Stratégies MDX pour les applications tierces pour Android

Cet article décrit les stratégies MDX pour les applications tierces Android. Vous pouvez modifier les paramètres de stratégie dans la console Citrix Endpoint Management.

Authentification

Code secret d’application

Si cette option est définie Activé, un code PIN ou un code secret est requis pour déverrouiller l’application lorsque l’application démarre ou reprend après une période d’inactivité. La valeur par défaut est Activé.

Pour configurer l’inactivité du minuteur pour toutes les applications, définissez la valeur INACTIVITY_TIMER en minutes dans Propriétés du client sur l’onglet Paramètres. Par défaut, la valeur du délai d’inactivité est de 60 minutes. Pour désactiver le délai d’inactivité, de façon à ce qu’une invite de saisie du code PIN ou du code secret invite s’affiche uniquement lorsque l’application démarre, définissez la valeur sur zéro.

Remarque :

si vous sélectionnez Secure offline pour la stratégie Clés de cryptage, cette stratégie est automatiquement activée.

Période hors connexion maximale (heures)

Définit la durée maximale pendant laquelle une application peut s’exécuter hors ligne sans ouverture de session réseau pour reconfirmer le droit et les stratégies d’actualisation. La valeur par défaut est 168 heures (7 jours). La période minimale est 1 heure.

L’utilisateur est invité à se connecter 30, 15 et 5 minutes avant l’expiration de ce délai. Après l’expiration, l’application reste verrouillée jusqu’à ce que l’utilisateur établisse une connexion réseau réussie.

Citrix Gateway Alternatif

Remarque :

Cette stratégie s’appelle Passerelle NetScaler Gateway alternative dans la console Endpoint Management.

Adresse d’une autre passerelle Citrix Gateway (anciennement NetScaler Gateway) qui est utilisée pour l’authentification et les sessions micro VPN avec cette application. Il s’agit d’une stratégie facultative qui, lorsqu’elle est utilisée avec la stratégie Session en ligne requise, oblige les applications à s’authentifier de nouveau à la passerelle spécifique. Ces types de passerelles ont généralement des exigences d’authentification et des stratégies de gestion du trafic différentes (meilleur contrôle). Si elle est laissée vide, la valeur par défaut du serveur est toujours utilisée. La valeur par défaut est vide.

Sécurité de l’appareil

Bloquer les appareils jailbreakés ou rootés

Si cette option est définie sur Activé, l’application est verrouillée lorsque l’appareil est jailbreaké ou rooté. Si elle est définie sur Désactivé, l’application peut fonctionner même si l’appareil est jailbreaké ou rooté. La valeur par défaut est Activé.

Exiger verrouillage de l’appareil

Si Code secret ou code PIN de l’appareil est sélectionné, l’application est verrouillée si aucun code PIN ou code secret n’est configuré sur l’appareil. Si Séquence de verrouillage de l’écran de l’appareil est sélectionné, l’application est verrouillée si l’appareil ne possède pas de verrou d’écran de modèle défini. Si cette option est définie sur Désactivé, l’application est autorisée à être exécutée même si aucun écran de verrouillage, code PIN ou code secret n’est défini sur l’appareil. La valeur par défaut est Désactivé.

Code secret ou code PIN de l’appareil requiert Android version 4.1 (Jelly Bean) au minimum. Si vous définissez la stratégie sur Code secret ou code PIN de l’appareil, une application ne peut pas être exécutée sur des versions antérieures.

Sur les appareils Android M, les options Code secret ou code PIN de l’appareil et Séquence de verrouillage de l’écran de l’appareil ont le même effet : dans les deux cas, l’application est verrouillée si l’appareil ne possède pas de code PIN ou de code secret, ou qu’une séquence de verrouillage de l’écran a été définie.

