MDX-Richtlinien für Drittanbieter-Apps für iOS

In diesem Artikel werden die MDX-Richtlinien für iOS-Apps von Drittanbietern beschrieben. Sie können Richtlinieneinstellungen direkt in den XML-Richtliniendateien ändern oder in der Citrix Endpoint Management-Konsole, wenn Sie eine App hinzufügen.

Authentifizierung

Gerätepasscode

Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine PIN oder ein Passcode erforderlich. Ein Gerätepasscode ist für die Verschlüsselung von App-Daten mit der Apple-Dateiverschlüsselung erforderlich. Die Daten für alle Apps auf dem Gerät werden verschlüsselt. Der Standardwert ist Aus.

App-Passcode

Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine PIN oder ein Passcode erforderlich. Der Standardwert ist Ein.

Sie konfigurieren den Inaktivitätstimer für alle Apps, indem Sie auf der Registerkarte Einstellungen unter Clienteigenschaften den Wert INACTIVITY_TIMER in Minuten festlegen. Der Standardwert für den Inaktivitätstimer ist 60 Minuten. Setzen Sie den Wert auf Null, um den Inaktivitätstimer zu deaktivieren, damit eine Eingabeaufforderung für PIN oder Passcode nur beim Start der App angezeigt wird.

Hinweis:

Wenn Sie für die Richtlinie “Verschlüsselungsschlüssel” den Wert Sicherer Offlinezugriff auswählen, wird diese Richtlinie automatisch aktiviert.

Onlinesitzung erforderlich

Maximale Offlinezeit (Stunden)

Legt die maximale Zeit fest, die eine App ausgeführt werden kann, ohne dass der App-Anspruch und die Aktualisierungsrichtlinien von Citrix Endpoint Management neu bestätigt werden müssen. Bei Ablauf wird ggf. die Anmeldung beim Server ausgelöst. Der Standardwert ist 168 Stunden (7 Tage). Der Mindestzeitraum ist 1 Stunde.

Alternatives Citrix Gateway

Hinweis:

In der Endpoint Management-Konsole heißt diese Richtlinie Alternatives NetScaler Gateway.

Adresse eines spezifischen, alternativen Citrix Gateways, das für die Authentifizierung und für Micro-VPN-Sitzungen mit dieser App verwendet werden soll. Dies ist eine optionale Richtlinie, die beim Einsatz mit der Richtlinie “Onlinesitzung erforderlich” eine Neuauthentifizierung von Apps bei dem spezifischen Gateway erzwingt. Solche Gateways haben normalerweise unterschiedliche (höhere Sicherheit) Authentifizierungsanforderungen und Datenverwaltungsrichtlinien. Wenn keine Eingabe erfolgt, wird stets das Standardgateway des Servers verwendet. Der Standardwert ist leer.

Gerätesicherheit

Mit Jailbreak oder Rooting blockieren

Bei der Einstellung Ein wird die App auf einem Gerät mit Jailbreak oder Rooting gesperrt. Bei der Einstellung Aus kann die App auch auf einem Gerät mit Jailbreak oder Rooting ausgeführt werden. Der Standardwert ist Ein.

Netzwerkanforderungen

WiFi erforderlich

Bei der Einstellung Ein wird die App gesperrt, wenn das Gerät nicht mit einem WLAN-Netzwerk verbunden ist. Bei der Einstellung Aus kann die App ausgeführt werden, wenn das Gerät eine aktive Verbindung hat (z. B. 4G/3G, LAN oder WLAN). Der Standardwert ist Aus.

Zulässige Wi-Fi-Netzwerke

Eine durch Trennzeichen getrennte Liste von Wi-Fi-Netzwerken. Wenn der Netzwerkname nicht-alphanumerische Zeichen (einschließlich Kommas) enthält, muss der Name in doppelte Anführungszeichen gesetzt werden. Die App wird nur ausgeführt, wenn sie mit einem aufgelisteten Netzwerk verbunden ist. Wenn das Feld leer ist, sind alle Netzwerke zulässig. Verbindungen mit Mobilfunknetzen sind nicht betroffen. Der Standardwert ist leer.

Sonstiger Zugriff

Kulanzzeitraum für App-Update (Stunden)

Legt den Kulanzzeitraum fest, in dem eine App weiterhin verwendet werden kann, nachdem das System ein verfügbares App-Update erkannt hat. Der Standardwert ist 168 Stunden (7 Tage).

