Documentation produit
SDK MAM
Voir PDF

Stratégies MDX pour les applications tierces Android

May 18, 2026
Contributeur: 
C C

Cet article décrit les stratégies MDX pour les applications tierces Android. Vous pouvez modifier les paramètres de stratégie dans la console Citrix Endpoint Management™.

Authentification

Code secret de l’application

Si l’option est Activée, un code PIN ou un code secret est requis pour déverrouiller l’application lorsqu’elle démarre ou reprend après une période d’inactivité. La valeur par défaut est Activée.

Pour configurer le délai d’inactivité pour toutes les applications, définissez la valeur INACTIVITY_TIMER en minutes dans les propriétés du client, sous l’onglet Paramètres. La valeur par défaut du délai d’inactivité est de 60 minutes. Pour désactiver le délai d’inactivité, afin qu’une invite de code PIN ou de code secret n’apparaisse qu’au démarrage de l’application, définissez la valeur sur zéro.

Remarque :

Si vous sélectionnez Sécuriser hors ligne pour la stratégie Clés de chiffrement, cette stratégie est automatiquement activée.

Période hors ligne maximale (heures)

Définit la période maximale pendant laquelle une application peut s’exécuter hors ligne sans connexion réseau pour reconfirmer les droits et actualiser les stratégies. La valeur par défaut est de 168 heures (7 jours). La période minimale est de 1 heure.

L’utilisateur est invité à se connecter 30, 15 et 5 minutes avant l’expiration de la période. Après expiration, l’application reste verrouillée jusqu’à ce que l’utilisateur effectue une connexion réseau réussie.

Citrix Gateway alternatif

Remarque :

Le nom de cette stratégie dans la console Endpoint Management est Alternate NetScaler® Gateway.

Adresse d’un Citrix Gateway alternatif spécifique (anciennement, NetScaler Gateway) qui est utilisé pour l’authentification et les sessions micro VPN avec cette application. Il s’agit d’une stratégie facultative qui, lorsqu’elle est utilisée avec la stratégie Session en ligne requise, force les applications à se réauthentifier auprès de la passerelle spécifique. Ces passerelles auraient généralement des exigences d’authentification et des stratégies de gestion du trafic différentes (avec une assurance plus élevée). Si ce champ est laissé vide, la valeur par défaut du serveur est toujours utilisée. La valeur par défaut est vide.

Sécurité de l’appareil

Bloquer les appareils jailbreakés ou rootés

Si l’option est Activée, l’application est verrouillée lorsque l’appareil est jailbreaké ou rooté. Si l’option est Désactivée, l’application peut s’exécuter même si l’appareil est jailbreaké ou rooté. La valeur par défaut est Activée.

Exiger le verrouillage de l’appareil

  • Si Code PIN ou code secret de l’appareil, l’application est verrouillée si l’appareil ne dispose pas d’un code PIN ou d’un code secret. Si Verrouillage de l’écran par schéma de l’appareil, l’application est verrouillée si l’appareil ne dispose pas d’un verrouillage de l’écran par schéma. Si l’option est Désactivée, l’application est autorisée à s’exécuter même si l’appareil ne dispose pas d’un code PIN, d’un code secret ou d’un verrouillage de l’écran par schéma. La valeur par défaut est Désactivée.

  • Code PIN ou code secret de l’appareil nécessite une version minimale d’Android 4.1 (Jelly Bean). La définition de la stratégie sur Code PIN ou code secret de l’appareil empêche une application de s’exécuter sur des versions antérieures.

  • Sur les appareils Android M, les options Code PIN ou code secret de l’appareil et Verrouillage de l’écran par schéma de l’appareil ont le même effet : avec l’une ou l’autre de ces options, l’application est verrouillée si l’appareil ne dispose pas d’un code PIN, d’un code secret ou d’un verrouillage de l’écran par schéma.

  • Exigences réseau

Exiger le Wi-Fi

Si l’option est Activée, l’application est verrouillée lorsque l’appareil n’est pas connecté à un réseau Wi-Fi. Si l’option est Désactivée, l’application peut s’exécuter si l’appareil dispose d’une connexion active, telle qu’une connexion 4G/3G, LAN ou Wi-Fi. La valeur par défaut est Désactivée.

Réseaux Wi-Fi autorisés

Liste des réseaux Wi-Fi autorisés, séparés par des virgules. Si le nom du réseau contient des caractères non alphanumériques (y compris des virgules), le nom doit être placé entre guillemets. L’application ne s’exécute que si elle est connectée à l’un des réseaux répertoriés. Si ce champ est laissé vide, tous les réseaux sont autorisés. Cela n’affecte pas les connexions aux réseaux cellulaires. La valeur par défaut est vide.

