Políticas de MDX para aplicativos móveis de produtividade para Android
Este artigo descreve as políticas de MDX para aplicativos Android. Você altera as configurações da política no console Citrix Endpoint Management. Para obter detalhes, consulte Adicionar aplicativos.
A lista a seguir não inclui políticas de MDX específicas para o Secure Web. Para obter detalhes sobre as políticas que aparecem para o Secure Web , consulte Políticas do Secure Web.
Authentication
Código secreto do aplicativo
Se o valor for Ativado, será necessário um PIN ou código secreto para desbloquear o aplicativo quando ele for iniciado ou reiniciado após um período de inatividade. O valor padrão é Ativado.
Para configurar o timer de inatividade de todos os aplicativos, defina o valor de INACTIVITY_TIMER em minutos nas Propriedades do cliente da guia Configurações. O valor padrão do timer de inatividade é de 60 minutos. Para desativar o timer de inatividade de forma que um aviso de PIN ou código secreto seja exibido somente quando o aplicativo for iniciado, defina o valor como zero.
Nota:
Se você selecionar Seguro offline para a política Chaves de criptografia, esta política será ativada automaticamente.
Período máximo offline (horas)
Define o período máximo durante o qual um aplicativo pode ser executado offline sem fazer login na rede para reconfirmar o direito e atualizar as políticas. O valor padrão é 168 horas (7 dias). O período mínimo é de 1 hora.
O usuário é relembrado para fazer logon em 30, 15 e 5 minutos antes da expiração do período. Após a expiração, o aplicativo permanece bloqueado até que o usuário conclua um logon de rede bem-sucedido.
Citrix Gateway alternativo
Nota:
O nome dessa política no console Endpoint Management é NetScaler Gateway alternativo.
Endereço de um determinado Citrix Gateway (anteriormente, NetScaler Gateway) que é usado para autenticação e para sessões de micro VPN com este aplicativo. NetScaler Gateway alternativo é uma política opcional que, quando usada com a política de Sessão Online Obrigatória, força os aplicativos a se autenticar novamente para o gateway específico. Esses gateways normalmente têm requisitos de autenticação (maior garantia) e políticas de gerenciamento de tráfego diferentes. Se for deixado em branco, o padrão do servidor será sempre usado. O valor padrão é vazio.
Segurança do dispositivo
Bloquear dispositivos com jailbreak ou root
Se o valor for Ativado, o aplicativo será bloqueado quando o dispositivo tiver jailbreak ou raiz. Se for Desativado, o aplicativo poderá ser executado, mesmo se o dispositivo tiver jailbreak ou raiz. O valor padrão é Ativado.
Exigir criptografia do dispositivo
Se o valor for Ativado, o aplicativo será bloqueado se o dispositivo não tiver a criptografia configurada. Se for Desativado, o aplicativo poderá ser executado mesmo se o dispositivo não tiver a criptografia configurada. O valor padrão é Desativado.
Nota:
Essa política só é compatível com o Android 3.0 (Honeycomb). Definir a política como Ativado impede que um aplicativo seja executado em versões mais antigas.
Exigir bloqueio do dispositivo
Se PIN ou código secreto do dispositivo estiver selecionado, o aplicativo será bloqueado se o dispositivo não tiver o PIN ou código secreto. Se Bloqueio de tela de dispositivo com desenho estiver selecionado, o aplicativo será bloqueado se o dispositivo não tiver um padrão de bloqueio de tela definido. Em Desativado, o aplicativo poderá ser executado mesmo se o dispositivo não tiver o PIN, código secreto ou padrão de bloqueio de tela definido. O valor padrão é Desativado.
PIN ou código secreto do dispositivo exige a versão mínima do Android 4.1 (Jelly bean). Definir a política como PIN ou código secreto do dispositivo impede que um aplicativo seja executado em versões mais antigas.
Nos dispositivos Android M, as opções PIN ou código secreto do dispositivo e Bloqueio de tela do dispositivo com desenho têm o mesmo efeito: com uma dessas opções, o aplicativo será bloqueado se o dispositivo não tiver um PIN, código secreto ou padrão de bloqueio de tela definido.
Requisitos de rede
Exigir Wi-Fi
Se o valor for Ativado, o aplicativo será bloqueado quando o dispositivo não estiver conectado a uma rede Wi-Fi. Se for Desativado, o aplicativo poderá ser executado quando o dispositivo tiver uma conexão ativa, como 4G/3G, LAN ou Wi-Fi. O valor padrão é Desativado.
Redes Wi-Fi permitidas
Lista delimitada por vírgulas de redes Wi-Fi permitidas. Se o nome da rede contiver caracteres não alfanuméricos (incluindo vírgulas), o nome deverá estar entre aspas duplas. O aplicativo só funciona se for conectado a uma das redes na lista. Se for deixado em branco, todas as redes são permitidas. Esse valor não afeta as conexões a redes celulares. O valor padrão é em branco.
Outros acessos
Período de tolerância de atualização de aplicativo (horas)
Define o período de tolerância durante o qual um aplicativo pode ser usado após o sistema descobrir que uma atualização de aplicativo está disponível. O valor padrão é 168 horas (7 dias).
Nota:
O uso de zero não é recomendável, pois isso impede imediatamente que um aplicativo em execução seja usado até que a atualização seja baixada e instalada (sem nenhum aviso ao usuário). Esse valor pode causar uma situação na qual o usuário que está executando o aplicativo é forçado a fechar o aplicativo (e pode perder o trabalho) devido à conformidade com a atualização necessária.
