MAM SDK-Richtlinien für Drittanbieter-Apps für iOS
In diesem Artikel werden die MAM SDK-Richtlinien für iOS-Apps von Drittanbietern beschrieben. Sie können Richtlinieneinstellungen direkt in den XML-Richtliniendateien ändern oder in der Citrix Endpoint Management-Konsole, wenn Sie eine App hinzufügen.
App-Netzwerkzugriff
Netzwerkzugriff
Hinweis:
Tunnel - Web-SSO ist der Name für Secure Browse in den Einstellungen. Das Verhalten ist dasselbe.
Es gibt folgende Einstellungsoptionen:
- Blockiert: Netzwerk-APIs, die von Ihrer App verwendet werden, schlagen fehl. Ein solcher Fehler sollte gemäß der o. a. Richtlinie durch ein kontrolliertes Beenden der App behandelt werden.
- Uneingeschränkt: Alle Netzwerkaufrufe gehen direkt und sind nicht getunnelt.
- Tunnel - Web-SSO: Die HTTP/HTTPS-URL wird neu geschrieben. Diese Option erlaubt nur das Tunneln von HTTP- und HTTPS-Datenverkehr. Große Vorteile von Tunnel - Web-SSO sind Single Sign-On (SSO) für HTTP- und HTTPS-Datenverkehr und die PKINIT-Authentifizierung. Unter Android ist die Einrichtung dieser Option mit geringem Mehraufwand verbunden, es bildet daher die bevorzugte Option für Webbrowsingvorgänge.
Authentifizierung
App-Passcode
Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine PIN oder ein Passcode erforderlich. Der Standardwert ist Ein.
Sie konfigurieren den Inaktivitätstimer für alle Apps, indem Sie auf der Registerkarte Einstellungen unter Clienteigenschaften den Wert INACTIVITY_TIMER in Minuten festlegen. Die Standardeinstellung für den Inaktivitätstimer ist 60 Minuten. Setzen Sie den Wert auf Null, um den Inaktivitätstimer zu deaktivieren, damit eine Eingabeaufforderung für PIN oder Passcode nur beim Start der App angezeigt wird.
Hinweis:
Wenn Sie für die Richtlinie “Verschlüsselungsschlüssel” die Option Sicherer Offlinezugriff auswählen, wird diese Richtlinie automatisch aktiviert.
Maximale Offlinezeit (Stunden)
Legt die maximale Zeit fest, die eine App ausgeführt werden kann, ohne dass der App-Anspruch und die Aktualisierungsrichtlinien von Citrix Endpoint Management neu bestätigt werden müssen. Bei Ablauf wird ggf. die Anmeldung beim Server ausgelöst. Der Standardwert ist 168 Stunden (7 Tage). Der Mindestzeitraum ist 1 Stunde.
App-Protokolle
Standardprotokollausgabe
Legt fest, welche Ausgabemedien standardmäßig von der Diagnoseprotokollierung für mobile Produktivitätsapps verwendet werden. Optionen sind “Datei”, “Konsole” oder “Beides”. Der Standardwert ist Datei.
Standardprotokollebene
Steuert den Standarddetailgrad der Diagnoseprotokollierung für mobile Produktivitätsapps. Jede Ebene schließt die niedrigeren Ebenen ein. Bereich der möglichen Ebenen umfasst:
- 0 – Nichts protokolliert
- 1 – Schwerer Fehler
- 2 – Fehler
- 3 – Warnungen
- 4 – Informationsmeldungen
- 5 – Detaillierte Informationsmeldungen
- 6 bis 15 – Debugstufen 1 bis 10
Der Standardwert ist Stufe 4 (Informationsmeldungen).
Max. Protokolldateien
Beschränkt die Anzahl der von der Diagnoseprotokollierung für mobile Produktivitätsapps beibehaltenen Protokolldateien, bevor sie überschrieben werden. Das Minimum ist 2. Das Maximum ist 8. Der Standardwert ist 2.
