Documentation produit
Tâches et considérations de l'administrateur
Voir PDF

Stratégies MDX pour les applications de productivité mobiles pour Android

May 6, 2026
Contributeur: 
C C

Cet article décrit les stratégies MDX pour les applications Android. Vous modifiez les paramètres de stratégie dans la console Citrix Endpoint Management. Pour plus de détails, consultez Ajouter des applications.

La liste suivante n’inclut pas les stratégies MDX spécifiques à Secure Web. Pour plus de détails sur les stratégies qui apparaissent pour Secure Web, consultez Stratégies Secure Web.

Authentification

Code secret de l’application

Si Activé, un code PIN ou un mot de passe est requis pour déverrouiller l’application lorsqu’elle démarre ou reprend après une période d’inactivité. La valeur par défaut est Activé.

Pour configurer le délai d’inactivité pour toutes les applications, définissez la valeur INACTIVITY_TIMER en minutes dans Propriétés du client sous l’onglet Paramètres. La valeur par défaut du délai d’inactivité est de 60 minutes. Pour désactiver le délai d’inactivité, afin qu’une invite de code PIN ou de mot de passe n’apparaisse qu’au démarrage de l’application, définissez la valeur sur zéro.

Remarque :

Si vous sélectionnez Sécuriser hors ligne pour la stratégie Clés de chiffrement, cette stratégie est automatiquement activée.

Période hors ligne maximale (heures)

Définit la période maximale pendant laquelle une application peut s’exécuter hors ligne sans connexion réseau pour reconfirmer les droits et actualiser les stratégies. La valeur par défaut est 168 heures (7 jours). La période minimale est de 1 heure.

L’utilisateur est invité à se connecter 30, 15 et 5 minutes avant l’expiration de la période. Après expiration, l’application reste verrouillée jusqu’à ce que l’utilisateur effectue une connexion réseau réussie.

Autre Citrix Gateway

Remarque :

Le nom de cette stratégie dans la console Endpoint Management est Alternate NetScaler® Gateway.

Adresse d’une autre passerelle Citrix Gateway spécifique (anciennement, NetScaler Gateway) utilisée pour l’authentification et les sessions micro VPN avec cette application. Alternate NetScaler Gateway est une stratégie facultative lorsqu’elle est utilisée avec la stratégie Session en ligne requise, elle force les applications à se réauthentifier auprès de la passerelle spécifique. Ces passerelles auraient généralement des exigences d’authentification (assurance plus élevée) et des stratégies de gestion du trafic différentes. Si elle est laissée vide, la valeur par défaut du serveur est toujours utilisée. La valeur par défaut est vide.

Sécurité de l’appareil

Bloquer les appareils jailbreakés ou rootés

Si Activé, l’application est verrouillée lorsque l’appareil est jailbreaké ou rooté. Si Désactivé, l’application peut s’exécuter même si l’appareil est jailbreaké ou rooté. La valeur par défaut est Activé.

Exiger le chiffrement de l’appareil

Si Activé, l’application est verrouillée si l’appareil n’a pas de chiffrement configuré. Si Désactivé, l’application est autorisée à s’exécuter même si l’appareil n’a pas de chiffrement configuré. La valeur par défaut est Désactivé.

Remarque :

Cette stratégie est prise en charge uniquement sur Android 3.0 (Honeycomb). La définition de la stratégie sur Activé empêche une application de s’exécuter sur des versions plus anciennes.

  • Exiger le verrouillage de l’appareil

  • Si Code PIN ou mot de passe de l’appareil est sélectionné, l’application est verrouillée si l’appareil n’a pas de code PIN ou de mot de passe. Si Verrouillage de l’écran par motif de l’appareil est sélectionné, l’application est verrouillée si l’appareil n’a pas de verrouillage de l’écran par motif défini. Si Désactivé, l’application est autorisée à s’exécuter même si l’appareil n’a pas de code PIN, de mot de passe ou de verrouillage de l’écran par motif défini. La valeur par défaut est Désactivé.

  • Code PIN ou mot de passe de l’appareil nécessite une version minimale d’Android 4.1 (Jelly Bean). La définition de la stratégie sur Code PIN ou mot de passe de l’appareil empêche une application de s’exécuter sur des versions plus anciennes.

  • Sur les appareils Android M, les options Code PIN ou mot de passe de l’appareil et Verrouillage de l’écran par motif de l’appareil ont le même effet : avec l’une ou l’autre de ces options, l’application est verrouillée si l’appareil n’a pas de code PIN, de mot de passe ou de verrouillage de l’écran par motif défini.

Exigences réseau

Exiger le Wi-Fi

Si Activé, l’application est verrouillée lorsque l’appareil n’est pas connecté à un réseau Wi-Fi. Si Désactivé, l’application peut s’exécuter si l’appareil dispose d’une connexion active, telle qu’une connexion 4G/3G, LAN ou Wi-Fi. La valeur par défaut est Désactivé.

Réseaux Wi-Fi autorisés

Liste des réseaux Wi-Fi autorisés, séparés par des virgules. Si le nom du réseau contient des caractères non alphanumériques (y compris des virgules), le nom doit être placé entre guillemets. L’application ne s’exécute que si elle est connectée à l’un des réseaux répertoriés. Si ce champ est laissé vide, tous les réseaux sont autorisés. Cette valeur n’affecte pas les connexions aux réseaux cellulaires. La valeur par défaut est vide.

Accès divers

Période de grâce pour la mise à jour de l’application (heures)

Définit la période de grâce pendant laquelle une application peut être utilisée après que le système a détecté qu’une mise à jour de l’application est disponible. La valeur par défaut est 168 heures (7 jours).

Remarque :

  • L’utilisation de zéro n’est pas recommandée car elle empêche immédiatement l’utilisation d’une application en cours d’exécution tant que la mise à jour n’est pas téléchargée et installée (sans aucun avertissement à l’utilisateur). Cette valeur peut entraîner une situation où l’utilisateur exécutant l’application est contraint de quitter l’application (perdant potentiellement son travail) pour se conformer à la mise à jour requise.