Desativar obrigatoriedade de atualização
Desativa a exigência de que os usuários atualizem para a versão mais recente do aplicativo na App Store. O valor padrão é Ativado.
Apagar dados de aplicativo ao bloquear
Apaga dados e redefine o aplicativo quando o aplicativo é bloqueado. Se o valor for Desativado, os dados de aplicativo não serão apagados quando o aplicativo for bloqueado. O valor padrão é Desativado.
Um aplicativo pode estar bloqueado por um dos seguintes motivos:
- Perda de direito do usuário ao aplicativo
- Assinatura de aplicativo removida
- Conta removida
- Secure Hub desinstalado
- Número excessivo de falhas de autenticação de aplicativo
- Dispositivo com jailbreak detectado (por configuração de política)
- Dispositivo colocado em estado bloqueado por outra ação administrativa
Intervalo ativo de sondagem (minutos)
Quando um aplicativo é iniciado, a estrutura do MDX faz uma sondagem no Citrix Endpoint Management para determinar o aplicativo atual e o status do dispositivo. Partindo do princípio de que o servidor que está executando o Endpoint Management possa ser acessado, a estrutura retorna informações sobre o status de bloqueio/exclusão do dispositivo e o status de ativação/desativação do aplicativo. Independentemente de o servidor poder ser contatado, a sondagem subsequente será agendada com base no intervalo de sondagem ativa. Após a expiração do período, uma nova tentativa de sondagem será realizada. O valor padrão é 60 minutos (1 hora).
Importante:
Só defina com um valor menor para os aplicativos de alto risco, para que o desempenho não seja afetado.
Criptografia
Tipo de criptografia
Permite que você escolha se o MDX ou a plataforma do dispositivo manipula a criptografia de dados. Se você selecionar Criptografia MDX, o MDX irá criptografar os dados. Se você selecionar Criptografia de plataforma com imposição de conformidade, a plataforma de dispositivo criptografará os dados. O valor padrão é Criptografia MDX.
Comportamento do dispositivo não compatível
Permite que você escolha uma ação quando um dispositivo não adere aos requisitos mínimos de conformidade da criptografia. Selecione Permitir aplicativo para que o aplicativo seja executado normalmente. Selecione Permitir aplicativo após aviso para que o aplicativo seja executado após o aviso aparecer. Selecione Bloquear para bloquear a execução do aplicativo. O valor padrão é Permitir aplicativo após aviso.
Chaves de criptografia
Ativa os segredos usados para obter as chaves de criptografia a serem mantidas no dispositivo. O acesso offline é permitido é a única opção disponível.
A Citrix recomenda que você defina a política de Autenticação para ativar um login de rede ou um desafio de senha offline para proteger o acesso ao conteúdo criptografado.
Criptografia privada de arquivo
Controla a criptografia de arquivos de dados privados nas seguintes localizações: /data/data/<appname> e /mnt/sdcard/Android/data/<appname>.
A opção Desativado significa que os arquivos privados não serão criptografados. A opção Grupo de segurança criptografa arquivos privados usando uma chave compartilhada por todos os aplicativos MDX no mesmo grupo de segurança. A opção Aplicativo criptografa arquivos privados usando uma chave exclusiva para o aplicativo. O valor padrão é Grupo de segurança.
Exclusões de criptografia privada de arquivo
Contém uma lista separada por vírgulas de caminhos de arquivo. Cada caminho é uma expressão regular que representa um ou mais arquivos que são criptografados. Os caminhos de arquivo são relativos às áreas restritas internas e externas. O valor padrão é vazio.
As exclusões só se aplicam às seguintes pastas:
-
Armazenamento interno:
/data/data/<your_package_name>
-
Cartão SD:
/storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>
/storage/emulated/legacy/Android/data/<your_package_name>
Exemplos
Arquivo a ser excluído | Valor na exclusão de criptografia de arquivo privado |
---|---|
/data/data/com.citrix.mail/files/a.txt | ^files/a.txt |
Todos os arquivos de texto em /storage/emulated/0/Android/data/com.citrix.mail/files | ^files/(.)+.txt$ |
Todos os arquivos em /data/data/com.citrix.mail/files | ^files/ |
Limites de acesso para arquivos públicos
Contém uma lista separada por vírgulas. Cada entrada é um caminho de expressão regular seguido por (NA), (RO) ou (RW). Os arquivos correspondentes ao caminho estão limitados ao acesso Sem Acesso, Somente Leitura ou Leitura/Gravação. A lista é processada na ordem e o primeiro caminho correspondente é usado para definir o limite de acesso. O valor padrão é vazio.
Essa política é aplicada somente quando a Criptografia de arquivo público está ativada (alterada da opção Desativado para a opção Grupo de Segurança ou Aplicativo). Ela só é aplicável aos arquivos públicos existentes e sem criptografia pública e especifica quando os arquivos são criptografados.
Arquivos a serem excluídos | Valor de criptografia de arquivo privado |
---|---|
Pasta Downloads no armazenamento externo somente leitura | EXT:^Download/(RO) |
Todos os arquivos MP3 na pasta Music no armazenamento virtual sem acesso | VS:^Music/(.)+.mp3$(NA) |
Criptografia pública de arquivo
Controla a criptografia de arquivos públicos. Se o valor for Desativado, os arquivos públicos não serão criptografados. Se for Grupo de Segurança, os arquivos públicos serão criptografados usando uma chave compartilhada por todos os aplicativos MDX no mesmo grupo de segurança. Se for Aplicativo, os arquivos públicos serão criptografados usando uma chave exclusiva para este aplicativo.
