Documentação de produtos
Tarefas e considerações do administrador
Ver PDF

Políticas MDX para aplicativos de produtividade móvel para Android

May 6, 2026
Contribuição de: 
C C

Este artigo descreve as políticas MDX para aplicativos Android. Você altera as configurações de política no console do Citrix Endpoint Management. Para obter detalhes, consulte Adicionar aplicativos.

A lista a seguir não inclui políticas MDX específicas do Secure Web. Para obter detalhes sobre as políticas que aparecem para o Secure Web, consulte Políticas do Secure Web.

Autenticação

Senha do aplicativo

Se Ativado, um PIN ou senha é necessário para desbloquear o aplicativo quando ele inicia ou é retomado após um período de inatividade. O valor padrão é Ativado.

Para configurar o temporizador de inatividade para todos os aplicativos, defina o valor de INACTIVITY_TIMER em minutos em “Propriedades do Cliente” na guia “Configurações”. O valor padrão do temporizador de inatividade é de 60 minutos. Para desativar o temporizador de inatividade, para que um prompt de PIN ou senha apareça apenas quando o aplicativo iniciar, defina o valor como zero.

Observação:

Se você selecionar “Offline seguro” para a política de chaves de criptografia, esta política é ativada automaticamente.

Período offline máximo (horas)

Define o período máximo que um aplicativo pode ser executado offline sem um logon de rede para reconfirmar o direito e atualizar as políticas. O valor padrão é 168 horas (7 dias). O período mínimo é de 1 hora.

O usuário é lembrado de fazer logon aos 30, 15 e 5 minutos antes do período expirar. Após a expiração, o aplicativo permanece bloqueado até que o usuário conclua um logon de rede bem-sucedido.

Citrix Gateway Alternativo

Observação:

O nome desta política no console do Endpoint Management é NetScaler® Gateway Alternativo.

Endereço de um Citrix Gateway alternativo específico (anteriormente, NetScaler Gateway) que é usado para autenticação e para sessões de micro VPN com este aplicativo. NetScaler Gateway Alternativo é uma política opcional que, quando usada com a política “Sessão online necessária”, força os aplicativos a se reautenticarem no gateway específico. Esses gateways normalmente teriam requisitos de autenticação e políticas de gerenciamento de tráfego diferentes (de maior garantia). Se deixado em branco, o padrão do servidor é sempre usado. O valor padrão é vazio.

Segurança do Dispositivo

Bloquear dispositivos com jailbreak ou root

Se Ativado, o aplicativo é bloqueado quando o dispositivo tem jailbreak ou root. Se Desativado, o aplicativo pode ser executado mesmo que o dispositivo tenha jailbreak ou root. O valor padrão é Ativado.

Exigir criptografia do dispositivo

Se Ativado, o aplicativo é bloqueado se o dispositivo não tiver criptografia configurada. Se Desativado, o aplicativo pode ser executado mesmo que o dispositivo não tenha criptografia configurada. O valor padrão é Desativado.

Observação:

Esta política é compatível apenas com Android 3.0 (Honeycomb). Definir a política como Ativado impede que um aplicativo seja executado em versões mais antigas.

  • Exigir bloqueio do dispositivo

  • Se “PIN ou senha do dispositivo” for selecionado, o aplicativo é bloqueado se o dispositivo não tiver um PIN ou senha. Se “Bloqueio de tela por padrão do dispositivo” for selecionado, o aplicativo é bloqueado se o dispositivo não tiver um bloqueio de tela por padrão definido. Se Desativado, o aplicativo pode ser executado mesmo que o dispositivo não tenha um PIN, senha ou bloqueio de tela por padrão definido. O valor padrão é Desativado.

  • “PIN ou senha do dispositivo” requer uma versão mínima do Android 4.1 (Jelly Bean). Definir a política como “PIN ou senha do dispositivo” impede que um aplicativo seja executado em versões mais antigas.

  • Em dispositivos Android M, as opções “PIN ou senha do dispositivo” e “Bloqueio de tela por padrão do dispositivo” têm o mesmo efeito: Com qualquer uma dessas opções, o aplicativo é bloqueado se o dispositivo não tiver um PIN, senha ou bloqueio de tela por padrão definido.

Requisitos de Rede

Exigir Wi-Fi

Se Ativado, o aplicativo é bloqueado quando o dispositivo não está conectado a uma rede Wi-Fi. Se Desativado, o aplicativo pode ser executado se o dispositivo tiver uma conexão ativa, como 4G/3G, LAN ou Wi-Fi. O valor padrão é Desativado.

Redes Wi-Fi Permitidas

Lista de redes Wi-Fi permitidas, delimitada por vírgulas. Se o nome da rede contiver caracteres não alfanuméricos (incluindo vírgulas), o nome deve ser colocado entre aspas duplas. O aplicativo é executado apenas se conectado a uma das redes listadas. Se deixado em branco, todas as redes são permitidas. Este valor não afeta as conexões com redes celulares. O valor padrão é vazio.

Acesso Diverso

Período de carência para atualização do aplicativo (horas)

Define o período de carência em que um aplicativo pode ser usado depois que o sistema descobre que uma atualização de aplicativo está disponível. O valor padrão é 168 horas (7 dias).

Observação:

  • Não é recomendado usar zero, pois isso impede imediatamente que um aplicativo em execução seja usado até que a atualização seja baixada e instalada (sem qualquer aviso ao usuário). Esse valor pode levar a uma situação em que o usuário que executa o aplicativo é forçado a sair do aplicativo (potencialmente perdendo o trabalho) para cumprir a atualização necessária.