  • Désactiver la mise à niveau obligatoire

Désactive l’exigence pour les utilisateurs de mettre à niveau vers la version la plus récente de l’application dans l’App Store. La valeur par défaut est ACTIVÉ.

Effacer les données de l’application lors du verrouillage

Efface les données et réinitialise l’application lorsque celle-ci est verrouillée. Si Désactivé, les données de l’application ne sont pas effacées lorsque l’application est verrouillée. La valeur par défaut est Désactivé.

Une application peut être verrouillée pour l’une des raisons suivantes :

  • Perte des droits d’application pour l’utilisateur
  • Abonnement à l’application supprimé
  • Compte supprimé
  • Secure Hub désinstallé
  • Trop d’échecs d’authentification de l’application
  • Appareil jailbreaké détecté (selon le paramètre de stratégie)
  • Appareil placé en état verrouillé par une autre action administrative

Période d’interrogation active (minutes)

Lorsqu’une application démarre, le framework MDX interroge Citrix Endpoint Management pour déterminer l’état actuel de l’application et de l’appareil. En supposant que le serveur exécutant Endpoint Management est accessible, le framework renvoie des informations sur l’état de verrouillage/effacement de l’appareil et l’état d’activation/désactivation de l’application. Que le serveur soit accessible ou non, une interrogation ultérieure est planifiée en fonction de l’intervalle de la période d’interrogation active. Après l’expiration de la période, une nouvelle interrogation est tentée. La valeur par défaut est 60 minutes (1 heure).

Important :

Ne définissez cette valeur à un niveau inférieur que pour les applications à haut risque, sinon les performances pourraient être affectées.

Chiffrement

Type de chiffrement

  • Permet de choisir si MDX ou la plateforme de l’appareil gère le chiffrement des données. Si vous sélectionnez Chiffrement MDX, MDX chiffre les données. Si vous sélectionnez Chiffrement de la plateforme avec application de la conformité, la plateforme de l’appareil chiffre les données. La valeur par défaut est Chiffrement MDX.

Comportement de l’appareil non conforme

Permet de choisir une action lorsqu’un appareil ne respecte pas les exigences minimales de conformité en matière de chiffrement. Sélectionnez Autoriser l’application pour que l’application s’exécute normalement. Sélectionnez Autoriser l’application après avertissement pour que l’application s’exécute après l’affichage de l’avertissement. Sélectionnez Bloquer pour empêcher l’exécution de l’application. La valeur par défaut est Autoriser l’application après avertissement.

Clés de chiffrement

Permet de conserver sur l’appareil les secrets utilisés pour dériver les clés de chiffrement. L’accès hors ligne autorisé est la seule option disponible.

Citrix vous recommande de définir la stratégie d’authentification pour activer une connexion réseau ou un défi de mot de passe hors ligne afin de protéger l’accès au contenu chiffré.

Chiffrement des fichiers privés

Contrôle le chiffrement des fichiers de données privées aux emplacements suivants : /data/data/<appname> et /mnt/sdcard/Android/data/<appname>.

L’option Désactivé signifie que les fichiers privés ne sont pas chiffrés. L’option SecurityGroup chiffre les fichiers privés à l’aide d’une clé partagée par toutes les applications MDX du même groupe de sécurité. L’option Application chiffre les fichiers privés à l’aide d’une clé unique à cette application. La valeur par défaut est SecurityGroup.

Exclusions de chiffrement des fichiers privés

Contient une liste de chemins de fichiers séparés par des virgules. Chaque chemin est une expression régulière qui représente un ou plusieurs fichiers chiffrés. Les chemins de fichiers sont relatifs aux sandboxes internes et externes. La valeur par défaut est vide.

Les exclusions s’appliquent uniquement aux dossiers suivants :

-  **Stockage interne :**

`/data/data/<your_package_name>`

  • Carte SD :

    /storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>

    /storage/emulated/legacy/Android/data/<your_package_name>

Exemples

Fichier à exclure Valeur dans l’exclusion de chiffrement des fichiers privés
/data/data/com.citrix.mail/files/a.txt ^files/a.txt
Tous les fichiers texte dans /storage/emulated/0/Android/data/com.citrix.mail/files ^files/(.)+.txt$
Tous les fichiers dans /data/data/com.citrix.mail/files ^files/

Limites d’accès pour les fichiers publics

Contient une liste séparée par des virgules. Chaque entrée est un chemin d’expression régulière suivi de (NA), (RO) ou (RW). Les fichiers correspondant au chemin sont limités à l’accès Aucun accès, Lecture seule ou Lecture/Écriture. La liste est traitée dans l’ordre et le premier chemin correspondant est utilisé pour définir la limite d’accès. La valeur par défaut est vide.

Cette stratégie est appliquée uniquement lorsque le chiffrement des fichiers publics est activé (passant de l’option Désactivé à l’option SecurityGroup ou Application). Cette stratégie s’applique uniquement aux fichiers publics existants non chiffrés et spécifie quand ces fichiers sont chiffrés.

Fichiers à exclure Valeur dans le chiffrement des fichiers privés
Dossier Téléchargements sur le stockage externe en lecture seule EXT:^Download/(RO)
Tous les fichiers MP3 du dossier Musique sur le stockage virtuel sans accès VS:^Music/(.)+.mp3$(NA)

  • Chiffrement des fichiers publics

    • Contrôle le chiffrement des fichiers publics. Si Désactivé, les fichiers publics ne sont pas chiffrés. Si SecurityGroup, chiffre les fichiers publics à l’aide d’une clé partagée par toutes les applications MDX du même groupe de sécurité. Si Application, chiffre les fichiers publics à l’aide d’une clé unique à cette application.

La valeur par défaut est SecurityGroup.

