サードパーティiOSアプリのMAM SDKポリシー
この文書では、サードパーティのiOSアプリに関するMAM SDKポリシーについて説明します。ポリシー設定は、アプリの追加時に、ポリシーXMLファイルで直接変更するか、またはCitrix Endpoint Managementコンソールで変更できます。
アプリのネットワークアクセス
ネットワークアクセス
注:
[トンネルWeb SSO] は、この設定において [セキュアブラウズ] に相当する名前です。動作は同じです。
以下は、設定オプションです:
- 禁止:アプリが使用するネットワークAPIは機能しません。前述のガイドラインに基づいて、このような失敗を正常に処理する必要があります。
- 制限なし:ネットワーク呼び出しはすべて直接転送され、トンネリングされません。
- トンネル-Web SSO:HTTP/HTTPS URLが書き込まれます。このオプションでは、HTTPトラフィックおよびHTTPSトラフィックのトンネリングのみが許可されます。トンネル-Web SSOの大きなメリットは、HTTPトラフィックとHTTPSトラフィックのシングルサインオン(SSO)、およびPKINIT認証です。Androidでは、このオプションはセットアップの手間が少ないため、Web閲覧操作に関する推奨オプションとなっています。
認証
アプリのパスコード
[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。デフォルトの値は [オン] です。
すべてのアプリに対して無操作タイマーを構成するには、[設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMER値を分単位で設定します。無通信タイマーのデフォルト値は60分間です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。
注:
[暗号キー]ポリシーで [セキュリティで保護されたオフラインアクセス] を選択した場合、このポリシーは自動的に有効になります。
最大オフライン期間 (時間)
Citrix Endpoint Managementがアプリ権利の再確認とポリシー更新を行わずにアプリを実行できる最大期間を定義します。有効期限が切れた際には、必要に応じてサーバーへのログオンを要求されます。デフォルト値は168時間(7日間)です。最短の期間は1時間です。
アプリログ
デフォルトのログ出力
デフォルトで、業務用モバイルアプリ診断ログファシリティによってどの出力媒体が使用されるかを決定します。選択肢としては、[ファイル]、[コンソール]、または両方です。デフォルト値は [ファイル] です。
デフォルトのログレベル
業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。各レベルには、下位のレベル値が含まれます。使用できるレベルの範囲は次のとおりです:
- 0 - ログを記録されない
- 1 - 深刻なエラー
- 2 - エラー
- 3 - 警告
- 4 - 情報メッセージ
- 5 - 詳細な情報メッセージ
- 6~15 - 1~10のデバッグレベル
デフォルト値はレベル4(情報メッセージ)です。
最大ログファイル数
ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小値は2です。最大値は8です。デフォルト値は2です。
最大ログファイルサイズ
ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。
ログ内のURLを不明瞭にする
[オン] の場合、アプリから業務用モバイルアプリ診断ファシリティへのシステムまたはコンソールのログを傍受して、リダイレクトします。[オフ] の場合、システムまたはコンソールのログのアプリ使用は傍受されません。
デフォルトの値は [オン] です。
アプリログを禁止
[オン] の場合、アプリによる業務用モバイルアプリ診断ログファシリティの使用が禁じられます。[オフ] の場合、アプリログが記録され、Secure Hubのメールサポート機能を使って収集されることがあります。デフォルトの値は、[オフ] です。
アプリ相互作用
切り取りおよびコピー
このアプリでのクリップボードへの切り取りおよびコピー操作を禁止、許可、または制限します。[制限] の場合、コピーしたクリップボードデータは、アプリのみで使用できるプライベートクリップボードに貼り付けられます。デフォルト値は、[制限] です。
貼り付け
このアプリでのクリップボードへの貼り付け操作を禁止、許可、または制限します。[制限] の場合、クリップボードデータは、アプリのみが使用できるプライベートクリップボードから貼り付けられます。デフォルト値は [制限なし] です。
ドキュメント交換(このアプリケーションで開く)
このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントは他のアプリとのみ交換できます。
[制限なし] の場合、[暗号化を有効化]ポリシーを [オン] に設定し、ラップされていないアプリでユーザーがドキュメントを開けるようにします。受信するアプリケーションがラップされていないか、または暗号化が無効になっている場合、Citrix Endpoint Managementはドキュメントを暗号化します。 デフォルト値は、[制限] です。
[このアプリケーションで開く]制限の例外一覧
ドキュメント交換(このアプリケーションで開く)ポリシーが [制限] の場合、[暗号化を有効化]が [オン] であっても、アプリは管理されていないApp IDのコンマ区切りの一覧とドキュメントを共有できます。デフォルトの例外一覧は、Office 365アプリを許可します。
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
このポリシーについては、Office 365アプリだけがサポートされます。
注意:
このポリシーのセキュリティについて予想される事柄について検討する必要があります。除外一覧を使うと、管理されていないアプリとMAM SDK環境間でコンテンツをやり取りできます。