Hinweis:

Der Wert Null sollte nicht verwendet werden, da Benutzer sonst sofort ohne Warnung daran gehindert werden, eine laufende App zu verwenden, bis das Update heruntergeladen und installiert wurde. In diesem Fall kann es vorkommen, dass Benutzer gezwungen werden, die App zu beenden und dabei u. U. Arbeit verlieren, damit das erforderliche Update erfolgen kann.

App-Daten bei Sperren löschen

Löscht die Daten und setzt die App zurück, wenn diese gesperrt ist. Bei der Einstellung Aus werden Anwendungsdaten nicht gelöscht, wenn die App gesperrt wird. Der Standardwert ist Aus.

Eine App kann aus einem der folgenden Gründe gesperrt werden:

  • Verlust des App-Anspruchs des Benutzers
  • App-Abonnement wurde entfernt
  • Konto wurde entfernt
  • Secure Hub wurde deinstalliert
  • Zu viele Fehler bei der App-Authentifizierung
  • Gerät mit Jailbreak erkannt (entsprechend der Richtlinieneinstellung)
  • Gerät wurde durch andere administrative Aktion gesperrt

Aktives Abfrageintervall (Minuten)

Beim Start einer App fragt das MDX Framework Citrix Endpoint Management ab, um den aktuellen Status der App und des Geräts zu ermitteln. Wenn Endpoint Management erreichbar ist, gibt das Framework Informationen über den Status des Geräts (gesperrt oder gelöscht) und den Status der App (aktiviert oder deaktiviert) zurück. Unabhängig davon, ob der Server erreichbar ist, wird eine weitere Abfrage basierend auf dem aktiven Abfrageintervall geplant. Nachdem die Zeit abgelaufen ist, wird eine neue Abfrage gestartet. Der Standardwert ist 60 Minuten (1 Stunde).

Wichtig:

Stellen Sie diesen Wert nur für risikoreiche Apps niedriger ein, da andernfalls die Leistung beeinträchtigt werden kann.

Verschlüsselung

Verschlüsselungstyp

Hier können Sie auswählen, ob die Verschlüsselung von Daten entweder durch MDX oder die Geräteplattform verarbeitet wird. Wenn Sie MDX-Verschlüsselungauswählen, verschlüsselt MDX die Daten. Wenn Sie Plattformverschlüsselung mit Durchsetzen der Complianceauswählen, verschlüsselt die Geräteplattform die Daten. Bei vorhandenen Apps ist der Standardwert MDX-Verschlüsselung, bis er in Plattformverschlüsselung mit Durchsetzen der Compliancegeändert wird. Bei Apps, die Sie neu veröffentlichen, ist der Standardwert Plattformverschlüsselung mit Durchsetzen der Compliance.

Achtung:

Wenn Sie bei neu hinzugefügten Apps von Plattformverschlüsselung mit Durchsetzen der Compliance zu MDX-Verschlüsselung wechseln, müssen Sie die App entfernen und neu installieren.

Verhalten für nicht richtlinientreue Geräte

Ermöglicht Ihnen, eine Aktion auszuwählen, wenn ein Gerät die Mindestanforderungen an die Verschlüsselung nicht erfüllt. Wählen Sie App zulassen, damit die App normal ausgeführt werden kann. Wählen Sie App nach Warnung zulassen, damit die App ausgeführt werden kann, nachdem die Warnung angezeigt wird. Wählen Sie Blockieren, um das Ausführen der App zu verhindern. Der Standardwert ist App nach Warnung zulassen.

MDX-Verschlüsselung aktivieren

Bei der Einstellung Aus werden die auf dem Gerät gespeicherten Daten nicht verschlüsselt. Bei der Einstellung Ein werden die auf dem Gerät gespeicherten Daten verschlüsselt. Der Standardwert ist Ein.

Achtung:

Wenn Sie diese Richtlinie nach der Bereitstellung einer App ändern, müssen die Benutzer die App neu installieren.

Ausnahmen für Datenbankverschlüsselung

Ausschlussliste der Datenbanken, die nicht automatisch verschlüsselt werden. Wenn Sie die Verschlüsselung einer bestimmten Datenbank verhindern möchten, fügen Sie sie dieser durch Kommas getrennten Liste regulärer Ausdrücke hinzu. Wenn der Pfadname einer Datenbank mit einem der regulären Ausdrücke übereinstimmt, wird die Datenbank von der Verschlüsselung ausgeschlossen. Die Ausschlussmuster unterstützen die durch Posix 1003.2 definierte Syntax mit erweiterten regulären Ausdrücken. Beim Musterabgleich ist die Groß-/Kleinschreibung unerheblich.

