AndroidアプリのMDXポリシー

この文書では、Androidアプリに対するMDXポリシーについて説明します。ポリシー設定は、アプリの追加時に、ポリシーXMLファイルで直接変更するか、またはCitrix Endpoint Managementコンソールで変更できます。

認証

アプリのパスコード

[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。デフォルト値は [オン] です。

すべてのアプリに対して無操作タイマーを構成するには、[設定]タブの[クライアントプロパティ]で、INACTIVITY_TIMER値を分単位で設定します。無通信タイマーのデフォルト値は60分間です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。

注:

[暗号キー]ポリシーでオフラインのセキュリティ保護を選択した場合、このポリシーは自動的に有効になります。

オンラインセッションを必須とする

[オン] の場合、企業ネットワークおよびアクティブなセッションへ接続する必要があります。[オフ] の場合、アクティブなセッションは必要ありません。デフォルトの値は、[オフ] です。

最大オフライン期間 (時間)

Citrix Endpoint Managementがアプリ権利の再確認とポリシー更新を行わずにアプリを実行できる最大期間を定義します。デフォルトは72時間(3日)です。最短の期間は1時間です。

期間が終了する30分前、15分前、5分前に、サインオンするようユーザーに警告メッセージが表示されます。期間終了後は、ユーザーがサインオンするまでアプリはロックされます。

代替NetScaler Gateway

認証と、このアプリとのMicro VPNセッションに使用する特定の代替NetScaler Gatewayのアドレスです。これはオプションのポリシーで、[オンラインセッションを必須とする]ポリシーと組み合わせて使用すると、アプリに特定のゲートウェイへの再認証を強制します。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。空のままにしておいた場合は、常にサーバーのデフォルトゲートウェイが使用されます。デフォルト値は空です。

デバイスのセキュリティ

ジェイルブレイクまたはRoot化を禁止

[オン] の場合、デバイスがジェイルブレイクされたまたはRoot化された時、アプリがロックされます。[オフ] の場合、デバイスがジェイルブレイクされたまたはRoot化された時でも、アプリを実行できます。デフォルト値は [オン] です。

デバイスの暗号化を要求

[オン] に設定すると、デバイスで暗号化が構成されていない場合、アプリがロックされます。[オフ] に設定すると、デバイスで暗号化が構成されていない場合でも、アプリケーションの実行が許可されます。デフォルトの値は、[オフ] です。

デバイスのロックを必須とする

[デバイスのPINまたはパスコード] の場合、デバイスにPINまたはパスコードが設定されていないと、アプリがロックされます。[デバイスのパターン画面ロック] の場合、デバイスにパターン画面ロックが設定されていないと、アプリがロックされます。[オフ] の場合、デバイスにPIN、パスコード、またはパターン画面ロックが設定されていなくてもアプリの実行が許可されます。デフォルトの値は、[オフ] です。

重要:

[デバイスのPINまたはパスコード] には、Android 4.1(Jellybean)以降が必要です。ポリシーを [デバイスのPINまたはパスコード] に設定すると、アプリが古いバージョンで実行されるのを防ぐことができます。Android Mデバイスでは、[デバイスのPINまたはパスコード] および [デバイスのパターン画面ロック] のオプションは同じ効果があります。つまり、これらのオプションのいずれかを有効にすると、デバイスにPIN、パスコード、またはパターン画面ロックが未設定の場合アプリがロックされます。

ネットワーク要件

Wi-Fiを必須とする

[オン] の場合、デバイスがWi-Fiネットワークに接続されていない時にアプリがロックされます。[オフ] の場合、デバイスに4G/3G、LAN接続、またはWi-Fi接続などのアクティブな接続がある場合でもアプリを実行できます。デフォルトの値は、[オフ] です。

その他のアクセス

アプリ更新猶予期間(時間)

利用可能なアプリの更新が検出された時から、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日)です。

注:

値にゼロを使用することは推奨されません。即座に(更新がダウンロードされてインストールされるまで)実行中のアプリが使用できなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新を適用するために、アプリが強制終了することがあります(これによって、作業が破棄されてしまう可能性があります)。

ロック時にアプリデータを消去

アプリがロックされた時に、データを消去し、アプリをリセットします。[オフ] の場合、アプリがロックされてもアプリデータは消去されません。デフォルトの値は、[オフ] です。

アプリは次のいずれかの理由によりロックされます。

  • アプリのユーザー権の喪失
  • アプリのサブスクリプションの削除
  • アカウントが削除されました
  • Secure Hubがアンインストールされました
  • 指定回数を超えたアプリ認証失敗
  • ジェイルブレイクされたデバイスの検出(ポリシー設定ごと)
  • ほかの管理措置によりロック状態にされたデバイスの検出

アクティブなポーリング周期(分)

