Directivas MDX para aplicaciones de terceros para iOS

Este artículo describe las directivas MDX para aplicaciones de terceros para iOS. Puedes cambiar la configuración de las directivas directamente en los archivos XML de las directivas o en la consola de Citrix Endpoint Management™ al agregar una aplicación.

Autenticación

Código de acceso del dispositivo

Si está Activado, se requiere un PIN o código de acceso para desbloquear el dispositivo cuando se inicia o se reanuda después de un período de inactividad. Se requiere un código de acceso del dispositivo para cifrar los datos de la aplicación mediante el cifrado de archivos de Apple. Los datos de todas las aplicaciones del dispositivo están cifrados. El valor predeterminado es Desactivado.

Código de acceso de la aplicación

Si está Activado, se requiere un PIN o código de acceso para desbloquear la aplicación cuando se inicia o se reanuda después de un período de inactividad. El valor predeterminado es Activado.

Para configurar el temporizador de inactividad para todas las aplicaciones, establece el valor de INACTIVITY_TIMER en minutos en Propiedades del cliente en la ficha Configuración. El valor predeterminado del temporizador de inactividad es de 60 minutos. Para desactivar el temporizador de inactividad, de modo que un PIN o un mensaje de código de acceso aparezca solo cuando se inicie la aplicación, establece el valor en cero.

Nota:

Si seleccionas Seguro sin conexión para la directiva de claves de cifrado, esta directiva se habilita automáticamente.

Se requiere sesión en línea

Período máximo sin conexión (horas)

Define el período máximo que una aplicación puede ejecutarse sin volver a confirmar el derecho de la aplicación y actualizar las directivas de Citrix Endpoint Management. Al expirar, se puede activar el inicio de sesión en el servidor si es necesario. El valor predeterminado es de 168 horas (7 días). El período mínimo es de 1 hora.

Citrix Gateway alternativo

Nota:

El nombre de esta directiva en la consola de Endpoint Management es NetScaler® Gateway alternativo.

Dirección de un Citrix Gateway alternativo específico que debe usarse para la autenticación y para las sesiones de micro VPN con esta aplicación. Esta es una directiva opcional que, junto con la directiva de sesión en línea obligatoria, fuerza a las aplicaciones a volver a autenticarse en el gateway específico. Estos gateways suelen tener requisitos de autenticación y directivas de administración de tráfico diferentes (de mayor seguridad). Si se deja en blanco, siempre se utiliza el gateway predeterminado del servidor. El valor predeterminado está en blanco.

Seguridad del dispositivo

• Bloquear dispositivos con jailbreak o rooteados

• Si está Activado, la aplicación se bloquea cuando el dispositivo tiene jailbreak o está rooteado. Si está Desactivado, la aplicación puede ejecutarse incluso si el dispositivo tiene jailbreak o está rooteado. El valor predeterminado es Activado.

• Requisitos de red

• Requerir Wi-Fi

Si está Activado, la aplicación se bloquea cuando el dispositivo no está conectado a una red Wi-Fi. Si está Desactivado, la aplicación puede ejecutarse si el dispositivo tiene una conexión activa, como una conexión 4G/3G, LAN o Wi-Fi. El valor predeterminado es Desactivado.

Redes Wi-Fi permitidas

Lista de redes Wi-Fi separadas por comas. Si el nombre de la red contiene caracteres no alfanuméricos (incluidas las comas), el nombre debe ir entre comillas dobles. La aplicación se ejecuta solo si está conectada a una de las redes enumeradas. Si está en blanco, se permiten todas las redes. Esto no afecta a las conexiones a redes móviles. El valor predeterminado está en blanco.

Acceso diverso

Período de gracia para la actualización de la aplicación (horas)

Define el período de gracia durante el cual una aplicación puede seguir utilizándose después de que el sistema haya detectado que hay una actualización de la aplicación disponible. El valor predeterminado es de 168 horas (7 días).