Exigences du réseau

Exiger Wi-Fi

Si l’option Activé est sélectionné, l’application est verrouillée lorsque l’appareil n’est pas connecté à un réseau Wi-Fi. Si l’option Désactivé est sélectionné, l’application peut fonctionner si l’appareil est connecté, à un réseau 4G/3G, LAN ou Wi-Fi par exemple. La valeur par défaut est Désactivé.

Réseaux Wi-Fi autorisés

Liste séparée par des virgules des réseaux Wi-Fi autorisés. Si le nom du réseau contient des caractères non alphanumériques (y compris des virgules), il doit être entre guillemets. Les applications fonctionnent uniquement lorsqu’elles sont connectées à l’un des réseaux répertoriés. Si rien n’est spécifié, tous les réseaux sont autorisés. Cela n’affecte pas les connexions aux réseaux cellulaires La valeur par défaut est vide.

Accès divers

Période de grâce de mise à jour des applications (heures)

Définit la période de grâce pendant laquelle une application peut être utilisée une fois que le système a découvert qu’une mise à jour de l’application est disponible. La valeur par défaut est 168 heures (7 jours).

Remarque :

L’utilisation d’une valeur zéro n’est pas recommandée car une valeur zéro empêche immédiatement une application en cours d’exécution d’être utilisée tant que la mise à jour n’est pas téléchargée et installée (sans que l’utilisateur en soit averti). Cela pourrait entraîner une situation dans laquelle l’utilisateur qui exécute l’application est obligé de quitter l’application (risque de perte de travail) afin de procéder à la mise à jour requise.

Effacer les données des applications après verrouillage

Efface les données et réinitialise l’application lorsqu’elle est fermée. Si cette option est définie sur Désactivé, les données d’application ne sont pas effacées lorsque l’application est verrouillée. La valeur par défaut est Désactivé.

Vous pouvez verrouiller une application pour les raisons suivantes :

  • Perte du droit d’application pour l’utilisateur.
  • Abonnement à l’application supprimé
  • Compte supprimé
  • Secure Hub désinstallé
  • Nombre d’échecs d’authentification de l’application trop élevé.
  • Appareil jailbreaké détecté (par paramètre de stratégie)
  • Appareil verrouillé par une autre action d’administration

Période d’interrogation active (minutes)

Lorsqu’une application démarre, l’infrastructure MDX interroge Citrix Endpoint Management pour déterminer l’application en cours et l’état de l’appareil. En supposant que le serveur exécutant Endpoint Management peut être contacté, l’infrastructure renvoie des informations sur l’état de verrouillage et d’effacement de l’appareil et l’état d’activation ou de désactivation de l’application. Que le serveur puisse être contacté ou non, une autre interrogation est planifiée, basée sur l’intervalle d’interrogation. Une fois cette période expirée, une nouvelle tentative d’interrogation est effectuée. La valeur par défaut est 60 minutes (1 heure).

Important :

abaissez cette valeur uniquement pour les applications à haut risque, sinon, les performances risquent d’être affectées.

Comportement des appareils non conformes

Permet de choisir une action lorsqu’un appareil ne respecte pas les exigences minimales de conformité. Sélectionnez Autoriser l’application pour que l’application s’exécute normalement. Sélectionnez Autoriser l’application après avertissement pour que l’application s’exécute après affichage de l’avertissement. Sélectionnez Bloquer l’application pour empêcher l’exécution de l’application. La valeur par défaut est Autoriser l’application après avertissement.

Migration de fichiers publics

Cette stratégie est appliquée uniquement lorsque vous activez la stratégie Public file encryption (modifiée de Disabled à SecurityGroup ou Application). Cette stratégie est uniquement applicable aux fichiers publics existants et cryptés et spécifie le moment où ces fichiers sont cryptés. La valeur par défaut est Écriture (WO/RW).

Options :

  • Désactivé. Ne crypte pas les fichiers existants.
  • Écriture (WO/RW). Crypte les fichiers existants uniquement lorsqu’ils sont ouverts en accès en écriture seule ou en accès en lecture écriture.
  • Tout. Crypte les fichiers existants lorsqu’ils sont ouverts dans n’importe quel mode.

