Documentación de productos
Tareas y aspectos relevantes para administradores
Ver PDF

Directivas MDX para aplicaciones de productividad móvil para Android

May 6, 2026
Contribución de: 
C C

Este artículo describe las directivas MDX para aplicaciones Android. Puedes cambiar la configuración de las directivas en la consola de Citrix Endpoint Management. Para obtener más información, consulta Agregar aplicaciones.

La siguiente lista no incluye las directivas MDX específicas de Secure Web. Para obtener más información sobre las directivas que aparecen para Secure Web, consulta Directivas de Secure Web.

Autenticación

Código de acceso de la aplicación

Si está en Activado, se requiere un PIN o código de acceso para desbloquear la aplicación cuando se inicia o se reanuda después de un período de inactividad. El valor predeterminado es Activado.

Para configurar el temporizador de inactividad para todas las aplicaciones, establece el valor INACTIVITY_TIMER en minutos en Propiedades de cliente en la ficha Configuración. El valor predeterminado del temporizador de inactividad es de 60 minutos. Para deshabilitar el temporizador de inactividad, de modo que la solicitud de PIN o código de acceso solo aparezca cuando se inicie la aplicación, establece el valor en cero.

Nota:

Si seleccionas “Seguro sin conexión” para la directiva de claves de cifrado, esta directiva se habilita automáticamente.

Período máximo sin conexión (horas)

Define el período máximo que una aplicación puede ejecutarse sin conexión sin un inicio de sesión de red para reconfirmar el derecho y actualizar las directivas. El valor predeterminado es 168 horas (7 días). El período mínimo es de 1 hora.

Se le recuerda al usuario que inicie sesión 30, 15 y 5 minutos antes de que expire el período. Después de la expiración, la aplicación permanece bloqueada hasta que el usuario completa un inicio de sesión de red correcto.

Citrix Gateway alternativo

Nota:

El nombre de esta directiva en la consola de Endpoint Management es NetScaler® Gateway alternativo.

Dirección de un Citrix Gateway alternativo específico (anteriormente, NetScaler Gateway) que se utiliza para la autenticación y para las sesiones de micro VPN con esta aplicación. NetScaler Gateway alternativo es una directiva opcional que, cuando se usa con la directiva “Sesión en línea requerida”, obliga a las aplicaciones a volver a autenticarse en el gateway específico. Dichos gateways suelen tener diferentes requisitos de autenticación (mayor seguridad) y directivas de administración de tráfico. Si se deja en blanco, siempre se usa el valor predeterminado del servidor. El valor predeterminado está en blanco.

Seguridad del dispositivo

Bloquear dispositivos con jailbreak o rooteados

Si está en Activado, la aplicación se bloquea cuando el dispositivo tiene jailbreak o está rooteado. Si está en Desactivado, la aplicación puede ejecutarse incluso si el dispositivo tiene jailbreak o está rooteado. El valor predeterminado es Activado.

Requerir cifrado del dispositivo

Si está en Activado, la aplicación se bloquea si el dispositivo no tiene el cifrado configurado. Si está en Desactivado, la aplicación puede ejecutarse incluso si el dispositivo no tiene el cifrado configurado. El valor predeterminado es Desactivado.

Nota:

Esta directiva solo es compatible con Android 3.0 (Honeycomb). Establecer la directiva en Activado impide que una aplicación se ejecute en versiones anteriores.

  • Requerir bloqueo del dispositivo

  • Si se selecciona PIN o código de acceso del dispositivo, la aplicación se bloquea si el dispositivo no tiene un PIN o código de acceso. Si se selecciona Bloqueo de pantalla con patrón del dispositivo, la aplicación se bloquea si el dispositivo no tiene un bloqueo de pantalla con patrón establecido. Si está en Desactivado, la aplicación puede ejecutarse incluso si el dispositivo no tiene un PIN, código de acceso o bloqueo de pantalla con patrón establecido. El valor predeterminado es Desactivado.

  • PIN o código de acceso del dispositivo requiere una versión mínima de Android 4.1 (Jelly Bean). Establecer la directiva en PIN o código de acceso del dispositivo impide que una aplicación se ejecute en versiones anteriores.

  • En dispositivos Android M, las opciones PIN o código de acceso del dispositivo y Bloqueo de pantalla con patrón del dispositivo tienen el mismo efecto: con cualquiera de esas opciones, la aplicación se bloquea si el dispositivo no tiene un PIN, código de acceso o bloqueo de pantalla con patrón establecido.

Requisitos de red

Requerir Wi-Fi

Si está en Activado, la aplicación se bloquea cuando el dispositivo no está conectado a una red Wi-Fi. Si está en Desactivado, la aplicación puede ejecutarse si el dispositivo tiene una conexión activa, como una conexión 4G/3G, LAN o Wi-Fi. El valor predeterminado es Desactivado.

Redes Wi-Fi permitidas

Lista de redes Wi-Fi permitidas separadas por comas. Si el nombre de la red contiene caracteres no alfanuméricos (incluidas las comas), el nombre debe ir entre comillas dobles. La aplicación solo se ejecuta si está conectada a una de las redes enumeradas. Si se deja en blanco, se permiten todas las redes. Este valor no afecta a las conexiones a redes móviles. El valor predeterminado está en blanco.

Acceso misceláneo

Período de gracia de actualización de la aplicación (horas)

Define el período de gracia durante el cual se puede usar una aplicación después de que el sistema detecte que hay una actualización de la aplicación disponible. El valor predeterminado es 168 horas (7 días).

