLを除外するために使用されます。コンマ区切りの一覧として指定した完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)およびDNSサフィックスが、すべてのMDXフィルタリングから除外されます。このポリシーでエントリを指定している場合、一覧の1つ以上の項目に(DNSサフィックスの照合で)一致するホストフィールドを持つURLは、変更されないままデフォルトのブラウザーへ送信されます。デフォルト値は空です。
許可するSecure Webドメイン
このポリシーは、URLフィルタリングポリシーで除外対象とされていないドメインにのみ適用されます。ドキュメント交換の設定が[制限]である場合にSecure Webアプリへリダイレクトする完全修飾ドメイン名(FQDN)またはDNSサフィックスを、コンマ区切りの一覧形式で指定します。
このポリシーでエントリを指定しており、ドキュメント交換の設定が[制限]である場合、一覧の1つ以上の項目に(DNSサフィックスの照合で)一致するホストフィールドを持つURLは、Secure Webアプリにリダイレクトされます。
ほかのURLはすべて、(ドキュメント交換制限ポリシーを無視して)デフォルトのAndroidブラウザーに送信されます。デフォルト値は空です。
[このアプリケーションで開く]制限の例外一覧
[ドキュメント交換(このアプリケーションで開く)]ポリシーが [制限] の場合、このAndroidインテントの一覧は管理されていないアプリに渡すことができます。一覧にフィルターを追加するには、Androidインテントに精通する必要があります。フィルターは、操作、パッケージ、スキーム、またはこれらの任意の組み合わせをサポートします。
例
{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->
注意:
このポリシーのセキュリティについて予想される事柄について検討する必要があります。除外一覧を使うと、管理されていないアプリとMDX環境間でコンテンツをやり取りできます。
受信ドキュメント交換(このアプリケーションで開く)
このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリとのみ交換できます。デフォルト値は [制限なし] です。
[禁止] または [制限] の場合、受信ドキュメント交換のホワイトリストポリシーを使用してこのアプリにドキュメントを送信できるアプリを指定します。その他のポリシーの情報については、[ギャラリーを禁止]ポリシーを参照してください。
オプション:[制限なし]、[禁止]、または [制限]
受信ドキュメント交換のホワイトリスト
受信ドキュメント交換が制限されているまたは禁止されているときに、このアプリIDのコンマ区切り一覧 (非MDXアプリを含む) にIDが含まれるアプリは、このアプリへのドキュメント送信が許可されます。このポリシーは非表示になっているため、編集できません。
接続のセキュリティ レベル
接続で使用されるTLS/SSLの最低バージョンを規定します。[TLS] の場合、接続はすべてのTLSプロトコルをサポートします。[SSLv3とTLS] の場合、接続でSSL 3.0およびTLSがサポートされます。デフォルト値は [TLS] です。
アプリ制限
重要:
電話機能へのアクセスまたは使用からアプリをブロックするポリシーのセキュリティについて予想される事柄に関し、検討の必要があります。これらのポリシーが [オフ] に設定されている場合、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。
カメラを禁止
[オン] の場合、アプリによるカメラハードウェアの直接使用が禁止されます。デフォルト値は [オン] です。
ギャラリーを禁止
[オン] の場合、アプリがデバイス上のギャラリーにアクセスするのを防ぎます。デフォルト値は、[オフ] です。このポリシーは、[受信ドキュメント交換(このアプリケーションで開く)]ポリシーとともに機能します。
- [受信ドキュメント交換(このアプリケーションで開く)]が [制限] に設定されている場合、管理対象アプリで作業をしているユーザーは、[ギャラリーを禁止]設定に関係なく、ギャラリーから画像を添付できません。
- [受信ドキュメント交換(このアプリケーションで開く)]が [制限なし] に設定されている場合、管理対象アプリで作業をしているユーザーの操作は以下のようになります。
- [ギャラリーを禁止]を [オフ] に設定すると、ユーザーはイメージを添付できます。
- [ギャラリーを禁止]を [オン] に設定すると、ユーザーはイメージを添付できなくなります。
