Product Documentation

XenMobile-MDX-Richtlinien für Windows-Geräte-Apps

Dec 20, 2017

Dieser Artikel enthält Informationen zu den MDX-App-Richtlinien für Windows Phone 10-Geräte und Windows Phone 8.1-Geräte. Sie können Richtlinieneinstellungen direkt in den XML-Richtliniendateien ändern oder in der XenMobile-Konsole, wenn Sie eine App hinzufügen.

Authentifizierung

App-Passcode
Bei Einstellung auf Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine PIN oder ein Passcode erforderlich. Die Standardeinstellung ist Ein.

Sie konfigurieren den Inaktivitätstimer für alle Apps, indem Sie auf der Registerkarte Einstellungen unter Clienteigenschaften den Wert INACTIVITY_TIMER in Minuten festlegen. Der Standardwert für den Inaktivitätstimer ist 60 Minuten. Legen Sie den Wert auf 0 fest, um den Inaktivitätstimer zu deaktivieren, damit eine Eingabeaufforderung für PIN oder Passcode nur beim Start der App angezeigt wird.

Hinweis: Wenn Sie für die Richtlinie "Verschlüsselungsschlüssel" den Wert Sicherer Offlinezugriff auswählen, wird diese Richtlinie automatisch aktiviert.
Onlinesitzung erforderlich
Bei Einstellung auf Ein muss der Benutzer eine Verbindung zum Unternehmensnetzwerk und eine aktive Sitzung haben. Bei Einstellung auf Aus ist eine aktive Sitzung nicht erforderlich. Der Standardwert ist Aus.
Maximale Offlinezeit (Stunden)
Legt die maximale Zeit fest, die eine App ausgeführt werden kann, ohne dass der App-Anspruch und die Aktualisierungsrichtlinien von XenMobile neu bestätigt werden müssen. Der Standardwert ist 72 Stunden (3 Tage). Der Mindestzeitraum ist 1 Stunde.

Benutzer werden 30, 15 und 5 Minuten vor Ablauf dieser Zeit daran erinnert, sich anzumelden. Nach Ablauf der Zeit wird die App gesperrt, bis sich Benutzer anmelden.

Dokumentaustausch (Öffnen in)
Blockiert, erlaubt oder beschränkt den Dokumentaustausch für die App. Bei Auswahl von Eingeschränkt können Dokumente nur mit anderen MDX-Apps ausgetauscht werden. Der Standardwert ist Eingeschränkt.

Optionen: Uneingeschränkt, Blockiert oder Eingeschränkt

App-Einschränkungen

Achtung: Berücksichtigen Sie die Auswirkungen auf die Sicherheit bei Richtlinien, die Apps am Zugreifen auf oder Verwenden von Telefonfunktionen hindern. Wenn diese Richtlinien auf Aus festgelegt sind, können Inhalte zwischen nicht verwalteten Apps und der gesicherten Umgebung übermittelt werden.
App-Protokolle blockieren
Bei Auswahl von Ein kann die App die XenMobile-App-Diagnoseprotokollierung nicht verwenden. Bei der Einstellung Aus werden Anwendungsprotokolle aufgezeichnet und mit dem E-Mail-Supportfeature von Secure Hub gesammelt. Der Standardwert ist Aus.
Kamera blockieren
Bei der Einstellung Ein wird der direkte Zugriff einer App auf die Hardware einer Kamera verhindert. Der Standardwert ist Aus.

App-Protokolle

Standardprotokollausgabe
Legt fest, welche Ausgabemedien standardmäßig von der XenMobile-App-Diagnoseprotokollierung verwendet werden. Optionen sind file, console oder file,console. Der Standardwert ist file.
Standardprotokollebene
Steuert den Standarddetailgrad der XenMobile-App-Diagnoseprotokollierung. Je größer die Zahl, umso detaillierter die Protokollierung.
  • 0 – Nichts protokolliert
  • 1 – Schwere Fehler
  • 2 – Fehler
  • 3 – Warnungen
  • 4 – Informationsmeldungen
  • 5 – Detaillierte Informationsmeldungen
  • 6 bis 15 – Debugstufen 1 bis 10

Der Standardwert ist Stufe ist 4 (Informationsmeldungen).