Nota:

  • No se recomienda usar cero, ya que impide inmediatamente que una aplicación en ejecución se use hasta que se descargue e instale la actualización (sin ninguna advertencia al usuario). Este valor puede llevar a una situación en la que el usuario que ejecuta la aplicación se vea obligado a salir de la aplicación (potencialmente perdiendo trabajo) para cumplir con la actualización requerida.

  • Deshabilitar actualización obligatoria

Deshabilita el requisito de que los usuarios actualicen a la versión más reciente de la aplicación en la App Store. El valor predeterminado es Activado.

Borrar datos de la aplicación al bloquearla

Borra los datos y restablece la aplicación cuando esta se bloquea. Si está en Desactivado, los datos de la aplicación no se borran cuando esta se bloquea. El valor predeterminado es Desactivado.

Una aplicación puede bloquearse por cualquiera de las siguientes razones:

  • Pérdida del derecho a la aplicación para el usuario
  • Suscripción a la aplicación eliminada
  • Cuenta eliminada
  • Secure Hub desinstalado
  • Demasiados errores de autenticación de la aplicación
  • Dispositivo con jailbreak detectado (según la configuración de la directiva)
  • Dispositivo puesto en estado bloqueado por otra acción administrativa

Período de sondeo activo (minutos)

Cuando se inicia una aplicación, el marco MDX sondea Citrix Endpoint Management para determinar el estado actual de la aplicación y del dispositivo. Suponiendo que se pueda acceder al servidor que ejecuta Endpoint Management, el marco devuelve información sobre el estado de bloqueo/borrado del dispositivo y el estado de habilitación/deshabilitación de la aplicación. Ya sea que se pueda acceder al servidor o no, se programa un sondeo posterior en función del intervalo del período de sondeo activo. Una vez que expira el período, se intenta un nuevo sondeo. El valor predeterminado es 60 minutos (1 hora).

Importante:

Solo establece este valor más bajo para aplicaciones de alto riesgo o el rendimiento podría verse afectado.

Cifrado

Tipo de cifrado

  • Te permite elegir si MDX o la plataforma del dispositivo gestiona el cifrado de los datos. Si seleccionas Cifrado MDX, MDX cifra los datos. Si seleccionas Cifrado de plataforma con aplicación de cumplimiento, la plataforma del dispositivo cifra los datos. El valor predeterminado es Cifrado MDX.

Comportamiento del dispositivo no conforme

Te permite elegir una acción cuando un dispositivo no cumple los requisitos mínimos de cumplimiento del cifrado. Selecciona Permitir aplicación para que la aplicación se ejecute con normalidad. Selecciona Permitir aplicación después de la advertencia para que la aplicación se ejecute después de que aparezca la advertencia. Selecciona Bloquear para impedir que la aplicación se ejecute. El valor predeterminado es Permitir aplicación después de la advertencia.

Claves de cifrado

Permite que los secretos utilizados para derivar las claves de cifrado persistan en el dispositivo. El acceso sin conexión permitido es la única opción disponible.

Citrix te recomienda configurar la directiva de autenticación para habilitar un inicio de sesión en red o un desafío de contraseña sin conexión para proteger el acceso al contenido cifrado.

Cifrado de archivos privados

Controla el cifrado de archivos de datos privados en las siguientes ubicaciones: /data/data/<appname> y /mnt/sdcard/Android/data/<appname>.

La opción Deshabilitado significa que los archivos privados no están cifrados. La opción SecurityGroup cifra los archivos privados mediante una clave compartida por todas las aplicaciones MDX del mismo grupo de seguridad. La opción Aplicación cifra los archivos privados mediante una clave única para esta aplicación. El valor predeterminado es SecurityGroup.

Exclusiones de cifrado de archivos privados

Contiene una lista de rutas de archivo separadas por comas. Cada ruta es una expresión regular que representa uno o más archivos cifrados. Las rutas de archivo son relativas a los entornos aislados internos y externos. El valor predeterminado está vacío.

Las exclusiones solo se aplican a las siguientes carpetas:

-  **Almacenamiento interno:**

`/data/data/<your_package_name>`

  • Tarjeta SD:

    /storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>

    /storage/emulated/legacy/Android/data/<your_package_name>

Ejemplos

Archivo que excluir Valor en la exclusión de cifrado de archivos privados
/data/data/com.citrix.mail/files/a.txt ^files/a.txt
Todos los archivos de texto en /storage/emulated/0/Android/data/com.citrix.mail/files ^files/(.)+.txt$
Todos los archivos en /data/data/com.citrix.mail/files ^files/

Límites de acceso para archivos públicos

Contiene una lista separada por comas. Cada entrada es una ruta de expresión regular seguida de (NA), (RO) o (RW). Los archivos que coinciden con la ruta están limitados a acceso Sin acceso, Solo lectura o Lectura y escritura. La lista se procesa en orden y la primera ruta coincidente se utiliza para establecer el límite de acceso. El valor predeterminado está vacío.

Esta directiva se aplica solo cuando el cifrado de archivos públicos está habilitado (cambiado de la opción Deshabilitar a la opción SecurityGroup o Aplicación). Esta directiva solo se aplica a los archivos públicos existentes no cifrados y especifica cuándo se cifran estos archivos.

Archivos que excluir Valor en el cifrado de archivos privados
Carpeta de descargas en almacenamiento externo de solo lectura EXT:^Download/(RO)
Todos los archivos MP3 en la carpeta Música en almacenamiento virtual sin acceso VS:^Music/(.)+.mp3$(NA)

  • Cifrado de archivos públicos

    • Controla el cifrado de archivos públicos. Si está Deshabilitado, los archivos públicos no se cifran. Si es SecurityGroup, cifra los archivos públicos mediante una clave compartida por todas las aplicaciones MDX del mismo grupo de seguridad. Si es Aplicación, cifra los archivos públicos mediante una clave única para esta aplicación.