Exclusions de chiffrement des fichiers publics

Contient une liste de chemins de fichiers séparés par des virgules. Chaque chemin est une expression régulière qui représente un ou plusieurs fichiers non chiffrés. Les chemins de fichiers sont relatifs au stockage externe par défaut et à tout stockage externe spécifique à l’appareil.

Les exclusions de chiffrement des fichiers publics incluent uniquement les emplacements de dossiers externes.

Exemples

Fichier à exclure Valeur dans l’exclusion de chiffrement des fichiers publics
Dossier Téléchargements sur carte SD Download
Tous les fichiers MP3 du dossier Musique ^Music/(.)+.mp3$

Migration des fichiers publics

Cette stratégie est appliquée uniquement lorsque vous activez la stratégie de chiffrement des fichiers publics (passant de Désactivé à SecurityGroup ou Application). Cette stratégie s’applique uniquement aux fichiers publics existants non chiffrés et spécifie quand ces fichiers sont chiffrés. La valeur par défaut est Écriture (RO/RW).

L’option Désactivé signifie que les fichiers existants ne sont pas chiffrés. L’option Écriture (RO/RW) chiffre les fichiers existants uniquement lorsqu’ils sont ouverts en accès écriture seule ou lecture/écriture. L’option Tout chiffre les fichiers existants lorsqu’ils sont ouverts dans n’importe quel mode. Options :

  • Désactivé. Ne chiffre pas les fichiers existants.
  • Écriture (RO/RW). Chiffre les fichiers existants uniquement lorsqu’ils sont ouverts en accès écriture seule ou lecture/écriture.

  • Tout. Chiffre les fichiers existants lorsqu’ils sont ouverts dans n’importe quel mode.

  • Remarques :

  • -Les nouveaux fichiers ou les fichiers non chiffrés existants qui sont écrasés chiffrent les fichiers de remplacement dans tous les cas.

  • -Le chiffrement d’un fichier public existant rend le fichier indisponible pour les autres applications qui n’ont pas la même clé de chiffrement.

Interaction avec l’application

Groupe de sécurité

Laissez ce champ vide si vous souhaitez que toutes les applications mobiles gérées par Citrix Endpoint Management™ échangent des informations entre elles. Définissez un nom de groupe de sécurité pour gérer les paramètres de sécurité de jeux d’applications spécifiques (par exemple, Finance ou Ressources humaines).

Attention :

Si vous modifiez cette stratégie pour une application existante, les utilisateurs doivent supprimer et réinstaller l’application pour appliquer la modification de la stratégie.

Couper et copier

Bloque, autorise ou restreint les opérations de couper-coller du presse-papiers pour cette application. Si Restreint, les données copiées du presse-papiers sont placées dans un presse-papiers privé qui n’est disponible que pour les applications MDX. La valeur par défaut est Restreint.

  • Coller

  • Bloque, autorise ou restreint les opérations de coller du presse-papiers pour l’application. Si Restreint, les données collées du presse-papiers proviennent d’un presse-papiers privé qui n’est disponible que pour les applications MDX. La valeur par défaut est Non restreint.

  • Échange de documents (Ouvrir dans)

  • Bloque, autorise ou restreint les opérations d’échange de documents pour l’application. Si Restreint, les documents ne peuvent être échangés qu’avec d’autres applications MDX et les exceptions d’application spécifiées dans la stratégie de liste d’exceptions d’ouverture restreinte. Si Non restreint, définissez les stratégies de chiffrement de fichiers privés et de chiffrement de fichiers publics sur Désactivé afin que les utilisateurs puissent ouvrir des documents dans des applications non encapsulées. La valeur par défaut est Restreint.

Domaines d’URL exclus du filtrage

Cette stratégie est utilisée pour exclure certaines URL sortantes du filtrage MDX. La liste suivante de noms de domaine complets (FQDN) ou de suffixes DNS séparés par des virgules est exclue de tout filtrage MDX. Si cette stratégie contient des entrées, les URL dont les champs d’hôte correspondent à au moins un élément de la liste (via la correspondance de suffixe DNS) sont envoyées sans modification au navigateur par défaut. La valeur par défaut est vide.

Domaines Secure Web autorisés

Cette stratégie n’est effective que pour les domaines non exclus par une stratégie de filtrage d’URL. Ajoutez une liste, séparée par des virgules, de noms de domaine complets (FQDN) ou de suffixes DNS qui sont redirigés vers l’application Secure Web lorsque l’échange de documents est restreint.

Si cette stratégie contient des entrées, seules les URL dont les champs d’hôte correspondent à au moins un élément de la liste (via la correspondance de suffixe DNS) sont redirigées vers l’application Secure Web lorsque l’échange de documents est restreint.

Toutes les autres URL sont envoyées au navigateur web Android par défaut (en contournant la stratégie d’échange de documents restreint). La valeur par défaut est vide.

Liste d’exceptions d’ouverture restreinte

Lorsque la stratégie d’échange de documents (Ouvrir dans) est Restreint, cette liste d’intentions Android est autorisée à être transmise aux applications non gérées. Une connaissance des intentions Android est nécessaire pour ajouter des filtres à la liste. Un filtre peut spécifier une action, un package, un schéma ou toute combinaison.

Exemples 

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->

Attention

Assurez-vous de prendre en compte les implications de sécurité de cette stratégie. La liste d’exceptions permet au contenu de circuler entre les applications non gérées et l’environnement MDX.

Échange de documents entrants (Ouvrir dans)

Bloque, restreint ou autorise les opérations d’échange de documents entrants pour cette application. Si Restreint, les documents ne peuvent être échangés qu’avec d’autres applications MDX. La valeur par défaut est Non restreint.

Si Bloqué ou Restreint, vous pouvez utiliser la stratégie de liste blanche d’échange de documents entrants pour spécifier les applications qui peuvent envoyer des documents à cette application. Pour plus d’informations sur les autres interactions de stratégie, consultez la stratégie Bloquer la galerie.