Beispiele

\.db$,\.sqlite$ führt zum Ausschluss der Pfadnamen aller Datenbanken, die auf “.db” oder “.sqlite” enden.

\/Database\/unencrypteddb\.db stimmt mit der Datenbank unencrypteddb.db im Datenbankunterordner überein.

\/Database\/ stimmt mit allen Datenbanken überein, deren Pfad /Database/ enthält.

Der Standardwert ist leer.

Ausnahmen für Dateiverschlüsselung

Ausschlussliste der Dateien, die nicht automatisch verschlüsselt werden. Wenn Sie die Verschlüsselung bestimmter Dateien verhindern möchten, fügen Sie einen Eintrag zu dieser durch Kommas getrennten Liste regulärer Ausdrücke hinzu. Wenn Pfadname einer Datei mit einem der regulären Ausdrücke übereinstimmt, dann wird die Datei von der Verschlüsselung ausgeschlossen. Die Ausschlussmuster unterstützen die durch Posix 1003.2 definierte Syntax mit erweiterten regulären Ausdrücken. Beim Musterabgleich ist die Groß-/Kleinschreibung unerheblich.

Beispiele

\.log$,\.dat$ schließt alle Dateipfadnamen aus, die auf “.log” oder “.dat” enden.

\/Documents\/unencrypteddoc\.txt stimmt mit dem Inhalt der Datei unencrypteddoc.txt im Unterordner “Documents” überein.

\/Documents\/UnencryptedDocs\/.*\.txt stimmt mit TXT-Dateien im Unterpfad /Documents/UnencryptedDocs/ überein.

Der Standardwert ist leer.

Sicherheitsgruppe

Lassen Sie dieses Feld leer, wenn alle von Endpoint Management verwalteten mobilen Apps Informationen miteinander austauschen sollen. Definieren Sie einen Sicherheitsgruppennamen, um die Sicherheitseinstellungen für bestimmte Gruppen von Apps zu verwalten (z. B. Buchhaltung oder Personalabteilung).

Achtung:

Um diese Richtlinie auf eine bestehende App anzuwenden, müssen die Benutzer die App löschen und neu installieren.

Interaktion von Apps

Ausschneiden und Kopieren

Blockiert, erlaubt oder beschränkt Ausschneide- und Kopiervorgänge über die Zwischenablage für diese App. Bei Eingeschränkt werden die kopierten Zwischenablagedaten in einer privaten Zwischenablage gespeichert, die nur für MDX-Apps verfügbar ist. Der Standardwert ist Eingeschränkt.

Einsetzen

Blockiert, erlaubt oder beschränkt Einfügevorgänge über die Zwischenablage für diese App. Bei Eingeschränkt werden die Daten aus einer privaten Zwischenablage eingefügt, die nur für MDX-Apps verfügbar ist. Der Standardwert ist Uneingeschränkt.

Dokumentaustausch (Öffnen in)

Blockiert, erlaubt oder beschränkt den Dokumentaustausch für die App. Bei Auswahl von Eingeschränkt können Dokumente nur mit anderen MDX-Apps ausgetauscht werden.

Wenn Uneingeschränkt festgelegt wird, legen Sie die Richtlinie “Verschlüsselung aktivieren” auf Ein fest, damit die Benutzer Dokumente in nicht umschlossenen Apps öffnen können. Wenn die empfangende App nicht umschlossen ist oder ihre Verschlüsselung deaktiviert ist, entschlüsselt Citrix Endpoint Management das Dokument. Der Standardwert ist Eingeschränkt.

Ausnahmeliste für eingeschränktes Öffnen

Wenn für “Dokumentaustausch (Öffnen in)” die Einstellung Eingeschränkt festgelegt ist, kann eine MDX-App Dokumente für nicht verwaltete Apps in dieser durch Trennzeichen getrennten Liste mit App-IDs freigeben, selbst wenn für “Dokumentaustausch (Öffnen in)” die Einstellung Eingeschränkt und für die Richtlinie “Verschlüsselung aktivieren” die Einstellung Ein festgelegt ist. Die Standardausnahmeliste lässt Office 365-Apps zu:

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

Nur Office 365-Apps werden für diese Richtlinie unterstützt.