El valor predeterminado es SecurityGroup.

Exclusiones de cifrado de archivos públicos

Contiene una lista de rutas de archivo separadas por comas. Cada ruta es una expresión regular que representa uno o más archivos que no están cifrados. Las rutas de archivo son relativas al almacenamiento externo predeterminado y a cualquier almacenamiento externo específico del dispositivo.

Las exclusiones de cifrado de archivos públicos incluyen solo ubicaciones de carpetas externas.

Ejemplos

Archivo que excluir Valor en la exclusión de cifrado de archivos públicos
Carpeta de descargas en la tarjeta SD Download
Todos los archivos MP3 en la carpeta Música ^Music/(.)+.mp3$

Migración de archivos públicos

Esta directiva se aplica solo cuando habilitas la directiva de cifrado de archivos públicos (cambiada de Deshabilitado a SecurityGroup o Aplicación). Esta directiva solo se aplica a los archivos públicos existentes no cifrados y especifica cuándo se cifran estos archivos. El valor predeterminado es Escritura (RO/RW).

La opción Deshabilitado significa que los archivos existentes no están cifrados. La opción Escritura (RO/RW) cifra los archivos existentes solo cuando se abren para acceso de solo escritura o de lectura y escritura. La opción Cualquiera cifra los archivos existentes cuando se abren en cualquier modo. Opciones:

  • Deshabilitado. No cifra los archivos existentes.
  • Escritura (RO/RW). Cifra los archivos existentes solo cuando se abren para acceso de solo escritura o de lectura y escritura.

  • Cualquiera. Cifra los archivos existentes cuando se abren en cualquier modo.

  • Notas:

  • -Los archivos nuevos o los archivos existentes no cifrados que se sobrescriben cifran los archivos de reemplazo en todos los casos.

  • -El cifrado de un archivo público existente hace que el archivo no esté disponible para otras aplicaciones que no tienen la misma clave de cifrado.

Interacción de la aplicación

Grupo de seguridad

Deja este campo en blanco si quieres que todas las aplicaciones móviles administradas por Citrix Endpoint Management™ intercambien información entre sí. Define un nombre de grupo de seguridad para administrar la configuración de seguridad de conjuntos específicos de aplicaciones (por ejemplo, Finanzas o Recursos Humanos).

Precaución:

Si cambias esta directiva para una aplicación existente, los usuarios deben eliminar y volver a instalar la aplicación para aplicar el cambio de directiva.

Cortar y copiar

Bloquea, permite o restringe las operaciones de cortar y copiar del portapapeles para esta aplicación. Si está Restringido, los datos copiados del portapapeles se colocan en un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Restringido.

  • Pegar

  • Bloquea, permite o restringe las operaciones de pegar del portapapeles para la aplicación. Si está Restringido, los datos pegados del portapapeles provienen de un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Sin restricciones.

  • Intercambio de documentos (Abrir en)

  • Bloquea, permite o restringe las operaciones de intercambio de documentos para la aplicación. Si está Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX y las excepciones de aplicación especificadas en la directiva de lista de excepciones de Abrir en restringido. Si está Sin restricciones, configura las directivas de Cifrado de archivos privados y Cifrado de archivos públicos en Deshabilitado para que los usuarios puedan abrir documentos en aplicaciones sin encapsular. El valor predeterminado es Restringido.

Dominios URL excluidos del filtrado

Esta directiva se usa para excluir ciertas URL salientes del filtrado MDX. La siguiente lista de nombres de dominio completos (FQDN) o sufijos DNS separados por comas se excluyen de cualquier filtrado MDX. Si esta directiva contiene alguna entrada, las URL con campos de host que coincidan con al menos un elemento de la lista (mediante la coincidencia de sufijos DNS) se envían sin modificar al navegador predeterminado. El valor predeterminado está vacío.

Dominios web seguros permitidos

Esta directiva solo tiene efecto para los dominios no excluidos por una directiva de filtrado de URL. Agrega una lista separada por comas de nombres de dominio completos (FQDN) o sufijos DNS que se redirigen a la aplicación Secure Web cuando el Intercambio de documentos está restringido.

Si esta directiva contiene alguna entrada, solo las URL con campos de host que coincidan con al menos un elemento de la lista (mediante la coincidencia de sufijos DNS) se redirigen a la aplicación Secure Web cuando el Intercambio de documentos está restringido.

Todas las demás URL se envían al navegador web predeterminado de Android (omitiendo la directiva de Intercambio de documentos restringido). El valor predeterminado está vacío.

Lista de excepciones de Abrir en restringido

Cuando la directiva de Intercambio de documentos (Abrir en) está Restringida, esta lista de intenciones de Android puede pasar a aplicaciones no administradas. Es necesario estar familiarizado con las intenciones de Android para agregar filtros a la lista. Un filtro puede especificar la acción, el paquete, el esquema o cualquier combinación.

Ejemplos 

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->

Precaución

Asegúrate de considerar las implicaciones de seguridad de esta directiva. La lista de excepciones permite que el contenido viaje entre aplicaciones no administradas y el entorno MDX.

Intercambio de documentos entrantes (Abrir en)

Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para esta aplicación. Si está Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX. El valor predeterminado es Sin restricciones.

Si está Bloqueado o Restringido, puedes usar la directiva de lista blanca de intercambio de documentos entrantes para especificar las aplicaciones que pueden enviar documentos a esta aplicación. Para obtener información sobre otras interacciones de directivas, consulta la directiva Bloquear Galería.