Options : Non restreint, Bloqué ou Restreint

Liste blanche d’échange de documents entrants

Lorsque la stratégie d’échange de documents entrants est restreinte ou bloquée, cette liste d’ID d’applications, séparée par des virgules, y compris les applications non-MDX, est autorisée à envoyer des documents à l’application. Cette stratégie est masquée et ne peut pas être modifiée.

Niveau de sécurité de la connexion

Détermine la version minimale de TLS/SSL utilisée pour les connexions. Si TLS, les connexions prennent en charge tous les protocoles TLS. Si SSLv3 et TLS, les connexions prennent en charge SSL 3.0 et TLS. La valeur par défaut est TLS.

Restrictions d’application

Important :

Assurez-vous de prendre en compte les implications de sécurité des stratégies qui empêchent les applications d’accéder ou d’utiliser les fonctionnalités du téléphone. Lorsque ces stratégies sont Désactivées, le contenu peut circuler entre les applications non gérées et l’environnement sécurisé.

Bloquer la caméra

Si Activé, empêche une application d’utiliser directement le matériel de la caméra. La valeur par défaut est Activé.

Bloquer la galerie

Si Activé, empêche une application d’accéder à la galerie sur l’appareil. La valeur par défaut est Désactivé. Cette stratégie fonctionne conjointement avec la stratégie d’échange de documents entrants (Ouvrir dans).

  • Si l’échange de documents entrants (Ouvrir dans) est défini sur Restreint, les utilisateurs travaillant dans l’application gérée ne peuvent pas joindre d’images depuis la galerie, quel que soit le paramètre Bloquer la galerie.
  • Si l’échange de documents entrants (Ouvrir dans) est défini sur Non restreint, les utilisateurs travaillant dans l’application gérée rencontrent les situations suivantes :
    • Les utilisateurs peuvent joindre des images si Bloquer la galerie est défini sur Désactivé.
    • Les utilisateurs ne peuvent pas joindre d’images si Bloquer la galerie est Activé.

Bloquer l’enregistrement micro

Si Activé, empêche une application d’utiliser directement le matériel du microphone. La valeur par défaut est Activé.

Bloquer les services de localisation

Si Activé, empêche une application d’utiliser les composants des services de localisation (GPS ou réseau). La valeur par défaut est Désactivé pour Secure Mail.

Bloquer la composition SMS

Si Activé, empêche une application d’utiliser la fonction de composition SMS pour envoyer des messages SMS/texte depuis l’application. La valeur par défaut est Activé.

Bloquer la capture d’écran

Si Activé, empêche les utilisateurs de prendre des captures d’écran pendant l’exécution de l’application. De plus, lorsque l’utilisateur change d’application, l’écran de l’application est masqué. La valeur par défaut est Activé.

Lors de l’utilisation de la fonction de communication en champ proche (NFC) d’Android, certaines applications prennent une capture d’écran d’elles-mêmes avant de diffuser le contenu. Pour activer cette fonctionnalité dans une application encapsulée, définissez la stratégie Bloquer la capture d’écran sur Désactivé.

Bloquer le capteur de l’appareil

Si Activé, empêche une application d’utiliser les capteurs de l’appareil (tels que l’accéléromètre, le capteur de mouvement et le gyroscope). La valeur par défaut est Activé.

Bloquer la NFC

Si Activé, empêche une application d’utiliser la communication en champ proche (NFC). La valeur par défaut est Activé.

  • Bloquer les journaux d’application

  • Si Activé, interdit à une application d’utiliser la fonctionnalité de journalisation de diagnostic des applications de productivité mobile. Si Désactivé, les journaux d’application sont enregistrés et peuvent être collectés à l’aide de la fonctionnalité de support par e-mail de Secure Hub. La valeur par défaut est Désactivé.

Bloquer l’impression

  • Si Activé, empêche une application d’imprimer des données. Si une application dispose d’une commande Partager, vous devez définir Échange de documents (Ouvrir dans) sur Restreint ou Bloqué pour bloquer complètement l’impression. La valeur par défaut est ACTIVÉ.

Activer ShareFile

Permet aux utilisateurs d’utiliser ShareFile pour transférer des fichiers. La valeur par défaut est ACTIVÉ.

Accès réseau de l’application

Accès réseau

Remarque :

Tunnellisé - SSO Web est le nom de Navigation sécurisée dans les paramètres. Le comportement est identique.

Les options de paramétrage sont les suivantes :

  • Utiliser les paramètres précédents : utilise par défaut les valeurs que vous aviez définies dans les stratégies précédentes. Si vous modifiez cette option, vous ne devez pas revenir à cette option. Notez également que les modifications apportées aux nouvelles stratégies ne prennent effet qu’après la mise à niveau de l’application par l’utilisateur vers la version 18.12.0 ou ultérieure.
  • Bloqué : les API de mise en réseau utilisées par votre application échouent. Conformément à la directive précédente, vous devez gérer cet échec de manière appropriée.
  • Non restreint : tous les appels réseau sont directs et ne sont pas tunnellisés.
  • Tunnellisé - VPN complet : tout le trafic de l’application gérée est tunnellisé via Citrix Gateway.
  • Tunnellisé - SSO Web : l’URL HTTP/HTTPS est réécrite. Cette option permet uniquement le tunnellisation du trafic HTTP et HTTPS. Un avantage significatif de Tunnellisé - SSO Web est l’authentification unique (SSO) pour le trafic HTTP et HTTPS, ainsi que l’authentification PKINIT. Sur Android, cette option a une faible surcharge de configuration et est donc l’option préférée pour les opérations de navigation Web.

Si l’un des modes tunnellisés est sélectionné, un tunnel VPN par application dans ce mode initial est créé vers le réseau d’entreprise. Ici, les paramètres de tunnel fractionné de Citrix Gateway sont utilisés. Citrix recommande le mode Tunnellisé - VPN complet pour les connexions qui utilisent des certificats clients ou un SSL de bout en bout vers une ressource du réseau d’entreprise. Citrix recommande le mode Tunnellisé - SSO Web pour les connexions qui nécessitent une authentification unique (SSO).

