Tarefas e considerações do administrador

Políticas de MDX para aplicativos móveis de produtividade para iOS

Este artigo descreve as políticas de MDX para aplicativos iOS. Você altera as configurações da política no console Citrix Endpoint Management. Para obter detalhes, consulte Adicionar aplicativos.

A lista a seguir não inclui políticas de MDX específicas para o Secure Web. Para obter detalhes sobre as políticas que aparecem para o Secure Web , consulte Políticas do Secure Web.

Authentication

Código secreto do dispositivo

Se o valor for Ativado, será necessário um PIN ou código secreto será necessário para desbloquear o dispositivo quando ele for iniciado ou reiniciado após um período de inatividade. Um código secreto de dispositivo é necessário para criptografar dados do aplicativo usando a criptografia de arquivo da Apple. Os dados de todos os aplicativos no dispositivo são criptografados. O valor padrão é Desativado.

Código secreto do aplicativo

Se o valor for Ativado, será necessário um PIN ou código secreto para desbloquear o aplicativo quando ele for iniciado ou reiniciado após um período de inatividade. O valor padrão é Ativado.

Para configurar o timer de inatividade de todos os aplicativos, defina o valor de INACTIVITY_TIMER em minutos nas Propriedades do cliente da guia Configurações. O valor padrão do timer de inatividade é de 60 minutos. Para desativar o timer de inatividade de forma que um aviso de PIN ou código secreto seja exibido somente quando o aplicativo for iniciado, defina o valor como zero.

Nota:

Se você selecionar Seguro offline para a política Chaves de criptografia, esta política será ativada automaticamente.

Período máximo offline (horas)

Define o período máximo durante o qual um aplicativo pode ser executado sem reconfirmar o direito de aplicativo e atualizar as políticas do Citrix Endpoint Management. Na expiração, o logon no servidor pode ser disparado se necessário. O valor padrão é 168 horas (7 dias). O período mínimo é de 1 hora.

Citrix Gateway alternativo

Nota:

O nome dessa política no console Endpoint Management é NetScaler Gateway alternativo.

Endereço de um determinado Citrix Gateway alternativo, que deve ser usado para sessões de autenticação e de micro VPN neste aplicativo. esta política é opcional. Quando usada com a política Sessão online obrigatória, força os aplicativos a serem autenticados novamente no gateway específico. Esses gateways normalmente têm requisitos de autenticação (maior garantia) e políticas de gerenciamento de tráfego diferentes. Se for deixado em branco, o gateway padrão do servidor será sempre usado. O valor padrão é vazio.

Segurança do dispositivo

Bloquear dispositivos com jailbreak ou root

Se o valor for Ativado, o aplicativo será bloqueado quando o dispositivo tiver jailbreak ou raiz. Se for Desativado, o aplicativo poderá ser executado, mesmo se o dispositivo tiver jailbreak ou raiz. O valor padrão é Ativado.

Requisitos de rede

Exigir Wi-Fi

Se o valor for Ativado, o aplicativo será bloqueado quando o dispositivo não estiver conectado a uma rede Wi-Fi. Se for Desativado, o aplicativo poderá ser executado quando o dispositivo tiver uma conexão ativa, como 4G/3G, LAN ou Wi-Fi. O valor padrão é Desativado.

Redes Wi-Fi permitidas

Lista de redes Wi-Fi delimitada por vírgulas. Se o nome da rede contiver caracteres não alfanuméricos (incluindo vírgulas), o nome deverá estar entre aspas duplas. O aplicativo só funciona se for conectado a uma das redes na lista. Se em branco, todas as redes são permitidas. Esse valor não afeta as conexões a redes celulares. O valor padrão é em branco.

Outros acessos

Desativar obrigatoriedade de atualização

Desativa a exigência de que os usuários atualizem para a versão mais recente do aplicativo na App Store. O valor padrão é Ativado.

Período de tolerância de atualização de aplicativo (horas)

Define o período de tolerância durante o qual um aplicativo pode continuar a ser usado após o sistema descobrir que uma atualização de aplicativo está disponível. O valor padrão é 168 horas (7 dias).

Nota:

Recomendamos que você não use um valor de zero. O valor zero impede imediatamente que um aplicativo em execução seja usado até que a atualização seja baixada e instalada (sem nenhum aviso ao usuário). Usar esse valor pode causar uma situação na qual o usuário é forçado a fechar o aplicativo (e talvez perder o trabalho) para atender à conformidade com a atualização necessária.

Apagar dados de aplicativo ao bloquear

Apaga dados e redefine o aplicativo quando o aplicativo é bloqueado. Se o valor for Desativado, os dados de aplicativo não serão apagados quando o aplicativo for bloqueado. O valor padrão é Desativado.

Um aplicativo pode estar bloqueado por um dos seguintes motivos:

  • Perda de direito do usuário ao aplicativo
  • Assinatura de aplicativo removida
  • Conta removida
  • Secure Hub desinstalado
  • Número excessivo de falhas de autenticação de aplicativo
  • Dispositivo com jailbreak detectado (por configuração de política)
  • Dispositivo colocado em estado bloqueado por outra ação administrativa

Intervalo ativo de sondagem (minutos)

Quando um aplicativo é iniciado, a estrutura do MDX faz uma sondagem no Citrix Endpoint Management para determinar o aplicativo atual e o status do dispositivo. Partindo do princípio de que o servidor que está executando o Endpoint Management possa ser acessado, a estrutura retorna informações sobre o status de bloqueio/exclusão do dispositivo e o status de ativação/desativação do aplicativo. Independentemente de o servidor poder ser contatado, a sondagem subsequente será agendada com base no intervalo de sondagem ativa. Após a expiração do período, uma nova tentativa de sondagem será realizada. O valor padrão é 60 minutos (1 hora).

Importante:

Só defina com um valor menor para os aplicativos de alto risco, para que o desempenho não seja afetado.

