サードパーティAndroidアプリのMDXポリシー

この文書では、サードパーティのAndroidアプリに関するMDXポリシーについて説明します。ポリシーの設定は、Citrix Endpoint Managementコンソールで変更できます。

認証

アプリのパスコード

[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。デフォルトの値は [オン] です。

すべてのアプリに対して無操作タイマーを構成するには、[設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMER値を分単位で設定します。無通信タイマーのデフォルト値は60分間です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。

注:

[暗号キー]ポリシーで [セキュリティで保護されたオフラインアクセス] を選択した場合、このポリシーは自動的に有効になります。

最大オフライン期間 (時間)

ネットワークへログオンして権利の再確認とポリシー更新を行うことなく、アプリをオフラインで実行できる最大期間を定義します。デフォルト値は168時間(7日間)です。最短の期間は1時間です。

期間が終了する30分前、15分前、5分前に、ログオンするようユーザーに警告メッセージが表示されます。この期間が終了すると、ユーザーがネットワークログオンに成功するまで、アプリはロックされたままになります。

代替Citrix Gateway

注:

Endpoint Managementコンソールでは、このポリシー名は「代替NetScaler Gateway」です。

認証と、このアプリとのMicro VPNセッションに使用する特定の代替Citrix Gateway(旧称NetScaler Gateway)のアドレスです。これはオプションのポリシーで、[オンラインセッションを必須とする]ポリシーと組み合わせて使用すると、アプリに特定のゲートウェイへの再認証を強制します。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。空のままにしておいた場合は、常にサーバーのデフォルト設定が使用されます。デフォルト値は空です。

デバイスのセキュリティ

ジェイルブレイクまたはRoot化をブロックします

[オン] の場合、デバイスがジェイルブレイクされたまたはRoot化された時、アプリがロックされます。[オフ] の場合、デバイスがジェイルブレイクされたまたはRoot化された時でも、アプリを実行できます。デフォルトの値は [オン] です。

デバイスのロックを必須とする

[デバイスのPINまたはパスコード] の場合、デバイスにPINまたはパスコードが設定されていないと、アプリがロックされます。[デバイスのパターン画面ロック] の場合、デバイスにパターン画面ロックが設定されていないと、アプリがロックされます。[オフ] の場合、デバイスにPIN、パスコード、またはパターン画面ロックが設定されていなくてもアプリの実行が許可されます。デフォルトの値は、[オフ] です。

[デバイスのPINまたはパスコード] を使用するには、Android 4.1(Jelly Bean)以降が必要です。ポリシーを [デバイスのPINまたはパスコード] に設定すると、アプリが古いバージョンで実行されるのを防ぐことができます。

Android Mデバイスでは、[デバイスのPINまたはパスコード] および [デバイスのパターン画面ロック] のオプションは同じ効果があります。つまり、これらのオプションのいずれかを有効にすると、デバイスにPIN、パスコード、またはパターン画面ロックが未設定の場合アプリがロックされます。

ネットワークの要件

Wi-Fiを必須とする

[オン] の場合、デバイスがWi-Fiネットワークに接続されていない時にアプリがロックされます。[オフ] の場合、デバイスに4G/3G、LAN接続、またはWi-Fi接続などのアクティブな接続がある場合でもアプリを実行できます。デフォルトの値は、[オフ] です。

許可されたWi-Fiネットワーク

許可するWi-Fiネットワークのコンマ区切りの一覧。ネットワーク名に英数字以外の文字(コンマなど)を含める場合は、ネットワーク名を二重引用符で囲む必要があります。一覧にあるネットワークに接続された場合のみ、アプリが実行されます。一覧を空白のままにした場合、すべてのネットワークが許可されます。この設定は、モバイルネットワークへの接続に影響しません。デフォルトでは何も設定されていません。

その他のアクセス

アプリ更新猶予期間 (時間)

利用可能なアプリの更新が検出された時から、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日間)です。

注:

値に0を使用することは推奨されません。(更新がダウンロードされインストールされるまで)実行中のアプリケーションが即座に使用できなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新に準拠するために、アプリケーションを実行中のユーザーが、強制的にアプリケーションを終了させられることがあります(作業が破棄されてしまう可能性があります)。

ロック時にアプリケーションデータを消去

アプリがロックされた時に、データを消去し、アプリをリセットします。[オフ] の場合、アプリがロックされてもアプリデータは消去されません。デフォルトの値は、[オフ] です。

アプリは次のいずれかの理由によりロックされます。

  • アプリのユーザー権の喪失
  • アプリのサブスクリプションの削除
  • アカウントが削除されました
  • Secure Hubがアンインストールされました
  • 指定回数を超えたアプリ認証失敗
  • ジェイルブレイクされたデバイスの検出(ポリシー設定ごと)
  • ほかの管理措置によりロック状態にされたデバイスの検出