マイク録音を禁止
[オン] の場合、アプリでマイクハードウェアを直接使用できなくなります。デフォルト値は [オン] です。
位置情報サービスを禁止
[オン] の場合、アプリによるロケーションサービスコンポーネント(GPSまたはネットワーク)の使用が禁止されます。Secure Mailのデフォルト値は [オフ] です。
SMS作成を禁止
[オン] の場合、アプリでは、SMS/テキストメッセージの送信に使用するSMS作成機能を使用できません。デフォルト値は [オン] です。
スクリーン ショットを禁止
[オン] の場合、アプリの実行中スクリーンキャプチャができないようにします。また、ユーザーがアプリを切り替えると、アプリ画面が不明瞭になります。デフォルト値は [オン] です。
Android Near Field Communication(NFC)機能を使うと、コンテンツのデータ送受信を行う前に一部のアプリはスクリーンショットを撮ります。ラップされたアプリでこの機能を有効にするには、[スクリーンショットを禁止] ポリシーを [オフ] に変更します。
デバイスのセンサーを禁止
[オン] の場合、アプリによる加速度計、モーションセンサー、ジャイロスコープなどのデバイスセンサーの使用を禁止します。デフォルト値は [オン] です。
NFCを禁止
[オン] の場合、アプリによるNear Field Communications(NFC)の使用を禁止します。デフォルト値は [オン] です。
アプリログを禁止
[オン] の場合、アプリによる業務用モバイルアプリ診断ログファシリティの使用が禁じられます。[オフ] の場合、アプリログが記録され、Secure Hubのメールサポート機能を使って収集されることがあります。デフォルト値は、[オフ] です。
印刷を禁止
[オン] の場合、アプリによるデータの印刷が禁止されます。アプリにShareコマンドがある場合は、[ドキュメント交換(このアプリケーションで開く)]を [制限] または [禁止] に設定して、印刷を完全にブロックする必要があります。デフォルト値は [オン] です。
ShareFileの有効化
ユーザーにShareFileを使用したファイル転送を許可します。デフォルト値は [オン] です。
アプリのネットワークアクセス
ネットワークアクセス
注:
[トンネルWeb SSO] は、この設定において [セキュアブラウズ] に相当する名前です。動作は同じです。
以下は、設定オプションです:
- 以前の設定を使用:デフォルトでは、過去のポリシーで設定済みの値が使用されます。値の変更後は、[以前の設定を使用]に戻さないでください。また、新しいポリシーに対する変更は、ユーザーがアプリをバージョン18.12.0以降にアップグレードするまで反映されません。
- 禁止:アプリが使用するネットワークAPIは機能しません。前述のガイドラインに基づいて、このような失敗を正常に処理する必要があります。
- 制限なし:ネットワーク呼び出しはすべて直接転送され、トンネリングされません。
- トンネル-完全VPN:管理対象アプリケーションからのトラフィックはすべてCitrix Gatewayを介してトンネリングされます。
- トンネル-Web SSO:HTTP/HTTPS URLが書き込まれます。このオプションでは、HTTPトラフィックおよびHTTPSトラフィックのトンネリングのみが許可されます。トンネル-Web SSOの大きなメリットは、HTTPトラフィックとHTTPSトラフィックのシングルサインオン(SSO)、およびPKINIT認証です。Androidでは、このオプションはセットアップの手間が少ないため、Web閲覧操作に関する推奨オプションとなっています。
いずれかのトンネルモードを選択すると、企業ネットワークに戻るPer-app VPNトンネルがこの初期モードで作成されます。ここでは、Citrix Gatewayの分割トンネルの設定が使用されます。企業ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[トンネル完全VPN]を推奨します。シングルサインオン(SSO)を必要とする接続に対しては、[トンネル-Web SSO] が推奨されます。
マイクロVPNセッションを必須とする
[はい] の場合、企業ネットワークおよびアクティブなセッションに接続する必要があります。[いいえ] の場合、アクティブなセッションは必要ありません。デフォルト値は [以前の設定を使用] です。新しくアップロードされたアプリの場合、デフォルト値は [いいえ] です。このポリシーへのアップグレード前に選択されていた設定は、[以前の設定を使用] 以外のオプションを選択するまで有効なままになります。
