Directivas de SDK de MAM para aplicaciones iOS de terceros

En este artículo se describen las directivas de SDK de MAM para aplicaciones iOS de terceros. Puede cambiar las configuraciones de directiva directamente en los archivos XML de directivas o en la consola Citrix Endpoint Management cuando agrega las aplicaciones.

Acceso a red de las aplicaciones

Acceso de red

Nota:

SSO web en túnel es el nombre de Secure Browser en los parámetros. El comportamiento es el mismo.

Las opciones de configuración son las siguientes:

  • Bloqueada: Las API de red utilizadas por la aplicación fallan. Como se indica en la directriz anterior, debe poder gestionar correctamente dicho fallo.
  • Sin restricciones: Todas las llamadas de red se envían directamente, no por túnel.
  • SSO web en túnel: Se reescribe la URL de HTTP/HTTPS. Esta opción solo permite el envío por túnel del tráfico HTTP y HTTPS. Una ventaja considerable de SSO web en túnel es la autenticación PKINIT y el tipo de inicio de sesión Single Sign-On (SSO) para el tráfico HTTP y HTTPS. En Android, esta opción no consume muchos recursos. Por lo tanto, es la opción preferida para operaciones del tipo exploración web.

Autenticación

Código de acceso de aplicación

Si la directiva está activada, se requiere un PIN o un código de acceso para desbloquear la aplicación cuando ésta se inicia o se reanuda después de un periodo de inactividad. El valor predeterminado es Activado.

Para configurar el temporizador de inactividad de todas las aplicaciones, establezca el valor de INACTIVITY_TIMER en minutos en Propiedades de cliente en la ficha Parámetros. El valor predeterminado del temporizador de inactividad es 60 minutos. Para inhabilitar el temporizador de inactividad, de modo que la petición de PIN o código de acceso aparezca solo cuando se inicie la aplicación, establezca un valor de cero.

Nota:

Si selecciona Acceso seguro sin conexión en la directiva Claves de cifrado, esta directiva se activa automáticamente.

Periodo máximo sin conexión (horas)

Define el período de tiempo máximo que una aplicación puede ejecutarse sin tener que volver a confirmar los derechos para la aplicación y las directivas de actualización desde Citrix Endpoint Management. Una vez transcurrido este periodo de tiempo, se puede provocar un inicio de sesión en el servidor si es necesario. El valor predeterminado es 168 horas (7 días). El período mínimo de tiempo es 1 hora.

Registros de aplicaciones

Salida de registros predeterminada

Determina los medios de salida predeterminados que utilizarán las funciones de registro de diagnósticos de las aplicaciones móviles de productividad. Las opciones disponibles son “archivo”, “consola” o ambos: “archivo,consola”. La opción predeterminada es archivo.

Nivel de registro predeterminado

Controla el nivel predeterminado de detalle del registro que ofrece la función de registro de diagnósticos de las aplicaciones móviles de productividad. Cada nivel incluye niveles de valores menores. Los niveles posibles son:

  • 0 - Nothing logged (Nada registrado)
  • 1 - Critical errors (Errores críticos)
  • 2 - Errors (Errores)
  • 3 - Warnings (Advertencias)
  • 4 - Informational messages (Mensajes informativos)
  • 5 - Detailed informational messages (Mensajes informativos detallados)
  • De 6 a 15 - Debug levels 1 through 10 (Niveles de depuración del 1 al 10)

El valor predeterminado es el nivel 4 (mensajes informativos).

Máximo de archivos de registros

Limita la cantidad de archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 2. El valor máximo es 8. El valor predeterminado es 2.

Tamaño máximo de archivo de registros

Limita el tamaño en megabytes (MB) de los archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 1 MB. El valor máximo es 5 MB. El valor predeterminado es 2 MB.

Ocultar las URL en los registros

Si está activada, intercepta y redirige los registros del sistema o de la consola desde una aplicación a la función de diagnósticos de las aplicaciones móviles de productividad. Si está desactivada, no intercepta el uso de registros de consola o de sistema por la aplicación.

El valor predeterminado es Activado.

Bloquear registros de aplicaciones

Si está activada, impide que una aplicación use la función de captura de registros de diagnóstico de las aplicaciones móviles de productividad. Si está desactivada, los registros de la aplicación se capturan y se pueden recopilar con la función de soporte para correo que tiene Secure Hub. El valor predeterminado es Desactivado.