Remarque :

  • Les nouveaux fichiers ou les fichiers non cryptés existants qui sont remplacés cryptent les fichiers de remplacement dans tous les cas.
  • Le fait de crypter un fichier public existant rend ce fichier non disponible pour d’autres applications qui ne possèdent pas la même clé de cryptage.

Groupe de sécurité

Laissez ce champ vide si vous souhaitez que toutes les applications mobiles gérées par Citrix Endpoint Management puissent échanger des informations entre elles. Définissez un nom de groupe de sécurité pour gérer des paramètres de sécurité pour des ensembles d’applications spécifiques (par exemple, Finance ou Ressources humaines).

Avertissement :

si vous modifiez cette stratégie pour une application existante, les utilisateurs doivent supprimer et réinstaller l’application pour appliquer la modification apportée à la stratégie.

Domaines Secure Web autorisés

Cette stratégie n’est en vigueur que pour les domaines non exclus par la stratégie de filtrage d’URL. Ajoutez une liste séparée par des virgules de noms de domaine complets (FQDN) ou de suffixes DNS redirigés vers l’application Secure Web lorsque l’échange de documents est Restreint.

Si cette stratégie contient des entrées, seules les URL avec des champs hôtes correspondant à au moins un élément de la liste (via la correspondance de suffixe DNS) seront redirigées vers l’application Secure Web lorsque l’échange de documents est restreint.

Toutes les autres URL sont envoyées au navigateur Web Android par défaut (ignorant la restriction de la stratégie d’échange de documents). La valeur par défaut est vide.

lnteraction des applications

Couper et copier

Bloque, autorise ou restreint les opérations de couper/coller sur le Presse-papiers pour cette application. Si ce paramètre est défini sur Restreint, les données copiées du Presse-papiers sont placées dans un Presse-papiers privé qui est uniquement disponible auprès des applications MDX. La valeur par défaut est Restreint.

Coller

Bloque, autorise ou limite les opérations de collage sur le presse-papiers pour cette application. Lorsque vous choisissez le paramètre Restreint, les données collées sur le Presse-papiers sont collectées depuis un Presse-papiers privé qui est uniquement disponible auprès des applications MDX. La valeur par défaut est Non restreint.

Échange de documents (Ouvrir dans)

Bloque, autorise ou restreint les opérations d’échange de documents pour l’application. Si ce paramètre est défini sur Restreint, les documents peuvent être échangés uniquement avec d’autres applications MDX et les exceptions d’application spécifiées dans la stratégie Liste d’exceptions d’ouverture restreinte. Si l’option Non restreint est sélectionnée, définissez les stratégies Cryptage de fichiers publics et Cryptage de fichiers privés sur Désactivé de façon à ce que les utilisateurs puissent ouvrir des documents dans les applications non encapsulées. La valeur par défaut est Restreint.

Liste d’exceptions d’ouverture restreinte

Lorsque la stratégie Échange de documents (Ouvrir dans) est définie sur Restreint, cette liste d’intents Android est autorisée à être transmise aux applications non gérées. Une connaissance des intents Android est nécessaire pour ajouter des filtres à la liste. Un filtre peut spécifier une action, un package, un schéma, ou une combinaison de ces derniers.

Exemples

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
<!--NeedCopy-->

Avertissement

N’oubliez pas de prendre en compte les incidences en matière de sécurité de cette stratégie. La liste d’exceptions autorise le déplacement de contenu entre des applications non gérées et l’environnement sécurisé MDX.

Échange de documents entrants (Ouvrir dans)

Bloque, restreint ou autorise les opérations d’échange de documents entrants pour cette application. Si l’option Restreint est sélectionnée, les documents ne peuvent être échangés qu’avec d’autres applications MDX. La valeur par défaut est Non restreint.