Accès divers

  • Délai de grâce pour la mise à jour de l’application (heures)

Définit le délai de grâce pendant lequel une application peut être utilisée après que le système a détecté qu’une mise à jour de l’application est disponible. La valeur par défaut est de 168 heures (7 jours).

Remarque :

L’utilisation d’une valeur de zéro n’est pas recommandée car elle empêche immédiatement l’utilisation d’une application en cours d’exécution tant que la mise à jour n’est pas téléchargée et installée (sans avertissement à l’utilisateur). Cela pourrait entraîner une situation où l’utilisateur exécutant l’application est contraint de quitter l’application (avec une perte potentielle de travail) pour se conformer à la mise à jour requise.

Effacer les données de l’application lors du verrouillage

Efface les données et réinitialise l’application lorsque celle-ci est verrouillée. Si l’option est Désactivée, les données de l’application ne sont pas effacées lorsque l’application est verrouillée. La valeur par défaut est Désactivée.

Une application peut être verrouillée pour l’une des raisons suivantes :

  • Perte des droits d’application pour l’utilisateur
  • Abonnement à l’application supprimé
  • Compte supprimé
  • Secure Hub désinstallé
  • Trop d’échecs d’authentification de l’application
  • Appareil jailbreaké détecté (selon le paramètre de stratégie)
  • Appareil placé en état verrouillé par une autre action administrative

Période d’interrogation active (minutes)

Lorsqu’une application démarre, le framework MDX interroge Citrix Endpoint Management pour déterminer l’état actuel de l’application et de l’appareil. En supposant que le serveur exécutant Endpoint Management est accessible, le framework renvoie des informations sur l’état de verrouillage/effacement de l’appareil et l’état d’activation/désactivation de l’application. Que le serveur soit accessible ou non, une interrogation ultérieure est planifiée en fonction de l’intervalle de la période d’interrogation active. Une fois la période expirée, une nouvelle interrogation est tentée. La valeur par défaut est de 60 minutes (1 heure).

Important :

Ne définissez cette valeur à un niveau inférieur que pour les applications à haut risque, sinon les performances pourraient être affectées.

Comportement de l’appareil non conforme

Vous permet de choisir une action lorsqu’un appareil ne respecte pas les exigences minimales de conformité. Sélectionnez Autoriser l’application pour que l’application s’exécute normalement. Sélectionnez Autoriser l’application après avertissement pour que l’application s’exécute après l’affichage de l’avertissement. Sélectionnez Bloquer pour empêcher l’application de s’exécuter. La valeur par défaut est Autoriser l’application après avertissement.

Migration de fichiers publics

Cette stratégie n’est appliquée que lorsque vous activez la stratégie de chiffrement des fichiers publics (passée de Désactivé à SecurityGroup ou Application). Cette stratégie s’applique uniquement aux fichiers publics existants et non chiffrés et spécifie quand ces fichiers sont chiffrés. La valeur par défaut est Écriture (RO/RW).

Options :

  • Désactivé. Ne chiffre pas les fichiers existants.
  • Écriture (RO/RW). Chiffre les fichiers existants uniquement lorsqu’ils sont ouverts en accès en écriture seule ou en lecture-écriture.
    • Tout. Chiffre les fichiers existants lorsqu’ils sont ouverts dans n’importe quel mode.

Remarque : - >

  • Les nouveaux fichiers ou les fichiers non chiffrés existants qui sont écrasés chiffrent les fichiers de remplacement dans tous les cas.
  • Le chiffrement d’un fichier public existant rend le fichier indisponible pour les autres applications qui ne disposent pas de la même clé de chiffrement.

Groupe de sécurité

Laissez ce champ vide si vous souhaitez que toutes les applications mobiles gérées par Citrix Endpoint Management échangent des informations entre elles. Définissez un nom de groupe de sécurité pour gérer les paramètres de sécurité de jeux d’applications spécifiques (par exemple, Finance ou Ressources humaines).

Attention :

Si vous modifiez cette stratégie pour une application existante, les utilisateurs doivent supprimer et réinstaller l’application pour appliquer la modification de stratégie.

Domaines Secure Web autorisés

Cette stratégie n’est effective que pour les domaines non exclus par la stratégie de filtrage d’URL. Ajoutez une liste, séparée par des virgules, de noms de domaine complets (FQDN) ou de suffixes DNS qui sont redirigés vers l’application Secure Web lorsque l’échange de documents est restreint.