  • Desativar atualização obrigatória

Desativa a exigência de que os usuários atualizem para a versão mais recente do aplicativo na App Store. O valor padrão é ATIVADO.

Apagar dados do aplicativo ao bloquear

Apaga os dados e redefine o aplicativo quando ele é bloqueado. Se Desativado, os dados do aplicativo não são apagados quando ele é bloqueado. O valor padrão é Desativado.

Um aplicativo pode ser bloqueado por qualquer um dos seguintes motivos:

  • Perda do direito de uso do aplicativo para o usuário
  • Assinatura do aplicativo removida
  • Conta removida
  • Secure Hub desinstalado
  • Muitas falhas de autenticação do aplicativo
  • Dispositivo com jailbreak detectado (conforme configuração da política)
  • Dispositivo colocado em estado bloqueado por outra ação administrativa

Período de sondagem ativa (minutos)

Quando um aplicativo é iniciado, o framework MDX sonda o Citrix Endpoint Management para determinar o status atual do aplicativo e do dispositivo. Assumindo que o servidor que executa o Endpoint Management possa ser alcançado, o framework retorna informações sobre o status de bloqueio/apagamento do dispositivo e o status de ativação/desativação do aplicativo. Se o servidor pode ser alcançado ou não, uma sondagem subsequente é agendada com base no intervalo do período de sondagem ativa. Após o período expirar, uma nova sondagem é novamente tentada. O valor padrão é 60 minutos (1 hora).

Importante:

Defina este valor mais baixo apenas para aplicativos de alto risco, ou o desempenho poderá ser afetado.

Criptografia

Tipo de criptografia

  • Permite escolher se o MDX ou a plataforma do dispositivo lida com a criptografia dos dados. Se você selecionar Criptografia MDX, o MDX criptografa os dados. Se você selecionar Criptografia de plataforma com imposição de conformidade, a plataforma do dispositivo criptografa os dados. O valor padrão é Criptografia MDX.

Comportamento do dispositivo não compatível

Permite escolher uma ação quando um dispositivo não adere aos requisitos mínimos de conformidade da criptografia. Selecione Permitir aplicativo para que o aplicativo seja executado normalmente. Selecione Permitir aplicativo após aviso para que o aplicativo seja executado após o aviso aparecer. Selecione Bloquear para impedir a execução do aplicativo. O valor padrão é Permitir aplicativo após aviso.

Chaves de criptografia

Permite que segredos usados para derivar chaves de criptografia sejam persistidos no dispositivo. “Acesso offline permitido” é a única opção disponível.

A Citrix recomenda que você defina a política de Autenticação para habilitar um logon de rede ou um desafio de senha offline para proteger o acesso ao conteúdo criptografado.

Criptografia de arquivo privado

Controla a criptografia de arquivos de dados privados nos seguintes locais: /data/data/<appname> e /mnt/sdcard/Android/data/<appname>.

A opção Desabilitado significa que os arquivos privados não são criptografados. A opção SecurityGroup criptografa arquivos privados usando uma chave compartilhada por todos os aplicativos MDX no mesmo grupo de segurança. A opção Aplicativo criptografa arquivos privados usando uma chave exclusiva para este aplicativo. O valor padrão é SecurityGroup.

Exclusões de criptografia de arquivo privado

Contém uma lista de caminhos de arquivo separados por vírgulas. Cada caminho é uma expressão regular que representa um ou mais arquivos que são criptografados. Os caminhos de arquivo são relativos aos sandboxes internos e externos. O valor padrão é vazio.

As exclusões se aplicam apenas às seguintes pastas:

-  **Armazenamento Interno:**

`/data/data/<your_package_name>`

  • Cartão SD:

    /storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>

    /storage/emulated/legacy/Android/data/<your_package_name>

Exemplos

Arquivo a ser excluído Valor na exclusão de criptografia de arquivo privado
/data/data/com.citrix.mail/files/a.txt ^files/a.txt
Todos os arquivos de texto em /storage/emulated/0/Android/data/com.citrix.mail/files ^files/(.)+.txt$
Todos os arquivos em /data/data/com.citrix.mail/files ^files/

Limites de acesso para arquivos públicos

Contém uma lista separada por vírgulas. Cada entrada é um caminho de expressão regular seguido por (NA), (RO) ou (RW). Os arquivos que correspondem ao caminho são limitados a acesso Sem Acesso, Somente Leitura ou Leitura e Gravação. A lista é processada em ordem e o primeiro caminho correspondente é usado para definir o limite de acesso. O valor padrão é vazio.

Esta política é aplicada somente quando a Criptografia de arquivo público está habilitada (alterada da opção Desabilitado para a opção SecurityGroup ou Aplicativo). Esta política é aplicável apenas a arquivos públicos existentes e não criptografados e especifica quando esses arquivos são criptografados.

Arquivos a serem excluídos Valor na criptografia de arquivo privado
Pasta Downloads no armazenamento externo somente leitura EXT:^Download/(RO)
Todos os arquivos MP3 na pasta Música no armazenamento virtual sem acesso VS:^Music/(.)+.mp3$(NA)

  • Criptografia de arquivo público

    • Controla a criptografia de arquivos públicos. Se Desabilitado, os arquivos públicos não são criptografados. Se SecurityGroup, criptografa arquivos públicos usando uma chave compartilhada por todos os aplicativos MDX no mesmo grupo de segurança. Se Aplicativo, criptografa arquivos públicos usando uma chave exclusiva para este aplicativo.