Session Micro VPN requise

  • Si Oui, l’utilisateur doit disposer d’une connexion au réseau d’entreprise et d’une session active. Si Non, une session active n’est pas requise. La valeur par défaut est Utiliser le paramètre précédent. Pour les applications nouvellement téléchargées, la valeur par défaut est Non. Quel que soit le paramètre sélectionné avant la mise à niveau vers cette stratégie, il reste en vigueur jusqu’à ce qu’une option autre que Utiliser le paramètre précédent soit sélectionnée.

Liste d’exclusion

Liste de FQDN ou de suffixes DNS séparés par des virgules à accéder directement au lieu de passer par une connexion VPN. Cette stratégie s’applique uniquement au mode Tunnellisé - SSO Web lorsque Citrix Gateway est configuré avec le mode de tunnel fractionné inversé.

Bloquer les connexions localhost

  • Si Activé, les applications ne sont pas autorisées à établir des connexions localhost. Localhost est une adresse (telle que 127.0.0.1) pour les communications se produisant localement sur l’appareil. Le localhost contourne le matériel de l’interface réseau locale et accède aux services réseau exécutés sur l’hôte. Si Désactivé, cette stratégie annule la stratégie d’accès réseau, ce qui signifie que les applications peuvent se connecter en dehors du conteneur sécurisé si l’appareil exécute un serveur proxy localement. La valeur par défaut est Désactivé.

  • Étiquette de certificat

Lorsqu’elle est utilisée avec le service d’intégration de certificats StoreFront™, cette étiquette identifie le certificat spécifique requis pour cette application. Si aucune étiquette n’est fournie, aucun certificat n’est mis à disposition pour une utilisation avec une infrastructure à clé publique (PKI). La valeur par défaut est vide (aucun certificat utilisé).

Journaux d’application

Sortie de journal par défaut

Détermine les supports de sortie utilisés par défaut par les fonctionnalités de journalisation de diagnostic des applications Citrix Endpoint Management. Les possibilités sont : fichier, console ou les deux. La valeur par défaut est fichier.

Niveau de journalisation par défaut

  • Contrôle la verbosité par défaut de la fonctionnalité de journalisation de diagnostic des applications de productivité mobile. Les nombres de niveau supérieur incluent une journalisation plus détaillée.

  • 0 - Rien n’est enregistré
  • 1 - Erreurs critiques
  • 2 - Erreurs
  • 3 - Avertissements
  • 4 - Messages d’information
  • 5 - Messages d’information détaillés
  • 6 à 15 - Niveaux de débogage 1 à 10

La valeur par défaut est le niveau 4 (Messages d’information).

Nombre maximal de fichiers journaux

Limite le nombre de fichiers journaux conservés par la fonctionnalité de journalisation de diagnostic des applications de productivité mobile avant le basculement. Le minimum est de 2. Le maximum est de 8. La valeur par défaut est 2.

Taille maximale des fichiers journaux

Limite la taille en Mo des fichiers journaux conservés par la fonctionnalité de journalisation de diagnostic des applications de productivité mobile avant le basculement. Le minimum est de 1 Mo. Le maximum est de 5 Mo. La valeur par défaut est 2 Mo.

Rediriger les journaux d’application

Si Activé, intercepte et redirige les journaux système ou de console d’une application vers la fonctionnalité de diagnostic des applications de productivité mobile. Si ce paramètre est Désactivé, l’utilisation des journaux système ou de console par l’application n’est pas interceptée. La valeur par défaut est Activé.

Chiffrer les journaux

Si Activé, Citrix Endpoint Management chiffre les journaux de diagnostic au fur et à mesure qu’il les enregistre. Si Désactivé, les journaux de diagnostic restent non chiffrés dans le bac à sable de l’application.

Attention :

Selon les niveaux de journalisation configurés, le chiffrement des journaux peut avoir un impact notable sur les performances de l’application et l’autonomie de la batterie.

La valeur par défaut est Désactivé.

Géorepérage d’application

Longitude du point central

Longitude (coordonnée X) du point central de la géorepérage point/rayon dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors de la géorepérage configurée, l’application reste verrouillée. La valeur doit être exprimée au format degrés signés (DDD.dddd), par exemple « -31.9635 ». Les longitudes ouest doivent être précédées d’un signe moins. La valeur par défaut est 0.

Latitude du point central

Latitude (coordonnée Y) du point central de la géorepérage point/rayon dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors de la géorepérage configurée, l’application reste verrouillée.

Les valeurs doivent être exprimées au format degrés signés (DDD.dddd), par exemple « 43.06581 ». Les latitudes sud doivent être précédées d’un signe moins. La valeur par défaut est 0.

Rayon

Le rayon de la géorepérage dans lequel l’application est contrainte de fonctionner. Lorsqu’elle est utilisée en dehors de la géorepérage configurée, l’application reste verrouillée. La valeur doit être exprimée en mètres. Lorsqu’elle est définie sur zéro, la géorepérage est désactivée. La valeur par défaut est 0 (désactivée).

Analyse

Détails de Google Analytics

Citrix collecte des données analytiques pour améliorer la qualité des produits. La sélection de l’option Anonyme vous permet de ne pas inclure d’informations identifiables sur l’entreprise.

Paramètres de l’application

Serveur Exchange Secure Mail

Le nom de domaine complet (FQDN) du serveur Exchange ou, pour iOS uniquement, du serveur IBM Notes Traveler. La valeur par défaut est vide. Si vous fournissez un nom de domaine dans ce champ, les utilisateurs ne peuvent pas le modifier. Si vous laissez le champ vide, les utilisateurs fournissent leurs propres informations de serveur.

Attention :

Si vous modifiez cette stratégie pour une application existante, les utilisateurs doivent supprimer et réinstaller l’application pour appliquer la modification de la stratégie.