Si cette stratégie contient des entrées, seules les URL dont les champs d’hôte correspondent à au moins un élément de la liste (via une correspondance de suffixe DNS) seront redirigées vers l’application Secure Web lorsque l’échange de documents est restreint.

Toutes les autres URL sont envoyées au navigateur web Android par défaut (en contournant la stratégie d’échange de documents restreint). La valeur par défaut est vide.

Interaction avec l’application

Couper et copier

Bloque, autorise ou restreint les opérations de couper-coller du presse-papiers pour cette application. Si Restreint, les données copiées du presse-papiers sont placées dans un presse-papiers privé qui n’est disponible que pour les applications MDX. La valeur par défaut est Restreint.

Coller

  • Bloque, autorise ou restreint les opérations de collage du presse-papiers pour l’application. Si Restreint, les données collées du presse-papiers proviennent d’un presse-papiers privé qui n’est disponible que pour les applications MDX. La valeur par défaut est Non restreint.

  • Échange de documents (Ouvrir dans)

  • Bloque, autorise ou restreint les opérations d’échange de documents pour l’application. Si Restreint, les documents ne peuvent être échangés qu’avec d’autres applications MDX et les exceptions d’application spécifiées dans la stratégie de liste d’exceptions d’ouverture restreinte. Si Non restreint, définissez les stratégies de chiffrement de fichiers privés et de chiffrement de fichiers publics sur Désactivé afin que les utilisateurs puissent ouvrir des documents dans des applications non encapsulées. La valeur par défaut est Restreint.

Liste d’exceptions d’ouverture restreinte

Lorsque la stratégie d’échange de documents (Ouvrir dans) est Restreint, cette liste d’intentions Android est autorisée à être transmise aux applications non gérées. Une connaissance des intentions Android est nécessaire pour ajouter des filtres à la liste. Un filtre peut spécifier une action, un package, un schéma ou toute combinaison.

Exemples 

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
<!--NeedCopy-->

Attention

Assurez-vous de prendre en compte les implications de sécurité de cette stratégie. La liste d’exceptions permet au contenu de circuler entre les applications non gérées et l’environnement MDX.

Échange de documents entrants (Ouvrir dans)

  • Bloque, restreint ou autorise les opérations d’échange de documents entrants pour cette application. Si Restreint, les documents ne peuvent être échangés qu’avec d’autres applications MDX. La valeur par défaut est Non restreint.

  • Si Bloqué ou Restreint, vous pouvez utiliser la stratégie de liste blanche d’échange de documents entrants pour spécifier les applications qui peuvent envoyer des documents à cette application. Pour plus d’informations sur les autres interactions de stratégie, consultez la stratégie Bloquer la galerie.

  • Options : Non restreint, Bloqué ou Restreint

  • Restrictions d’application

Important :

Assurez-vous de prendre en compte les implications de sécurité des stratégies qui empêchent les applications d’accéder ou d’utiliser les fonctionnalités du téléphone. Lorsque ces stratégies sont Désactivées, le contenu peut circuler entre les applications non gérées et l’environnement sécurisé.

Bloquer la caméra

Si Activé, empêche une application d’utiliser directement le matériel de la caméra. La valeur par défaut est Activé.

Bloquer la galerie

Si Activé, empêche une application d’accéder à la Galerie sur l’appareil. La valeur par défaut est Désactivé. Cette stratégie fonctionne conjointement avec la stratégie d’échange de documents entrants (Ouvrir dans).

  • Si l’échange de documents entrants (Ouvrir dans) est défini sur Restreint, les utilisateurs travaillant dans l’application gérée ne peuvent pas joindre d’images depuis la Galerie, quel que soit le paramètre Bloquer la galerie.
  • Si l’échange de documents entrants (Ouvrir dans) est défini sur Non restreint, les utilisateurs travaillant dans l’application gérée rencontrent les situations suivantes :
    • Les utilisateurs peuvent joindre des images si Bloquer la galerie est défini sur Désactivé.
    • Les utilisateurs sont empêchés de joindre des images si Bloquer la galerie est Activé.

Bloquer l’enregistrement micro

Si Activé, empêche une application d’utiliser directement le matériel du microphone. La valeur par défaut est Activé.

Bloquer les services de localisation

Si Activé, empêche une application d’utiliser les composants des services de localisation (GPS ou réseau). La valeur par défaut est Désactivé pour Secure Mail.