Achtung:

Berücksichtigen Sie die Auswirkungen dieser Richtlinie auf die Sicherheit. Durch die Ausnahmeliste können Inhalte zwischen nicht verwalteten Apps und der MDX-Umgebung übermittelt werden.

Eingehender Dokumentaustausch (Öffnen in)

Blockiert, erlaubt oder beschränkt den Austausch für eingehende Dokumente für die App. Bei Auswahl von Eingeschränkt können Dokumente nur mit anderen MDX-Apps ausgetauscht werden. Der Standardwert ist Uneingeschränkt.

Wenn Blockiert oder Eingeschränkt festgelegt wird, können Sie in der Positivliste für Austausch eingehender Dokumente Apps angeben, die Dokumente an diese App senden dürfen.

Optionen: Uneingeschränkt, Blockiert oder Eingeschränkt

App-URL-Schemas

iOS-Apps können URL-Anfragen an andere Apps senden, die für die Behandlung bestimmter Schemata registriert wurden, z. B. “http://”. Dadurch können Apps Supportanfragen an andere Apps weitergeben. Diese Richtlinie dient dazu, die Schemata (eingehende URLs) zu filtern, die eine App zur Behandlung erhält. Der Standardwert ist leer, d. h. alle URL-Schemas von registrierten Apps werden blockiert.

Die Richtlinie muss als eine durch Trennzeichen getrennte Liste mit Mustern formatiert sein, in der vor jedem Muster ein Pluszeichen (+) oder ein Minuszeichen (-) steht. Eingehende URLs werden mit den Mustern in der aufgelisteten Reihenfolge verglichen, bis eine Übereinstimmung gefunden wird. Nach dem Abgleich wird die durchgeführte Aktion durch das Präfix diktiert.

  • Ist das Präfix ein Minuszeichen (-), wird die Weitergabe der URL an die App blockiert.
  • Ist das Präfix ein Pluszeichen (+), wird die URL an die App zur Behandlung weitergegeben.
  • Wenn weder ein + noch ein - dem Muster vorangestellt sind, wird ein + angenommen und der Zugriff zugelassen.
  • Wenn eine eingehende URL mit keinem Muster in der Liste übereinstimmt, ist sie blockiert.

Die folgende Tabelle enthält Beispiele für App-URL-Schemata:

Schema App, die das URL-Schema erfordert Zweck
ctxmobilebrowser Secure Web- Erlaubt Secure Web das Verarbeiten von HTTP-URLs von anderen Apps.-
ctxmobilebrowsers Secure Web- Erlaubt Secure Web das Verarbeiten von HTTPS-URLs von anderen Apps.
ctxmail Secure Mail- Erlaubt Secure Mail das Verarbeiten von mailto-URLs von anderen Apps.
COL-G2M GoToMeeting- Erlaubt einer umschlossenen GoToMeeting-App das Verarbeiten von Besprechungsanfragen.
ctxsalesforce Citrix für Salesforce- Erlaubt Citrix für Salesforce Anfragen für Salesforce zu verarbeiten.
wbx WebEx Erlaubt einer umschlossenen WebEx-App das Verarbeiten von Besprechungsanfragen.

App-Interaktion (ausgehende URL)

Von der URL-Filterung ausgeschlossene Domänen

Diese Richtlinie schließt ausgehende URLs von der Filterung durch “Zulässige URLs” aus. Fügen Sie eine durch Trennzeichen getrennte Liste vollqualifizierter Domänennamen (FQDN) oder DNS-Suffixe hinzu, die von der Filterung durch “Zulässige URLs” ausgeschlossen werden. Wenn die Richtlinie leer ist (Standardeinstellung), verarbeitet der definierte Filter “Zulässige URLs” alle URLs. Wenn die Richtlinie Einträge enthält, werden nur die URLs, deren Hostfelder mit mindestens einem Element in der Liste übereinstimmen (per DNS-Suffixvergleich), unverändert an iOS gesendet, wobei der Filter “Zulässige URLs” umgangen wird. Der Standardwert ist leer.

Zulässige URLs

iOS-Apps können URL-Anfragen an andere Anwendungen senden, die für die Behandlung bestimmter Schemata registriert wurden, z. B. "http://". Dadurch können Apps Supportanfragen an andere Apps weiterleiten. Diese Richtlinie dient dazu, die URLs zu filtern, die von dieser App an andere Apps übergeben werden (ausgehende URLs).

