Directivas MDX para aplicaciones móviles de productividad para Android
En este artículo se describen las directivas MDX para aplicaciones Android. Puede cambiar la configuración de directivas en la consola de Citrix Endpoint Management. Para obtener más información, consulte Agregar aplicaciones.
En la lista siguiente no se incluyen directivas MDX específicas de Secure Web. Para obtener más información acerca de las directivas específicas de Secure Web, consulte Directivas de Secure Web.
Autenticación
Código de acceso de aplicación
Si la directiva está activada, se requiere un PIN o un código de acceso para desbloquear la aplicación cuando ésta se inicia o se reanuda después de un periodo de inactividad. Está activada de forma predeterminada.
Para configurar el temporizador de inactividad de todas las aplicaciones, establezca el valor de INACTIVITY_TIMER en minutos, en la ficha Parámetros, en Propiedades de cliente. El valor predeterminado del temporizador de inactividad es 60 minutos. Para inhabilitar el temporizador de inactividad, de modo que la petición de PIN o código de acceso aparezca solo cuando se inicie la aplicación, establezca un valor de cero.
Nota:
Si selecciona Acceso seguro sin conexión en la directiva Claves de cifrado, esta directiva se activa automáticamente.
Periodo máximo sin conexión (horas)
Define el periodo de tiempo máximo que una aplicación puede ejecutarse sin conexión sin tener que volver a iniciar sesión en la red para confirmar de nuevo los derechos y las directivas de actualización. El valor predeterminado es 168 horas (7 días). El período mínimo de tiempo es 1 hora.
El usuario un recordatorio para que inicie sesión 30, 15 y 5 minutos antes de que acabe el período. Después de la caducidad, la aplicación permanece bloqueada hasta que el usuario complete un inicio de sesión de red correctamente.
Citrix Gateway alternativo
Nota:
En la consola de Endpoint Management, este nombre de directiva es NetScaler Gateway alternativo.
Dirección de un Citrix Gateway (anteriormente conocido como NetScaler Gateway) específico alternativo que debe usarse para la autenticación y para sesiones de micro VPN con esta aplicación. La directiva NetScaler Gateway alternativo es opcional. Cuando se usa con la directiva “Sesión con conexión requerida”, obliga a las aplicaciones a volver a autenticarse en la puerta de enlace específica. Estas puertas de enlace suelen tener directivas de administración de tráfico y requisitos de autenticación diferentes (mayor nivel de control). Si se deja vacío, se usa siempre la configuración del servidor. Está vacío de forma predeterminada.
Seguridad del dispositivo
Bloquear si está liberado por jailbreak o rooting
Si está activada, la aplicación se bloquea cuando el dispositivo se libera por jailbreak o por rooting. Si está desactivada, la aplicación se puede ejecutar incluso aunque el dispositivo esté liberado por jailbreak o por rooting. Está activada de forma predeterminada.
Requerir cifrado del dispositivo
Si está activada, la aplicación se bloquea si el dispositivo no tiene configurado el cifrado. Si está desactivada, la aplicación puede ejecutarse incluso aunque el dispositivo no tenga configurado el cifrado. Está desactivada de forma predeterminada.
Nota:
Esta directiva solo se admite en Android 3.0 (Honeycomb). Activar la directiva impide que una aplicación se ejecute en versiones anteriores.
Requerir bloqueo de dispositivo
Si tiene el valor PIN o código de acceso de dispositivo, la aplicación se bloquea si el dispositivo no tiene configurado un PIN o un código de acceso. Si tiene el valor Patrón de bloqueo de pantalla del dispositivo, la aplicación se bloquea si el dispositivo no tiene configurado un patrón de bloqueo de pantalla. Si está desactivada, la aplicación tiene permiso para ejecutarse incluso aunque el dispositivo no tenga configurado un PIN, un código de acceso ni un patrón de bloqueo de pantalla. Está desactivada de forma predeterminada.
El valor PIN o código de acceso de dispositivo necesita la versión mínima Android 4.1 (Jelly Bean). Establecer la directiva en PIN o código de acceso de dispositivo impide que una aplicación se ejecute en versiones anteriores.
En los dispositivos Android, M, las opciones PIN o código de acceso de dispositivo y Patrón de bloqueo de pantalla del dispositivo tienen el mismo efecto: con cualquiera de ellas, la aplicación se bloquea si el dispositivo no tiene definido un PIN, un código de acceso o un patrón de bloqueo de pantalla.
Requisitos de la red
Requerir Wi-Fi
Si está activada, la aplicación se bloquea si el dispositivo no está conectado a una red Wi-Fi. Si está desactivada, la aplicación se puede ejecutar incluso aunque el dispositivo no tenga una conexión activa (Wi-Fi, 4G, 3G o LAN). Está desactivada de forma predeterminada.
Redes Wi-Fi permitidas
Una lista, delimitada por comas, de las redes Wi-Fi permitidas. Si el nombre de la red contiene caracteres no alfanuméricos (incluidas las comas), el nombre debe estar entre comillas dobles. La aplicación solo se ejecuta si se conecta a una de las redes de la lista. Si se deja en blanco, se permiten todas las redes. Este valor no afecta a las conexiones con las redes de telefonía móvil. El valor predeterminado está en blanco.
Otros accesos
Período de gracia de actualización de aplicación (horas)
Define el período de gracia durante el cual se puede usar una aplicación después de que el sistema haya detectado una actualización disponible para ella. El valor predeterminado es 168 horas (7 días).
Nota:
No se recomienda usar el valor cero, porque esto impediría inmediatamente el uso de una aplicación que estuviera ejecutándose, sin advertir al usuario, hasta que se descargara e instalara la actualización. Este valor podría provocar una situación en la que se forzaría al usuario que ejecuta la aplicación a salir de la misma (lo que podría hacer que perdiera su trabajo), para poder realizar la actualización requerida.