Opciones: Sin restricciones, Bloqueado o Restringido

Lista blanca de intercambio de documentos entrantes

Cuando la directiva de intercambio de documentos entrantes está restringida o bloqueada, esta lista de ID de aplicación separados por comas, incluidas las aplicaciones que no son MDX, puede enviar documentos a la aplicación. Esta directiva está oculta y no se puede modificar.

Nivel de seguridad de la conexión

Determina la versión mínima de TLS/SSL utilizada para las conexiones. Si es TLS, las conexiones admiten todos los protocolos TLS. Si es SSLv3 y TLS, las conexiones admiten SSL 3.0 y TLS. El valor predeterminado es TLS.

Restricciones de la aplicación

Importante:

Asegúrate de considerar las implicaciones de seguridad de las directivas que impiden que las aplicaciones accedan o usen las funciones del teléfono. Cuando esas directivas están Desactivadas, el contenido puede viajar entre aplicaciones no administradas y el entorno seguro.

Bloquear cámara

Si está Activado, impide que una aplicación use directamente el hardware de la cámara. El valor predeterminado es Activado.

Bloquear Galería

Si está Activado, impide que una aplicación acceda a la Galería del dispositivo. El valor predeterminado es Desactivado. Esta directiva funciona junto con la directiva de Intercambio de documentos entrantes (Abrir en).

  • Si el Intercambio de documentos entrantes (Abrir en) está configurado en Restringido, los usuarios que trabajan en la aplicación administrada no pueden adjuntar imágenes de la Galería, independientemente de la configuración de Bloquear Galería.
  • Si el Intercambio de documentos entrantes (Abrir en) está configurado en Sin restricciones, los usuarios que trabajan en la aplicación administrada experimentan lo siguiente:
    • Los usuarios pueden adjuntar imágenes si Bloquear Galería está configurado en Desactivado.
    • Los usuarios tienen bloqueado el adjuntar imágenes si Bloquear Galería está Activado.

Bloquear grabación de micrófono

Si está Activado, impide que una aplicación use directamente el hardware del micrófono. El valor predeterminado es Activado.

Bloquear servicios de ubicación

Si está Activado, impide que una aplicación use los componentes de los servicios de ubicación (GPS o red). El valor predeterminado es Desactivado para Secure Mail.

Bloquear redacción de SMS

Si está Activado, impide que una aplicación use la función de redacción de SMS para enviar mensajes SMS/de texto desde la aplicación. El valor predeterminado es Activado.

Bloquear captura de pantalla

Si está Activado, impide que los usuarios realicen capturas de pantalla mientras la aplicación está en ejecución. Además, cuando el usuario cambia de aplicación, oculta la pantalla de la aplicación. El valor predeterminado es Activado.

Al usar la función de Comunicación de Campo Cercano (NFC) de Android, algunas aplicaciones toman una captura de pantalla de sí mismas antes de transmitir el contenido. Para habilitar esa función en una aplicación encapsulada, cambia la directiva Bloquear captura de pantalla a Desactivado.

Bloquear sensor del dispositivo

Si está Activado, impide que una aplicación use los sensores del dispositivo (como el acelerómetro, el sensor de movimiento y el giroscopio). El valor predeterminado es Activado.

Bloquear NFC

Si está Activado, impide que una aplicación use la comunicación de campo cercano (NFC). El valor predeterminado es Activado.

  • Bloquear registros de la aplicación

  • Si está Activado, prohíbe que una aplicación use la función de registro de diagnóstico de la aplicación de productividad móvil. Si está Desactivado, los registros de la aplicación se graban y se pueden recopilar mediante la función de soporte por correo electrónico de Secure Hub. El valor predeterminado es Desactivado.

Bloquear impresión

  • Si está Activado, impide que una aplicación imprima datos. Si una aplicación tiene un comando Compartir, debes configurar Intercambio de documentos (Abrir en) en Restringido o Bloqueado para bloquear la impresión por completo. El valor predeterminado es Activado.

Habilitar ShareFile

Permite a los usuarios usar ShareFile para transferir archivos. El valor predeterminado es Activado.

Acceso a la red de la aplicación

Acceso a la red

Nota:

Tunelizado - Web SSO es el nombre de Secure Browse en la configuración. El comportamiento es el mismo.

Las opciones de configuración son las siguientes:

  • Usar configuración anterior: De forma predeterminada, se utilizan los valores que habías establecido en las directivas anteriores. Si cambias esta opción, no debes volver a ella. Ten en cuenta también que los cambios en las nuevas directivas no surten efecto hasta que el usuario actualice la aplicación a la versión 18.12.0 o posterior.
  • Bloqueado: Las API de red utilizadas por tu aplicación fallan. Según la directriz anterior, debes gestionar este fallo de forma adecuada.
  • Sin restricciones: Todas las llamadas de red van directamente y no se tunelizan.
  • Tunelizado - VPN completa: Todo el tráfico de la aplicación administrada se tuneliza a través de Citrix Gateway.
  • Tunelizado - Web SSO: La URL HTTP/HTTPS se reescribe. Esta opción solo permite la tunelización del tráfico HTTP y HTTPS. Una ventaja significativa de Tunelizado - Web SSO es el inicio de sesión único (SSO) para el tráfico HTTP y HTTPS, y también la autenticación PKINIT. En Android, esta opción tiene una baja sobrecarga de configuración y, por lo tanto, es la opción preferida para operaciones de navegación web.