Max. Größe der Protokolldatei
Beschränkt die Größe (in MB) der von der Diagnoseprotokollierung für mobile Produktivitätsapps beibehaltenen Protokolldateien, bevor sie überschrieben werden. Das Minimum ist 1 MB. Das Maximum ist 5 MB. Der Standardwert ist 2 MB.
URL in Protokollen verbergen
Mit Ein werden System- oder Konsolenprotokolle von einer App abgefangen und an die Diagnoseprotokollierung für mobile Produktivitätsapps umgeleitet. Mit Aus wird die Verwendung von System- oder Konsolenprotokollen durch die App nicht unterbrochen.
Der Standardwert ist Ein.
App-Protokolle blockieren
Die Einstellung Ein verhindert, dass die App die Diagnoseprotokollierung für mobile Produktivitätsapps verwendet. Bei der Einstellung Aus werden App-Protokolle aufgezeichnet und können mit dem E-Mail-Supportfeature von Secure Hub gesammelt werden. Der Standardwert ist Aus.
Interaktion von Apps
Ausschneiden und Kopieren
Blockiert, erlaubt oder beschränkt Ausschneide- und Kopiervorgänge über die Zwischenablage für diese App. Bei Eingeschränkt werden die kopierten Zwischenablagedaten in einer privaten Zwischenablage gespeichert, die nur für Apps verfügbar ist. Der Standardwert ist Eingeschränkt.
Einfügen
Blockiert, erlaubt oder beschränkt Einfügevorgänge über die Zwischenablage für diese App. Bei Eingeschränkt werden die Daten aus einer privaten Zwischenablage eingefügt, die nur für Apps verfügbar ist. Der Standardwert ist Uneingeschränkt.
Dokumentaustausch (Öffnen in)
Blockiert, erlaubt oder beschränkt den Dokumentaustausch für die App. Bei Auswahl von Eingeschränkt können Dokumente nur mit anderen Apps ausgetauscht werden.
Wenn Uneingeschränkt festgelegt wird, legen Sie die Richtlinie “Verschlüsselung aktivieren” auf Ein fest, damit die Benutzer Dokumente in nicht umschlossenen Apps öffnen können. Wenn die empfangende App nicht umschlossen ist oder ihre Verschlüsselung deaktiviert ist, entschlüsselt Citrix Endpoint Management das Dokument. Der Standardwert ist Eingeschränkt.
Ausnahmeliste für eingeschränktes Öffnen
Wenn für “Dokumentaustausch (Öffnen in)” die Einstellung Eingeschränkt festgelegt ist, kann eine App Dokumente für nicht verwaltete Apps in dieser durch Trennzeichen getrennten Liste mit App-IDs freigeben, selbst wenn für “Dokumentaustausch (Öffnen in)” die Einstellung Eingeschränkt und für die Richtlinie “Verschlüsselung aktivieren” die Einstellung Ein festgelegt ist. Die Standardausnahmeliste lässt Office 365-Apps zu:
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
Nur Office 365-Apps werden für diese Richtlinie unterstützt.
Achtung:
Berücksichtigen Sie die Auswirkungen dieser Richtlinie auf die Sicherheit. Durch die Ausnahmeliste können Inhalte zwischen nicht verwalteten Apps und der MAM SDK-Umgebung übermittelt werden.
Eingehender Dokumentaustausch (Öffnen in)
Blockiert, erlaubt oder beschränkt den Austausch für eingehende Dokumente für die App. Bei Auswahl von Eingeschränkt können Dokumente nur mit anderen Apps ausgetauscht werden. Der Standardwert ist Uneingeschränkt.
Wenn Blockiert oder Eingeschränkt festgelegt wird, können Sie in der Positivliste für Austausch eingehender Dokumente Apps angeben, die Dokumente an diese App senden dürfen.
Hinweis:
Die Richtlinie “Positivliste für Austausch eingehender Dokumente” unterstützt nur Geräte mit iOS 12.