Bloquer la composition SMS

Si Activé, empêche une application d’utiliser la fonction de composition SMS utilisée pour envoyer des messages SMS/texte depuis l’application. La valeur par défaut est Activé.

Bloquer la capture d’écran

Si Activé, empêche les utilisateurs de prendre des captures d’écran pendant l’exécution de l’application. De plus, lorsque l’utilisateur change d’application, l’écran de l’application est masqué. La valeur par défaut est Activé.

Lors de l’utilisation de la fonction de communication en champ proche (NFC) d’Android, certaines applications prennent une capture d’écran d’elles-mêmes avant de diffuser le contenu. Pour activer cette fonctionnalité dans une application encapsulée, définissez la stratégie Bloquer la capture d’écran sur Désactivé.

Bloquer le capteur de l’appareil

Si Activé, empêche une application d’utiliser les capteurs de l’appareil (tels que l’accéléromètre, le capteur de mouvement et le gyroscope). La valeur par défaut est Activé.

Bloquer la NFC

Si Activé, empêche une application d’utiliser la communication en champ proche (NFC). La valeur par défaut est Activé.

Bloquer les journaux d’applications

Si Activé, interdit à une application d’utiliser la fonction de journalisation de diagnostic de l’application de productivité mobile. Si Désactivé, les journaux d’applications sont enregistrés et peuvent être collectés à l’aide de la fonction de support par e-mail de Secure Hub. La valeur par défaut est Désactivé.

Bloquer l’impression

Si Activé, empêche une application d’imprimer des données. Si une application dispose d’une commande Partager, vous devez définir Échange de documents (Ouvrir dans) sur Restreint ou Bloqué pour bloquer complètement l’impression. La valeur par défaut est Activé.

Accès réseau de l’application

Accès réseau

Remarque :

Tunnelisé - Web SSO est le nom de la fonction Navigation sécurisée dans les paramètres. Le comportement est identique.

Les options de paramètres sont les suivantes :

  • Utiliser les paramètres précédents : utilise par défaut les valeurs que vous aviez définies dans les stratégies antérieures. Si vous modifiez cette option, vous ne devez pas revenir à cette option. Notez également que les modifications apportées aux nouvelles stratégies ne prennent effet qu’une fois que l’utilisateur a mis à niveau l’application vers la version 18.12.0 ou ultérieure.
  • Bloqué : les API réseau utilisées par votre application échoueront. Conformément à la directive précédente, vous devez gérer cet échec de manière appropriée.
  • Non restreint : tous les appels réseau sont directs et ne sont pas tunnelisés.
  • Tunnelisé - VPN complet : tout le trafic de l’application gérée est tunnelisé via Citrix Gateway.
  • Tunnelisé - Web SSO : l’URL HTTP/HTTPS est réécrite. Cette option permet uniquement le tunneling du trafic HTTP et HTTPS. Un avantage significatif de Tunnelisé - Web SSO est l’authentification unique (SSO) pour le trafic HTTP et HTTPS, ainsi que l’authentification PKINIT. Sur Android, cette option a un faible coût de configuration et est donc l’option préférée pour les opérations de type navigation web.
  • Tunnelisé - VPN complet et Web SSO : permet de basculer automatiquement entre les modes VPN selon les besoins. Si une requête réseau échoue en raison d’une demande d’authentification qui ne peut pas être gérée dans un mode VPN spécifique, elle est relancée dans un autre mode.

Si l’un des modes tunnelisés est sélectionné, un tunnel VPN par application dans ce mode initial est créé vers le réseau d’entreprise, et les paramètres de tunnel fractionné de Citrix Gateway sont utilisés. Citrix recommande le VPN complet tunnelisé pour les connexions qui utilisent des certificats clients ou un SSL de bout en bout vers une ressource du réseau d’entreprise. Citrix recommande le mode Tunnelisé - Web SSO pour les connexions qui nécessitent une authentification unique (SSO).

Session micro VPN requise

Si Oui, l’utilisateur doit disposer d’une connexion au réseau d’entreprise et d’une session active. Si Non, une session active n’est pas requise. La valeur par défaut est Utiliser les paramètres précédents. Pour les applications nouvellement téléchargées, la valeur par défaut est Non. Quel que soit le paramètre sélectionné avant la mise à niveau vers cette stratégie, il reste en vigueur jusqu’à ce qu’une option autre que Utiliser les paramètres précédents soit sélectionnée.