Si se selecciona uno de los modos tunelizados, se crea un túnel VPN por aplicación en este modo inicial de vuelta a la red empresarial. Aquí se utilizan las configuraciones de túnel dividido de Citrix Gateway. Citrix recomienda Tunelizado - VPN completa para conexiones que emplean certificados de cliente o SSL de extremo a extremo a un recurso en la red empresarial. Citrix recomienda Tunelizado - Web SSO para conexiones que requieren inicio de sesión único (SSO).

Sesión Micro VPN requerida

  • Si está Activado, el usuario debe tener una conexión a la red empresarial y una sesión activa. Si está Desactivado, no se requiere una sesión activa. El valor predeterminado es Usar configuración anterior. Para las aplicaciones recién cargadas, el valor predeterminado es Desactivado. Cualquier configuración que se haya seleccionado antes de la actualización a esta directiva permanece en vigor hasta que se seleccione una opción diferente a Usar configuración anterior.

Lista de exclusión

Lista de FQDN o sufijos DNS separados por comas a los que se debe acceder directamente en lugar de a través de una conexión VPN. Esta directiva solo se aplica al modo Tunelizado - Web SSO cuando Citrix Gateway está configurado con el modo inverso de túnel dividido.

Bloquear conexiones a localhost

  • Si está Activado, las aplicaciones no pueden realizar conexiones a localhost. Localhost es una dirección (como 127.0.0.1) para comunicaciones que ocurren localmente en el dispositivo. Localhost omite el hardware de la interfaz de red local y accede a los servicios de red que se ejecutan en el host. Si está Desactivado, esta directiva anula la directiva de Acceso a la red, lo que significa que las aplicaciones pueden conectarse fuera del contenedor seguro si el dispositivo ejecuta un servidor proxy localmente. El valor predeterminado es Desactivado.

  • Etiqueta de certificado

Cuando se utiliza con el servicio de integración de certificados de StoreFront™, esta etiqueta identifica el certificado específico requerido para esta aplicación. Si no se proporciona ninguna etiqueta, no se pone a disposición ningún certificado para su uso con una infraestructura de clave pública (PKI). El valor predeterminado está vacío (no se utiliza ningún certificado).

Registros de la aplicación

Salida de registro predeterminada

Determina qué medios de salida utilizan las funciones de registro de diagnóstico de la aplicación Citrix Endpoint Management de forma predeterminada. Las posibilidades son archivo, consola o ambos. El valor predeterminado es archivo.

Nivel de registro predeterminado

  • Controla la verbosidad predeterminada de la función de registro de diagnóstico de la aplicación de productividad móvil. Los números de nivel superior incluyen un registro más detallado.

  • 0 - Nada registrado
  • 1 - Errores críticos
  • 2 - Errores
  • 3 - Advertencias
  • 4 - Mensajes informativos
  • 5 - Mensajes informativos detallados
  • 6 a 15 - Niveles de depuración del 1 al 10

El valor predeterminado es el nivel 4 (Mensajes informativos).

Número máximo de archivos de registro

Limita el número de archivos de registro que conserva la función de registro de diagnóstico de la aplicación de productividad móvil antes de la rotación. El mínimo es 2. El máximo es 8. El valor predeterminado es 2.

Tamaño máximo del archivo de registro

Limita el tamaño en MB de los archivos de registro que conserva la función de registro de diagnóstico de la aplicación de productividad móvil antes de la rotación. El mínimo es 1 MB. El máximo es 5 MB. El valor predeterminado es 2 MB.

Redirigir registros de la aplicación

Si está Activado, intercepta y redirige los registros del sistema o de la consola de una aplicación a la función de diagnóstico de la aplicación de productividad móvil. Si esta configuración está Desactivada, el uso de los registros del sistema o de la consola por parte de la aplicación no se intercepta. El valor predeterminado es Activado.

Cifrar registros

Si está Activado, Citrix Endpoint Management cifra los registros de diagnóstico a medida que los graba. Si está Desactivado, los registros de diagnóstico permanecen sin cifrar en el entorno aislado de la aplicación.

Precaución:

Dependiendo de los niveles de registro configurados, el cifrado de registros puede tener un impacto notable en el rendimiento de la aplicación y la duración de la batería.

El valor predeterminado es Desactivado.

Geocerca de la aplicación

Longitud del punto central

Longitud (coordenada X) del punto central de la geocerca de punto/radio en la que la aplicación está restringida a operar. Cuando se utiliza fuera de la geocerca configurada, la aplicación permanece bloqueada. El valor debe expresarse en formato de grados con signo (DDD.dddd), por ejemplo, “-31.9635”. Las longitudes oeste deben ir precedidas de un signo menos. El valor predeterminado es 0.

Latitud del punto central

Latitud (coordenada Y) del punto central de la geocerca de punto/radio en la que la aplicación está restringida a operar. Cuando se utiliza fuera de la geocerca configurada, la aplicación permanece bloqueada.

Los valores deben expresarse en formato de grados con signo (DDD.dddd), por ejemplo, “43.06581”. Las latitudes sur deben ir precedidas de un signo menos. El valor predeterminado es 0.

Radio

El radio de la geocerca en la que la aplicación está restringida a operar. Cuando se utiliza fuera de la geocerca configurada, la aplicación permanece bloqueada. El valor debe expresarse en metros. Cuando se establece en cero, la geocerca se deshabilita. El valor predeterminado es 0 (deshabilitado).

Análisis

Google Analytics de detalle

Citrix recopila datos de análisis para mejorar la calidad del producto. Al seleccionar Anónimo, se te excluye de incluir información identificable de la empresa.

Configuración de la aplicación

Servidor Exchange de Secure Mail

El nombre de dominio completo (FQDN) para el servidor Exchange o, solo para iOS, el servidor IBM Notes Traveler. El valor predeterminado está vacío. Si proporcionas un nombre de dominio en este campo, los usuarios no podrán editarlo. Si dejas el campo vacío, los usuarios proporcionarán su propia información de servidor.