O valor padrão é Grupo de Segurança.
Exclusões de criptografia pública de arquivo
Contém uma lista separada por vírgulas de caminhos de arquivo. Cada caminho é uma expressão regular que representa um ou mais arquivos que não são criptografados. Os caminhos de arquivo são relativos ao armazenamento externo padrão e a qualquer dispositivo externo específico de armazenamento.
As exclusões de criptografia de arquivos públicos incluem somente localizações de pastas externas.
Exemplos
Arquivo a ser excluído | Valor na exclusão de criptografia de arquivo público |
---|---|
Pasta Downloads no cartão SD | Baixar |
Todos os arquivos MP3 na pasta Music | ^Music/(.)+.mp3$ |
Migração de arquivo pública
Essa política é aplicada somente quando você ativa a política Criptografia de arquivo público (alterada de Desativado para Grupo de Segurança ou Aplicativo). Ela só é aplicável aos arquivos públicos existentes e sem criptografia pública e especifica quando os arquivos são criptografados. O valor padrão é Gravar (RO/RW).
A opção Desativado significa que os arquivos existentes não serão criptografados. A opção Gravar (RO/RW) criptografa os arquivos existentes somente quando eles são abertos para acesso somente gravação ou leitura/gravação. A opção Qualquer criptografa os arquivos existentes quando eles são abertos em qualquer modo. Opções:
- Disabled. Não criptografa os arquivos existentes.
- Gravar (RO/RW). Criptografa os arquivos existentes somente quando eles são abertos para acesso somente gravação ou leitura/gravação.
- Qualquer. Criptografa os arquivos existentes quando eles são abertos em qualquer modo.
Notas:
- Os arquivos novos ou existentes não criptografados que são substituídos criptografam os arquivos de substituição em todos os casos.
- Encryption an existing public file makes the file unavailable to other apps that we do not have the same encryption key.
Interação do aplicativo
Grupo de Segurança
Deixe este campo em branco se quiser que todos os aplicativos móveis gerenciados pelo Citrix Endpoint Management troquem informações entre si. Defina um nome de grupo de segurança para gerenciar as configurações de segurança de determinados grupos de aplicativos (por exemplo, finanças ou recursos humanos).
Cuidado:
Se você alterar essa política de um aplicativo existente, os usuários deverão excluir e reinstalar o aplicativo para aplicar a alteração de política.
Recortar e copiar
Bloqueia, permite ou restringe operações de recortar e copiar da área de transferência com relação a este aplicativo. Se o valor for Restrito, os dados copiados na área de transferência são colocados em uma área de transferência privativa que somente está disponível para aplicativos MDX. O valor padrão é Restrito.
Colar
Bloqueia, permite ou restringe operações de colar da área de transferência com relação a este aplicativo. Se o valor for Restrito, os dados colados da área de transferência têm origem em uma área de transferência privativa que somente está disponível para aplicativos MDX. O valor padrão é Irrestrito.
Troca de documentos (Abrir em)
Bloqueia, permite ou restringe as operações de troca de documentos com relação ao aplicativo. Se o valor for Restrito, os documentos só poderão ser trocados com outros aplicativos MDX e as exceções de aplicativo especificadas na política Lista restrita de exceção de Abrir em. Se for Irrestrito, defina as políticas Criptografia de arquivo privado e Criptografia de arquivo público como Desativado, de modo que os usuários possam abrir documentos em aplicativos não preparados. O valor padrão é Restrito.
Domínios de URL excluídos da filtragem
Esta política é usada para excluir determinadas URLs de saída da filtragem de MDX. A seguinte lista separada por vírgulas de nomes de domínio totalmente qualificados (FQDN) ou sufixos DNS é excluída de filtragens de MDX. Se esta política contiver entradas, as URLs com campos de host correspondentes a pelo menos um item na lista (via correspondência de sufixo DNS) são enviadas inalteradas para o navegador padrão. O valor padrão é vazio.
Domínios do Secure Web permitidos
Esta política só está em vigor para os domínios não excluídos por uma política de filtragem de URL. Adicione uma lista separada por vírgulas de nomes de domínio totalmente qualificados (FQDN) ou sufixos DNS que são redirecionados para o aplicativo Secure Web quando a troca de documentos é Restrita.
Se esta política contiver entradas, apenas as URLs com campos de host correspondentes a pelo menos um item na lista (via correspondência de sufixo DNS) são redirecionadas para o aplicativo Secure Web quando a troca de documentos for Restrita.
Todas as outras URLs são enviadas para o navegador padrão do Android (ignorando a política de Troca de Documentos Restrita). O valor padrão é vazio.
Lista restrita de exceção de Abrir em
Quando a política Troca de documentos (Abrir em) for Restrito, esta lista de intents do Android pode passar para os aplicativos não gerenciados. Uma familiaridade com os intents do Android é necessária para adicionar filtros à lista. Um filtro pode especificar a ação, o pacote, o esquema ou qualquer combinação.
Exemplos
{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->
Cuidado
É essencial considerar as implicações de segurança dessa política. A lista de exceções permite que o conteúdo seja transferido entre os aplicativos não gerenciados e o ambiente MDX.
Troca de documentos de entrada (Abrir em)
Bloqueia, restringe ou permite operações de troca de documentos de entrada para este aplicativo. Se for Restrito, somente é possível trocar documentos com outros aplicativos MDX. O valor padrão é Irrestrito.
