Stratégies MDX XenMobile pour applications iOS

27 février 2018

Cet article décrit les stratégies MDX pour applications iOS. Vous pouvez modifier les paramètres de stratégie directement dans les fichiers XML de stratégie où dans la console XenMobile lorsque vous ajoutez une application.

Authentification

Code secret de l’appareil

Remarque :

cette stratégie s’applique uniquement aux appareils iOS 9.

Si cette option est définie Activé, un code PIN ou un code secret est requis pour déverrouiller l’appareil lorsque l’application démarre ou reprend après une période d’inactivité. Un code secret de l’appareil est requis pour crypter les données de l’application à l’aide du cryptage de fichier Apple. Les données pour toutes les applications sur l’appareil sont chiffrées. La valeur par défaut est Désactivé.

Code secret d’application

Si cette option est définie Activé, un code PIN ou un code secret est requis pour déverrouiller l’application lorsque l’application démarre ou reprend après une période d’inactivité. La valeur par défaut est Activé.

Pour configurer l’inactivité du minuteur pour toutes les applications, définissez la valeur INACTIVITY_TIMER en minutes dans Propriétés du client sur l’onglet Paramètres. Par défaut, la valeur du délai d’inactivité est de 15 minutes. Pour désactiver le délai d’inactivité, de façon à ce qu’une invite de saisie du code PIN ou du code secret invite s’affiche uniquement lorsque l’application démarre, définissez la valeur sur zéro.

Session en ligne requise

Si cette option est définie sur Activé, l’utilisateur doit disposer d’une connexion au réseau d’entreprise et d’une session active. Si elle est définie sur Désactivé, une session active n’est pas nécessaire. La valeur par défaut est Désactivé.

Période de grâce requise pour la session en ligne (minutes)

Détermine le nombre de minutes pendant lesquelles un utilisateur peut utiliser l’application hors ligne avant que la stratégie Online session required n’empêche son utilisation. La valeur par défaut est 0 (pas de période de grâce).

Période hors connexion maximale (heures)

Définit la durée maximale pendant laquelle une application peut s’exécuter sans avoir à reconfirmer les identifiants liés à l’application ni à actualiser les stratégies de XenMobile. À l’expiration, une ouverture de session sur le serveur peut être déclenchée si nécessaire. La valeur par défaut est de 72 heures (3 jours). La période minimale est d’une heure.

Les utilisateurs sont invités à se connecter 30, 15 et 5 minutes avant l’expiration de ce délai. Après expiration, l’application est bloquée jusqu’à ce que les utilisateurs se connectent.

Passerelle NetScaler Gateway alternative

Adresse d’une autre passerelle NetScaler Gateway qui est utilisée pour l’authentification et les sessions micro VPN avec cette application. Il s’agit d’une stratégie facultative qui, lorsqu’elle est utilisée en conjonction avec la stratégie Session en ligne requise, oblige les applications à s’authentifier de nouveau à la passerelle spécifique. Ces types de passerelles ont généralement des exigences d’authentification et des stratégies de gestion du trafic différentes (meilleur contrôle). Si elle est laissée vide, la passerelle par défaut du serveur est toujours utilisée. La valeur par défaut est vide.

Sécurité de l’appareil

Bloquer les appareils jailbreakés ou rootés

Si cette option est définie sur Activé, l’application est verrouillée lorsque l’appareil est jailbreaké ou rooté. Si elle est définie sur Désactivé, l’application peut fonctionner même si l’appareil est jailbreaké ou rooté. La valeur par défaut est Activé.

Configuration réseau requise

Exiger Wi-Fi

Si l’option Activé est sélectionné, l’application est verrouillée lorsque l’appareil n’est pas connecté à un réseau Wi-Fi. Si l’option Désactivé est sélectionné, l’application peut fonctionner si l’appareil est connecté, à un réseau 4G/3G, LAN ou Wi-Fi par exemple. La valeur par défaut est Désactivé.

Accès divers

Période de grâce de mise à jour des applications (heures)

Définit la période de grâce pendant laquelle une application peut continuer d’être utilisée une fois que le système a découvert qu’une mise à jour de l’application est disponible. La valeur par défaut est 168 heures (7 jours).

Remarque : l’utilisation d’une valeur zéro n’est pas recommandée car une valeur zéro empêche immédiatement une application en cours d’exécution d’être utilisée tant que la mise à jour n’est pas téléchargée et installée. Ce paramètre pourrait entraîner une situation dans laquelle l’utilisateur qui exécute l’application est obligé de quitter l’application (risque de perte de travail) afin de procéder à la mise à jour requise.

Effacer les données des applications après verrouillage

Efface les données et réinitialise l’application lorsqu’elle est fermée. Si cette option est définie sur Désactivé, les données d’application ne sont pas effacées lorsque l’application est verrouillée. La valeur par défaut est Désactivé.

Vous pouvez verrouiller une application pour les raisons suivantes :

  • Perte du droit d’application pour l’utilisateur.
  • Abonnement à l’application supprimé
  • Compte supprimé
  • Secure Hub désinstallé
  • Nombre d’échecs d’authentification de l’application trop élevé.
  • Appareil jailbreaké détecté (par paramètre de stratégie)
  • Appareil verrouillé par une autre action d’administration

Période d’interrogation active (minutes)

Lorsqu’une application démarre, l’infrastructure MDX interroge XenMobile pour déterminer l’application en cours et l’état de l’appareil. En supposant que le serveur exécutant XenMobile peut être contacté, l’infrastructure renvoie des informations sur l’état de verrouillage et d’effacement de l’appareil et l’état d’activation ou de désactivation de l’application. Que le serveur puisse être contacté ou non, une autre interrogation est planifiée, basée sur l’intervalle d’interrogation. Une fois cette période expirée, une nouvelle tentative d’interrogation est effectuée. La valeur par défaut est 60 minutes.

Important :

abaissez cette valeur uniquement pour les applications à haut risque, sinon, les performances risquent d’être affectées.

Classe de protection des données minimum

Remarque :

cette stratégie est uniquement mise en application sur les appareils iOS 9.

Établit la classe de protection des données iOS minimale à utiliser pour les opérations de fichier. La valeur par défaut est Complète sauf si le fichier a déjà été ouvert.

  • Si l’option Complète est sélectionnée, la classe NSFileProtectionComplete est utilisée ; lorsqu’un appareil est verrouillé, les fichiers deviennent indisponibles.
  • Si l’option Complète sauf si le fichier a déjà été ouvert est sélectionnée, la classe NSFileProtectionCompleteUnlessOpen ou version ultérieure est utilisée. Si un fichier est ouvert lorsqu’un appareil est verrouillé, le fichier continue d’être accessible par l’application.
  • Si l’option Jusqu’au premier déverrouillage est sélectionnée, la classe NSFileProtectionCompleteUntilFirstUserAuthentication ou version ultérieure est utilisée. Lorsqu’un appareil redémarre, les fichiers sont verrouillés et ne peuvent pas être lus tant que l’utilisateur n’a pas déverrouillé l’appareil pour la première fois.
  • Si l’option Aucune est sélectionnée, aucune classe de protection des données spécifique n’est utilisée. Les fichiers peuvent être lus ou écrits à tout moment.

Important :

les développeurs doivent veiller à tester les applications encapsulées qui effectuent un traitement en arrière-plan, tel que l’actualisation du contenu sur un appareil verrouillé ou les synchronisations en arrière-plan.

Chiffrement

Classe de protection des données minimum

Remarque :

cette stratégie est uniquement mise en application sur les appareils iOS 9. Cette stratégie est masquée. Pour rendre la stratégie visible dans XenMobile, ouvrez le fichier policy_metadata.xml pour l’application (dans Applications/Citrix/MDXToolkit/data) et, dans la section DocumentExchangeExceptionList, modifiez la valeur de PolicyHidden sur false. Après avoir encapsulé votre application, la stratégie s’affiche lorsque vous ajoutez l’application à XenMobile.