Optionen: Uneingeschränkt, Blockiert oder Eingeschränkt
App-URL-Schemas
iOS-Apps können URL-Anfragen an andere Apps senden, die für die Behandlung bestimmter Schemata registriert wurden, z. B. “http://”. Dadurch können Apps Supportanfragen an andere Apps weitergeben. Diese Richtlinie dient dazu, die Schemata (eingehende URLs) zu filtern, die eine App zur Behandlung erhält. Der Standardwert ist leer, d. h. alle URL-Schemas von registrierten Apps werden blockiert.
Die Richtlinie muss als eine durch Trennzeichen getrennte Liste mit Mustern formatiert sein, in der vor jedem Muster ein Pluszeichen (+) oder ein Minuszeichen (-) steht. Eingehende URLs werden mit den Mustern in der aufgelisteten Reihenfolge verglichen, bis eine Übereinstimmung gefunden wird. Nach dem Abgleich wird die durchgeführte Aktion durch das Präfix diktiert.
- Ist das Präfix ein Minuszeichen (-), wird die Weitergabe der URL an die App blockiert.
- Ist das Präfix ein Pluszeichen (+), wird die URL an die App zur Behandlung weitergegeben.
- Wenn weder ein + noch ein - dem Muster vorangestellt sind, wird ein + angenommen und der Zugriff zugelassen.
- Wenn eine eingehende URL mit keinem Muster in der Liste übereinstimmt, ist sie blockiert.
Die folgende Tabelle enthält Beispiele für App-URL-Schemata:
| Schema | App, die das URL-Schema erfordert | Zweck |
|---|---|---|
| ctxmobilebrowser | Secure Web- | Erlaubt Secure Web das Verarbeiten von HTTP-URLs von anderen Apps.- |
| ctxmobilebrowsers | Secure Web- | Erlaubt Secure Web das Verarbeiten von HTTPS-URLs von anderen Apps. |
| ctxmail | Secure Mail- | Erlaubt Secure Mail das Verarbeiten von mailto-URLs von anderen Apps. |
| COL-G2M | GoToMeeting- | Erlaubt einer umschlossenen GoToMeeting-App das Verarbeiten von Besprechungsanfragen. |
| ctxsalesforce | Citrix für Salesforce- | Erlaubt Citrix für Salesforce Anfragen für Salesforce zu verarbeiten. |
| wbx | WebEx | Erlaubt einer umschlossenen WebEx-App das Verarbeiten von Besprechungsanfragen. |
App-Interaktion (ausgehende URL)
Zulässige URLs
iOS-Apps können URL-Anfragen an andere Anwendungen senden, die für die Behandlung bestimmter Schemata registriert wurden, z. B. "http://". Dadurch können Apps Supportanfragen an andere Apps weiterleiten. Diese Richtlinie dient dazu, die URLs zu filtern, die von dieser App an andere Apps übergeben werden (ausgehende URLs).
Die Richtlinie muss als eine durch Trennzeichen getrennte Liste mit Mustern formatiert sein, in der vor jedem Muster ein Pluszeichen (+) oder ein Minuszeichen (-) steht. Ausgehende URLs werden mit den Mustern in der aufgelisteten Reihenfolge verglichen, bis eine Übereinstimmung gefunden wird. Nach dem Abgleich wird die durchgeführte Aktion durch das Präfix diktiert. Ein Minuszeichen (-) blockiert die Übergabe der URL an eine andere App. Ein Pluszeichen (+) gestattet die Übergabe der URL an eine andere App zur Behandlung. Wenn weder ein + noch ein - dem Muster vorangestellt sind, wird ein + angenommen und der Zugriff zugelassen. Ein durch “=” getrenntes Wertepaar bedeutet eine Ersetzung, wobei Vorkommen der ersten Zeichenfolge durch die zweite Zeichenfolge ersetzt werden. Sie können mit dem Präfix “^” nach einer Zeichenfolge suchen und sie am Anfang der URL verankern. Wenn eine ausgehende URL mit keinem Muster in der Liste übereinstimmt, wird sie blockiert.
Richtlinientreue
Gerätepasscode
Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine PIN oder ein Passcode erforderlich. Ein Gerätepasscode ist für die Verschlüsselung von App-Daten mit der Apple-Dateiverschlüsselung erforderlich. Die Daten für alle Apps auf dem Gerät werden verschlüsselt. Der Standardwert ist Aus.
