サードパーティiOSアプリのMDXポリシー
この文書では、サードパーティのiOSアプリに関するMDXポリシーについて説明します。ポリシー設定は、アプリの追加時に、ポリシーXMLファイルで直接変更するか、またはCitrix Endpoint Managementコンソールで変更できます。
認証
デバイスのパスコード
[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。Appleのファイル暗号化機能を使用してアプリデータを暗号化するには、デバイスパスコードが必要です。デバイス上のすべてのアプリデータを暗号化します。デフォルトの値は、[オフ] です。
アプリのパスコード
[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。デフォルトの値は [オン] です。
すべてのアプリに対して無操作タイマーを構成するには、[設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMER値を分単位で設定します。無通信タイマーのデフォルト値は60分間です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。
注:
[暗号キー]ポリシーで [セキュリティで保護されたオフラインアクセス] を選択した場合、このポリシーは自動的に有効になります。
オンラインセッションを必須とする
最大オフライン期間 (時間)
Citrix Endpoint Managementがアプリ権利の再確認とポリシー更新を行わずにアプリを実行できる最大期間を定義します。有効期限が切れた際には、必要に応じてサーバーへのログオンを要求されます。デフォルト値は168時間(7日間)です。最短の期間は1時間です。
代替Citrix Gateway
注:
Endpoint Managementコンソールでは、このポリシー名は「代替NetScaler Gateway」です。
認証、およびこのアプリとのMicro VPNセッションに使用する特定の代替Citrix Gatewayのアドレスです。これはオプションのポリシーで、[オンラインセッションを必須とする]ポリシーとともに使用すると、アプリに特定のゲートウェイへの再認証を強制します。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。空のままにしておいた場合は、常にサーバーのデフォルトゲートウェイが使用されます。デフォルト値は空です。
デバイスのセキュリティ
ジェイルブレイクまたはRoot化をブロックします
[オン] の場合、デバイスがジェイルブレイクされたまたはRoot化された時、アプリがロックされます。[オフ] の場合、デバイスがジェイルブレイクされたまたはRoot化された時でも、アプリを実行できます。デフォルトの値は [オン] です。
ネットワークの要件
Wi-Fiを必須とする
[オン] の場合、デバイスがWi-Fiネットワークに接続されていない時にアプリがロックされます。[オフ] の場合、デバイスに4G/3G、LAN接続、またはWi-Fi接続などのアクティブな接続がある場合でもアプリを実行できます。デフォルトの値は、[オフ] です。
許可されたWi-Fiネットワーク
Wi-Fiネットワークのコンマ区切り一覧。ネットワーク名に英数字以外の文字(コンマなど)を含める場合は、ネットワーク名を二重引用符で囲む必要があります。一覧にあるネットワークに接続された場合のみ、アプリが実行されます。空白にした場合、すべてのネットワークが許可されます。この設定は、モバイルネットワークへの接続に影響しません。デフォルトでは何も設定されていません。
その他のアクセス
アプリ更新猶予期間 (時間)
アプリ更新を利用できることが検出された後に、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日間) です。
注:
値に0を使用することは推奨されません。(更新がダウンロードされインストールされるまで)実行中のアプリケーションが即座に使用できなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新に準拠するために、ユーザーは強制的にアプリケーションを終了させられることがあります(作業が破棄されてしまう可能性があります)。
ロック時にアプリケーションデータを消去
アプリがロックされた時に、データを消去し、アプリをリセットします。[オフ] の場合、アプリがロックされてもアプリデータは消去されません。デフォルトの値は、[オフ] です。
アプリは次のいずれかの理由によりロックされます。
- アプリのユーザー権の喪失
- アプリのサブスクリプションの削除
- アカウントが削除されました
- Secure Hubがアンインストールされました
- 指定回数を超えたアプリ認証失敗
- ジェイルブレイクされたデバイスの検出(ポリシー設定ごと)
- ほかの管理措置によりロック状態にされたデバイスの検出
アクティブなポーリング周期 (分)
アプリを起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイス状態を判別します。Endpoint Managementを実行中のサーバーへの到達が可能だと推測されると、フレームワークは、デバイスのロックと消去の状態、およびアプリの有効または無効状態に関する情報を返します。サーバーへの到達の可否にかかわらず、アクティブなポーリング期間の間隔を元にして、それ以降のポーリングがスケジュールされます。期間が終了した後、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。