Die Richtlinie muss als eine durch Trennzeichen getrennte Liste mit Mustern formatiert sein, in der vor jedem Muster ein Pluszeichen (+) oder ein Minuszeichen (-) steht. Ausgehende URLs werden mit den Mustern in der aufgelisteten Reihenfolge verglichen, bis eine Übereinstimmung gefunden wird. Nach dem Abgleich wird die durchgeführte Aktion durch das Präfix diktiert. Ein Minuszeichen (-) blockiert die Übergabe der URL an eine andere App. Ein Pluszeichen (+) gestattet die Übergabe der URL an eine andere App zur Behandlung. Wenn weder ein + noch ein - dem Muster vorangestellt sind, wird ein + angenommen und der Zugriff zugelassen. Ein durch “=” getrenntes Wertepaar bedeutet eine Ersetzung, wobei Vorkommen der ersten Zeichenfolge durch die zweite Zeichenfolge ersetzt werden. Sie können mit dem Präfix “^” nach einer Zeichenfolge suchen und sie am Anfang der URL verankern. Wenn eine ausgehende URL mit keinem Muster in der Liste übereinstimmt, wird sie blockiert.

Standard

+maps.apple.com

+itunes.apple.com

^http:=ctxmobilebrowser:

^https:=ctxmobilebrowsers:

^mailto:=ctxmail:

+^citrixreceiver:

+^telprompt:

+^tel:

+^lmi-g2m:

+^maps:ios_addr

+^mapitem:

+^sms:

+^facetime:

+^ctxnotes:

+^ctxnotesex:

+^ctxtasks:

+^facetime-audio:

+^itms-apps:

+^ctx-sf:

+^sharefile:

+^lync:

+^slack:

Wenn diese Einstellung leer gelassen wird, werden alle URLs mit Ausnahme der folgenden blockiert:

  • http:
  • https:
  • +citrixreceiver: +tel:

Die folgende Tabelle enthält Beispiele für zugelassene URLs:

URL-Format Beschreibung
^mailto:=ctxmail: Alle mailto-URLs werden in Secure Mail geöffnet.
^http: Alle HTTP-URLs werden in Secure Web geöffnet.
^https: Alle HTTPS-URLs werden in Secure Web geöffnet.
^tel: Zulassen, dass Benutzer Anrufe tätigen.
-//www.dropbox.com Blockiert Dropbox-URLs, die von verwalteten Apps gesendet werden.
+^COL-G2M: Erlaubt verwalteten Apps das Öffnen der GoToMeeting Client-App.
-^SMS: Blockiert die Verwendung eines Chat-Clients für Messaging.
-^wbx: Hindert verwaltete Apps am Öffnen der WebEx-Client-App.
+^ctxsalesforce: Erlaubt Citrix für Salesforce mit Ihrem Salesforce-Server zu kommunizieren.

Zulässige Secure Web-Domänen

Diese Richtlinie betrifft nur Einträge in der Richtlinie “Zulässige URLs”, die eine URL an die Secure Web-App umleiten (^ http:=ctxmobilebrowser: und ^https:=ctxmobilebrowsers:). Fügen Sie eine durch Trennzeichen getrennte Liste vollqualifizierter Domänennamen (FQDN) oder DNS-Suffixe hinzu, für die das Umleiten an die Secure Web-App zulässig ist. Wenn diese Richtlinie leer ist (Standardeinstellung), werden alle Domänen an die Secure Web-App umgeleitet. Wenn die Richtlinie Einträge enthält, werden nur die URLs, deren Hostfelder mit mindestens einem Element in der Liste übereinstimmen (per DNS-Suffixvergleich), an die Secure Web-App umgeleitet. Alle anderen URLs werden unverändert an iOS gesendet, wobei die Secure Web-App umgangen wird. Der Standardwert ist leer.

App-Einschränkungen

Wichtig:

Berücksichtigen Sie die Auswirkungen auf die Sicherheit bei Richtlinien, die Apps am Zugreifen auf oder Verwenden von Telefonfunktionen hindern. Wenn diese Richtlinien auf Aus festgelegt sind, können Inhalte zwischen nicht verwalteten Apps und der Secure-Umgebung übermittelt werden.

Kamera blockieren

Bei der Einstellung Ein wird der direkte Zugriff einer App auf die Hardware einer Kamera verhindert. Der Standardwert ist AUS.

