XenMobile MDX-Richtlinien für iOS-Apps

27. Februar 2018

In diesem Artikel werden die MDX-Richtlinien für iOS-Apps beschrieben. Sie können Richtlinieneinstellungen direkt in den XML-Richtliniendateien ändern oder in der XenMobile-Konsole, wenn Sie eine App hinzufügen.

Authentifizierung

Gerätepasscode

Hinweis:

Die Richtlinie gilt nur für iOS 9.

Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine PIN oder ein Passcode erforderlich. Ein Gerätepasscode ist für die Verschlüsselung von App-Daten mit der Apple-Dateiverschlüsselung erforderlich. Die Daten für alle Apps auf dem Gerät werden verschlüsselt. Der Standardwert ist Aus.

App-Passcode

Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine PIN oder ein Passcode erforderlich. Der Standardwert ist Ein.

Sie konfigurieren den Inaktivitätstimer für alle Apps, indem Sie auf der Registerkarte Einstellungen unter Clienteigenschaften den Wert INACTIVITYTIMER in Minuten festlegen. Der Standardwert für den Inaktivitätstimer ist 15 Minuten. Legen Sie den Wert auf 0 fest, um den Inaktivitätstimer zu deaktivieren, damit eine Eingabeaufforderung für PIN oder Passcode nur beim Start der App angezeigt wird.

Onlinesitzung erforderlich

Bei der Einstellung Ein muss der Benutzer eine Verbindung zum Unternehmensnetzwerk und eine aktive Sitzung haben. Bei der Einstellung Aus ist eine aktive Sitzung nicht erforderlich. Der Standardwert ist Aus.

Kulanzzeitraum bis Onlinesitzung erforderlich (Minuten)

Legt fest, wie viele Minuten ein Benutzer die App offline verwenden kann, bevor die Richtlinie “Onlinesitzung erforderlich” die weitere Verwendung verhindert. Der Standardwert ist 0 (kein Kulanzzeitraum).

Maximale Offlinezeit (Stunden)

Legt die maximale Zeit fest, die eine App ausgeführt werden kann, ohne dass der App-Anspruch und die Aktualisierungsrichtlinien von XenMobile neu bestätigt werden müssen. Bei Ablauf wird ggf. die Anmeldung beim Server ausgelöst. Der Standardwert ist 72 Stunden (3 Tage). Der Mindestzeitraum ist 1 Stunde.

Benutzer werden 30, 15 und 5 Minuten vor Ablauf dieser Zeit daran erinnert, sich anzumelden. Nach Ablauf der Zeit wird die App gesperrt, bis sich Benutzer anmelden.

Alternatives NetScaler Gateway

Adresse eines spezifischen, alternativen NetScaler Gateways, das für die Authentifizierung und für Micro-VPN-Sitzungen mit dieser App verwendet werden soll. Dies ist eine optionale Richtlinie, wenn sie zusammen mit der Richtlinie “Onlinesitzung erforderlich” verwendet wird. Dadurch wird eine Neuauthentifizierung von Apps bei dem spezifischen Gateway erzwungen. Solche Gateways haben normalerweise unterschiedliche (höhere Sicherheit) Authentifizierungsanforderungen und Datenverwaltungsrichtlinien. Wenn sie leer ist, wird immer das Standardgateway des Servers verwendet. Der Standardwert ist leer.

Gerätesicherheit

Mit Jailbreak oder Rooting blockieren

Bei der Einstellung Ein wird die App auf einem Gerät mit Jailbreak oder Rooting gesperrt. Bei der Einstellung Aus kann die App auch auf einem Gerät mit Jailbreak oder Rooting ausgeführt werden. Der Standardwert ist Ein.

Netzwerkanforderungen

WiFi erforderlich

Bei der Einstellung Ein wird die App gesperrt, wenn das Gerät nicht mit einem WLAN-Netzwerk verbunden ist. Bei der Einstellung Aus kann die App ausgeführt werden, wenn das Gerät eine aktive Verbindung hat (z. B. 4G/3G, LAN oder WLAN). Der Standardwert ist Aus.

Sonstiger Zugriff

Kulanzzeitraum für App-Update (Stunden)

Legt den Kulanzzeitraum fest, in dem eine App weiterhin verwendet werden kann, nachdem das System ein verfügbares App-Update erkannt hat. Der Standardwert ist 168 Stunden (7 Tage).

Hinweis: Der Wert Null sollte nicht verwendet werden, da Benutzer sonst sofort daran gehindert werden, eine laufende App zu verwenden, bis das Update heruntergeladen und installiert wurde. Die Einstellung kann dazu führen, dass Benutzer gezwungen werden, die App zu beenden und dabei u. U. Arbeit verlieren, damit das erforderliche Update erfolgen kann.

App-Daten bei Sperren löschen

Löscht die Daten und setzt die App zurück, wenn diese gesperrt ist. Bei der Einstellung Aus werden Anwendungsdaten nicht gelöscht, wenn die App gesperrt wird. Der Standardwert ist “Aus”.

Eine App kann aus einem der folgenden Gründe gesperrt werden:

  • Verlust des App-Anspruchs des Benutzers
  • App-Abonnement wurde entfernt
  • Konto wurde entfernt
  • Secure Hub wurde deinstalliert
  • Zu viele Fehler bei der App-Authentifizierung
  • Gerät mit Jailbreak erkannt (entsprechend der Richtlinieneinstellung)
  • Gerät wurde durch andere administrative Aktion gesperrt

Aktives Abfrageintervall (Minuten)

Beim Start einer App fragt das MDX Framework XenMobile ab, um den aktuellen Status der App und des Geräts zu ermitteln. Wenn XenMobile Server erreichbar ist, gibt das Framework Informationen über den Status des Geräts (gesperrt oder gelöscht) und den Status der App (aktiviert oder deaktiviert) zurück. Unabhängig davon, ob XenMobile Server erreichbar ist, wird eine weitere Abfrage basierend auf dem aktiven Abfrageintervall geplant. Nachdem die Zeit abgelaufen ist, wird eine neue Abfrage gestartet. Der Standardwert ist 60 Minuten.

Wichtig:

Stellen Sie diesen Wert nur für risikoreiche Apps niedriger ein, da andernfalls die Leistung beeinträchtigt werden kann.

Mindestdatenschutzklasse

Hinweis:

Diese Richtlinie wird nur auf iOS 9-Geräten durchgesetzt.

Mit ihr wird die Mindest-iOS-Datenschutzklasse für Dateivorgänge festgelegt. Der Standardwert ist Vollständig, es sei denn, Datei ist offen.

  • Bei der Einstellung Vollständig wird NSFileProtectionComplete verwendet. Wenn ein Gerät gesperrt wird, stehen die Dateien nicht mehr zur Verfügung.
  • Bei der Einstellung Vollständig, es sei denn, Datei ist offen wird NSFileProtectionCompleteUnlessOpen oder höher verwendet. Wenn eine Datei beim Sperren des Geräts geöffnet ist, steht sie für die App weiterhin zur Verfügung.
  • Bei der Einstellung Bis zum ersten Entsperren wird NSFileProtectionCompleteUntilFirstUserAuthentication oder höher verwendet. Wenn ein Gerät neu gestartet wird, bleiben Dateien gesperrt und können nicht angezeigt werden, bis der Benutzer das Gerät zum ersten Mal entsperrt.
  • Bei der Einstellung Keine wird keine Datenschutzklasse verwendet. Dateien können jederzeit gelesen und bearbeitet werden.

Wichtig:

Entwickler sollten unbedingt umschlossene Apps testen, die Hintergrundverarbeitungsschritte durchführen (z. B. Inhaltsaktualisierungen auf gesperrten Geräten oder Hintergrundsynchronisierungen).

Verschlüsselung

Mindestdatenschutzklasse

Hinweis:

Diese Richtlinie wird nur auf iOS 9-Geräten durchgesetzt. Diese Richtlinie ist ausgeblendet. Um die Richtlinie in XenMobile anzuzeigen, öffnen Sie für die App die Datei policy_metadata.xml (in Applications/Citrix/MDXToolkit/data) und ändern Sie im Abschnitt DocumentExchangeExceptionList den Wert für PolicyHidden in false. Nachdem Sie die App umschlossen haben, wird die Richtlinie angezeigt, wenn Sie die App XenMobile hinzufügen.

