iOS向けモバイル生産性アプリのMDXポリシー
この記事では、iOSアプリのMDXポリシーについて説明します。ポリシー設定はCitrix Endpoint Managementコンソールで変更します。詳細については、「アプリの追加」を参照してください。
以下のリストには、Secure Webに固有のMDXポリシーは含まれていません。Secure Webに表示されるポリシーの詳細については、「Secure Webポリシー」を参照してください。
認証
デバイスパスコード
オンの場合、デバイスの起動時または非アクティブ期間後の再開時に、デバイスのロック解除にPINまたはパスコードが必要です。Appleファイル暗号化を使用してアプリデータを暗号化するには、デバイスパスコードが必要です。デバイス上のすべてのアプリのデータが暗号化されます。デフォルト値はオフです。
アプリパスコード
オンの場合、アプリの起動時または非アクティブ期間後の再開時に、アプリのロック解除にPINまたはパスコードが必要です。デフォルト値はオンです。
すべてのアプリの非アクティブタイマーを構成するには、設定タブのクライアントプロパティでINACTIVITY_TIMERの値を分単位で設定します。デフォルトの非アクティブタイマー値は60分です。非アクティブタイマーを無効にし、アプリ起動時のみPINまたはパスコードのプロンプトが表示されるようにするには、値をゼロに設定します。
注:
暗号化キーポリシーでSecure offlineを選択した場合、このポリシーは自動的に有効になります。
最大オフライン期間(時間)
Citrix Endpoint Managementからのアプリの資格の再確認とポリシーの更新なしで、アプリが実行できる最大期間を定義します。期限切れになると、必要に応じてサーバーへのログオンがトリガーされる場合があります。デフォルト値は168時間(7日間)です。最小期間は1時間です。
代替Citrix Gateway
注:
Endpoint Managementコンソールでのこのポリシー名はAlternate NetScaler® Gatewayです。
このアプリでの認証およびマイクロVPNセッションに使用する必要がある、特定の代替Citrix Gatewayのアドレス。このポリシーはオプションです。オンラインセッション必須ポリシーと併用すると、このポリシーによりアプリは特定のゲートウェイに再認証を強制されます。このようなゲートウェイは通常、異なる(より高い保証の)認証要件とトラフィック管理ポリシーを持っています。空のままにすると、サーバーのデフォルトゲートウェイが常に使用されます。デフォルト値は空です。
デバイスセキュリティ
ジェイルブレイクまたはルート化されたデバイスのブロック
-
オンの場合、デバイスがジェイルブレイクまたはルート化されている場合、アプリはロックされます。オフの場合、デバイスがジェイルブレイクまたはルート化されていても、アプリは実行できます。デフォルト値はオンです。
-
ネットワーク要件
-
Wi-Fi必須
- オンの場合、デバイスがWi-Fiネットワークに接続されていない場合、アプリはロックされます。オフの場合、デバイスが4G/3G、LAN、Wi-Fi接続などのアクティブな接続を持っている場合、アプリは実行できます。デフォルト値はオフです。
許可されるWi-Fiネットワーク
Wi-Fiネットワークのコンマ区切りリスト。ネットワーク名に英数字以外の文字(コンマを含む)が含まれている場合、名前は二重引用符で囲む必要があります。アプリは、リストされているネットワークのいずれかに接続されている場合にのみ実行されます。空白の場合、すべてのネットワークが許可されます。この値は、セルラーネットワークへの接続には影響しません。デフォルト値は空白です。
その他のアクセス
必須アップグレードの無効化
ユーザーがApp Storeでアプリの最新バージョンにアップグレードする必要性を無効にします。デフォルト値はオンです。
アプリ更新猶予期間(時間)
システムがアプリの更新が利用可能であることを検出した後、アプリが引き続き使用できる猶予期間を定義します。デフォルト値は168時間(7日間)です。
注:
ゼロの値を使用しないことをお勧めします。ゼロの値は、更新がダウンロードおよびインストールされるまで(ユーザーへの警告なしに)実行中のアプリが使用されるのを直ちに防ぎます。この値を使用すると、ユーザーが必須の更新に準拠するためにアプリを終了せざるを得なくなる(作業が失われる可能性のある)状況につながる可能性があります。
ロック時のアプリデータ消去
アプリがロックされたときにデータを消去し、アプリをリセットします。オフの場合、アプリがロックされてもアプリデータは消去されません。デフォルト値はオフです。
アプリは、以下のいずれかの理由でロックされる可能性があります。
- ユーザーのアプリの資格の喪失
- アプリのサブスクリプションの削除
- アカウントの削除
- Secure Hubのアンインストール
- アプリ認証の失敗が多すぎる
- ジェイルブレイクされたデバイスの検出(ポリシー設定による)
- 他の管理アクションによるデバイスのロック状態への移行
アクティブポーリング期間(分)
アプリが起動すると、MDX FrameworkはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイスのステータスを判断します。Endpoint Managementを実行しているサーバーに到達可能であると仮定すると、フレームワークは、デバイスのロック/消去ステータスとアプリの有効/無効ステータスに関する情報を返します。サーバーに到達できるかどうかにかかわらず、アクティブポーリング期間間隔に基づいて後続のポーリングがスケジュールされます。期間が経過すると、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。
重要:
この値は、リスクの高いアプリの場合にのみ低く設定してください。そうしないと、パフォーマンスに影響が出る可能性があります。
暗号化
暗号化の種類
MDXまたはデバイスプラットフォームのどちらがデータの暗号化を処理するかを選択できます。MDX encryptionを選択した場合、MDXがデータを暗号化します。Platform encryption with compliance enforcementを選択した場合、デバイスプラットフォームがデータを暗号化します。デフォルト値はMDX encryptionです。