O valor padrão é SecurityGroup.

Exclusões de criptografia de arquivo público

Contém uma lista de caminhos de arquivo separados por vírgulas. Cada caminho é uma expressão regular que representa um ou mais arquivos que não são criptografados. Os caminhos de arquivo são relativos ao armazenamento externo padrão e a qualquer armazenamento externo específico do dispositivo.

As exclusões de criptografia de arquivo público incluem apenas locais de pastas externas.

Exemplos

Arquivo a ser excluído Valor na Exclusão de Criptografia de Arquivo Público
Pasta Downloads no cartão SD Download
Todos os arquivos MP3 na pasta Música ^Music/(.)+.mp3$

Migração de arquivo público

Esta política é aplicada somente quando você habilita a política de criptografia de arquivo público (alterada de Desabilitado para SecurityGroup ou Aplicativo). Esta política é aplicável apenas a arquivos públicos existentes e não criptografados e especifica quando esses arquivos são criptografados. O valor padrão é Gravação (RO/RW).

A opção Desabilitado significa que os arquivos existentes não são criptografados. A opção Gravação (RO/RW) criptografa os arquivos existentes somente quando são abertos para acesso somente gravação ou leitura e gravação. A opção Qualquer criptografa os arquivos existentes quando são abertos em qualquer modo. Opções:

  • Desabilitado. Não criptografa arquivos existentes.
  • Gravação (RO/RW). Criptografa os arquivos existentes somente quando são abertos para acesso somente gravação ou leitura e gravação.

  • Qualquer. Criptografa os arquivos existentes quando são abertos em qualquer modo.

  • Observações:

  • -Novos arquivos ou arquivos existentes não criptografados que são sobrescritos criptografam os arquivos de substituição em todos os casos.

  • -A criptografia de um arquivo público existente torna o arquivo indisponível para outros aplicativos que não possuem a mesma chave de criptografia.

Interação do Aplicativo

Grupo de Segurança

Deixe este campo em branco se você quiser que todos os aplicativos móveis gerenciados pelo Citrix Endpoint Management™ troquem informações entre si. Defina um nome de grupo de segurança para gerenciar as configurações de segurança para conjuntos específicos de aplicativos (por exemplo, Finanças ou Recursos Humanos).

Cuidado:

Se você alterar esta política para um aplicativo existente, os usuários deverão excluir e reinstalar o aplicativo para aplicar a alteração da política.

Recortar e Copiar

Bloqueia, permite ou restringe as operações de recortar e copiar da área de transferência para este aplicativo. Se Restrito, os dados copiados da Área de Transferência são colocados em uma Área de Transferência privada que está disponível apenas para aplicativos MDX. O valor padrão é Restrito.

  • Colar

  • Bloqueia, permite ou restringe as operações de colar da área de transferência para o aplicativo. Se Restrito, os dados colados da área de transferência são originados de uma Área de Transferência privada que está disponível apenas para aplicativos MDX. O valor padrão é Não Restrito.

  • Troca de documentos (Abrir em)

  • Bloqueia, permite ou restringe as operações de troca de documentos para o aplicativo. Se Restrito, os documentos podem ser trocados apenas com outros aplicativos MDX e com as exceções de aplicativo especificadas na política de lista de exceções de Abrir em Restrito. Se Não Restrito, defina as políticas de Criptografia de arquivo privado e Criptografia de arquivo público como Desabilitado para que os usuários possam abrir documentos em aplicativos não encapsulados. O valor padrão é Restrito.

Domínios de URL excluídos da filtragem

Esta política é usada para excluir certas URLs de saída da filtragem MDX. A lista a seguir, separada por vírgulas, de nomes de domínio totalmente qualificados (FQDN) ou sufixos DNS é excluída de qualquer filtragem MDX. Se esta política contiver alguma entrada, as URLs com campos de host que correspondam a pelo menos um item na lista (por meio de correspondência de sufixo DNS) serão enviadas inalteradas para o navegador padrão. O valor padrão é vazio.

Domínios da Web Segura Permitidos

Esta política está em vigor apenas para os domínios não excluídos por uma política de filtragem de URL. Adicione uma lista separada por vírgulas de nomes de domínio totalmente qualificados (FQDN) ou sufixos DNS que são redirecionados para o aplicativo Secure Web quando a Troca de Documentos é Restrita.

Se esta política contiver alguma entrada, apenas as URLs com campos de host que correspondam a pelo menos um item na lista (por meio de correspondência de sufixo DNS) serão redirecionadas para o aplicativo Secure Web quando a Troca de Documentos for Restrita.

Todas as outras URLs são enviadas para o navegador da web Android padrão (ignorando a política de Troca de Documentos Restrita). O valor padrão é vazio.

Lista de exceções de Abrir em Restrito

Quando a política de Troca de documentos (Abrir em) é Restrita, esta lista de intents do Android tem permissão para passar para aplicativos não gerenciados. É necessário ter familiaridade com intents do Android para adicionar filtros à lista. Um filtro pode especificar ação, pacote, esquema ou qualquer combinação.

Exemplos 

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->

Cuidado

Certifique-se de considerar as implicações de segurança desta política. A lista de exceções permite que o conteúdo transite entre aplicativos não gerenciados e o ambiente MDX.

Troca de documentos de entrada (Abrir em)

Bloqueia, restringe ou permite operações de troca de documentos de entrada para este aplicativo. Se Restrito, os documentos podem ser trocados apenas com outros aplicativos MDX. O valor padrão é Não Restrito.