Nota:

No se recomienda usar un valor de cero, ya que impide inmediatamente que una aplicación en ejecución se utilice hasta que la actualización se descargue e instale (sin ninguna advertencia al usuario). Esto podría llevar a una situación en la que el usuario se vea obligado a salir de la aplicación (potencialmente perdiendo trabajo) para cumplir con la actualización requerida.

Borrar datos de la aplicación al bloquearse

Borra los datos y restablece la aplicación cuando esta se bloquea. Si está Desactivado, los datos de la aplicación no se borran cuando esta se bloquea. El valor predeterminado es Desactivado.

Una aplicación puede bloquearse por cualquiera de los siguientes motivos:

• Pérdida del derecho de la aplicación para el usuario
• Suscripción a la aplicación eliminada
• Cuenta eliminada
• Secure Hub desinstalado
• Demasiados errores de autenticación de la aplicación
• Dispositivo con jailbreak detectado (según la configuración de la directiva)
• Dispositivo puesto en estado bloqueado por otra acción administrativa

Período de sondeo activo (minutos)

Cuando se inicia una aplicación, el marco MDX sondea Citrix Endpoint Management para determinar el estado actual de la aplicación y del dispositivo. Suponiendo que se pueda acceder al servidor que ejecuta Endpoint Management, el marco devuelve información sobre el estado de bloqueo/borrado del dispositivo y el estado de habilitación/deshabilitación de la aplicación. Se pueda acceder o no al servidor, se programa un sondeo posterior basado en el intervalo del período de sondeo activo. Una vez que expira el período, se intenta un nuevo sondeo. El valor predeterminado es de 60 minutos (1 hora).

• Importante:

• Solo establece este valor más bajo para aplicaciones de alto riesgo o el rendimiento podría verse afectado.

Comportamiento del dispositivo no conforme

Te permite elegir una acción cuando un dispositivo no cumple con los requisitos mínimos de conformidad. Selecciona Permitir aplicación para que la aplicación se ejecute normalmente. Selecciona Permitir aplicación después de la advertencia para que la aplicación se ejecute después de que aparezca la advertencia. Selecciona Bloquear para impedir que la aplicación se ejecute. El valor predeterminado es Permitir aplicación después de la advertencia.

Interacción de la aplicación

Cortar y copiar

Bloquea, permite o restringe las operaciones de cortar y copiar del Portapapeles para esta aplicación. Si está Restringido, los datos copiados del Portapapeles se colocan en un Portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Restringido.

Pegar

Bloquea, permite o restringe las operaciones de pegar del Portapapeles para esta aplicación. Si está Restringido, los datos pegados del Portapapeles se obtienen de un Portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Sin restricciones.

Intercambio de documentos (Abrir en)

Bloquea, permite o restringe las operaciones de intercambio de documentos para esta aplicación. Si está Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX.

Si está Sin restricciones, establece la directiva Habilitar cifrado en Activado para que los usuarios puedan abrir documentos en aplicaciones no encapsuladas. Si la aplicación receptora no está encapsulada o tiene el cifrado deshabilitado, Citrix Endpoint Management descifra el documento. El valor predeterminado es Restringido.

Lista de excepciones de Abrir en restringido

Cuando la directiva Intercambio de documentos (Abrir en) está Restringida, una aplicación MDX puede compartir documentos con esta lista de ID de aplicaciones no administradas separadas por comas, incluso si la directiva Intercambio de documentos (Abrir en) está Restringida y Habilitar cifrado está Activado. La lista de excepciones predeterminada permite las aplicaciones de Office 365:

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

Solo se admiten aplicaciones de Office 365 para esta política.

Precaución:

Asegúrate de considerar las implicaciones de seguridad de esta política. La lista de excepciones permite que el contenido viaje entre aplicaciones no administradas y el entorno MDX.

Intercambio de documentos entrantes (Abrir en)

Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para esta aplicación. Si está Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX. El valor predeterminado es Sin restricciones.