Fotobibliothek blockieren

Bei der Einstellung Ein wird der Zugriff einer App auf den Katalog des Geräts blockiert. Der Standardwert ist Ein.

Mikrofonaufnahmen blockieren

Bei der Einstellung Ein wird der direkte Zugriff einer App auf die Hardware des Mikrofons verhindert. Der Standardwert ist Ein.

Diktat blockieren

Bei der Einstellung Ein hat eine App keinen direkten Zugriff auf Diktierdienste. Der Standardwert ist Ein.

Positionsdienste blockieren

Bei der Einstellung Ein wird der Zugriff einer App auf Positionsdienstekomponenten (GPS oder Netzwerk) verhindert. Die Standardeinstellung ist Aus für Secure Mail.

Verfassen von SMS blockieren

Mit Ein wird der Zugriff einer App auf die SMS-Erstellungsfunktion verhindert, die zum Senden von SMS bzw. Textnachrichten von der App dient. Die Standardeinstellung ist Ein.

Verfassen von E-Mails blockieren

Bei der Einstellung Ein wird der Zugriff einer App auf die E-Mail-Erstellungsfunktion verhindert, die zum Senden von E-Mail-Nachrichten von der App dient. Die Standardeinstellung ist Ein.

iCloud blockieren

Bei der Einstellung Ein hat eine App keinen Zugriff auf iCloud zum Speichern und Freigeben von Einstellungen und Daten.

Hinweis:

iCloud-Datendateibackup wird durch die Richtlinie “Dateibackup blockieren” gesteuert.

Der Standardwert ist Ein.

Lookup blockieren

Bei der Einstellung Ein wird verhindert, dass eine App das Lookup-Feature verwendet. Dieses Feature sucht nach hervorgehobenem Text im Wörterbuch, App Store, in iTunes, Kinozeiten, in der Nähe gelegenen Orten usw. Der Standardwert ist Ein.

Dateibackup blockieren

Bei der Einstellung Ein wird die Sicherung von Datendateien durch iCloud oder iTunes verhindert. Der Standardwert ist Ein.

AirPrint blockieren

Bei der Einstellung Ein wird das Drucken mit AirPrint-Funktionen auf AirPrint-aktivierten Druckern verhindert. Der Standardwert ist Ein.

AirDrop blockieren

Bei der Einstellung Ein hat eine App keinen Zugriff auf AirDrop. Der Standardwert ist Ein.

Facebook- und Twitter-APIs blockieren

Bei Ein wird die Verwendung der iOS Facebook- und Twitter-APIs durch eine App verhindert. Der Standardwert ist Ein.

Bildschirminhalt verbergen

Bei Ein wird der Bildschirminhalt verborgen, wenn Benutzer Apps wechseln. Diese Richtlinie verhindert, dass iOS Bildschirminhalt aufzeichnet und Miniaturansichten anzeigt. Der Standardwert ist Ein.

Tastaturen von Drittanbietern blockieren (nur iOS 11 oder später)

Bei Ein wird verhindert, dass eine App Tastaturerweiterungen von Drittanbietern auf Geräten mit iOS 8+ verwendet. Der Standardwert ist Ein.

App-Protokolle blockieren

Die Einstellung Ein verhindert, dass die App die Diagnoseprotokollierung für mobile Produktivitätsapps verwendet. Bei der Einstellung Aus werden App-Protokolle aufgezeichnet und können mit dem E-Mail-Supportfeature von Secure Hub gesammelt werden. Der Standardwert ist Aus.

App-Netzwerkzugriff

Netzwerkzugriff

Hinweis:

Tunnel - Web-SSO ist der Name für Secure Browse in den Einstellungen. Das Verhalten ist dasselbe.