Mit ihr wird die Mindest-iOS-Datenschutzklasse für Dateivorgänge festgelegt. Bei der Einstellung Vollständig wird NSFileProtectionComplete verwendet. Wenn ein Gerät gesperrt wird, stehen die Dateien nicht mehr zur Verfügung. Bei der Einstellung Vollständig, es sei denn, Datei ist offen wird NSFileProtectionCompleteUnlessOpen oder höher verwendet. Wenn eine Datei beim Sperren des Geräts geöffnet ist, bleibt die Datei für die App weiterhin verfügbar. Bei der Einstellung Bis zum ersten Entsperren wird NSFileProtectionCompleteUntilFirstUserAuthentication oder höher verwendet. Wenn ein Gerät neu gestartet wird, bleiben Dateien gesperrt und können nicht angezeigt werden, bis der Benutzer das Gerät zum ersten Mal entsperrt. Bei der Einstellung Keine wird keine spezifische Datenschutzklasse verwendet. Dateien können jederzeit angezeigt und bearbeitet werden.

Der Standardwert ist Vollständig, es sei denn, Datei ist offen.

Verschlüsselung aktivieren

Hinweis:

Auf iOS 9-Geräten wird mit dieser Richtlinie nur die Verschlüsselung von Datenbank und Schlüsselbund aktiviert. Zum Aktivieren der Dateiverschlüsselung für solche Geräte legen Sie die Gerätepasscoderichtlinie auf Ein fest. Bei älteren iOS-Geräten wird mit der Richtlinie die Datei-, Datenbank- und Schlüsselbundverschlüsselung aktiviert.

Bei der Einstellung Aus werden die auf dem Gerät gespeicherten Daten nicht verschlüsselt. Bei der Einstellung Ein werden die auf dem Gerät gespeicherten Daten verschlüsselt. Der Standardwert ist Ein.

Achtung: Wenn Sie diese Richtlinie nach der Bereitstellung einer App ändern, müssen die Benutzer die App neu installieren.

Ausnahmen für Datenbankverschlüsselung

Listet die Datenbanken auf, die von der automatischen Verschlüsselung ausgenommen werden. Wenn Sie die Verschlüsselung einer bestimmten Datenbank verhindern möchten, fügen Sie sie dieser durch Kommas getrennten Liste regulärer Ausdrücke hinzu. Wenn der Pfadname einer Datenbank mit einem der regulären Ausdrücke übereinstimmt, wird die Datenbank von der Verschlüsselung ausgeschlossen. Die Ausschlussmuster unterstützen die durch Posix 1003.2 definierte Syntax mit erweiterten regulären Ausdrücken. Beim Musterabgleich ist die Groß-/Kleinschreibung unerheblich.

Beispiele:

\.db$,\.sqlite$ führt zum Ausschluss der Pfadnamen aller Datenbanken, die auf “.db” oder “.sqlite” enden.

\/Database\/unencrypteddb\.db stimmt mit der Datenbank unencrypteddb.db im Datenbankunterordner überein.

\/Database\/ stimmt mit allen Datenbanken überein, deren Pfad /Database/ enthält.

Der Standardwert ist leer.

Ausnahmen für Dateiverschlüsselung

Ausschlussliste der Dateien, die nicht automatisch verschlüsselt werden. Wenn Sie die Verschlüsselung bestimmter Dateien verhindern möchten, fügen Sie einen Eintrag zu dieser durch Kommas getrennten Liste regulärer Ausdrücke hinzu. Wenn Pfadname einer Datei mit einem der regulären Ausdrücke übereinstimmt, dann wird die Datei von der Verschlüsselung ausgeschlossen. Die Ausschlussmuster unterstützen die durch Posix 1003.2 definierte Syntax mit erweiterten regulären Ausdrücken. Beim Musterabgleich ist die Groß-/Kleinschreibung unerheblich.

Beispiele:

\.log$,\.dat$ schließt alle Dateipfadnamen aus, die auf “.log” oder “.dat” enden.

\/Documents\/unencrypteddoc\.txt stimmt mit dem Inhalt der Datei unencrypteddoc.txt im Unterordner “Documents” überein.

\/Documents\/UnencryptedDocs\/.*\.txt stimmt mit TXT-Dateien im Unterpfad /Documents/UnencryptedDocs/ überein.

Der Standardwert ist leer.

Warnung:

Wenn Sie eine Datei mit Secure Edit verschlüsseln und mit einer anderen App (Secure Mail oder iOS-eigene E-Mail) versenden, erfolgt der Versand unverschlüsselt.

Interaktion von Apps

Ausschneiden und Kopieren

Blockiert, erlaubt oder beschränkt Ausschneide- und Kopiervorgänge über die Zwischenablage für die App. Bei “Eingeschränkt” werden die kopierten Zwischenablagedaten in einer privaten Zwischenablage gespeichert, die nur für MDX-Apps verfügbar ist. Der Standardwert ist Eingeschränkt. Optionen: Uneingeschränkt, Blockiert oder Eingeschränkt

Einsetzen

Blockiert, erlaubt oder beschränkt Einfügevorgänge über die Zwischenablage für die App. Bei Eingeschränkt werden die Daten aus einer privaten Zwischenablage eingefügt, die nur für MDX-Apps verfügbar ist. Der Standardwert ist “Uneingeschränkt”. Optionen: Uneingeschränkt, Blockiert oder Eingeschränkt

Dokumentaustausch (Öffnen in)

Blockiert, erlaubt oder beschränkt Dokumentaustauschvorgänge für die App. Wenn Eingeschränkt festgelegt wird, können Dokumente nur mit anderen MDX-Apps und den App-Ausnahmen ausgetauscht werden, die in der Richtlinie “Ausnahmeliste für eingeschränktes Öffnen” festgelegt sind.

Wenn Uneingeschränkt festgelegt wird, legen Sie die Richtlinie “Verschlüsselung aktivieren” auf Ein fest, damit die Benutzer Dokumente in nicht umschlossenen Apps öffnen können. Wenn die empfangende App nicht umschlossen ist oder ihre Verschlüsselung deaktiviert ist, entschlüsselt XenMobile das Dokument.

Wenn die Richtlinie Kamera, Audio, Zwischenablage oder Druckfunktion blockiert, behält jedes dieser Elemente der Zeitstempel der letzten Anzeige. Die Benutzer werden per Meldung über den Status der Option informiert. Der Standardwert ist Eingeschränkt. Optionen: Uneingeschränkt, Blockiert oder Eingeschränkt

Ausnahmeliste für eingeschränktes Öffnen

Wenn für “Dokumentaustausch (Öffnen in)” die Einstellung Eingeschränkt festgelegt ist, kann eine MDX-App Dokumente für diese durch Kommas getrennte Liste mit nicht verwalteten App-IDs freigeben. Die Freigabe ist selbst dann möglich, wenn die Richtlinie “Dokumentaustausch (Öffnen In)” auf Eingeschränkt und die Richtlinie “Verschlüsselung aktivieren” auf Ein festgelegt ist. Die Standardausnahmeliste lässt Office 365-Apps zu:

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

Nur Office 365-Apps werden für diese Richtlinie unterstützt.

Achtung:

Berücksichtigen Sie die Auswirkungen dieser Richtlinie auf die Sicherheit. Durch die Ausnahmeliste können Inhalte zwischen nicht verwalteten Apps und der Secure-Umgebung übermittelt werden. Für zusätzliche Sicherheit wird diese Richtlinie nicht in der XenMobile-Konsole angezeigt. Um die Richtlinie in XenMobile anzuzeigen, öffnen Sie für die App die Datei policy_metadata.xml (in Applications/Citrix/MDXToolkit/data) und ändern Sie im Abschnitt DocumentExchangeExceptionList den Wert für PolicyHidden in false. Nachdem Sie die App umschlossen haben, wird die Richtlinie “Ausnahmeliste für eingeschränktes Öffnen” angezeigt, wenn Sie die App XenMobile hinzufügen.

Verbindungssicherheitsstufe

Legt die erforderliche Mindestversion von TLS/SSL für Verbindungen fest. Bei Auswahl von TLS unterstützen alle Verbindungen das TLS-Protokoll. Bei Auswahl von SSLv3 und TLS unterstützen die Verbindungen SSL 3.0 und TLS. Der Standardwert ist TLS.

Eingehender Dokumentaustausch (Öffnen in)

Blockiert, erlaubt oder beschränkt den Austausch für eingehende Dokumente für die App. Bei Auswahl von Eingeschränkt können Dokumente nur mit anderen MDX-Apps ausgetauscht werden. Der Standardwert ist “Unrestricted”.

Wenn Blockiert oder Eingeschränkt festgelegt wird, können Sie in der Positivliste für Austausch eingehender Dokumente Apps angeben, die Dokumente an diese App senden dürfen. Optionen: Uneingeschränkt, Blockiert oder Eingeschränkt

Explizite Abmeldebenachrichtigung

Bei der Einstellung Aktiviert wird die App explizit zur Information über die Abmeldung eines Benutzers aktiviert. Bei der Einstellung Deaktiviert wird die App bei einer Benutzerabmeldung nicht aktiviert. Bei der Einstellung Nur bei gemeinsam genutzten Geräten wird die App bei einer Abmeldung nur auf Geräten aktiviert, die als gemeinsam genutztes Gerät konfiguriert sind. Die Standardeinstellung ist für alle Apps Deaktiviert, mit Ausnahme von Secure Mail, für das als Standardeinstellung Gemeinsam genutzte Geräte gilt.