Geräte mit Jailbreak oder Rooting blockieren
Bei der Einstellung Ein wird die App auf einem Gerät mit Jailbreak oder Rooting gesperrt. Bei der Einstellung Aus kann die App auch auf einem Gerät mit Jailbreak oder Rooting ausgeführt werden. Der Standardwert ist Ein.
Verhalten für nicht richtlinientreue Geräte
Ermöglicht Ihnen, eine Aktion auszuwählen, wenn ein Gerät die Mindestanforderungen an die Verschlüsselung nicht erfüllt. Wählen Sie App zulassen, damit die App normal ausgeführt werden kann. Wählen Sie App nach Warnung zulassen, damit die App ausgeführt werden kann, nachdem die Warnung angezeigt wird. Wählen Sie Blockieren, um das Ausführen der App zu verhindern. Der Standardwert ist App nach Warnung zulassen.
App-Daten bei Sperren löschen
Löscht die Daten und setzt die App zurück, wenn diese gesperrt ist. Bei der Einstellung Aus werden Anwendungsdaten nicht gelöscht, wenn die App gesperrt wird. Der Standardwert ist Aus.
Eine App kann aus einem der folgenden Gründe gesperrt werden:
- Verlust des App-Anspruchs des Benutzers
- App-Abonnement wurde entfernt
- Konto wurde entfernt
- Secure Hub wurde deinstalliert
- Zu viele Fehler bei der App-Authentifizierung
- Gerät mit Jailbreak erkannt (entsprechend der Richtlinieneinstellung)
- Gerät wurde durch andere administrative Aktion gesperrt
Aktives Abfrageintervall (Minuten)
Beim Start einer App fragt das MAM SDK-Framework Citrix Endpoint Management ab, um den aktuellen Status der App und des Geräts zu ermitteln. Wenn Endpoint Management erreichbar ist, gibt das Framework Informationen über den Status des Geräts (gesperrt oder gelöscht) und den Status der App (aktiviert oder deaktiviert) zurück. Unabhängig davon, ob der Server erreichbar ist, wird eine weitere Abfrage basierend auf dem aktiven Abfrageintervall geplant. Nachdem die Zeit abgelaufen ist, wird eine neue Abfrage gestartet. Der Standardwert ist 60 Minuten (1 Stunde).
Wichtig:
Stellen Sie diesen Wert nur für risikoreiche Apps niedriger ein, da andernfalls die Leistung beeinträchtigt werden kann.
Kulanzzeitraum für App-Update (Stunden)
Legt den Kulanzzeitraum fest, in dem eine App weiterhin verwendet werden kann, nachdem das System ein verfügbares App-Update erkannt hat. Der Standardwert ist 168 Stunden (7 Tage).
Hinweis:
Der Wert Null sollte nicht verwendet werden, da Benutzer sonst sofort ohne Warnung daran gehindert werden, eine laufende App zu verwenden, bis das Update heruntergeladen und installiert wurde. In diesem Fall kann es vorkommen, dass Benutzer gezwungen werden, die App zu beenden und dabei u. U. Arbeit verlieren, damit das erforderliche Update erfolgen kann.
App-Einschränkungen
Wichtig:
Berücksichtigen Sie die Auswirkungen auf die Sicherheit bei Richtlinien, die Apps am Zugreifen auf oder Verwenden von Telefonfunktionen hindern. Wenn diese Richtlinien auf Aus festgelegt sind, können Inhalte zwischen nicht verwalteten Apps und der Secure-Umgebung übermittelt werden.
Kamera blockieren
Bei der Einstellung Ein wird der direkte Zugriff einer App auf die Hardware einer Kamera verhindert. Der Standardwert ist AUS.
Fotobibliothek blockieren
Bei der Einstellung Ein wird der Zugriff einer App auf den Katalog des Geräts blockiert. Der Standardwert ist Ein.