非準拠デバイスの動作
デバイスが暗号化の最小コンプライアンス要件に準拠していない場合に、アクションを選択できます。アプリを通常どおり実行するには、Allow appを選択します。警告が表示された後にアプリを実行するには、Allow app after warningを選択します。アプリの実行をブロックするには、Blockを選択します。デフォルト値はAllow app after warningです。
MDX暗号化の有効化
オフの場合、デバイスに保存されているデータは暗号化されません。オンの場合、デバイスに保存されているデータは暗号化されます。デフォルト値はオンです。
-
注意:
-
-
アプリを展開した後にこのポリシーを変更した場合、ユーザーはアプリを再インストールする必要があります。
データベース暗号化の除外
自動的に暗号化されないデータベースの除外リスト。特定のデータベースの暗号化を防ぐには、このコンマ区切りの正規表現リストにエントリを追加します。データベースのパス名が正規表現のいずれかに一致する場合、そのデータベースは暗号化から除外されます。除外パターンは、Posix 1003.2拡張正規表現構文をサポートしています。パターンマッチングでは大文字と小文字は区別されません。
例
\\.db$,\\.sqlite$ は、.db または .sqlite のいずれかで終わるデータベースパス名を除外します。
\/Database\/unencrypteddb\.db は、Databaseサブフォルダー内のデータベース unencrypteddb.db に一致します。
\/Database\/ は、パスに /Database/ を含むすべてのデータベースに一致します。
デフォルト値は空です。
ファイル暗号化の除外
自動的に暗号化されないファイルの除外リスト。特定のファイルセットの暗号化を防ぐには、このコンマ区切りの正規表現リストにエントリを追加します。ファイルのパス名が正規表現のいずれかに一致する場合、そのファイルは暗号化から除外されます。除外パターンは、Posix 1003.2拡張正規表現構文をサポートしています。パターンマッチングでは大文字と小文字は区別されません。
例
\\.log$,\\.dat$ は、.log または .dat のいずれかで終わるファイルパス名を除外します。
\/Documents\/unencrypteddoc\.txt は、Documentsサブフォルダー内のファイル unencrypteddoc.txt のコンテンツに一致します。
\/Documents\/UnencryptedDocs\/.*\.txt は、サブパス /Documents/UnencryptedDocs/ の下の「.txt」ファイルに一致します。
デフォルト値は空です。
アプリの操作
切り取りとコピー
このアプリのクリップボードの切り取りおよびコピー操作をブロック、許可、または制限します。[制限] の場合、コピーされたクリップボードデータは、MDXアプリのみが利用できるプライベートクリップボードに配置されます。デフォルト値は [制限] です。
貼り付け
このアプリのクリップボードの貼り付け操作をブロック、許可、または制限します。[制限] の場合、貼り付けられたクリップボードデータは、MDXアプリのみが利用できるプライベートクリップボードから取得されます。デフォルト値は [無制限] です。
ドキュメント交換(Open In)
-
このアプリのドキュメント交換操作をブロック、許可、または制限します。[制限] の場合、ドキュメントは他のMDXアプリとのみ交換できます。
-
[無制限] の場合、ユーザーがラップされていないアプリでドキュメントを開けるように、[暗号化を有効にする] ポリシーを [オン] に設定します。受信側アプリがラップされていないか、暗号化が無効になっている場合、Citrix Endpoint Managementはドキュメントを復号化します。 デフォルト値は [制限] です。
制限付きOpen-In例外リスト
ドキュメント交換(Open In)ポリシーが [制限] の場合、MDXアプリは、このコンマ区切りのアンマネージドアプリIDリストとドキュメントを共有できます。これは、ドキュメント交換(Open In)ポリシーが [制限] で、[暗号化を有効にする] が [オン] の場合でも当てはまります。デフォルトの例外リストでは、Office 365アプリが許可されます。
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
このポリシーでサポートされるのはOffice 365アプリのみです。
注意:
このポリシーのセキュリティ上の影響を考慮してください。例外リストにより、アンマネージドアプリとMDX環境の間でコンテンツが移動できるようになります。
接続セキュリティレベル
接続に使用されるTLS/SSLの最小バージョンを決定します。[TLS] の場合、接続はすべてのTLSプロトコルをサポートします。[SSLv3およびTLS] の場合、接続はSSL 3.0およびTLSをサポートします。デフォルト値は [TLS] です。
受信ドキュメント交換(Open In)
このアプリの受信ドキュメント交換操作をブロック、制限、または許可します。[制限] の場合、ドキュメントは他のMDXアプリとのみ交換できます。デフォルト値は [無制限] です。
[ブロック] または [制限] の場合、[受信ドキュメント交換ホワイトリスト] ポリシーを使用して、このアプリにドキュメントを送信できるアプリを指定できます。
オプション:[無制限]、[ブロック]、または [制限]
アプリのURLスキーム
iOSアプリは、特定のスキーム(「http://」など)を処理するように登録されている他のアプリにURLリクエストをディスパッチできます。この機能は、アプリがヘルプのリクエストを別のアプリに渡すメカニズムを提供します。このポリシーは、処理のためにこのアプリに渡されるスキーム(つまり、受信URL)をフィルタリングするのに役立ちます。デフォルト値は空であり、登録されているすべてのアプリURLスキームがブロックされることを意味します。
ポリシーは、各パターンの前にプラス「+」またはマイナス「-」が付く、コンマ区切りのパターンリストとしてフォーマットする必要があります。受信URLは、一致が見つかるまで、リストされている順序でパターンと比較されます。一致すると、プレフィックスによって実行されるアクションが決定されます。
