Stratégies du SDK MAM pour les applications tierces iOS
Cet article décrit les stratégies du SDK MAM pour les applications iOS tierces. Vous pouvez modifier les paramètres de stratégie directement dans les fichiers XML de stratégie ou dans la console Citrix Endpoint Management™ lorsque vous ajoutez une application.
Accès réseau de l’application
Accès réseau
-
Remarque :
-
-
Tunnelisé - SSO Web est le nom de l’option Navigation sécurisée dans les paramètres. Le comportement est identique.
Les options de paramétrage sont les suivantes :
- Bloqué : Les API réseau utilisées par votre application échouent. Conformément à la directive précédente, vous devez gérer cet échec de manière appropriée.
- Non restreint : Tous les appels réseau sont directs et ne sont pas tunnelisés.
- Tunnelisé - SSO Web : L’URL HTTP/HTTPS est réécrite. Cette option permet uniquement le tunneling du trafic HTTP et HTTPS. Un avantage significatif de Tunnelisé - SSO Web est l’authentification unique (SSO) pour le trafic HTTP et HTTPS, ainsi que l’authentification PKINIT. Sur Android, cette option a un faible coût de configuration et est donc l’option préférée pour les opérations de navigation Web.
Authentification
Code secret de l’application
Si l’option est Activée, un code PIN ou un code secret est requis pour déverrouiller l’application lorsqu’elle démarre ou reprend après une période d’inactivité. La valeur par défaut est Activée.
Pour configurer le délai d’inactivité pour toutes les applications, définissez la valeur INACTIVITY_TIMER en minutes dans les Propriétés du client sous l’onglet Paramètres. La valeur par défaut du délai d’inactivité est de 60 minutes. Pour désactiver le délai d’inactivité, afin qu’une invite de code PIN ou de code secret n’apparaisse qu’au démarrage de l’application, définissez la valeur sur zéro.
-
Remarque :
-
-
Si vous sélectionnez Sécurisé hors ligne pour la stratégie de clés de chiffrement, cette stratégie est automatiquement activée.
-
Période hors ligne maximale (heures)
Définit la période maximale pendant laquelle une application peut s’exécuter sans reconfirmer les droits d’application et sans actualiser les stratégies depuis Citrix Endpoint Management. À l’expiration, une connexion au serveur peut être déclenchée si nécessaire. La valeur par défaut est 168 heures (7 jours). La période minimale est de 1 heure.
Journaux d’application
Sortie de journal par défaut
Détermine les supports de sortie utilisés par défaut par les fonctions de journalisation de diagnostic des applications de productivité mobile. Les possibilités sont le fichier, la console ou les deux. La valeur par défaut est fichier.
Niveau de journal par défaut
Contrôle la verbosité par défaut de la fonction de journalisation de diagnostic des applications de productivité mobile. Chaque niveau inclut les niveaux de valeurs inférieures. La plage des niveaux possibles comprend :
- 0 - Rien n’est enregistré
- 1 - Erreurs critiques
- 2 - Erreurs
- 3 - Avertissements
- 4 - Messages d’information
- 5 - Messages d’information détaillés
- 6 à 15 - Niveaux de débogage 1 à 10
La valeur par défaut est le niveau 4 (Messages d’information).
Nombre maximal de fichiers journaux
Limite le nombre de fichiers journaux conservés par la fonction de journalisation de diagnostic des applications de productivité mobile avant le basculement. Le minimum est 2. Le maximum est 8. La valeur par défaut est 2.
Taille maximale du fichier journal
Limite la taille en mégaoctets (Mo) des fichiers journaux conservés par la fonction de journalisation de diagnostic des applications de productivité mobile avant le basculement. Le minimum est 1 Mo. Le maximum est 5 Mo. La valeur par défaut est 2 Mo.
Masquer les URL dans les journaux
Si l’option est Activée, intercepte et redirige les journaux système ou de console d’une application vers la fonction de diagnostic des applications de productivité mobile. Si l’option est Désactivée, l’utilisation des journaux système ou de console par l’application n’est pas interceptée.
La valeur par défaut est Activée.
Bloquer les journaux d’application
-
Si l’option est Activée, interdit à une application d’utiliser la fonction de journalisation de diagnostic des applications de productivité mobile. Si l’option est Désactivée, les journaux d’application sont enregistrés et peuvent être collectés à l’aide de la fonction de support par e-mail de Secure Hub. La valeur par défaut est Désactivée.