アプリを起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイス状態を判別します。Citrix Endpoint Managementを実行中のサーバーへの到達が可能だと推測されると、フレームワークは、デバイスのロックと消去の状態、およびアプリの有効または無効状態に関する情報を返します。サーバーに到達できてもできなくても、アクティブなポーリング期間の間隔を基にして、以降のポーリングがスケジュールされます。期間が終了した後、新しいポーリングが再度試行されます。デフォルト値は60分間です。

重要:

リスクの高いアプリにのみこの値を低く設定します。そうでないと、パフォーマンスが低下する可能性があります。

必要な更新を無効化

このポリシーが有効になっている場合、MDXはパブリックアプリケーションストアのアプリのアップグレードを適用しません。このポリシーを有効化すると、ユーザーはパブリックアプリケーションストアのアプリの古いバージョンを使用できます。デフォルトは[On]です。

暗号化

暗号キー

暗号キーの生成に使用されるシークレットを有効にして、デバイスで永続させます。[オフラインアクセスを許可]のみを実行できます。暗号化されたコンテンツへのアクセスを保護するため[認証]ポリシーを設定してネットワークログオンまたはオフラインパスワードチャレンジを有効にすることをお勧めします。

ファイル暗号化のバージョン

パブリックおよびプライベートファイルの暗号化のための暗号化バージョンを指定します。最大のセキュリティを提供するため、特に新しいアプリ展開の場合は、[現在]を推奨します。[現在]を選択すると、[レガシ]など以前の暗号化バージョンを含む任意のアプリの再インストールが必要となるか、またはデータを失うことがあります。

デフォルト値は [現在] です。

プライベート ファイルの暗号化

次の場所の個人データファイルの暗号化を制御します:/data/data/<appname>および/mnt/sdcard/Android/data/<appname>。[Disabled]の場合、個人ファイルは暗号化されません。[セキュリティグループ]の場合、同じセキュリティグループのすべてのMDXアプリにより共有されたキーを使ってプライベートファイルが暗号化されます。[Application]の場合、このアプリケーションに対して一意のキーを使って個人ファイルが暗号化されます。デフォルト値は [セキュリティグループ] です。

プライベート ファイルの暗号化から除外する対象

コンマで区切ったパスの一覧があります。各パスは、暗号化する1つまたは複数のファイルを表す正規表現です。ファイルパスは内部および外部サンドボックスと相対します。デフォルト値は空です。

以下のフォルダーのみが除外の対象になります。

  • 内部ストレージ:

    /data/data/

  • SDカード:

    /storage/emulated/<SD Card Slot>/Android/data/

    /storage/emulated/legacy/Android/data/

例:

除外するファイル プライベートファイルの暗号化から除外する値
/data/data/com.citrix.mail/files/a.txt ^files/a.txt
/storage/emulated/0/Android/data/com.citrix.mail/files内のすべてのテキストファイル ^files/(.)+.txt$
/data/data/com.citrix.mail/filesのすべてのファイル ^files/

パブリックファイルへのアクセス制限

特定のファイルへのアクセスを制限します:アクセスなし、読み取り専用、または読み取り/書き込み。

コンマ区切りの一覧があります。各エントリは(NA)、(RO)、または(RW)に続く正規表現パスです。この一覧は順番に処理され、最初に一致したパスがアクセス制限を設定するために使用されます。デフォルト値は空です。

このポリシーは、[パブリックファイルの暗号化] ポリシーを有効([無効] から [セキュリティグループ] または [アプリケーション] に変更)にした場合にのみ適用されます。このポリシーは、既存の暗号化されていないパブリックファイルにのみ適用でき、これらのファイルをいつ暗号化するのかを指定します。

除外するファイル プライベートファイルの暗号化の値
外部ストレージのダウンロードフォルダー。読み取りのみ EXT:^Download/(RO)
仮想ストレージのミュージックフォルダーのすべてのMP3ファイル。アクセスなし VS:^Music/(.)+.mp3$(NA)

パブリック ファイルの暗号化

パブリックファイルの暗号化を制御します。[無効] の場合、パブリックファイルは暗号化されません。[セキュリティグループ] の場合、同じセキュリティグループのすべてのMDXアプリにより共有されたキーを使ってパブリックファイルが暗号化されます。[アプリケーション] の場合、このアプリに対して一意のキーを使ってパブリックファイルが暗号化されます。

デフォルト値は [セキュリティグループ] です。

パブリックファイルの暗号化から除外する対象

コンマで区切ったパスの一覧があります。各パスは、暗号化されない1つまたは複数のファイルを表す正規表現です。ファイルパスはデフォルトの外部ストレージおよびいずれのデバイス特定の外部ストレージとも相対しています。

[パブリックファイルの暗号化から除外する対象]には外部フォルダーの場所のみが含まれます。

例:

除外するファイル パブリックファイルの暗号化から除外する値
SDカード上のダウンロードフォルダー ダウンロード
音楽フォルダー内のすべてのMP3ファイル ^Music/(.)+.mp3$

パブリックファイルの移行

このポリシーは、[パブリックファイルの暗号化]ポリシーを有効([無効]から[セキュリティグループ]または[アプリケーション]に変更)にした場合にのみ適用されます。このポリシーは、既存の暗号化されていないパブリックファイルにのみ適用でき、これらのファイルをいつ暗号化するのかを指定します。デフォルト値は [書き込み(WO/RW)] です。

オプション:

  • 無効。既存のファイルを暗号化しません。
  • 書き込み(WO/RW)。書き込み専用または読み取り書き込みアクセスで既存のファイルが開かれた時に暗号化します。
  • 任意。既存のファイルが開かれるたびに暗号化します。

注意:

新しいファイルまたは上書きされる既存の暗号化されていないファイルは、毎回置換ファイルを暗号化します。既存のパブリックファイルを暗号化すると、同じ暗号化キーがないほかのアプリではそのファイルを使用できなくなります。

アプリ相互作用

セキュリティグループ

Citrix Endpoint Managementで管理するすべてのモバイルアプリで情報を交換させるには、このフィールドを空白のままにします。アプリの特定のセット(たとえば、ファイナンスまたは人事など)に対するセキュリティ設定を管理するには、セキュリティグループ名を定義します。

注意:

既存のアプリに対してこのポリシーを変更する場合、ユーザーはポリシーの変更を適用するには、アプリの削除と再インストールを行う必要があります。

切り取りおよびコピー

このアプリでのクリップボードへの切り取りおよびコピー操作を禁止、許可、または制限します。[制限] の場合、コピーしたクリップボードデータは、MDXアプリのみで使用できるプライベートクリップボードに貼り付けられます。デフォルト値は、[制限] です。

オプション:[制限なし][禁止]、または [制限]

貼り付け

このアプリでのクリップボードへの貼り付け操作を禁止、許可、または制限します。[制限] の場合、クリップボードデータは、MDXアプリのみが使用できるプライベートクリップボードから貼り付けられます。デフォルト値は [制限なし] です。

オプション:[制限なし][禁止]、または [制限]

ドキュメント交換(このアプリケーションで開く)

このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリおよび[このアプリケーションで開く]制限の例外一覧で指定されたアプリの例外とのみ交換できます。[制限なし] の場合、[プライベートファイルの暗号化]および[パブリックファイルの暗号化]ポリシーを [無効] に設定し、ユーザーがラップされていないアプリでドキュメントを開けるようにする必要があります。

ポリシーがカメラ、オーディオ、クリップボード、または印刷の機能を禁止する場合、各機能は最後に表示されたタイムスタンプを保持します。ユーザーにはオプションの状態のメッセージが表示されます。例:カメラ:無効。

[制限] に設定すると、[このアプリケーションで開く]制限の例外一覧のアプリがMDXアプリで暗号化されたファイルを受け取ることがあります。ファイルを受け取ると、ファイルの内容はローカルストレージで暗号化解除され、ファイルを閉じるとローカルストレージから削除されます。たとえば、{package = com.microsoft.office.word}を[ドキュメント交換(このアプリケーションで開く)] ポリシーに追加すると、WordアプリケーションはMDXアプリケーションから暗号化解除されたファイルを受け取ることができます。

デフォルト値は、[制限] です。

オプション:[制限なし][禁止]、または [制限]

[このアプリケーションで開く] 制限の例外一覧

[ドキュメント交換(このアプリケーションで開く)]ポリシーが [制限] の場合、このAndroidインテントの一覧は管理されていないアプリに渡すことができます。一覧にフィルターを追加するには、Androidインテントに精通している必要があります。フィルターは、操作、パッケージ、スキーム、またはこれらの任意の組み合わせをサポートします。

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}

注意:

このポリシーのセキュリティについて予想される事柄について検討する必要があります。除外一覧を使うと、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。

受信ドキュメント交換 (このアプリケーションで開く)

このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリとのみ交換できます。デフォルト値は [制限なし] です。

[禁止] または [制限] の場合、受信ドキュメント交換のホワイトリストポリシーを使用してこのアプリにドキュメントを送信できるアプリを指定します。その他のポリシーの情報については、[ギャラリーを禁止]ポリシーを参照してください。

オプション:[制限なし][禁止]、または [制限]

受信ドキュメント交換のホワイトリスト

受信ドキュメント交換が [制限] または [禁止] に設定されているときに、このアプリIDのコンマ区切り一覧 (非MDXアプリを含む) にIDが含まれるアプリは、このアプリへのドキュメント送信が許可されます。このポリシーは非表示になっているため、編集できません。