除外の一覧
VPN接続を使用せずに直接アクセスするFQDNまたはDNSサフィックスのコンマ区切りの一覧。このポリシーは、Citrix Gatewayを分割トンネルリバースモードに設定している場合の [トンネルWeb SSO] モードにのみ適用されます。
localhost接続をブロック
[オン] の場合、アプリのローカルホストへの接続を禁止します。ローカルホストは、デバイス上でローカルに行われる通信用のアドレス(127.0.0.1など)です。ローカルホストは、ローカルネットワークインターフェイスのハードウェアをバイパスして、ホスト上で実行されているネットワークサービスにアクセスします。[オフ] の場合、このポリシーが[ネットワークアクセス]ポリシーよりも優先されるため、デバイスでローカルにプロキシサーバーが実行されているのであれば、アプリはセキュアコンテナの外部に接続できます。デフォルトは [オフ] です。
証明書ラベル
証明書ラベルStoreFront証明書統合サービスと一緒に使用する場合、このラベルによって、このアプリに必要な特定の証明書が識別されます。ラベルが指定されないと、証明書を公開キー基盤(PKI)で使用できるようにはなりません。デフォルト値は空です(証明書が使用されません)。
アプリログ
デフォルトのログ出力
Citrix Endpoint Managementアプリ診断ログファシリティがデフォルトで使用する出力媒体を決定します。選択肢としては、[ファイル]、[コンソール]、または両方です。デフォルト値は [ファイル] です。
デフォルトのログレベル
業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。番号のレベルが高いほど、より詳細なログが含まれます。
- 0 - ログを記録されない
- 1 - 深刻なエラー
- 2 - エラー
- 3 - 警告
- 4 - 情報メッセージ
- 5 - 詳細な情報メッセージ
- 6~15 - 1~10のデバッグレベル
デフォルト値はレベル4(情報メッセージ)です。
最大ログファイル数
ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小値は2です。最大値は8です。デフォルト値は2です。
最大ログファイルサイズ
ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。
アプリログのリダイレクト
[オン] の場合、アプリから業務用モバイルアプリ診断ファシリティへのシステムまたはコンソールのログを傍受して、リダイレクトします。この設定が [オフ] の場合、システムまたはコンソールのログのアプリ使用は傍受されません。デフォルト値は [オン] です。
ログの暗号化
[オン] の場合、Citrix Endpoint Managementがログを記録すると診断ログを暗号化します。[オフ] の場合、診断ログはアプリのサンドボックスに暗号化されないままで残ります。
注意:
構成されるログレベルによっては、ログの暗号化によってアプリのパフォーマンスやバッテリーの寿命に著しい影響が及ぶことがあります。
デフォルト値は、[オフ] です。
アプリのジオフェンス
中心点の経度
経度(X座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。「-31.9635」など、符号付きの度数形式(DDD.dddd)で指定します。西経の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。
中心点の緯度
緯度(Y座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
「-43.06581」など、符号付きの度数形式(DDD.dddd)で指定します。南半球の緯度の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。
半径
半径は、アプリの操作をその中に限定するジオフェンスの半径です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。 値はメートルで表す必要があります。 0に設定すると、ジオフェンスは無効になります。デフォルトは0(無効)です。
分析
Google Analyticsの詳細レベル
シトリックスは分析データを収集して製品の質を向上させます。[匿名]を選択した場合、企業を特定できる情報は収集されません。
アプリ設定
Secure MailのExchange Server