Inhabilitar actualización obligatoria
Inhabilita el requisito de que los usuarios deban actualizar a la versión más reciente de la aplicación en el App Store. Está activada de forma predeterminada.
Borrar datos de la aplicación al bloquear
Borra los datos y reinicia la aplicación cuando ésta se bloquea. Si está desactivada, los datos de la aplicación no se borran cuando la aplicación se bloquea. Está desactivada de forma predeterminada.
Una aplicación puede bloquearse por cualquiera de las siguientes razones:
- El usuario pierde el derecho a usar la aplicación
- Se elimina la suscripción a la aplicación
- Se elimina la cuenta
- Se desinstala Secure Hub
- Demasiados errores de autenticación en la aplicación
- Se detecta que el dispositivo se ha liberado por jailbreak (por configuración de directiva)
- El dispositivo se bloquea por otra acción administrativa
Período de sondeo activo (minutos)
Cuando se inicia una aplicación, el marco de MDX sondea Citrix Endpoint Management para determinar el estado actual de la aplicación y del dispositivo. Si se puede establecer la conexión con el servidor que ejecuta Endpoint Management, el marco devuelve información sobre el estado de bloqueo y borrado del dispositivo, además del estado de habilitación o inhabilitación de la aplicación. Tanto si se puede establecer la conexión con el servidor como si no, se programa un sondeo posterior según el intervalo que esté activo para el período de sondeos. Una vez finalizado el período, comienza un nuevo sondeo. El valor predeterminado es 60 minutos (1 hora).
Importante:
Establezca un valor menor solo para aplicaciones de alto riesgo, ya que el rendimiento podría verse afectado.
Cifrado
Tipo de cifrado
Le permite elegir si es MDX o la plataforma del dispositivo quien maneja el cifrado de datos. Si selecciona Cifrado MDX, MDX cifra los datos. Si selecciona Cifrado de plataforma con cumplimiento de requisitos, la plataforma del dispositivo cifra los datos. El valor predeterminado es Cifrado MDX.
Comportamiento de dispositivos no conformes
Le permite elegir una acción cuando un dispositivo no cumple los requisitos mínimos de cifrado. Seleccione Permitir aplicación para que dicha aplicación se ejecute como es habitual. Seleccione Permitir aplicación después de la advertencia para que esta se ejecute después de que aparezca la advertencia. Selecciona Bloquear para impedir que la aplicación se ejecute. El valor predeterminado es Permitir aplicación después de la advertencia.
Claves de cifrado
Permite que las claves secretas empleadas para derivar claves de cifrado se conserven en el dispositivo. La única opción disponible es “Acceso sin conexión permitido”.
Citrix recomienda configurar la directiva “Autenticación” para permitir un inicio de sesión de red o una comprobación de contraseña en modo desconectado y así proteger el acceso al contenido cifrado.
Cifrado de archivos privados
Controla el cifrado de archivos de datos privados en las siguientes ubicaciones: /data/data/
Si la opción está inhabilitada, los archivos privados no se cifran. La opción SecurityGroup cifra los archivos privados mediante una clave que comparten todas las aplicaciones MDX de un mismo grupo de seguridad. La opción Aplicación cifra los archivos privados con una clave exclusiva de la aplicación. El valor predeterminado es Grupo de seguridad.
Exclusiones de cifrado de archivos privados
Contiene una lista de rutas de archivo separadas por comas. Cada ruta es una expresión regular que representa a uno o varios archivos cifrados. Las rutas de archivo son relativas a espacios aislados internos y externos. Está vacío de forma predeterminada.
Las exclusiones solo se aplican a las carpetas siguientes:
-
Almacenamiento interno
/data/data/<your_package_name> -
Tarjeta SD
/storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>/storage/emulated/legacy/Android/data/<your_package_name>
Ejemplos
| Archivo a excluir | Valor en “Exclusiones de cifrado de archivos privados” |
|---|---|
| /data/data/com.citrix.mail/files/a.txt | ^files/a.txt |
| Todos los archivos de texto en /storage/emulated/0/Android/data/com.citrix.mail/files | ^files/(.)+.txt$ |
| Todos los archivos en /data/data/com.citrix.mail/files | ^files/ |
Límites de acceso para archivos públicos
Contiene una lista separada por comas. Cada entrada es una ruta de expresión regular seguida de NA (Sin acceso), RO (Solo lectura) o RW (Lectura y escritura). El acceso de los archivos que coinciden con la ruta se limita a las opciones No Access (Sin acceso), Read Only (Solo lectura) o Read Write (Lectura escritura). La lista se procesa por orden, y se utiliza la primera ruta que coincide para establecer el límite de acceso. Está vacío de forma predeterminada.
Esta directiva solo se aplica si se activa la directiva Cifrado de archivos públicos (se cambia de Inhabilitada a las opciones Grupo de seguridad o Aplicación). Esta directiva solamente se puede aplicar a archivos públicos no cifrados existentes y se ocupa de especificar si estos archivos están cifrados.
| Archivos a excluir | Valor en “Cifrado de archivos privados” |
|---|---|
| Carpeta Descargas en el almacenamiento externo: Solo lectura | EXT:^download/(RO) |
| Todos los archivos MP3 que haya en la carpeta Música del almacenamiento virtual: Sin acceso | VS:^Music/(.)+.mp3$(NA) |
Cifrado de archivos públicos
Controla el cifrado de archivos públicos. Si tiene el valor Inhabilitada, los archivos públicos no se cifran. Si tiene el valor Grupo de seguridad, los archivos públicos se cifran mediante una clave que comparten todas las aplicaciones MDX de un mismo grupo de seguridad. Si tiene el valor Aplicación, los archivos públicos se cifran mediante una clave exclusiva de la aplicación.