Établit la classe de protection des données iOS minimale à utiliser pour les opérations de fichier. Si l’option Complète est sélectionnée, la classe NSFileProtectionComplete est utilisée ; lorsqu’un appareil est verrouillé, les fichiers deviennent indisponibles. Si l’option Complète sauf si le fichier a déjà été ouvert est sélectionnée, la classe NSFileProtectionCompleteUnlessOpen ou version ultérieure est utilisée. Si un fichier est ouvert lorsqu’un appareil est verrouillé, le fichier reste accessible à l’application. Si l’option Jusqu’au premier déverrouillage est sélectionnée, la classe NSFileProtectionCompleteUntilFirstUserAuthentication ou version ultérieure est utilisée. Lorsqu’un appareil redémarre, les fichiers sont verrouillés et ne peuvent pas être lus tant que l’utilisateur n’a pas déverrouillé l’appareil pour la première fois. Si Aucune est sélectionné, aucune classe de protection des données spéciale n’est utilisée ; les fichiers sont accessibles en lecture ou écriture à tout moment.

La valeur par défaut est Complète sauf si le fichier a déjà été ouvert.

Activer le chiffrement

Remarque :

sur les appareils iOS 9, cette stratégie permet le cryptage de la base de données et du trousseau uniquement. Pour activer le cryptage de fichier pour ces appareils, définissez la stratégie de code secret d’appareil sur Activé. Pour les appareils iOS plus anciens, cette stratégie permet le cryptage de fichier, de base de données et de trousseau.

Si cette option est définie sur Désactivé, les données stockées sur l’appareil ne sont pas cryptées. Si elle est définie sur Activé, les données stockées sur l’appareil sont cryptées. La valeur par défaut est Activé.

Avertissement : si vous modifiez cette stratégie après le déploiement d’une application, les utilisateurs devront la réinstaller.

Exclusions de cryptage de bases de données

Dresse la liste des bases de données qui sont exclues du cryptage automatique. Pour éviter le cryptage de base de données pour une base de données spécifique, ajoutez une entrée à cette liste d’expressions régulières séparée par des virgules. Si un nom de chemin d’accès de fichier correspond à une des expressions régulières, la base de données est exclue du cryptage. Les modèles d’exclusion prennent en charge la syntaxe d’expressions régulières étendues Posix 1003.2. Le modèle de correspondance n’est pas sensible à la casse.

Exemples :

\.db$,\.sqlite$ exclut tout nom de chemin d’accès à la base de données se terminant par « .db » ou « .sqlite ».

/Database/unencrypteddb\.db renvoie la base de données unencrypteddb.db dans le sous-dossier Database.

/Database/ renvoie toutes les bases de données contenant /Database/ dans le chemin d’accès.

La valeur par défaut est vide.

Exclusions de cryptage de fichiers

Liste d’exclusion de fichiers qui ne sont pas automatiquement cryptés. Pour éviter le cryptage d’un ensemble spécifique de fichiers, ajoutez une entrée à la liste séparée par des virgules des expressions régulières. Si un nom de chemin d’accès de fichier ne correspond à aucune des expressions régulières, alors ce fichier est exclu du cryptage. Les modèles d’exclusion prennent en charge la syntaxe d’expressions régulières étendues Posix 1003.2. Le modèle de correspondance n’est pas sensible à la casse.

Exemples :

\.log$,\.dat$ exclut tout nom du chemin d’accès à un fichier qui se termine par « .log » ou « .dat ».

/Documents/unencrypteddoc\.txt renvoie le contenu du fichier unencrypteddoc.txt dans le sous-dossier Documents.

/Documents/UnencryptedDocs/.\.txt renvoie les fichiers contenant « .txt » dans le sous-chemin /Documents/UnencryptedDocs/.

La valeur par défaut est vide.

Avertissement :

si vous utilisez Secure Edit afin de crypter un fichier et essayez d’envoyer ce fichier à l’aide d’une autre application (Secure Mail ou iOS Mail natif), le fichier sera envoyé sans cryptage.

lnteraction des applications

Couper et copier

Bloque, autorise ou restreint les opérations de couper/coller sur le Presse-papiers pour cette application. Si ce paramètre est défini sur Restreint, les données copiées du Presse-papiers sont placées dans un Presse-papiers privé qui est uniquement disponible auprès des applications MDX. La valeur par défaut est Restreint. Options : Non restreint, Bloqué ou Restreint

Coller

Bloque, autorise ou limite les opérations de collage sur le presse-papiers pour cette application. Lorsque vous choisissez le paramètre Restreint, les données collées sur le Presse-papiers sont collectées depuis un Presse-papiers privé qui est uniquement disponible auprès des applications MDX. La valeur par défaut est Non restreint. Options : Non restreint, Bloqué ou Restreint

Échange de documents (Ouvrir dans)

Bloque, autorise ou restreint les opérations d’échange de documents pour l’application. Si ce paramètre est défini sur Restreint, les documents peuvent être échangés uniquement avec d’autres applications MDX et les exceptions d’application spécifiées dans la stratégie Liste d’exceptions d’ouverture restreinte.

Si l’option Non restreint est sélectionnée, vous devez définir la stratégie Activer le cryptage sur Activé de façon à ce que les utilisateurs puissent ouvrir des documents dans les applications non encapsulées. Si l’application de réception n’est pas encapsulée ou que le cryptage est désactivé sur cette dernière, XenMobile décrypte le document.

Si la stratégie bloque l’audio, le Presse-papiers, l’appareil photo ou l’impression, chacun de ces composants conserve le dernier horodatage affiché. Les utilisateurs reçoivent un message sur l’état de l’option. La valeur par défaut est Restreint. Options : Non restreint, Bloqué ou Restreint

Liste d’exceptions d’ouverture restreinte

Lorsque la stratégie Échange de documents (Ouvrir dans) est définie sur Restreint, une application MDX peut partager des documents avec cette liste délimitée par des virgules d’ID d’applications non gérées. Ce partage se produit même si la stratégie Échange de documents (Ouvrir dans) est définie sur Restreint et la stratégie Activer le cryptage est définie sur Activé. La liste des exceptions par défaut autorise les applications Office 365 :

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

Seules les applications Office 365 sont prises en charge pour cette stratégie.

Avertissement :

n’oubliez pas de prendre en compte les incidences en matière de sécurité de cette stratégie. La liste d’exceptions autorise le déplacement de contenu entre des applications non gérées et l’environnement sécurisé. Pour plus de sécurité, cette stratégie ne s’affiche pas dans la console XenMobile. Pour rendre la stratégie visible dans XenMobile, ouvrez le fichier policy_metadata.xml pour l’application (dans Applications/Citrix/MDXToolkit/data) et, dans la section DocumentExchangeExceptionList, modifiez la valeur de PolicyHidden sur false. Après avoir encapsulé votre application, la stratégie Liste d’exceptions d’ouverture restreinte s’affiche lorsque vous ajoutez l’application à XenMobile.

Niveau de sécurité de la connexion

Détermine la version minimale de TLS/SSL utilisée pour les connexions. Si TLS est sélectionné, les connexions prennent en charge tous les protocoles TLS. Si SSLv3 et TLS est sélectionné, les connexions prennent en charge SSL 3.0 et TLS. La valeur par défaut est TLS.

Échange de documents entrants (Ouvrir dans)

Bloque, restreint ou autorise les opérations d’échange de documents entrants pour cette application. Si l’option Restreint est sélectionnée, les documents ne peuvent être échangés qu’avec d’autres applications MDX. La valeur par défaut est Non restreint.

Si ce paramètre est défini sur Bloqué ou Restreint, vous pouvez utiliser la stratégie Liste blanche d’échange de documents entrants pour spécifier les applications autorisées à envoyer des documents à cette application. Options : Non restreint, Bloqué ou Restreint

Notification de fermeture de session explicite

Si le paramètre est défini sur Activé, l’application s’active de manière explicite pour informer l’application de la fermeture de session de l’utilisateur. Si le paramètre est défini sur Désactivé, l’application ne s’active pas lors de la fermeture de session de l’utilisateur. Si ce paramètre est défini sur Appareils partagés uniquement, l’application s’active lors de la fermeture de session de l’utilisateur uniquement si l’appareil est configuré comme appareil partagé. La valeur par défaut est Désactivé pour toutes les applications sauf Secure Mail, où la valeur par défaut est Appareils partagés.