Positivliste für Austausch eingehender Dokumente

Wenn die Richtlinie für den eingehenden Dokumentaustausch auf Eingeschränkt oder Blockiert festgelegt ist, dürfen Apps (einschließlich anderer als MDX-Apps) auf dieser durch Kommas getrennten Liste mit App-IDs Dokumente an die App senden.

App-URL-Schemas

iOS-Apps können URL-Anfragen an andere Apps senden, die für die Behandlung bestimmter Schemata registriert wurden, z. B. “http://”. Dadurch können Apps Hilfeanforderungen an andere Apps übergeben. Diese Richtlinie dient dazu, die Schemata (eingehende URLs) zu filtern, die eine App zur Behandlung erhält. Der Standardwert ist leer, d. h. alle URL-Schemas von registrierten Apps werden blockiert.

Die Richtlinie ist als eine durch Kommas getrennte Liste mit Mustern formatiert sein, in der vor jedem Muster ein Pluszeichen (+) oder ein Minuszeichen (-) steht. Eingehende URLs werden mit den Mustern in der aufgelisteten Reihenfolge verglichen, bis eine Übereinstimmung gefunden wird. Bei Übereinstimmung bestimmt das vorangestellte Zeichen die Aktion. Ein Minuszeichen (-) blockiert die Übergabe der URL an die App. Ein Pluszeichen (+) gestattet die Übergabe der URL an die App zur Behandlung. Wenn weder ein “+” noch ein “-“ dem Muster vorangestellt ist, wird ein “+” angenommen. Wenn eine eingehende URL mit keinem Muster in der Liste übereinstimmt, ist sie blockiert.

Die folgende Tabelle enthält Beispiele für App-URL-Schemata:

Schema App, die das URL-Schema erfordert Zweck
ctxmobilebrowser Secure Web- Erlaubt Secure Web das Verarbeiten von HTTP-URLs von anderen Apps.-
ctxmobilebrowsers Secure Web- Erlaubt Secure Web das Verarbeiten von HTTPS-URLs von anderen Apps.
ctxmail Secure Mail- Erlaubt Secure Mail das Verarbeiten von mailto-URLs von anderen Apps.
COL-G2M GoToMeeting- Erlaubt einer umschlossenen GoToMeeting-App das Verarbeiten von Besprechungsanfragen.
ctxsalesforce Citrix für Salesforce- Erlaubt Citrix für Salesforce Anfragen für Salesforce zu verarbeiten.
wbx WebEx Erlaubt einer umschlossenen WebEx-App das Verarbeiten von Besprechungsanfragen.

Zulässige URLs

iOS-Apps können URL-Anfragen an andere Apps senden, die für die Behandlung bestimmter Schemata registriert wurden, z. B. “http://”. Mit dieser Funktion kann eine App Supportanfragen an eine andere App weitergeben.

Diese Richtlinie dient zum Filtern der URLs (ausgehende URLs), die von dieser App zur Behandlung an andere Apps weitergegeben werden.

Die Richtlinie ist als eine durch Kommas getrennte Liste mit Mustern formatiert sein, in der vor jedem Muster ein Pluszeichen (+) oder ein Minuszeichen (-) steht. Ausgehende URLs werden mit den Mustern in der aufgelisteten Reihenfolge verglichen, bis eine Übereinstimmung gefunden wird. Bei Übereinstimmung bestimmt das vorangestellte Zeichen die Aktion. Ein Minuszeichen (-) blockiert die Übergabe der URL an eine andere App. Ein Pluszeichen (+) gestattet die Übergabe der URL an eine andere App zur Behandlung. Wenn weder ein “+” noch ein “-“ dem Muster vorangestellt ist, wird ein “+” angenommen. Ein durch “=” getrenntes Wertepaar bedeutet eine Ersetzung, wobei Vorkommen der ersten Zeichenfolge durch die zweite Zeichenfolge ersetzt werden. Sie können mit dem Präfix “^” nach einer Zeichenfolge suchen und sie am Anfang der URL verankern. Wenn eine ausgehende URL mit keinem Muster in der Liste übereinstimmt, wird sie blockiert.

Standard:

^http:

^https:

^mailto:=ctxmail:

+^ctxmailex:

+^ctxmailex2;

+^citrixreceiver:

+^telprompt:

+^tel:

+^col-g2m-2:

+^col-g2w-2:

+^col-g2t-2;

+^mapitem:

+^maps:ios_addr

+^itms-services:

+^itms-apps

+^ctx-sf

+^lmi-g2m:

+^lync:

Wenn diese Einstellung leer gelassen wird, werden alle URLs mit Ausnahme der folgenden blockiert:

  • http:
  • https:
  • +citrixreceiver: +tel:

Die folgende Tabelle enthält Beispiele für zugelassene URLs:

   
^mailto:=ctxmail: Alle mailto-URLs werden in Secure Mail geöffnet.
^http: Alle HTTP-URLs werden in Secure Web geöffnet.
^https: Alle HTTPS-URLs werden in Secure Web geöffnet.
^tel: Zulassen, dass Benutzer Anrufe tätigen.
-//www.dropbox.com Blockiert Dropbox-URLs, die von verwalteten Apps gesendet werden.
+^COL-G2M: Erlaubt verwalteten Apps das Öffnen der GoToMeeting Client-App.
-^SMS: Blockiert die Verwendung eines Chat-Clients für Messaging.
-^wbx: Hindert verwaltete Apps am Öffnen der WebEx-Client-App.
+^ctxsalesforce: Erlaubt Citrix für Salesforce mit Ihrem Salesforce-Server zu kommunizieren.

App-Einschränkungen

Wichtig:

Berücksichtigen Sie die Auswirkungen auf die Sicherheit bei Richtlinien, die Apps am Zugreifen auf oder Verwenden von Telefonfunktionen hindern. Wenn diese Richtlinien auf Aus festgelegt sind, können Inhalte zwischen nicht verwalteten Apps und der Secure-Umgebung übermittelt werden.

Kamera blockieren

Bei der Einstellung Ein wird der direkte Zugriff einer App auf die Hardware einer Kamera verhindert. Der Standardwert ist Ein.

Fotobibliothek blockieren

Bei der Einstellung Ein wird der Zugriff einer App auf den Katalog des Geräts blockiert. Der Standardwert ist Ein.

Localhost-Verbindungen blockieren

Bei der Einstellung Ein wird der Zugriff einer App auf die Loopbackadresse (127.0.0.1) verhindert. Der Standardwert ist Aus.

Mikrofonaufnahmen blockieren

Bei der Einstellung Ein wird der direkte Zugriff einer App auf die Hardware des Mikrofons für Aufzeichnungen verhindert. Der Standardwert ist Ein.

Diktat blockieren

Bei der Einstellung Ein hat eine App keinen direkten Zugriff auf Diktierdienste. Der Standardwert ist Ein.

Positionsdienste blockieren

Bei der Einstellung Ein wird der Zugriff einer App auf Positionsdienstekomponenten (GPS oder Netzwerk) verhindert. Der Standardwert für Secure Mail, Secure Notes und Citrix für Salesforce ist Aus. Für andere Apps ist die Standardeinstellung Ein.

Verfassen von SMS blockieren

Mit Ein wird der Zugriff einer App auf die SMS-Erstellungsfunktion verhindert, die zum Senden von SMS bzw. Textnachrichten von der App dient. Die Standardeinstellung ist Ein.

iCloud blockieren

Mit Ein hat eine App keinen Zugriff auf iCloud zum Speichern und Freigeben von Einstellungen und Daten.

Hinweis:

iCloud-Datendateibackup wird durch die Richtlinie “Dateibackup blockieren” gesteuert.

Der Standardwert ist Ein.

Dateibackup blockieren

Mit Ein wird das Backup von iCloud- und iTunes-Datendateien unterbunden. Der Standardwert ist Ein.

AirPrint blockieren

Bei Ein wird das Drucken mit AirPrint-Funktionen auf AirPrint-aktivierten Druckern verhindert. Der Standardwert ist Ein.

AirDrop blockieren

Bei der Einstellung Ein hat eine App keinen Zugriff auf AirDrop. Der Standardwert ist Ein.

E-Mails als Anlagen blockieren

Hinweis:

Diese Richtlinie wird nur unter iOS 9 durchgesetzt.

Bei der Einstellung Ein wird der Versand von Notizen als E-Mail mit einer PDF-Anlage deaktiviert. Der Standardwert ist Aus.

Dateianlagen blockieren

Hinweis:

Diese Richtlinie wird nur unter iOS 9 durchgesetzt.