El valor predeterminado es Grupo de seguridad.
Exclusiones de cifrado de archivos públicos
Contiene una lista de rutas de archivo separadas por comas. Cada ruta es una expresión regular que representa a uno o varios archivos que no se cifran. Las rutas de archivo son relativas al almacenamiento externo predeterminado y a toda ubicación de almacenamiento externo de un dispositivo concreto.
Las exclusiones de cifrado de archivos públicos solo pueden contener ubicaciones de carpetas externas.
Ejemplos
| Archivo a excluir | Valor en “Exclusiones de cifrado de archivos públicos” |
|---|---|
| Carpeta Descargas en la tarjeta SD | Descargar |
| Todos los archivos MP3 en la carpeta Música | ^Music/(.)+.mp3$ |
Migración de archivos públicos
Esta directiva solo se aplica cuando se activa la directiva Cifrado de archivos públicos (se cambia el valor Inhabilitada a Grupo de seguridad o Aplicación). Esta directiva solamente se puede aplicar a archivos públicos no cifrados existentes y se ocupa de especificar si estos archivos están cifrados. El valor predeterminado es Escritura (RO/RW).
Si la opción es Inhabilitada, los archivos existentes no se cifran. La opción Escritura (RO/RW) cifra los archivos existentes solamente cuando se abren con acceso de solo lectura o de lectura y escritura. La opción Cualquiera cifra los archivos existentes cuando se abren en cualquier modo. Opciones:
- Inhabilitado. No se cifran los archivos existentes.
- Escritura (RO/RW). Cifra los archivos existentes solamente cuando se abren con acceso de solo lectura o de lectura y escritura.
- Cualquiera. Cifra los archivos existentes cuando se abren en cualquier modo.
Notas:
- Sobrescribir archivos nuevos o existentes que no estén cifrados implica cifrar los archivos de reemplazo en cada caso.
- Cifrar un archivo público existente implica que otras aplicaciones con una clave de cifrado diferente no puedan acceder a ese archivo.
Interacción entre aplicaciones
Grupo de seguridad
Deje este campo en blanco si desea que todas las aplicaciones móviles que administra Citrix Endpoint Management intercambien información entre sí. Defina un nombre de grupo de seguridad para administrar los parámetros de seguridad de conjuntos específicos de aplicaciones (por ejemplo, finanzas o recursos humanos).
Precaución:
Si cambia esta directiva para una aplicación, los usuarios deben eliminar la aplicación y volver a instalarla para que se aplique el cambio de directiva.
Cortar y pegar
Bloquea, permite o restringe las operaciones de copiado y pegado de portapapeles para esta aplicación. Si tiene el valor Restringido, los datos de portapapeles copiados se colocan en un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Restringido.
Pegar
Bloquea, permite o restringe las operaciones de pegado del portapapeles para la aplicación. Si tiene el valor Restringido, los datos de portapapeles pegados se extraen de un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Sin restricciones.
Intercambio de documentos (Abrir en)
Bloquea, permite o restringe las operaciones de intercambio de documentos para la aplicación. Si tiene el valor Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX y con las aplicaciones que figuran en la directiva “Lista de excepciones de la apertura restringida”. Si tiene el valor Sin restricciones, defina las directivas “Cifrado de archivos privados” y “Cifrado de archivos públicos” en Inhabilitada para que los usuarios puedan abrir documentos en aplicaciones no empaquetadas. El valor predeterminado es Restringido.
Dominios de URL excluidos del filtrado
Esta directiva se utiliza para excluir ciertas URL salientes del filtrado MDX. En todos los filtrados MDX, se excluye la siguiente lista separada por comas de nombres de dominio completos (FQDN) o sufijos de sistemas de nombres de dominio (DNS). Si esta directiva contiene entradas, las direcciones URL con campos de host que coincidan al menos con un elemento de la lista (a través de las coincidencias con los sufijos DNS) se envía inalterado directamente al explorador predeterminado. Está vacío de forma predeterminada.
Dominios permitidos de Secure Web
Esta directiva solo está en vigor para los dominios no excluidos por una directiva de filtrado de URL. Agregue una lista separada por comas de nombres de dominio completos (FQDN) o sufijos DNS que se redirigirán a la aplicación Secure Web cuando el intercambio de documentos esté restringido.
Si esta directiva contiene entradas, solo las direcciones URL con campos de host que coinciden al menos con un elemento de la lista (coincidencias con los sufijos DNS) se redirigen a la aplicación Secure Web cuando el intercambio de documentos está restringido.
Todas las demás URL se envían al explorador web predeterminado de Android (sin pasar por la directiva de restricción de intercambio de documentos). Está vacío de forma predeterminada.
Lista de excepciones de la apertura restringida
Cuando la directiva “Intercambio de documentos (Abrir en)” tiene el valor Restringido, se permite pasar esta lista de intents de Android a las aplicaciones no administradas. Para agregar filtros a la lista conviene estar familiarizado con los intents de Android. Un filtro puede especificar acción, paquete, esquema o cualquier combinación de éstos.
Ejemplos
{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->
Precaución
Tenga en cuenta las implicaciones de seguridad de esta directiva. Esta lista de excepciones permite que el contenido viaje entre aplicaciones no administradas y el entorno MDX.
Intercambio de documentos entrantes (Abrir en)
Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para la aplicación. Si tiene el valor Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX. El valor predeterminado es Sin restricciones.
Si tiene el valor Bloqueado o Restringido, puede usar la directiva “Lista de intercambio de documentos entrantes permitidos” para indicar las aplicaciones que pueden enviar documentos a la aplicación. Para obtener información sobre otras interacciones de directivas, consulte la directiva “Bloquear galería”.
Opciones: Sin restricciones, Bloqueado o Restringido.