Liste blanche d’échange de documents entrants

Lorsque la stratégie Échange de documents entrants est définie sur Restreint ou Bloqué, cette liste d’ID d’applications séparée par des virgules (comprenant les applications non MDX) est autorisée à envoyer des documents à l’application.

Modèles d’URL d’application

Les applications iOS peuvent envoyer des requêtes d’adresse URL à d’autres applications qui ont été enregistrées pour gérer des systèmes spécifiques (telles que « http:// »). Cette fonctionnalité permet à une application de transmettre des requêtes d’aide vers une autre application. Cette stratégie permet de filtrer les schémas qui sont transmis dans cette application à des fins de gestion (c’est-à-dire les adresses URL entrantes). La valeur par défaut est vide, ce qui signifie que tous les modèles d’URL d’application enregistrés sont bloqués.

La stratégie est sous forme d’une liste séparée par des virgules de modèles dans laquelle chaque modèle est précédé d’un signe plus (+) ou moins (-). Les URL entrantes sont comparées aux modèles dans l’ordre indiqué jusqu’à ce qu’une correspondance soit trouvée. Lorsqu’une correspondance est trouvée, le préfixe détermine l’action exécutée. Un préfixe de signe moins (-) bloque la transmission de l’adresse URL à une autre application. Un préfixe de signe plus (+) autorise la transmission de l’adresse URL à une autre application. Si aucun préfixe (+ ou -) n’est fourni avec le modèle, « + » (autoriser) est la valeur par défaut. Si une URL entrante ne correspond à aucun modèle dans la liste, elle est bloquée.

La table suivante contient des exemples de systèmes d’adresses URL d’application :

Modèle Application qui requiert le modèle d’URL Objectif
ctxmobilebrowser Secure Web- Autoriser Secure Web à traiter les URL HTTP: à partir d’autres applications.-
ctxmobilebrowsers Secure Web- Autoriser Secure Web à traiter les URL HTTPS: à partir d’autres applications.
ctxmail Secure Mail- Autoriser Secure Mail à traiter les URL mailto: à partir d’autres applications.
COL-G2M GoToMeeting- Autoriser une application GoToMeeting groupée à prendre en charge les demandes de réunion.
ctxsalesforce Citrix for Salesforce- Autoriser Citrix pour Salesforce à traiter les requêtes Salesforce.
wbx WebEx Autoriser une application WebEx groupée à prendre en charge les demandes de réunion.

URL autorisées

Les applications iOS peuvent envoyer des requêtes d’adresse URL à d’autres applications qui ont été enregistrées pour gérer des systèmes spécifiques (telles que « http:// »). Cette fonctionnalité permet à une application de transmettre des requêtes d’aide vers une autre application.

Cette stratégie permet de filtrer les URL qui sont transmises depuis cette application à d’autres applications des fins de gestion (c’est-à-dire les adresses URL sortantes).

La stratégie est sous forme d’une liste séparée par des virgules de modèles dans laquelle chaque modèle est précédé d’un signe plus (+) ou moins (-). Les URL sortantes sont comparées aux modèles dans l’ordre indiqué jusqu’à ce qu’une correspondance soit trouvée. Lorsqu’une correspondance est trouvée, le préfixe détermine l’action exécutée. Un préfixe de signe moins (-) bloque la transmission de l’adresse URL à une autre application. Un préfixe de signe plus (+) autorise la transmission de l’adresse URL à une autre application. Si aucun préfixe (+ ou -) n’est fourni avec le modèle, « + » (autoriser) est la valeur par défaut. Une paire de valeurs séparées par « = » indique une substitution où les occurrences de la première chaîne sont remplacées par celles de la seconde. Vous pouvez utiliser le préfixe « ^ » d’expression régulière pour rechercher la chaîne à ancrer au début de l’adresse URL. Si une URL sortante ne correspond à aucun modèle dans la liste, elle est bloquée.

Valeur par défaut :

^http:

^https:

^mailto:=ctxmail:

+^ctxmailex:

+^ctxmailex2;

+^citrixreceiver:

+^telprompt:

+^tel:

+^col-g2m-2:

+^col-g2w-2:

+^col-g2t-2;

+^mapitem:

+^maps:ios_addr

+^itms-services:

+^itms-apps

+^ctx-sf

+^lmi-g2m:

+^lync:

Si ce paramètre est laissé vide, toutes les URL sont bloquées, à l’exception des URL suivantes :

  • http:
  • https:
  • +citrixreceiver: +tel:

La table suivante contient des exemples d’adresses URL autorisées :

   
^mailto:=ctxmail: Toutes les URL mailto: s’ouvrent dans Secure Mail.
^http: Toutes les adresses URL HTTP s’ouvrent dans Secure Web.
^https: Toutes les adresses URL HTTPS s’ouvrent dans Secure Web.
^tel: Permet à l’utilisateur d’effectuer des appels.
-//www.dropbox.com Bloque les URL Dropbox envoyées depuis des applications gérées.
+^COL-G2M: Autorise les applications gérées à ouvrir l’application cliente GoToMeeting.
-^SMS: Bloque l’utilisation d’un client de chat.
-^wbx: Empêche les applications gérées d’ouvrir l’application cliente WebEx.
+^ctxsalesforce: Permet à Citrix pour Salesforce de communiquer avec votre serveur Salesforce.

Restrictions applicatives

Important :

Tenez compte des répercussions sur la sécurité des stratégies qui empêchent vos applications d’accéder ou d’utiliser les fonctionnalités du téléphone. Lorsque ces stratégies sont définies sur Désactivé, le contenu peut transiter entre des applications non gérées et l’environnement sécurisé.

Bloquer la caméra

Si cette option est définie sur Activé, elle empêche une application d’utiliser directement la caméra. La valeur par défaut est Activé.

Bloquer la bibliothèque de photos

Si cette option est définie sur Activé, elle empêche une application d’accéder à la bibliothèque de photos sur l’appareil. La valeur par défaut est Activé.

Bloquer les connexions localhost

Si cette option est définie sur Activé, elle empêche une application d’accéder à l’adresse de bouclage (127.0.0.1). La valeur par défaut est Désactivé.

Bloquer les enregistrements du micro

Si cette option est définie sur Activé, elle empêche une application d’utiliser directement le microphone pour l’enregistrement. La valeur par défaut est Activé.

Bloquer la dictée

Si cette option est définie sur Activé, elle empêche une application d’utiliser directement les services de dictée. La valeur par défaut est Activé.

Bloquer les services de localisation

Si cette option est définie sur Activé, elle empêche une application d’utiliser directement les services de géolocalisation (GPS ou réseau). La valeur par défaut est Désactivé pour Secure Mail, Secure Notes et Citrix pour Salesforce. La valeur par défaut est Activé pour les autres applications.

Bloquer la composition de SMS

Si cette option est définie sur Activé, elle empêche une application d’utiliser la fonctionnalité de composition de SMS utilisée pour envoyer des SMS/messages texte à partir de l’application. La valeur par défaut est Activé.

Bloquer iCloud

Si cette option est définie sur Activé, elle empêche une application d’utiliser iCloud pour stocker et partager des données et des paramètres.

Remarque :

la stratégie Bloquer la sauvegarde de fichiers contrôle la sauvegarde de fichiers de données dans iCloud.

La valeur par défaut est Activé.

Bloquer la sauvegarde de fichiers

Si cette option est définie sur Activé, elle empêche iCloud ou iTunes de sauvegarder des fichiers de données. La valeur par défaut est Activé.

Bloquer AirPrint

Si cette option est définie sur Activé, elle empêche l’accès à l’impression en utilisant les fonctionnalités AirPrint pour imprimer des données sur les imprimantes compatibles AirPrint. La valeur par défaut est Activé.

Bloquer AirDrop

Si cette option est définie sur Activé, elle empêche une application d’utiliser AirDrop. La valeur par défaut est Activé.

Bloquer les e-mails en tant que pièces jointes

Remarque :

cette stratégie est uniquement mise en application sur iOS 9.

Si cette option est définie sur Activé, elle empêche l’envoi d’une note sous forme d’e-mail avec une pièce jointe au format PDF. La valeur par défaut est Désactivé.