Si ce paramètre est défini sur Bloqué ou Restreint, vous pouvez utiliser la stratégie Liste blanche d’échange de documents entrants pour spécifier les applications autorisées à envoyer des documents à cette application. Pour plus d’informations sur les autres interactions entre les stratégies, veuillez consulter la stratégie Bloquer la galerie.

Options : Non restreint, Bloqué ou Restreint

Restrictions applicatives

Important :

N’oubliez pas de prendre en compte les incidences en matière de sécurité de ces stratégies qui empêchent vos applications d’accéder ou d’utiliser les fonctionnalités du téléphone. Lorsque ces stratégies sont définies sur Désactivé, le contenu peut transiter entre des applications non gérées et l’environnement sécurisé.

Bloquer la caméra

Si cette option est définie sur Activé, elle empêche une application d’utiliser directement la caméra. La valeur par défaut est Activé.

Bloquer la galerie

Si cette option est définie sur Activé, elle empêche une application d’accéder à la galerie sur l’appareil. La valeur par défaut est Désactivé. Cette stratégie fonctionne en conjonction avec la stratégie Échange de documents entrants (Ouvrir dans).

  • Si le paramètre Échange de documents entrants (Ouvrir dans) est défini sur Restreint, les utilisateurs qui travaillent dans l’application gérée ne peuvent pas joindre des images à partir de la galerie, quel que soit le paramètre défini pour Bloquer la galerie.
  • Si le paramètre Échange de documents entrants (Ouvrir dans) est défini sur Non restreint, l’expérience des utilisateurs qui travaillent dans l’application gérée sera la suivante :
    • Les utilisateurs peuvent joindre des images si Bloquer la galerie est défini sur Désactivé.
    • Les utilisateurs ne peuvent pas joindre des images si Bloquer la galerie est défini sur Activé.

Bloquer les enregistrements du micro

Si cette option est définie sur Activé, elle empêche une application d’utiliser directement le microphone. La valeur par défaut est Activé.

Bloquer les services de localisation

Si cette option est définie sur Activé, elle empêche une application d’utiliser directement les services de géolocalisation (GPS ou réseau). La valeur par défaut est Désactivé pour Secure Mail.

Bloquer la composition de SMS

Si cette option est définie sur Activé, elle empêche une application d’utiliser la fonctionnalité de composition de SMS utilisée pour envoyer des SMS/messages texte à partir de l’application. La valeur par défaut est Activé.

Bloquer la capture d’écran

Si cette option est définie sur Activé, elle empêche les captures d’écran initiées par l’utilisateur lorsque l’application est en cours d’exécution. Elle obscurcit également l’écran de l’application lorsque l’utilisateur change d’application. La valeur par défaut est Activé.

Lors de l’utilisation de la fonctionnalité NFC (communication en champ proche) d’Android, certaines applications prennent une copie d’écran d’elles-mêmes avant de transmettre le contenu. Pour activer cette fonctionnalité dans une application encapsulée, modifiez la stratégie Bloquer la capture d’écran sur Désactivé.

Bloquer le capteur de l’appareil

Si cette option est définie sur Activé, empêche une application d’utiliser les capteurs de l’appareil (comme l’accéléromètre, le capteur de mouvement et le gyroscope). La valeur par défaut est Activé.

Bloquer NFC

Si cette option est définie sur Activé, elle empêche une application d’utiliser la communication en champ proche (NFC). La valeur par défaut est Activé.

Bloquer les journaux d’applications

Si l’option est définie sur Activé, elle empêche une application d’utiliser la fonctionnalité de journalisation des diagnostics de l’application de productivité mobile. Si cette option est définie sur Désactivé, les journaux d’application sont enregistrés et peuvent être collectées à l’aide de la fonctionnalité de prise en charge de la messagerie de Secure Hub. La valeur par défaut est Désactivé.