Precaución:

Si cambias esta política para una aplicación existente, los usuarios deben eliminar y volver a instalar la aplicación para aplicar el cambio de política.

Dominio de usuario de Secure Mail

Nombre de dominio predeterminado de Active Directory para usuarios de Exchange o, solo para iOS, usuarios de Notes. El valor predeterminado está vacío.

Servicios de red en segundo plano

El FQDN y el puerto de las direcciones de servicio permitidas para el acceso a la red en segundo plano. Este valor podría ser un servidor Exchange o un servidor ActiveSync, ya sea en tu red interna o en otra red a la que se conecta Secure Mail, como mail.example.com:443.

Si configuras esta política, establece la política de acceso a la red en Tunelizado a la red interna. Esta política entra en vigor cuando configuras la política de acceso a la red. Usa esta política cuando el servidor Exchange resida en tu red interna y quieras usar NetScaler Gateway para actuar como proxy de la conexión al servidor Exchange interno.

El valor predeterminado está vacío, lo que implica que los servicios de red en segundo plano no están disponibles.

Caducidad del ticket de servicios en segundo plano

Período de tiempo durante el cual un ticket de servicio de red en segundo plano permanece válido. Después de la caducidad, se requerirá un inicio de sesión empresarial para renovar el ticket. El valor predeterminado es 168 horas (7 días).

Puerta de enlace de servicio de red en segundo plano

Dirección de puerta de enlace alternativa para usar con los servicios de red en segundo plano, en el formato FQDN:puerto. Esta dirección es el FQDN y el número de puerto de Citrix Gateway que Secure Mail usa para conectarse al servidor Exchange interno. En la utilidad de configuración de Citrix Gateway, debes configurar la Secure Ticket Authority (STA) y vincular la política al servidor virtual.

El valor predeterminado está vacío, lo que implica que no existe una puerta de enlace alternativa.

Si configuras esta política, establece la política de acceso a la red en Tunelizado a la red interna. Esta política entra en vigor cuando configuras la política de acceso a la red. Usa esta política cuando el servidor Exchange resida en tu red interna y quieras usar Citrix Gateway para actuar como proxy de la conexión al servidor Exchange interno.

Exportar contactos

Importante:

No habilites esta función si los usuarios pueden acceder a tu servidor Exchange directamente (es decir, fuera de Citrix Gateway). De lo contrario, los contactos se duplicarán en el dispositivo y en Exchange.

Si está Desactivado, impide la sincronización unidireccional de los contactos de Secure Mail con el dispositivo y evita compartir los contactos de Secure Mail (como vCards). El valor predeterminado es Desactivado.

Campos de contacto a exportar

Controla los campos de contacto que se exportarán a la libreta de direcciones. Si es Todo, se exportan todos los campos de contacto. Si es Nombre y teléfono, se exportan todos los campos de contacto relacionados con el nombre y el teléfono. Si es Nombre, teléfono y correo electrónico, se exportan todos los campos de contacto relacionados con el nombre, el teléfono y el correo electrónico. El valor predeterminado es Todo.

Aceptar todos los certificados SSL

Si está Activado, Secure Mail acepta todos los certificados SSL (válidos o no) y permite el acceso. Si está Desactivado, Secure Mail bloquea el acceso cuando se produce un error de certificado y muestra una advertencia. El valor predeterminado es Desactivado.

Usar conexión segura

Si está Activado, Secure Mail usa una conexión segura. Si está Desactivado, Secure Mail no usa una conexión segura. El valor predeterminado es Activado.

Administración de derechos de información

Si está Activado, Secure Mail admite las capacidades de Administración de derechos de información (IRM) de Exchange. El valor predeterminado es Desactivado.

Controlar las notificaciones de la pantalla bloqueada

Controla si las notificaciones de correo y calendario aparecen en la pantalla de un dispositivo bloqueado. Si se selecciona Permitir, aparece toda la información contenida en la notificación. Si se selecciona Bloquear, las notificaciones no aparecen. Si se selecciona Remitente del correo electrónico o título del evento, solo aparece el nombre del remitente del correo electrónico o el título del evento del calendario. Si se selecciona Solo recuento, solo aparece el recuento de correos e invitaciones a reuniones, además de la hora de los recordatorios del calendario. El valor predeterminado es Permitir.

Intervalo de sincronización predeterminado

Especifica el intervalo de sincronización predeterminado para Secure Mail. Los usuarios de Secure Mail pueden cambiar el valor predeterminado.

La configuración de política Filtro de antigüedad máxima de correo electrónico del buzón de Exchange ActiveSync tiene prioridad sobre esta política. Si especificas un intervalo de sincronización predeterminado que sea mayor que el filtro de antigüedad máxima de correo electrónico, se usa la configuración del filtro de Antigüedad máxima de correo electrónico en su lugar. Secure Mail solo muestra los valores de intervalo de sincronización que son inferiores a la configuración del filtro de Antigüedad máxima de correo electrónico de Active Sync.

El valor predeterminado es 3 días.

Habilitar la descarga de archivos adjuntos por Wi-Fi

Si está Activado, la opción Descargar archivos adjuntos de Secure Mail está habilitada para que los usuarios puedan, de forma predeterminada, descargar archivos adjuntos a través de redes Wi-Fi internas. Si está Desactivado, la opción Descargar archivos adjuntos de Secure Mail está inhabilitada para que, de forma predeterminada, los usuarios no puedan descargar archivos adjuntos a través de Wi-Fi. El valor predeterminado es Desactivado.