重要:
リスクの高いアプリにのみこの値を低く設定します。そうしないと、パフォーマンスが低下する可能性があります。
非準拠デバイスの動作
デバイスが最低コンプライアンス要件を順守していない場合のアクションを選択できます。[アプリを許可] を選択すると、アプリが通常どおり動作します。[警告後にアプリを許可する] を選択すると、警告が表示された後にアプリが実行されます。[ブロック] を選択すると、アプリの実行をブロックします。デフォルト値は [警告後にアプリを許可する] です。
アプリ相互作用
切り取りおよびコピー
このアプリでのクリップボードへの切り取りおよびコピー操作を禁止、許可、または制限します。[制限]の場合、コピーしたクリップボードデータは、MDXアプリのみで使用できるプライベートクリップボードに貼り付けられます。デフォルト値は、[制限] です。
貼り付け
このアプリでのクリップボードへの貼り付け操作を禁止、許可、または制限します。[制限] の場合、クリップボードデータは、MDXアプリのみが使用できるプライベートクリップボードから貼り付けられます。デフォルト値は [制限なし] です。
ドキュメント交換(このアプリケーションで開く)
このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリケーションとのみ交換できます。
[制限なし] の場合、[暗号化を有効化]ポリシーを [オン] に設定し、ラップされていないアプリでユーザーがドキュメントを開けるようにします。受信するアプリケーションがラップされていないか、または暗号化が無効になっている場合、Citrix Endpoint Managementはドキュメントを暗号化します。 デフォルト値は、[制限] です。
[このアプリケーションで開く]制限の例外一覧
ドキュメント交換(このアプリケーションで開く)ポリシーが [制限] の場合、[暗号化を有効化]が [オン] であっても、MDXアプリは管理されていないApp IDのコンマ区切りの一覧とドキュメントを共有できます。デフォルトの例外一覧は、Office 365アプリを許可します。
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
このポリシーについては、Office 365アプリだけがサポートされます。
注意:
このポリシーのセキュリティについて予想される事柄について検討する必要があります。除外一覧を使うと、管理されていないアプリとMDX環境間でコンテンツをやり取りできます。
受信ドキュメント交換(このアプリケーションで開く)
このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリとのみ交換できます。デフォルト値は [制限なし] です。
[禁止] または [制限] の場合、受信ドキュメント交換のホワイトリストポリシーを使用してこのアプリにドキュメントを送信できるアプリを指定します。
注:
受信ドキュメント交換の許可リストポリシーは、iOS 12を実行しているデバイスのみをサポートします。
オプション:[制限なし]、[禁止]、または [制限]
アプリのURLスキーム
iOSアプリは、http://などハンドル特定のスキームに登録された他のアプリにURL要求を発信できます。この機能により、アプリが他のアプリに支援要求を送信するメカニズムが提供されます。このポリシーでは、処理のためにこのアプリに渡されるスキーム(すなわち受信URL)がフィルター処理されます。デフォルト値は空で、すべての登録済みアプリのURLスキームが禁止されることを意味します。
このポリシーでは、コンマで区切られたパターンの一覧の形式を使用します。各パターンの前にプラス記号(+)またはマイナス記号(-)を付けることができます。一致が見つかるまで、一覧の順序で受信URLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて処理が実行されます。
- マイナス記号「-」が付いている場合、このアプリケーションに渡されないようにURLをブロックします。
- プラス記号「+」が付いている場合、処理のためアプリケーションに渡されるようにURLを許可します。
- パターンの最初の文字がプラス(+)またはマイナス(-)のどちらでもない場合は、+(許可)とみなされます。
- 受信URLが一覧のいずれのパターンにも一致しない場合、そのURLは禁止されます。
次の表は、App URLスキームの例を示しています。
| スキーム | URLスキームを必要とするアプリ | 目的 |
|---|---|---|
| ctxmobilebrowser | Secure Web- | Secure WebによるHTTPの使用を許可します。他のアプリからのURLです。 |
| ctxmobilebrowsers | Secure Web- | Secure WebによるHTTPSの使用を許可します。他のアプリからのURLです。 |
| ctxmail | Secure Mail- | Secure MailによるHTTPの使用を許可します。他のアプリからのURLです。 |