Bloquer l’impression

Si cette option est définie sur Activé, elle empêche une application d’imprimer des données. Si une application dispose de la commande Partager, vous devez définir Échange de documents (Ouvrir dans) sur Restreint ou Bloqué pour bloquer l’impression. La valeur par défaut estActivé.

Accès au réseau d’applications

Accès réseau

Remarque :

Tunnel - SSO Web est le nom de Secure Browse dans les paramètres. Le comportement est le même.

Les options de paramètres sont les suivantes :

  • Utiliser les paramètres précédents : utilise par défaut les valeurs que vous aviez définies dans les stratégies précédentes. Si vous modifiez cette option, vous ne devez pas revenir à cette option. Notez également que les modifications apportées aux nouvelles stratégies ne prennent effet que lorsque l’utilisateur met à niveau l’application vers 18.12.0 ou version ultérieure.
  • Bloqué : les API de mise en réseau utilisées par votre application échoueront. Conformément à la recommandation précédente, vous devriez traiter un tel échec de façon appropriée.
  • Sans restriction : tous les appels réseau ont un accès direct et ne sont pas tunnélisés.
  • Tunnel VPN complet : tout le trafic provenant de l’application gérée est tunnélisé via Citrix Gateway.
  • Tunnel - SSO Web : l’URL HTTP/HTTPS est réécrite. Cette option permet uniquement le tunneling du trafic HTTP et HTTPS. Un avantage important de Tunnel - SSO Web est l’authentification unique (SSO) pour le trafic HTTP et HTTPS ainsi que l’authentification PKINIT. Sur Android, cette option a une charge de configuration faible et il s’agit donc de l’option préférée pour les opérations de type navigation Web.
  • Tunnel - VPN complet et SSO Web : permet de basculer automatiquement entre les modes VPN selon les besoins. Si une demande réseau qui a échoué en raison d’une demande d’authentification qui ne peut pas être traitée dans un mode VPN spécifique est de nouveau tentée dans un autre mode.

Si l’un des modes Tunnel est sélectionné, un tunnel VPN par application dans ce mode initial est recréé sur le réseau d’entreprise et les paramètres de split tunneling Citrix Gateway sont utilisés. Citrix recommande un tunnel VPN complet pour les connexions qui utilisent des certificats clients ou des connexions SSL de bout en bout vers une ressource dans le réseau d’entreprise. Citrix recommande Tunnel - SSO Web pour les connexions qui nécessitent l’authentification unique (SSO).

Session micro VPN requise

Si cette option est définie sur Oui, l’utilisateur doit disposer d’une connexion au réseau d’entreprise et d’une session active. Si elle est définie sur Non, une session active n’est pas nécessaire. La valeur par défaut est Utiliser paramètres précédents. Pour les applications nouvellement téléchargées, la valeur par défaut est Non. Le paramètre sélectionné avant la mise à niveau de cette stratégie reste en vigueur jusqu’à ce qu’une option autre que Utiliser paramètres précédents soit sélectionnée.

Période de grâce requise pour la session micro VPN (minutes)

Définit la période de grâce pendant laquelle une application peut continuer d’être utilisée une fois que le système a découvert qu’une mise à jour de l’application est disponible. La valeur par défaut est 168 heures (7 jours).

Remarque :

L’utilisation d’une valeur zéro n’est pas recommandée car une valeur zéro empêche immédiatement une application en cours d’exécution d’être utilisée tant que la mise à jour n’est pas téléchargée et installée (sans que l’utilisateur en soit averti). Cela pourrait entraîner une situation dans laquelle l’utilisateur qui exécute l’application est obligé de quitter l’application (risque de perte de travail) afin de procéder à la mise à jour requise.

Étiquette de certificat

Lorsqu’elle est utilisée avec le service d’intégration de certificat de StoreFront, cette étiquette identifie le certificat requis pour cette application. Si aucune étiquette n’est fournie, aucun certificat n’est disponible pour être utilisé avec une infrastructure de clé publique (PKI). La valeur par défaut est vide (aucun certificat utilisé).