Bloquer les pièces jointes

Remarque :

cette stratégie est uniquement mise en application sur iOS 9.

Si cette option est définie sur Activé, elle empêche le téléchargement de pièces jointes dans Secure Mail. La valeur par défaut est Désactivé.

Bloquer les API Facebook et Twitter

Si cette option est définie sur Activé, elle empêche une application d’utiliser les API de Facebook et Twitter sur iOS. La valeur par défaut est Activé.

Obscurcir le contenu de l’écran

Si cette option est définie sur Activé, lorsque les utilisateurs basculent entre applications, l’écran est obscurcit. Cette stratégie empêche iOS d’enregistrer le contenu de l’écran et d’afficher des miniatures. La valeur par défaut est Activé.

Bloquer les claviers tiers (iOS 9 et version ultérieures uniquement)

Si cette option est définie sur Activé, elle empêche une application d’utiliser des extensions de clavier tierces sur iOS 9 et versions ultérieures. La valeur par défaut est Activé.

Bloquer les journaux d’applications

Si l’option est définie sur Activé, elle empêche une application d’utiliser la fonctionnalité de journalisation des diagnostics de l’application XenMobile. Si cette option est définie sur Désactivé, les journaux d’application sont enregistrés et peuvent être collectées à l’aide de la fonctionnalité de prise en charge de la messagerie de Secure Hub. La valeur par défaut est Désactivé.

Redirection de la rédaction des e-mails

Les utilisateurs sont autorisés à composer des e-mails à partir d’une application d’entreprise de trois façons :

  • Secure Mail : s’il est installé sur l’appareil, Secure Mail s’ouvre automatiquement. S’il n’est pas installé, le logiciel de messagerie natif ne s’ouvre pas. Au lieu de cela, les utilisateurs reçoivent un message les invitant à installer Secure Mail.
  • Messagerie native : le programme de messagerie natif de l’appareil s’ouvre.
  • Bloqué : Secure Mail et la messagerie native sont tous les deux bloqués.

La valeur par défaut est Secure Mail.

Bloquer la recherche iOS

Si l’option est définie sur Activé, elle empêche la recherche de termes en surbrillance à travers les applications iOS. La valeur par défaut est Activé.

Accès au réseau

Accès réseau

Empêche, permet ou redirige l’activité réseau de l’application. Si l’option Non restreint est sélectionnée, aucune restriction n’est imposée sur l’accès réseau. Les applications ont un accès illimité aux réseaux auxquels l’appareil est connecté. Si l’option Bloqué est sélectionnée, l’accès réseau est bloqué. Si l’option Tunnélisé vers le réseau interne est sélectionnée, un tunnel VPN par application vers le réseau interne est utilisé pour tous les accès réseau et les paramètres de split tunneling de NetScaler sont utilisés.

La valeur par défaut pour Secure Web et Citrix pour Salesforce est Tunnélisé vers le réseau interne. La valeur par défaut pour Secure Mail, Secure Notes, ShareFile Phone et ShareFile Tablet est Non restreint. La valeur par défaut est Bloqué pour les autres applications.

Étiquette de certificat

Lorsqu’elle est utilisée avec le service d’intégration de certificat de StoreFront, cette étiquette identifie le certificat requis pour cette application. Si aucune étiquette n’est fournie, aucun certificat n’est disponible pour être utilisé avec une infrastructure de clé publique (PKI). La valeur par défaut est vide (aucun certificat utilisé).

Mode VPN préféré

Définit le mode initial des connexions qui sont tunnelisées sur le réseau interne. Un tunnel VPN complet est recommandé pour les connexions qui utilisent des certificats clients ou des connexions SSL de bout en bout vers une ressource dans le réseau interne. Navigation sécurisée est recommandé pour les connexions qui nécessitent l’authentification unique (SSO).

Autoriser le basculement vers le mode VPN

Lorsque vous effectuez un tunnelage vers le réseau interne, cette stratégie permet de basculer entre les modes VPN automatiquement en fonction de vos besoins. Si l’option Activé est sélectionnée, une demande réseau qui a échoué en raison d’une demande d’authentification qui ne peut pas être traitée dans le Mode VPN préféré est de nouveau tentée dans un autre mode. Par exemple, les contestations de serveur pour les certificats clients peuvent utiliser le mode de tunnel complet, mais pas lorsqu’elles utilisent le mode Navigation sécurisée. De même, les demandes d’authentification HTTP sont plus susceptibles d’être traitées avec l’authentification unique (SSO) lorsqu’elles utilisent le mode Navigation sécurisée. Si l’option Désactivé est sélectionnée, le mode spécifié dans la stratégie Mode VPN préféré est le seul mode qui est utilisé. La valeur par défaut est Désactivé.

URL du fichier PAC ou serveur proxy

Définit l’URL du fichier PAC (auto configuration du Proxy) ou le serveur proxy à utiliser. Uniquement pris en charge pour le mode Full Tunnel. Spécifiez une URL de fichier PAC au format http[s]://192.0.2.0/proxy.pac ou http[s]://exemple.com/proxy.pac. Pour HTTPS, installez l’autorité de certification racine sur l’appareil si le certificat est auto-signé ou non fiable. Spécifiez un serveur proxy au format myhost.exemple.com:port ou 10.10.0.100:port. Les ports par défaut et des ports autres que ceux par défaut sont acceptés. La valeur par défaut est vide.

Réseaux Wi-Fi sur liste blanche

Liste séparée par des virgules des réseaux autorisés. Les applications fonctionnent uniquement lorsqu’elles sont connectées à l’un des réseaux répertoriés. Si rien n’est spécifié, tous les réseaux sont autorisés. Cette stratégie n’affecte pas les connexions aux réseaux cellulaires. La valeur par défaut est vide.

Journaux d’applications

Sortie de journal par défaut

Détermine quels supports de sortie sont utilisés par défaut par la fonctionnalité de journalisation des diagnostics de l’application XenMobile. Les supports possibles sont les suivants : fichier, console, ou les deux. La valeur par défaut est file.

Niveau de journalisation par défaut

Contrôle le niveau de détail par défaut de la fonctionnalité de journalisation des diagnostics de l’application XenMobile. Plus le numéro est élevé, plus la journalisation est détaillée.

  • 0 - Rien n’est enregistré
  • 1 - Erreurs critiques
  • 2 - Erreurs
  • 3 - Avertissements
  • 4 - Messages d’information
  • 5 - Messages d’information détaillés
  • 6 à 15 - niveaux de débogage de 1 à 10

La valeur par défaut est le niveau 4 (Messages d’information).

Nombre maximal de fichiers journaux

Limite le nombre de fichiers journaux conservés par la fonctionnalité de journalisation des diagnostics de l’application XenMobile avant le déploiement. La valeur minimale est de 2. La valeur maximale est de 8. La valeur par défaut est 2.

Taille maximale du fichier journal

Limite la taille en Mo des fichiers journaux conservés par la fonctionnalité de journalisation des diagnostics de l’application XenMobile avant le déploiement. La valeur minimale est de 1 Mo. La valeur maximale est de 5 Mo. La valeur par défaut est 2 Mo.

Géolocalisation et géofencing d’application

La fonctionnalité de géolocalisation vous permet de limiter l’utilisation de l’application selon l’emplacement de l’appareil utilisateur. Par exemple, une personne se rend à Amsterdam. Vous pouvez permettre aux utilisateurs d’utiliser l’application lorsqu’ils se trouvent à Amsterdam. Si la personne se rend en Belgique, l’application est verrouillée et les utilisateurs ne peuvent pas interagir avec l’application. Lorsque l’utilisateur retourne à Amsterdam, l’application se déverrouille et elle est à nouveau disponible.

Il existe trois paramètres permettant d’activer la géolocalisation :

  • Longitude (coordonnées X) du point central du périmètre dans lequel l’application est autorisée à être utilisée. Si l’application est utilisée en dehors du périmètre configuré, elle reste verrouillée. Doit être exprimée en degrés au format numérique décimal (DDD.dddd). Par exemple, « -31.9635 ». Les longitudes occidentales doivent être précédées d’un signe moins.
  • Latitude (coordonnées Y) du point central du périmètre dans lequel l’application est autorisée à être utilisée. Doit être exprimée en degrés au format numérique décimal (DDD.dddd). Par exemple, « 43.06581 ». Les latitudes méridionales doivent être précédées d’un signe moins.
  • Rayon du périmètre (géofencing) dans lequel l’application est autorisée à être utilisée. Définissez le rayon en mètres. Lorsque la valeur est définie sur zéro, le géofencing est désactivé.