Bei der Einstellung Ein wird das Herunterladen von Anlagen in WorxMail deaktiviert. Der Standardwert ist Aus.

Facebook- und Twitter-APIs blockieren

Bei Ein wird die Verwendung der iOS Facebook- und Twitter-APIs durch eine App verhindert. Der Standardwert ist Ein.

Bildschirminhalt verbergen

Bei Ein wird der Bildschirminhalt verborgen, wenn Benutzer Apps wechseln. Diese Richtlinie verhindert, dass iOS Bildschirminhalt aufzeichnet und Miniaturansichten anzeigt. Der Standardwert ist Ein.

Tastaturen von Drittanbietern blockieren (nur iOS 9)

Bei Ein wird verhindert, dass eine App Tastaturerweiterungen von Drittanbietern auf Geräten mit iOS 9 und höheren Versionen verwendet. Der Standardwert ist Ein.

App-Protokolle blockieren

Die Einstellung Ein verhindert, dass die App die XenMobile App-Diagnoseprotokollierung verwendet. Bei der Einstellung Aus werden App-Protokolle aufgezeichnet und können mit dem E-Mail-Supportfeature von Secure Hub gesammelt werden. Der Standardwert ist Aus.

Verfassen von E-Mails umleiten

Zum Verfassen von E-Mails in einer Unternehmensapp stehen Benutzern drei Optionen zur Verfügung:

  • Secure Mail: Wenn Secure Mail auf dem Gerät installiert ist, wird die App automatisch geöffnet. Andernfalls wird nicht die native E-Mail-Anwendung geöffnet. Stattdessen werden Benutzer aufgefordert, Secure Mail zu installieren.
  • Native E-Mail-Anwendung: Das geräteeigene E-Mail-Programm wird geöffnet.
  • Blockiert: Secure Mail und die native E-Mail-Anwendung sind blockiert.

Die Standardeinstellung ist Secure Mail.

IOS-Nachschlagen blockieren

Bei der Einstellung Ein wird verhindert, dass iOS markierte Begriffe in Apps sucht. Der Standardwert ist Ein.

App-Netzwerkzugriff

Netzwerkzugriff

Verhindert oder erlaubt App-Netzwerkaktivität oder leitet sie um. Bei Einstellung von “Uneingeschränkt” gibt es keine Einschränkungen für den Netzwerkzugriff. Apps haben uneingeschränkten Zugriff auf Netzwerke, mit denen das Gerät verbunden ist. Bei Einstellung von Blockiert wird der gesamte Netzwerkzugriff blockiert. Bei Einstellung von “Tunnel zum internen Netzwerk” wird ein appspezifischer VPN-Tunnel zurück zum internen Netzwerk für den gesamten Netzwerkzugriff zusammen mit NetScaler Split-Tunnel-Einstellungen verwendet.

Der Standardwert für Secure Web und Citrix für Salesforce ist “Tunnel zum internen Netzwerk”. Der Standardwert für Secure Mail, Secure Notes, ShareFile Phone und ShareFile Tablet ist “Uneingeschränkt”. Der Standardwert für andere Apps ist “Blockiert”.

Zertifikatbezeichnung

Bei Verwendung mit dem StoreFront-Zertifikatintegrationsdienst identifiziert diese Bezeichnung das für diese App erforderliche Zertifikat. Wenn keine Bezeichnung angegeben wird, wird kein Zertifikat für die Public Key-Infrastruktur (PKI) zur Verfügung gestellt. Der Standardwert ist leer (kein Zertifikat verwendet).

Bevorzugter VPN-Modus

Legt den Anfangsmodus für Verbindungen fest, die einen Tunnel zum internen Netzwerk benötigen. Die Einstellung “Vollständiger VPN-Tunnel” wird für Verbindungen empfohlen, die Clientzertifikate oder End-To-End-SSL für Ressourcen im internen Netzwerk einsetzen. Die Einstellung “Secure Browse” wird für Verbindungen empfohlen, die Single Sign-On (SSO) erfordern.

VPN-Moduswechsel zulassen

Wenn “Tunnel zum internen Netzwerk” aktiviert ist, ermöglicht diese Richtlinie das automatische Wechseln zwischen VPN-Modi nach Bedarf. Wenn aktiviert, werden Netzwerkanfragen, die fehlschlagen, weil eine Authentifizierungsanfrage nicht im bevorzugten VPN-Modus verarbeitet werden konnte, in dem anderen Modus erneut versucht. Beispiel: Serveraufforderungen für Clientzertifikate können im Full Tunnel-Modus erfüllt werden, nicht aber, wenn Secure Browse verwendet wird. Ähnlich werden HTTP-Authentifizierungsaufforderungen mit SSO eher bedient, wenn “Secure Browse” verwendet wird. Mit “Aus” wird nur der Modus verwendet, der in der Richtlinie “Bevorzugter VPN-Modus” festgelegt wurde. Der Standardwert ist “Aus”.

URL von PAC-Datei oder Proxyserver

Definiert die URL für die zu verwendende PAC-Datei (Proxy Auto-Configuration) oder den zu verwendenden Proxyserver. Wird nur im vollständigen Tunnel-Modus unterstützt. Geben Sie die URL für eine PAC-Datei im folgenden Format an: http[s]://192.0.2.0/proxy.pac oder http[s]://example.com/proxy.pac. Für HTTPS muss die Stammzertifizierungsstelle auf dem Gerät installiert sein, wenn das Zertifikat selbstsigniert oder nicht vertrauenswürdig ist. Geben Sie einen Proxyserver wie folgt an: myhost.example.com:port oder 10.10.0.100:port. Standard- und andere Ports sind zulässig. Der Standardwert ist leer.

Positivliste mit WiFi-Netzwerken

Eine durch Kommas getrennte Liste zugelassener Netzwerke. Die App wird nur ausgeführt, wenn sie mit einem der in der Liste aufgeführten Netzwerke verbunden ist. Wenn das Feld leer ist, sind alle Netzwerke zulässig. Verbindungen mit Mobilfunknetzen sind nicht betroffen. Der Standardwert ist leer.

App-Protokolle

Standardprotokollausgabe

Legt fest, welche Ausgabemedien standardmäßig von der XenMobile App-Diagnoseprotokollierung verwendet werden. Optionen sind “Datei”, “Konsole” oder “Beides”. Der Standardwert ist file.

Standardprotokollebene

Steuert den Standarddetailgrad der XenMobile-App-Diagnoseprotokollierung. Je größer die Zahl, umso detaillierter die Protokollierung.

  • 0 – Nichts protokolliert
  • 1 – Schwerer Fehler
  • 2 – Fehler
  • 3 – Warnungen
  • 4 – Informationsmeldungen
  • 5 – Detaillierte Informationsmeldungen
  • 6 bis 15 – Debugstufen 1 bis 10

Der Standardwert ist Stufe ist 4 (Informationsmeldungen).

Max. Protokolldateien

Beschränkt die Anzahl der von der XenMobile-App-Diagnoseprotokollierung beibehaltenen Protokolldateien, bevor sie überschrieben werden. Das Minimum ist 2. Das Maximum ist 8. Der Standardwert ist 2.

Max. Größe der Protokolldatei

Beschränkt die Größe (in MB) der von der XenMobile-App-Diagnoseprotokollierung beibehaltenen Protokolldateien, bevor mit der nächsten Datei fortgefahren wird. Der Mindestwert ist 1 MB. Der Höchstwert ist 5 MB. Der Standardwert ist 2 MB.

App-Geolocation und -Geofencing

Mit diesem Feature können Sie die App-Nutzung basierend auf dem Standort des Geräts einschränken. Angenommen, ein Benutzer reist nach Amsterdam. Sie können zulassen, dass er die App dort verwendet. Sie können vorgeben, dass die App gesperrt wird, sobald der Benutzer nach Belgien reist. Wenn der Benutzer nach Amsterdam zurückkehrt, wird die App entsperrt und kann normal verwendet werden.

Es gibt drei Einstellungen für Geolocation:

  • Längengrad ist die X-Koordinate des Mittelpunkts des Geofence-Bereichs, in dem die App verwendet werden kann. Außerhalb des Geofence wird die App gesperrt. Geben Sie den Wert in Dezimalschreibweise mit Punkt als Trennzeichen an (DDD.dddd). Beispiel: “-31.9635.” Geben Sie für westliche Längen ein Minus (-) als Vorzeichen ein.
  • Breitengrad ist die Y-Koordinate des Mittelpunkts des Geofence-Bereichs, in dem die App verwendet werden kann. Geben Sie den Wert in Dezimalschreibweise mit Punkt als Trennzeichen an (DDD.dddd). Beispiel: “43.06581.” Geben Sie für südliche Breiten ein Minus (-) als Vorzeichen ein.
  • Radius des Geofence-Bereichs, in dem die App verwendet werden kann. Geben Sie den Radius in Metern an. Durch Festlegen dieses Werts auf 0 wird das Geofencing deaktiviert.