Se Bloqueado ou Restrito, você pode usar a política de lista de permissões de troca de documentos de entrada para especificar aplicativos que podem enviar documentos para este aplicativo. Para obter informações sobre outras interações de política, consulte a política Bloquear Galeria.

Opções: Não Restrito, Bloqueado ou Restrito

Lista de permissões de troca de documentos de entrada

Quando a política de troca de documentos de entrada é restrita ou bloqueada, esta lista de IDs de aplicativo, separada por vírgulas, incluindo aplicativos não MDX, tem permissão para enviar documentos para o aplicativo. Esta política está oculta e não pode ser editada.

Nível de segurança da conexão

Determina a versão mínima de TLS/SSL usada para conexões. Se TLS, as conexões suportam todos os protocolos TLS. Se SSLv3 e TLS, as conexões suportam SSL 3.0 e TLS. O valor padrão é TLS.

Restrições de Aplicativo

Importante:

Certifique-se de considerar as implicações de segurança das políticas que impedem que os aplicativos acessem ou usem os recursos do telefone. Quando essas políticas estão Desativadas, o conteúdo pode transitar entre aplicativos não gerenciados e o ambiente Seguro.

Bloquear câmera

Se Ativado, impede que um aplicativo use diretamente o hardware da câmera. O valor padrão é Ativado.

Bloquear Galeria

Se Ativado, impede que um aplicativo acesse a Galeria no dispositivo. O valor padrão é Desativado. Esta política funciona em conjunto com a política de troca de documentos de entrada (Abrir em).

  • Se a troca de documentos de entrada (Abrir em) estiver definida como Restrito, os usuários que trabalham no aplicativo gerenciado não poderão anexar imagens da Galeria, independentemente da configuração de Bloquear Galeria.
  • Se a troca de documentos de entrada (Abrir em) estiver definida como Não Restrito, os usuários que trabalham no aplicativo gerenciado terão a seguinte experiência:
    • Os usuários podem anexar imagens se Bloquear Galeria estiver definido como Desativado.
    • Os usuários são impedidos de anexar imagens se Bloquear Galeria estiver Ativado.

Bloquear gravação de microfone

Se Ativado, impede que um aplicativo use diretamente o hardware do microfone. O valor padrão é Ativado.

Bloquear serviços de localização

Se Ativado, impede que um aplicativo use os componentes dos serviços de localização (GPS ou rede). O valor padrão é Desativado para o Secure Mail.

Bloquear composição de SMS

Se Ativado, impede que um aplicativo use o recurso de composição de SMS usado para enviar mensagens SMS/de texto do aplicativo. O valor padrão é Ativado.

Bloquear captura de tela

Se Ativado, impede que os usuários capturem a tela enquanto o aplicativo está em execução. Além disso, quando o usuário troca de aplicativo, a tela do aplicativo é obscurecida. O valor padrão é Ativado.

Ao usar o recurso Near Field Communication (NFC) do Android, alguns aplicativos tiram uma captura de tela de si mesmos antes de transmitir o conteúdo. Para habilitar esse recurso em um aplicativo encapsulado, altere a política Bloquear captura de tela para Desativado.

Bloquear sensor do dispositivo

Se Ativado, impede que um aplicativo use os sensores do dispositivo (como acelerômetro, sensor de movimento e giroscópio). O valor padrão é Ativado.

Bloquear NFC

Se Ativado, impede que um aplicativo use as Comunicações de Campo Próximo (NFC). O valor padrão é Ativado.

  • Bloquear logs de aplicativo

  • Se Ativado, proíbe que um aplicativo use o recurso de registro de diagnóstico do aplicativo de produtividade móvel. Se Desativado, os logs do aplicativo são registrados e podem ser coletados usando o recurso de suporte por e-mail do Secure Hub. O valor padrão é Desativado.

Bloquear impressão

  • Se Ativado, impede que um aplicativo imprima dados. Se um aplicativo tiver um comando de Compartilhamento, você deve definir a Troca de Documentos (Abrir em) como Restrito ou Bloqueado para bloquear a impressão completamente. O valor padrão é ATIVADO.

Habilitar ShareFile

Permite que os usuários usem o ShareFile para transferir arquivos. O valor padrão é ATIVADO.

Acesso à Rede do Aplicativo

Acesso à rede

Observação:

Tunneled - Web SSO é o nome para o Secure Browse nas configurações. O comportamento é o mesmo.

As opções de configuração são as seguintes:

  • Usar Configurações Anteriores: Assume como padrão os valores que você havia definido nas políticas anteriores. Se você alterar esta opção, não deve reverter para ela. Observe também que as alterações nas novas políticas não entram em vigor até que o usuário atualize o aplicativo para a versão 18.12.0 ou posterior.
  • Bloqueado: As APIs de rede usadas pelo seu aplicativo falham. De acordo com a diretriz anterior, você deve lidar com essa falha de forma elegante.
  • Irrestrito: Todas as chamadas de rede vão diretamente e não são tuneladas.
  • Tunelado - VPN Completa: Todo o tráfego do aplicativo gerenciado é tunelado através do Citrix Gateway.
  • Tunelado - Web SSO: A URL HTTP/HTTPS é reescrita. Esta opção permite apenas o tunelamento de tráfego HTTP e HTTPS. Uma vantagem significativa do Tunelado - Web SSO é o logon único (SSO) para tráfego HTTP e HTTPS e também a autenticação PKINIT. No Android, esta opção tem baixa sobrecarga de configuração e, portanto, é a opção preferida para operações de navegação na web.