Lista de intercambio de documentos entrantes permitidos
Cuando la directiva de intercambio de documentos entrantes está restringida o bloqueada, las aplicaciones cuyo ID esté incluido en esta lista de ID de aplicaciones, separados por comas (incluidas aplicaciones que no son MDX), se pueden enviar documentos a la aplicación. Esta directiva está oculta y no se puede modificar.
Nivel de seguridad de la conexión
Determina la versión mínima de TLS/SSL utilizada para las conexiones. Si tiene el valor TLS, las conexiones admiten todos los protocolos TLS. Si tiene el valor SSLv3 y TLS, las conexiones admiten SSL 3.0 y TLS. La opción predeterminada es TLS.
Restricciones de aplicaciones
Importante:
Debe tener en cuenta las implicaciones para la seguridad de las directivas que bloquean el acceso de las aplicaciones a las funciones del teléfono o no permiten que las aplicaciones usen esas funciones. Cuando estas directivas están desactivadas, el contenido puede viajar entre las aplicaciones no administradas y el entorno Secure.
Bloquear cámara
Si la directiva está activada, impide que una aplicación utilice directamente el hardware de la cámara. Está activada de forma predeterminada.
Bloquear galería
Si está activada, impide que una aplicación acceda a la Galería en el dispositivo. Está desactivada de forma predeterminada. Esta directiva funciona junto con la directiva “Intercambio de documentos entrantes (Abrir en)”.
- Si la directiva “Intercambio de documentos entrantes (Abrir en)” tiene el valor Restringido, los usuarios que trabajen en la aplicación administrada no podrán adjuntar imágenes desde la galería, independientemente del parámetro de la directiva “Bloquear galería”.
- Si la directiva “Intercambio de documentos entrantes (Abrir en)” tiene el valor Sin restricciones, los usuarios que trabajen en la aplicación administrada verán lo siguiente:
- Si “Bloquear galería” no está activada, los usuarios pueden adjuntar imágenes.
- Si “Bloquear galería” está activada, los usuarios no pueden adjuntar imágenes.
Bloquear grabación de micrófono
Si está activada, impide que una aplicación utilice directamente el hardware del micrófono. Está activada de forma predeterminada.
Bloquear servicios de localización
Si está activada, impide que una aplicación use los componentes de los servicios de localización geográfica (GPS o red). De forma predeterminada, está desactivada para Secure Mail.
Bloquear redacción de SMS
Si está activada, impide que una aplicación use la función de redacción de mensajes SMS que se usa para enviar mensajes SMS o mensajes de texto desde la aplicación. Está activada de forma predeterminada.
Bloquear captura de pantalla
Si está activada, impide que los usuarios tomen capturas de pantalla mientras se está ejecutando la aplicación. Además, cuando un usuario cambia de esa aplicación a otra, se oscurece la pantalla de la aplicación. Está activada de forma predeterminada.
Cuando se usa la funcionalidad NFC (Near Field Communication) de Android, algunas aplicaciones hacen una captura de pantalla antes de transmitir el contenido. Para habilitar esta función en una aplicación empaquetada, desactive la directiva Bloquear captura de pantalla.
Bloquear sensor del dispositivo
Si la directiva está activada, impide que una aplicación use los sensores del dispositivo (como un acelerómetro, un sensor de movimiento y un giróscopo). Está activada de forma predeterminada.
Bloquear NFC
Si la directiva está activada, impide que una aplicación use la comunicación NFC (Near Field Communications). Está activada de forma predeterminada.
Bloquear registros de aplicaciones
Si está activada, impide que una aplicación use la función de captura de registros de diagnóstico de las aplicaciones móviles de productividad. Si está desactivada, los registros de la aplicación se capturan y es posible que se recopilen con la función de correo de Secure Hub. Está desactivada de forma predeterminada.
Bloquear impresión
Si la directiva está activada, impide que una aplicación imprima datos. Si una aplicación tiene un comando Compartir, debe establecer “Intercambio de documentos (Abrir en)” en Restringido o Bloqueado para bloquear totalmente la impresión. Está activada de forma predeterminada.
Habilitar ShareFile
Permite a los usuarios utilizar ShareFile para transferir archivos. Está activada de forma predeterminada.
Acceso a red de las aplicaciones
Acceso de red
Nota:
SSO web en túnel es el nombre de Secure Browser en los parámetros. El comportamiento es el mismo.
Las opciones de configuración son las siguientes:
- Utilizar parámetros anteriores: Los valores predeterminados son los valores que había establecido en las directivas anteriores. Si cambia esta opción, no debe volver a ella. Tenga en cuenta también que los cambios en las nuevas directivas no surtirán efecto hasta que el usuario actualice la aplicación a 18.12.0 o posterior.
- Bloqueada: Las API de red utilizadas por la aplicación fallan. Como se indica en la directriz anterior, debe poder gestionar correctamente dicho fallo.
- Sin restricciones: Todas las llamadas de red se envían directamente, no por túnel.
- Túnel - VPN completo: Todo el tráfico proveniente de los túneles de las aplicaciones administradas se envía a través de Citrix Gateway.
- Túnel - SSO web: Se reescribe la URL de HTTP/HTTPS. Esta opción solo permite el envío por túnel del tráfico HTTP y HTTPS. Una ventaja considerable del túnel y SSO web es la autenticación PKINIT y el tipo de inicio de sesión Single Sign-On (SSO) para el tráfico HTTP y HTTPS. En Android, esta opción no consume muchos recursos. Por lo tanto, es la opción preferida para operaciones del tipo exploración web.