Domaine utilisateur Secure Mail

Nom de domaine Active Directory par défaut pour les utilisateurs Exchange ou, pour iOS uniquement, les utilisateurs Notes. La valeur par défaut est vide.

Services réseau en arrière-plan

Le FQDN et le port des adresses de service autorisées pour l’accès réseau en arrière-plan. Cette valeur peut être un serveur Exchange ou ActiveSync, soit dans votre réseau interne, soit dans un autre réseau auquel Secure Mail se connecte, tel que mail.example.com:443.

Si vous configurez cette stratégie, définissez la stratégie d’accès réseau sur Tunnelisé vers le réseau interne. Cette stratégie prend effet lorsque vous configurez la stratégie d’accès réseau. Utilisez cette stratégie lorsque le serveur Exchange réside dans votre réseau interne et que vous souhaitez utiliser NetScaler Gateway pour proxifier la connexion au serveur Exchange interne.

La valeur par défaut est vide, ce qui implique que les services réseau en arrière-plan ne sont pas disponibles.

Expiration du ticket des services en arrière-plan

Période pendant laquelle un ticket de service réseau en arrière-plan reste valide. Après expiration, une connexion d’entreprise sera requise pour renouveler le ticket. La valeur par défaut est 168 heures (7 jours).

Passerelle de service réseau en arrière-plan

Adresse de passerelle alternative à utiliser pour les services réseau en arrière-plan, sous la forme FQDN:port. Cette adresse est le FQDN et le numéro de port de Citrix Gateway que Secure Mail utilise pour se connecter au serveur Exchange interne. Dans l’utilitaire de configuration de Citrix Gateway, vous devez configurer l’autorité de ticket sécurisé (STA) et lier la stratégie au serveur virtuel.

La valeur par défaut est vide, ce qui implique qu’une passerelle alternative n’existe pas.

Si vous configurez cette stratégie, définissez la stratégie d’accès réseau sur Tunnelisé vers le réseau interne. Cette stratégie prend effet lorsque vous configurez la stratégie d’accès réseau. Utilisez cette stratégie lorsque le serveur Exchange réside dans votre réseau interne et que vous souhaitez utiliser Citrix Gateway pour proxifier la connexion au serveur Exchange interne.

Exporter les contacts

Important :

N’activez pas cette fonctionnalité si les utilisateurs peuvent accéder directement à votre serveur Exchange (c’est-à-dire en dehors de Citrix Gateway). Sinon, les contacts sont dupliqués sur l’appareil et dans Exchange.

Si la valeur est Désactivé, cela empêche la synchronisation unidirectionnelle des contacts Secure Mail vers l’appareil et empêche le partage des contacts Secure Mail (sous forme de vCards). La valeur par défaut est Désactivé.

Champs de contact à exporter

Contrôle les champs de contact à exporter vers le carnet d’adresses. Si la valeur est Tous, tous les champs de contact sont exportés. Si la valeur est Nom et téléphone, tous les champs de contact liés au nom et au téléphone sont exportés. Si la valeur est Nom, téléphone et e-mail, tous les champs de contact liés au nom, au téléphone et à l’e-mail sont exportés. La valeur par défaut est Tous.

Accepter tous les certificats SSL

Si la valeur est Activé, Secure Mail accepte tous les certificats SSL (valides ou non) et autorise l’accès. Si la valeur est Désactivé, Secure Mail bloque l’accès lorsqu’une erreur de certificat se produit et affiche un avertissement. La valeur par défaut est Désactivé.

Utiliser une connexion sécurisée

Si la valeur est Activé, Secure Mail utilise une connexion sécurisée. Si la valeur est Désactivé, Secure Mail n’utilise pas de connexion sécurisée. La valeur par défaut est Activé.

Gestion des droits relatifs à l’information

Si la valeur est Activé, Secure Mail prend en charge les fonctionnalités de gestion des droits relatifs à l’information (IRM) d’Exchange. La valeur par défaut est Désactivé.

Contrôler les notifications d’écran verrouillé

Contrôle si les notifications de courrier et de calendrier apparaissent sur l’écran d’un appareil verrouillé. Si l’option Autoriser est sélectionnée, toutes les informations contenues dans la notification apparaissent. Si l’option Bloquer est sélectionnée, les notifications n’apparaissent pas. Si l’option Expéditeur de l’e-mail ou titre de l’événement est sélectionnée, seul le nom de l’expéditeur de l’e-mail ou le titre de l’événement de calendrier apparaît. Si l’option Compte uniquement est sélectionnée, seul le nombre de courriers et d’invitations à des réunions, ainsi que l’heure des rappels de calendrier, apparaissent. La valeur par défaut est Autoriser.

Intervalle de synchronisation par défaut

Spécifie l’intervalle de synchronisation par défaut pour Secure Mail. Les utilisateurs de Secure Mail peuvent modifier la valeur par défaut.

Le paramètre de stratégie de boîte aux lettres Exchange ActiveSync Filtre d’âge maximal des e-mails a priorité sur cette stratégie. Si vous spécifiez un intervalle de synchronisation par défaut supérieur au filtre d’âge maximal des e-mails, le paramètre de filtre Âge maximal des e-mails est utilisé à la place. Secure Mail affiche uniquement les valeurs d’intervalle de synchronisation inférieures au paramètre de filtre Âge maximal des e-mails Active Sync.

La valeur par défaut est 3 jours.

Activer le téléchargement des pièces jointes via Wi-Fi

Si Activé, l’option de téléchargement des pièces jointes de Secure Mail est activée afin que les utilisateurs puissent, par défaut, télécharger des pièces jointes via les réseaux Wi-Fi internes. Si Désactivé, l’option de téléchargement des pièces jointes de Secure Mail est désactivée afin que, par défaut, les utilisateurs ne puissent pas télécharger de pièces jointes via Wi-Fi. La valeur par défaut est Désactivé.

Autoriser les documents hors ligne

Spécifie si, et pendant combien de temps, les utilisateurs peuvent stocker des documents hors ligne sur les appareils. La valeur par défaut est Illimité.