Se o valor for Bloqueado ou Restrito, você poderá usar a política Lista branca de troca de documentos recebidos para especificar os aplicativos que podem enviar documentos para esse aplicativo. Para obter informações sobre outras interações de política, consulte a política Bloquear galeria.
Opções: Irrestrito, Bloqueado ou Restrito
Lista branca de troca de documentos recebidos
Quando a política Troca de documentos de entrada está definida como Restrito ou Bloqueado, essa lista delimitada por vírgulas de IDs de aplicativo, incluindo aplicativos não MDX, tem permissão para enviar documentos para o aplicativo. A política fica oculta e não pode ser editada.
Nível de segurança de conexão
Determina a versão mínima do protocolo TLS/SSL usado em conexões. Se for TLS as conexões darão suporte a todos os protocolos TLS. Se for SSLv3 e TLS, as conexões darão suporte a SSL 3.0 e a TLS. O valor padrão é TLS.
Restrições de aplicativo
Importante:
Não deixe de considerar as implicações de segurança das políticas que impedem que os aplicativos acessem ou usem os recursos de telefone. Quando essas políticas estiverem definidas como Desativado, o conteúdo poderá ser transferido entre os aplicativos não gerenciados e o ambiente seguro.
Bloquear câmera
Se o valor for Ativado, impedirá que um aplicativo use diretamente o hardware da câmera. O valor padrão é Ativado.
Bloquear galeria
Se o valor for Ativado, isso impedirá que um aplicativo acesse a Galeria no dispositivo. O valor padrão é Desativado. Essa política funciona em conjunto com a política Troca de documentos de entrada (Abrir em).
- Se a Troca de documentos de entrada (Abrir em) estiver definida como Restrito, os usuários que estiverem trabalhando no aplicativo gerenciado não poderão anexar imagens da Galeria, independentemente da definição de Bloquear Galeria.
- Se a Troca de documentos de entrada (Abrir em) estiver definida como Irrestrito, ocorrerá o seguinte aos usuários que estiverem trabalhando no aplicativo gerenciado:
- Os usuários poderão anexar imagens se Bloquear Galeria estiver definido como Desativado.
- Os usuários serão impedidos de anexar imagens se Bloquear Galeria estiver Ativado.
Bloquear gravação de microfone
Se o valor for Ativado, impedirá que um aplicativo use diretamente o hardware do microfone. O valor padrão é Ativado.
Bloquear serviços de localização
Se o valor for Ativado, impedirá que um aplicativo use os componentes de serviços de localização (GPS ou rede). O valor padrão é Desativado para Secure Mail.
Bloquear composição de SMS
Se o valor for Ativado, impedirá que um aplicativo use o recurso de composição de SMS usado para enviar mensagens SMS/de texto a partir do aplicativo. O valor padrão é Ativado.
Bloquear captura de tela
Se o valor for Ativado, impedirá que os usuários capturem telas enquanto o aplicativo estiver em execução. Além disso, quando o usuário troca de aplicativo, a tela do aplicativo é escurecida. O valor padrão é Ativado.
Ao usar o recurso Near Field Communication (NFC) do Android, alguns aplicativos tiram uma captura de tela deles próprios antes de transmitir o conteúdo. Para ativar esse recurso em um aplicativo preparado, altere a política Bloquear captura de tela para Desativado.
Bloquear sensor de dispositivo
Se o valor for Ativado, impedirá que um aplicativo use os sensores do dispositivo (como acelerômetro, sensor de movimento e giroscópio). O valor padrão é Ativado.
Bloquear NFC
Se o valor for Ativado, impedirá que um aplicativo use o recurso de comunicação a curta distância (NFC). O valor padrão é Ativado.
Bloquear logs de aplicativo
Se o valor for Ativado, proibirá que um aplicativo use o recurso de log de diagnóstico de aplicativos móveis de produtividade. Se for Desativado, os logs de aplicativo serão gravados e poderão ser coletados por meio do recurso de suporte de email do Secure Hub. O valor padrão é Desativado.
Bloquear impressão
Se o valor for Ativado, impedirá que um aplicativo imprima dados. Se um aplicativo tiver um comando Compartilhar, você deverá definir a política Troca de documentos (Abrir em) como Restrito ou Bloqueado para bloquear totalmente a impressão. O valor padrão é Ativado.
Ativar o ShareFile
Permite que os usuários usem ShareFile para transferir arquivos. O valor padrão é Ativado.
Acesso à rede do aplicativo
Acesso à rede
Nota:
Com túnel - SSO de Web é o nome do Secure Browse nas configurações. O comportamento é o mesmo.
As opções de configuração são as seguintes:
- Usar as configurações anteriores: o padrão são os valores definidos nas políticas anteriores. Se você alterar essa opção, você não deve reverter para essa opção. Observe também que as alterações nas novas políticas não entram em vigor até que o usuário atualize o aplicativo para a versão 18.12.0 ou posterior.
- Bloqueado: as APIs de rede usadas pelo seu aplicativo falham. De acordo com a diretriz anterior, você deve processar com cuidado uma falha assim.
- Irrestrito: todas as chamadas serão encaminhadas diretamente e não estarão em túnel.
- Com túnel - VPN completa: todo o tráfego dos túneis de aplicativos gerenciados através do Citrix Gateway.