Si se selecciona uno de los modos en túnel, se vuelve a crear un túnel VPN por aplicación en este modo inicial de nuevo hacia la red empresarial. Aquí se utilizan los parámetros de túnel dividido de Citrix Gateway. Citrix recomienda el valor Túnel VPN completo para conexiones que usan certificados de cliente o SSL de extremo a extremo para conectarse a un recurso de la red empresarial. Citrix recomienda el valor Túnel - SSO web para conexiones que requieren Single Sign-On (SSO).
Sesión de micro VPN requerida
Si está activada, el usuario debe contar con una sesión activa y una conexión a la red de la empresa. Si está desactivada, no se necesita tener una sesión activa. El valor predeterminado es Usar parámetro anterior. Para las aplicaciones recién cargadas, está desactivada de forma predeterminada. La configuración que se seleccionó antes de la actualización a esta directiva permanece en vigor hasta que se seleccione una opción distinta de Usar parámetro anterior.
Lista de exclusión
Lista delimitada por comas de nombres de dominio completos FQDN o sufijos DNS a los que se puede acceder directamente en lugar de a través de una conexión VPN. Esta directiva solo se aplica al modo SSO web en túnel cuando Citrix Gateway está configurado con el modo de túnel dividido inverso.
Bloquear conexiones localhost
Si está activada, las aplicaciones no pueden realizar conexiones de host local. Localhost es una dirección (como 127.0.0.1) para las comunicaciones que se producen localmente en el dispositivo. El localhost omite el hardware de la interfaz de red local y accede a los servicios de red que se ejecutan en el host. Si está desactivada, esta directiva anula la directiva de Acceso de red, lo que significa que las aplicaciones pueden conectarse fuera del contenedor seguro si el dispositivo está ejecutando un servidor proxy de manera local. Está desactivada de forma predeterminada.
Etiqueta de certificado
Cuando se usa con el servicio de integración de certificados de StoreFront, esta etiqueta identifica el certificado específico requerido para esta aplicación. Si no se suministra ninguna etiqueta, no se proporciona ningún certificado para usarlo con una infraestructura de clave pública (PKI). Está vacío de forma predeterminada (no se utiliza ningún certificado).
Registros de aplicaciones
Salida de registros predeterminada
Determina los medios de salida predeterminados que utilizarán las funciones de registro de diagnósticos de la aplicación Citrix Endpoint Management. Las opciones disponibles son “archivo”, “consola” o ambos: “archivo,consola”. La opción predeterminada es archivo.
Nivel de registro predeterminado
Controla el nivel predeterminado de detalle del registro que ofrece la función de registro de diagnósticos de las aplicaciones móviles de productividad. Los números de nivel superior implican registros más detallados.
- 0 - Nothing logged (Nada registrado)
- 1 - Critical errors (Errores críticos)
- 2 - Errors (Errores)
- 3 - Warnings (Advertencias)
- 4 - Informational messages (Mensajes informativos)
- 5 - Detailed informational messages (Mensajes informativos detallados)
- De 6 a 15 - Debug levels 1 through 10 (Niveles de depuración del 1 al 10)
El valor predeterminado es el nivel 4 (mensajes informativos).
Máximo de archivos de registros
Limita la cantidad de archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 2. El valor máximo es 8. El valor predeterminado es 2.
Tamaño máximo de archivo de registros
Limita el tamaño en MB de los archivos de registros que conserva la función de registro de diagnósticos de las aplicaciones móviles de productividad antes de renovarlos. El valor mínimo es 1 MB. El valor máximo es 5 MB. El valor predeterminado es 2 MB.
Redirigir registros de la aplicación
Si está activada, intercepta y redirige los registros del sistema o de la consola desde una aplicación a la función de diagnóstico de las aplicaciones móviles de productividad. Si está desactivada, no intercepta el uso de registros de consola o de sistema por la aplicación. Está activada de forma predeterminada.
Cifrar registros
Si está activada, Citrix Endpoint Management cifra los registros de diagnóstico a medida que los registra. Si está desactivada, los registros de diagnóstico permanecen sin cifrar en el espacio aislado (sandbox) de la aplicación.
Precaución:
Según los niveles de registro que se hayan configurado, el cifrado de registros puede tener un impacto significativo en el rendimiento de la aplicación y en la duración de la batería.
Está desactivada de forma predeterminada.
Geocerca de la aplicación
Longitud del punto central
Longitud (también conocida como “coordenada X”), es el centro del punto/radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada. El valor debe expresarse en formato de grados con signo negativo o positivo (GGG.gggg); por ejemplo, “-31.9635”. Las longitudes occidentales deben ir precedidas de un signo menos (-). El valor predeterminado es 0.
Latitud del punto central
Latitud (también conocida como “coordenada Y”), es el centro del punto/radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada.
Los valores deben expresarse en formato de grados con signo negativo o positivo (GGG.gggg); por ejemplo, “43.06581”. Las latitudes meridionales deben ir precedidas de un signo menos (-). El valor predeterminado es 0.
Radio
El radio de la geocerca al que se limita el funcionamiento de la aplicación. Cuando se intenta ejecutar fuera de la geocerca configurada, la aplicación permanece bloqueada. El valor debe expresarse en metros. Cuando se establece en cero, la geocerca se inhabilita. El valor predeterminado es 0 (inhabilitada).
Analytics
Nivel de detalle de Google Analytics
Citrix recopila datos de análisis para mejorar la calidad del producto. Al seleccionar Anónimo, usted no incluye información identificable de la empresa.
Parámetros de aplicaciones
Servidor Exchange de Secure Mail
El nombre de dominio completo (FQDN) de un servidor Exchange Server o, solo para iOS, el nombre de un servidor IBM Notes Traveler. Está vacío de forma predeterminada. Si quiere proporcionar un nombre de dominio en este campo, los usuarios no lo pueden modificar. Si deja el campo vacío, los usuarios podrán indicar la información de su propio servidor.