Interacción entre aplicaciones

Cortar y pegar

Bloquea, permite o restringe las operaciones de corte y copia en el portapapeles para esta aplicación. Si tiene el valor Restringido, los datos de portapapeles copiados se colocan en un portapapeles privado que solo está disponible para las aplicaciones. El valor predeterminado es Restringido.

Pegar

Bloquea, permite o restringe las operaciones de pegado del portapapeles para esta aplicación. Si tiene el valor Restringido, los datos de portapapeles pegados se extraen de un portapapeles privado que solo está disponible para las aplicaciones. El valor predeterminado es Sin restricciones.

Intercambio de documentos (Abrir en)

Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para la aplicación. Cuando se establece en Restringido, los documentos solo se pueden intercambiar con otras aplicaciones.

Cuando se establece en Sin restricciones, debe activar las directivas “Cifrado de archivos privados” y “Cifrado de archivos públicos” para que los usuarios puedan abrir documentos en aplicaciones no empaquetadas. Si la aplicación que recibe el documento no está empaquetada o tiene inhabilitado el cifrado, Citrix Endpoint Management descifra el documento. El valor predeterminado es Restringido.

Lista de excepciones de la apertura restringida

Cuando la directiva “Intercambio de documentos (Abrir en)” tiene el valor Restringido, una aplicación puede compartir documentos con las aplicaciones de esta lista de ID de aplicaciones no administradas, separados por comas, aunque dicha directiva tenga el valor Restringido y la directiva Habilitar cifrado esté activada. La lista de excepciones predeterminada permite las aplicaciones de Office 365:

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

Solo se admiten aplicaciones de Office 365 para esta directiva.

Precaución:

Tenga en cuenta las implicaciones de seguridad de esta directiva. Esta lista de excepciones permite que el contenido viaje entre aplicaciones no administradas y el entorno de SDK de MAM.

Intercambio de documentos entrantes (Abrir en)

Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para la aplicación. Si tiene el valor Restringido, los documentos solo se pueden intercambiar con otras aplicaciones. El valor predeterminado es Sin restricciones.

Si tiene el valor Bloqueado o Restringido, puede usar la directiva “Lista de intercambio de documentos entrantes permitidos” para indicar las aplicaciones que pueden enviar documentos a la aplicación.

Nota:

La directiva “Lista blanca de intercambio de documentos entrantes” solo admite dispositivos con iOS 12.

Opciones: Sin restricciones, Bloqueado o Restringido.

Esquemas de URL de aplicaciones

Las aplicaciones iOS pueden enviar solicitudes URL a otras aplicaciones registradas para gestionar esquemas específicos, (como “http://”). Esta función proporciona un mecanismo para que una aplicación pueda transferir solicitudes de ayuda a otra aplicación. Esta directiva sirve para filtrar los esquemas que se transfieren a la aplicación para que los gestione (es decir, direcciones URL de entrada). El valor predeterminado está vacío, lo que significa que se bloquean todos los esquemas de URL de aplicaciones registradas.

La directiva debe tener el formato de una lista de patrones, separada por comas, donde cada patrón puede ir precedido de un signo más “+” o un signo menos “-“. Las direcciones URL entrantes se comparan con estos patrones en el orden indicado hasta que se produce una coincidencia. Una vez encontrada una coincidencia, el prefijo dicta la acción a seguir.

  • Con el signo menos (-) se bloquea el paso de la dirección URL a la aplicación.
  • Con el signo más (+) se permite el paso de la dirección URL a la aplicación, para que lo gestione.
  • Si no figura ningún signo “+” o signo “-“ como prefijo del patrón, se interpreta que va precedido del signo “+” (permitir).
  • Si una dirección URL entrante no coincide con ningún patrón de la lista, la dirección URL se bloquea.

La siguiente tabla contiene ejemplos de esquemas de URL de aplicaciones:

Esquema Aplicación que requiere el esquema de URL Propósito
ctxmobilebrowser Secure Web- Permite que Secure Web gestione las direcciones URL “HTTP:” de otras aplicaciones.
ctxmobilebrowsers Secure Web- Permite que Secure Web gestione las direcciones URL “HTTPS:” de otras aplicaciones.
ctxmail Secure Mail- Permite que Secure Mail gestione las URL “mailto:” de otras aplicaciones.
COL-G2M GoToMeeting- Permite que una aplicación empaquetada de GoToMeeting controle las solicitudes de reunión.
ctxsalesforce Citrix for Salesforce- Permite que Citrix for Salesforce gestione las solicitudes de Salesforce.
wbx WebEx Permite que una aplicación empaquetada de WebEx controle las solicitudes de reunión.