- Com túnel - SSO de Web: a URLHTTP/HTTPS é reescrita. Esta opção permite apenas o encapsulamento de tráfego HTTP e HTTPS. Uma grande vantagem do procedimento Com túnel - SSO de Web é o logon único (SSO) para tráfego HTTP e HTTPS e também a autenticação PKINIT. No Android, esta opção tem baixa sobrecarga de configuração e, portanto, é a opção preferencial para o tipo de operações de navegação na Web.
Se um dos modos de túnel for selecionado, um túnel VPN por aplicativo nesse modo inicial será criado de volta à rede corporativa. Aqui, as configurações de túnel dividido do Citrix Gateway são usadas. A Citrix recomenda Com túnel - VPN completa para conexões que empregam certificados de cliente ou SSL de ponta a ponta a um recurso na rede empresarial. A Citrix recomenda Com túnel - SSO de Web para conexões que exigem um logon único (SSO).
Sessão micro VPN obrigatória
Se o valor for Ativado, o usuário deverá ter uma conexão com a rede corporativa e uma sessão ativa. Se for Desativado, uma sessão ativa não será necessária. O valor padrão é Usar as configurações anteriores. Para aplicativos recém-carregados, o valor padrão é Não. Qualquer configuração selecionada antes da atualização para essa política permanece em vigor até que uma opção diferente de Usar as configurações anteriores seja selecionada.
Lista de exclusões
Lista delimitada por vírgulas de FQDNs ou sufixos DNS a serem acessados diretamente em vez de através de uma conexão VPN. Esta política só se aplica ao modo Com túnel - SSO da Web quando o Citrix Gateway é configurado com o modo reverso de túnel dividido.
Bloquear conexões de localhost
Se estiver Ativado, os aplicativos não terão permissão para fazer conexões localhost. Localhost é um endereço (como 127.0.0.1) para comunicações que ocorrem localmente no dispositivo. O localhost ignora o hardware da interface de rede local e acessa os serviços de rede em execução no host. Se Desativado, essa política substitui a política de Acesso à rede, o que significa que os aplicativos podem se conectar fora do contêiner seguro se o dispositivo estiver executando um servidor proxy localmente. O padrão é Desativado.
Etiqueta de certificado
Quando usado com o serviço de integração de certificado do StoreFront, essa etiqueta identifica o certificado específico necessário para este aplicativo. Se nenhuma etiqueta for fornecida, nenhum certificado é disponibilizado para uso com uma infraestrutura de chave pública (PKI). O valor padrão é vazio (nenhum certificado usado).
Logs do aplicativo
Saída de log padrão
Determina quais meios de saída são usados pelos recursos de log de diagnóstico do aplicativo Citrix Endpoint Management por padrão. As possibilidades são arquivo, console ou ambos. O valor padrão é arquivo.
Nível padrão de log
Controla o padrão de detalhamento do recurso de log de diagnóstico dos aplicativos móveis de produtividade. Números de nível mais alto incluem log mais detalhado.
- 0 - Nada registrado no log
- 1 - Erros críticos
- 2 - Erros
- 3 - Avisos
- 4 - Mensagens informativas
- 5 - Mensagens informativas detalhadas
- 6 a 15 - Níveis de depuração de 1 a 10
O valor padrão é o nível 4 (Mensagens informativas).
Máx. de arquivos de log
Limita o número de arquivos de log mantidos pelo recurso de log de diagnóstico dos aplicativos móveis de produtividade antes que sejam substituídos. O mínimo é 2. O máximo é 8. O valor padrão é 2.
Tamanho máximo de arquivo de log
Limita o tamanho em MB dos arquivos de log mantidos pelo recurso de log de diagnóstico dos aplicativos móveis de produtividade antes que sejam substituídos. O mínimo é 1 MB. O máximo é 5 MB. O valor padrão é 2 MB.
Redirecionar logs de aplicativo
Se o valor for Ativado, interceptará e redirecionará os logs do sistema ou do console de um aplicativo para o recurso de diagnóstico dos aplicativos móveis de produtividade. Se esta configuração for Desativado, o uso de logs do sistema ou do console pelo aplicativo não será interceptado. O valor padrão é Ativado.
Logs de criptografia
Se o valor for Ativado, o Citrix Endpoint Management criptografará os logs de diagnóstico à medida que ele registrar os logs. Se for Desativado, os logs de diagnóstico permanecerão não criptografados na área restrita do aplicativo.
Cuidado:
Dependendo dos níveis de log configurados, a criptografia do log pode ter um impacto notável no desempenho do aplicativo e na duração da bateria.
O valor padrão é Desativado.
Geocerca de Aplicativo
Longitude do ponto central
Longitude (coordenada X) do ponto central da geocerca do ponto/raio no qual o aplicativo tem restrição de operação. Quando é operado fora da geocerca configurada, o aplicativo é mantido bloqueado. O valor deve ser expresso em formato de graus com sinal (DDD.dddd), por exemplo “-31.9635”. As longitudes a oeste devem ser precedidas de um sinal negativo. O valor padrão é 0.
Latitude do ponto central
Latitude (coordenada Y) do ponto central da geocerca do ponto/raio no qual o aplicativo tem restrição de operação. Quando é operado fora da geocerca configurada, o aplicativo é mantido bloqueado.
Os valores devem ser expressos em formato de graus com sinal (DDD.dddd), por exemplo “43.06581”. As latitudes ao sul devem ser precedidas de um sinal negativo. O valor padrão é 0.
Raio
O raio da geocerca no qual o aplicativo tem restrição de operação. Quando é operado fora da geocerca configurada, o aplicativo é mantido bloqueado. O valor deve ser expresso em metros. Quando definido como zero, a geocerca é desativada. O padrão é 0 (desativado).