受信ドキュメント交換(このアプリケーションで開く)
このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントは他のアプリとのみ交換できます。デフォルト値は [制限なし] です。
[禁止] または [制限] の場合、受信ドキュメント交換のホワイトリストポリシーを使用してこのアプリにドキュメントを送信できるアプリを指定します。
注:
受信ドキュメント交換の許可リストポリシーは、iOS 12を実行しているデバイスのみをサポートします。
オプション:[制限なし]、[禁止]、または [制限]
アプリのURLスキーム
iOSアプリは、http://などハンドル特定のスキームに登録された他のアプリにURL要求を発信できます。この機能により、アプリが他のアプリに支援要求を送信するメカニズムが提供されます。このポリシーでは、処理のためにこのアプリに渡されるスキーム(すなわち受信URL)がフィルター処理されます。デフォルト値は空で、すべての登録済みアプリのURLスキームが禁止されることを意味します。
このポリシーでは、コンマで区切られたパターンの一覧の形式を使用します。各パターンの前にプラス記号(+)またはマイナス記号(-)を付けることができます。一致が見つかるまで、一覧の順序で受信URLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて処理が実行されます。
- マイナス記号「-」が付いている場合、このアプリケーションに渡されないようにURLをブロックします。
- プラス記号「+」が付いている場合、処理のためアプリケーションに渡されるようにURLを許可します。
- パターンの最初の文字がプラス(+)またはマイナス(-)のどちらでもない場合は、+(許可)とみなされます。
- 受信URLが一覧のいずれのパターンにも一致しない場合、そのURLは禁止されます。
次の表は、App URLスキームの例を示しています。
| スキーム | URLスキームを必要とするアプリ | 目的 |
|---|---|---|
| ctxmobilebrowser | Secure Web- | Secure WebによるHTTPの使用を許可します。他のアプリからのURLです。 |
| ctxmobilebrowsers | Secure Web- | Secure WebによるHTTPSの使用を許可します。他のアプリからのURLです。 |
| ctxmail | Secure Mail- | Secure MailによるHTTPの使用を許可します。他のアプリからのURLです。 |
| COL-G2M | GoToMeeting- | ラップされたGoToMeetingアプリが会議要求を制御するのを許可します。 |
| ctxsalesforce | Citrix for Salesforce- | Citrix for SalesforceによるSalesforce要求の処理を許可します。 |
| wbx | WebEx | ラップされたWebExアプリが会議要求を制御するのを許可します。 |
アプリ相互作用(送信URL)
許可するURL
iOSアプリは、"http://"などハンドル特定のスキームに登録された他のアプリケーションにURL要求を発信できます。この機能により、アプリが他のアプリに支援要求を送信するメカニズムが提供されます。このポリシーでは、処理のためにこのアプリからほかのアプリに渡されるURL(すなわち送信URL)がフィルター処理されます。
このポリシーでは、コンマで区切られたパターンの一覧の形式を使用します。各パターンの前にプラス記号(+)またはマイナス記号(-)を付けることができます。一致が見つかるまで、一覧の順序で発信URLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて処理が実行されます。マイナス「-」接頭辞では、URLを別のアプリに渡すことが禁止されます。プラス「+」接頭辞では、処理のためにURLを別のアプリに渡すことが許可されます。パターンの最初の文字がプラス「+」またはマイナス「-」のどちらでもない場合は、+(許可)とみなされます。等号「=」で区切られた値のペアは、最初の文字列が出現したら2番目の文字列で置き換えるという置換処理を示します。検索文字列の先頭に正規表現「^」を使用すると、先頭部分が一致しているURLを検出できます。発信URLが一覧のパターンと一致しない場合、そのURLはブロックされます。
コンプライアンス
デバイスのパスコード
[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。Appleのファイル暗号化機能を使用してアプリデータを暗号化するには、デバイスパスコードが必要です。デバイス上のすべてのアプリデータを暗号化します。デフォルトの値は、[オフ] です。
ジェイルブレイクまたはRoot化をブロックします
[オン] の場合、デバイスがジェイルブレイクされたまたはRoot化された時、アプリがロックされます。[オフ] の場合、デバイスがジェイルブレイクされたまたはRoot化された時でも、アプリを実行できます。デフォルトの値は [オン] です。
非準拠デバイスの動作
デバイスが暗号化の最低コンプライアンス要件を順守していない場合のアクションを選択できます。[アプリを許可] を選択すると、アプリが通常どおり動作します。[警告後にアプリを許可する] を選択すると、警告が表示された後にアプリが実行されます。[ブロック] を選択すると、アプリの実行をブロックします。デフォルト値は [警告後にアプリを許可する] です。
ロック時にアプリケーションデータを消去
アプリがロックされた時に、データを消去し、アプリをリセットします。[オフ] の場合、アプリがロックされてもアプリデータは消去されません。デフォルトの値は、[オフ] です。
アプリは次のいずれかの理由によりロックされます。
- アプリのユーザー権の喪失
- アプリのサブスクリプションの削除
- アカウントが削除されました