-
Interaction avec l’application
Couper et copier
Bloque, autorise ou restreint les opérations de couper-coller du Presse-papiers pour cette application. Si l’option est Restreinte, les données copiées du Presse-papiers sont placées dans un Presse-papiers privé qui n’est disponible que pour les applications. La valeur par défaut est Restreinte.
Coller
Bloque, autorise ou restreint les opérations de collage du Presse-papiers pour cette application. Si l’option est Restreinte, les données collées du Presse-papiers proviennent d’un Presse-papiers privé qui n’est disponible que pour les applications. La valeur par défaut est Non restreinte.
Échange de documents (Ouvrir dans)
Bloque, autorise ou restreint les opérations d’échange de documents pour cette application. Si l’option est Restreinte, les documents ne peuvent être échangés qu’avec d’autres applications.
Si l’option est Non restreinte, définissez la stratégie Activer le chiffrement sur Activée afin que les utilisateurs puissent ouvrir des documents dans des applications non encapsulées. Si l’application réceptrice n’est pas encapsulée ou si le chiffrement est désactivé, Citrix Endpoint Management déchiffre le document. La valeur par défaut est Restreinte.
Liste d’exceptions pour l’ouverture restreinte
Lorsque la stratégie Échange de documents (Ouvrir dans) est Restreinte, une application peut partager des documents avec cette liste d’ID d’applications non gérées séparés par des virgules, même si la stratégie Échange de documents (Ouvrir dans) est Restreinte et que l’option Activer le chiffrement est Activée. La liste d’exceptions par défaut autorise les applications Office 365 :
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
-
Seules les applications Office 365 sont prises en charge pour cette stratégie.
-
Attention :
-
-
Assurez-vous de prendre en compte les implications de sécurité de cette stratégie. La liste d’exceptions permet au contenu de circuler entre les applications non gérées et l’environnement du SDK MAM.
-
Échange de documents entrants (Ouvrir dans)
Bloque, restreint ou autorise les opérations d’échange de documents entrants pour cette application. Si l’option est Restreinte, les documents ne peuvent être échangés qu’avec d’autres applications. La valeur par défaut est Non restreinte.
Si l’option est Bloquée ou Restreinte, vous pouvez utiliser la stratégie Liste blanche d’échange de documents entrants pour spécifier les applications qui peuvent envoyer des documents à cette application.
Remarque :
La stratégie Liste blanche d’échange de documents entrants ne prend en charge que les appareils exécutant iOS 12.
Options : Non restreint, Bloqué ou Restreint
Schémas d’URL d’application
Les applications iOS peuvent envoyer des requêtes URL à d’autres applications qui ont été enregistrées pour gérer des schémas spécifiques (tels que “http://”). Cette fonctionnalité fournit un mécanisme permettant à une application de transmettre des requêtes d’aide à une autre application. Cette stratégie sert à filtrer les schémas qui sont transmis à cette application pour traitement (c’est-à-dire les URL entrantes). La valeur par défaut est vide, ce qui signifie que tous les schémas d’URL d’application enregistrés sont bloqués.
La stratégie doit être formatée comme une liste de modèles séparés par des virgules, où chaque modèle peut être précédé d’un signe plus “+” ou moins “-“. Les URL entrantes sont comparées aux modèles dans l’ordre indiqué jusqu’à ce qu’une correspondance soit trouvée. Une fois la correspondance établie, l’action entreprise est dictée par le préfixe.
- Un préfixe moins “-“ bloque le passage de l’URL à cette application.
- Un préfixe plus “+” permet le passage de l’URL à l’application pour traitement.
- Si ni “+” ni “-“ n’est fourni avec le modèle, “+” (autoriser) est supposé.
- Si une URL entrante ne correspond à aucun modèle de la liste, l’URL est bloquée.