Mikrofonaufnahmen blockieren
Bei der Einstellung Ein wird der direkte Zugriff einer App auf die Hardware des Mikrofons verhindert. Der Standardwert ist Ein.
Diktat blockieren
Bei der Einstellung Ein hat eine App keinen direkten Zugriff auf Diktierdienste. Der Standardwert ist Ein.
Positionsdienste blockieren
Bei der Einstellung Ein wird der Zugriff einer App auf Positionsdienstekomponenten (GPS oder Netzwerk) verhindert. Die Standardeinstellung ist Aus für Secure Mail.
Verfassen von SMS blockieren
Mit Ein wird der Zugriff einer App auf die SMS-Erstellungsfunktion verhindert, die zum Senden von SMS bzw. Textnachrichten von der App dient. Die Standardeinstellung ist Ein.
iCloud blockieren
Bei der Einstellung Ein hat eine App keinen Zugriff auf iCloud zum Speichern und Freigeben von Einstellungen und Daten.
Hinweis:
Die iCloud-Datendatei wird durch die Richtlinie “Dateibackup blockieren” gesteuert.
Der Standardwert ist Ein.
Lookup blockieren
Bei der Einstellung Ein wird verhindert, dass eine App das Lookup-Feature verwendet. Dieses Feature sucht nach hervorgehobenem Text im Wörterbuch, App Store, in iTunes, Kinozeiten, in der Nähe gelegenen Orten usw. Der Standardwert ist Ein.
Dateibackup blockieren
Bei der Einstellung Ein wird die Sicherung von Datendateien durch iCloud oder iTunes verhindert. Der Standardwert ist Ein.
AirPrint blockieren
Bei der Einstellung Ein wird das Drucken mit AirPrint-Funktionen auf AirPrint-aktivierten Druckern verhindert. Der Standardwert ist Ein.
AirDrop blockieren
Bei der Einstellung Ein hat eine App keinen Zugriff auf AirDrop. Der Standardwert ist Ein.
Facebook- und Twitter-APIs blockieren
Bei Ein wird die Verwendung der iOS Facebook- und Twitter-APIs durch eine App verhindert. Der Standardwert ist Ein.
Bildschirminhalt verbergen
Bei Ein wird der Bildschirminhalt verborgen, wenn Benutzer Apps wechseln. Diese Richtlinie verhindert, dass iOS Bildschirminhalt aufzeichnet und Miniaturansichten anzeigt. Der Standardwert ist Ein.
Tastaturen von Drittanbietern blockieren (nur iOS 11 oder später)
Bei Ein wird verhindert, dass eine App Tastaturerweiterungen von Drittanbietern auf Geräten mit iOS 8+ verwendet. Der Standardwert ist Ein.
App-Geofence
Längengrad von Mittelpunkt
Längengrad (X-Koordinate) des Mittelpunkts des Punkt- bzw. Radius-Geofence, auf den die Funktion der App beschränkt ist. Außerhalb des Geofence wird die App gesperrt.
Der Wert wird als Dezimalgrad (DDD.dddd) angegeben, z. B. “-31.9635”. Westlichen Längengradangaben muss ein Minuszeichen vorangestellt werden. Der Standardwert ist 0.
Breitengrad von Mittelpunkt
Breitengrad (Y-Koordinate) des Mittelpunkts des Punkt- bzw. Radius-Geofence, auf den die Funktion der App beschränkt ist. Außerhalb des Geofence wird die App gesperrt.
Der Wert wird als Dezimalgrad (DDD.dddd) angegeben, z. B. “43.06581”. Südlichen Breitengradangaben muss ein Minuszeichen vorangestellt werden. Der Standardwert ist 0.
Radius
Radius des Geofence, auf den die Funktion der App beschränkt ist. Außerhalb des Geofence wird die App gesperrt.
Der Radius wird in Metern angegeben. Wird der Wert auf Null gesetzt, ist der Geofence deaktiviert. Wenn die Richtlinie “Positionsdienste blockieren” aktiviert ist, funktioniert Geofencing nicht richtig. Der Standardwert ist 0 (deaktiviert).