Precaución:
Si cambia esta directiva para una aplicación, los usuarios deben eliminar la aplicación y volver a instalarla para que se aplique el cambio de directiva.
Dominio de usuario de Secure Mail
El nombre de dominio de Active Directory predeterminado de los usuarios de Exchange o, (solo para iOS) de Notes. Está vacío de forma predeterminada.
Servicios de red en segundo plano
El nombre FQDN y las direcciones de puerto de servicio permitidas para el acceso de red en segundo plano. Es posible que este valor sea un servidor Exchange o un servidor de ActiveSync, ya sea en la red interna o en otra red a la que se conecte Secure Mail, como, por ejemplo, mail.ejemplo.com:443.
Si configura esta directiva, establezca la directiva “Acceso de red” con el valor Túnel a la red interna. Esta directiva se aplica al configurar la directiva “Acceso de red”. Use esta directiva cuando el servidor Exchange Server resida en la red interna y quiere usar NetScaler Gateway como proxy de la conexión con el servidor Exchange Server interno.
El valor predeterminado está vacío, lo que implica que los servicios de red en segundo plano no están disponibles.
Caducidad del tíquet de servicios en segundo plano
El período de validez del tíquet del servicio de red en segundo plano. Después de caducar, se requerirá un inicio de sesión empresarial para renovar el tíquet. El valor predeterminado es 168 horas (7 días).
Puerta de enlace de servicio de red en segundo plano
Dirección alternativa de puerta de enlace para usar con los servicios de red en segundo plano, con el formato FQDN:puerto. Esta dirección es el número de puerto y el nombre de dominio completo de Citrix Gateway que usa Secure Mail para conectarse al servidor Exchange Server interno. En la herramienta de configuración de Citrix Gateway, se debe configurar la entidad Secure Ticket Authority (STA) y vincular la directiva con el servidor virtual.
El valor predeterminado está vacío, lo que implica que no existe una puerta de enlace alternativa.
Si configura esta directiva, establezca la directiva “Acceso de red” con el valor Túnel a la red interna. Esta directiva se aplica al configurar la directiva “Acceso de red”. Use esta directiva cuando el servidor Exchange resida en la red interna y quiera usar Citrix Gateway como proxy de la conexión con el servidor Exchange interno.
Exportar contactos
Importante:
No habilite esta función si los usuarios pueden acceder a su servidor Exchange Server directamente (es decir, fuera de Citrix Gateway). De lo contrario, los contactos se duplican y aparecen tanto en el dispositivo como en Exchange.
Si está desactivada, impide la sincronización unidireccional de los contactos de Secure Mail con el dispositivo y el uso compartido de los contactos de Secure Mail (como vCards). Esta opción está desactivada de forma predeterminada.
Campos de contacto para exportar
Controla los campos de los contactos que se exportan a la libreta de direcciones. Si tiene el valor Todos, se exportan todos los campos de los contactos. Si tiene el valor Nombre y teléfono, se exportan todos los campos del contacto relacionados con el nombre y el teléfono. Si tiene el valor Nombre, teléfono y correo electrónico, se exportan todos los campos del contacto relacionados con el nombre, el teléfono y el correo electrónico. El valor predeterminado es Todos.
Aceptar todos los certificados SSL
Si está activada, Secure Mail acepta todos los certificados SSL (válidos o no) y permite el acceso. Si está desactivada, Secure Mail bloquea el acceso y muestra un mensaje de advertencia cuando se produce un error de certificado. Está desactivada de forma predeterminada.
Usar conexión segura
Si está activada, Secure Mail usa una conexión protegida. Si está desactivada, Secure Mail no usa una conexión protegida. De forma predeterminada, está activado.
Information Rights Management
Si está activada, Secure Mail admite la funcionalidad Information Rights Management (IRM) de Exchange. Está desactivada de forma predeterminada.
Control de notificaciones en pantalla bloqueada
Controla si las notificaciones de correo electrónico y de calendario aparecen en la pantalla de un dispositivo bloqueado. Si selecciona el valor Permitir, aparece toda la información contenida en la notificación. Si la opción seleccionada es Bloquear, las notificaciones no aparecen. Si selecciona el valor Remitente del correo o título del evento, aparece únicamente el nombre del remitente del correo electrónico o el título del evento de calendario. Si selecciona el valor Solo recuento, solo aparecen la cantidad de correos y de invitaciones a reuniones, así como la hora de los avisos del calendario. La opción predeterminada es Permitir.
Intervalo de sincronización predeterminado
Especifica el intervalo de sincronización predeterminado para Secure Mail. Los usuarios de Secure Mail pueden cambiar el valor predeterminado.
El parámetro Filtro de antigüedad máxima de correo de la directiva Buzón de Exchange ActiveSync tiene prioridad sobre esta directiva. Si especifica un “Intervalo de sincronización predeterminado” mayor que el Filtro de antigüedad máxima de correo, se usa este último en su lugar. Secure Mail solo muestra los valores de intervalo de sincronización inferiores al parámetro de filtro Antigüedad máxima de correo de ActiveSync.
El valor predeterminado es tres días.
Habilitar la descarga de adjuntos por Wi-Fi
Si está activada, se habilita la opción “Descargar adjuntos” en Secure Mail, de modo que los usuarios pueden, de forma predeterminada, descargar datos adjuntos por redes Wi-Fi internas. Si está desactivada, se inhabilita la opción “Descargar adjuntos” en Secure Mail, de modo que, de forma predeterminada, los usuarios no pueden descargar datos adjuntos por Wi-Fi. Está desactivada de forma predeterminada.
Permitir documentos sin conexión
Especifica si los usuarios pueden almacenar documentos sin conexión en los dispositivos y cuánto tiempo pueden conservarlos. El valor predeterminado es Sin límite.