Activer l’enregistrement automatique des brouillons d’e-mails

Si Activé, Secure Mail prend en charge l’enregistrement automatique des messages dans le dossier Brouillons. La valeur par défaut est Activé.

Mécanisme d’authentification initial

Cette stratégie indique si l’adresse du serveur de messagerie fournie par MDX est utilisée pour renseigner le champ Adresse sur l’écran de provisionnement de première utilisation ou si l’adresse e-mail de l’utilisateur est utilisée. La valeur par défaut est Adresse du serveur de messagerie.

Informations d’identification d’authentification initiales

Cette stratégie définit la valeur qui doit être choisie comme nom d’utilisateur à renseigner dans l’écran de provisionnement initial de première utilisation. La valeur par défaut est Nom d’utilisateur d’inscription.

Activer le numéro de semaine

Si Activé, les vues du calendrier incluent le numéro de semaine. La valeur par défaut est Désactivé.

Classification des e-mails

Si Activé, Secure Mail prend en charge les marquages de classification des e-mails pour SEC (sécurité) et DLM (marqueurs de limitation de diffusion). Les marquages de classification apparaissent dans les en-têtes d’e-mail sous forme de valeurs X-Protective-Marking. Assurez-vous de configurer les stratégies de classification des e-mails associées. La valeur par défaut est Désactivé.

Marquages de classification des e-mails

Spécifie les marquages de classification à mettre à la disposition des utilisateurs finaux. Si la liste est vide, Secure Mail n’inclut pas de liste de marquages de protection. La liste des marquages contient des paires de valeurs séparées par des points-virgules. Chaque paire comprend la valeur qui apparaît dans Secure Mail et la valeur de marquage qui est le texte ajouté à l’objet et à l’en-tête de l’e-mail dans Secure Mail. Par exemple, dans la paire de marquage "UNOFFICIAL,SEC=UNOFFICIAL;", la valeur de liste est “UNOFFICIAL” et la valeur de marquage est “SEC=UNOFFICIAL”.

Espace de noms de classification des e-mails

Spécifie l’espace de noms de classification requis dans l’en-tête de l’e-mail par la norme de classification utilisée. Par exemple, l’espace de noms « gov.au » apparaît dans l’en-tête sous la forme « NS=gov.au ». La valeur par défaut est vide.

Version de classification des e-mails

Spécifie la version de classification requise dans l’en-tête de l’e-mail par la norme de classification utilisée. Par exemple, la version « 2012.3 » apparaît dans l’en-tête sous la forme « VER=2012.3 ». La valeur par défaut est vide.

Classification des e-mails par défaut

Spécifie le marquage de protection que Secure Mail applique à un e-mail si un utilisateur ne choisit pas de marquage. Cette valeur doit figurer dans la liste de la stratégie de marquages de classification des e-mails. La valeur par défaut est UNOFFICIAL.

Limite de recherche de courrier

Restreint la quantité d’historique de messagerie accessible depuis les appareils mobiles en limitant le nombre de jours inclus dans les recherches sur le serveur de messagerie. Pour restreindre la quantité de courrier synchronisée sur un appareil mobile, configurez la stratégie Intervalle de synchronisation maximal. La valeur par défaut est Illimité.

Intervalle de synchronisation maximal

Contrôle la quantité de courrier stockée localement sur un appareil mobile en limitant la période de synchronisation.

Pour restreindre la période pendant laquelle un appareil peut effectuer des recherches sur le serveur de messagerie, configurez la stratégie Limite de recherche du serveur de messagerie.

Les valeurs sont :

  • 3 jours
  • 1 semaine
  • 2 semaines
  • 1 mois
  • Tout

La valeur par défaut est Tout.

Options Web et audio du calendrier

  • GoToMeeting et saisie par l’utilisateur - Lorsque cette option est choisie, les utilisateurs peuvent choisir le type de conférence qu’ils souhaitent configurer. Les options incluent GoToMeeting, qui ouvre une page GoToMeeting, et Autre conférence, qui permet aux utilisateurs de saisir manuellement les informations de réunion.
  • Saisie par l’utilisateur uniquement - Lorsque cette option est choisie, les utilisateurs sont directement dirigés vers la page Autre conférence où ils peuvent saisir manuellement les informations de réunion.

Source du certificat public S/MIME

Spécifie la source des certificats publics S/MIME. Si Exchange, Secure Mail récupère les certificats du serveur Exchange. Si LDAP, Secure Mail récupère les certificats du serveur LDAP. La valeur par défaut est Exchange.

Adresse du serveur LDAP

Adresse du serveur LDAP, y compris le numéro de port. La valeur par défaut est vide.

Nom distinctif de base LDAP

Nom distinctif de base LDAP. La valeur par défaut est vide.

Accéder à LDAP de manière anonyme

Si cette stratégie est Activée, Secure Mail peut rechercher dans LDAP sans authentification préalable. La valeur par défaut est Désactivé.

Domaines de messagerie autorisés

Définissez une liste de domaines de messagerie autorisés au format séparé par des virgules, par exemple server.company.com,server.company.co.uk. La valeur par défaut est vide, ce qui implique que Secure Mail ne filtre pas les domaines de messagerie et prend en charge tous les domaines de messagerie. Secure Mail fait correspondre les domaines répertoriés avec le nom de domaine dans l’adresse e-mail.

Par exemple, si server.company.com est un nom de domaine répertorié et que l’adresse e-mail est user@internal.server.company.com, Secure Mail prend en charge cette adresse e-mail.

Notifications push

Active les notifications basées sur FCM concernant l’activité de la boîte aux lettres. Si la valeur est Activé, Secure Mail prend en charge les notifications push. La valeur par défaut est Désactivé.

Nom d’hôte EWS des notifications push

Le serveur qui héberge les services web Exchange (EWS) pour la messagerie. La valeur doit être l’URL d’EWS, ainsi que le numéro de port. La valeur par défaut est vide.