Wenn Sie Positionsdienste blockieren aktivieren, funktioniert das Geofencing nicht.

Der Standardwert ist 0 (deaktiviert).

Wenn eine App Geofencing unterstützt und die Positionsdienste deaktiviert werden, kann der Benutzer die App beenden oder die Android-Einstellungen aufrufen. Aktiviert der Benutzer dort die Positionsdienste, kann er die App normal weiterverwenden.

Wenn Radius- und Positionsdiensteinstellungen korrekt sind, prüft die App auf Geofence-Überschreitungen. Sobald der Abstand zwischen der aktuellen Position und dem Mittelpunkt den festgelegten Radius überschreitet, wird die App gesperrt. In diesem Fall erhält der Benutzer die Möglichkeit, die App zu beenden. Der Benutzer muss sich innerhalb des Geofence-Bereichs befinden, um die App weiterhin verwenden zu können.

Ist der Abstand zwischen aktueller Position und Mittelpunkt kleiner als der festgelegte Radius, kann der Benutzer die App verwenden.

Die App sucht die Position mithilfe des Netzwerkanbieters (WLAN, 3G oder 4G) oder des GPS-Anbieters. Es kann auch GPS in Kombination mit den Mobilfunknetzdaten verwendet werden. In diesem Modus ist die Positionsbestimmung schneller.

Dauert die Positionsbestimmung länger, gilt ein zweiminütiges Timeout:

Hinweis:

Zur präzisen Positionsbestimmung und um zu verhindern, dass Benutzer den Geofence durch Deaktivieren von WiFi oder GPS umgehen, empfiehlt Citrix, die Richtlinie “Onlinesitzung erforderlich” auf Ein festzulegen.

App-Einstellungen für ShareConnect

Kennwort speichern

Bei der Einstellung Ein können Benutzer den Benutzernamen und das Kennwort für den Remotecomputer speichern. Der Standardwert ist Ein.

Secure Mail-App-Einstellungen

Secure Mail Exchange Server

Der vollqualifizierte Domänenname (FQDN) für Exchange Server oder den IBM Notes Traveler-Server (nur für iOS). Der Standardwert ist leer. Wenn Sie eine Domäne in diesem Feld angeben, können Benutzer dies nicht bearbeiten. Wenn Sie das Feld leer lassen, können Benutzer ihre eigenen Serverinformationen eingeben.

Achtung:

Wenn Sie diese Richtlinie für eine bestehende App ändern, müssen Benutzer die App entfernen und neu installieren, damit die Änderung der Richtlinie angewendet wird.

Secure Mail-Benutzerdomäne

Der Name der Active Directory-Standarddomäne für Exchange-Benutzer oder Notes-Benutzer (nur für iOS). Der Standardwert ist leer.

Hintergrundnetzwerkdienste

Der vollqualifizierte Domänenname (FQDN) und der Port der für den Netzwerkzugriff im Hintergrund zulässigen Dienstadressen. Diese Adresse kann ein Exchange Server oder ein ActiveSync-Server im internen Netzwerk oder in einem anderen Netzwerk sein, mit dem Secure Mail eine Verbindung herstellt, z. B. mail.beispiel.com:443.

Wenn Sie diese Richtlinie konfigurieren, legen Sie die Richtlinie “Netzwerkzugriff” auf Tunnel zum internen Netzwerk fest. Diese Richtlinie tritt in Kraft, wenn Sie die Richtlinie “Netzwerkzugriff” konfigurieren. Verwenden Sie diese Richtlinie, wenn der Exchange Server im internen Netzwerk ist und wenn NetScaler Gateway als Proxy für den internen Exchange Server verwendet werden soll.

Der Standardwert ist leer, was bedeutet, dass keine Netzwerkdienste im Hintergrund verfügbar sind.

Ticketablauf für Hintergrunddienste

Die Zeitspanne, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Wenn Secure Mail über NetScaler Gateway eine Verbindung mit einem Exchange-Server herstellt, auf dem ActiveSync ausgeführt wird, gibt XenMobile ein Token aus, das Secure Mail für die Verbindung mit dem internen Exchange-Server verwendet. Diese Einstellung bestimmt, wie lange Secure Mail das Token verwenden kann, ohne ein neues Token für die Authentifizierung und die Verbindung mit dem Exchange-Server zu benötigen. Wenn das Zeitlimit abläuft, müssen Benutzer sich neu anmelden, damit ein neues Token generiert wird. Die Standardeinstellung ist 168 Stunden (7 Tage).

Gateway für Hintergrundnetzwerkdienst

Alternative Gatewayadresse für im Hintergrund ausgeführte Netzwerkdienste im Format fqdn:port. Es handelt sich bei dieser Adresse um den FQDN und die Portnummer von NetScaler Gateway, die Secure Mail für die Verbindung mit dem internen Exchange Server-Computer verwendet. Sie müssen im Konfigurationsprogramm für NetScaler Gateway die Secure Ticket Authority (STA) konfigurieren und die Richtlinie an den virtuellen Server binden. Weitere Informationen zum Konfigurieren von STA in NetScaler Gateway finden Sie unter Configuring the Secure Ticket Authority on NetScaler Gateway.

Der Standardwert ist leer, was bedeutet, dass es kein alternatives Gateway gibt.

Wenn Sie diese Richtlinie konfigurieren, legen Sie die Richtlinie “Netzwerkzugriff” auf Tunnel zum internen Netzwerk fest. Diese Richtlinie tritt in Kraft, wenn Sie die Richtlinie “Netzwerkzugriff” konfigurieren. Verwenden Sie diese Richtlinie, wenn der Exchange Server im internen Netzwerk ist und wenn NetScaler Gateway als Proxy für den internen Exchange Server verwendet werden soll.

Kontakte exportieren

Wichtig:

Aktivieren Sie dieses Feature nicht, wenn Benutzer auf den Exchange Server direkt (d. h. außerhalb von NetScaler Gateway) zugreifen. Ansonsten werden auf dem Gerät und in Exchange Kontakte dupliziert.

Bei der Einstellung Aus wird die unidirektionale Synchronisierung von Secure Mail-Kontakten auf das Gerät sowie die Freigabe von Secure Mail-Kontakten als vCards verhindert. Der Standardwert ist Aus.

Kontaktfelder zum Exportieren

Legt fest, welche Felder der Kontakte in Adressbücher exportiert werden. Wenn Alle ausgewählt wird, werden alle Kontaktfelder exportiert. Wenn Name und Telefonnummer ausgewählt wird, werden alle mit Namen und Telefonnummern verbundenen Felder exportiert. Wenn Name, Telefonnummer und E-Mail ausgewählt wird, werden alle mit Namen, Telefonnummern und E-Mail verbundenen Felder exportiert. Der Standardwert ist Alle.

Alle SSL-Zertifikate akzeptieren

Bei der Einstellung Ein akzeptiert Secure Mail alle (gültigen und ungültigen) SSL-Zertifikate und ermöglicht den Zugriff. Bei der Einstellung Aus blockiert Secure Mail den Zugriff bei einem Zertifikatfehler und zeigt eine Warnung an. Der Standardwert ist Aus.

Benachrichtigungen bei gesperrtem Bildschirm steuern

Legt fest, ob E-Mail- und Kalenderbenachrichtigungen auf einem gesperrten Gerätebildschirm angezeigt werden. Wenn Zulassen ausgewählt wird, werden alle Informationen in der Benachrichtigung angezeigt. Wenn Blockieren ausgewählt wird, werden Benachrichtigungen nicht angezeigt. Bei Auswahl von E-Mail-Absender oder Ereignistitel wird nur der Name des Absenders der E-Mail bzw. der Titel des Kalenderereignisses angezeigt. Wenn Nur Anzahl ausgewählt wird, werden die Anzahl der E-Mails, Besprechungseinladungen und die Uhrzeit für Kalendererinnerungen angezeigt. Der Standardwert ist Zulassen.

E-Mail-Standardbenachrichtigung

Die Benutzer können die Einstellung für E-Mail-Benachrichtigungen auf ihren Geräten von “Aus” in “Ein” ändern. Die Richtlinie E-Mail-Standardbenachrichtigung ermöglicht es, eine globale Richtlinie für E-Mail-Benachrichtigungen für Ihr Unternehmen festzulegen.

Wenn die App auf neue Richtlinien prüft, wird der neue Wert an das Benutzergerät gesendet. Die Prüfung erfolgt, wenn die Benutzer die App zum ersten Mal installieren oder ein Upgrade der App durchführen.

Wenn Benutzer diese Richtlinie lokal festlegen und die globale Einstellung eine andere ist, wird die lokale Einstellung beim Starten der App nicht geändert.

Der Standardwert ist Aus.