Habilitar guardado automático de borradores
Si está activada, Secure Mail admite el guardado automático de mensajes en la carpeta Borradores. Está activada de forma predeterminada.
Mecanismo de autenticación inicial
Esta directiva indica si se utiliza la dirección de correo electrónico del usuario o la dirección del servidor de correo proporcionada por MDX para rellenar el campo Dirección en la pantalla de aprovisionamiento en el primer uso. El valor predeterminado es Dirección del servidor de correo.
Credenciales iniciales de autenticación
Esta directiva define el valor que debe seleccionarse como nombre de usuario para rellenar la pantalla de aprovisionamiento la primera vez que se usa. El valor predeterminado es Nombre de usuario de inscripción.
Habilitar los números de semana
Si está activada, las vistas de calendario incluyen el número de la semana. Está desactivada de forma predeterminada.
Clasificación de correo electrónico
Si está activada, Secure Mail admite la marca de clasificación de correo electrónico para seguridad (SEC) y los marcadores de limitación de difusión. Las marcas de clasificación aparecen en los encabezados de los correos como valores X-Protective-Marking. Asegúrese de configurar las directivas de clasificación de correo electrónico relacionadas. Está desactivada de forma predeterminada.
Marcas de clasificación de correo
Especifica el marcado de clasificación que pueden utilizar los usuarios finales. Si la lista está vacía, Secure Mail no incluye ninguna lista de marcas de protección. La lista de marcas contiene parejas de valores separados por punto y coma. Cada par incluye el valor que aparece en Secure Mail y el valor de marcado (el texto agregado al asunto del mensaje y al encabezado en Secure Mail). Por ejemplo, en la pareja de marcado "UNOFFICIAL,SEC=UNOFFICIAL;", el valor de la lista es “UNOFFICIAL” y el valor de marcado es “SEC=UNOFFICIAL”.
Espacio de nombres de clasificación de correo
Especifica el espacio de nombres de clasificación requerido en el encabezado del correo electrónico según el estándar de clasificación utilizado. Por ejemplo, el espacio de nombres “gov.au” aparece en el encabezado como “NS=gov.au”. Está vacío de forma predeterminada.
Versión de clasificación del correo electrónico
Especifica la versión de la clasificación requerida en el encabezado del correo electrónico según el estándar de clasificación utilizado. Por ejemplo, la versión “2012.3” aparece en el encabezado como “VER=2012.3”. Está vacío de forma predeterminada.
Clasificación predeterminada del correo
Especifica la marca protectora que Secure Mail aplica a un mensaje de correo electrónico si un usuario no elige ninguna marca. Este valor debe estar incluido en la lista de la directiva Marcas de clasificación de correo. El valor predeterminado es No oficial.
Límite de búsqueda de correo
Limita la cantidad de historial de correo que sea accesible desde dispositivos móviles, porque limita la cantidad de días que se incluyen en las búsquedas del servidor de correo. Para restringir la cantidad de correo que se sincroniza con un dispositivo móvil, configure la directiva “Intervalo máximo de sincronización”. El valor predeterminado es Sin límite.
Intervalo máximo de sincronización
Controla la cantidad de mensajes que se almacenan localmente en el dispositivo móvil limitando el periodo de sincronización del correo.
Para restringir el período de tiempo que un dispositivo puede realizar búsquedas en el servidor de correo, configure la directiva “Límite de búsqueda en servidor de correo”.
Los valores son:
- 3 días
- 1 semana
- 2 semanas
- 1 mes
- Todas
El valor predeterminado es Todos.
Opciones de web y audio del calendario
- GoToMeeting y datos introducidos por el usuario: Si elige esta opción, los usuarios podrán elegir el tipo de conferencia que les gustaría configurar. Las opciones son: GoToMeeting, que abre una página de GoToMeeting, y Otra conferencia, que permite a los usuarios introducir la información de la reunión manualmente.
- Solo datos introducidos por el usuario: Si elige esta opción, se redirigirá a los usuarios directamente a la página “Otra conferencia”, donde pueden indicar manualmente la información de la reunión.
Origen de certificado público S/MIME
Especifica el origen de los certificados públicos S/MIME. Si tiene el valor Exchange, Secure Mail obtiene los certificados desde el servidor Exchange. Si tiene el valor LDAP, Secure Mail obtiene los certificados desde el servidor LDAP. El valor predeterminado es Exchange.
Dirección de servidor LDAP
Dirección del servidor LDAP, incluido el número de puerto. Está vacío de forma predeterminada.
Nombre distintivo de base LDAP
El nombre distintivo base de LDAP. Está vacío de forma predeterminada.
Acceso anónimo a LDAP
Si la directiva está activada, Secure Mail puede efectuar búsquedas LDAP sin autenticación previa. Está desactivada de forma predeterminada.
Dominios de correo electrónico permitidos
Defina una lista de los dominios de correo electrónico permitidos separados por comas, por ejemplo server.company.com,server.company.co.uk. El valor predeterminado está vacío, lo que implica que Secure Mail no filtra los dominios de correo electrónico y admite todos los dominios de correo electrónico. Secure Mail busca los dominios enumerados en el nombre de dominio de la dirección del correo electrónico.
Por ejemplo, si servidor.empresa.com figura como un nombre de dominio de la lista y la dirección de correo electrónico es usuario@interno.servidor.empresa.com, Secure Mail admite esa dirección de correo electrónico.
Notificaciones push
Habilita notificaciones basadas en FCM acerca de la actividad en el buzón de correo. Si está activada, Secure Mail admite las notificaciones push. Está desactivada de forma predeterminada.
Nombre de host EWS para notificaciones push
El servidor que aloja los servicios web de Exchange (EWS) para el correo. El valor debe ser la URL de EWS, junto con el número de puerto. Está vacío de forma predeterminada.