• Si está Bloqueado o Restringido, puedes usar la política de lista blanca de intercambio de documentos entrantes para especificar las aplicaciones que pueden enviar documentos a esta aplicación.

• Nota:

  La política de lista blanca de intercambio de documentos entrantes solo es compatible con dispositivos que ejecutan iOS 12.

Opciones: Sin restricciones, Bloqueado o Restringido

Esquemas de URL de aplicaciones

Las aplicaciones de iOS pueden enviar solicitudes de URL a otras aplicaciones que se hayan registrado para manejar esquemas específicos (como “http://”). Esta función proporciona un mecanismo para que una aplicación pase solicitudes de ayuda a otra aplicación. Esta política sirve para filtrar los esquemas que se pasan a esta aplicación para su procesamiento (es decir, URL entrantes). El valor predeterminado está vacío, lo que significa que todos los esquemas de URL de aplicaciones registrados están bloqueados.

La política debe formatearse como una lista de patrones separados por comas, en la que cada patrón puede ir precedido de un signo más “+” o un signo menos “-“. Las URL entrantes se comparan con los patrones en el orden indicado hasta que se encuentra una coincidencia. Una vez que coincide, la acción que se toma viene dictada por el prefijo.

• Un prefijo de signo menos “-“ bloquea que la URL se pase a esta aplicación.
• Un prefijo de signo más “+” permite que la URL se pase a la aplicación para su procesamiento.
• Si no se proporciona ni “+” ni “-“ con el patrón, se asume “+” (permitir).
• Si una URL entrante no coincide con ningún patrón de la lista, la URL se bloquea.

La siguiente tabla contiene ejemplos de esquemas de URL de aplicaciones:

Interacción de la aplicación (URL saliente)

Dominios excluidos del filtrado de URL

Esta política excluye las URL salientes de cualquier filtrado de “URL permitidas”. Agrega una lista separada por comas de nombres de dominio completamente calificados (FQDN) o sufijos DNS para excluir del filtrado de “URL permitidas”. Si esta política está vacía (el valor predeterminado), los procesos de filtrado de “URL permitidas” definidos son URL. Si esta política contiene alguna entrada, las URL con campos de host que coincidan con al menos un elemento de la lista (mediante coincidencia de sufijo DNS) se envían sin modificar a iOS, omitiendo la lógica de filtrado de “URL permitidas”. El valor predeterminado está vacío.

URL permitidas

Las aplicaciones de iOS pueden enviar solicitudes de URL a otras aplicaciones que se hayan registrado para manejar esquemas específicos (como "http://"). Esta función proporciona un mecanismo para que una aplicación pase solicitudes de ayuda a otra aplicación. Esta política sirve para filtrar las URL que se pasan de esta aplicación a otras aplicaciones para su procesamiento (es decir, URL salientes).

La política debe formatearse como una lista de patrones separados por comas, en la que cada patrón puede ir precedido de un signo más “+” o un signo menos “-“. Las URL salientes se comparan con los patrones en el orden indicado hasta que se encuentra una coincidencia. Una vez que coincide, la acción que se toma viene dictada por el prefijo. Un prefijo de signo menos “-“ bloquea que la URL se pase a otra aplicación. Un prefijo de signo más “+” permite que la URL se pase a otra aplicación para su procesamiento. Si no se proporciona ni “+” ni “-“ con el patrón, se asume “+” (permitir). Un par de valores separados por “=” indica una sustitución donde las ocurrencias de la primera cadena se reemplazan por la segunda. Puedes usar el prefijo de expresión regular “^” para buscar una cadena y anclarla al principio de la URL. Si una URL saliente no coincide con ningún patrón de la lista, se bloqueará.