Le tableau suivant contient des exemples de schémas d’URL d’application :
| Schéma | Application nécessitant le schéma d’URL | Objectif |
|---|---|---|
| ctxmobilebrowser | Secure Web- | Permet à Secure Web de gérer les URL HTTP: provenant d’autres applications. |
| ctxmobilebrowsers | Secure Web- | Permet à Secure Web de gérer les URL HTTPS: provenant d’autres applications. |
| ctxmail | Secure Mail- | Permet à Secure Mail de gérer les URL mailto: provenant d’autres applications. |
| COL-G2M | GoToMeeting- | Permet à une application GoToMeeting encapsulée de gérer les requêtes de réunion. |
| ctxsalesforce | Citrix® pour Salesforce- | Permet à Citrix pour Salesforce de gérer les requêtes Salesforce. |
| wbx | WebEx | Permet à une application WebEx encapsulée de gérer les requêtes de réunion. |
Interaction avec l’application (URL sortante)
URL autorisées
Les applications iOS peuvent envoyer des requêtes d’URL à d’autres applications qui ont été enregistrées pour gérer des schémas spécifiques (tels que "http://"). Cette fonctionnalité fournit un mécanisme permettant à une application de transmettre des requêtes d’aide à une autre application. Cette politique sert à filtrer les URL qui sont transmises de cette application à d’autres applications pour traitement (c’est-à-dire, les URL sortantes).
La politique doit être formatée comme une liste de modèles séparés par des virgules, où chaque modèle peut être précédé d’un signe plus « + » ou moins « - ». Les URL sortantes sont comparées aux modèles dans l’ordre indiqué jusqu’à ce qu’une correspondance soit trouvée. Une fois la correspondance établie, l’action entreprise est dictée par le préfixe. Un préfixe « - » bloque la transmission de l’URL à une autre application. Un préfixe « + » permet la transmission de l’URL à une autre application pour traitement. Si ni « + » ni « - » n’est fourni avec le modèle, « + » (autoriser) est supposé. Une paire de valeurs séparées par « = » indique une substitution où les occurrences de la première chaîne sont remplacées par la seconde. Vous pouvez utiliser le préfixe « ^ » d’expression régulière pour rechercher une chaîne et l’ancrer au début de l’URL. Si une URL sortante ne correspond à aucun modèle de la liste, elle est bloquée.
Conformité
Code d’accès de l’appareil
Si Activé, un code PIN ou un code d’accès est requis pour déverrouiller l’appareil lorsqu’il démarre ou reprend après une période d’inactivité. Un code d’accès de l’appareil est requis pour chiffrer les données de l’application à l’aide du chiffrement de fichiers Apple. Les données de toutes les applications sur l’appareil sont chiffrées. La valeur par défaut est Désactivé.
Bloquer les appareils jailbreakés ou rootés
Si Activé, l’application est verrouillée lorsque l’appareil est jailbreaké ou rooté. Si Désactivé, l’application peut s’exécuter même si l’appareil est jailbreaké ou rooté. La valeur par défaut est Activé.
Comportement de l’appareil non conforme
Permet de choisir une action lorsqu’un appareil ne respecte pas les exigences minimales de conformité en matière de chiffrement. Sélectionnez Autoriser l’application pour que l’application s’exécute normalement. Sélectionnez Autoriser l’application après avertissement pour que l’application s’exécute après l’affichage de l’avertissement. Sélectionnez Bloquer pour empêcher l’application de s’exécuter. La valeur par défaut est Autoriser l’application après avertissement.
Effacer les données de l’application au verrouillage
Efface les données et réinitialise l’application lorsque celle-ci est verrouillée. Si Désactivé, les données de l’application ne sont pas effacées lorsque l’application est verrouillée. La valeur par défaut est Désactivé.
Une application peut être verrouillée pour l’une des raisons suivantes :
- Perte du droit d’utilisation de l’application pour l’utilisateur
- Abonnement à l’application supprimé
- Compte supprimé
- Secure Hub désinstallé
- Trop d’échecs d’authentification de l’application
- Appareil jailbreaké détecté (selon le paramètre de stratégie)
- Appareil placé en état verrouillé par une autre action administrative
Période d’interrogation active (minutes)
Lorsqu’une application démarre, le framework MAM SDK interroge Citrix Endpoint Management pour déterminer l’état actuel de l’application et de l’appareil. En supposant que le serveur exécutant Endpoint Management est accessible, le framework renvoie des informations sur l’état de verrouillage/effacement de l’appareil et l’état d’activation/désactivation de l’application. Que le serveur soit accessible ou non, une interrogation ultérieure est planifiée en fonction de l’intervalle de la période d’interrogation active. Une fois la période expirée, une nouvelle interrogation est tentée. La valeur par défaut est de 60 minutes (1 heure).
Important :
Ne définissez cette valeur à un niveau inférieur que pour les applications à haut risque, sinon les performances pourraient être affectées.
Période de grâce pour la mise à jour de l’application (heures)
Définit la période de grâce pendant laquelle une application peut continuer à être utilisée après que le système a détecté qu’une mise à jour de l’application est disponible. La valeur par défaut est de 168 heures (7 jours).