Max. Protokolldateien
Beschränkt die Anzahl der von der XenMobile-App-Diagnoseprotokollierung beibehaltenen Protokolldateien, bevor sie überschrieben werden. Das Minimum ist 2. Das Maximum ist 8. Der Standardwert ist 2.
Max. Größe der Protokolldatei
Beschränkt die Größe in Megabytes (MB) der von der XenMobile-App-Diagnoseprotokollierung beibehaltenen Protokolldateien, bevor mit der nächsten Datei fortgefahren wird. Der Mindestwert ist 1 MB. Der Höchstwert ist 5 MB. Der Standardwert ist 2 MB.

Secure Mail Exchange Server

Der vollqualifizierte Domänenname (FQDN) für Exchange Server oder den IBM Notes Traveler-Server (nur für iOS). Der Standardwert ist leer. Wenn Sie eine Domäne in diesem Feld angeben, können Benutzer dies nicht bearbeiten. Wenn Sie das Feld leer lassen, können Benutzer ihre eigenen Serverinformationen eingeben.

Achtung: Wenn Sie diese Richtlinie für eine bestehende App ändern, müssen Benutzer die App löschen und neu installieren, damit die Änderung der Richtlinie angewendet wird.

Secure Mail-Benutzerdomäne

Der Name der Active Directory-Standarddomäne für Exchange-Benutzer oder Notes-Benutzer (nur für iOS). Der Standardwert ist leer.

Hintergrundnetzwerkdienste

Der vollqualifizierte Domänenname (FQDN) und der Port der für den Netzwerkzugriff im Hintergrund zulässigen Dienstadressen. Dies kann ein Exchange Server oder ein ActiveSync-Server im internen Netzwerk oder in einem anderen Netzwerk sein, mit dem Secure Mail eine Verbindung herstellt, z. B. mail.beispiel.com:443.

Wenn Sie diese Richtlinie konfigurieren, stellen Sie die Richtlinie "Netzwerkzugriff" auf Tunnel zum internen Netzwerk ein. Diese Richtlinie tritt in Kraft, wenn Sie die Netzwerkzugriffsrichtlinie konfigurieren. Verwenden Sie diese Richtlinie außerdem, wenn der Exchange Server im internen Netzwerk ist und wenn NetScaler Gateway als Proxy für den internen Exchange Server verwendet werden soll.

Der Standardwert ist leer, was bedeutet, dass keine Netzwerkdienste im Hintergrund verfügbar sind.

Ticketablauf für Hintergrunddienste

Die Zeitspanne, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Wenn Secure Mail über NetScaler Gateway die Verbindung mit einem Exchange-Server herstellt, auf dem ActiveSync ausgeführt wird, gibt XenMobile ein Token aus, das Secure Mail für die Verbindung mit dem internen Exchange-Server verwendet. Diese Eigenschaft bestimmt, wie lange Secure Mail das Token verwenden kann, ohne ein neues Token für die Authentifizierung und die Verbindung zum Exchange Server zu benötigen. Wenn das Zeitlimit abläuft, müssen Benutzer sich neu anmelden, damit ein neues Token generiert wird. Die Standardeinstellung ist 168 Stunden (7 Tage).

Gateway für Hintergrundnetzwerkdienst

Alternative Gatewayadresse für im Hintergrund ausgeführte Netzwerkdienste in Form von fqdn:port. Dies sind FQDN und Portnummer von NetScaler Gateway, die Secure Mail für die Verbindung mit dem internen Exchange Server-Computer verwendet. Sie müssen im Konfigurationsprogramm für NetScaler Gateway die Secure Ticket Authority (STA) konfigurieren und die Richtlinie an den virtuellen Server binden. Weitere Informationen zum Konfigurieren von STA in NetScaler Gateway finden Sie unter Konfigurieren der Secure Ticket Authority auf NetScaler Gateway.

Der Standardwert ist leer, was bedeutet, dass es kein alternatives Gateway gibt. Wenn Sie diese Richtlinie konfigurieren, stellen Sie die Richtlinie "Netzwerkzugriff" auf Tunnel zum internen Netzwerk ein. Diese Richtlinie tritt in Kraft, wenn Sie die Netzwerkzugriffsrichtlinie konfigurieren. Verwenden Sie diese Richtlinie außerdem, wenn der Exchange Server im internen Netzwerk ist und wenn NetScaler Gateway als Proxy für den internen Exchange Server verwendet werden soll.

Kontakte exportieren

Wichtig: Aktivieren Sie dieses Feature nicht, wenn Benutzer auf den Exchange Server direkt (d. h. außerhalb von NetScaler Gateway) zugreifen. Ansonsten werden auf dem Gerät und in Exchange Kontakte dupliziert.