Predeterminado

+maps.apple.com

+itunes.apple.com

^http:=ctxmobilebrowser:

^https:=ctxmobilebrowsers:

^mailto:=ctxmail:

+^citrixreceiver:

+^telprompt:

+^tel:

+^lmi-g2m:

+^maps:ios_addr

• +^mapitem:

+^sms:

+^facetime:

+^ctxnotes:

+^ctxnotesex:

+^ctxtasks:

+^facetime-audio:

+^itms-apps:

• +^ctx-sf:

• +^sharefile:

• +^lync:

• +^slack:

Si la configuración está en blanco, todas las URL se bloquean, excepto las siguientes:

• http:
• https:
• +citrixreceiver: +tel:

La siguiente tabla contiene ejemplos de URL permitidas:

Dominios permitidos de Secure Web

Esta política solo afecta a las entradas de política de “URL permitidas” que redirigirían una URL a la aplicación Secure Web (^http:=ctxmobilebrowser: y ^https:=ctxmobilebrowsers:). Agrega una lista separada por comas de nombres de dominio completos (FQDN) o sufijos DNS permitidos para redirigir a la aplicación Secure Web. Si esta política contiene alguna entrada, solo aquellas URL con campos de host que coincidan con al menos un elemento de la lista (mediante coincidencia de sufijo DNS) se redirigen a la aplicación Secure Web. Todas las demás URL se envían sin modificar a iOS, omitiendo la aplicación Secure Web. El valor predeterminado está vacío.

Restricciones de aplicaciones

Importante:

Asegúrate de considerar las implicaciones de seguridad de las políticas que impiden que las aplicaciones accedan o utilicen las funciones del teléfono. Cuando esas políticas están Desactivadas, el contenido puede viajar entre aplicaciones no administradas y el entorno seguro.

Bloquear cámara

Si está Activado, impide que una aplicación use directamente el hardware de la cámara. El valor predeterminado es DESACTIVADO.

Bloquear biblioteca de fotos

Si está Activado, impide que una aplicación acceda a la biblioteca de fotos del dispositivo. El valor predeterminado es Activado.

Bloquear grabación de micrófono

Si está Activado, impide que una aplicación use directamente el hardware del micrófono. El valor predeterminado es Activado.

Bloquear dictado

Si está Activado, impide que una aplicación use directamente los servicios de dictado. El valor predeterminado es Activado.

Bloquear servicios de ubicación

Si está Activado, impide que una aplicación use los componentes de los servicios de ubicación (GPS o red). El valor predeterminado es Desactivado para Secure Mail.

Bloquear redacción de SMS

Si está Activado, impide que una aplicación use la función de redacción de SMS utilizada para enviar mensajes SMS/de texto desde la aplicación. El valor predeterminado es Activado.

Bloquear redacción de correo electrónico

Si está Activado, impide que una aplicación use la función de redacción de correo electrónico utilizada para enviar mensajes de correo electrónico desde la aplicación. El valor predeterminado es Activado.

Bloquear iCloud

Si está Activado, impide que una aplicación use iCloud para el almacenamiento y el uso compartido de configuraciones y datos.

Nota:

El archivo de datos de iCloud se controla mediante la política de Bloquear copia de seguridad de archivos.

El valor predeterminado es Activado.

Bloquear búsqueda

Si está Activado, impide que una aplicación use la función de búsqueda, que busca texto resaltado en el Diccionario, iTunes, la App Store, horarios de películas, ubicaciones cercanas y más. El valor predeterminado es Activado.

Bloquear copia de seguridad de archivos

Si está Activado, impide que los archivos de datos sean respaldados por iCloud o iTunes. El valor predeterminado es Activado.

Bloquear AirPrint

Si está Activado, impide que una aplicación use las funciones de AirPrint para imprimir datos en impresoras compatibles con AirPrint. El valor predeterminado es Activado.

Bloquear AirDrop

Si está Activado, impide que una aplicación use AirDrop. El valor predeterminado es Activado.

Bloquear API de Facebook y Twitter

Si está Activado, impide que una aplicación use las API de Facebook y Twitter de iOS. El valor predeterminado es Activado.