Liste d’exclusion

Liste délimitée par des virgules de noms de domaine complets ou de suffixes DNS auxquels accéder directement plutôt que par une connexion VPN. Cela s’applique uniquement au mode Tunnel - SSO Web lorsque Citrix Gateway est configuré avec le mode inverse de split tunneling.

Bloquer les connexions localhost

Si cette option est définie sur Activé, les applications ne sont pas autorisées à établir des connexions localhost. Localhost est une adresse (telle que 127.0.0.1 ou ::1) pour les communications se produisant localement sur l’appareil. localhost contourne le matériel de l’interface réseau locale et accède aux services réseau s’exécutant sur l’hôte. Si l’option est définie sur Désactivé, cette stratégie remplace la stratégie Accès réseau, ce qui signifie que les applications peuvent se connecter en dehors du conteneur sécurisé si le périphérique exécute un serveur proxy localement. La valeur par défaut est Désactivé.

Journaux d’applications

Sortie de journal par défaut

Détermine quels supports de sortie sont utilisés par défaut par la fonctionnalité de journalisation des diagnostics de l’application Citrix Endpoint Management. Les supports possibles sont les suivants : fichier, console, ou les deux. La valeur par défaut est file.

Niveau de journalisation par défaut

Contrôle le niveau de détail par défaut de la fonctionnalité de journalisation des diagnostics de l’application de productivité mobile. Plus le numéro est élevé, plus la journalisation est détaillée.

  • 0 - Rien n’est enregistré
  • 1 - Erreurs critiques
  • 2 - Erreurs
  • 3 - Avertissements
  • 4 - Messages d’information
  • 5 - Messages d’information détaillés
  • 6 à 15 - niveaux de débogage de 1 à 10

La valeur par défaut est le niveau 4 (Messages d’information).

Nombre maximal de fichiers journaux

Limite le nombre de fichiers journaux conservés par la fonctionnalité de journalisation des diagnostics de l’application de productivité mobile avant le déploiement. La valeur minimale est de 2. La valeur maximale est de 8. La valeur par défaut est 2.

Taille maximale du fichier journal

Limite la taille en Mo des fichiers journaux conservés par la fonctionnalité de journalisation des diagnostics de l’application de productivité mobile avant le déploiement. La valeur minimale est de 1 Mo. La valeur maximale est de 5 Mo. La valeur par défaut est de 2 Mo.

Géofencing

Longitude du point central

Longitude (coordonnées X) du point central du périmètre dans lequel l’application est autorisée à être utilisée. Si l’application est utilisée en dehors du périmètre configuré, elle reste verrouillée. Doit être exprimée en format de degrés signés (DDD.dddd), par exemple « -31.9635 ». Les longitudes occidentales doivent être précédées d’un signe moins. La valeur par défaut est 0.

Latitude du point central

Latitude (coordonnées Y) du point central du périmètre dans lequel l’application est autorisée à être utilisée. Si l’application est utilisée en dehors du périmètre configuré, elle reste verrouillée.

Doit être exprimée en format de degrés signés (DDD.dddd), par exemple « -43.06581 ». Les latitudes méridionales doivent être précédées d’un signe moins. La valeur par défaut est 0.

Rayon

Rayon du périmètre (géofencing) dans lequel l’application est autorisée à être utilisée. Si l’application est utilisée en dehors du périmètre configuré, elle reste verrouillée. Devrait être exprimé en mètres. Lorsqu’elle est définie sur zéro, le géofencing est désactivé. La valeur par défaut est 0 (désactivé).

Analytics

Niveau de détail de Google Analytics

Citrix collecte des données d’analyse pour améliorer la qualité de ses produits. Le fait de sélectionner Anonyme vous permet de ne pas inclure les informations identifiables de la société.

Stratégies MDX pour les applications tierces pour Android