Es gibt folgende Einstellungsoptionen:

  • Vorherige Einstellungen verwenden: Standardmäßig werden die Werte aus früheren Richtlinien verwendet. Wenn Sie diese Option ändern, sollten Sie nicht auf Vorherige Einstellungen verwenden zurückkehren. Beachten Sie auch, dass Änderungen an den neuen Richtlinien erst wirksam werden, nachdem der Benutzer die App auf Version 18.12.0 oder später aktualisiert.
  • Blockiert: Bei dieser Einstellung wird der gesamte Netzwerkzugriff blockiert. Vernetzung APIs verwendet von Ihrem App werden Scheitern . Ein solcher Fehler sollte gemäß der o. a. Richtlinie durch ein kontrolliertes Beenden der App behandelt werden.
  • Uneingeschränkt: Alle Netzwerkaufrufe gehen direkt und sind nicht getunnelt.
  • Tunnel - Vollständiges VPN: Der gesamte Datenverkehr der verwalteten App wird über den Citrix Gateway-Tunnel geleitet.
  • Tunnel - Web-SSO: Die HTTP/HTTPS-URL wird neu geschrieben. Diese Option erlaubt nur das Tunneln von HTTP- und HTTPS-Datenverkehr. Große Vorteile von Tunnel - Web-SSO sind Single Sign-On (SSO) für HTTP- und HTTPS-Datenverkehr und die PKINIT-Authentifizierung. Unter Android ist die Einrichtung dieser Option mit geringem Mehraufwand verbunden, es bildet daher die bevorzugte Option für Webbrowsingvorgänge.
  • Tunnel - Vollständiges VPN und Web-SSO: Ermöglicht bei Bedarf den automatischen Wechsel zwischen VPN-Modi. Wenn eine Netzwerkanfrage fehlschlägt, weil eine Authentifizierungsanfrage nicht im gewählten VPN-Modus verarbeitet werden kann, wird ein anderer Modus versucht.

Wenn ein Tunnelmodus ausgewählt ist, wird ein appspezifischer VPN-Tunnel in diesem Anfangsmodus zurück zum Unternehmensnetzwerk erstellt, und es werden Einstellungen zum Split-Tunneling in Citrix Gateway verwendet. Citrix empfiehlt die Einstellung Tunnel - Vollständiges VPN für Verbindungen, die Clientzertifikate oder End-To-End-SSL für Ressourcen im Unternehmensnetzwerk einsetzen. Citrix empfiehlt den Modus Tunnel - Web-SSO für Verbindungen, die Single Sign-On (SSO) erfordern.

Micro-VPN-Sitzung erforderlich

Bei der Einstellung Ja muss der Benutzer eine Verbindung zum Unternehmensnetzwerk und eine aktive Sitzung haben. Bei der Einstellung Nein ist eine aktive Sitzung nicht erforderlich. Der Standardwert ist Vorherige Einstellung verwenden. Bei neu hochgeladenen Apps ist der Standardwert Nein. Die vor dem Upgrade auf diese neue Richtlinie gewählte Einstellung bleibt wirksam, bis eine andere Option als Vorherige Einstellung verwenden ausgewählt wurde.

Kulanzzeitraum für erforderliche Micro-VPN-Sitzung (Minuten)

Dieser Wert legt fest, wie viele Minuten ein Benutzer die App offline verwenden kann, bevor durch die Richtlinie “Onlinesitzung erforderlich” ein Validieren der Onlinesitzung erzwungen wird und erst danach die App weiter verwendet werden kann. Der Standardwert ist 0 (kein Kulanzzeitraum). Diese Richtlinie gilt nicht für die Integration in Microsoft Intune/EMS.

Zertifikatbezeichnung

Bei Verwendung mit dem StoreFront-Zertifikatintegrationsdienst identifiziert diese Bezeichnung das für diese App erforderliche Zertifikat. Wenn keine Bezeichnung angegeben wird, wird kein Zertifikat für die Public Key-Infrastruktur (PKI) zur Verfügung gestellt. Der Standardwert ist leer (kein Zertifikat verwendet).

Ausschlussliste

Durch Trennzeichen getrennte Liste mit vollqualifizierten Domänennamen (FQDN) oder DNS-Suffixen, auf die direkt und nicht über eine VPN-Verbindung zugegriffen wird. Sie gilt nur im Tunnel - Web-SSO-Modus, wenn Citrix Gateway im umgekehrten Split-Tunnel-Modus konfiguriert ist.

App-Protokolle

Standardprotokollausgabe

Legt fest, welche Ausgabemedien standardmäßig von der Diagnoseprotokollierung für mobile Produktivitätsapps verwendet werden. Optionen sind “Datei”, “Konsole” oder “Beides”. Der Standardwert ist Datei.