| COL-G2M | GoToMeeting- | ラップされたGoToMeetingアプリが会議要求を制御するのを許可します。 |
| ctxsalesforce | Citrix for Salesforce- | Citrix for SalesforceによるSalesforce要求の処理を許可します。 |
| wbx | WebEx | ラップされたWebExアプリが会議要求を制御するのを許可します。 |
アプリ相互作用(送信URL)
URLフィルタリングから除外されたドメイン
このポリシーでは、「許可するURL」フィルタリングの対象から送信URLを除外します。「許可するURL」フィルタリングから除外する完全修飾ドメイン名(FQDN)またはDNSサフィックスを、コンマ区切りの一覧形式で追加します。このポリシーが空(デフォルト)の場合、「許可するURL」フィルタリング処理で定義されているURLが許可されます。このポリシーでエントリを指定している場合、一覧の1つ以上の項目に(DNSサフィックスの照合で)一致するホストフィールドを持つURLは、「許可するURL」のフィルタリング処理を受けず変更されないままiOSに送信されます。デフォルト値は空です。
許可するURL
iOSアプリは、"http://"などハンドル特定のスキームに登録された他のアプリケーションにURL要求を発信できます。この機能により、アプリが他のアプリに支援要求を送信するメカニズムが提供されます。このポリシーでは、処理のためにこのアプリからほかのアプリに渡されるURL(すなわち送信URL)がフィルター処理されます。
このポリシーでは、コンマで区切られたパターンの一覧の形式を使用します。各パターンの前にプラス記号(+)またはマイナス記号(-)を付けることができます。一致が見つかるまで、一覧の順序で発信URLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて処理が実行されます。マイナス「-」接頭辞では、URLを別のアプリに渡すことが禁止されます。プラス「+」接頭辞では、処理のためにURLを別のアプリに渡すことが許可されます。パターンの最初の文字がプラス「+」またはマイナス「-」のどちらでもない場合は、+(許可)とみなされます。等号「=」で区切られた値のペアは、最初の文字列が出現したら2番目の文字列で置き換えるという置換処理を示します。検索文字列の先頭に正規表現「^」を使用すると、先頭部分が一致しているURLを検出できます。発信URLが一覧のパターンと一致しない場合、そのURLはブロックされます。
デフォルト
+maps.apple.com
+itunes.apple.com
^http:=ctxmobilebrowser:
^https:=ctxmobilebrowsers:
^mailto:=ctxmail:
+^citrixreceiver:
+^telprompt:
+^tel:
+^lmi-g2m:
+^maps:ios_addr
+^mapitem:
+^sms:
+^facetime:
+^ctxnotes:
+^ctxnotesex:
+^ctxtasks:
+^facetime-audio:
+^itms-apps:
+^ctx-sf:
+^sharefile:
+^lync:
+^slack:
何も設定しないままにすると、次を除き、すべてのURLがブロックされます。
- http:
- https:
- +citrixreceiver: +tel:
次の表は、許可されたURLの例を示しています。
| URL形式 | 説明 |
|---|---|
| ^mailto:=ctxmail | すべてのmailtoのURLがSecure Mailで開きます。 |
| ^http | すべてのHTTP URLがSecure Webで開きます。 |
| ^https | すべてのHTTPS URLがSecure Webで開きます。 |
| ^tel | ユーザーによる通話発信を許可します。 |
| -//www.dropbox.com | 管理されたアプリから発信されたDropbox URLをブロックします。 |
| +^COL-G2M | 管理されたアプリがGoToMeetingクライアントアプリを開くのを許可します。 |
| -^SMS | メッセージングチャットクライアントの使用をブロックします。 |
| -^wbx | 管理対象アプリがWebExクライアントアプリを開くのをブロックします。 |
| +^ctxsalesforce | Citrix for SalesforceによるSalesforceサーバーとの通信を許可します。 |
許可するSecure Webドメイン
このポリシーは、Secure WebアプリにリダイレクトするURL(^http:=ctxmobilebrowser:および^https:=ctxmobilebrowsers:)を設定する「許可するURL」ポリシーのエントリにのみ影響します。Secure Webアプリへのリダイレクトが許可された完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りの一覧を追加します。このポリシーに値があれば、一覧の少なくとも1つの項目に一致する(DNSサフィックスの一致)ホストフィールドを持つURLのみがSecure Webアプリにリダイレクトされます。その他のすべてのURLはSecure WebをバイパスしてそのままiOSに送信されます。デフォルト値は空です。