- マイナス「-」プレフィックスは、URLがこのアプリに渡されるのをブロックします。
- プラス「+」プレフィックスは、URLが処理のためにアプリに渡されるのを許可します。
- パターンに「+」または「-」のいずれも指定されていない場合、「+」(許可)が想定されます。
- 受信URLがリスト内のどのパターンにも一致しない場合、URLはブロックされます。
次の表に、アプリのURLスキームの例を示します。
| スキーム | URLスキームを必要とするアプリ | 目的 |
|---|---|---|
ctxmobilebrowser |
Secure Web | Secure Webが他のアプリからのHTTP: URLを処理することを許可します。 |
ctxmobilebrowsers |
Secure Web | Secure Webが他のアプリからのHTTPS: URLを処理することを許可します。 |
ctxmail |
Secure Mail | Secure Mailが他のアプリからのmailto: URLを処理することを許可します。 |
| COL-G2M | GoToMeeting | ラップされたGoToMeetingアプリが会議リクエストを処理することを許可します。 |
ctxsalesforce |
Citrix for Salesforce | Citrix for SalesforceがSalesforceリクエストを処理することを許可します。 |
wbx |
WebEx | ラップされたWebExアプリが会議リクエストを処理することを許可します。 |
アプリの操作(送信URL)
URLフィルタリングから除外されるドメイン
このポリシーは、送信URLを「許可されたURL」フィルタリングから除外します。「許可されたURL」フィルタリングから除外する完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りリストを追加します。このポリシーが空(デフォルト)の場合、定義された「許可されたURL」フィルタリングはURLを処理します。このポリシーにエントリが含まれている場合、リスト内の少なくとも1つの項目に一致するホストフィールドを持つURL(DNSサフィックスの一致による)は、変更されずにiOSに送信されます。この通信は、「許可されたURL」フィルタリングロジックをバイパスします。デフォルト値は空です。
許可されたURL
iOSアプリは、特定のスキーム(「http://」など)を処理するように登録されている他のアプリケーションにURLリクエストをディスパッチできます。この機能は、アプリがヘルプのリクエストを別のアプリに渡すメカニズムを提供します。このポリシーは、このアプリから他のアプリに処理のために渡されるURL(つまり、送信URL)をフィルタリングするのに役立ちます。
ポリシーは、各パターンの前にプラス「+」またはマイナス「-」が付く可能性のある、コンマ区切りのパターンリストとしてフォーマットする必要があります。送信URLは、一致が見つかるまで、リストされている順序でパターンと比較されます。一致すると、プレフィックスによって実行されるアクションが決定されます。マイナス「-」プレフィックスは、URLが別のアプリに渡されるのをブロックします。プラス「+」プレフィックスは、URLが処理のために別のアプリに渡されるのを許可します。パターンに「+」またはマイナス「-」のいずれも指定されていない場合、「+」(許可)が想定されます。「=」で区切られた値のペアは、最初の文字列の出現が2番目の文字列に置き換えられる置換を示します。正規表現の「^」プレフィックスを使用して文字列を検索し、URLの先頭に固定できます。送信URLがリスト内のどのパターンにも一致しない場合、それはブロックされます。
デフォルト
+maps.apple.com
+itunes.apple.com
^http:=ctxmobilebrowser:
-
^https:=ctxmobilebrowsers: -
^mailto:=ctxmail:
+^citrixreceiver:
+^telprompt:
+^tel:
+^lmi-g2m:
+^maps:ios_addr
+^mapitem:
+^sms:
+^facetime:
-
+^ctxnotes: -
+^ctxnotesex: -
+^ctxtasks: -
+^facetime-audio:
+^itms-apps:
+^ctx-sf:
+^sharefile:
+^lync:
+^slack:
+^msteams:
設定が空白の場合、以下のURLを除き、すべてのURLがブロックされます。
http:https:+citrixreceiver: +tel:
以下の表は、許可されるURLの例を示しています。
| URL形式 | 説明 |
|---|---|
| ^mailto:=ctxmail | すべての mailto: URLはSecure Mailで開きます。 |
| ^http | すべてのHTTP URLはSecure Webで開きます。 |
| ^https | すべてのHTTPS URLはSecure Webで開きます。 |
| ^tel | ユーザーが電話をかけることを許可します。 |
-//www.dropbox.com |
管理対象アプリからディスパッチされるDropbox URLをブロックします。 |
| +^COL-G2M | 管理対象アプリがGoToMeetingクライアントアプリを開くことを許可します。 |
| -^SMS | メッセージングチャットクライアントの使用をブロックします。 |
| -^wbx | 管理対象アプリがWebExクライアントアプリを開くことをブロックします。 |
| +^ctxsalesforce | Citrix for SalesforceがSalesforceサーバーと通信することを許可します。 |
許可されるSecure Webドメイン
このポリシーは、URLをSecure Webアプリにリダイレクトする「許可されるURL」ポリシーエントリ (^ http:=ctxmobilebrowser: および ^https:=ctxmobilebrowsers:) にのみ影響します。Secure Webアプリへのリダイレクトが許可される完全修飾ドメイン名 (FQDN) またはDNSサフィックスのコンマ区切りリストを追加します。このポリシーが空の場合 (デフォルト)、すべてのドメインがSecure Webアプリにリダイレクトできます。このポリシーにエントリが含まれている場合、リスト内の少なくとも1つの項目に一致するホストフィールドを持つURLのみが (DNSサフィックスの一致を介して) Secure Webアプリにリダイレクトされます。その他のすべてのURLは、Secure Webアプリをバイパスして、変更されずにiOSに送信されます。デフォルト値は空です。