アクティブなポーリング周期 (分)

アプリを起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイス状態を判別します。Endpoint Managementを実行中のサーバーへの到達が可能だと推測されると、フレームワークは、デバイスのロックと消去の状態、およびアプリの有効または無効状態に関する情報を返します。サーバーへの到達の可否にかかわらず、アクティブなポーリング期間の間隔を元にして、それ以降のポーリングがスケジュールされます。期間が終了した後、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。

重要:

リスクの高いアプリにのみこの値を低く設定します。そうしないと、パフォーマンスが低下する可能性があります。

非準拠デバイスの動作

デバイスが最低コンプライアンス要件を順守していない場合のアクションを選択できます。[アプリを許可] を選択すると、アプリが通常どおり動作します。[警告後にアプリを許可する] を選択すると、警告が表示された後にアプリが実行されます。[ブロック] を選択すると、アプリの実行をブロックします。デフォルト値は [警告後にアプリを許可する] です。

パブリックファイルの移行

このポリシーは、[パブリックファイルの暗号化]ポリシーを有効([無効] から [セキュリティグループ] または [アプリケーション] に変更)にした場合にのみ適用されます。このポリシーは、既存の暗号化されていないパブリックファイルにのみ適用でき、これらのファイルをいつ暗号化するのかを指定します。デフォルト値は [書き込み(RO/RW)] です。

オプション:

  • 無効。既存のファイルを暗号化しません。
  • 書き込み(RO/RW)。書き込み専用または読み取り書き込みアクセスで既存のファイルが開かれた時に暗号化します。
  • 特定しない。既存のファイルが開かれるたびに暗号化します。

注:

  • 新しいファイルまたは上書きされる既存の暗号化されていないファイルは、毎回置換ファイルを暗号化します。
  • 既存のパブリックファイルを暗号化すると、同じ暗号化キーがないほかのアプリではそのファイルを使用できなくなります。

セキュリティグループ

Citrix Endpoint Managementで管理するすべてのモバイルアプリで情報を交換させるには、このフィールドを空白のままにします。アプリの特定のセット(たとえば、ファイナンスまたは人事など)に対するセキュリティ設定を管理するには、セキュリティグループ名を定義します。

注意:

既存のアプリケーションに対してこのポリシーを変更する場合、ユーザーがポリシーの変更を適用するには、アプリケーションの削除と再インストールを行う必要があります。

許可するSecure Webドメイン

このポリシーは、URLフィルタリングポリシーで除外対象とされていないドメインにのみ適用されます。ドキュメント交換の設定が[制限]である場合にSecure Webアプリへリダイレクトする完全修飾ドメイン名(FQDN)またはDNSサフィックスを、コンマ区切りの一覧形式で指定します。

このポリシーでエントリを指定しており、ドキュメント交換の設定が[制限]である場合、一覧の1つ以上の項目に(DNSサフィックスの照合で)一致するホストフィールドを持つURLは、Secure Webアプリにリダイレクトされます。

ほかのURLはすべて、(ドキュメント交換制限ポリシーを無視して)デフォルトのAndroidブラウザーに送信されます。デフォルト値は空です。

アプリ相互作用

切り取りおよびコピー

このアプリでのクリップボードへの切り取りおよびコピー操作を禁止、許可、または制限します。[制限]の場合、コピーしたクリップボードデータは、MDXアプリのみで使用できるプライベートクリップボードに貼り付けられます。デフォルト値は、[制限] です。

貼り付け

このアプリでのクリップボードへの貼り付け操作を禁止、許可、または制限します。[制限] の場合、クリップボードデータは、MDXアプリのみが使用できるプライベートクリップボードから貼り付けられます。デフォルト値は [制限なし] です。

ドキュメント交換(このアプリケーションで開く)

このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリおよび[このアプリケーションで開く]制限の例外一覧で指定されたアプリの例外とのみ交換できます。[制限なし] に設定する場合は、ラップされていないアプリでユーザーがドキュメントを開けるように、[プライベートファイルの暗号化]および[パブリックファイルの暗号化]ポリシーを [無効] に設定します。デフォルト値は、[制限] です。

[このアプリケーションで開く]制限の例外一覧

[ドキュメント交換(このアプリケーションで開く)]ポリシーが [制限] の場合、このAndroidインテントの一覧は管理されていないアプリに渡すことができます。一覧にフィルターを追加するには、Androidインテントに精通する必要があります。フィルターは、操作、パッケージ、スキーム、またはこれらの任意の組み合わせをサポートします。

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
<!--NeedCopy-->

注意:

このポリシーのセキュリティについて予想される事柄について検討する必要があります。除外一覧を使うと、管理されていないアプリとMDX環境間でコンテンツをやり取りできます。

受信ドキュメント交換(このアプリケーションで開く)

このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリとのみ交換できます。デフォルト値は [制限なし] です。

[禁止] または [制限] の場合、受信ドキュメント交換のホワイトリストポリシーを使用してこのアプリにドキュメントを送信できるアプリを指定します。その他のポリシーの情報については、[ギャラリーを禁止]ポリシーを参照してください。

オプション:[制限なし][禁止]、または [制限]

アプリ制限

重要:

電話機能へのアクセスまたは使用からアプリをブロックするポリシーのセキュリティについて予想される事柄に関し、検討の必要があります。これらのポリシーが [オフ] に設定されている場合、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。

カメラを禁止

[オン] の場合、アプリによるカメラハードウェアの直接使用が禁止されます。デフォルトの値は [オン] です。

ギャラリーを禁止

[オン] の場合、アプリがデバイス上のギャラリーにアクセスするのを防ぎます。デフォルトの値は、[オフ] です。このポリシーは、[受信ドキュメント交換(このアプリケーションで開く)]とともに機能します。

  • [受信ドキュメント交換(このアプリケーションで開く)]が [制限] に設定されている場合、管理対象アプリで作業をしているユーザーは、[ギャラリーを禁止]設定に関係なく、ギャラリーから画像を添付できません。
  • [受信ドキュメント交換(このアプリケーションで開く)]が [制限なし] に設定されている場合、管理対象アプリで作業をしているユーザーの操作は以下のようになります。
    • [ギャラリーを禁止]を [オフ] に設定すると、ユーザーはイメージを添付できます。
    • [ギャラリーを禁止]を [オン] に設定すると、ユーザーはイメージを添付できなくなります。

マイク録音を禁止

[オン] の場合、アプリでマイクハードウェアを直接使用できなくなります。デフォルトの値は [オン] です。

位置情報サービスを禁止

[オン] の場合、アプリによるロケーションサービスコンポーネント(GPSまたはネットワーク)の使用が禁止されます。Secure Mailのデフォルト値は [オフ] です。

SMS作成を禁止

[オン] の場合、アプリでは、SMS/テキストメッセージの送信に使用するSMS作成機能を使用できません。デフォルト値は [オン] です。

スクリーン ショットを禁止

[オン] の場合、アプリの実行中スクリーンキャプチャができないようにします。また、ユーザーがアプリを切り替えると、アプリ画面が不明瞭になります。デフォルトの値は [オン] です。

Android Near Field Communication(NFC)機能を使うと、コンテンツのデータ送受信を行う前に一部のアプリはスクリーンショットを撮ります。ラップされたアプリでこの機能を有効にするには、[スクリーンショットを禁止]ポリシーを [オフ] に変更します。

デバイスのセンサーを禁止

[オン] の場合、アプリによる加速度計、モーションセンサー、ジャイロスコープなどのデバイスセンサーの使用を禁止します。デフォルトの値は [オン] です。

NFCを禁止

[オン] の場合、アプリによるNear Field Communications(NFC)の使用を禁止します。デフォルトの値は [オン] です。

アプリログを禁止

[オン] の場合、アプリによる業務用モバイルアプリ診断ログファシリティの使用が禁じられます。[オフ] の場合、アプリログが記録され、Secure Hubのメールサポート機能を使って収集されることがあります。デフォルトの値は、[オフ] です。

印刷を禁止

[オン] の場合、アプリによるデータの印刷が禁止されます。アプリにShareコマンドがある場合は、[ドキュメント交換(このアプリケーションで開く)]を [制限] または [禁止] に設定して、印刷を完全にブロックする必要があります。デフォルトの値は [オン] です。

アプリのネットワークアクセス

ネットワークアクセス

注:

[トンネルWeb SSO] は、この設定において [セキュアブラウズ] に相当する名前です。動作は同じです。

以下は、設定オプションです:

  • 以前の設定を使用:デフォルトでは、過去のポリシーで設定済みの値が使用されます。値の変更後は、[以前の設定を使用]に戻さないでください。また、新しいポリシーに対する変更は、ユーザーがアプリをバージョン18.12.0以降にアップグレードするまで反映されません。
  • 禁止:アプリが使用するネットワークAPIは機能しません。前述のガイドラインに基づいて、このような失敗を正常に処理する必要があります。
  • 制限なし:ネットワーク呼び出しはすべて直接転送され、トンネリングされません。
  • トンネル-完全VPN:管理対象アプリケーションからのトラフィックはすべてCitrix Gatewayを介してトンネリングされます。
  • トンネル-Web SSO:HTTP/HTTPS URLが書き込まれます。このオプションでは、HTTPトラフィックおよびHTTPSトラフィックのトンネリングのみが許可されます。トンネル-Web SSOの大きなメリットは、HTTPトラフィックとHTTPSトラフィックのシングルサインオン(SSO)、およびPKINIT認証です。Androidでは、このオプションはセットアップの手間が少ないため、Web閲覧操作に関する推奨オプションとなっています。
  • トンネル-完全VPNおよびWeb SSO:必要に応じてVPNモードの自動切り替えを許可できます。いずれかのVPNモードで認証要求が処理できないためにネットワーク要求が失敗した場合、代替モードで再試行されます。

いずれかのトンネルモードを選択すると、企業ネットワークに戻るPer-app VPNトンネルがこの初期モードで作成され、Citrix Gatewayの分割トンネルの設定が使用されます。企業ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[トンネル完全VPN]を推奨します。シングルサインオン(SSO)を必要とする接続に対しては、[トンネル-Web SSO] が推奨されます。

マイクロVPNセッションを必須とする

[はい] の場合、企業ネットワークおよびアクティブなセッションに接続する必要があります。[いいえ] の場合、アクティブなセッションは必要ありません。デフォルト値は [以前の設定を使用] です。新しくアップロードされたアプリの場合、デフォルト値は [いいえ] です。このポリシーへのアップグレード前に選択されていた設定は、[以前の設定を使用]以外のオプションを選択するまで有効なままになります。

マイクロVPNセッションを必須とするまでの猶予期間(分)

アプリ更新を利用できることが検出された後に、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日間)です。

注:

値に0を使用することは推奨されません。(更新がダウンロードされインストールされるまで)実行中のアプリケーションが即座に使用できなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新に準拠するために、アプリケーションを実行中のユーザーが、強制的にアプリケーションを終了させられることがあります(作業が破棄されてしまう可能性があります)。

証明書ラベル

証明書ラベルStoreFront証明書統合サービスと一緒に使用する場合、このラベルによって、このアプリに必要な特定の証明書が識別されます。ラベルが指定されないと、証明書を公開キー基盤(PKI)で使用できるようにはなりません。デフォルト値は空です(証明書が使用されません)。

除外の一覧

VPN接続を使用せずに直接アクセスするFQDNまたはDNSサフィックスのコンマ区切りの一覧。この設定は、Citrix Gatewayを分割トンネルリバースモードに設定している場合の [トンネルWeb SSO] モードにのみ適用されます。

localhost接続をブロック

[オン] の場合、アプリのローカルホストへの接続を禁止します。ローカルホストは、デバイス上でローカルに行われる通信用のアドレス(127.0.0.1や::1など)です。ローカルホストは、ローカルネットワークインターフェイスのハードウェアをバイパスして、ホスト上で実行されているネットワークサービスにアクセスします。[オフ] の場合、このポリシーが[ネットワークアクセス]ポリシーよりも優先されるため、デバイスでローカルにプロキシサーバーが実行されているのであれば、アプリはセキュアコンテナの外部に接続できます。デフォルトは「オフ」です。

アプリログ

デフォルトのログ出力

Citrix Endpoint Managementアプリ診断ログファシリティがデフォルトで使用する出力媒体を決定します。選択肢としては、[ファイル]、[コンソール]、または両方です。デフォルト値は [ファイル] です。

デフォルトのログレベル

業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。番号のレベルが高いほど、より詳細なログが含まれます。

  • 0 - ログを記録されない
  • 1 - 深刻なエラー
  • 2 - エラー
  • 3 - 警告
  • 4 - 情報メッセージ
  • 5 - 詳細な情報メッセージ
  • 6~15 - 1~10のデバッグレベル

デフォルト値はレベル4(情報メッセージ)です。

最大ログファイル数

ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小値は2です。最大値は8です。デフォルト値は2です。

最大ログファイルサイズ

ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。

アプリのジオフェンス

中心点の経度

経度(X座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。「-31.9635」など、符号付きの角度形式(DDD.dddd)で指定します。西経の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。

中心点の緯度

緯度(Y座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。

「43.06581」など、符号付きの角度形式(DDD.dddd)で指定します。南半球の緯度の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。

半径

半径は、アプリの操作をその中に限定するジオフェンスの半径です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。 値はメートル単位で指定します。0に設定すると、ジオフェンスは無効になります。デフォルトは0(無効)です。

分析

Google Analyticsの詳細レベル

シトリックスは分析データを収集して製品の質を向上させます。[匿名]を選択した場合、企業を特定できる情報は収集されません。

サードパーティAndroidアプリのMDXポリシー