Ocultar contenido de la pantalla

Si está Activado, cuando los usuarios cambian de aplicación, la pantalla se oculta. Esta política impide que iOS grabe el contenido de la pantalla y muestre miniaturas. El valor predeterminado es Activado.

Bloquear teclados de terceros (solo iOS 11 y posteriores)

Si está Activado, impide que una aplicación use extensiones de teclado de terceros en iOS 8+. El valor predeterminado es Activado.

Bloquear registros de aplicaciones

Si está Activado, prohíbe que una aplicación use la función de registro de diagnóstico de la aplicación de productividad móvil. Si está Desactivado, los registros de la aplicación se graban y pueden recopilarse utilizando la función de soporte por correo electrónico de Secure Hub. El valor predeterminado es Desactivado.

Acceso a la red de la aplicación

Acceso a la red

Nota:

Tunelizado - SSO web es el nombre de Secure Browse en la configuración. El comportamiento es el mismo.

Las opciones de configuración son las siguientes:

• Bloqueado: Se bloquea todo el acceso a la red. Las API de red utilizadas por tu aplicación fallan. Según la guía anterior, debes manejar dicho fallo de manera elegante.
• Sin restricciones: Todas las llamadas de red van directamente y no se tunelizan.
• Tunelizado - SSO web: La URL HTTP/HTTPS se reescribe. Esta opción permite solo el tunelizado del tráfico HTTP y HTTPS. Una ventaja significativa de Tunelizado - SSO web es el inicio de sesión único (SSO) para el tráfico HTTP y HTTPS, y también la autenticación PKINIT. En Android, esta opción tiene una baja sobrecarga de configuración y, por lo tanto, es la opción preferida para operaciones de tipo navegación web.

Si se selecciona la opción Tunelizado - SSO web, se crea un túnel VPN por aplicación en este modo inicial de vuelta a la red empresarial, y se utilizan las configuraciones de túnel dividido de Citrix Gateway. Citrix recomienda Tunelizado - SSO web para conexiones que requieren inicio de sesión único (SSO).

Sesión de micro VPN requerida

Si Sí, el usuario debe tener una conexión a la red corporativa y una sesión activa. Si No, no se requiere una sesión activa. El valor predeterminado es Usar configuración anterior. Para las aplicaciones recién cargadas, el valor predeterminado es No. Cualquier configuración seleccionada antes de la actualización a esta nueva política permanece en vigor hasta que se seleccione una opción diferente a Usar configuración anterior.

Período de gracia requerido para la sesión de micro VPN (minutos)

Este valor determina cuántos minutos pueden usar los usuarios la aplicación antes de que la política de Sesión en línea requerida les impida seguir usándola (hasta que se valide la sesión en línea). El valor predeterminado es 0 (sin período de gracia). Esta política no es aplicable para la integración con Microsoft Intune/EMS.

Etiqueta del certificado

Cuando se usa con el servicio de integración de certificados de StoreFront™, esta etiqueta identifica el certificado específico requerido para esta aplicación. Si no se proporciona ninguna etiqueta, no se pone a disposición ningún certificado para su uso con una infraestructura de clave pública (PKI). El valor predeterminado está vacío (no se usa ningún certificado).

Lista de exclusión

Lista de FQDN o sufijos DNS separados por comas a los que se accederá directamente en lugar de a través de una conexión VPN. Esto solo se aplica al modo Tunelizado - SSO web cuando Citrix Gateway está configurado con el modo de túnel dividido inverso.

Registros de la aplicación

Salida de registro predeterminada

Determina qué medios de salida utilizan las utilidades de registro de diagnóstico de la aplicación de productividad móvil de forma predeterminada. Las posibilidades son archivo, consola o ambos. El valor predeterminado es archivo.