Interacción entre aplicaciones (URL de salida)

Direcciones URL permitidas

Las aplicaciones iOS pueden enviar solicitudes URL a otras aplicaciones registradas para gestionar esquemas específicos, (como "http://"). Esta función proporciona un mecanismo para que una aplicación pueda transferir solicitudes de ayuda a otra aplicación. Esta directiva sirve para filtrar los URL que se transfieren de esta aplicación a otras aplicaciones para que los gestione (es decir, direcciones URL de salida).

La directiva debe tener el formato de una lista de patrones, separada por comas, donde cada patrón puede ir precedido de un signo más “+” o un signo menos “-“. Las direcciones URL de salida se comparan con estos patrones en el orden indicado hasta que se produce una coincidencia. Una vez encontrada una coincidencia, el prefijo dicta la acción a seguir. El signo menos (-) bloquea el paso de la dirección URL a otra aplicación. En cambio, el signo más (+) permite el paso de la dirección URL a otra aplicación para que lo gestione. Si no figura ningún signo “+” o signo “-“ como prefijo del patrón, se interpreta que va precedido del signo “+” (permitir). Un par de valores separados por “=” indican una sustitución, donde los casos de la primera cadena se reemplazan por la segunda. Puede usar el prefijo de expresión regular “^” para búsqueda para anclarla al comienzo de la URL. Si una dirección URL de salida no coincide con ningún patrón de la lista, la dirección URL se bloquea.

Cumplimiento de normativas

Código de acceso de dispositivo

Si está activada, se requiere un PIN o un código de acceso para desbloquear el dispositivo cuando se inicia o se reanuda después de un periodo de inactividad. Se requiere un código de acceso al dispositivo para cifrar los datos de las aplicaciones presentes en él con el cifrado de archivos de Apple. Se cifran los datos de todas las aplicaciones del dispositivo. El valor predeterminado es Desactivado.

Bloquear si está liberado por jailbreak o rooting

Si está activada, la aplicación se bloquea cuando el dispositivo se libera por jailbreak o por rooting. Si está desactivada, la aplicación se puede ejecutar incluso aunque el dispositivo esté liberado por jailbreak o por rooting. El valor predeterminado es Activado.

Comportamiento de dispositivos no conformes

Le permite elegir una acción cuando un dispositivo no cumple los requisitos mínimos de cifrado. Seleccione Permitir aplicación para que dicha aplicación se ejecute como es habitual. Seleccione Permitir aplicación después de la advertencia para que esta se ejecute después de que aparezca la advertencia. Selecciona Bloquear para impedir que la aplicación se ejecute. El valor predeterminado es Permitir aplicación después de la advertencia.

Borrar datos de la aplicación al bloquear

Borra los datos y reinicia la aplicación cuando ésta se bloquea. Si está desactivada, los datos de la aplicación no se borran cuando la aplicación se bloquea. El valor predeterminado es Desactivado.

Una aplicación puede bloquearse por cualquiera de las siguientes razones:

  • El usuario pierde el derecho a usar la aplicación
  • Se elimina la suscripción a la aplicación
  • Se elimina la cuenta
  • Se desinstala Secure Hub
  • Demasiados errores de autenticación en la aplicación
  • Se detecta que el dispositivo se ha liberado por jailbreak (por configuración de directiva)
  • El dispositivo se bloquea por otra acción administrativa

Período de sondeo activo (minutos)

Cuando se inicia una aplicación, el marco de SDK de MAM sondea Citrix Endpoint Management para determinar el estado actual de la aplicación y del dispositivo. Si se puede establecer la conexión con el servidor que ejecuta Endpoint Management, el marco devuelve información sobre el estado de bloqueo y borrado del dispositivo, además del estado de habilitación o inhabilitación de la aplicación. Tanto si se puede establecer la conexión con el servidor como si no, se programa un sondeo posterior según el intervalo que esté activo para el período de sondeos. Una vez finalizado el período, comienza un nuevo sondeo. El valor predeterminado es 60 minutos (1 hora).

Importante:

Establezca un valor menor solo para aplicaciones de alto riesgo, ya que el rendimiento podría verse afectado.

Período de gracia de actualización de aplicación (horas)

Define el período de gracia durante el cual se puede seguir mediante una aplicación después de que el sistema haya detectado la existencia de una actualización disponible para la aplicación. El valor predeterminado es 168 horas (7 días).