Análise
Google Analytics de detalhes
A Citrix coleta dados analíticos de forma anônima para melhorar a qualidade do produto. A seleção de Anônimo exclui você da opção de incluir informações identificáveis da empresa.
Configurações do aplicativo
Exchange Server do Secure Mail
O nome de domínio totalmente qualificado (FQDN) do Exchange Server ou, apenas para iOS, o servidor IBM Notes Traveler. O valor padrão é vazio. Se você fornecer um nome de domínio nesse campo, os usuários não poderão editá-lo. Se você deixar o campo vazio, os usuários deverão fornecer suas próprias informações de servidor.
Cuidado:
Se você alterar essa política de um aplicativo existente, os usuários deverão excluir e reinstalar o aplicativo para aplicar a alteração de política.
Domínio do usuário de Secure Mail
O nome de domínio padrão do Active Directory para usuários do Exchange ou, apenas para iOS, usuários do Notes. O valor padrão é vazio.
Serviços de rede em segundo plano
O FQDN e a porta dos endereços de serviço permitidos para acesso à rede em segundo plano. Esse valor pode ser um Exchange Server ou servidor ActiveSync, na sua rede interna ou em outra rede à qual o Secure Mail se conecte, como mail.exemplo.com:443.
Se você configurar essa política, defina a política Acesso à rede como Com túnel para a rede interna. Essa política é aplicada quando você configura a política de acesso à rede. Use essa política quando o Exchange Server estiver localizado na sua rede interna e você desejar usar o NetScaler Gateway para inserir um proxy na conexão com o Exchange Server interno.
O valor padrão é vazio, o que implica que os serviços de rede em segundo plano não estão disponíveis.
Expiração de tíquete de serviços em segundo plano
O período de tempo durante o qual um tíquete de serviço de rede em segundo plano continua válido. Após a expiração, será necessário um logon empresarial para a renovação do tíquete. O valor padrão é 168 horas (7 dias).
Gateway de serviço de rede em segundo plano
Endereço alternativo de gateway para usar em serviços de rede em segundo plano no formato FQDN:port. Esse endereço é o FQDN e o número da porta do Citrix Gateway que o Secure Mail usa para se conectar ao Exchange Server interno. No utilitário de configuração do Citrix Gateway, você deve configurar o Secure Ticket Authority (STA) e associar a política ao servidor virtual.
O valor padrão é vazio, o que indica que não existe um gateway alternativo.
Se você configurar essa política, defina a política Acesso à rede como Com túnel para a rede interna. Essa política é aplicada quando você configura a política de acesso à rede. Além disso, use essa política quando o Exchange Server residir na sua rede interna e se você desejar usar o Citrix Gateway para inserir um proxy na conexão com o Exchange Server interno.
Exportar contatos
Importante:
Não ative esse recurso se os usuários puderem acessar o Exchange Server diretamente (ou seja, fora do Citrix Gateway). Caso contrário, os contatos serão duplicados no dispositivo e no Exchange.
Se o valor for Desativado, impedirá a sincronização unidirecional de contatos do Secure Mail para o dispositivo e impedirá o compartilhamento de contatos do Secure Mail (como vCards). O valor padrão é Desativado.
Campos de contato para exportar
Controla os campos de contato a serem exportados para o catálogo de endereços. Se o valor for Todos, todos os campos de contato serão exportados. Se for Nome e Telefone, todos os campos de contato relacionados ao nome e ao telefone serão exportados. Se for Nome, Telefone e Email, todos os campos de contato relacionados ao nome, ao telefone e ao email serão exportados. O valor padrão é Todos.
Aceitar todos os certificados SSL
Se o valor for Ativado, o Secure Mail aceita todos os certificados SSL (válidos ou não) e permite o acesso. Se o valor for Desativado, o Secure Mail bloqueia o acesso quando ocorre um erro e exibe um aviso. O valor padrão é Desativado.
Usar conexão segura
Se for Ativado, o Secure Mail usará uma conexão segura. Se for Desativado, o Secure Mail não usará uma conexão segura. O padrão é Ativado.
Gerenciamento de Direitos de Informação
Se o valor for Ativado, o Secure Mail dará suporte aos recursos de Gerenciamento de Direitos de Informação (IRM). O valor padrão é Desativado.
Controlar notificações de tela de bloqueio
Controla se as notificações de calendário e email são exibidas na tela de um dispositivo bloqueado. Se o valor Permitir estiver selecionado, todas as informações contidas na notificação serão exibidas. Se Bloquear estiver selecionado, as notificaçõesnão não serão exibidas. Se Remetente do email ou título do evento estiver selecionado, somente o nome do remetente do email ou o título do evento de calendário será exibido. Se Apenas contagem estiver selecionado, somente a contagem de emails e convites para reunião e o horário dos lembretes de calendário serão exibidos. O valor padrão é Permitir.
Intervalo de sincronização padrão
Especifica o intervalo de sincronização padrão do Secure Mail. Os usuários do Secure Mail podem alterar o padrão.
A configuração Filtro de idade máxima de email na política de Caixa de correio do Exchange ActiveSync tem prioridade sobre a política. Se você especificar um intervalo de sincronização padrão maior que o filtro de idade máxima de email, a configuração do filtro de Idade máxima de email será usada. O Secure Mail mostra somente os valores de intervalo de sincronização menores que a configuração do Filtro de idade máxima de email do Active Sync.
O valor padrão é 3 dias.