Délai de grâce requis pour la session micro VPN (minutes)

Définit le délai de grâce pendant lequel une application peut continuer à être utilisée après que le système a détecté qu’une mise à jour de l’application est disponible. La valeur par défaut est de 168 heures (7 jours).

Remarque :

L’utilisation d’une valeur de zéro n’est pas recommandée car elle empêche immédiatement l’utilisation d’une application en cours d’exécution tant que la mise à jour n’est pas téléchargée et installée (sans aucun avertissement à l’utilisateur). Cela pourrait entraîner une situation où l’utilisateur exécutant l’application est contraint de quitter l’application (perdant potentiellement son travail) afin de se conformer à la mise à jour requise.

Étiquette de certificat

Lorsqu’elle est utilisée avec le service d’intégration de certificats StoreFront™, cette étiquette identifie le certificat spécifique requis pour cette application. Si aucune étiquette n’est fournie, aucun certificat n’est mis à disposition pour une utilisation avec une infrastructure à clé publique (PKI). La valeur par défaut est vide (aucun certificat utilisé).

Liste d’exclusion

Liste de FQDN ou de suffixes DNS séparés par des virgules à accéder directement au lieu d’une connexion VPN. Ceci s’applique uniquement au mode Tunnelisé - Web SSO lorsque Citrix Gateway est configuré avec le mode inverse de tunnel fractionné.

Bloquer les connexions localhost

Si Activé, les applications ne sont pas autorisées à établir des connexions localhost. Localhost est une adresse (telle que 127.0.0.1 ou ::1) pour les communications se produisant localement sur l’appareil. Le localhost contourne le matériel de l’interface réseau locale et accède aux services réseau exécutés sur l’hôte. Si Désactivé, cette stratégie remplace la stratégie d’accès réseau, ce qui signifie que les applications peuvent se connecter en dehors du conteneur sécurisé si l’appareil exécute un serveur proxy localement. La valeur par défaut est Désactivé.

Journaux d’applications

Sortie de journal par défaut

Détermine les supports de sortie utilisés par défaut par les fonctions de journalisation de diagnostic de l’application Citrix Endpoint Management. Les possibilités sont fichier, console ou les deux. La valeur par défaut est fichier.

Niveau de journal par défaut

Contrôle la verbosité par défaut de la fonction de journalisation de diagnostic de l’application de productivité mobile. Les nombres de niveau supérieur incluent une journalisation plus détaillée.

  • 0 - Rien n’est enregistré
  • 1 - Erreurs critiques
  • 2 - Erreurs
  • 3 - Avertissements
  • 4 - Messages d’information
  • 5 - Messages d’information détaillés
  • 6 à 15 - Niveaux de débogage 1 à 10

La valeur par défaut est le niveau 4 (Messages d’information).

Nombre maximal de fichiers journaux

Limite le nombre de fichiers journaux conservés par la fonction de journalisation de diagnostic de l’application de productivité mobile avant de basculer. Le minimum est 2. Le maximum est 8. La valeur par défaut est 2.

Taille maximale des fichiers journaux

Limite la taille en mégaoctets (Mo) des fichiers journaux conservés par la fonction de journalisation de diagnostic de l’application de productivité mobile avant de basculer. Le minimum est de 1 Mo. Le maximum est de 5 Mo. La valeur par défaut est de 2 Mo.

Géorepérage d’application

Longitude du point central

Longitude (coordonnée X) du point central du géorepérage point/rayon dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors du géorepérage configuré, l’application reste verrouillée. Doit être exprimée au format degrés signés (DDD.dddd), par exemple “-31.9635”. Les longitudes ouest doivent être précédées d’un signe moins. La valeur par défaut est 0.

Latitude du point central

Latitude (coordonnée Y) du point central du géorepérage point/rayon dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors du géorepérage configuré, l’application reste verrouillée.

Doit être exprimée au format degrés signés (DDD.dddd), par exemple “43.06581”. Les latitudes sud doivent être précédées d’un signe moins. La valeur par défaut est 0.

Rayon

Rayon du géorepérage dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors du géorepérage configuré, l’application reste verrouillée. Doit être exprimé en mètres. Lorsque la valeur est zéro, le géorepérage est désactivé. La valeur par défaut est 0 (désactivé).

Analyse

Détail de Google Analytics

Citrix collecte des données analytiques pour améliorer la qualité des produits. La sélection de l’option Anonyme vous permet de ne pas inclure d’informations identifiables sur l’entreprise.

Stratégies MDX pour les applications tierces Android
May 18, 2026
Contributeur: 
C C
May 18, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.