Si vous activez Bloquer les services de localisation, le géofencing ne fonctionne pas correctement.

La valeur par défaut est 0 (désactivé).

Si l’application prend en charge le géofencing et que vous désactivez les services de localisation, les utilisateurs peuvent quitter l’application ou cliquer sur Paramètres pour accéder à l’écran Paramètres de l’appareil Android. Si les utilisateurs activent les services de géolocalisation, ils peuvent revenir et continuer à utiliser l’application.

Lorsque les paramètres de rayon et de services de localisation sont corrects, l’application vérifie si le périmètre est respecté. Si la distance entre l’emplacement actuel et le point central est supérieure au rayon spécifié, l’utilisateur ne peut pas utiliser l’application. Dans ce cas, les utilisateurs sont invités à quitter l’application. L’utilisateur doit se trouver dans le périmètre défini pour continuer à utiliser l’application.

Si la distance entre l’emplacement actuel et le point central est inférieure au rayon défini, l’utilisateur peut continuer à utiliser l’application.

L’application vérifie le fournisseur de réseau (Wi-Fi, 3G ou 4G) ou le fournisseur de GPS pour trouver l’emplacement. L’appareil peut également utiliser à la fois le GPS et le réseau de l’opérateur de téléphonie mobile, ce qui aide à connaître la localisation plus rapidement.

Il existe un délai d’expiration de deux minutes pour permettre une vérification plus longue.

Remarque :

pour obtenir de manière précise l’emplacement de l’appareil, et pour éviter que les utilisateurs essayent de contourner le géofencing en désactivant le Wi-Fi ou le GPS, Citrix vous recommande de définir la stratégie Session en ligne requise sur Activé.

Paramètres d’application ShareConnect

Enregistrer le mot de passe

Si ce paramètre est défini sur Activé, il permet aux utilisateurs d’enregistrer le nom d’utilisateur et le mot de passe de leur ordinateur distant. La valeur par défaut est Activé.

Paramètres applicatifs Secure Mail

Serveur Exchange Secure Mail

Le nom de domaine complet (FQDN) d’Exchange Server, ou pour iOS uniquement, du serveur IBM Notes Traveler. La valeur par défaut est vide. Si vous fournissez un nom de domaine dans ce champ, les utilisateurs ne peuvent pas le modifier. Si vous laissez ce champ vide, les utilisateurs entrent leurs propres informations de serveur.

Avertissement :

si vous modifiez cette stratégie pour une application existante, les utilisateurs doivent supprimer et réinstaller l’application pour appliquer la modification apportée à la stratégie.

  • Domaine utilisateur Secure Mail

Domaine utilisateur Secure Mail

Nom de domaine Active Directory par défaut des utilisateurs Exchange, ou pour iOS uniquement, des utilisateurs Notes. La valeur par défaut est vide.

Services réseau d’arrière-plan

Le nom de domaine complet (FQDN) et les adresses du port du service autorisés pour l’accès réseau en arrière-plan. Cette adresse peut être un serveur Exchange ou ActiveSync, soit dans votre réseau interne soit dans un autre réseau auquel Secure Mail se connecte, comme mail.monentreprise.com:443.

Si vous configurez cette stratégie, définissez la stratégie Accès réseau sur Tunnélisé vers le réseau interne. Cette stratégie prend effet lorsque vous configurez la stratégie d’accès réseau. Utilisez également cette stratégie lorsque le serveur Exchange réside sur votre réseau interne et que vous souhaitez utiliser NetScaler Gateway pour créer un proxy sur cette connexion vers le serveur Exchange interne.

La valeur par défaut est vide, ce qui implique que les services réseau en arrière-plan ne sont pas disponibles.

Expiration du ticket des services d’arrière-plan

La période de temps pendant laquelle un ticket de service réseau d’arrière-plan reste valide. Lorsque Secure Mail se connecte à un serveur Exchange exécutant ActiveSync via NetScaler Gateway, XenMobile délivre un jeton que Secure Mail utilise pour se connecter au serveur Exchange interne. Ce paramètre détermine la durée pendant laquelle Secure Mail peut utiliser le jeton sans demander de nouveau jeton pour l’authentification et la connexion au serveur Exchange. Lorsque la limite de temps expire, les utilisateurs doivent ouvrir une session à nouveau pour générer un nouveau jeton. La valeur par défaut est 168 heures (7 jours).

Passerelle des services réseau d’arrière-plan

Adresse de passerelle alternative à utiliser pour les services réseau en arrière-plan au format fqdn:port. Cette adresse est le nom de domaine complet et le numéro de port NetScaler Gateway que Secure Mail utilise pour se connecter au serveur Exchange interne. Dans l’outil de configuration NetScaler Gateway, vous devez configurer la STA (Secure Ticket Authority) et lier la stratégie au serveur virtuel. Pour plus d’informations sur la configuration de STA dans NetScaler Gateway, consultez Configuration de la Secure Ticket Authority sur NetScaler Gateway.

La valeur par défaut est vide, autrement dit aucune passerelle alternative n’existe.

Si vous configurez cette stratégie, définissez la stratégie Accès réseau sur Tunnélisé vers le réseau interne. Cette stratégie prend effet lorsque vous configurez la stratégie Accès réseau. Utilisez également cette stratégie lorsque le serveur Exchange réside sur votre réseau interne et que vous souhaitez utiliser NetScaler Gateway pour créer un proxy sur cette connexion vers le serveur Exchange interne.

Exporter contacts

Important :

n’activez pas cette fonctionnalité si les utilisateurs peuvent accéder à votre serveur Exchange directement (c’est-à-dire en dehors de NetScaler Gateway). Sinon, les contacts sont dupliqués sur l’appareil et dans Exchange.

Si ce paramètre est défini sur Désactivé, il empêche la synchronisation unidirectionnelle des contacts Secure Mail avec l’appareil et empêche le partage des contacts Secure Mail (en tant que vCards). La valeur par défaut est Désactivé.

Champs de contact à exporter

Contrôle les champs de contact à exporter sur les carnets d’adresses. Si l’option Tous est sélectionnée, tous les champs de contact sont exportés. Si l’option Nom et téléphone est sélectionnée, tous les champs de contact liés au nom et au numéro de téléphone sont exportés. Si l’option Nom, téléphone et e-mail est sélectionnée, tous les champs de contact liés au nom, au numéro de téléphone et à l’adresse e-mail sont exportés. La valeur par défaut est Tous.

Accepter tous les certificats SSL

Si ce paramètre est défini sur Activé, Secure Mail accepte tous les certificats SSL (valides ou non) et autorise l’accès. Si ce paramètre est défini sur Désactivé, Secure Mail bloque l’accès lorsqu’une erreur de certificat se produit et affiche un avertissement. La valeur par défaut est Désactivé.

Contrôler les notifications de l’écran verrouillé

Contrôle si les notifications relatives à la messagerie et au calendrier s’affichent sur l’écran d’un appareil verrouillé. Si l’option Autoriser est sélectionnée, toutes les informations contenues dans la notification s’affichent. Si l’option Bloquer est sélectionnée, les notifications ne s’affichent pas. Si l’option Expéditeur de l’e-mail ou titre de l’événement est sélectionnée, seul le nom de l’expéditeur de l’e-mail ou le titre de l’événement de calendrier s’affiche. Si l’option Nombre uniquement est sélectionnée, seul le nombre de messages et d’invitations à des réunions s’affiche ainsi que les rappels de calendrier. La valeur par défaut est Autoriser.

Notification par défaut des e-mails

Les utilisateurs peuvent modifier les notifications par e-mail sur leurs appareils de Désactivé à Activé. La stratégie Notification par défaut des e-mails vous permet de définir une stratégie globale pour les notifications par e-mail pour votre organisation.