Ativar download de anexos por Wi-Fi
Se o valor for Ativado, a opção Baixar anexos do Secure Mail estará ativada para que os usuários possam baixar anexos por redes Wi-Fi internas por padrão. Se for Desativado, a opção Baixar anexos do Secure Mail estará desativada de modo que, por padrão, os usuários não possam baixar anexos por Wi-Fi. O valor padrão é Desativado.
Permitir documentos offline
Especifica se, e por quanto tempo, os usuários podem armazenar documentos offline nos dispositivos. O valor padrão é Ilimitado.
Ativar salvamento automático de rascunhos de email
Se o valor for Ativado, o Secure Mail dará suporte ao salvamento automático de mensagens na pasta Rascunhos. O valor padrão é Ativado.
Mecanismo de autenticação inicial
Esta política indica se o endereço do servidor de email fornecido pelo MDX é usado para preencher o campo Endereço na tela de provisionamento de primeiro uso ou se é usado o endereço de email do usuário. O valor padrão é o Endereço do servidor de email.
Credenciais de autenticação inicial
Essa política define o valor que deve ser escolhido como o nome de usuário para preencher a tela de provisionamento inicial de primeiro uso. O valor padrão é Nome de usuário de registro.
Ativar o número da semana
Se o valor for Ativado, os modos de exibição de calendário incluirão o número da semana. O valor padrão é Desativado.
Classificação de email
Se o valor for Ativado, o Secure Mail dará suporte a marcações de classificação de email para SEC (segurança) e DLM (marcadores de limitação de disseminação). As marcações de classificação aparecem em cabeçalhos de email como valores X-Protective-Marking. Lembre-se de configurar as políticas de classificação de email correspondentes. O valor padrão é Desativado.
Marcações de classificação de email
Especifica as marcações de classificação que devem ser disponibilizadas aos usuários finais. Se a lista estiver vazia, o Secure Mail não inclui uma lista de marcações protetoras. A lista contém pares de marcações valor que são separados por ponto-e-vírgula. Cada par inclui o valor que aparece no Secure Mail e o valor de marcação que é o texto acrescentado ao assunto do email e cabeçalho no Secure Mail. Por exemplo, no par de marcação "UNOFFICIAL,SEC=UNOFFICIAL;"
, o valor da lista é “UNOFFICIAL” e o valor da marcação é “SEC=UNOFFICIAL”.
Espaço de nome de classificação de email
Especifica o espaço de nome de classificação que é necessário no cabeçalho do email pelo padrão de classificação usado. Por exemplo, o espaço de nome “gov.au” aparece no cabeçalho como “NS=gov.au”. O valor padrão é vazio.
Versão de classificação de email
Especifica a versão de classificação que é necessária no cabeçalho do email pelo padrão de classificação usado. Por exemplo, a versão “2012.3” aparece no cabeçalho como “VER=2012.3”. O valor padrão é vazio.
Classificação padrão de email
Especifica a marcação protetora que o Secure Mail aplica a um email se um usuário não escolher uma marcação. Esse valor deve estar na lista para a política Marcações de classificação de email. O valor padrão é UNOFFICIAL.
Limite de busca de email
Restringe a quantidade de histórico de email que é acessível de dispositivos móveis limitando o número de dias incluídos nas pesquisas no servidor de email. Para restringir a quantidade de emails que são sincronizados com um dispositivo móvel, configure a política Intervalo de sincronização máximo. O valor padrão é Ilimitado.
Intervalo de sincronização máximo
Controla a quantidade de email armazenados localmente em um dispositivo móvel limitando o período de sincronização.
Para restringir o período de tempo durante o qual um dispositivo pode pesquisar no servidor de email, configure a política Limite de busca do servidor de email.
Os valores são:
- 3 dias
- 1 semana
- 2 semanas
- 1 mês
- Todas
O valor padrão é Todos.
Opções de calendário web e de áudio
- GoToMeeting e inserido pelo usuário - Quando esta opção é escolhida, os usuários podem escolher o tipo de conferência que gostariam de configurar. As opções incluem o GoToMeeting, que abre uma página do GoToMeeting, e Outra conferência, que permite aos usuários inserir informações da reunião manualmente.
- Inserido somente pelo usuário - Quando essa opção é escolhida, os usuários são direcionados diretamente para a página Outra Conferência, onde podem inserir as informações da reunião manualmente.
Origem de certificado público S/MIME
Especifica a origem dos certificados públicos S/MIME. Se for Exchange, o Secure Mail busca certificados no Exchange Server. Se for LDAP, o Secure Mail busca certificados no servidor LDAP. O valor padrão é Exchange.
Endereço de servidor LDAP
Endereço de servidor LDAP, incluindo o número da porta. O valor padrão é vazio.
DN de base LDAP
DN de base LDAP: nome exclusivo da Base LDAP. O valor padrão é vazio.
Acessar LDAP de modo anônimo
Se esta política estiver Ativada, o Secure Mail pode pesquisar LDAP sem autenticação prévia. O padrão é Desativado.
Domínios de email permitidos
Defina uma lista de domínios de e-mail permitidos em um formato separado por vírgulas, como server.company.com,server.company.co.uk. O valor padrão está vazio, o que implica que o Secure Mail não filtra domínios de e-mail e aceita a todos os domínios de e-mail. O Secure Mail corresponde os domínios listados com o nome de domínio no endereço de e-mail.
Por exemplo, quando server.company.com é um nome de domínio listado e o endereço de e-mail for user@internal.server.company.com, o Secure Mail aceitará o endereço de e-mail.