Criptografia

Tipo de criptografia

Permite que você escolha se o MDX ou a plataforma do dispositivo manipula a criptografia de dados. Se você selecionar Criptografia MDX, o MDX irá criptografar os dados. Se você selecionar Criptografia de plataforma com imposição de conformidade, a plataforma de dispositivo criptografará os dados. O valor padrão é Criptografia MDX.

Comportamento do dispositivo não compatível

Permite que você escolha uma ação quando um dispositivo não adere aos requisitos mínimos de conformidade da criptografia. Selecione Permitir aplicativo para que o aplicativo seja executado normalmente. Selecione Permitir aplicativo após aviso para que o aplicativo seja executado após o aviso aparecer. Selecione Bloquear para bloquear a execução do aplicativo. O valor padrão é Permitir aplicativo após aviso.

Ativar criptografia MDX

Se for Off, os dados armazenados no dispositivo não serão criptografados. Se for On, os dados armazenados no dispositivo serão criptografados. O valor padrão é Ativado.

Cuidado:

Se você alterar essa política depois de implantar um aplicativo, os usuários deverão reinstalar o aplicativo.

Exclusões de criptografia de banco de dados

Lista de exclusão de bancos de dados que não são criptografados automaticamente. Para impedir a criptografia de banco de dados de um banco de dados específico, adicione uma entrada a esta lista separada por vírgulas de expressões regulares. Se um nome de caminho de banco de dados corresponder a alguma das expressões regulares, o banco de dados será excluído da criptografia. Os padrões de exclusão são compatíveis com a sintaxe de Expressões Regulares Estendidas do Posix 1003.2. A correspondência de padrões não diferencia maiúsculas de minúsculas.

Exemplos

\\.db$,\\.sqlite$ exclui todo nome de caminho de banco de dados que termina com .db ou .sqlite.

\/Database\/unencrypteddb\.db corresponde ao banco de dados unencrypteddb.db na subpasta Database.

\/Database\/ corresponde a todos os bancos de dados que contêm /Database/ em seu caminho.

O valor padrão é vazio.

Exclusões de criptografia de arquivo

A lista de exclusão dos arquivos que não são criptografados automaticamente. Para impedir a criptografia de um conjunto específico de arquivos, adicione uma entrada a esta lista separada por vírgulas de expressões regulares. Se um nome de caminho de arquivo corresponder a alguma das expressões regulares, esse arquivo será excluído da criptografia. Os padrões de exclusão são compatíveis com a sintaxe de Expressões Regulares Estendidas do Posix 1003.2. A correspondência de padrões não diferencia maiúsculas de minúsculas.

Exemplos

\\.log$,\\.dat$ exclui todo nome de caminho de arquivo que termina com .log ou .dat.

\/Documents\/unencrypteddoc\.txt corresponde ao conteúdo do arquivo unencrypteddoc.txt na subpasta Documents.

\/Documents\/UnencryptedDocs\/.*\.txt corresponde aos arquivos “.txt” no subcaminho /Documents/UnencryptedDocs/.

O valor padrão é vazio.

Interação do aplicativo

Recortar e copiar

Bloqueia, permite ou restringe operações de recortar e copiar da área de transferência com relação a este aplicativo. Se o valor for Restrito, os dados copiados na área de transferência são colocados em uma área de transferência privativa que somente está disponível para aplicativos MDX. O valor padrão é Restrito.

Colar

Bloqueia, permite ou restringe operações de colar da área de transferência com relação a este aplicativo. Se o valor for Restrito, os dados colados da área de transferência têm origem em uma área de transferência privativa que somente está disponível para aplicativos MDX. O valor padrão é Irrestrito.

Troca de documentos (Abrir em)

Bloqueia, permite ou restringe operações de troca de documentos para este aplicativo. Se o valor for Restrito, somente é possível trocar documentos com outros aplicativos MDX.

Se for Irrestrito, defina a política Ativar criptografia como Ativado para que os usuários possam abrir documentos em aplicativos não preparados. Se o aplicativo que recebe não for preparado ou tiver a criptografia desativada, o Citrix Endpoint Management descriptografará o documento. O valor padrão é Restrito.

Lista restrita de exceção de Abrir em

Quando a política Troca de documentos (Abrir em) estiver definida como Restrito, um aplicativo MDX poderá compartilhar documentos com esta lista limitada por vírgulas de IDs de aplicativos não gerenciados. Isso ocorre mesmo se a política de Troca de documentos(Abrir em) for Restrito e a política Ativar criptografia for Ativado. A lista de exceções padrão permite os aplicativos do Office 365:

com.microsoft.office.word, com.microsoft.office.excel, com.microsoft.office.PowerPoint, com.microsoft.onenote, com.microsoft.OneNoteipad, com.microsoft.Office.Outlook

Somente os aplicativos do Office 365 são compatíveis com essa política.

Cuidado:

É essencial considerar as implicações de segurança dessa política. A lista de exceções permite que o conteúdo seja transferido entre os aplicativos não gerenciados e o ambiente MDX.

Nível de segurança de conexão

Determina a versão mínima do protocolo TLS/SSL usado em conexões. Se for TLS as conexões darão suporte a todos os protocolos TLS. Se for SSLv3 e TLS, as conexões darão suporte a SSL 3.0 e a TLS. O valor padrão é TLS.

Troca de documentos de entrada (Abrir em)

Bloqueia, restringe ou permite operações de troca de documentos de entrada para este aplicativo. Se for Restrito, somente é possível trocar documentos com outros aplicativos MDX. O valor padrão é Irrestrito.

Se o valor for Bloqueado ou Restrito, você poderá usar a política Lista branca de troca de documentos recebidos para especificar os aplicativos que podem enviar documentos para esse aplicativo.

Opções: Irrestrito, Bloqueado ou Restrito

Esquemas de URL de aplicativo

Os aplicativos iOS podem distribuir solicitações de URL para outros aplicativos que foram registrados para lidar com esquemas específicos (como “http://”). Esse recurso fornece um mecanismo para um aplicativo passar as solicitações de ajuda para outro aplicativo. Essa política serve para filtrar os esquemas que são passados para esse aplicativo para manipulação (ou seja, URLs de entrada). O valor padrão é vazio, o que significa que todos os esquemas de URL de aplicativo registrados são bloqueados.