アプリの制限
重要:
アプリが電話機能にアクセスしたり使用したりすることをブロックするポリシーのセキュリティ上の影響を考慮してください。これらのポリシーがオフの場合、コンテンツは管理対象外のアプリとセキュアな環境の間で移動できます。
カメラのブロック
オンの場合、アプリがカメラハードウェアを直接使用することを防ぎます。デフォルト値はオフです。
フォトライブラリのブロック
オンの場合、アプリがデバイス上のフォトライブラリにアクセスすることを防ぎます。デフォルト値はオンです。
マイク録音のブロック
オンの場合、アプリがマイクハードウェアを直接使用することを防ぎます。デフォルト値はオンです。
音声入力のブロック
オンの場合、アプリが音声入力サービスを直接使用することを防ぎます。デフォルト値はオンです。
位置情報サービスのブロック
オンの場合、アプリが位置情報サービスコンポーネント (GPSまたはネットワーク) を使用することを防ぎます。Secure Mailのデフォルト値はオフです。
SMS作成のブロック
オンの場合、アプリがSMS/テキストメッセージをアプリから送信するために使用されるSMS作成機能を使用することを防ぎます。デフォルト値はオンです。
メール作成のブロック
オンの場合、アプリがメールメッセージをアプリから送信するために使用されるメール作成機能を使用することを防ぎます。デフォルト値はオンです。
iCloudのブロック
オンの場合、アプリが設定やデータの保存および共有にiCloudを使用することを禁止します。
注:
iCloudデータファイルは、ファイルバックアップのブロックポリシーによって制御されます。
デフォルト値はオンです。
ルックアップのブロック
オンの場合、アプリがルックアップ機能を使用することを禁止します。この機能は、辞書、iTunes、App Store、映画の上映時間、周辺の場所などでハイライトされたテキストを検索します。デフォルト値はオンです。
ファイルバックアップのブロック
オンの場合、iCloudまたはiTunesがデータファイルをバックアップすることを禁止します。デフォルト値はオンです。
AirPrintのブロック
オンの場合、アプリがAirPrint対応プリンターへのデータ印刷にAirPrint機能を使用することを禁止します。デフォルト値はオンです。
AirDropのブロック
オンの場合、アプリがAirDropを使用することを禁止します。デフォルト値はオンです。
ファイル添付のブロック
注:
このポリシーはiOS 11以降で適用されます。
オンの場合、添付ファイルの処理が無効になります。デフォルト値はオフです。
FacebookおよびTwitter APIのブロック
オンの場合、アプリがiOSのFacebookおよびTwitter APIを使用することを禁止します。デフォルト値はオンです。
画面コンテンツの隠蔽
オンの場合、ユーザーがアプリを切り替える際に画面が隠蔽されます。このポリシーは、iOSが画面コンテンツを記録したりサムネイルを表示したりすることを防ぎます。デフォルト値はオンです。
サードパーティ製キーボードのブロック (iOS 11以降のみ)
オンの場合、アプリがiOS 8以降でサードパーティ製キーボード拡張機能を使用することを禁止します。デフォルト値はオンです。
アプリログのブロック
オンの場合、アプリがモバイル生産性アプリの診断ログ機能を使用することを禁止します。オフの場合、アプリログは記録され、Secure Hubのメールサポート機能を使用して収集される可能性があります。デフォルト値はオフです。
ShareFileの有効化
ユーザーがShareFileを使用してファイルを転送できるようにします。デフォルト値はオンです。
ファイルからの添付の有効化
ユーザーがiOSのファイルアプリから添付ファイルを追加できるようにします。デフォルト値はオンです。
アプリのネットワークアクセス
ネットワークアクセス
-
注:
トンネル化 - Web SSOは、設定におけるSecure Browseの名称です。動作は同じです。
設定オプションは次のとおりです。
- ブロック済み: すべてのネットワークアクセスがブロックされます。アプリで使用されるネットワークAPIは失敗します。以前のガイドラインに従い、このような失敗を適切に処理する必要があります。
- 無制限: すべてのネットワーク呼び出しは直接行われ、トンネル化されません。
- トンネル化 - Web SSO: HTTP/HTTPS URLが書き換えられます。このオプションは、HTTPおよびHTTPSトラフィックのトンネル化のみを許可します。トンネル化 - Web SSOの大きな利点は、HTTPおよびHTTPSトラフィックのシングルサインオン (SSO) とPKINIT認証です。Androidでは、このオプションはセットアップのオーバーヘッドが低いため、Webブラウジングタイプの操作に推奨されるオプションです。
トンネル化 - フルVPNまたはトンネル化 - フルVPNおよびWeb SSOポリシーを使用している場合は、トンネル化 - Web SSOポリシーに切り替える必要があります。非推奨のポリシーを使い続けると、メールの同期に失敗します。
注:
トンネル化 - フルVPNを使用しており、Secure Ticket Authority (STA) が構成されている場合、最新の認証画面はロードに失敗します。
Micro VPNセッションの必須化
- はいの場合、ユーザーはエンタープライズネットワークへの接続とアクティブなセッションを持っている必要があります。いいえの場合、アクティブなセッションは必要ありません。デフォルト値は以前の設定を使用です。新しくアップロードされたアプリの場合、デフォルト値はいいえです。この新しいポリシーへのアップグレード前に選択されていた設定は、以前の設定を使用以外のオプションが選択されるまで有効です。
Micro VPNセッション必須猶予期間 (分)
この値は、オンラインセッション必須ポリシーによってそれ以上アプリを使用できなくなるまで (オンラインセッションが検証されるまで)、ユーザーがアプリを使用できる分数を示します。デフォルト値は0 (猶予期間なし) です。このポリシーは、Microsoft Intune/EMSとの統合には適用されません。