Se um dos modos Tunelados for selecionado, um túnel VPN por aplicativo neste modo inicial é criado de volta para a rede corporativa. Aqui, as configurações de túnel dividido do Citrix Gateway são usadas. A Citrix recomenda o Tunelado - VPN Completa para conexões que empregam certificados de cliente ou SSL de ponta a ponta para um recurso na rede corporativa. A Citrix recomenda o Tunelado - Web SSO para conexões que exigem logon único (SSO).

Sessão Micro VPN necessária

  • Se Sim, o usuário deve ter uma conexão com a rede corporativa e uma sessão ativa. Se Não, uma sessão ativa não é necessária. O valor padrão é Usar Configuração Anterior. Para aplicativos recém-carregados, o valor padrão é Não. Qualquer configuração selecionada antes da atualização para esta política permanece em vigor até que uma opção diferente de Usar Configuração Anterior seja selecionada.

Lista de Exclusão

Lista de FQDNs ou sufixos DNS separados por vírgulas a serem acessados diretamente em vez de por meio de uma conexão VPN. Esta política se aplica apenas ao modo Tunelado - Web SSO quando o Citrix Gateway está configurado com o modo de túnel dividido reverso.

Bloquear conexões localhost

  • Se Ativado, os aplicativos não têm permissão para fazer conexões localhost. Localhost é um endereço (como 127.0.0.1) para comunicações que ocorrem localmente no dispositivo. O localhost ignora o hardware da interface de rede local e acessa os serviços de rede em execução no host. Se Desativado, esta política substitui a política de Acesso à Rede, o que significa que os aplicativos podem se conectar fora do contêiner seguro se o dispositivo estiver executando um servidor proxy localmente. O padrão é Desativado.

  • Rótulo do certificado

Quando usado com o serviço de integração de certificados do StoreFront™, este rótulo identifica o certificado específico necessário para este aplicativo. Se nenhum rótulo for fornecido, um certificado não será disponibilizado para uso com uma infraestrutura de chave pública (PKI). O valor padrão é vazio (nenhum certificado usado).

Logs do Aplicativo

Saída de log padrão

Determina quais meios de saída são usados pelos recursos de registro de diagnóstico de aplicativo do Citrix Endpoint Management por padrão. As possibilidades são arquivo, console ou ambos. O valor padrão é arquivo.

Nível de log padrão

  • Controla a verbosidade padrão do recurso de registro de diagnóstico do aplicativo de produtividade móvel. Números de nível superior incluem um registro mais detalhado.

  • 0 - Nada registrado
  • 1 - Erros críticos
  • 2 - Erros
  • 3 - Avisos
  • 4 - Mensagens informativas
  • 5 - Mensagens informativas detalhadas
  • 6 a 15 - Níveis de depuração de 1 a 10

O valor padrão é o nível 4 (Mensagens informativas).

Máximo de arquivos de log

Limita o número de arquivos de log retidos pelo recurso de registro de diagnóstico do aplicativo de produtividade móvel antes da substituição. O mínimo é 2. O máximo é 8. O valor padrão é 2.

Tamanho máximo do arquivo de log

Limita o tamanho em MB dos arquivos de log retidos pelo recurso de registro de diagnóstico do aplicativo de produtividade móvel antes da substituição. O mínimo é 1 MB. O máximo é 5 MB. O valor padrão é 2 MB.

Redirecionar logs de aplicativo

Se Ativado, intercepta e redireciona logs do sistema ou do console de um aplicativo para o recurso de diagnóstico do aplicativo de produtividade móvel. Se esta configuração estiver Desativada, o uso de logs do sistema ou do console pelo aplicativo não é interceptado. O valor padrão é Ativado.

Criptografar logs

Se Ativado, o Citrix Endpoint Management criptografa os logs de diagnóstico à medida que os registra. Se Desativado, os logs de diagnóstico permanecem não criptografados na sandbox do aplicativo.

Cuidado:

Dependendo dos níveis de log configurados, a criptografia de log pode ter um impacto perceptível no desempenho do aplicativo e na vida útil da bateria.

O valor padrão é Desativado.

Geocerca do Aplicativo

Longitude do ponto central

Longitude (coordenada X) do ponto central da cerca geográfica de ponto/raio na qual o aplicativo é restrito a operar. Quando operado fora da cerca geográfica configurada, o aplicativo permanece bloqueado. O valor deve ser expresso no formato de graus com sinal (DDD.dddd), por exemplo, “-31.9635”. Longitudes oeste devem ser precedidas por um sinal de menos. O valor padrão é 0.

Latitude do ponto central

Latitude (coordenada Y) do ponto central da cerca geográfica de ponto/raio na qual o aplicativo é restrito a operar. Quando operado fora da cerca geográfica configurada, o aplicativo permanece bloqueado.

Os valores devem ser expressos no formato de graus com sinal (DDD.dddd), por exemplo, “43.06581”. Latitudes sul devem ser precedidas por um sinal de menos. O valor padrão é 0.

Raio

O raio da cerca geográfica na qual o aplicativo é restrito a operar. Quando operado fora da cerca geográfica configurada, o aplicativo permanece bloqueado. O valor deve ser expresso em metros. Quando definido como zero, a cerca geográfica é desabilitada. O padrão é 0 (desabilitado).

Análise

Detalhes do Google Analytics

A Citrix coleta dados de análise para melhorar a qualidade do produto. Selecionar Anônimo impede a inclusão de informações identificáveis da empresa.