アプリ制限
重要:
電話機能へのアクセスまたは使用からアプリをブロックするポリシーのセキュリティについて予想される事柄に関し、検討の必要があります。これらのポリシーが [オフ] に設定されている場合、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。
カメラを禁止
[オン] の場合、アプリによるカメラハードウェアの直接使用が禁止されます。デフォルト値は [オフ] です。
フォト ライブラリを禁止
[オン] の場合、アプリがデバイス上のフォトライブラリにアクセスするのを防ぎます。デフォルトの値は [オン] です。
マイク録音を禁止
[オン] の場合、アプリでマイクハードウェアを直接使用できなくなります。デフォルトの値は [オン] です。
ディクテーションを禁止
[オン] の場合、アプリによるディクテーションサービスの直接使用が禁止されます。デフォルトの値は [オン] です。
位置情報サービスを禁止
[オン] の場合、アプリによるロケーションサービスコンポーネント(GPSまたはネットワーク)の使用が禁止されます。Secure Mailのデフォルト値は [オフ] です。
SMS作成を禁止
[オン] の場合、アプリでは、SMS/テキストメッセージの送信に使用するSMS作成機能を使用できません。デフォルト値は [オン] です。
メール作成を禁止
[オン] の場合、アプリでは、そのアプリからのメールメッセージ送信に使用するメール作成機能を使用できません。デフォルト値は [オン] です。
iCloudを禁止
[オン] の場合、アプリによる、設定とデータの格納および共有のためのiCloudの使用が禁止されます。
注:
iCloudのデータファイルは、[ファイルのバックアップを禁止]ポリシーによって制御されます。
デフォルトの値は [オン] です。
検索を禁止
[オン] の場合、アプリは辞書、iTunes、App Store、動画の再生、位置情報などで強調表示されたテキストを検索する[調べる]機能を使用できません。デフォルトの値は [オン] です。
ファイルのバックアップを禁止
[オン] の場合、iCloudまたはiTunesによるデータファイルのバックアップが禁止されます。デフォルトの値は [オン] です。
AirPrintを禁止
[オン] の場合、アプリではAirPrint対応プリンターでデータを印刷するAirPrint機能を使用できません。デフォルトの値は [オン] です。
AirDropを禁止
[オン] の場合、アプリによるAirDropの使用が禁止されます。デフォルトの値は [オン] です。
FacebookとTwitterのAPIを禁止
[オン] の場合、[オン]の場合、アプリによるiOS FacebookおよびTwitter APIの使用が禁止されます。デフォルトの値は [オン] です。
画面の内容を不鮮明にする
[オン] の場合、ユーザーがアプリを切り替えると、画面が不明瞭になります。このポリシーにより、iOSが画面コンテンツを記録しサブネイルを表示するのを阻止します。デフォルトの値は [オン] です。
サードパーティ製キーボードを禁止(iOS 11以降のみ)
[オン] の場合、アプリによる、iOS 8以降のデバイス上でのサードパーティ製キーボード拡張機能の使用が禁止されます。デフォルトの値は [オン] です。
アプリログを禁止
[オン] の場合、アプリによる業務用モバイルアプリ診断ログファシリティの使用が禁じられます。[オフ] の場合、アプリログが記録され、Secure Hubのメールサポート機能を使って収集されることがあります。デフォルトの値は、[オフ] です。
アプリのネットワークアクセス
ネットワークアクセス
注:
[トンネルWeb SSO] は、この設定において [セキュアブラウズ] に相当する名前です。動作は同じです。
以下は、設定オプションです:
- 禁止:すべてのネットワークアクセスがブロックされます。アプリが使用するネットワークAPIは機能しません。前述のガイドラインに基づいて、このような失敗を正常に処理する必要があります。
- 制限なし:ネットワーク呼び出しはすべて直接転送され、トンネリングされません。
- トンネル-Web SSO:HTTP/HTTPS URLが書き込まれます。このオプションでは、HTTPトラフィックおよびHTTPSトラフィックのトンネリングのみが許可されます。トンネル-Web SSOの大きなメリットは、HTTPトラフィックとHTTPSトラフィックのシングルサインオン(SSO)、およびPKINIT認証です。Androidでは、このオプションはセットアップの手間が少ないため、Web閲覧操作に関する推奨オプションとなっています。
[トンネル-Web SSO]オプションを選択すると、企業ネットワークに戻るPer-app VPNトンネルがこの初期モードで作成され、Citrix Gatewayの分割トンネルの設定が使用されます。シングルサインオン(SSO)を必要とする接続に対しては、[トンネル-Web SSO] が推奨されます。
マイクロVPNセッションを必須とする
[はい] の場合、企業ネットワークおよびアクティブなセッションに接続する必要があります。[いいえ] の場合、アクティブなセッションは必要ありません。デフォルト値は [以前の設定を使用] です。新しくアップロードされたアプリの場合、デフォルト値は [いいえ] です。この新しいポリシーへのアップグレード前に選択されていた設定は、[以前の設定を使用]以外のオプションを選択するまで有効のままになります。