証明書ラベル
-
StoreFront™証明書統合サービスと併用する場合、このラベルは、このアプリに必要な特定の証明書を識別します。ラベルが指定されていない場合、公開鍵基盤 (PKI) で使用できる証明書は提供されません。デフォルト値は空 (証明書は使用されません) です。
-
除外リスト
VPN接続を介さずに直接アクセスされるFQDNまたはDNSサフィックスのコンマ区切りリストです。この値は、Citrix Gatewayがスプリットトンネルリバースモードで構成されている場合のトンネル化 - Web SSOモードにのみ適用されます。
モバイル生産性アプリの診断ログ機能がデフォルトで使用する出力メディアを決定します。選択肢は、ファイル、コンソール、またはその両方です。デフォルト値はファイルです。
デフォルトのログレベル
-
モバイル生産性アプリの診断ログ機能のデフォルトの冗長性を制御します。各レベルには、それより低い値のレベルが含まれます。設定可能なレベルの範囲は次のとおりです。
- 0 - 何もログに記録しない
- 1 - 重大なエラー
- 2 - エラー
- 3 - 警告
- 4 - 情報メッセージ
- 5 - 詳細な情報メッセージ
-
6~15 - デバッグレベル1~10
-
デフォルト値はレベル4(情報メッセージ)です。
-
最大ログファイル数
モバイル生産性アプリの診断ログ機能によって保持されるログファイルの数を、ロールオーバーする前に制限します。最小値は2です。最大値は8です。デフォルト値は2です。
最大ログファイルサイズ
モバイル生産性アプリの診断ログ機能によって保持されるログファイルのサイズ(MB)を、ロールオーバーする前に制限します。最小値は1 MBです。最大値は5 MBです。デフォルト値は2 MBです。
アプリのジオフェンス
中心点の経度
アプリが動作するように制約されている、ポイント/半径ジオフェンスの中心点の経度(X座標)。構成されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
値は符号付き度数形式(DDD.dddd)で表現する必要があります。例:「-31.9635」。西経にはマイナス記号を付ける必要があります。デフォルト値は0です。
中心点の緯度
アプリが動作するように制約されている、ポイント/半径ジオフェンスの中心点の緯度(Y座標)。構成されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
値は符号付き度数形式(DDD.dddd)で表現する必要があります。例:「43.06581」。南緯にはマイナス記号を付ける必要があります。デフォルト値は0です。
半径
アプリが動作するように制約されているジオフェンスの半径。構成されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
値はメートルで表現する必要があります。ゼロに設定すると、ジオフェンスは無効になります。「位置情報サービスをブロックする」ポリシーが有効になっている場合、ジオフェンシングは正常に機能しません。デフォルトは0(無効)です。
Google Analyticsの有効化
オンの場合、Citrixは製品品質向上のために匿名データを収集します。オフの場合、データは収集されません。 デフォルト値はオンです。
分析
Google Analyticsの詳細レベル
Citrixは製品品質向上のために分析データを収集します。匿名を選択すると、企業を特定できる情報を含めることからユーザーが除外されます。デフォルトは「完全」です。
レポート
Citrixレポート
オンの場合、Citrixは問題のトラブルシューティングに役立つクラッシュレポートと診断情報を収集します。オフの場合、Citrixはデータを収集しません。
注:
Citrixは、この機能を機能フラグで制御する場合もあります。この機能が機能するには、機能フラグとこのポリシーの両方を有効にする必要があります。
デフォルト値はオフです。
アップロードトークン
Citrix Insight Services(CIS)アカウントからアップロードトークンを取得できます。このオプションのトークンを指定すると、CISはデバイスからアップロードされたクラッシュレポートと診断情報へのアクセスを許可します。Citrixも同じ情報にアクセスできます。デフォルト値は空です。
Wi-Fi経由でのみレポートを送信
オンの場合、CitrixはWi-Fiネットワークに接続されている場合にのみクラッシュレポートと診断情報を送信します。デフォルト値はオンです。
レポートファイルキャッシュの最大値
キャッシュをクリアする前に保持されるクラッシュレポートおよび診断バンドルのサイズを制限します。最小値は1 MBです。最大値は5 MBです。デフォルト値は2 MBです。
アプリの操作
明示的なログオフ通知
無効の場合、ユーザーのログオフ中にアプリはアクティブ化されません。共有デバイスのみの場合、デバイスが共有デバイスとして構成されている場合にのみ、ユーザーのログオフ中にアプリがアクティブ化されます。Secure Mailのデフォルトは共有デバイスのみです。
アプリ設定
Secure MailのExchangeサーバー
Exchange Server、またはiOSのみの場合はIBM Notes Travelerサーバーの完全修飾ドメイン名(FQDN)。デフォルト値は空です。このフィールドにドメイン名を入力すると、ユーザーはそれを編集できません。このフィールドを空のままにすると、ユーザーは独自のサーバー情報を提供します。
注意:
既存のアプリに対してこのポリシーを変更する場合、ユーザーはポリシーの変更を適用するためにアプリを削除して再インストールする必要があります。
Secure Mailユーザーのドメイン
Exchangeユーザー、またはiOSのみの場合はNotesユーザーのデフォルトのActive Directoryドメイン名。デフォルト値は空です。
バックグラウンドネットワークサービス
バックグラウンドネットワークアクセスが許可されているサービスアドレスのFQDNとポート。この値は、社内ネットワークまたはSecure Mailが接続する別のネットワーク(例:mail.example.com:443)にあるExchange ServerまたはActiveSyncサーバーである可能性があります。