Lorsque l’application vérifie la présence de nouvelles stratégies, la nouvelle valeur est envoyée vers l’appareil utilisateur. Ce problème se produit lorsque les utilisateurs installent l’application pour la première fois ou mettent à niveau l’application.

Si les utilisateurs définissent cette stratégie localement et que le paramètre global est différent, le paramètre local ne change pas lorsque les utilisateurs démarrent l’application.

La valeur par défaut est Désactivé.

Intervalle de synchronisation par défaut

Spécifie l’intervalle de synchronisation par défaut pour Secure Mail. Les utilisateurs de Secure Mail peuvent modifier la valeur par défaut.

Le paramètre de stratégie de boîte aux lettres Exchange ActiveSync Filtre d’âge maximal des messages électroniques a priorité sur cette stratégie. Si vous spécifiez un intervalle de synchronisation par défaut supérieur au Filtre d’âge maximal des messages électroniques, le paramètre Filtre d’âge maximal des messages électroniques est utilisé. Secure Mail affiche uniquement les valeurs d’intervalle de synchronisation qui sont inférieures au paramètre Filtre d’âge maximal des messages électroniques ActiveSync.

La valeur par défaut est de 3 jours.

Limite de recherche du serveur de messagerie

Restreint le volume d’historique des messages auquel il est possible d’accéder à partir d’appareils mobiles en limitant le nombre de jours inclus dans les recherches du serveur de messagerie.

Les options sont les suivantes :

  • 90 jours
  • 180 jours
  • 1 an
  • Illimité

Pour limiter le nombre de messages synchronisés sur un appareil mobile, configurez la stratégie Période de synchronisation du client maximale.

La valeur par défaut est Illimité.

Intervalle de synchronisation maximal

Contrôle le nombre de messages stockés localement sur un appareil mobile en limitant la période de synchronisation.

Pour limiter la durée pendant laquelle un appareil peut effectuer des recherches sur le serveur de messagerie, configurez la stratégie Limite de recherche du serveur de messagerie.

Les valeurs sont les suivantes :

  • 3 jours
  • 1 semaine
  • 2 semaines
  • 1 mois
  • Toutes

La valeur par défaut est 1 mois.

Période de synchronisation maximale autorisée

Limite la recherche sur l’appareil à une période de temps spécifiée. La recherche comprend la recherche locale et sur le serveur que vous configurez à l’aide de deux stratégies distinctes. Définissez la stratégie sur l’appareil et sur le serveur pour qu’elle soit appliquée.

Les valeurs sont les suivantes :

  • 3 jours
  • 1 semaine
  • 2 semaines
  • 1 mois
  • Toutes

La valeur par défaut est 1 mois.

Activer jour de la semaine

Si cette option est définie sur Activé, les vues de calendrier incluent le jour de la semaine. La valeur par défaut est Désactivé.

Activer le téléchargement de pièces jointes via Wi-Fi

Si ce paramètre est défini sur Activé, l’option Télécharger les pièces jointes de Secure Mail est activée de façon à ce que les utilisateurs puissent, par défaut, télécharger des pièces jointes sur les réseaux Wi-Fi internes. Si ce paramètre est défini sur Désactivé, l’option Télécharger les pièces jointes de Secure Mail est désactivée de façon à ce que les utilisateurs ne puissent pas, par défaut, télécharger des pièces jointes sur les réseaux Wi-Fi. La valeur par défaut est Désactivé.

Gestion des droits relatifs à l’information

Si ce paramètre est défini sur Activé, Secure Mail prend en charge les fonctionnalités de gestion des droits relatifs à l’information (IRM) Exchange. La valeur par défaut est Désactivé.

Classification de la messagerie

Si ce paramètre est défini sur Activé, Secure Mail prend en charge les marquages de classification de messagerie pour la sécurité (ECS) et les marqueurs DLM. Les marquages de classification apparaissent dans les en-têtes d’e-mail en tant que valeurs X-Protective-Marking. Veillez à configurer les stratégies de classification de messagerie associées. La valeur par défaut est Désactivé.

Marquages de classification de la messagerie

Spécifie les marquages classification à mettre à la disposition des utilisateurs. La liste des marquages contient des paires de valeurs qui sont séparées par des points-virgules. Chaque paire comprend la valeur de liste qui apparaît dans Secure Mail et la valeur de marquage qui correspond au texte ajouté à l’objet et l’en-tête de l’e-mail. Par exemple, dans la paire de marquage UNOFFICIAL SEC=UNOFFICIAL, la valeur de liste est UNOFFICIAL et la valeur de marquage est SEC=UNOFFICIAL.

La valeur par défaut est une liste des marquages de classification que vous pouvez modifier. Pour consulter la liste des marquages par défaut, consultez Classifications de sécurité de la messagerie.

Si la liste est vide, Secure Mail ne comprend pas de liste des marquages de protection.

Espace de noms de classification de la messagerie

Spécifie l’espace de noms de la classification requis dans l’en-tête de l’e-mail par la norme de classification utilisée. Par exemple, l’espace de noms gov.au apparaît dans l’en-tête comme NS=gov.au. La valeur par défaut est vide.

Version de classification de la messagerie

Spécifie la version de la classification requise dans l’en-tête de l’e-mail par la norme de classification utilisée. Par exemple, la version 2012.3 apparaît dans l’en-tête comme VER=2012.3. La valeur par défaut est vide.

Classification de messagerie par défaut

Si un utilisateur ne choisit pas un marquage, spécifie le marquage de protection que Secure Mail applique à un e-mail. Cette valeur doit figurer dans la liste de la stratégie Marquages de classification de la messagerie. La valeur par défaut est UNOFFICIAL.

Activer l’enregistrement automatique des brouillons

Si cette option est définie sur Activé, Secure Mail prend en charge l’enregistrement automatique des messages vers le dossier Brouillons. L’enregistrement automatique se produit toutes les 20 secondes. La valeur par défaut est Activé.

Activer la protection des données iOS

Remarque :

cette stratégie est destinée aux entreprises qui doivent satisfaire aux exigences du ASD (Australian Signals Directorate) en matière de sécurité informatique.

Activer la protection des données iOS : cette stratégie est destinée aux entreprises qui doivent satisfaire aux exigences du ASD (Australian Signals Directorate) en matière de sécurité informatique. Active la protection des données iOS lorsque vous travaillez sur des fichiers. Si cette option est définie sur Activé, elle spécifie le niveau de protection appliqué aux fichiers lors de la création et de l’ouverture de fichiers dans le sandbox des applications. La valeur par défaut est Désactivé.

Google Analytics

Si ce paramètre est défini sur Complète, Citrix collecte des données identifiables sur votre entreprise afin d’améliorer la qualité des produits. Si ce paramètre est défini sur Anonyme, seules les données anonymes sont collectées. Le paramètre par défaut est Complète.

Notifications Push

Active les notifications basées sur APNS relatives aux activités de la boîte aux lettres. Si ce paramètre est défini sur Activé, Secure Mail prend en charge les notifications Push. La valeur par défaut est Désactivé.

Région des notifications push

La région dans laquelle se trouve l’hôte APNS pour vos utilisateurs Secure Mail. Les options sont Americas, EMEA et APAC. La valeur par défaut est Americas.

ID client des notifications push

Votre ID de client APNS, utilisé pour identifier votre compte auprès du service de notification Citrix. La valeur par défaut est vide.

Source du certificat S/MIME

Spécifie la source des certificats S/MIME. Si l’option E-mail est sélectionnée, vous devez envoyer les certificats aux utilisateurs par e-mail. Ces derniers ouvrent ensuite l’e-mail dans Secure Mail et importent les certificats joints. Si l’option Coffre partagé est sélectionnée, un fournisseur d’identité numérique fournit des certificats au coffre partagé de l’application XenMobile. L’intégration avec le fournisseur tiers nécessite que vous publiiez une application associée auprès des utilisateurs. Consultez la description de la stratégie Activer S/MIME lors du premier démarrage de Secure Mail ci-après pour plus de détails sur l’expérience utilisateur.

La valeur par défaut est E-mail.