Standardprotokollebene

Steuert den Standarddetailgrad der Diagnoseprotokollierung für mobile Produktivitätsapps. Jede Ebene schließt die niedrigeren Ebenen ein. Bereich der möglichen Ebenen umfasst:

  • 0 – Nichts protokolliert
  • 1 – Schwerer Fehler
  • 2 – Fehler
  • 3 – Warnungen
  • 4 – Informationsmeldungen
  • 5 – Detaillierte Informationsmeldungen
  • 6 bis 15 – Debugstufen 1 bis 10

Der Standardwert ist Stufe ist 4 (Informationsmeldungen).

Max. Protokolldateien

Beschränkt die Anzahl der von der Diagnoseprotokollierung für mobile Produktivitätsapps beibehaltenen Protokolldateien, bevor sie überschrieben werden. Das Minimum ist 2. Das Maximum ist 8. Der Standardwert ist 2.

Max. Größe der Protokolldatei

Beschränkt die Größe (in MB) der von der Diagnoseprotokollierung für mobile Produktivitätsapps beibehaltenen Protokolldateien, bevor sie überschrieben werden. Der Mindestwert ist 1 MB. Der Höchstwert ist 5 MB. Der Standardwert ist 2 MB.

Systemprotokolle umleiten

Mit Ein werden System- oder Konsolenprotokolle von einer App abgefangen und an die Diagnoseprotokollierung für mobile Produktivitätsapps umgeleitet. Mit Aus wird die Verwendung von System- oder Konsolenprotokollen durch die App nicht unterbrochen.

Der Standardwert ist Ein.

App-Geofence

Längengrad von Mittelpunkt

Längengrad (X-Koordinate) des Mittelpunkts des Punkt- bzw. Radius-Geofence, auf den die Funktion der App beschränkt ist. Außerhalb des Geofence wird die App gesperrt.

Der Wert wird als Dezimalgrad (DDD.dddd) angegeben, z. B. “-31.9635”. Westlichen Längengradangaben muss ein Minuszeichen vorangestellt werden. Der Standardwert ist 0.

Breitengrad von Mittelpunkt

Breitengrad (Y-Koordinate) des Mittelpunkts des Punkt- bzw. Radius-Geofence, auf den die Funktion der App beschränkt ist. Außerhalb des Geofence wird die App gesperrt.

Der Wert wird als Dezimalgrad (DDD.dddd) angegeben, z. B. “43.06581”. Südlichen Breitengradangaben muss ein Minuszeichen vorangestellt werden. Der Standardwert ist 0.

Radius

Radius des Geofence, auf den die Funktion der App beschränkt ist. Außerhalb des Geofence wird die App gesperrt.

Der Radius wird in Metern angegeben. Mit Null wird der Geofence deaktiviert. Wenn die Richtlinie “Positionsdienste blockieren” aktiviert ist, funktioniert Geofencing nicht richtig. Der Standardwert ist 0 (deaktiviert).

Analytics

Google Analytics-Detailgrad

Citrix sammelt Analysedaten, um die Produktqualität zu verbessern. Durch Auswählen von Anonym werden Informationen ausgelassen, die Ihr Unternehmen identifizieren. Die Standardeinstellung ist Vollständig.

Berichterstellung

Citrix-Berichterstellung

Bei der Einstellung Ein sammelt Citrix Absturzberichte und Diagnosedaten zur Behandlung von Problemen. Bei der Einstellung Aus sammelt Citrix keine Daten.

Hinweis:

Citrix steuert dieses Feature u. U. auch mit einem Featureflag. Das Featureflag und diese Richtlinie müssen beide aktiviert sein, damit dieses Feature funktioniert.

Der Standardwert ist Aus.

Uploadtoken

Sie können über Ihr CIS-Konto (Citrix Insight Services) einen Uploadtoken beziehen. Wenn Sie diesen optionalen Token angeben, gibt CIS Ihnen Zugriff auf Absturzberichte und Diagnoseinformationen, die von Ihren Geräten hochgeladen wurden. Citrix hat Zugriff auf die gleichen Informationen. Der Standardwert ist leer.

Berichte nur über WLAN senden

Mit der Einstellung Ein sendet Citrix Absturzberichte und Diagnoseinformationen nur, wenn Sie mit einem Wi-Fi-Netzwerk verbunden sind. Der Standardwert ist Ein.

Maximum für Berichterstellungsdateicache

Beschränkt die Größe der Absturzberichte und Diagnosepakete, die beibehalten werden, bevor der Cache gelöscht wird. Der Mindestwert ist 1 MB. Der Höchstwert ist 5 MB. Der Standardwert ist 2 MB.