Standardsynchronisierungsintervall

Gibt das standardmäßige Synchronisierungsintervall für Secure Mail an. Benutzer von Secure Mail können die Standardeinstellung ändern.

Die Einstellung Filter für maximales Alter von E-Mails der Exchange ActiveSync-Postfachrichtlinie hat Vorrang vor dieser Richtlinie. Wenn Sie für Synchronisierungsintervall einen größeren Wert angeben als für Filter für maximales Alter von E-Mails festgelegt ist, wird die Einstellung von Filter für maximales Alter von E-Mails angewendet. In Secure Mail werden nur Synchronisierungsintervallwerte angezeigt, die niedriger als die ActiveSync-Filtereinstellung für maximales Alter von E-Mails sind.

Der Standardwert ist 3 Tage.

Mailsucheinschränkung

Beschränkt die Länge des auf mobilen Geräten zugänglichen E-Mail-Verlaufs durch Begrenzung der Anzahl der Tage für die Suche auf dem Mailserver.

Es gibt folgende Optionen:

  • 90 Tage
  • 180 Tage
  • 1 Jahr
  • Unbegrenzt

Zum Einschränken der Anzahl Nachrichten für die Synchronisierung mit mobilen Geräten konfigurieren Sie die Richtlinie Max. Synchronisierungsintervall.

Der Standardwert ist Unbegrenzt.

Max. Synchronisierungsintervall

Steuert die Anzahl der auf einem Mobilgerät lokal gespeicherten E-Mails durch Einschränken des Synchronisierungszeitraums.

Zum Einschränken der Zeitspanne, die Geräte auf dem Mailserver durchsuchen können, konfigurieren Sie die Richtlinie Mailsucheinschränkung für den Mailserver.

Zulässige Werte sind:

  • 3 Tage
  • 1 Woche
  • 2 Wochen
  • 1 Monat
  • Alle

Der Standardwert ist 1 Monat.

Zulässiger max. Synchronisierungszeitraum

Begrenzt die Suche auf dem Gerät auf einen bestimmten Zeitraum. Die Suche umfasst lokale Suche und Serversuche, die Sie mit zwei separaten Richtlinien konfigurieren. Legen Sie die Richtlinie auf dem Benutzergerät und auf dem Server fest, damit sie wirksam ist.

Zulässige Werte sind:

  • 3 Tage
  • 1 Woche
  • 2 Wochen
  • 1 Monat
  • Alle

Der Standardwert ist 1 Monat.

Wochennummer aktivieren

Bei der Einstellung Ein wird in der Kalenderansicht die Wochennummer angezeigt. Der Standardwert ist Aus.

Download von Anlagen über WiFi aktivieren

Bei der Einstellung Ein ist die Secure Mail-Option zum Herunterladen von Anlagen aktiviert, d. h. die Benutzer können standardmäßig Anlagen über interne WLAN-Netzwerke herunterladen. Bei der Einstellung Aus ist die Secure Mail-Option zum Herunterladen von Anlagen deaktiviert, d. h. die Benutzer können standardmäßig keine Anlagen über WLAN-Netzwerke herunterladen. Der Standardwert ist Aus.

Verwaltung von Informationsrechten (IRM)

Ist die Einstellung Ein, unterstützt Secure Mail die Verwaltung von Informationsrechten. Der Standardwert ist Aus.

E-Mail-Klassifizierung

Bei der Einstellung Ein unterstützt Secure Mail E-Mail-Klassifizierungsmarkierungen für Sicherheit (SEC) und Verteilungseinschränkungsmarker (dissemination limiting markers, DLM). Klassifizierungsmarkierungen werden in den Kopfzeilen von E-Mails als Werte für X-Protective-Marking (Schutzmarkierungen) angezeigt. Konfigurieren Sie auch die zugehörigen E-Mail-Klassifizierungsrichtlinien. Der Standardwert ist Aus.

E-Mail-Klassifizierungsmarkierungen

Gibt die Klassifizierungsmarkierungen an, die für Benutzer verfügbar sind. Die Markierungsliste enthält durch Semikola getrennte Wertpaare. Jedes Paar enthält den in Secure Mail angezeigten Listenwert und den Markierungswert, wobei es sich um den Text handelt, der an den E-Mail-Betreff und die Kopfzeile angehängt wird. Beispiel: Im Markierungspaar UNOFFICIAL, SEC=UNOFFICIAL ist der Listenwert UNOFFICIAL und der Markierungswert SEC=UNOFFICIAL.

Der Standardwert ist eine Liste mit Klassifizierungsmarkierungen, die Sie ändern können. Die Liste mit den Standardmarkierungen finden Sie unter E-Mail-Sicherheitsklassifizierungen.

Wenn die Liste leer ist, verwendet Secure Mail keine Liste mit Schutzmarkierungen.

E-Mail-Klassifizierungsnamespace

Gibt den Klassifizierungsnamespace an, den der Klassifizierungsstandard in der E-Mail-Kopfzeile erfordert. Beispiel: Der Namespace gov.au wird in der Kopfzeile als NS=gov.au angezeigt. Der Standardwert ist leer.

E-Mail-Klassifizierungsversion

Gibt die Klassifizierungsversion an, die der Klassifizierungsstandard in der E-Mail-Kopfzeile erfordert. Beispiel: Die Version 2012.3 wird in den Kopfzeile als VER=2012.3 angezeigt. Der Standardwert ist leer.

E-Mail-Standardklassifizierung

Gibt die Schutzmarkierung an, die Secure Mail auf eine E-Mail anwendet, wenn ein Benutzer keine Markierung wählt. Dieser Wert muss in der Liste für die Richtlinie “E-Mail-Klassifizierungsmarkierungen” sein. Der Standardwert ist UNOFFICIAL.

E-Mail-Entwürfe automatisch speichern

Bei der Einstellung Ein unterstützt Secure Mail die automatische Speicherung von Nachrichten im Ordner “Entwürfe”. Die automatische Speicherung findet alle 20 Sekunden statt. Der Standardwert ist Ein.

iOS-Datenschutz aktivieren

Diese Richtlinie ist für Unternehmen vorgesehen, in denen die australischen Datenschutzanforderungen des Australian Signals Directorate erfüllt werden müssen. Sie aktiviert den iOS-Datenschutz bei der Arbeit mit Dateien. Bei der Einstellung Ein wird die Dateischutzebene von WorxMail beim Erstellen und Öffnen von Dateien in der App-Sandbox festgelegt. Der Standardwert ist Aus.

Google Analytics

Mit Vollständig erfasst Citrix identifizierbare Daten über Ihr Unternehmen, um die Produktqualität zu verbessern. Mit Anonym werden nur anonyme Daten gesammelt. Die Standardeinstellung ist Vollständig.

Pushbenachrichtigungen

AktiviertAPNs-basierte Benachrichtigungen zu Postfachaktivitäten. Bei der Einstellung Ein unterstützt Secure Mail Pushbenachrichtigungen. Der Standardwert ist Aus.

Region für Pushbenachrichtigungen

Die Region, in der der APNs-Host für die Secure Mail-Benutzer ist. Die Optionen sind Nord- und Südamerika, EMEA und APAC. Der Standardwert ist Nord- und Südamerika.

Kunden-ID für Pushbenachrichtigungen

Die APNs-Kunden-ID, die Ihr Konto beim Citrix Benachrichtigungsdienst identifiziert. Der Standardwert ist leer.

S/MIME-Zertifikatquelle

Gibt die Quelle der S/MIME-Zertifikate an. Wenn die Quelle E-Mail ist, müssen Sie die Benutzerzertifikate per E-Mail an die Benutzer senden, die die E-Mail in Secure Mail öffnen und die angefügten Zertifikate importieren. Wenn die Quelle Freigegebener Tresor ist, stellt ein digitaler Identitätsanbieter Zertifikate im freigegebenen XenMobile-App-Tresor zur Verfügung. Die Integration mit einem Drittanbieter erfordert, dass Sie eine entsprechende App für Benutzer veröffentlichen. Mit Abgeleiteten Anmeldeinformationen werden Zertifikate von einer Quelle wie einer Smartcard verwendet. Weitere Informationen zu abgeleiteten Anmeldeinformationen finden Sie unter Abgeleitete Anmeldeinformationen für iOS. Informationen zur Benutzererfahrung finden Sie in der Beschreibung zur Richtlinie “S/MIME bei erstem Secure Mail-Start aktivieren” im nächsten Abschnitt.

Der Standardwert ist E-Mail.