Exchange ServerまたはIBM Notes Travelerサーバー(iOSのみ)の完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)。デフォルト値は空です。管理者がこのフィールドにドメイン名を入力した場合、ユーザーが編集することはできません。管理者がこのフィールドに何も入力しない場合、ユーザーは独自のサーバー情報を入力できます。
注意:
既存のアプリケーションに対してこのポリシーを変更する場合、ユーザーがポリシーの変更を適用するには、アプリケーションの削除と再インストールを行う必要があります。
Secure Mailユーザードメイン
ExchangeまたはNotesユーザー(iOSのみ)のデフォルトのActive Directoryドメイン名。デフォルト値は空です。
バックグラウンドネットワークサービス
バックグラウンドネットワークアクセスで許可されている、サービスアドレスのFQDNとポート。この値は、内部ネットワークまたはSecure Mailが接続するそのほかのネットワークのいずれかにあるExchange ServerまたはActiveSyncサーバーなどです(例:mail.example.com:443)。
このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、NetScaler Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。
デフォルト値は空で、バックグラウンドネットワークサービスは使用できません。
バックグラウンドサービスチケットの有効期間
バックグラウンドネットワークサービスチケットが有効な状態で維持される期間。有効期限が切れた後は、チケットの再発行のため企業ネットワークにログオンするよう求められます。デフォルト値は168時間(7日間)です。
バックグラウンドネットワークサービスゲートウェイ
バックグラウンドネットワークサービスに使用するFQDN:port形式の代替ゲートウェイアドレスです。これは、内部Exchange Serverへの接続にSecure Mailが使用するCitrix Gateway FQDNおよびポート番号です。Citrix Gateway構成ユーティリティで、Secure Ticket Authority(STA)を構成し、ポリシーを仮想サーバーに結合する必要があります。
デフォルト値は空で、代替ゲートウェイが存在しないことを示します。
このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、Citrix Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。
連絡先のエクスポート
重要:
ユーザーがExchange Serverに直接アクセスできる(つまりCitrix Gatewayの外側にいる)場合、この機能を有効にしないでください。それ以外の場合は、デバイスとExchangeで連絡先の重複が発生します。
[オフ] の場合、デバイスに対するSecure Mail連絡先の一方向同期、およびSecure Mail連絡先の共有(vCardとして)が禁止されます。デフォルト値は [オフ] です。
エクスポートする連絡先フィールド
iOSのアドレス帳にエクスポートされる連絡先のフィールドを制御します。[すべて] の場合、連絡先のすべてのフィールドがエクスポートされます。[名前と電話] の場合、名前と電話に関連するすべての連絡先フィールドがエクスポートされます。[名前、電話、メール] の場合、名前、電話、メールに関連するすべての連絡先フィールドがエクスポートされます。デフォルト値は [すべて] です。
すべてのSSL証明書を承認する
[オン] の場合、Secure MailはすべてのSSL証明書(有効または無効)を受け入れ、アクセスを許可します。[オフ] の場合、証明書エラーが発生して警告が表示されると、Secure Mailはアクセスをブロックします。デフォルト値は、[オフ] です。
セキュリティで保護された接続を使用
[オン] の場合、Secure Mailはセキュリティで保護された接続を使用します。[オフ] の場合、Secure Mailはセキュリティで保護された接続を使用しません。デフォルトは [オン] です。
Information Rights Management
[オン] の場合、Secure MailはExchange Information Rights Management(IRM)機能をサポートします。デフォルト値は、[オフ] です。
ロック画面上の通知を制御