Permitir documentos sin conexión

Especifica si los usuarios pueden almacenar documentos sin conexión en los dispositivos y durante cuánto tiempo. El valor predeterminado es Ilimitado.

Habilitar el guardado automático de borradores de correo electrónico

Si está Activado, Secure Mail permite guardar automáticamente los mensajes en la carpeta Borradores. El valor predeterminado es Activado.

Mecanismo de autenticación inicial

Esta directiva indica si la dirección del servidor de correo proporcionada por MDX se utiliza para rellenar el campo Dirección en la pantalla de aprovisionamiento de primer uso o si se utiliza la dirección de correo electrónico del usuario. El valor predeterminado es Dirección del servidor de correo.

Credenciales de autenticación inicial

Esta directiva define el valor que se debe elegir como nombre de usuario para rellenar la pantalla de aprovisionamiento de primer uso inicial. El valor predeterminado es Nombre de usuario de inscripción.

Habilitar número de semana

Si está Activado, las vistas de calendario incluyen el número de semana. El valor predeterminado es Desactivado.

Clasificación de correo electrónico

Si está Activado, Secure Mail admite las marcas de clasificación de correo electrónico para SEC (seguridad) y DLM (marcadores de limitación de difusión). Las marcas de clasificación aparecen en los encabezados de correo electrónico como valores X-Protective-Marking. Asegúrate de configurar las directivas de clasificación de correo electrónico relacionadas. El valor predeterminado es Desactivado.

Marcas de clasificación de correo electrónico

Especifica las marcas de clasificación que estarán disponibles para los usuarios finales. Si la lista está vacía, Secure Mail no incluye una lista de marcas de protección. La lista de marcas contiene pares de valores separados por punto y coma. Cada par incluye el valor que aparece en Secure Mail y el valor de marca, que es el texto que se añade al asunto y al encabezado del correo electrónico en Secure Mail. Por ejemplo, en el par de marcas "UNOFFICIAL,SEC=UNOFFICIAL;", el valor de la lista es “UNOFFICIAL” y el valor de la marca es “SEC=UNOFFICIAL”.

Espacio de nombres de clasificación de correo electrónico

Especifica el espacio de nombres de clasificación que requiere el estándar de clasificación utilizado en el encabezado del correo electrónico. Por ejemplo, el espacio de nombres “gov.au” aparece en el encabezado como “NS=gov.au”. El valor predeterminado está vacío.

Versión de clasificación de correo electrónico

Especifica la versión de clasificación que requiere el estándar de clasificación utilizado en el encabezado del correo electrónico. Por ejemplo, la versión “2012.3” aparece en el encabezado como “VER=2012.3”. El valor predeterminado está vacío.

Clasificación de correo electrónico predeterminada

Especifica la marca de protección que Secure Mail aplica a un correo electrónico si un usuario no elige una marca. Este valor debe estar en la lista de la directiva Marcas de clasificación de correo electrónico. El valor predeterminado es NO OFICIAL.

Límite de búsqueda de correo

Restringe la cantidad de historial de correo accesible desde dispositivos móviles al limitar el número de días incluidos en las búsquedas del servidor de correo. Para restringir la cantidad de correo que se sincroniza con un dispositivo móvil, configura la directiva Intervalo máximo de sincronización. El valor predeterminado es Ilimitado.

Intervalo máximo de sincronización

Controla la cantidad de correo almacenado localmente en un dispositivo móvil al limitar el período de sincronización.

Para restringir el período de tiempo que un dispositivo puede buscar en el servidor de correo, configura la directiva Límite de búsqueda del servidor de correo.

Los valores son:

  • 3 días
  • 1 semana
  • 2 semanas
  • 1 mes
  • Todo

El valor predeterminado es Todo.

Opciones de web y audio del calendario

  • GoToMeeting y Entrada de usuario - Cuando se elige esta opción, los usuarios pueden seleccionar el tipo de conferencia que desean configurar. Las opciones incluyen GoToMeeting, que abre una página de GoToMeeting, y Otra conferencia, que permite a los usuarios introducir la información de la reunión manualmente.
  • Solo entrada de usuario - Cuando se elige esta opción, los usuarios son dirigidos directamente a la página Otra conferencia, donde pueden introducir la información de la reunión manualmente.

Origen del certificado público S/MIME

Especifica el origen de los certificados públicos S/MIME. Si es Exchange, Secure Mail obtiene los certificados del servidor de Exchange. Si es LDAP, Secure Mail obtiene los certificados del servidor LDAP. El valor predeterminado es Exchange.

Dirección del servidor LDAP

Dirección del servidor LDAP, incluido el número de puerto. El valor predeterminado está vacío.

DN base de LDAP

Nombre distinguido base de LDAP. El valor predeterminado está vacío.

Acceder a LDAP de forma anónima

Si esta directiva está Activada, Secure Mail puede buscar en LDAP sin autenticación previa. El valor predeterminado es Desactivado.

Dominios de correo electrónico permitidos

Define una lista de dominios de correo electrónico permitidos en un formato separado por comas, como server.company.com,server.company.co.uk. El valor predeterminado está vacío, lo que implica que Secure Mail no filtra los dominios de correo electrónico y admite todos los dominios de correo electrónico. Secure Mail compara los dominios de la lista con el nombre de dominio de la dirección de correo electrónico.

Por ejemplo, cuando server.company.com es un nombre de dominio listado y la dirección de correo electrónico es user@internal.server.company.com, Secure Mail admite la dirección de correo electrónico.

Notificaciones push

Habilita las notificaciones basadas en FCM sobre la actividad del buzón. Si está Activado, Secure Mail admite las notificaciones push. El valor predeterminado es Desactivado.