このポリシーを構成する場合、ネットワークアクセスポリシーを内部ネットワークにトンネル接続に設定します。このポリシーは、ネットワークアクセスポリシーを構成すると有効になります。Exchange Serverが内部ネットワーク内にあり、Citrix Gateway(旧NetScaler Gateway)を使用して内部Exchange Serverへの接続をプロキシする場合に、このポリシーを使用します。
デフォルト値は空で、バックグラウンドネットワークサービスが利用できないことを意味します。
バックグラウンドサービスチケットの有効期限
バックグラウンドネットワークサービスチケットが有効である期間。有効期限が切れると、チケットを更新するためにエンタープライズログオンが必要になります。デフォルト値は168時間(7日間)です。
バックグラウンドネットワークサービスゲートウェイ
バックグラウンドネットワークサービスに使用する代替ゲートウェイアドレス。形式はfqdn:portです。この値は、Secure Mailが内部Exchange Serverに接続するために使用するCitrix GatewayのFQDNとポート番号です。Citrix Gateway構成ユーティリティで、Secure Ticket Authority (STA) を構成し、ポリシーを仮想サーバーにバインドする必要があります。デフォルト値は空で、代替ゲートウェイが存在しないことを意味します。
このポリシーを構成する場合、ネットワークアクセスポリシーを内部ネットワークにトンネル接続に設定します。このポリシーは、ネットワークアクセスポリシーを構成すると有効になります。Exchange Serverが内部ネットワーク内にあり、Citrix Gatewayを使用して内部Exchange Serverへの接続をプロキシする場合に、このポリシーを使用します。
連絡先のエクスポート
重要:
ユーザーがExchange Serverに直接アクセスできる場合(つまり、Citrix Gatewayの外部から)、この機能を有効にしないでください。そうしないと、デバイスとExchangeに重複する連絡先が作成されます。
オフの場合、Secure Mailの連絡先がデバイスに一方向で同期されること、およびSecure Mailの連絡先(vCardとして)が共有されることを防ぎます。デフォルト値はオフです。
エクスポートする連絡先フィールド
アドレス帳にエクスポートする連絡先フィールドを制御します。すべての場合、すべての連絡先フィールドがエクスポートされます。名前と電話番号の場合、名前と電話番号に関連するすべての連絡先フィールドがエクスポートされます。名前、電話番号、およびメールアドレスの場合、名前、電話番号、およびメールアドレスに関連するすべての連絡先フィールドがエクスポートされます。
デフォルト値はすべてです。
すべてのSSL証明書の受け入れ
オンの場合、Secure MailはすべてのSSL証明書(有効かどうかにかかわらず)を受け入れ、アクセスを許可します。オフの場合、Secure Mailは証明書エラーが発生したときにアクセスをブロックし、警告を表示します。
デフォルト値はオフです。
ロック画面通知の制御
ロックされたデバイス画面にメールとカレンダーの通知を表示するかどうかを制御します。許可の場合、通知に含まれるすべての情報が表示されます。ブロックの場合、通知は表示されません。メール送信者またはイベントのタイトルの場合、メール送信者の名前またはカレンダーイベントのタイトルのみが表示されます。件数のみの場合、メールと会議の招待の件数とカレンダーリマインダーの時刻が表示されます。デフォルト値は許可です。
デフォルトのメール通知
オンの場合、Secure Mailはメールのロック画面通知を表示します。デフォルト値はオンです。
デフォルトの同期間隔
Secure Mailのデフォルトの同期間隔を指定します。Secure Mailユーザーはデフォルトを変更できます。Exchange ActiveSyncメールボックスポリシー設定のメールの最大期間フィルターは、このポリシーよりも優先されます。メールの最大期間フィルターよりも大きいデフォルトの同期間隔を指定した場合、メールの最大期間フィルター設定が代わりに使用されます。
Secure Mailは、Active Syncメールの最大期間フィルター設定よりも小さい同期間隔の値のみを表示します。
デフォルト値は3日間です。
メール検索制限
メールサーバー検索に含まれる日数を制限することにより、モバイルデバイスからアクセスできるメール履歴の量を制限します。デフォルト値は無制限です。
モバイルデバイスに同期されるメールの量を制限するには、最大クライアント同期期間ポリシーを構成します。
最大同期間隔
同期期間を制限することにより、モバイルデバイスにローカルに保存されるメールの量を制御します。デフォルト値はすべてです。デバイスがメールサーバーで検索できる期間を制限するには、メールサーバー検索制限ポリシーを構成します。
週番号の有効化
オンの場合、カレンダービューに週番号が含まれます。デフォルト値はオフです。
Wi-Fi経由での添付ファイルのダウンロードの有効化
オンの場合、Secure Mailの添付ファイルのダウンロードオプションが有効になり、ユーザーはデフォルトで許可された内部Wi-Fiネットワーク経由で添付ファイルをダウンロードできます。オフの場合、Secure Mailの添付ファイルのダウンロードオプションが無効になり、ユーザーはデフォルトでWi-Fi経由で添付ファイルをダウンロードできません。
デフォルト値はオフです。
オフラインドキュメントの許可
ユーザーがデバイスにオフラインドキュメントを保存できるかどうか、および保存期間を指定します。デフォルト値は無制限です。
情報権限管理
オンの場合、Secure MailはExchange Information Rights Management (IRM) 機能に対応します。デフォルト値はオフです。
メール分類
オンの場合、Secure MailはSEC(セキュリティ)およびDLM(配布制限マーカー)のメール分類マーキングに対応します。分類マーキングは、メールヘッダーに「X-Protective-Marking」値として表示されます。関連するメール分類ポリシーを必ず構成してください。
デフォルト値はオフです。
メール分類マーキング