Région des notifications push

La région où se trouve l’hôte FCM pour vos utilisateurs Secure Mail. Les options sont Amériques, EMEA et PAC. La valeur par défaut est Amériques.

Tentative de migration du nom d’utilisateur en cas d’échec d’authentification

Cette stratégie tente de migrer le nom d’utilisateur Exchange vers un UPN pour l’authentification. La valeur par défaut est Désactivé.

Adresses e-mail de signalement de hameçonnage

Si elle est configurée, vous pouvez signaler les e-mails de hameçonnage suspects à une adresse e-mail donnée ou à une liste d’adresses e-mail séparées par des virgules. La valeur par défaut est vide. Si vous ne configurez pas cette stratégie, vous ne pouvez pas signaler les messages de hameçonnage.

Mécanisme de signalement de hameçonnage

Cette stratégie indique le mécanisme utilisé pour signaler les e-mails de hameçonnage suspects.

  • Signaler via une pièce jointe (.eml) – Signale les e-mails de hameçonnage sous forme de pièce jointe. La pièce jointe est envoyée à une adresse e-mail ou à une liste d’adresses e-mail séparées par des virgules configurées dans la stratégie Adresses e-mail de signalement de hameçonnage.
  • Signaler via un transfert – Signale les e-mails de hameçonnage sous forme de transfert. L’e-mail est transféré à une adresse e-mail ou à une liste d’adresses e-mail séparées par des virgules configurées dans la stratégie Adresses e-mail de signalement de hameçonnage.

Remarque :

Cette stratégie est disponible uniquement pour le serveur Microsoft Exchange.

La valeur par défaut est Signaler via une pièce jointe (.eml).

Domaines de réunion Skype Entreprise

Cette stratégie contient une liste de domaines séparés par des virgules utilisés pour les réunions Skype Entreprise. Secure Mail gère déjà les réunions avec les préfixes d’URL suivants :

  • https://join
  • https://meet
  • https://lync

Avec cette stratégie, d’autres domaines Skype Entreprise peuvent être ajoutés sous la forme https://*domaine*. Le domaine peut être une chaîne de caractères alphanumériques et ne peut pas contenir de caractères spéciaux. N’entrez pas le https:// précédent ni le point suivant.

Exemple

Si la valeur de la stratégie est customDomain1,customDomain2, les préfixes d’URL pris en charge pour Skype Entreprise seraient : https://customDomain1 http://customDomain1 https://customDomain2 http://customDomain2

La valeur par défaut est vide.

Exporter le calendrier

Cette stratégie permet d’exporter les événements du calendrier Secure Mail vers votre appareil ou votre calendrier personnel. Vous pouvez consulter vos événements dans votre calendrier personnel. Vous pouvez modifier les événements à l’aide de Secure Mail. La valeur par défaut est Heure de la réunion.

Les valeurs de stratégie MDX suivantes sont disponibles pour les champs d’événement de calendrier qui apparaissent dans votre calendrier personnel :

  • Aucun (Ne pas exporter)
  • Heure de la réunion
  • Heure de la réunion, Lieu
  • Heure de la réunion, Objet, Lieu
  • Heure de la réunion, Disponibilité, Participants, Objet, Lieu, Notes

Prise en charge d’OAuth pour Office 365

Utiliser l’authentification moderne pour O365

Si cette stratégie est Activée, Secure Mail utilise le protocole OAuth pour l’authentification lors de la configuration d’un compte sur Office 365. Si elle est Désactivée, Secure Mail utilise l’authentification de base. La valeur par défaut est Désactivée.

Noms d’hôte Exchange Online approuvés

Définissez une liste de noms d’hôte Exchange Online approuvés qui utilisent le mécanisme OAuth pour l’authentification lors de la configuration d’un compte. Cette valeur est un format séparé par des virgules, tel que server.company.com, server.company.co.uk. Si la liste est vide, Secure Mail utilise l’authentification de base pour la configuration du compte. La valeur par défaut est outlook.office365.com.

Noms d’hôte AD FS approuvés

Définissez une liste de noms d’hôte AD FS approuvés pour les pages web où le mot de passe est renseigné lors de l’authentification OAuth Office 365. Cette valeur est un format séparé par des virgules, tel que sts.companyname.com, sts.company.co.uk. Si la liste est vide, Secure Mail ne renseigne pas automatiquement les mots de passe. Secure Mail compare les noms d’hôte répertoriés avec le nom d’hôte de la page web rencontrée lors de l’authentification Office 365 et vérifie si la page utilise le protocole HTTPS.

Par exemple, si sts.company.com est un nom d’hôte répertorié et que l’utilisateur accède à https://sts.company.com, Secure Mail renseigne le mot de passe si la page contient un champ de mot de passe. La valeur par défaut est login.microsoftonline.com.

Agent utilisateur personnalisé pour l’authentification moderne

Cette stratégie vous permet de modifier la chaîne d’agent utilisateur par défaut pour l’authentification moderne. Si elle est configurée, cette chaîne d’agent utilisateur est utilisée pour l’authentification avec Microsoft AD FS. Si vous ne configurez pas cette stratégie, l’agent utilisateur Secure Mail par défaut est utilisé lors de l’authentification moderne.

Intégration Slack

Activer Slack

Bloque ou autorise l’intégration Slack. Si la valeur est Activé, l’interface Secure Mail inclut les fonctionnalités Slack. Si elle est Désactivée, l’interface Secure Mail n’inclut pas les fonctionnalités Slack.

Nom de l’espace de travail Slack

Le nom de l’espace de travail Slack de votre entreprise. Si vous fournissez un nom, Secure Mail préremplit le nom de l’espace de travail lors de la connexion. Si vous ne fournissez pas de nom, les utilisateurs doivent saisir le nom de l’espace de travail (name.slack.com).

Stratégies MDX pour les applications de productivité mobiles pour Android
May 6, 2026
Contributeur: 
C C
May 6, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.