Activer S/MIME lors du premier démarrage de Secure Mail

Si la stratégie Source du certificat S/MIME est définie sur Coffre partagé, détermine si Secure Mail active la norme S/MIME lors du premier démarrage de Secure Mail. Si ce paramètre est défini sur Activé, Secure Mail active la norme S/MIME s’il existe des certificats pour l’utilisateur dans le coffre partagé. S’il n’existe pas de certificats dans le coffre partagé, l’utilisateur est invité à importer les certificats. Dans ces deux cas de figure, les utilisateurs doivent configurer des certificats à partir d’une application de fournisseur d’identité numérique prise en charge avant de créer un compte dans Secure Mail.

Si ce paramètre est défini sur Désactivé, Secure Mail n’active pas S/MIME et l’utilisateur peut l’activer dans les paramètres Secure Mail. La valeur par défaut est Désactivé.

Mécanisme d’authentification initial

Cette stratégie indique si l’adresse du serveur de messagerie fournie par MDX est utilisée pour renseigner le champ Adresse la première fois que l’écran de provisioning est utilisé ou si l’adresse e-mail de l’utilisateur est utilisée.

La valeur par défaut est Utiliser l’adresse du serveur de messagerie fournie par MDX.

Informations d’identification d’authentification initiales

Cette stratégie définit la valeur à choisir en tant que nom d’utilisateur pour renseigner l’écran de provisioning lors de la première utilisation.

La valeur par défaut est Nom d’utilisateur Principal.

Type de conférence audio/Web

Type de conférence audio/Web : contrôle les types de réunion que les utilisateurs peuvent configurer lors de l’organisation d’une réunion. Si l’option GoToMeeting et saisies par l’utilisateur est sélectionnée, les utilisateurs peuvent sélectionner GoToMeeting ou Autre conférence lorsqu’ils appuient sur la section Web et audio de l’écran Créer ou Modifier l’événement. Autre conférence permet à l’utilisateur d’entrer manuellement les détails de la conférence. Si l’option Uniquement saisies par l’utilisateur est sélectionnée, les utilisateurs sont dirigés directement vers l’écran Autre conférence. La valeur par défaut est GoToMeeting et saisies par l’utilisateur.

Source du certificat public S/MIME

Adresse du serveur LDAP : adresse du serveur LDAP, y compris le numéro de port. La valeur par défaut est vide.

Adresse du serveur LDAP

Adresse du serveur LDAP, y compris le numéro de port. La valeur par défaut est vide.

Nom unique de base LDAP

Nom unique de base LDAP. La valeur par défaut est vide.

Accès anonyme à LDAP

Si cette stratégie est définie sur Activé, Secure Mail peut effectuer des recherches LDAP sans authentification préalable. La valeur par défaut est Désactivé.

Si la valeur est définie sur Activé, LDAP s’authentifie uniquement à l’aide du nom d’utilisateur et du mot de passe Active Directory. Il n’existe aucune prise en charge pour l’authentification basée sur les certificats et d’autres modes d’authentification.

Ignorer vérification des contacts natifs

Si l’option est définie sur Activé, l’application synchronise les contacts sur l’appareil, même si l’application de contacts natifs est configurée avec un compte Exchange/Hotmail.

Si elle est désactivée, l’application continue de bloquer la synchronisation des contacts. La valeur par défaut est Activé.

Domaines de messagerie autorisés

L’ajout d’un domaine de messagerie à cette liste permet aux utilisateurs de configurer un compte à partir de ce domaine. Tous les autres domaines sont bloqués. La valeur par défaut est vide, ce qui signifie que Secure Mail ne bloque aucun domaine.

Pour permettre à Secure Mail pour filtrer les domaines interdits, vous devez ajouter les domaines autorisés à la liste. Secure Mail compare ensuite le domaine avec la liste autorisée. Par exemple, si vous répertoriez serveur.société.com comme un nom de domaine autorisé, si l’adresse e-mail de l’utilisateur est utilisateur@interne.serveur.société.com, Secure Mail prend en charge l’adresse e-mail. Dans cet exemple, Secure Mail ne prend pas en charge les adresses e-mail avec un nom de domaine qui n’est pas serveur.société.com.

Dans les paramètres de stratégie, vous ajoutez les domaines autorisés sous forme de liste séparée par des virgules, telle que serveur.société.com, serveur.société.fr

Paramètres applicatifs Secure Notes

Options de stockage Secure Notes

Options de stockage Secure Notes : vous permet de définir des options de stockage pour les notes que les utilisateurs créent lors de l’utilisation de Secure Notes. Si l’option ShareFile et Exchange Server est sélectionnée, l’utilisateur peut choisir les options de stockage pour ses notes. Si l’option ShareFile uniquement est sélectionnée, les notes sont stockées dans ShareFile. Si l’option Exchange uniquement est sélectionnée, les notes sont stockées dans Exchange Server. La valeur par défaut est ShareFile et Exchange Server.

Serveur Exchange Secure Notes

Nom de domaine complet (FQDN) d’Exchange Server. La valeur par défaut est vide.

Domaine utilisateur Secure Notes

Nom de domaine Active Directory par défaut des utilisateurs Exchange. La valeur par défaut est vide.

Services réseau d’arrière-plan

Le nom de domaine complet (FQDN) et les adresses du port du service autorisés pour l’accès réseau en arrière-plan. Cette adresse peut être un serveur Exchange ou ActiveSync, soit dans votre réseau interne soit dans un autre réseau auquel Secure Mail se connecte, comme mail.monentreprise.com:443.

Si vous configurez cette stratégie, définissez la stratégie Accès réseau sur Tunnélisé vers le réseau interne. Cette stratégie prend effet lorsque vous configurez la stratégie Accès réseau. Utilisez également cette stratégie lorsque le serveur Exchange réside sur votre réseau interne et que vous souhaitez utiliser NetScaler Gateway pour créer un proxy sur cette connexion vers le serveur Exchange interne.

La valeur par défaut est vide, ce qui implique que les services réseau en arrière-plan ne sont pas disponibles.

Expiration du ticket des services d’arrière-plan

Période de temps pendant laquelle un ticket de service réseau d’arrière-plan reste valide. Après expiration, un identifiant d’entreprise est requis pour renouveler le ticket. La valeur par défaut est 168 heures (7 jours).

Passerelle des services réseau d’arrière-plan

Adresse de passerelle alternative à utiliser pour les services réseau en arrière-plan au format fqdn:port. La valeur par défaut est vide, ce qui implique qu’il n’existe pas de passerelle alternative.

Accepter tous les certificats SSL

Si ce paramètre est défini sur Activé, Secure Notes accepte tous les certificats SSL (valides ou non) et autorise l’accès. Si ce paramètre est défini sur Désactivé, Secure Notes bloque l’accès lorsqu’une erreur de certificat se produit et affiche un avertissement. La valeur par défaut est Désactivé.

Usage analytics (Analyse de l’utilisation)

Si ce paramètre est défini sur Complète, Citrix collecte des données identifiables sur votre entreprise afin d’améliorer la qualité des produits. Si ce paramètre est défini sur Anonyme, seules les données anonymes sont collectées. Le paramètre par défaut est Complète.

Paramètres applicatifs Secure Tasks

Vous pouvez configurer les stratégies suivantes pour Secure Tasks sur les appareils iOS :

Serveur Exchange Secure Tasks

Nom de domaine complet (FQDN) d’Exchange Server. La valeur par défaut est vide.

Domaine utilisateur Secure Tasks

Nom de domaine Active Directory par défaut des utilisateurs Exchange. La valeur par défaut est vide.

Services réseau d’arrière-plan

Liste séparée par des virgules des adresses et ports du service autorisés à accéder au réseau en arrière-plan. Chaque service est au format fqdn:port. La valeur par défaut est vide, ce qui implique que les services réseau en arrière-plan ne sont pas disponibles.

Expiration du ticket des services d’arrière-plan

Période de temps pendant laquelle un ticket de service réseau d’arrière-plan reste valide. Après expiration, un identifiant d’entreprise est requis pour renouveler le ticket. La valeur par défaut est 168 heures (7 jours).

Passerelle des services réseau d’arrière-plan

Adresse de passerelle alternative à utiliser pour les services réseau en arrière-plan au format fqdn:port. La valeur par défaut est vide, ce qui implique qu’il n’existe pas de passerelle alternative.