Nombre de host EWS para notificaciones push

El servidor que aloja Exchange Web Services (EWS) para correo. El valor debe ser la URL de EWS, junto con el número de puerto. El valor predeterminado está vacío.

Región de notificaciones push

La región donde se encuentra el host de FCM para tus usuarios de Secure Mail. Las opciones son Américas, EMEA y PAC. El valor predeterminado es Américas.

Intentar migración de nombre de usuario en caso de error de autenticación

Esta política intenta migrar el nombre de usuario de Exchange a un UPN para la autenticación. El valor predeterminado es Desactivado.

Direcciones de correo para informar de phishing

Si está configurado, puedes informar de correos de phishing sospechosos a una dirección de correo electrónico determinada o a una lista de direcciones de correo electrónico separadas por comas. El valor predeterminado está vacío. Si no configuras esta política, no puedes informar de mensajes de phishing.

Mecanismo para informar de phishing

Esta política indica el mecanismo utilizado para informar de correos de phishing sospechosos.

  • Informar mediante archivo adjunto (.eml) – Informa de los correos de phishing como un archivo adjunto. El archivo adjunto se envía a una dirección de correo electrónico o a una lista de direcciones de correo electrónico separadas por comas configuradas en la política Direcciones de correo para informar de phishing.
  • Informar mediante reenvío – Informa de los correos de phishing como un reenvío. El correo se reenvía a una dirección de correo electrónico o a una lista de direcciones de correo electrónico separadas por comas configuradas en la política Direcciones de correo para informar de phishing.

Nota:

Esta política solo está disponible para el servidor de Microsoft Exchange.

El valor predeterminado es Informar mediante archivo adjunto (.eml).

Dominios de reunión de Skype Empresarial

Esta política contiene una lista de dominios separados por comas utilizados para las reuniones de Skype Empresarial. Secure Mail ya gestiona las reuniones con el prefijo de URL siguiente:

  • https://join
  • https://meet
  • https://lync

Con esta política, se pueden agregar otros dominios de Skype Empresarial en el formato https://*dominio*. El dominio puede ser una cadena de caracteres alfanuméricos y no puede contener caracteres especiales. No introduzcas el https:// precedente ni el punto siguiente.

Ejemplo

Si el valor de la política es customDomain1,customDomain2, los prefijos de URL admitidos para Skype Empresarial serían: https://customDomain1 http://customDomain1 https://customDomain2 http://customDomain2

El valor predeterminado está vacío.

Exportar calendario

Esta política permite exportar los eventos del calendario de Secure Mail a tu dispositivo o calendario personal. Puedes ver tus eventos en tu calendario personal. Puedes modificar los eventos con Secure Mail. El valor predeterminado es Hora de la reunión.

Los siguientes valores de política MDX están disponibles para los campos de eventos del calendario que aparecen en tu calendario personal:

  • Ninguno (No exportar)
  • Hora de la reunión
  • Hora de la reunión, Ubicación
  • Hora de la reunión, Asunto, Ubicación
  • Hora de la reunión, Disponibilidad, Asistentes, Asunto, Ubicación, Notas

Compatibilidad con OAuth para Office 365

Usar autenticación moderna para O365

Si esta política está Activada, Secure Mail usa el protocolo OAuth para la autenticación al configurar una cuenta en Office 365. Si está Desactivada, Secure Mail usa la autenticación básica. El valor predeterminado es Desactivado.

Nombres de host de Exchange Online de confianza

Define una lista de nombres de host de Exchange Online de confianza que usan el mecanismo OAuth para la autenticación al configurar una cuenta. Este valor tiene un formato separado por comas, como server.company.com, server.company.co.uk. Si la lista está vacía, Secure Mail usa la autenticación básica para la configuración de la cuenta. El valor predeterminado es outlook.office365.com.

Nombres de host de AD FS de confianza

Define una lista de nombres de host de AD FS de confianza para las páginas web donde se rellena la contraseña durante la autenticación OAuth de Office 365. Este valor tiene un formato separado por comas, como sts.companyname.com, sts.company.co.uk. Si la lista está vacía, Secure Mail no rellena automáticamente las contraseñas. Secure Mail compara los nombres de host listados con el nombre de host de la página web encontrada durante la autenticación de Office 365 y comprueba si la página usa el protocolo HTTPS.

Por ejemplo, cuando sts.company.com es un nombre de host listado y si el usuario navega a https://sts.company.com, Secure Mail rellena la contraseña si la página tiene un campo de contraseña. El valor predeterminado es login.microsoftonline.com.

Agente de usuario personalizado para la autenticación moderna

Esta política te permite cambiar la cadena de agente de usuario predeterminada para la autenticación moderna. Si está configurada, esta cadena de agente de usuario se usa para la autenticación con Microsoft AD FS. Si no configuras esta política, se usa el agente de usuario predeterminado de Secure Mail durante la autenticación moderna.

Integración con Slack

Habilitar Slack

Bloquea o permite la integración con Slack. Si está Activado, la interfaz de Secure Mail incluye funciones de Slack. Si está Desactivado, la interfaz de Secure Mail no incluye funciones de Slack.

Nombre del espacio de trabajo de Slack

El nombre del espacio de trabajo de Slack para tu empresa. Si proporcionas un nombre, Secure Mail rellena previamente el nombre del espacio de trabajo durante el inicio de sesión. Si no proporcionas un nombre, los usuarios deben escribir el nombre del espacio de trabajo (name.slack.com).

Directivas MDX para aplicaciones de productividad móvil para Android
May 6, 2026
Contribución de: 
C C
May 6, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.