ユーザーが利用できる分類マーキングを指定します。リストが空の場合、Secure Mailは保護マーキングのリストを含みません。マーキングリストには、セミコロンで区切られた値のペアが含まれています。各ペアには、Secure Mailに表示される値と、Secure Mailのメール件名およびヘッダーに追加されるテキストであるマーキング値が含まれます。たとえば、マーキングペア「UNOFFICIAL,SEC=UNOFFICIAL;」では、リスト値は「UNOFFICIAL」で、マーキング値は「SEC=UNOFFICIAL」です。
メール分類名前空間
使用される分類標準によってメールヘッダーで必要とされる分類名前空間を指定します。たとえば、名前空間「gov.au」はヘッダーに「NS=gov.au」として表示されます。
デフォルト値は空です。
メール分類バージョン
使用される分類標準によってメールヘッダーに要求される分類バージョンを指定します。たとえば、バージョン「2012.3」はヘッダーに「VER=2012.3」と表示されます。
デフォルト値は空です。
デフォルトのメール分類
ユーザーがマーキングを選択しなかった場合に、Secure Mailがメールに適用する保護マーキングを指定します。この値は、[メール分類マーキング] ポリシーのリストに含まれている必要があります。
デフォルト値は UNOFFICIAL です。
メール下書きの自動保存を有効にする
オンの場合、Secure Mailはメッセージを下書きフォルダーに自動保存することをサポートします。
デフォルト値は オン です。
初回認証メカニズム
このポリシーは、初回使用時のプロビジョニング画面で「アドレス」フィールドに入力するために、MDXによって提供されるメールサーバーアドレスまたはユーザーのメールアドレスのどちらを使用する必要があるかを示します。
デフォルト値は 「メールサーバーアドレス」 です。
初回認証資格情報
このポリシーは、初回使用時のプロビジョニング画面に入力するユーザー名として選択する必要がある値を定義します。
デフォルト値は 「登録ユーザー名」 です。
ユーザー名の自動入力の有効化
有効にすると、アカウントプロビジョニングユーザーインターフェイスにユーザー名が自動的に入力されます。デフォルト値は ON です。
iOSデータ保護の有効化
注記:
このポリシーは、オーストラリア信号局 (ASD) のコンピューターセキュリティ要件を満たす必要がある企業を対象としています。
ファイルを操作する際のiOSデータ保護を有効にします。オンの場合、アプリサンドボックスでファイルを作成および開く際のファイル保護レベルを指定します。デフォルト値は オフ です。
プッシュ通知EWSホスト名
メール用のExchange Web Services (EWS) をホストするサーバー。値はEWSのURLとポート番号である必要があります。デフォルト値は空です。
プッシュ通知
メールボックスアクティビティに関するAPNsベースの通知を有効にします。オンの場合、Secure Mailはプッシュ通知をサポートします。
デフォルト値は オフ です。
プッシュ通知リージョン
Secure MailユーザーのAPNsホストが配置されているリージョン。オプションは Americas、EMEA、および APAC です。デフォルト値は Americas です。
S/MIME公開証明書ソース
S/MIME証明書のソースを指定します。メールの場合、ユーザー証明書をユーザーにメールで送信し、ユーザーはSecure Mailでメールを開いて添付された証明書をインポートする必要があります。
共有ボールトの場合、サポートされているデジタルIDプロバイダーがSecure App共有ボールトに証明書を提供します。サードパーティプロバイダーとの統合には、関連するアプリをユーザーに公開する必要があります。ユーザーエクスペリエンスの詳細については、[Secure Mail初回起動時のS/MIME有効化] ポリシーの説明を参照してください。
デフォルト値は メール です。
Secure Mail初回起動時のS/MIME有効化
S/MIME証明書ソースポリシーが 共有ボールト の場合、Secure Mailの初回起動時にS/MIMEを有効にするかどうかを決定します。オンの場合、共有ボールトにユーザーの証明書がある場合、Secure MailはS/MIMEを有効にします。共有ボールトに証明書がない場合、ユーザーは証明書をインポートするように求められます。これらの両方のシナリオでは、ユーザーはSecure Mailでアカウントを作成する前に、サポートされているデジタルIDプロバイダーアプリから証明書を設定する必要があります。
オフの場合、Secure MailはS/MIMEを有効にせず、ユーザーはSecure Mailの設定でS/MIMEを有効にできます。デフォルト値は オフ です。
カレンダーのWebおよびオーディオオプション
- GoToMeetingとユーザー入力: ユーザーは設定したい会議の種類を選択できます。オプションには、GoToMeetingページを開く GoToMeeting と、ユーザーが会議情報を手動で入力できる その他の会議 があります。
- ユーザー入力のみ: ユーザーは直接「その他の会議」ページに移動し、会議情報を手動で入力できます。
S/MIME公開証明書ソース
S/MIME公開証明書のソースを指定します。Exchangeの場合、Secure MailはExchange Serverから証明書を取得します。LDAPの場合、Secure MailはLDAPサーバーから証明書を取得します。デフォルト値は Exchange です。
LDAPサーバーアドレス
ポート番号を含むLDAPサーバーアドレス。デフォルト値は空です。
LDAPベースDN
LDAPベース識別名。デフォルト値は空です。
LDAPへの匿名アクセス
このポリシーが オン の場合、Secure Mailは事前の認証なしにLDAPを検索できます。デフォルトは オフ です。
許可されるメール ドメイン
カンマ区切りの形式(例:server.company.com,server.company.co.uk)で、許可されるメール ドメインのリストを定義します。デフォルト値は空で、これはSecure Mailがメール ドメインをフィルタリングせず、すべてのメール ドメインをサポートすることを意味します。Secure Mailは、リストされたドメインをメール アドレス内のドメイン名と照合します。たとえば、server.company.comがリストされたドメイン名で、メール アドレスがuser@internal.server.company.comの場合、Secure Mailはそのメール アドレスをサポートします。