A política deve ser formatada como uma lista de padrões separada por vírgulas em que um sinal de “+” ou menos “-“ procede cada padrão. As URLs de entrada são comparadas com os padrões na ordem da lista até que seja encontrada uma correspondência. Quando é encontrada a correspondência, o prefixo determina a ação executada.

  • Um prefixo menos “-“ impede que a URL seja passada para esse aplicativo.
  • Um prefixo mais “+” permite que a URL seja passada para o aplicativo para manipulação.
  • Se nem “+” ou “-“ for fornecido com o padrão, fica presumido “+” (permitir).
  • Se a URL de entrada não corresponder a algum padrão na lista, a URL será bloqueada.

A seguinte tabela contém exemplos de esquemas de URL do Aplicativo:

Esquema Aplicativo que requer o esquema de URL Finalidade
ctxmobilebrowser Secure Web- Permitir que o Secure Web manipule URLs HTTP: de outros aplicativos.-
ctxmobilebrowsers Secure Web- Permitir que o Secure Web manipule URLs HTTPS: de outros aplicativos.
ctxmail Secure Mail- Permitir que o Secure Mail manipule URLs mailto: de outros aplicativos.
COL-G2M GoToMeeting- Permitir que um aplicativo GoToMeeting preparado lide com solicitações de reunião.
ctxsalesforce Citrix for Salesforce - Permitir que o Citrix for Salesforce lide com solicitações do Salesforce.
wbx WebEx Permitir que um aplicativo WebEx preparado lide com solicitações de reunião.

Interação de aplicativo (URL de saída)

Domínios excluídos da filtragem de URLs

Esta política exclui URLs de saída da filtragem de “URLs permitidas”. Adicionar uma lista separada por vírgula de nomes de domínio totalmente qualificados (FQDN) ou sufixos DNS para excluir da filtragem de “URLs permitidas”. Se esta política estiver vazia (o padrão), os processos de filtragem de “URLs permitidas” definidos serão URLs. Se esta política contiver entradas, as URLs com campos de host correspondentes a pelo menos um item na lista (via correspondência de sufixo DNS) são enviadas inalteradas para o iOS. Esta comunicação ignora a lógica de filtragem de “URLs permitidas”. O valor padrão é vazio.

URLs permitidas

Os aplicativos iOS podem distribuir solicitações de URL para outros aplicativos que foram registrados para lidar com esquemas específicos (como "http://"). Esse recurso fornece um mecanismo para um aplicativo passar as solicitações de ajuda para outro aplicativo. Essa política serve para filtrar as URLs que são passadas desse aplicativo para outros aplicativos para manipulação (ou seja, URLs de saída).

A política deve ser formatada como uma lista de padrões separada por vírgulas em que cada padrão pode ser precedido de um sinal de “+” ou menos “-“. As URLs de saída são comparadas com os padrões na ordem da lista até que seja encontrada uma correspondência. Quando é encontrada a correspondência, o prefixo determina a ação executada. Um prefixo de menos “-“ impede que a URL seja passada para outro aplicativo. Um prefixo de mais “+” permite que a URL seja passada para outro aplicativo para manipulação. Se nem “+” ou “-“ for fornecido com o padrão, fica presumido “+” (permitir). Um par de valores separados por “=” indica uma substituição em que as ocorrências da primeira cadeia de caracteres são substituídas pela segunda. Você pode usar o prefixo de expressão regular “^” na cadeia de caracteres de pesquisa para ancorá-la ao início da URL. Se uma URL de saída não corresponder a um padrão na lista, ela será bloqueada.

Padrão

+maps.apple.com

+itunes.apple.com

^http:=ctxmobilebrowser:

^https:=ctxmobilebrowsers:

^mailto:=ctxmail:

+^citrixreceiver:

+^telprompt:

+^tel:

+^lmi-g2m:

+^maps:ios_addr

+^mapitem:

+^sms:

+^facetime:

+^ctxnotes:

+^ctxnotesex:

+^ctxtasks:

+^facetime-audio:

+^itms-apps:

+^ctx-sf:

+^sharefile:

+^lync:

+^slack:

+^msteams:

Se a configuração for deixada em branco, todas as URLs são bloqueadas, exceto as seguintes:

  • http:
  • https:
  • +citrixreceiver: +tel:

A seguinte tabela contém exemplos de URLs permitidas:

Formato da URL Descrição
^mailto:=ctxmail Todas as URLs mailto: abertas no Secure Mail.
^http Todas as URLs HTTP abertas no Secure Web.
^https Todas as URLs HTTPS abertas no Secure Web.
^tel Permite que o usuário faça chamadas.
-//www.dropbox.com Bloqueia as URLs do Dropbox distribuídas de aplicativos gerenciados.
+^COL-G2M Permite que aplicativos gerenciados abram o aplicativo cliente GoToMeeting.
-^SMS Bloqueia o uso de um cliente de chat de mensagens.
-^wbx Impede que aplicativos gerenciados abram o aplicativo cliente WebEx.
+^ctxsalesforce Permite o Citrix for Salesforce se comunique com o servidor do Salesforce.

Domínios do Secure Web permitidos

Essa política afeta somente as entradas da política “URLs permitidas” que redirecionariam uma URL para o aplicativo Secure Web (^ http:=ctxmobilebrowser: e ^https:=ctxmobilebrowsers:). Adicione uma lista separada por vírgulas de nomes de domínio totalmente qualificados (FQDN) ou sufixos de DNS para redirecionar o aplicativo Secure Web. Se a política estiver vazia (o padrão), todos os domínios podem redirecionar para o aplicativo Secure Web. Se esta política contiver alguma entrada, apenas os URLs com campos de host que correspondam a pelo menos um item da lista (por coincidir com um sufixo de DNS) redirecionam para o aplicativo Secure Web. Todos os demais URLs são enviados inalterados para iOS, desconsiderando o aplicativo Secure Web. O valor padrão é vazio.