メールおよびカレンダー通知をロックされたデバイス画面に表示するかどうかを制御できます。[許可] を選択した場合、通知に含まれているすべての情報が表示されます。[禁止] を選択すると、通知が表示されません。[メールの送信者またはイベントのタイトル] を選択した場合、メール送信者の名前またはカレンダーイベントのタイトルのみが表示されます。[件数のみ] を選択した場合、メールおよび会議出席依頼数のみが表示され、カレンダー通知の時刻も表示されます。デフォルト値は [許可] です。
デフォルトの同期間隔
Secure Mailのデフォルトの同期間隔を指定します。Secure Mailユーザーは、デフォルト値を変更できます。
Exchange ActiveSyncメールボックスポリシー設定である [電子メールの最大範囲フィルター] は、このポリシーより優先されます。デフォルトの同期間隔を [最大メール期間フィルター] より長い時間に設定した場合は、代わりに[最大メール期間フィルター]設定が使用されます。Secure Mailには、ActiveSyncの [電子メールの最大範囲フィルター] 設定より短い同期間隔値のみが表示されます。
デフォルト値は3日です。
Wi-Fiを経由する添付ファイルのダウンロードを有効化
[オン] の場合、Secure Mailの[添付ファイルのダウンロード]オプションが有効になり、ユーザーはデフォルトで、内部Wi-Fiネットワーク経由で添付ファイルをダウンロードできます。[オフ] の場合、Secure Mailの[添付ファイルをダウンロード]オプションが無効になり、ユーザーはデフォルトではWi-Fi経由で添付ファイルをダウンロードできません。デフォルト値は、[オフ] です。
オフラインドキュメントを許可
ユーザーがオフラインでデバイスにドキュメントを保存できるかどうか、およびその期間を指定します。デフォルト値は [無制限] です。
メールの下書きの自動保存を有効化
[オン] の場合、Secure Mailは [下書き] フォルダーへのメッセージの自動保存をサポートします。デフォルト値は [オン] です。
最初の認証メカニズム
このポリシーでは、最初のプロビジョニング画面の使用時に [アドレス] フィールドの入力にMDXが提供するメールサーバーアドレスを使用すべきか、ユーザーのメールアドレスを使用すべきかを示します。デフォルト値は [メールサーバーアドレス] です。
最初の認証資格情報
このポリシーでは、最初の使用時にプロビジョニング画面にユーザー名として選択する必要がある値を定義します。デフォルト値は [登録ユーザー名] です。
週番号を有効化
[オン] にすると、カレンダー表示に週番号が含まれます。デフォルト値は、[オフ] です。
メール分類
[オン] の場合、Secure MailはSEC(セキュリティ)およびDLM(Dissemination Limiting Markers)のメール分類マーキングをサポートします。分類マーキングは X-Protective-Marking 値としてメールヘッダーに表示されます。関連するメール分類ポリシーを構成する必要があります。デフォルト値は、[オフ] です。
メール分類のマーキング
分類マーキングを指定してエンドユーザーが使用できるようにします。一覧が空の場合、Secure Mailは保護マーキングの一覧を含めません。マーキングの一覧にはセミコロンで区切られた値のペアが含まれています。各ペアには、Secure Mailに表示される値と、Secure Mailのメールの件名とヘッダーに付随された文字列であるマーキング値が含まれます。たとえば、マーキングペアの「"UNOFFICIAL,SEC=UNOFFICIAL;"」の場合、リスト値は 「UNOFFICIAL」、マーキング値は 「SEC=UNOFFICIAL」 となります。
メール分類の名前空間
使用される分類の標準によりメールヘッダー内で必要とされる分類名前空間を指定します。たとえば、名前空間”gov.au”はヘッダーには”NS=gov.au”と表示されます。デフォルト値は空です。
メール分類のバージョン
使用される分類の標準によりメールヘッダー内で必要とされる分類バージョンを指定します。たとえば、バージョン”2012.3”はヘッダーには”VER=2012.3”と表示されます。デフォルト値は空です。
デフォルトのメール分類
ユーザーがマーキングを選択しない場合にSecure Mailがメールに適用する保護マーキングを指定します。この値は、[メール分類のマーキング]ポリシーの一覧にある必要があります。デフォルト値は [UNOFFICIAL] です。
メール検索の制限