Configurações do Aplicativo

Servidor Exchange do Secure Mail

O nome de domínio totalmente qualificado (FQDN) para o Exchange Server ou, somente para iOS, o servidor IBM Notes Traveler. O valor padrão é vazio. Se você fornecer um nome de domínio neste campo, os usuários não poderão editá-lo. Se você deixar o campo vazio, os usuários fornecerão suas próprias informações de servidor.

Cuidado:

Se você alterar esta política para um aplicativo existente, os usuários deverão excluir e reinstalar o aplicativo para aplicar a alteração da política.

Domínio de usuário do Secure Mail

Nome de domínio padrão do Active Directory para usuários do Exchange ou, somente para iOS, usuários do Notes. O valor padrão é vazio.

Serviços de rede em segundo plano

O FQDN e a porta dos endereços de serviço permitidos para acesso à rede em segundo plano. Este valor pode ser um Exchange Server ou um servidor ActiveSync, seja em sua rede interna ou em outra rede à qual o Secure Mail se conecta, como mail.example.com:443.

Se você configurar esta política, defina a política de acesso à rede como Tunneled to the internal network. Esta política entra em vigor quando você configura a política de acesso à rede. Use esta política quando o Exchange Server residir em sua rede interna e você quiser usar o NetScaler Gateway para fazer o proxy da conexão com o Exchange Server interno.

O valor padrão é vazio, implicando que os serviços de rede em segundo plano não estão disponíveis.

Expiração do tíquete de serviços em segundo plano

Período de tempo durante o qual um tíquete de serviço de rede em segundo plano permanece válido. Após a expiração, será necessário um logon corporativo para renovar o tíquete. O valor padrão é de 168 horas (7 dias).

Gateway de serviço de rede em segundo plano

Endereço de gateway alternativo a ser usado para serviços de rede em segundo plano, no formato FQDN:porta. Este endereço é o FQDN e o número da porta do Citrix Gateway que o Secure Mail usa para se conectar ao Exchange Server interno. No utilitário de configuração do Citrix Gateway, você deve configurar a Secure Ticket Authority (STA) e vincular a política ao servidor virtual.

O valor padrão é vazio, implicando que um gateway alternativo não existe.

Se você configurar esta política, defina a política de acesso à rede como Tunneled to the internal network. Esta política entra em vigor quando você configura a política de acesso à rede. Use esta política quando o Exchange Server residir em sua rede interna e você quiser usar o Citrix Gateway para fazer o proxy da conexão com o Exchange Server interno.

Exportar contatos

Importante:

Não habilite este recurso se os usuários puderem acessar seu Exchange Server diretamente (ou seja, fora do Citrix Gateway). Caso contrário, os contatos serão duplicados no dispositivo e no Exchange.

Se Desativado, impede a sincronização unidirecional dos contatos do Secure Mail para o dispositivo e impede o compartilhamento de contatos do Secure Mail (como vCards). O valor padrão é Desativado.

Campos de contato para exportar

Controla os campos de contato a serem exportados para a lista de endereços. Se Todos, todos os campos de contato são exportados. Se Nome e Telefone, todos os campos de contato relacionados a nome e telefone são exportados. Se Nome, Telefone e E-mail, todos os campos de contato relacionados a nome, telefone e e-mail são exportados. O valor padrão é Todos.

Aceitar todos os certificados SSL

Se Ativado, o Secure Mail aceita todos os certificados SSL (válidos ou não) e permite o acesso. Se Desativado, o Secure Mail bloqueia o acesso quando ocorre um erro de certificado e exibe um aviso. O valor padrão é Desativado.

Usar conexão segura

Se Ativado, o Secure Mail usa uma Conexão Segura. Se Desativado, o Secure Mail não usa uma Conexão Segura. O padrão é Ativado.

Gerenciamento de Direitos de Informação

Se Ativado, o Secure Mail oferece suporte aos recursos de Gerenciamento de Direitos de Informação (IRM) do Exchange. O valor padrão é Desativado.

Controlar notificações da tela bloqueada

Controla se as notificações de e-mail e calendário aparecem na tela de um dispositivo bloqueado. Se Permitir for selecionado, todas as informações contidas na notificação aparecerão. Se Bloquear for selecionado, as notificações não aparecerão. Se Remetente do e-mail ou título do evento for selecionado, apenas o nome do remetente do e-mail ou o título do evento do calendário aparecerá. Se Somente contagem for selecionado, apenas a contagem de e-mails e convites de reunião, além do horário dos lembretes de calendário, aparecerão. O valor padrão é Permitir.

Intervalo de sincronização padrão

Especifica o intervalo de sincronização padrão para o Secure Mail. Os usuários do Secure Mail podem alterar o padrão.

A configuração de política da caixa de correio do Exchange ActiveSync, Filtro de idade máxima do e-mail, tem prioridade sobre esta política. Se você especificar um Intervalo de sincronização padrão que seja maior que o filtro de idade máxima do e-mail, a configuração do filtro Idade máxima do e-mail será usada em vez disso. O Secure Mail exibe apenas os valores de intervalo de sincronização que são menores que a configuração do filtro Idade máxima do e-mail do Active Sync.

O valor padrão é 3 dias.

Habilitar download de anexos via Wi-Fi

Se Ativado, a opção de download de anexos do Secure Mail é habilitada para que os usuários possam, por padrão, baixar anexos por redes Wi-Fi internas. Se Desativado, a opção de download de anexos do Secure Mail é desabilitada para que, por padrão, os usuários não possam baixar anexos por Wi-Fi. O valor padrão é Desativado.