Restrições de aplicativo

Importante:

Não deixe de considerar as implicações de segurança das políticas que impedem que os aplicativos acessem ou usem os recursos de telefone. Quando essas políticas estiverem definidas como Desativado, o conteúdo poderá ser transferido entre os aplicativos não gerenciados e o ambiente seguro.

Bloquear câmera

Se o valor for Ativado, impedirá que um aplicativo use diretamente o hardware da câmera. O valor padrão é Desativado.

Bloquear biblioteca de fotos

Se o valor for Ativado, isso impedirá que um aplicativo acesse a biblioteca de fotos. O valor padrão é Ativado.

Bloquear gravação de microfone

Se o valor for Ativado, impedirá que um aplicativo use diretamente o hardware do microfone. O valor padrão é Ativado.

Bloquear ditado

Se o valor for Ativado, impedirá que um aplicativo use diretamente os serviços de ditado. O valor padrão é Ativado.

Bloquear serviços de localização

Se o valor for Ativado, impedirá que um aplicativo use os componentes de serviços de localização (GPS ou rede). O valor padrão é Desativado para Secure Mail.

Bloquear composição de SMS

Se o valor for Ativado, impedirá que um aplicativo use o recurso de composição de SMS usado para enviar mensagens SMS/de texto a partir do aplicativo. O valor padrão é Ativado.

Bloquear composição de email

Se o valor for Ativado, impede que um aplicativo use o recurso de composição de email usado para enviar mensagens de email a partir do aplicativo. O valor padrão é Ativado.

Bloquear iCloud

Se o valor for Ativado, impedirá que um aplicativo use o iCloud para armazenar e compartilhar as configurações e os dados.

Nota:

O arquivo de dados do iCloud é controlado pela política Bloquear backup de arquivo.

O valor padrão é Ativado.

Bloquear pesquisa

Se o valor for Ativado, impedirá um aplicativo de usar o recurso de Pesquisa, que pesquisa em busca de texto realçado no Dicionário, iTunes, App Store, horários de exibição de filmes, locais próximos e mais. O valor padrão é Ativado.

Bloquear backup de arquivo

Se Ativado, impede que iCloud ou iTunes façam backup dos arquivos de dados. O valor padrão é Ativado.

Bloquear AirPrint

Se o valor for Ativado, impedirá que um aplicativo use recursos do AirPrint para imprimir dados em impressoras compatíveis com AirPrint. O valor padrão é Ativado.

Bloquear AirDrop

Se o valor for Ativado, impedirá que um aplicativo use o AirDrop. O valor padrão é Ativado.

Bloquear anexos de arquivo

Nota:

Esta política já vem aplicada no iOS 11 ou posterior.

Se Ativado, a manipulação de anexos estará desativada. O valor padrão é Desativado.

Bloquear APIs do Facebook e Twitter

Se o valor for Ativado, impede que um aplicativo use as APIs do Facebook e Twitter para iOS. O valor padrão é Ativado.

Conteúdo de tela escurecido

Se o valor for Ativado, quando os usuários mudarem de aplicativos, a tela será escurecida. Essa política impede que o iOS grave o conteúdo da tela e exiba as miniaturas. O valor padrão é Ativado.

Bloquear teclados de terceiros (somente iOS 11 e posterior)

Se o valor for Ativado, impedirá que um aplicativo use extensões de teclado de terceiros em iOS 8+. O valor padrão é Ativado.

Bloquear logs de aplicativo

Se o valor for Ativado, proibirá que um aplicativo use o recurso de log de diagnóstico de aplicativos móveis de produtividade. Se for Desativado, os logs de aplicativo serão gravados e poderão ser coletados por meio do recurso de suporte de email do Secure Hub. O valor padrão é Desativado.

Ativar o ShareFile

Permite que os usuários usem ShareFile para transferir arquivos. O valor padrão é Ativado.

Ativar Anexar de arquivos

Permite que os usuários adicionem anexos do aplicativo iOS Files. O valor padrão é Ativado.

Acesso à rede do aplicativo

Acesso à rede

Nota:

Com túnel - SSO de Web é o nome do Secure Browse nas configurações. O comportamento é o mesmo.

As opções de configuração são as seguintes:

  • Bloqueado: todo o acesso à rede é bloqueado. As APIs de rede usadas pelo seu aplicativo falham. De acordo com a diretriz anterior, você deve processar com cuidado uma falha assim.
  • Irrestrito: todas as chamadas serão encaminhadas diretamente e não estarão em túnel.
  • Com túnel - SSO de Web: a URLHTTP/HTTPS é reescrita. Esta opção permite apenas o encapsulamento de tráfego HTTP e HTTPS. Uma grande vantagem do procedimento Com túnel - SSO de Web é o logon único (SSO) para tráfego HTTP e HTTPS e também a autenticação PKINIT. No Android, esta opção tem baixa sobrecarga de configuração e, portanto, é a opção preferencial para o tipo de operações de navegação na Web.

Se estiver usando as políticas Com túnel - VPN completa ou Com túnel - VPN completa e SSO de web, você deverá mudar para a política Com túnel - SSO de web. Seus e-mails não conseguem sincronizar se você continuar a usar as políticas preteridas.

Nota:

Se você está usando Com túnel - VPN completa e o Secure Ticket Authority (STA) está configurado, a tela de autenticação moderna não carrega.

Sessão micro VPN obrigatória

Se o valor for Ativado, o usuário deverá ter uma conexão com a rede corporativa e uma sessão ativa. Se for Desativado, uma sessão ativa não será necessária. O valor padrão é Usar as configurações anteriores. Para aplicativos recém-carregados, o valor padrão é Não. Qualquer configuração selecionada antes da atualização para essa nova política permanece em vigor até que uma opção diferente de Usar as configurações anteriores seja selecionada.