Notificações por push
Ativa notificações baseadas em FCM sobre a atividade de caixa de correio. Se o valor for Ativado, o Secure Mail dá suporte a notificações por push. O valor padrão é Desativado.
Nome de host de EWS de notificação por push
O servidor que hospeda o Exchange Web Services (EWS) para e-mail. O valor deve ser a URL do EWS, juntamente com o número da porta. O valor padrão é vazio.
Região de notificação por push
A região onde o host FCM está localizado para os seus usuários do Secure Mail. As opções são Americas, EMEA e PAC. O valor padrão é Americas.
Tentar migração de nome de usuário no caso de falha de autenticação
Esta política tenta migrar o nome de usuário do Exchange para um UPN para autenticação. O valor padrão é Desativado.
Denunciar endereços de email de phishing
Se configurado, você pode relatar e-mails suspeitos de phishing para um determinado endereço de e-mail ou uma lista de endereços de e-mail separados por vírgula. O valor padrão é vazio. Se você não configurar esta política, não pode denunciar mensagens de phishing.
Denunciar mecanismo de phishing
Esta política indica o mecanismo usado para denunciar e-mails suspeitos de phishing.
- Denunciar por anexo (.eml) — Denunciar e-mails de phishing como anexo. O anexo é enviado para um endereço de email ou uma lista de endereços de e-mail seprados por vírgula configurada na política Denunciar endereços de email de phishing.
- Denunciar via forward — Denunciar e-mails de phishing como um encaminhamento. O email é encaminhado para um endereço de e-mail ou uma lista de endereços de e-mail separados por vírgula configurada na política Denunciar endereços de email de phishing.
Nota:
Esta política está disponível apenas para o Microsoft Exchange Server.
O padrão é Denunciar por anexo (.eml).
Domínios de reuniões do Skype for Business
Esta política contém uma lista separada por vírgula de domínios utilizados para reuniões do Skype for Business. O Secure Mail já manipula reuniões com prefixo de URL da seguinte forma:
https://join
https://meet
https://lync
Com esta política, outros domínios Skype for Business podem ser adicionados no formulário https://*domain*
. O domínio pode ser uma cadeia de caracteres alfanuméricos e não pode conter caracteres especiais. Não insira o ponto anterior https://
ou o ponto seguinte.
Exemplo
Se o valor da política for customDomain1,customDomain2
, os prefixos de URL suportados para Skype for Business serão:
https://customDomain1
http://customDomain1
https://customDomain2
http://customDomain2
O valor padrão é vazio.
Exportar o calendário
Esta política permite que eventos de calendário do Secure Mail sejam exportados para o seu dispositivo ou calendário pessoal. Você pode ver seus eventos em seu calendário pessoal. Você pode editar os eventos usando o Secure Mail. O valor padrão é Hora da reunião.
Os seguintes valores da política MDX estão disponíveis para os campos de evento do calendário que aparecem em seu calendário pessoal:
- Nenhum (não exportar)
- Hora da reunião
- Hora da reunião, local
- Hora da reunião, assunto, local
- Hora da reunião, disponibilidade, participantes, assunto, local, anotações
Suporte de OAuth para Office 365
Usar autenticação moderna para o O365
Se esta política estiver Ativada, o Secure Mail usará o protocolo OAuth para autenticação ao configurar uma conta no Office 365. Se Desativado, o Secure Mail usa a autenticação básica. O padrão é Desativado.
Nomes de host online confiáveis do Exchange
Defina uma lista de nomes de host confiáveis do Exchange Online que usam o mecanismo de OAuth para autenticação ao configurar uma conta. Esse valor é um formato de lista separada por vírgulas, como server.company.com, server.company.co.uk. Se a lista estiver vazia, o Secure Mail usa autenticação básica de configuração da conta. O valor padrão é outlook.office365.com.
Nomes de host AD FS confiáveis
Defina uma lista de nomes de host confiáveis AD FS para páginas da Web em que a senha é preenchida durante a autenticação do Office 365 OAuth. Esse valor é um formato separado por vírgulas, como, por exemplo, sts.companyname.com
, sts.company.co.uk
. Se a lista estiver vazia, o Secure Mail não insere as senhas automaticamente. O Secure Mail faz a correspondência entre os nomes de host listados com o nome de host da página Web encontrada durante a autenticação do Office 365 e verifica se a página usa o protocolo HTTPS.
Por exemplo, quando sts.company.com é um nome de host listado, e se o usuário navegar para https://sts.company.com
, o Secure Mail insere a senha se a página tiver um campo de senha. O valor padrão é login.microsoftonline.com
.
Agente de usuário personalizado para autenticação moderna
Esta política permite que você altere a cadeia padrão do agente do usuário para autenticação moderna. Se configurada, essa cadeia de agente de usuário é usada para autenticação com o Microsoft AD FS. Se você não configurar essa política, o agente de usuário padrão do Secure Mail será usado durante a autenticação moderna.
Integração do Slack
Ativar Slack
Bloqueia ou permite a integração do Slack. Se estiver Ativado, a interface do Secure Mail inclui recursos do Slack. Se estiver Destivado, a interface do Secure Mail não inclui recursos do Slack.
Nome do espaço de trabalho do Slack
O nome do espaço de trabalho do Slack para a sua empresa. Se você fornecer um nome, o Secure Mail preenche o nome do espaço de trabalho durante o logon. Se você não fornecer um nome, os usuários devem digitar o nome do espaço de trabalho (nome.slack.com).