Permitir documentos offline

Especifica se, e por quanto tempo, os usuários podem armazenar documentos offline em dispositivos. O valor padrão é Ilimitado.

Habilitar salvamento automático de rascunhos de e-mail

Se Ativado, o Secure Mail oferece suporte ao salvamento automático de mensagens na pasta Rascunhos. O valor padrão é Ativado.

Mecanismo de autenticação inicial

Esta política indica se o endereço do servidor de e-mail fornecido pelo MDX é usado para preencher o campo Endereço na tela de provisionamento de primeiro uso ou se o endereço de e-mail do usuário é usado. O valor padrão é Endereço do servidor de e-mail.

Credenciais de autenticação iniciais

Esta política define o valor que deve ser escolhido como nome de usuário para preencher a tela de provisionamento de primeiro uso inicial. O valor padrão é Nome de usuário de registro.

Habilitar número da semana

Se Ativado, as exibições de calendário incluem o número da semana. O valor padrão é Desativado.

Classificação de e-mail

Se Ativado, o Secure Mail oferece suporte a marcações de classificação de e-mail para SEC (segurança) e DLM (marcadores de limitação de disseminação). As marcações de classificação aparecem nos cabeçalhos de e-mail como valores X-Protective-Marking. Certifique-se de configurar as políticas de classificação de e-mail relacionadas. O valor padrão é Desativado.

Marcações de classificação de e-mail

Especifica as marcações de classificação a serem disponibilizadas aos usuários finais. Se a lista estiver vazia, o Secure Mail não incluirá uma lista de marcações de proteção. A lista de marcações contém pares de valores separados por ponto e vírgula. Cada par inclui o valor que aparece no Secure Mail e o valor da marcação, que é o texto anexado ao assunto e ao cabeçalho do e-mail no Secure Mail. Por exemplo, no par de marcação "UNOFFICIAL,SEC=UNOFFICIAL;", o valor da lista é “UNOFFICIAL” e o valor da marcação é “SEC=UNOFFICIAL”.

Namespace de classificação de e-mail

Especifica o namespace de classificação exigido no cabeçalho do e-mail pelo padrão de classificação usado. Por exemplo, o namespace “gov.au” aparece no cabeçalho como “NS=gov.au”. O valor padrão está vazio.

Versão de classificação de e-mail

Especifica a versão de classificação exigida no cabeçalho do e-mail pelo padrão de classificação usado. Por exemplo, a versão “2012.3” aparece no cabeçalho como “VER=2012.3”. O valor padrão está vazio.

Classificação de e-mail padrão

Especifica a marcação de proteção que o Secure Mail aplica a um e-mail se um usuário não escolher uma marcação. Este valor deve estar na lista da política de marcações de classificação de e-mail. O valor padrão é UNOFFICIAL.

Limite de pesquisa de e-mail

Restringe a quantidade de histórico de e-mail acessível a partir de dispositivos móveis, limitando o número de dias incluídos nas pesquisas do servidor de e-mail. Para restringir a quantidade de e-mails sincronizados com um dispositivo móvel, configure a política de intervalo máximo de sincronização. O valor padrão é Ilimitado.

Intervalo máximo de sincronização

Controla a quantidade de e-mails armazenados localmente em um dispositivo móvel, limitando o período de sincronização.

Para restringir o período em que um dispositivo pode pesquisar no servidor de e-mail, configure a política de limite de pesquisa do servidor de e-mail.

Os valores são:

  • 3 dias
  • 1 semana
  • 2 semanas
  • 1 mês
  • Todos

O valor padrão é Todos.

Opções de Web e Áudio do Calendário

  • GoToMeeting e Inserido pelo Usuário - Quando esta opção é escolhida, os usuários podem selecionar o tipo de conferência que desejam configurar. As opções incluem GoToMeeting, que abre uma página do GoToMeeting, e Outra Conferência, que permite aos usuários inserir informações da reunião manualmente.
  • Somente Inserido pelo Usuário - Quando esta opção é escolhida, os usuários são direcionados diretamente para a página Outra Conferência, onde podem inserir informações da reunião manualmente.

Origem do Certificado Público S/MIME

Especifica a origem dos certificados públicos S/MIME. Se Exchange, o Secure Mail busca certificados do Exchange Server. Se LDAP, o Secure Mail busca certificados do servidor LDAP. O valor padrão é Exchange.

Endereço do Servidor LDAP

Endereço do servidor LDAP, incluindo o número da porta. O valor padrão está vazio.

DN Base LDAP

Nome distinto base LDAP. O valor padrão está vazio.

Acessar LDAP Anonimamente

Se esta política estiver Ativada, o Secure Mail pode pesquisar no LDAP sem autenticação prévia. O padrão é Desativado.

Domínios de E-mail Permitidos

Defina uma lista de domínios de e-mail permitidos em um formato separado por vírgulas, como server.company.com,server.company.co.uk. O valor padrão está vazio, o que implica que o Secure Mail não filtra domínios de e-mail e oferece suporte a todos os domínios de e-mail. O Secure Mail compara os domínios listados com o nome de domínio no endereço de e-mail.

Por exemplo, quando server.company.com é um nome de domínio listado e o endereço de e-mail é user@internal.server.company.com, o Secure Mail oferece suporte ao endereço de e-mail.

Notificações push

Permite notificações baseadas em FCM sobre a atividade da caixa de correio. Se Ativado, o Secure Mail oferece suporte a notificações push. O valor padrão é Desativado.