Período de tolerância para sessão micro VPN obrigatória (minutos)

Este valor determina quantos minutos os usuários podem usar o aplicativo antes que a política “Sessão online obrigatória” impeça que continuem a usá-lo (até que a sessão online seja validada). O valor padrão é 0 (sem período de tolerância). Esta política não é aplicável para integração com o Microsoft Intune/EMS.

Etiqueta de certificado

Quando usado com o serviço de integração de certificado do StoreFront, essa etiqueta identifica o certificado específico necessário para este aplicativo. Se nenhuma etiqueta for fornecida, nenhum certificado é disponibilizado para uso com uma infraestrutura de chave pública (PKI). O valor padrão é vazio (nenhum certificado usado).

Lista de exclusões

Lista delimitada por vírgulas de FQDNs ou sufixos DNS a serem acessados diretamente em vez de através de uma conexão VPN. Esse valor só se aplica ao modo Com túnel - SSO da Web quando o Citrix Gateway é configurado com o modo reverso de túnel dividido.

Logs de aplicativos

Saída de log padrão

Determina quais meios de saída são usados pelos recursos de log de diagnóstico de aplicativos móveis de produtividade por padrão. As possibilidades são arquivo, console ou ambos. O valor padrão é arquivo.

Nível padrão de log

Controla o padrão de detalhamento do recurso de log de diagnóstico dos aplicativos móveis de produtividade. Cada nível inclui níveis de valores menores. A gama de níveis possíveis inclui:

  • 0 - Nada registrado no log
  • 1 - Erros críticos
  • 2 - Erros
  • 3 - Avisos
  • 4 - Mensagens informativas
  • 5 - Mensagens informativas detalhadas
  • 6 a 15 - Níveis de depuração de 1 a 10

O valor padrão é o nível 4 (Mensagens informativas).

Máx. de arquivos de log

Limita o número de arquivos de log mantidos pelo recurso de log de diagnóstico dos aplicativos móveis de produtividade antes que sejam substituídos. O mínimo é 2. O máximo é 8. O valor padrão é 2.

Tamanho máximo de arquivo de log

Limita o tamanho em MB dos arquivos de log mantidos pelo recurso de log de diagnóstico dos aplicativos móveis de produtividade antes que sejam substituídos. O mínimo é 1 MB. O máximo é 5 MB. O valor padrão é 2 MB.

Geocerca de aplicativo

Longitude do ponto central

Longitude (coordenada X) do ponto central da geocerca do ponto/raio no qual o aplicativo tem restrição de operação. Quando é operado fora da geocerca configurada, o aplicativo é mantido bloqueado.

O valor deve ser expresso em formato de graus com sinal (DDD.dddd), por exemplo “-31.9635”. As longitudes a oeste devem ser precedidas de um sinal negativo. O valor padrão é 0.

Latitude do ponto central

Latitude (coordenada Y) do ponto central da geocerca do ponto/raio no qual o aplicativo tem restrição de operação. Quando é operado fora da geocerca configurada, o aplicativo é mantido bloqueado.

O valor deve ser expresso em formato de graus com sinal (DDD.dddd), por exemplo “43.06581”. As latitudes ao sul devem ser precedidas de um sinal negativo. O valor padrão é 0.

Raio

O raio da geocerca no qual o aplicativo tem restrição de operação. Quando é operado fora da geocerca configurada, o aplicativo é mantido bloqueado.

O valor deve ser expresso em metros. Quando definido como zero, a geocerca é desativada. Quando a política Bloquear serviço de localização está habilitada, a cerca geográfica não funciona corretamente. O padrão é 0 (desativado).

Ativar Google Analytics

Se o valor for Ativado, a Citrix coleta dados de forma anônima para melhorar a qualidade do produto. Se o valor for Desativado, não há coleta de dados. O valor padrão é Ativado.

Análise

Nível de detalhes do Google Analytics

A Citrix coleta dados analíticos de forma anônima para melhorar a qualidade do produto. A seleção de Anônimo exclui os usuários da opção de incluir informações identificáveis da empresa. O padrão é Completa.

Criação de relatórios

Relatório Citrix

Se estiver Ativado, a Citrix coletará relatórios e diagnósticos de falhas para ajudar a solucionar problemas. Se Desativado, a Citrix não coletará os dados.

Nota:

A Citrix também pode controlar esse recurso com um sinalizador de recurso. Tanto o sinalizador de recurso como esta política devem estar habilitados para que esse recurso funcione.

O valor padrão é Desativado.

Token de upload

Você pode obter um token de upload de sua conta Citrix Insight Services (CIS). Se você especificar esse token opcional, o CIS lhe dará acesso a relatórios de falhas e diagnósticos carregados de seus dispositivos. A Citrix tem acesso a essas mesmas informações. O valor padrão é vazio.

Enviar relatórios apenas por Wi-Fi

Se o valor for Ativado, a Citrix enviará relatórios de falhas e diagnósticos somente quando você estiver conectado a uma rede de Wi-Fi. O valor padrão é Ativado.

Tamanho máximo do cache de arquivo de relatório

Limita o tamanho do relatório de falhas e dos pacotes de diagnóstico retidos antes da limpeza do cache. O mínimo é 1 MB. O máximo é 5 MB. O valor padrão é 2 MB.

Interação do aplicativo

Notificação explícita de logoff

Se Desativado, o aplicativo não será ativado durante o logoff de um usuário. Se estiver definido como Apenas dispositivos compartilhados, o aplicativo será ativado durante o logoff de usuário somente se o dispositivo estiver configurado como um dispositivo compartilhado. O padrão é Apenas dispositivos compartilhados para o Secure Mail.

Configurações do aplicativo

Exchange Server do Secure Mail

O nome de domínio totalmente qualificado (FQDN) do Exchange Server ou, apenas para iOS, o servidor IBM Notes Traveler. O valor padrão é vazio. Se você fornecer um nome de domínio nesse campo, os usuários não poderão editá-lo. Se você deixar o campo vazio, os usuários deverão fornecer suas próprias informações de servidor.

Cuidado:

Se você alterar essa política de um aplicativo existente, os usuários deverão excluir e reinstalar o aplicativo para aplicar a alteração de política.