メールサーバー検索に含める日数を制限することで、モバイルデバイスからアクセスできるメール履歴の量を制限します。モバイルデバイスに同期されるメールの量を制限するには、[最大同期周期]ポリシーを構成します。デフォルト値は [無制限] です。
最大同期間隔
同期周期を制限することで、モバイルデバイスにローカルに保存するメールの量を制御します。
デバイスでメールサーバーを検索できる周期を制限するには、[メール サーバー検索の制限]ポリシーを構成します。
有効な値は次のとおりです。
- 3日
- 1週間
- 2週間
- 1か月
- すべて
デフォルト値は [すべて] です。
カレンダーWebおよびオーディオオプション
- GoToMeetingおよびユーザー入力 - このオプションを選択した場合、ユーザーは開催する会議の種類を選択できます。ほかのオプションには、GoToMeetingページを表示する[GoToMeeting]と、ユーザーがマニュアルで会議の情報を入力できる [そのほかの電話会議] があります。
- [ユーザー入力のみ] - このオプションを選択した場合、ユーザーは[そのほかの電話会議]ページにリダイレクトされ、マニュアルで会議の情報を入力します。
S/MIMEパブリック証明書のソース
S/MIMEパブリック証明書のソースを指定します。[Exchange] の場合、Secure MailはExchange Serverから証明書を取得します。[LDAP] の場合、Secure MailはLDAPサーバーから証明書を取得します。デフォルト値は [Exchange] です。
LDAPサーバーアドレス
LDAPサーバーアドレス(ポート番号を含む)。デフォルト値は空です。
LDAPベースDN
LDAPベースの識別名です。デフォルト値は空です。
LDAPに匿名でアクセスする
このポリシーが [オン] の場合、Secure Mailは事前の認証なしにLDAPを検索できます。デフォルトは [オフ] です。
許可するメールドメイン
許可するメールドメインの一覧を、「server.company.com,server.company.co.uk」のようにコンマ区切り形式で設定します。デフォルトでは空白であり、Secure Mailはメールドメインをフィルタ処理せずにすべてのメールドメインをサポートします。Secure Mailは、この一覧に指定したドメインをメールアドレスのドメイン名と照合します。
たとえば、server.company.comというドメイン名を一覧に加えた場合に、メールアドレスがuser@internal.server.company.comであると、Secure Mailではこのメールアドレスがサポートされます。
プッシュ通知
メールボックスのアクティビティに関するFCMベースの通知を有効にします。[オン] の場合、Secure Mailはプッシュ通知をサポートします。デフォルト値は、[オフ] です。
プッシュ通知のEWSホスト名
メール用のExchange Webサービス(EWS:Exchange Web Services)をホストするサーバーです。EWSのURLにポート番号を付けて指定する必要があります。デフォルト値は空です。
プッシュ通知のリージョン
Secure Mailユーザー用のFCMホストが置かれる地域です。オプションは、[南北アメリカ]、[EMEA]、[PAC]です。デフォルト値は [南北アメリカ] です。
認証失敗時にユーザー名移行を試行
このポリシーでは、認証用にUPNへのExchangeのユーザー名の移行を試行します。デフォルト値は [オフ] です。
フィッシングメールの報告アドレス
このポリシーを設定すると、指定したメールアドレスまたはコンマ区切りのメールアドレスの一覧に、フィッシングメールの可能性があるメールを報告できます。デフォルト値は空です。このポリシーを設定しない場合、フィッシングメッセージを報告できません。
フィッシング報告の方法
このポリシーでは、フィッシングメールの可能性があるメールの報告に使用する方法を指定します。
- 添付ファイル(.eml)で報告 – フィッシングメールを添付ファイルとして報告します。この添付ファイルは、[フィッシングメールの報告アドレス]ポリシーに設定されているメールアドレスまたはコンマ区切りのメールアドレスの一覧に送信されます。
- 転送で報告 – フィッシングメールを転送して報告します。メールは、[フィッシングメールの報告アドレス]ポリシーに設定されているメールアドレスまたはコンマ区切りのメールアドレスの一覧に転送されます。
注:
このポリシーは、Microsoft Exchange Serverでのみ使用できます。
デフォルト値は[添付ファイル(.eml)で報告]です。