Nome do host EWS para notificações push

O servidor que hospeda os Serviços Web do Exchange (EWS) para e-mail. O valor deve ser a URL do EWS, juntamente com o número da porta. O valor padrão é vazio.

Região das notificações push

A região onde o host FCM está localizado para seus usuários do Secure Mail. As opções são Américas, EMEA e PAC. O valor padrão é Américas.

Tentar migração do nome de usuário em caso de falha na autenticação

Esta política tenta migrar o nome de usuário do Exchange para um UPN para autenticação. O valor padrão é Desativado.

Endereços de e-mail para relatar phishing

Se configurado, você pode relatar e-mails de phishing suspeitos para um endereço de e-mail específico ou uma lista de endereços de e-mail separados por vírgulas. O valor padrão é vazio. Se você não configurar esta política, não poderá relatar mensagens de phishing.

Mecanismo de relatório de phishing

Esta política indica o mecanismo usado para relatar e-mails de phishing suspeitos.

  1. Relatar via anexo (.eml) – Relata e-mails de phishing como um anexo. O anexo é enviado para um endereço de e-mail ou uma lista de endereços de e-mail separados por vírgulas configurados na política Endereços de e-mail para relatar phishing.
  2. Relatar via encaminhamento – Relata e-mails de phishing como um encaminhamento. O e-mail é encaminhado para um endereço de e-mail ou uma lista de endereços de e-mail separados por vírgulas configurados na política Endereços de e-mail para relatar phishing.

Nota:

Esta política está disponível apenas para o servidor Microsoft Exchange.

O padrão é Relatar via anexo (.eml).

Domínios de reunião do Skype for Business

Esta política contém uma lista de domínios separados por vírgulas usados para reuniões do Skype for Business. O Secure Mail já lida com reuniões com prefixo de URL da seguinte forma:

  1. https://join
  2. https://meet
  3. https://lync

Com esta política, outros domínios do Skype for Business podem ser adicionados no formato https://*domain*. O domínio pode ser uma sequência de caracteres alfanuméricos e não pode conter caracteres especiais. Não insira o https:// precedente ou o ponto seguinte.

Exemplo

Se o valor da política for customDomain1,customDomain2, os prefixos de URL compatíveis para o Skype for Business seriam: https://customDomain1 http://customDomain1 https://customDomain2 http://customDomain2

O valor padrão é vazio.

Exportar Calendário

Esta política permite que os eventos do calendário do Secure Mail sejam exportados para seu dispositivo ou calendário pessoal. Você pode visualizar seus eventos em seu calendário pessoal. Você pode editar os eventos usando o Secure Mail. O valor padrão é Hora da Reunião.

Os seguintes valores de política MDX estão disponíveis para os campos de evento do calendário que aparecem em seu calendário pessoal:

  1. Nenhum (Não Exportar)
  2. Hora da Reunião
  3. Hora da Reunião, Local
  4. Hora da Reunião, Assunto, Local
  5. Hora da Reunião, Disponibilidade, Participantes, Assunto, Local, Notas

Suporte OAuth para Office 365

Usar autenticação moderna para O365

Se esta política estiver Ativada, o Secure Mail usa o protocolo OAuth para autenticação ao configurar uma conta no Office 365. Se Desativada, o Secure Mail usa a autenticação Básica. O padrão é Desativado.

Nomes de host confiáveis do Exchange Online

Defina uma lista de nomes de host confiáveis do Exchange Online que usam o mecanismo OAuth para autenticação ao configurar uma conta. Este valor está em um formato separado por vírgulas, como server.company.com, server.company.co.uk. Se a lista estiver vazia, o Secure Mail usará a autenticação Básica para a configuração da conta. O valor padrão é outlook.office365.com.

Nomes de host confiáveis do AD FS

Defina uma lista de nomes de host confiáveis do AD FS para páginas da web onde a senha é preenchida durante a autenticação OAuth do Office 365. Este valor está em um formato separado por vírgulas, como sts.companyname.com, sts.company.co.uk. Se a lista estiver vazia, o Secure Mail não preencherá automaticamente as senhas. O Secure Mail compara os nomes de host listados com o nome de host da página da web encontrada durante a autenticação do Office 365 e verifica se a página usa o protocolo HTTPS.

Por exemplo, quando sts.company.com é um nome de host listado e se o usuário navega para https://sts.company.com, o Secure Mail preenche a senha se a página tiver um campo de senha. O valor padrão é login.microsoftonline.com.

Agente de usuário personalizado para autenticação moderna

Esta política permite que você altere a string de agente de usuário padrão para autenticação moderna. Se configurada, esta string de agente de usuário é usada para autenticação com o Microsoft AD FS. Se você não configurar esta política, o agente de usuário padrão do Secure Mail será usado durante a autenticação moderna.

Integração com o Slack

Habilitar Slack

Bloqueia ou permite a integração com o Slack. Se Ativado, a interface do Secure Mail inclui recursos do Slack. Se Desativado, a interface do Secure Mail não inclui recursos do Slack.

Nome do espaço de trabalho do Slack

O nome do espaço de trabalho do Slack para sua empresa. Se você fornecer um nome, o Secure Mail preencherá previamente o nome do espaço de trabalho durante o logon. Se você não fornecer um nome, os usuários deverão digitar o nome do espaço de trabalho (name.slack.com).

Políticas MDX para aplicativos de produtividade móvel para Android
May 6, 2026
Contribuição de: 
C C
May 6, 2026
Contribuição de: 
C C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.