Domínio do usuário de Secure Mail

O nome de domínio padrão do Active Directory para usuários do Exchange ou, apenas para iOS, usuários do Notes. O valor padrão é vazio.

Serviços de rede em segundo plano

O FQDN e a porta dos endereços de serviço permitidos para acesso à rede em segundo plano. Esse valor pode ser um Exchange Server ou servidor ActiveSync, na sua rede interna ou em outra rede à qual o Secure Mail se conecte, como mail.exemplo.com:443.

Se você configurar essa política, defina a política Acesso à rede como Com túnel para a rede interna. Essa política é aplicada quando você configura a política Acesso à rede. Use essa política quando o Exchange Server estiver localizado na sua rede interna e você desejar usar o Citrix Gateway (anteriormente, NetScaler Gateway) para inserir um proxy na conexão com o Exchange Server interno.

O valor padrão é vazio, o que implica que os serviços de rede em segundo plano não estão disponíveis.

Expiração de tíquete de serviços em segundo plano

O período de tempo durante o qual um tíquete de serviço de rede em segundo plano será válido. Após a expiração, será necessário um logon empresarial para a renovação do tíquete. O valor padrão é 168 horas (7 dias).

Gateway de serviço de rede em segundo plano

Alternar endereço de gateway a ser usado para os serviços de rede em segundo plano no formato fqdn:port. Esse valor é o FQDN e o número da porta do Citrix Gateway que o Secure Mail usa para se conectar ao Exchange Server interno. No utilitário de configuração do Citrix Gateway, você deve configurar o Secure Ticket Authority (STA) e associar a política ao servidor virtual. O valor padrão é vazio, o que indica que não existe um gateway alternativo.

Se você configurar essa política, defina a política Acesso à rede como Com túnel para a rede interna. Essa política é aplicada quando você configura a política Acesso à rede. Além disso, use essa política quando o Exchange Server residir na sua rede interna e se você desejar usar o Citrix Gateway para inserir um proxy na conexão com o Exchange Server interno.

Exportar contatos

Importante:

Não ative esse recurso se os usuários puderem acessar o Exchange Server diretamente (ou seja, fora do Citrix Gateway). Caso contrário, serão criados contatos duplicados no dispositivo e no Exchange.

Se o valor for Desativado, impedirá a sincronização unidirecional de contatos do Secure Mail para o dispositivo e o compartilhamento de contatos do Secure Mail (como vCards). O valor padrão é Desativado.

Campos de contato para exportar

Controla os campos de contato a serem exportados para o catálogo de endereços. Se o valor for Todos, todos os campos de contato serão exportados. Se for Nome e Telefone, todos os campos de contato relacionados ao nome e ao telefone serão exportados. Se for Nome, Telefone e Email, todos os campos de contato relacionados ao nome, ao telefone e ao email serão exportados.

O valor padrão é Todos.

Aceitar todos os certificados SSL

Se o valor for Ativado, o Secure Mail aceita todos os certificados SSL (válidos ou não) e permite o acesso. Se o valor for Desativado, o Secure Mail bloqueia o acesso quando ocorre um erro e exibe um aviso.

O valor padrão é Desativado.

Controlar notificações de tela de bloqueio

Controla se as notificações de calendário e email são exibidas na tela de um dispositivo bloqueado. Se o valor for Permitir, todas as informações contidas na notificação serão exibidas. Se for Bloquear, as notificações não serão exibidas. Se for Remetente do email ou título do evento, somente o nome do remetente do email ou o título do evento de calendário será exibido. Se for Apenas contagem, a contagem de emails e convites para reunião e o horário dos lembretes de calendário serão exibidos. O valor padrão é Permitir.

Notificação de email padrão

Se o valor for Ativado, o Secure Mail exibirá a notificação de tela de bloqueio para emails. O valor padrão é Ativado.

Intervalo de sincronização padrão

Especifica o intervalo de sincronização padrão do Secure Mail. Os usuários do Secure Mail podem alterar o padrão. A configuração Filtro de idade máxima de email na política de Caixa de correio do Exchange ActiveSync tem prioridade sobre a política. Se você especificar um intervalo de sincronização padrão maior que o filtro de idade máxima de email, a configuração do Filtro de idade máxima de email será usada.

O Secure Mail mostra somente os valores de intervalo de sincronização menores que a configuração do Filtro de idade máxima de email do Active Sync.

O valor padrão é 3 dias.

Limite de busca de email

Restringe a quantidade de histórico de email que é acessível de dispositivos móveis limitando o número de dias incluídos nas pesquisas no servidor de email. O valor padrão é Ilimitado.

Para restringir a quantidade de emails que são sincronizados com um dispositivo móvel, configure a política de Período máximo de sincronização de cliente.

Intervalo de sincronização máximo

Controla a quantidade de email armazenados localmente em um dispositivo móvel limitando o período de sincronização. O valor padrão é Todos. Para restringir o período de tempo durante o qual um dispositivo pode pesquisar no servidor de email, configure a política Limite de busca do servidor de email.

Ativar o número da semana

Se o valor for Ativado, os modos de exibição de calendário incluirão o número da semana. O valor padrão é Desativado.

Ativar download de anexos por Wi-Fi

Se o valor for Ativado, a opção Baixar anexos do Secure Mail estará ativada para que os usuários possam baixar anexos por redes Wi-Fi internas permitidas por padrão. Se for Desativado, a opção Baixar anexos do Secure Mail estará desativada de modo que, por padrão, os usuários não possam baixar anexos por Wi-Fi.

O valor padrão é Desativado.

Permitir documentos offline

Especifica se, e por quanto tempo, os usuários podem armazenar documentos offline nos dispositivos. O valor padrão é Ilimitado.

Gerenciamento de Direitos de Informação

Se o valor for Ativado, o Secure Mail dará suporte aos recursos de Gerenciamento de Direitos de Informação (IRM). O valor padrão é Desativado.