Región de notificaciones push
La región donde está ubicado el host de FCM para los usuarios de Secure Mail. Las opciones son América, Europa-Oriente Medio-África y Asia-Pacífico. El valor predeterminado es América.
Intentar migración de nombre de usuario en caso de fallo de autenticación
Esta directiva intenta migrar el nombre de usuario de Exchange a un nombre UPN para la autenticación. Esta opción está desactivada de forma predeterminada.
Direcciones para notificar mensaje de phishing
Si está configurado, puede notificar mensajes sospechosos de suplantación de identidad (phishing) a una dirección de correo electrónico determinada o a una lista de direcciones de correo electrónico separadas por comas. El valor está vacío de forma predeterminada. Si no configura esta directiva, no podrá notificar los mensajes de phishing.
Mecanismo para notificar phishing
Esta directiva indica el mecanismo utilizado para notificar mensajes sospechosos de phishing.
- Notificar mediante archivo adjunto (.eml): Notifique mensajes de phishing mediante datos adjuntos de correo. El archivo adjunto se envía a una dirección de correo electrónico o a una lista de direcciones separadas por comas que se configura en la directiva “Direcciones para notificar mensaje de phishing”.
- Notificar mediante reenvío: Notifique mensajes de phishing mediante reenvíos de correo. El correo se reenvía a una dirección de correo electrónico o a una lista de direcciones separadas por comas que se configura en la directiva “Direcciones para notificar mensaje de phishing”.
Nota:
Esta directiva solo está disponible para Microsoft Exchange Server.
El valor predeterminado es Notificar mediante archivo adjunto.
Dominios de reunión de Skype Empresarial
Esta directiva contiene una lista separada por comas de dominios utilizados para reuniones de Skype Empresarial. Secure Mail ya gestiona las reuniones con prefijo URL de la siguiente manera:
https://joinhttps://meethttps://lync
Con esta directiva, se pueden agregar otros dominios de Skype Empresarial en el formulario https://*domain*. El dominio puede ser una cadena de caracteres alfanuméricos y no puede contener caracteres especiales. No introduzca el punto antes de https:// ni después.
Ejemplo
Si el valor de directiva es customDomain1,customDomain2, los prefijos de URL compatibles para Skype Empresarial serían:
https://customDomain1
http://customDomain1
https://customDomain2
http://customDomain2
Está vacío de forma predeterminada.
Exportar calendario
Esta directiva permite exportar eventos de calendario de Secure Mail a su dispositivo o calendario personal. Puede ver sus eventos en su calendario personal. Puede modificar los eventos mediante Secure Mail. El valor predeterminado es Hora de reunión.
Dispone de los siguientes valores de directiva MDX para los campos de eventos del calendario que aparecen en el calendario personal:
- Ninguno (No exportar)
- Hora de reunión
- Hora, lugar
- Hora, asunto, lugar
- Hora, disponibilidad, asistentes, asunto, lugar, notas
Compatibilidad de OAuth con Office 365
Usar autenticación moderna para Office 365
Si esta directiva está activada, Secure Mail utiliza el protocolo de OAuth utilizado para la autenticación cuando se configura una cuenta en Office 365. Si está desactivada, Secure Mail utiliza la autenticación básica. Está desactivada de forma predeterminada.
Nombres de host Exchange Online de confianza
Defina una lista de nombres de host Exchange Online de confianza que utilizan el mecanismo OAuth para la autenticación cuando se configura una cuenta. Los elementos de esta lista están separados por comas, como servidor.empresa.com, servidor.empresa.co.uk. Si la lista está vacía, Secure Mail usa la autenticación básica para la configuración de la cuenta. El valor predeterminado es outlook.office365.com.
Nombres de host AD FS de confianza
Defina una lista de nombres de host de AD FS de confianza para las páginas web donde la contraseña se rellena automáticamente durante la autenticación OAuth de Office 365. Este es un formato separado por comas, como sts.companyname.com, sts.company.co.uk. Si la lista está vacía, Secure Mail no rellena automáticamente las contraseñas. Secure Mail coteja los nombres de host de la lista con el nombre de host de la página web encontrada durante la autenticación de Office 365 y comprueba si la página usa el protocolo HTTPS.
Por ejemplo, cuando sts.company.com es un nombre de host de la lista, si el usuario va a https://sts.company.com, Secure Mail rellena la contraseña si la página tiene un campo de contraseña. El valor predeterminado es login.microsoftonline.com.
Agente de usuario personalizado para autenticación moderna
Esta directiva le permite cambiar la cadena del agente de usuario predeterminada para la autenticación moderna. Si está configurada, esta cadena de agente de usuario se utiliza para la autenticación con Microsoft AD FS. Si no configura esta directiva, se utiliza el agente de usuario predeterminado de Secure Mail durante la autenticación moderna.
Integración con Slack
Habilitar Slack
Bloquea o permite la integración de Slack. Si está activada, la interfaz de Secure Mail incluye funciones de Slack. Si está desactivada, la interfaz de Secure Mail no incluye funciones de Slack.
Nombre del espacio de trabajo de Slack
El nombre del espacio de trabajo de Slack para su empresa. Si proporciona un nombre, Secure Mail rellena previamente el nombre del espacio de trabajo durante el inicio de sesión. Si no proporciona un nombre, los usuarios deben escribir el nombre del espacio de trabajo (nombre.slack.com).
En este artículo
- Autenticación
- Seguridad del dispositivo
- Requisitos de la red
- Otros accesos
- Cifrado
- Interacción entre aplicaciones
- Restricciones de aplicaciones
- Acceso a red de las aplicaciones
- Registros de aplicaciones
- Geocerca de la aplicación
- Analytics
- Parámetros de aplicaciones
- Compatibilidad de OAuth con Office 365
- Integración con Slack