Skype for Business会議のドメイン
このポリシーでは、Skype for Businessの会議に使用するドメインをコンマ区切りの一覧として指定します。 Secure Mailは、デフォルトで以下のURLプレフィックスが付く会議ドメインを受け入れるように設定されています:
https://joinhttps://meethttps://lync
このポリシーでは、ほかのSkype For Businessドメインを「https://*domain*」の形式で追加することができます。ドメインには英数字を使用できますが、特殊文字は使用できません。先頭にhttps://を付けたり、末尾にピリオドを付けたりしないでください。
例
ポリシーの設定値が「customDomain1,customDomain2」の場合、Skype for Business用にサポートされるURLプレフィックスは次のようになります:
https://customDomain1
http://customDomain1
https://customDomain2
http://customDomain2
デフォルト値は空です。
カレンダーのエクスポート
このポリシーでは、デバイスまたは個人用カレンダーへのSecure Mailのカレンダーイベントのエクスポートを許可するかどうかを指定します。個人用カレンダーでは、エクスポートしたイベントを確認できます。イベントを編集するときには、Secure Mailを使用できます。デフォルト値は [会議の時間] です。
個人用カレンダーに表示されるカレンダーイベントフィールドには、次のMDXポリシーの値を使用できます:
- なし(エクスポートしない)
- 会議の時間
- 会議の時間、場所
- 会議の時間、件名、場所
- 会議日時、空き時間、出席者、件名、場所、メモ
Office 365のOAuthサポート
Office 365に先進認証を使用
このポリシーが [オン] の場合、Secure Mailは、Office 365でのアカウントの構成時にOAuthプロトコルを使用して認証を行います。[オフ] の場合、Secure Mailは基本認証を使用します。デフォルトは [オフ] です。
信頼されたExchange Onlineホスト名
アカウントの構成時に、認証にOAuthメカニズムを使用する信頼できるExchange Onlineのホスト名一覧を定義します。「server.company.com, server.company.co.uk」のようなコンマ区切り形式で指定します。一覧が空の場合、Secure Mailはアカウント構成で基本認証を使用します。デフォルト値はoutlook.office365.comです。
信頼されたAD FSホスト名
Office 365のOAuth認証中にパスワードを入力するWebページの、信頼できるAD FSホスト名の一覧を定義します。この値は、sts.companyname.com, sts.company.co.ukのようなコンマ区切りの形式です。一覧が空の場合、Secure Mailはパスワードを自動入力しません。Secure Mailは、ホスト名一覧をOffice 365認証中に検出されたWebページのホスト名と照合し、そのページがHTTPSプロトコルを使用しているかを確認します。
たとえば、sts.company.comがホスト名一覧にある場合にユーザーがhttps://sts.company.comにアクセスすると、このページにパスワードフィールドがあれば、Secure Mailがパスワードを入力します。デフォルト値はlogin.microsoftonline.comです。
先進認証用のカスタムユーザーエージェント
このポリシーでは、先進認証のデフォルトのユーザーエージェント文字列を変更できます。 このポリシーで構成したユーザーエージェント文字列は、Microsoft AD FSとの認証に使用されます。このポリシーを構成しない場合、先進認証時にはデフォルトのSecure Mailユーザーエージェントが使用されます。
Slackとの統合
Slackの有効化
Slackとの統合を禁止または許可します。[オン] の場合、Secure MailのインターフェイスにSlackの機能が追加されます。[オフ] の場合、Slackの機能はSecure Mailのインターフェイスに統合されません。
Slackワークスペース名
会社用のSlackワークスペースの名前です。名前を指定すると、サインオン時にSecure Mailによりそのワークスペース名が事前入力されます。名前を指定しない場合は、ユーザーがワークスペース名(name.slack.com)を入力する必要があります。