Remarque :
L’utilisation d’une valeur de zéro n’est pas recommandée, car elle empêche immédiatement l’utilisation d’une application en cours d’exécution tant que la mise à jour n’est pas téléchargée et installée (sans aucun avertissement à l’utilisateur). Cela pourrait entraîner une situation où l’utilisateur est contraint de quitter l’application (avec une perte potentielle de travail) pour se conformer à la mise à jour requise.
Restrictions d’application
Important :
Assurez-vous de prendre en compte les implications de sécurité des stratégies qui empêchent les applications d’accéder ou d’utiliser les fonctionnalités du téléphone. Lorsque ces stratégies sont Désactivées, le contenu peut circuler entre les applications non gérées et l’environnement sécurisé.
Bloquer la caméra
Si Activé, empêche une application d’utiliser directement le matériel de la caméra. La valeur par défaut est DÉSACTIVÉ.
Bloquer la photothèque
Si Activé, empêche une application d’accéder à la photothèque sur l’appareil. La valeur par défaut est Activé.
Bloquer l’enregistrement micro
Si Activé, empêche une application d’utiliser directement le matériel du microphone. La valeur par défaut est Activé.
Bloquer la dictée
Si Activé, empêche une application d’utiliser directement les services de dictée. La valeur par défaut est Activé.
Bloquer les services de localisation
Si Activé, empêche une application d’utiliser les composants des services de localisation (GPS ou réseau). La valeur par défaut est Désactivé pour Secure Mail.
Bloquer la composition SMS
Si Activé, empêche une application d’utiliser la fonction de composition SMS utilisée pour envoyer des messages SMS/texte depuis l’application. La valeur par défaut est Activé.
Bloquer iCloud
Si Activé, empêche une application d’utiliser iCloud pour le stockage et le partage des paramètres et des données.
Remarque :
Le fichier de données iCloud est contrôlé par la stratégie de blocage de la sauvegarde de fichiers.
La valeur par défaut est Activé.
Bloquer la recherche
Si Activé, empêche une application d’utiliser la fonction de recherche, qui recherche le texte mis en surbrillance dans le Dictionnaire, iTunes, l’App Store, les horaires de films, les lieux à proximité et plus encore. La valeur par défaut est Activé.
Bloquer la sauvegarde de fichiers
Si Activé, empêche la sauvegarde des fichiers de données par iCloud ou iTunes. La valeur par défaut est Activé.
Bloquer AirPrint
Si Activé, empêche une application d’utiliser les fonctionnalités AirPrint pour imprimer des données sur des imprimantes compatibles AirPrint. La valeur par défaut est Activé.
Bloquer AirDrop
Si Activé, empêche une application d’utiliser AirDrop. La valeur par défaut est Activé.
Bloquer les API Facebook et Twitter
Si Activé, empêche une application d’utiliser les API Facebook et Twitter d’iOS. La valeur par défaut est Activé.
Masquer le contenu de l’écran
Si Activé, lorsque les utilisateurs changent d’application, l’écran est masqué. Cette stratégie empêche iOS d’enregistrer le contenu de l’écran et d’afficher des miniatures. La valeur par défaut est Activé.
Bloquer les claviers tiers (iOS 11 et versions ultérieures uniquement)
Si Activé, empêche une application d’utiliser les extensions de clavier tierces sur iOS 8+. La valeur par défaut est Activé.
Géorepérage d’application
Longitude du point central
Longitude (coordonnée X) du point central du géorepérage point/rayon dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors du géorepérage configuré, l’application reste verrouillée.
Doit être exprimée au format degrés signés (DDD.dddd), par exemple « -31.9635 ». Les longitudes ouest doivent être précédées d’un signe moins. La valeur par défaut est 0.
Latitude du point central
Latitude (coordonnée Y) du point central du géorepérage point/rayon dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors du géorepérage configuré, l’application reste verrouillée.
Doit être exprimée au format degrés signés (DDD.dddd), par exemple « 43.06581 ». Les latitudes sud doivent être précédées d’un signe moins. La valeur par défaut est 0.
Rayon
Rayon du géorepérage dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors du géorepérage configuré, l’application reste verrouillée.
Doit être exprimé en mètres. Lorsqu’il est défini sur zéro, le géorepérage est désactivé. Lorsque la stratégie de blocage des services de localisation est activée, le géorepérage ne fonctionne pas correctement. La valeur par défaut est 0 (désactivé).