Classificação de email

Se o valor for Ativado, o Secure Mail dará suporte a marcações de classificação de email para SEC (segurança) e DLM (marcadores de limitação de disseminação). As marcações de classificação aparecem em cabeçalhos de email como valores “X-Protective-Marking”. Lembre-se de configurar as políticas de classificação de email correspondentes.

O valor padrão é Desativado.

Marcações de classificação de email

Especifica as marcações de classificação que devem ser disponibilizadas aos usuários. Se a lista estiver vazia, o Secure Mail não inclui uma lista de marcações protetoras. A lista contém pares de marcações valor que são separados por ponto-e-vírgula. Cada par inclui o valor que aparece no Secure Mail e o valor de marcação que é o texto acrescentado ao assunto do email e cabeçalho no Secure Mail. Por exemplo, no par de marcação “UNOFFICIAL,SEC=UNOFFICIAL;”, o valor da lista é “UNOFFICIAL” e o valor da marcação é “SEC=UNOFFICIAL”.

Espaço de nome de classificação de email

Especifica o espaço de nome de classificação que é necessário no cabeçalho do email pelo padrão de classificação usado. Por exemplo, o espaço de nome “gov.au” aparece no cabeçalho como “NS=gov.au”.

O valor padrão é vazio.

Versão de classificação de email

Especifica a versão de classificação que é necessária no cabeçalho do email pelo padrão de classificação usado. Por exemplo, a versão “2012.3” aparece no cabeçalho como “VER=2012.3”.

O valor padrão é vazio.

Classificação padrão de email

Especifica a marcação protetora que o Secure Mail aplica a um email se um usuário não escolher uma marcação. Esse valor deve estar na lista para a política Marcações de classificação de email.

O valor padrão é UNOFFICIAL.

Ativar salvamento automático de rascunhos de email

Se o valor for Ativado, o Secure Mail dará suporte ao salvamento automático de mensagens na pasta Rascunhos.

O valor padrão é Ativado.

Mecanismo de autenticação inicial

Esta política indica se o endereço do servidor de email fornecido pelo MDX ou o endereço de email do usuário deve ser usado para preencher o campo “endereço” na tela de provisionamento de primeiro uso.

O valor padrão é “Endereço do servidor de email”.

Credenciais de autenticação inicial

Essa política define o valor que deve ser escolhido como o nome de usuário para preencher a tela de provisionamento inicial de primeiro uso.

O valor padrão é “Nome de usuário de registro”.

Ativar preenchimento automático do nome de usuário

Se ativado, o nome de usuário é preenchido automaticamente na interface do usuário de provisionamento de conta. O valor padrão é Ativado.

Ativar a proteção de dados do iOS

Nota:

Essa política destina-se a empresas que devem cumprir os requisitos de segurança de computador da Australian Signals Directorate (ASD).

Ativa a proteção de dados do iOS ao trabalhar com arquivos. Se o valor for Ativado, especificará o nível de proteção de arquivo ao criar e abrir arquivos na área restrita do aplicativo. O valor padrão é Desativado.

Nome de host de EWS de notificação por push

O servidor que hospeda o Exchange Web Services (EWS) para e-mail. O valor deve ser a URL do EWS, juntamente com o número da porta. O valor padrão é vazio.

Notificações por push

Ativa notificações baseadas em APNS sobre a atividade de caixa de correio. Se o valor for Ativado, o Secure Mail dá suporte a notificações por push.

O valor padrão é Desativado.

Região de notificação por push

A região onde o host APNs está localizado para os usuários do Secure Mail. As opções são Americas, EMEA e APAC. O valor padrão é Americas.

Origem de certificado público S/MIME

Especifica a origem dos certificados S/MIME. Se o valor for Email, você deverá enviar por email os certificados para os usuários que, em seguida, abrem o email no Secure Mail e importam os certificados anexados.

Se for Cofre compartilhado, um provedor de identidade digital compatível fornecerá os certificados para o cofre compartilhado do aplicativo Secure App. A integração com o provedor de terceiros requer que você publique um aplicativo relacionado para os usuários. Consulte a descrição para a política Ativar S/MIME durante a primeira inicialização do Secure Mail para obter detalhes sobre a experiência do usuário.

O valor padrão é Email.

Ativar S/MIME durante a primeira inicialização do Secure Mail

Determina se o Secure Mail ativa S/MIME durante a primeira inicialização do Secure Mail, caso a política de origem de certificado S/MIME seja Cofre compartilhado. Se o valor for Ativado, o Secure Mail ativará S/MIME quando houver certificados para o usuário no cofre compartilhado. Se não houver certificados no cofre compartilhado, o usuário receberá uma solicitação para importar os certificados. Em ambos os casos, os usuários devem configurar certificados de um aplicativo de provedor de identidade digital compatível antes de criar uma conta no Secure Mail.

Se o valor for Desativado, o Secure Mail não ativará o controle S/MIME e o usuário poderá ativá-lo nas configurações do Secure Mail. O valor padrão é Desativado.

Opções de calendário web e de áudio

  • GoToMeeting e inserido pelo usuário - os usuários podem escolher o tipo de conferência que gostariam de configurar. As opções incluem o GoToMeeting, que abre uma página do GoToMeeting, e Outra conferência, que permite aos usuários inserir informações da reunião manualmente.
  • Inserido somente pelo usuário - os usuários são direcionados diretamente para a página Outra Conferência, onde poderão inserir as informações da reunião manualmente.

Origem de certificado público S/MIME

Especifica a origem dos certificados públicos S/MIME. Se for Exchange, o Secure Mail busca certificados no Exchange Server. Se for LDAP, o Secure Mail busca certificados no servidor LDAP. O valor padrão é Exchange.

Endereço de servidor LDAP

Endereço de servidor LDAP, incluindo o número da porta. O valor padrão é vazio.

DN de base LDAP

Nome exclusivo da base LDAP. O valor padrão é vazio.

Acessar LDAP de modo anônimo

Se esta política estiver Ativada, o Secure Mail pode pesquisar LDAP sem autenticação prévia. O padrão é Desativado.