Nivel de registro predeterminado

Controla la verbosidad predeterminada de la utilidad de registro de diagnóstico de la aplicación de productividad móvil. Cada nivel incluye niveles de valores inferiores. El rango de niveles posibles incluye:

• 0 - Nada registrado
• 1 - Errores críticos
• 2 - Errores
• 3 - Advertencias
• 4 - Mensajes informativos
• 5 - Mensajes informativos detallados
• 6 a 15 - Niveles de depuración del 1 al 10

El valor predeterminado es el nivel 4 (Mensajes informativos).

Archivos de registro máximos

Limita el número de archivos de registro que conserva la utilidad de registro de diagnóstico de la aplicación de productividad móvil antes de la rotación. El mínimo es 2. El máximo es 8. El valor predeterminado es 2.

Tamaño máximo del archivo de registro

Limita el tamaño en megabytes (MB) de los archivos de registro que conserva la utilidad de registro de diagnóstico de la aplicación de productividad móvil antes de la rotación. El mínimo es 1 MB. El máximo es 5 MB. El valor predeterminado es 2 MB.

Redirigir registros del sistema

Si está Activado, intercepta y redirige los registros del sistema o de la consola de una aplicación a la utilidad de diagnóstico de Aplicaciones de productividad móvil. Si está Desactivado, el uso de registros del sistema o de la consola por parte de la aplicación no se intercepta.

El valor predeterminado es Activado.

Geocerca de la aplicación

Longitud del punto central

Longitud (coordenada X) del punto central de laocerca de punto/radio en la que la aplicación está restringida a operar. Cuando se opera fuera de la geocerca configurada, la aplicación permanece bloqueada.

Debe expresarse en formato de grados con signo (DDD.dddd), por ejemplo, “-31.9635”. Las longitudes oeste deben ir precedidas de un signo menos. El valor predeterminado es 0.

Latitud del punto central

Latitud (coordenada Y) del punto central de la geocerca de punto/radio en la que la aplicación está restringida a operar. Cuando se opera fuera de la geocerca configurada, la aplicación permanece bloqueada.

Debe expresarse en formato de grados con signo (DDD.dddd), por ejemplo, “43.06581”. Las latitudes sur deben ir precedidas de un signo menos. El valor predeterminado es 0.

Radio

Radio de la geocerca en la que la aplicación está restringida a operar. Cuando se opera fuera de la geocerca configurada, la aplicación permanece bloqueada.

Debe expresarse en metros. Cuando se establece en cero, la geocerca se desactiva. Cuando la política de Bloquear servicio de ubicación está activada, la geocerca no funciona correctamente. El valor predeterminado es 0 (desactivado).

Análisis

Nivel de detalle de Google Analytics

Citrix recopila datos de análisis para mejorar la calidad del producto. Al seleccionar Anónimo, los usuarios optan por no incluir información identificable de la empresa. El valor predeterminado es Completo.

Informes

Informes de Citrix

Si está Activado, Citrix recopila informes de fallos y diagnósticos para ayudar a solucionar problemas. Si está Desactivado, Citrix no recopila datos.

Nota:

Citrix también podría controlar esta función con un indicador de función. Tanto el indicador de función como esta política deben estar activados para que esta función funcione.

El valor predeterminado es Desactivado.

Token de carga

Puedes obtener un token de carga desde tu cuenta de Citrix Insight Services (CIS). Si especificas este token opcional, CIS te da acceso a los informes de fallos y diagnósticos cargados desde tus dispositivos. Citrix tiene acceso a esa misma información. El valor predeterminado está vacío.

Enviar informes solo por Wi-Fi

Si está Activado, Citrix envía informes de fallos y diagnósticos solo cuando estás conectado a una red Wi-Fi. El valor predeterminado es Activado.

Caché máxima de archivos de informe

Limita el tamaño de los paquetes de informes de fallos y diagnósticos que se conservan antes de borrar la caché. El mínimo es 1 MB. El máximo es 5 MB. El valor predeterminado es 2 MB.