- Secure Hubがアンインストールされました
- 指定回数を超えたアプリ認証失敗
- ジェイルブレイクされたデバイスの検出(ポリシー設定ごと)
- ほかの管理措置によりロック状態にされたデバイスの検出
アクティブなポーリング周期 (分)
アプリを起動すると、MAM SDKフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイス状態を判別します。Endpoint Managementを実行中のサーバーへの到達が可能だと推測されると、フレームワークは、デバイスのロックと消去の状態、およびアプリの有効または無効状態に関する情報を返します。サーバーへの到達の可否にかかわらず、アクティブなポーリング期間の間隔を元にして、それ以降のポーリングがスケジュールされます。期間が終了した後、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。
重要:
リスクの高いアプリにのみこの値を低く設定します。そうしないと、パフォーマンスが低下する可能性があります。
アプリ更新猶予期間 (時間)
アプリ更新を利用できることが検出された後に、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日間)です。
注:
値に0を使用することは推奨されません。(更新がダウンロードされインストールされるまで)実行中のアプリケーションが即座に使用できなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新に準拠するために、ユーザーは強制的にアプリケーションを終了させられることがあります(作業が破棄されてしまう可能性があります)。
アプリ制限
重要:
電話機能へのアクセスまたは使用からアプリをブロックするポリシーのセキュリティについて予想される事柄に関し、検討の必要があります。これらのポリシーが [オフ] に設定されている場合、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。
カメラを禁止
[オン] の場合、アプリによるカメラハードウェアの直接使用が禁止されます。デフォルト値は [オフ] です。
フォト ライブラリを禁止
[オン] の場合、アプリがデバイス上のフォトライブラリにアクセスするのを防ぎます。デフォルトの値は [オン] です。
マイク録音を禁止
[オン] の場合、アプリでマイクハードウェアを直接使用できなくなります。デフォルトの値は [オン] です。
ディクテーションを禁止
[オン] の場合、アプリによるディクテーションサービスの直接使用が禁止されます。デフォルトの値は [オン] です。
位置情報サービスを禁止
[オン] の場合、アプリによるロケーションサービスコンポーネント(GPSまたはネットワーク)の使用が禁止されます。Secure Mailのデフォルト値は [オフ] です。
SMS作成を禁止
[オン] の場合、アプリでは、SMS/テキストメッセージの送信に使用するSMS作成機能を使用できません。デフォルト値は [オン] です。
iCloudを禁止
[オン] の場合、アプリによる、設定とデータの格納および共有のためのiCloudの使用が禁止されます。
注:
iCloudのデータファイルは、[ファイルのバックアップを禁止]ポリシーによって制御されます。
デフォルトの値は [オン] です。
検索を禁止
[オン] の場合、アプリは辞書、iTunes、App Store、動画の再生、位置情報などで強調表示されたテキストを検索する[調べる]機能を使用できません。デフォルトの値は [オン] です。
ファイルのバックアップを禁止
[オン] の場合、iCloudまたはiTunesによるデータファイルのバックアップが禁止されます。デフォルトの値は [オン] です。
AirPrintを禁止
[オン] の場合、アプリではAirPrint対応プリンターでデータを印刷するAirPrint機能を使用できません。デフォルトの値は [オン] です。
AirDropを禁止
[オン] の場合、アプリによるAirDropの使用が禁止されます。デフォルトの値は [オン] です。
FacebookとTwitterのAPIを禁止
[オン] の場合、[オン]の場合、アプリによるiOS FacebookおよびTwitter APIの使用が禁止されます。デフォルトの値は [オン] です。
画面の内容を不鮮明にする
[オン] の場合、ユーザーがアプリを切り替えると、画面が不明瞭になります。このポリシーにより、iOSが画面コンテンツを記録しサブネイルを表示するのを阻止します。デフォルトの値は [オン] です。
サードパーティ製キーボードを禁止(iOS 11以降のみ)
[オン] の場合、アプリによる、iOS 8以降のデバイス上でのサードパーティ製キーボード拡張機能の使用が禁止されます。デフォルトの値は [オン] です。
アプリのジオフェンス
中心点の経度
経度(X座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
「-31.9635」など、符号付きの角度形式(DDD.dddd)で指定します。西経の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。
中心点の緯度
緯度(Y座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
「43.06581」など、符号付きの角度形式(DDD.dddd)で指定します。南半球の緯度の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。
半径
半径は、アプリの操作をその中に限定するジオフェンスの半径です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
値はメートル単位で指定します。0に設定すると、ジオフェンスは無効になります。[位置情報サービスを禁止]ポリシーが有効な場合、ジオフェンスは正常に機能しません。デフォルトは0(無効)です。