認証失敗時のユーザー名移行の試行
認証のためにExchangeユーザー名をUPNに移行しようとします。デフォルト値はオフです。
フィッシングメールの報告先アドレス
設定されている場合、疑わしいフィッシングメールを指定されたメール アドレス、またはカンマ区切りのメール アドレスのリストに報告できます。デフォルト値は空です。このポリシーを設定しない場合、フィッシングメッセージを報告することはできません。
フィッシング報告メカニズム
このポリシーは、疑わしいフィッシングメールを報告するために使用されるメカニズムを示します。
- 添付ファイルとして報告: フィッシングメールを添付ファイルとして報告します。添付ファイルは、「フィッシングメールの報告先アドレス」ポリシーで設定されたメール アドレス、またはカンマ区切りのメール アドレスのリストに送信されます。
- 転送として報告: フィッシングメールを転送として報告します。メールは、「フィッシングメールの報告先アドレス」ポリシーで設定されたメール アドレス、またはカンマ区切りのメール アドレスのリストに転送されます。
注記:
このポリシーは、Microsoft Exchange Serverでのみ利用可能です。
デフォルトは添付ファイルとして報告です。
Skype for Business会議ドメイン
このポリシーには、Skype for Business会議に使用されるドメインのカンマ区切りリストが含まれています。
Secure Mailは、以下のURLプレフィックスを持つ会議をすでに処理します。
https://joinhttps://meethttps://lync
このポリシーを使用すると、他のSkype for Businessドメインをhttps://*domain*の形式で追加できます。ドメインは英数字の文字列であり、特殊文字を含めることはできません。先頭のhttps://や末尾のドットは入力しないでください。
例:
ポリシー値がcustomDomain1,customDomain2の場合、Skype for BusinessでサポートされるURLプレフィックスは次のようになります。
https://customDomain1http://customDomain1https://customDomain2http://customDomain2
デフォルト値は空です。
カレンダーのエクスポート
このポリシーにより、Secure Mailのカレンダーイベントをデバイスまたは個人のカレンダーにエクスポートできます。個人のカレンダーでイベントを表示できます。Secure Mailを使用してイベントを編集できます。デフォルト値は会議時間です。
個人のカレンダーに表示されるカレンダーイベントフィールドには、以下のMDXポリシー値が利用可能です。
- なし(エクスポートしない)
- 会議時間
- 会議時間、場所
- 会議時間、件名、場所
- 会議時間、件名、場所、メモ
発信者識別
オンの場合、Secure Mailは保存されている連絡先の名前と連絡先番号を発信者識別の目的でiOSに提供します。このデータは、保存されているSecure Mailの連絡先リストからの着信を識別し、詳細を表示するためにのみ使用されます。デフォルト値はオンです。
Office 365のOAuthサポート
Office 365認証メカニズム
このポリシーは、Office 365でアカウントを設定する際に認証に使用されるOAuthメカニズムを示します。
- OAuthを使用しない: OAuthは使用されず、Secure Mailはアカウント設定に基本認証を使用します。
- ユーザー名とパスワードでOAuthを使用: ユーザーは、OAuthフローのためにユーザー名とパスワード、およびオプションでMFAコードを提供する必要があります。
- クライアント証明書でOAuthを使用: ユーザーは、クライアント証明書を使用してOAuthフローを認証します。
デフォルトは「OAuthを使用しない」です。
信頼済みExchange Onlineホスト名
アカウント設定時に認証にOAuthメカニズムを使用する、信頼済みExchange Onlineホスト名のリストを定義します。この値は、server.company.com, server.company.co.ukのようなカンマ区切り形式です。リストが空の場合、Secure Mailはアカウント設定に基本認証を使用します。デフォルト値はoutlook.office365.comです。
信頼済みAD FSホスト名
Office 365 OAuth認証中にパスワードが自動入力されるWebページ用の、信頼済みAD FSホスト名のリストを定義します。この値は、sts.companyname.com, sts.company.co.ukのようなカンマ区切り形式です。リストが空の場合、Secure Mailはパスワードを自動入力しません。Secure Mailは、Office 365認証中に遭遇したWebページのホスト名とリストされたホスト名を照合し、そのページがHTTPSプロトコルを使用しているかどうかを確認します。たとえば、sts.company.comがリストされたホスト名で、ユーザーがhttps://sts.company.comに移動した場合、そのページにパスワードフィールドがあれば、Secure Mailはパスワードを自動入力します。デフォルト値はlogin.microsoftonline.comです。
メールリダイレクト
メールリダイレクト
メールの作成をブロックまたは制限します。Secure Mailはメール作成をSecure Mailにリダイレクトします。アカウントが設定されている場合、ネイティブメールはメール作成をネイティブメールにリダイレクトします。デフォルト値はSecure Mailです。
Slack連携
Slackの有効化
Slack連携をブロックまたは許可します。オンの場合、Secure MailインターフェイスにはSlack機能が含まれます。オフの場合、Secure MailインターフェイスにはSlack機能は含まれません。デフォルト値はオフです。
Slackワークスペース名
会社のSlackワークスペース名。名前を指定すると、Secure Mailはサインオン時にワークスペース名を事前入力します。名前を指定しない場合、ユーザーはワークスペース名(name.slack.com)を入力する必要があります。デフォルト値は空です。