Accepter tous les certificats SSL

Si ce paramètre est défini sur Activé, Secure Tasks accepte tous les certificats SSL (valides ou non) et autorise l’accès. Si ce paramètre est défini sur Désactivé, Secure Tasks bloque l’accès lorsqu’une erreur de certificat se produit et affiche un avertissement. La valeur par défaut est Désactivé.

Google Analytics

Si ce paramètre est défini sur Complète, Citrix collecte des données identifiables sur votre entreprise afin d’améliorer la qualité des produits. Si ce paramètre est défini sur Anonyme, seules les données anonymes sont collectées. Le paramètre par défaut est Complète.

Paramètres applicatifs Secure Web

Sites Web autorisés ou bloqués

Secure Web ne filtre pas les liens Web. Vous pouvez utiliser cette stratégie pour configurer une liste spécifique de sites autorisés ou bloqués. Vous configurez des modèles d’adresse URL afin de limiter les sites Web que le navigateur est autorisé à ouvrir, sous forme de liste séparée par des virgules. Un signe plus (+) ou moins (-) précède chaque modèle dans la liste. Le navigateur compare une URL avec les modèles dans l’ordre indiqué jusqu’à ce qu’une correspondance soit trouvée. Lorsqu’une correspondance est trouvée, le préfixe détermine l’action exécutée comme suit :

  • Un préfixe - indique au navigateur de bloquer l’URL. Dans ce cas, l’URL est traitée comme si l’adresse du serveur Web ne peut pas être résolue.
  • Un préfixe + autorise le traitement de l’URL.
  • Si aucun préfixe (+ ou -) n’est fourni avec le modèle, « + » (autoriser) est la valeur par défaut.
  • Si l’URL ne correspond à aucun modèle dans la liste, elle est autorisée.

    Pour bloquer toutes les autres URL, ajoutez un signe Moins suivi d’un astérisque (-*) à la fin de la liste. Par exemple :

  • La valeur de stratégie +http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-* autorise les URL HTTP avec le domaine mycorp.com, mais bloque celles provenant d’un autre domaine, autorise les URL HTTPS et FTP de n’importe quel domaine, et bloque toutes les autres URL.
  • La valeur de stratégie +http://*.training.lab/*,+https://*.training.lab/*,-* autorise les utilisateurs à ouvrir n’importe quel site dans le domaine Training.lab (intranet) via HTTP ou HTTPS, mais ne leur permet pas d’accéder à des URL publiques, telles que Facebook, Google et Hotmail, quel que soit le protocole utilisé.

La valeur par défaut est vide (toutes les URL sont autorisées).

Signets pré-chargés

Définit un ensemble de signets préchargés pour le navigateur Secure Web. La stratégie est une liste séparée par des virgules contenant le nom du dossier, un nom convivial et une adresse Web. Chaque triplet est au format dossier,nom,url où dossier et nom peuvent éventuellement être entourés de guillemets (“).

À titre d’exemple, les valeurs de stratégies ,"Mycorp, Inc. home page",http://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",http://www.mycorp.com/IR/Contactus.aspx définissent trois signets. Le premier est un lien principal (aucun nom de dossier) appelé “Mycorp, Inc. home page”. Le second lien est placé dans un dossier “MyCorp Links” intitulé “Account logon”. Le troisième est placé dans le sous-dossier “Investor Relations” du dossier “MyCorp Links” et affiché en tant que “Contact us”.

La valeur par défaut est vide.

URL de page d’accueil

Définit le site Web que Secure Web charge au démarrage. La valeur par défaut est vide (page de démarrage par défaut).

Interface utilisateur du navigateur

Spécifie le comportement et la visibilité des contrôles de l’interface utilisateur du navigateur pour Secure Web. Tous les contrôles de navigation sont normalement disponibles. Cela comprend les contrôles suivant, précédent, barre d’adresses et actualiser/arrêter. Vous pouvez configurer cette stratégie pour restreindre l’utilisation et la visibilité de certains de ces contrôles. La valeur par défaut est Toutes les commandes visibles.

Options :

  • Toutes les commandes visibles. Toutes les commandes sont visibles et les utilisateurs sont autorisés à les utiliser.
  • Barre d’adresses en lecture seule. Toutes les commandes sont visibles, mais les utilisateurs ne peuvent pas modifier le champ d’adresse du navigateur.
  • Masquer la barre d’adresses. Masque la barre d’adresses, mais pas les autres commandes.
  • Masquer toutes les commandes. Supprime la barre d’outils complète pour offrir une expérience de navigation sans cadre.

Activer la mise en cache du mot de passe Web

Lorsque les utilisateurs Secure Web entrent des informations d’identification lors de l’accès à une ressource Web ou la demande d’une ressource Web, cette stratégie détermine si Secure Web met en cache de façon silencieuse le mot de passe sur l’appareil. Cette stratégie s’applique aux mots de passe entrés dans les boîtes de dialogue d’authentification et non aux mots de passe entrés dans les formulaires Web.

Si l’option Activé est sélectionnée, Secure Web met en cache tous les mots de passe des utilisateurs lors de la demande d’une ressource Web. Si l’option Désactivé est sélectionnée, Secure Web ne met pas en cache les mots de passe et supprime les mots de passe en cache existants. La valeur par défaut est Désactivé.

Cette stratégie est activée uniquement lorsque vous définissez en parallèle la stratégie Mode VPN préféré sur Tunnel VPN complet pour cette application.

Google Analytics

Si ce paramètre est défini sur Complète, Citrix collecte des données identifiables sur votre entreprise afin d’améliorer la qualité des produits. Si ce paramètre est défini sur Anonyme, seules les données anonymes sont collectées. Le paramètre par défaut est Complète.

Activer la protection des données iOS

Remarque :

cette stratégie est destinée aux entreprises qui doivent satisfaire aux exigences du ASD (Australian Signals Directorate) en matière de sécurité informatique.

Active la protection des données iOS lorsque vous travaillez sur des fichiers. Si cette option est définie sur Activé, elle spécifie le niveau de protection appliqué aux fichiers lors de la création et de l’ouverture de fichiers dans le sandbox des applications. La valeur par défaut est Désactivé.

Restrictions de sécurité iOS 9

Remarque :

cette stratégie est uniquement mise en application sur iOS 9.

Si cette option est définie sur Activé, le téléchargement de fichiers et de pages hors connexion est désactivé. Désactive également la mise en cache des cookies et le stockage local HTML 5. La valeur par défaut est Désactivé.

Domaines Secure Web

La stratégie de domaines Secure Web contrôle quels domaines sont envoyés au navigateur Secure Web au lieu du navigateur natif. Une liste de domaines hôtes d’URL séparés par des virgules est mise en correspondance avec la partie du nom d’hôte d’une URL que l’application envoie normalement à un gestionnaire externe. En général, les administrateurs configurent cette stratégie en tant que liste de domaines internes pour Secure Web à traiter. Si la stratégie est laissée vide, tout le trafic web qui n’est pas explicitement exclu du filtrage ou autrement redirigé par la logique du filtre Intent/URL est envoyé à Secure Web.

Exclure le filtre URL pour les domaines

La stratégie ExcludeUrlFilterForDomains est une liste de domaines de sites Web séparés par des virgules exclus du filtrage d’URL. Les URL incluant tous les domaines de la liste sont envoyées au navigateur natif de l’utilisateur au lieu de Secure Web. Si la stratégie est vide, toutes les URL sont transmises via les filtres d’URL. Cette stratégie est prioritaire sur la stratégie SecureWebDomains. La valeur par défaut est vide.

Paramètres applicatifs du client ShareFile Secure

Activer la visionneuse sécurisée

Si cette option est définie sur Activé, le client utilise une visionneuse sécurisée au lieu de la fonctionnalité d’aperçu Quick Look d’iOS. La visionneuse sécurisée basée sur MDX veille à ce que les opérations couper, copier et coller se produisent uniquement entre applications MDX encapsulées. Si elle est définie sur Désactivé, la visionneuse sécurisée n’est pas utilisée. La valeur par défaut est Activé.