Bei Einstellung auf Aus wird die unidirektionale Synchronisierung von Secure Mail-Kontakten auf das Gerät sowie die Freigabe von Secure Mail-Kontakten als vCards verhindert. Der Standardwert ist Aus.

Google Analytics

Bei Einstellung von Ein sammelt Citrix anonyme Daten, um die Produktqualität zu verbessern. Bei Einstellung von Aus werden keine Daten gesammelt. Die Standardeinstellung ist Ein.

Methode bei Erstverwendung

Diese Richtlinie gibt an, ob bei der Erstverwendung das Feld "Adresse" im Bereitstellungsbildschirm mit der von MDX angegebenen Mailserveradresse oder mit der E-Mail-Adresse des Benutzers ausgefüllt werden soll.

Der Standardwert ist "Von MDX bereitgestellte Mailserveradresse".

Anmeldeinfo für Erstverwendung

Mit dieser Richtlinie wird der Wert angegeben, der bei der Erstverwendung als Benutzername im Bereitstellungsbildschirm gewählt werden sollte.

Der Standardwert ist Benutzerprinzipalname.

Zugelassene oder blockierte Websites
Secure Web filtert Weblinks normalerweise nicht. Sie können mit dieser Richtlinie eine spezifische Liste zugelassener oder blockierter Sites konfigurieren. Dazu konfigurieren Sie URL-Muster in einer durch Trennzeichen getrennte Liste und beschränken so die Websites, die der Browser öffnen kann. Jedem Muster in der Liste ist ein Pluszeichen (+) oder ein Minuszeichen (-) vorangestellt. Der Browser vergleicht eine URL mit den Mustern in der aufgelisteten Reihenfolge, bis eine Übereinstimmung gefunden wird. Bei Übereinstimmung wird entsprechend dem vorangestellten Zeichen eine der folgenden Aktionen ausgeführt:
  • Bei einem Minuszeichen (-) blockiert der Browser die URL. In diesem Fall wird die URL behandelt, als könnte die Adresse des Webservers nicht aufgelöst werden.
  • Bei einem Pluszeichen (+) wird die URL normal verarbeitet.
  • Wenn weder ein + noch ein - dem Muster vorangestellt sind, wird ein + angenommen und der Zugriff zugelassen.
  • Wenn die URL mit keinem Muster in der Liste übereinstimmt, wird sie zugelassen.
Wenn alle anderen URLs blockiert werden sollen, setzen Sie an den Schluss der Liste ein Minuszeichen gefolgt von einem Sternchen (-*). Beispiel:
  • Durch den Richtlinienwert +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* werden HTTP-URLs innerhalb der Domäne "mycorp.com" zugelassen während alle anderen blockiert werden, alle HTTPS- und FTP-URLS sind zugelassen und alle anderen URLs werden blockiert.
  • Der Richtlinienwert +http://*.training.lab/*,+https://*.training.lab/*,-* ermöglicht Benutzern den Zugriff auf alle Sites innerhalb der Domäne "Training.lab" (Intranet) über HTTP oder HTTPS, aber unabhängig vom Protokoll ist kein Zugriff auf öffentliche URLs wie Facebook, Google, Hotmail usw. möglich.

Der Standardwert ist leer (alle URLs zugelassen).

Vorab geladene Lesezeichen
Definiert einen vorab geladenen Satz Lesezeichen für den Secure Web-Browser. Die Richtlinie ist eine durch Trennzeichen getrennte Liste, die Ordnername, Anzeigename und Webadresse einschließt. Jedes Tripel muss das Format "Ordner,Name,URL" haben, wobei Ordner und Name von doppelten Anführungszeichen (") umschlossen sein können.

Die folgenden Richtlinienwerte definieren beispielsweise drei Lesezeichen: "Mycorp, Inc. home page",http://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",http://www.mycorp.com/IR/Contactus.aspx. Der erste Link ist ein primärer Link (kein Ordnername) mit dem Namen "Mycorp, Inc. home page". Der zweite Link wird in einem Ordner mit dem Namen "MyCorp Links" platziert und trägt die Bezeichnung "Account logon". Der dritte Link wird im Unterordner "Investor Relations" des Ordners "MyCorp Links" platziert und als "Contact us" angezeigt.

Der Standardwert ist leer.

Homepage-URL
Definiert die Website, die beim Starten von Secure Web geladen wird. Der Standardwert ist leer (Standardstartseite).