S/MIME bei erstem Secure Mail-Start aktivieren

Wenn die S/MIME-Zertifikatquelle “Freigegebener Tresor” ist, gibt diese Einstellung an, ob beim ersten Secure Mail-Start S/MIME aktiviert wird. Bei der Einstellung Ein aktiviert Secure Mail S/MIME, wenn der freigegebene Tresor Zertifikate für den Benutzer enthält. Wenn im freigegebenen Tresor keine Zertifikate sind, werden Benutzer aufgefordert, Zertifikate zu importieren. In beiden Szenarios müssen Benutzer Zertifikate von einer unterstützten digitalen Identitätsanbieter-App konfigurieren, bevor sie ein Konto in Secure Mail erstellen können.

Bei der Einstellung Aus aktiviert Secure Mail S/MIME nicht. Benutzer können es in den Secure Mail-Einstellungen aktivieren. Der Standardwert ist Aus.

Anfänglicher Authentifizierungsmechanismus

Diese Richtlinie gibt an, ob bei der Erstverwendung das Feld Adresse im Bereitstellungsbildschirm mit der von MDX angegebenen Mailserveradresse oder mit der E-Mail-Adresse des Benutzers ausgefüllt werden soll.

Der Standardwert ist Von MDX bereitgestellte Mailserveradresse.

Anfangsanmeldeinformationen für die Authentifizierung

Mit dieser Richtlinie wird der Wert angegeben, der bei der Erstverwendung als Benutzername im Bereitstellungsbildschirm gewählt werden soll.

Der Standardwert ist Benutzerprinzipalname.

Web-/Audiokonferenztyp

Web-/Audiokonferenztyp: Steuert, welche Besprechungstypen Benutzer beim Einrichten einer Besprechung konfigurieren können. Wenn GoToMeeting und Benutzereingabe aktiviert ist, können Benutzer GoToMeeting oder “Andere Konferenz” wählen, wenn sie im Bildschirm zum Erstellen oder Bearbeiten eines Ereignisses auf den Bereich “Web und Audio” tippen. “Andere Konferenz” ermöglicht Benutzern das manuelle Eingeben von Konferenzdetails. Wenn Nur Benutzereingabe aktiviert ist, werden Benutzer direkt zum Bildschirm “Andere Konferenz” weitergeleitet. Der Standardwert ist GoToMeeting und Benutzereingabe.

Öffentliche S/MIME-Zertifikatquelle

LDAP-Serveradresse: Die Adresse des LDAP-Servers und die Portnummer. Der Standardwert ist leer.

LDAP-Serveradresse

Adresse sowie Portnummer des LDAP-Servers. Der Standardwert ist leer.

LDAP-Basis-DN

Basis-DN für den LDAP-Server. Der Standardwert ist leer.

Anonymer LDAP-Zugriff

Bei Einstellung dieser Richtlinie auf Ein, kann Secure Mail LDAP ohne vorherige Authentifizierung durchsuchen. Der Standardwert ist AUS.

Bei der Einstellung Ein erfolgt die LDAP-Authentifizierung nur mit dem Active Directory-Benutzernamen und -Kennwort. Die zertifikatbasierte Authentifizierung und andere Authentifizierungsmodi werden nicht unterstützt.

Prüfung auf native Kontakte überschreiben

Bei der Einstellung Ein erfolgt eine Synchronisierung der Kontakte auf dem Gerät auch dann, wenn die native App für ein Exchange-/Hotmail-Konto konfiguriert ist.

Bei der Einstellung Aus wird das Synchronisieren der Kontakte weiterhin blockiert. Die Standardeinstellung ist Ein.

Zulässige E-Mail-Domänen

Durch Hinzufügen einer E-Mail-Domäne zu dieser Liste wird ermöglicht, dass die Benutzer ein Konto aus der Domäne konfigurieren. Alle anderen Domänen werden blockiert. Der Standardwert ist leer, d. h. Secure Mail Domänen blockiert keine Domänen.

Damit Secure Mail nach unzulässigen Domänen filtern kann, müssen Sie die zulässigen Domänen der Liste hinzufügen. Secure Mail vergleicht dann die Domäne mit den zulässigen Liste. Wenn Sie beispielsweise server.company.com als einen zulässigen Domänennamen auflisten und die E-Mail-Adresse eines Benutzers ist user@internal.server.company.com, wird diese E-Mail-Adresse von Secure Mail unterstützt. In dem Beispiel unterstützt Secure Mail ausschließlich E-Mail-Adressen mit dem Domänennamen server.company.com und keine anderen E-Mail-Adressen.

Sie fügen die zulässigen Domänen in den Richtlinieneinstellungen durch Kommas getrennt hinzu, z. B. server.company.com, server.company.co.uk

Secure Notes-App-Einstellungen

Secure Notes-Speicheroptionen

Secure Notes-Speicheroptionen: Ermöglicht das Festlegen von Speicheroptionen für Notizen, die Benutzer mit Secure Notes erstellen. Wenn ShareFile und Exchange Server ausgewählt wird, können Benutzer die Speicheroption für Notizen selbst wählen. Wenn Nur ShareFile ausgewählt wird, werden Notizen in ShareFile gespeichert. Wenn “Nur Exchange” ausgewählt wird, werden Notizen in Exchange Server gespeichert. Der Standardwert ist ShareFile und Exchange Server.

Secure Notes Exchange Server

Vollqualifizierter Domänenname (FQDN) für Exchange Server. Der Standardwert ist leer.

Secure Notes-Benutzerdomäne

Active Directory-Standarddomäne für Exchange-Benutzer. Der Standardwert ist leer.

Hintergrundnetzwerkdienste

Der vollqualifizierte Domänenname (FQDN) und der Port der für den Netzwerkzugriff im Hintergrund zulässigen Dienstadressen. Diese Adresse kann ein Exchange Server oder ein ActiveSync-Server im internen Netzwerk oder in einem anderen Netzwerk sein, mit dem Secure Mail eine Verbindung herstellt, z. B. mail.beispiel.com:443.

Wenn Sie diese Richtlinie konfigurieren, legen Sie die Richtlinie “Netzwerkzugriff” auf Tunnel zum internen Netzwerk fest. Diese Richtlinie tritt in Kraft, wenn Sie die Richtlinie “Netzwerkzugriff” konfigurieren. Verwenden Sie diese Richtlinie, wenn der Exchange Server im internen Netzwerk ist und wenn NetScaler Gateway als Proxy für den internen Exchange Server verwendet werden soll.

Der Standardwert ist leer, was bedeutet, dass keine Netzwerkdienste im Hintergrund verfügbar sind.

Ticketablauf für Hintergrunddienste

Zeitspanne, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Nach dem Ablauf ist eine Unternehmensanmeldung erforderlich, um das Ticket zu erneuern. Die Standardeinstellung ist 168 Stunden (7 Tage).

Gateway für Hintergrundnetzwerkdienst

Alternative Gatewayadresse für im Hintergrund ausgeführte Netzwerkdienste in Form von fqdn:port. Der Standardwert ist leer, was bedeutet, dass keine Netzwerkdienste im Hintergrund verfügbar sind.

Alle SSL-Zertifikate akzeptieren

Bei der Einstellung Ein akzeptiert Secure Tasks alle (gültigen und ungültigen) SSL-Zertifikate und ermöglicht den Zugriff. Bei der Einstellung Aus blockiert Secure Notes den Zugriff bei einem Zertifikatfehler und zeigt eine Warnung an. Der Standardwert ist Aus.

Nutzungsanalyse

Mit Vollständig erfasst Citrix identifizierbare Daten über Ihr Unternehmen, um die Produktqualität zu verbessern. Mit Anonym werden nur anonyme Daten gesammelt. Die Standardeinstellung ist “Vollständig”.

Secure Tasks-App-Einstellungen

Sie können die folgenden Richtlinien für Secure Tasks auf iOS-Geräten konfigurieren:

Secure Tasks Exchange Server

Vollqualifizierter Domänenname (FQDN) für Exchange Server. Der Standardwert ist leer.

Secure Tasks-Benutzerdomäne

Active Directory-Standarddomäne für Exchange-Benutzer. Der Standardwert ist leer.

Hintergrundnetzwerkdienste

Durch Kommas getrennte Liste mit Dienstadressen und -ports, die für den Netzwerkzugriff im Hintergrund zulässig sind. Jeder Dienst hat das Format fqdn:port. Der Standardwert ist leer, was bedeutet, dass keine Netzwerkdienste im Hintergrund verfügbar sind.

Ticketablauf für Hintergrunddienste

Zeitspanne, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Nach dem Ablauf ist eine Unternehmensanmeldung erforderlich, um das Ticket zu erneuern. Die Standardeinstellung ist 168 Stunden (7 Tage).

Gateway für Hintergrundnetzwerkdienst

Alternative Gatewayadresse für im Hintergrund ausgeführte Netzwerkdienste in Form von fqdn:port. Der Standardwert ist leer, was bedeutet, dass keine Netzwerkdienste im Hintergrund verfügbar sind.