マイクロVPNセッションを必須とするまでの猶予期間(分)
この値では、(オンラインセッションが検証されるまで)[オンラインセッションを必須とする]ポリシーにより使用を停止されるまで、アプリケーションを使用できる分数を指定します。デフォルト値は0(猶予期間なし)です。このポリシーは、Microsoft IntuneおよびEMSとの統合には適用されません。
証明書ラベル
証明書ラベルStoreFront証明書統合サービスと一緒に使用する場合、このラベルによって、このアプリに必要な特定の証明書が識別されます。ラベルが指定されないと、証明書を公開キー基盤(PKI)で使用できるようにはなりません。デフォルト値は空です(証明書が使用されません)。
除外の一覧
VPN接続を使用せずに直接アクセスするFQDNまたはDNSサフィックスのコンマ区切りの一覧。この設定は、Citrix Gatewayを分割トンネルリバースモードに設定している場合の [トンネルWeb SSO] モードにのみ適用されます。
アプリログ
デフォルトのログ出力
デフォルトで、業務用モバイルアプリ診断ログファシリティによってどの出力媒体が使用されるかを決定します。選択肢としては、[ファイル]、[コンソール]、または両方です。デフォルト値は [ファイル] です。
デフォルトのログレベル
業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。各レベルには、下位のレベル値が含まれます。使用できるレベルの範囲は次のとおりです:
- 0 - ログを記録されない
- 1 - 深刻なエラー
- 2 - エラー
- 3 - 警告
- 4 - 情報メッセージ
- 5 - 詳細な情報メッセージ
- 6~15 - 1~10のデバッグレベル
デフォルト値はレベル4(情報メッセージ)です。
最大ログファイル数
ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小値は2です。最大値は8です。デフォルト値は2です。
最大ログファイルサイズ
ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。
システムログのリダイレクト
[オン] の場合、アプリから業務用モバイルアプリ診断ファシリティへのシステムまたはコンソールのログを傍受して、リダイレクトします。[オフ] の場合、システムまたはコンソールのログのアプリ使用は傍受されません。
デフォルトの値は [オン] です。
アプリのジオフェンス
中心点の経度
経度(X座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
「-31.9635」など、符号付きの角度形式(DDD.dddd)で指定します。西経の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。
中心点の緯度
緯度(Y座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
「43.06581」など、符号付きの角度形式(DDD.dddd)で指定します。南半球の緯度の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。
半径
半径は、アプリの操作をその中に限定するジオフェンスの半径です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
値はメートル単位で指定します。0に設定すると、ジオフェンスは無効になります。[位置情報サービスを禁止]ポリシーが有効な場合、ジオフェンスは正常に機能しません。デフォルトは0(無効)です。
分析
Google Analyticsの詳細レベル
シトリックスは分析データを収集して製品の質を向上させます。[Anonymous] を選択した場合、企業を特定できる情報は収集されません。デフォルトは [完了] です。
レポート
Citrixレポート
[オン] の場合、問題のトラブルシューティングを目的として、Citrixによりクラッシュレポートと診断情報が収集されます。[オフ] の場合、データの収集は行われません。
注:
Citrixも、フィーチャーフラグを使用してこの機能を制御します。この機能を動作させるには、機能フラグとこのポリシーの両方が有効である必要があります。
デフォルトの値は、[オフ] です。
アップロードトークン
アップロードトークンは、Citrix Insight Services(CIS)アカウントから取得できます。このオプションのトークンを指定した場合、CISで、デバイスからアップロードされたクラッシュレポートと診断情報にアクセスできるようになります。これらの情報にはCitrixもアクセスできます。デフォルト値は空です。
Wi-Fiのみでレポートを送信
[オン] の場合、ユーザーがWi-Fiネットワークに接続している場合のみCitrixはクラッシュレポートと診断情報を送信します。デフォルトの値は [オン] です。
レポートファイルキャッシュの最大値
キャッシュを削除するまでに保持するクラッシュレポートと診断情報パッケージのサイズ上限を指定します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。