Nota:

No se recomienda usar el valor cero, porque esto impediría inmediatamente el uso de una aplicación que estuviera ejecutándose, sin advertir al usuario, hasta que se descargara e instalara la actualización. Esto podría provocar una situación en la que se forzaría al usuario a salir de la misma (lo que podría hacer que perdiera su trabajo), para poder realizar la actualización requerida.

Restricciones de aplicaciones

Importante:

Asegúrese de tener en cuenta las implicaciones para la seguridad de las directivas que bloquean el acceso de las aplicaciones a las funciones del teléfono. Cuando estas directivas están desactivadas, el contenido puede viajar entre las aplicaciones no administradas y el entorno Secure.

Bloquear cámara

Si la directiva está activada, impide que una aplicación utilice directamente el hardware de la cámara. Esta opción está desactivada de forma predeterminada.

Bloquear fototeca

Si está activada, impide que una aplicación tenga acceso a la biblioteca de fotos o fototeca del dispositivo. El valor predeterminado es Activado.

Bloquear grabación de micrófono

Si está activada, impide que una aplicación utilice directamente el hardware del micrófono. El valor predeterminado es Activado.

Bloquear dictado

Si está activada, impide que una aplicación utilice directamente los servicios de dictado. El valor predeterminado es Activado.

Bloquear servicios de localización

Si está activada, impide que una aplicación use los componentes de los servicios de localización geográfica (GPS o red). De forma predeterminada, está desactivada para Secure Mail.

Bloquear redacción de SMS

Si está activada, impide que una aplicación use la función de redacción de mensajes SMS que se usa para enviar mensajes SMS o mensajes de texto desde la aplicación. Está activada de forma predeterminada.

Bloquear iCloud

Si está activada, impide que una aplicación use iCloud para almacenar y compartir la configuración y los datos.

Nota:

El archivo de datos de iCloud está controlado por la directiva “Bloquear copia de seguridad de archivos”.

El valor predeterminado es Activado.

Bloquear búsqueda

Sí está activada, impide que una aplicación utilice la función Buscar, que busca texto resaltado en el Diccionario, iTunes, App Store, horarios de películas, ubicaciones cercanas, etcétera. El valor predeterminado es Activado.

Bloquear copia de seguridad de archivos

Si está activada, impide la realización de una copia de seguridad de los archivos de datos en iCloud o iTunes. El valor predeterminado es Activado.

Bloquear AirPrint

Si está activada, impide el acceso de la aplicación a las funciones de AirPrint para imprimir datos en impresoras habilitadas para AirPrint. El valor predeterminado es Activado.

Bloquear AirDrop

Si está activada, impide que una aplicación utilice AirDrop. El valor predeterminado es Activado.

Bloquear API de Facebook y Twitter

Si está activada, impide que una aplicación use las API de iOS para Facebook y Twitter. El valor predeterminado es Activado.

Oscurecer contenido de pantalla

Si está activada, cuando los usuarios cambian de aplicación, la pantalla se oscurece. Esta directiva impide que iOS grabe el contenido de la pantalla y que muestre vistas en miniatura. El valor predeterminado es Activado.

Bloquear teclados de terceros (solo iOS 11 y versiones posteriores)

Si está activada, impide que una aplicación use extensiones de teclado de terceros en dispositivos iOS 8 o posteriores. El valor predeterminado es Activado.

Geocerca de la aplicación

Longitud del punto central

Longitud (también conocida como “coordenada X”), es el centro del punto/radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada.

Debe expresarse en formato de grados con signo negativo o positivo (DDD.dddd), por ejemplo, “-31.9635”. Las longitudes occidentales deben ir precedidas de un signo menos (-). El valor predeterminado es 0.

Latitud del punto central

Latitud (también conocida como “coordenada Y”), es el centro del punto/radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada.

Debe expresarse en formato de grados con signo negativo o positivo (DDD.dddd), por ejemplo, “43.06581”. Las latitudes meridionales deben ir precedidas de un signo menos (-). El valor predeterminado es 0.

Radio

El radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada.

Debe expresarse en metros. Cuando se establece en cero, la geocerca se inhabilita. Cuando la directiva Bloquear servicios de localización está habilitada, la geocerca no funciona correctamente. El valor predeterminado es 0 (inhabilitada).

Directivas de SDK de MAM para aplicaciones iOS de terceros