Alle SSL-Zertifikate akzeptieren

Bei der Einstellung Ein akzeptiert Secure Tasks alle (gültigen und ungültigen) SSL-Zertifikate und ermöglicht den Zugriff. Mit der Einstellung Aus blockiert Secure Tasks den Zugriff bei einem Zertifikatfehler und zeigt eine Warnung an. Der Standardwert ist Aus.

Google Analytics

Mit Vollständig erfasst Citrix identifizierbare Daten über Ihr Unternehmen, um die Produktqualität zu verbessern. Mit anonym werden nur anonyme Daten gesammelt. Die Standardeinstellung ist “Vollständig”.

Secure Web-App-Einstellungen

Zugelassene oder blockierte Websites

Secure Web filtert Weblinks normalerweise nicht. Sie können mit dieser Richtlinie eine spezifische Liste zugelassener oder blockierter Sites konfigurieren. Dazu konfigurieren Sie URL-Muster in einer durch Trennzeichen getrennte Liste und beschränken so die Websites, die der Browser öffnen kann. Ein Pluszeichen (+) oder Minuszeichen (-) wird jedem Muster in der Liste vorangstellt. Der Browser vergleicht eine URL mit den Mustern in der aufgelisteten Reihenfolge, bis eine Übereinstimmung gefunden wird. Wenn eine Übereinstimmung gefunden wird, bestimmt das Präfix die Aktion wie folgt:

  • Bei einem Minuszeichen (-) blockiert der Browser die URL. In diesem Fall wird die URL behandelt, als könne die Adresse des Webservers nicht aufgelöst werden.
  • Bei einem Pluszeichen (+) wird die URL normal verarbeitet.
  • Wenn weder ein + noch ein - dem Muster vorangestellt ist, wird ein + angenommen und der Zugriff zugelassen.
  • Wenn die URL mit keinem Muster in der Liste übereinstimmt, wird sie zugelassen.

    Wenn alle anderen URLs blockiert werden sollen, setzen Sie an den Schluss der Liste ein Minuszeichen gefolgt von einem Sternchen (-*). Beispiel:

  • Durch den Richtlinienwert +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* werden HTTP-URLs innerhalb der Domäne “mycorp.com” zugelassen während alle anderen blockiert werden, alle HTTPS- und FTP-URLS sind zugelassen und alle anderen URLs werden blockiert.
  • Der Richtlinienwert +http://*.training.lab/*,+https://*.training.lab/*,-* ermöglicht Benutzern den Zugriff auf alle Sites innerhalb der Domäne “Training.lab” (Intranet) über HTTP oder HTTPS, aber unabhängig vom Protokoll ist kein Zugriff auf öffentliche URLs wie Facebook, Google und Hotmail möglich.

Der Standardwert ist leer (alle URLs zugelassen).

Vorab geladene Lesezeichen

Definiert einen vorab geladenen Satz Lesezeichen für den Secure Web-Browser. Die Richtlinie ist eine durch Trennzeichen getrennte Liste, die Ordnername, Anzeigename und Webadresse einschließt. Jedes Tripel muss das Format “Ordner,Name,URL” haben, wobei Ordner und Name von Anführungszeichen (“) umschlossen sein können.

Die Richtlinienwerte ,"Mycorp, Inc. home page",http://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",http://www.mycorp.com/IR/Contactus.aspx definieren drei Lesezeichen: Der erste Link ist ein primärer Link (kein Ordnername) mit dem Namen “Mycorp, Inc. home page”. Der zweite Link wird in einem Ordner mit dem Namen “MyCorp Links” platziert und trägt die Bezeichnung “Account logon”. Der dritte Link wird im Unterordner “Investor Relations” des Ordners “MyCorp Links” platziert und als “Contact us” angezeigt.

Der Standardwert ist leer.

Homepage-URL

Definiert die Website, die beim Starten von Secure Web geladen wird. Der Standardwert ist leer (Standardstartseite).

Browserbenutzeroberfläche

Gibt das Verhalten und die Sichtbarkeit der Steuerelemente der Browserbenutzeroberfläche für Secure Web an. Normalerweise sind alle Browsersteuerelemente verfügbar. Dies schließt die Steuerelemente für Weiter, Zurück, Adressleiste sowie Aktualisieren und Stopp ein. Sie können mit dieser Richtlinie die Verwendung und Sichtbarkeit einiger dieser Steuerelemente einschränken. Der Standardwert ist Alle Steuerelemente sichtbar.

Optionen:

  • Alle Steuerelemente sichtbar: Alle Steuerelemente sind sichtbar und die Verwendung durch Benutzer ist nicht eingeschränkt.
  • Schreibgeschützte Adressleiste: Alle Steuerelemente sind sichtbar, aber Benutzer können das Adressfeld des Browsers nicht bearbeiten.
  • Adressleiste ausblenden: Die Adressleiste wird ausgeblendet. Die anderen Steuerelemente werden angezeigt.
  • Alle Steuerelemente ausblenden: Die gesamte Symbolleiste wird ausgeblendet und das Browserfenster ohne Rahmen angezeigt.

Webkennwortcaching aktivieren

Diese Richtlinie bestimmt, ob Secure Web Kennwörter auf Geräten zwischenspeichert, wenn Benutzer von Secure Web ihre Anmeldeinformationen zum Zugreifen auf oder Anfordern von Webressourcen eingeben. Diese Richtlinie gilt für Kennwörter, die in Authentifizierungsdialogfelder eingegeben werden, und nicht für Kennwörter, die in Webformulare eingegeben werden.

Wenn Ein festgelegt wird, speichert Secure Web alle Kennwörter zwischen, die Benutzer beim Anfordern einer Webressource eingeben. Wenn Aus festgelegt wird, speichert Secure Web Kennwörter nicht zwischen und entfernt bereits zwischengespeicherte Kennwörter. Der Standardwert ist Aus.

Diese Richtlinie ist nur aktiviert, wenn Sie für diese App auch die Richtlinie “Bevorzugter VPN-Modus” auf Vollständiger VPN-Tunnel festlegen.

Google Analytics

Mit Vollständig erfasst Citrix identifizierbare Daten über Ihr Unternehmen, um die Produktqualität zu verbessern. Mit Anonym werden nur anonyme Daten gesammelt. Die Standardeinstellung ist Vollständig.

iOS-Datenschutz aktivieren

Hinweis:

Diese Richtlinie ist für Unternehmen vorgesehen, in denen die australischen Datenschutzanforderungen des Australian Signals Directorate erfüllt werden müssen.

Sie aktiviert den iOS-Datenschutz bei der Arbeit mit Dateien. Bei der Einstellung Ein wird die Dateischutzebene von WorxMail beim Erstellen und Öffnen von Dateien in der App-Sandbox festgelegt. Der Standardwert ist Aus.

iOS 9-Sicherheitseinschränkungen

Hinweis:

Diese Richtlinie wird nur unter iOS 9 durchgesetzt.

Bei der Einstellung Ein wird der Download von Dateien und Offlineseiten deaktiviert. Zudem wird das Zwischenspeichern von Cookies und die lokale HTML5-Speicherung verhindert. Der Standardwert ist Aus.

Secure Web-Domänen

Die Richtlinie für Secure Web-Domänen steuert, welche Domänen an Secure Web statt an den systemeigenen Browser gesendet werden. Eine kommagetrennte Liste mit URL-Hostdomänen wird mit dem Hostnamenteil aller URLs abgeglichen, die die Anwendung normalerweise an einen externen Handler senden würde. In der Regel konfigurieren Administratoren diese Richtlinie als eine Liste von internen Domänen, die von Secure Web behandelt werden sollen. Bleibt die Richtlinie leer, wird der gesamte Webdatenverkehr an Secure Web gesendet, der nicht explizit von der Filterung ausgeschlossen oder auf andere Weise von der Intent/URL-Filterlogik umgeleitet wird.

Domänen von der URL-Filterung ausschließen

Die ExcludeUrlFilterForDomains-Richtlinie ist eine durch Kommas getrennte Liste von Websitedomänen, die von der URL-Filterung ausgeschlossen sind. URLs, die eine der Domänen in der Liste enthalten, werden an den nativen Browser des Benutzers gesendet, statt an Secure Web. Wenn die Richtlinie leer ist, werden alle URLs über den URL-Filter geleitet. Dieser Richtlinie hat Priorität vor der SecureWebDomains-Richtlinie. Der Standardrichtlinienwert ist leer.

App-Einstellungen für ShareFile Secure-Clients

Sichere Anzeige aktivieren

Bei Ein verwendet der Client eine sichere Anzeige statt der Vorschaufunktion von iOS Quick Look. Die MDX-basierte sichere Anzeige gewährleistet, dass die Vorgänge zum Ausschneiden, Kopieren und Einfügen nur zwischen mit MDX umschlossenen Apps erfolgen. Bei Aus wird die sichere Anzeige nicht verwendet. Die Standardeinstellung ist Ein.