Domínios de email permitidos

Define uma lista de domínios de e-mail permitidos em um formato separado por vírgulas, como server.company.com,server.company.co.uk. O valor padrão está vazio, o que implica que o Secure Mail não filtra domínios de e-mail e aceita a todos os domínios de e-mail. O Secure Mail corresponde os domínios listados com o nome de domínio no endereço de e-mail. Por exemplo, quando server.company.com é um nome de domínio listado e o endereço de e-mail for user@internal.server.company.com, o Secure Mail aceitará o endereço de e-mail.

Tentar migração de nome de usuário no caso de falha de autenticação

Tenta migrar o nome de usuário do Exchange para um UPN para autenticação. O valor padrão é Desativado.

Denunciar endereço de email de phishing

Se configurado, você pode relatar e-mails suspeitos de phishing para um determinado endereço de e-mail ou uma lista de endereços de e-mail separados por vírgula. O valor padrão é vazio. Se você não configurar esta política, não poderá denunciar mensagens de phishing.

Denunciar mecanismo de phishing

Esta política indica o mecanismo usado para denunciar e-mails suspeitos de phishing.

  • Denunciar por anexo: denunciar e-mails de phishing como anexo. O anexo é enviado para um endereço de email ou uma lista de endereços de e-mail seprados por vírgula configurada na política Denunciar endereços de email de phishing.
  • Denunciar via forward: denunciar e-mails de phishing como um encaminhamento. O email é encaminhado para um endereço de e-mail ou uma lista de endereços de e-mail separados por vírgula configurada na política Denunciar endereços de email de phishing.

Nota:

Esta política está disponível apenas para o Microsoft Exchange Server.

O padrão é Denunciar por anexo.

Domínios de reuniões do Skype for Business

Esta política contém uma lista separada por vírgula de domínios utilizados para reuniões do Skype for Business.

O Secure Mail já manipula reuniões com prefixo de URL da seguinte forma:

  • https://join
  • https://meet
  • https://lync

Com esta política, outros domínios Skype for Business podem ser adicionados no formulário https://*domain*. O domínio pode ser uma cadeia de caracteres alfanuméricos e não pode conter caracteres especiais. Não insira o ponto anterior https:// ou o ponto seguinte.

Exemplo:

Se o valor da política for customDomain1,customDomain2, os prefixos de URL suportados para Skype for Business serão:

  • https://customDomain1
  • http://customDomain1
  • https://customDomain2
  • http://customDomain2

O valor padrão é vazio.

Exportar o calendário

Esta política permite que eventos de calendário do Secure Mail sejam exportados para o seu dispositivo ou calendário pessoal. Você pode ver seus eventos em seu calendário pessoal. Você pode editar os eventos usando o Secure Mail. O valor padrão é Hora da reunião.

Os seguintes valores da política MDX estão disponíveis para os campos de evento do calendário que aparecem em seu calendário pessoal:

  • Nenhum (não exportar)
  • Hora da reunião
  • Hora da reunião, local
  • Hora da reunião, assunto, local
  • Hora da reunião, assunto, local, anotações

Identificação do chamador

Se estiver Ativado, o Secure Mail fornecerá o nome e o número de contato dos contatos salvos no iOS para fins de identificação do chamador. Esses dados são usados somente para identificar e exibir detalhes de chamadas recebidas de sua lista de contatos do Secure Mail salva. O valor padrão é Ativado.

Suporte de OAuth para Office 365

Mecanismo de autenticação do Office 365

Esta política indica o mecanismo de OAuth usado para autenticação ao configurar uma conta no Office 365.

  • Não usar OAuth: o OAuth não é usado e o Secure Mail usa a autenticação básica para configuração da conta.
  • Use OAuth com nome de usuário e senha: o usuário deve fornecer seu nome de usuário e senha e, opcionalmente, um código MFA para o fluxo OAuth.
  • Use OAuth com certificado de cliente: o usuário autentica o fluxo OAuth usando um certificado de cliente.

O padrão é “Não usar OAuth”.

Nomes de host online confiáveis do Exchange

Define uma lista de nomes de host confiáveis do Exchange Online que usam o mecanismo de OAuth para autenticação ao configurar uma conta. Esse valor é um formato de lista separada por vírgulas, como server.company.com, server.company.co.uk. Se a lista estiver vazia, o Secure Mail usa autenticação básica de configuração da conta. O valor padrão é outlook.office365.com.

Nomes de host AD FS confiáveis

Defina uma lista de nomes de host confiáveis AD FS para páginas da Web em que a senha é preenchida durante a autenticação do Office 365 OAuth. Esse valor é um formato de lista separada por vírgulas como sts.companyname.com, sts.company.co.uk. Se a lista estiver vazia, o Secure Mail não inserer as senhas automaticamente. O Secure Mail faz a correspondência entre os nomes de host listados com o nome de host da página Web encontrada durante a autenticação do Office 365 e verifica se a página usa o protocolo HTTPS. Por exemplo, quando sts.company.com é um nome de host listado, e se o usuário navegar para https://sts.company.com, o Secure Mail insere a senha se a página tiver um campo de senha. O valor padrão é login.microsoftonline.com.

Redirecionamento de email

Redirecionamento de email

Bloqueia ou restringe a composição de emails. O Secure Mail redireciona a composição de e-mails para o Secure Mail. O email nativo redireciona a composição de email compor para o email nativo se uma conta estiver configurada. O valor padrão é Secure Mail.

Integração do Slack

Ativar Slack

Bloqueia ou permite a integração do Slack. Se estiver Ativado, a interface do Secure Mail inclui recursos do Slack. Se estiver Destivado, a interface do Secure Mail não inclui recursos do Slack. O valor padrão é Desativado.

Nome do espaço de trabalho do Slack

O nome do espaço de trabalho do Slack para a sua empresa. Se você fornecer um nome, o Secure Mail preenche o nome do espaço de trabalho durante o logon. Se você não fornecer um nome, os usuários devem digitar o nome do espaço de trabalho (nome.slack.com). O valor padrão é vazio.