接続のセキュリティ レベル

接続で使用されるTLS/SSLの最低バージョンを規定します。[TLS] の場合、接続はすべてのTLSプロトコルをサポートします。[SSLv3とTLS] の場合、接続でSSL 3.0およびTLSがサポートされます。デフォルト値は [TLS] です。

アプリ制限

重要:

電話機能へのアクセスまたは使用からアプリをブロックするポリシーのセキュリティについて予想される事柄に関し、検討の必要があります。これらのポリシーが [オフ] に設定されている場合、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。

カメラを禁止

[オン] の場合、アプリによるカメラハードウェアの直接使用が禁止されます。デフォルト値は [オン] です。

ギャラリーを禁止

[オン] の場合、アプリがデバイス上のギャラリーにアクセスするのを防ぎます。デフォルトの値は、[オフ] です。このポリシーは、[受信ドキュメント交換(このアプリケーションで開く)]とともに機能します。

  • [受信ドキュメント交換(このアプリケーションで開く)]が [制限] に設定されている場合、管理対象アプリで作業をしているユーザーは、[ギャラリーを禁止]設定に関係なく、ギャラリーから画像を添付できません。
  • [受信ドキュメント交換(このアプリケーションで開く)]が [制限なし] に設定されている場合、管理対象アプリで作業をしているユーザーの操作は以下のようになります。
    • [ギャラリーを禁止]を [オフ] に設定すると、ユーザーは画像を添付できます。
    • [ギャラリーを禁止]を [オン] に設定すると、ユーザーは画像の添付をブロックできます。
    • [ギャラリーを禁止]が[オン]で、アプリで作成されたOpen_Documentなどのインテントがある場合、インテントの種類は次のように処理されます。
      • image/* MDXはインテントをブロックします。
      • */*:ドキュメントピッカーが開きますが、ユーザーは画像やビデオを選択できません。

localhost接続をブロック

[オン] の場合、アプリがループバックアドレス(127.0.0.1)にアクセスするのを防ぎます。デフォルトの値は、[オフ] です。

マイク録音を禁止

[オン] の場合、アプリによる、録音のためのマイクハードウェアの直接使用が禁止されます。デフォルト値は [オン] です。

位置情報サービスを禁止

[オン] の場合、アプリによるロケーションサービスコンポーネント(GPSまたはネットワーク)の使用が禁止されます。Secure Mail、Secure Notes、Citrix for Salesforceのデフォルト値は [オフ] です。他のアプリのデフォルト値は [オン] です。

SMS作成を禁止

[オン]の場合、アプリでは、SMS/テキストメッセージの送信に使用するSMS作成機能を使用できません。デフォルト値は [オン] です。

スクリーン ショットを禁止

[オン] の場合、アプリの実行中スクリーンキャプチャができないようにします。また、ユーザーがアプリを切り替えると、アプリ画面が不明瞭になります。デフォルト値は [オン] です。

Android Near Field Communication(NFC)機能を使うと、コンテンツのデータ送受信を行う前に一部のアプリはスクリーンショットを撮ります。ラップされたアプリでこの機能を有効にするには、[スクリーンキャプチャを禁止]ポリシーを [オフ] に変更します。

デバイスのセンサーを禁止

[オン] の場合、アプリによる加速度計、モーションセンサー、ジャイロスコープなどのデバイスセンサーの使用を禁止します。デフォルト値は [オン] です。

NFCを禁止

[オン] の場合、アプリによるNear Field Communications(NFC)の使用を禁止します。デフォルト値は [オン] です。

アプリログを禁止

[オン] の場合、アプリによる業務用モバイルアプリ診断ログファシリティの使用が禁じられます。[オフ] の場合、アプリログが記録され、Secure Hubのメールサポート機能を使って収集されることがあります。デフォルトの値は、[オフ] です。

印刷を禁止

[オン] の場合、アプリによるデータの印刷が禁止されます。アプリにShareコマンドがある場合は、[ドキュメント交換(このアプリケーションで開く)]を [制限] または [禁止] に設定して、印刷を完全にブロックする必要があります。デフォルト値は [オン] です。

アプリのネットワーク アクセス

ネットワークアクセス

アプリケーションのネットワークアクティビティを禁止、許可、リダイレクトします。[制限なし] の場合、ネットワークアクセスに制限はありません。アプリはデバイスが接続されるネットワークに無制限にアクセスします。[禁止] の場合、すべてのネットワークアクセスがブロックされます。[内部ネットワークへトンネル] の場合、内部ネットワークに戻るアプリごとのVPNトンネルはすべてのネットワークアクセスに使用され、NetScaler分割トンネル設定が使用されます。

Secure WebおよびCitrix for Salesforceのデフォルト値は [内部ネットワークへトンネル] です。Secure Mail、Secure Notesのデフォルト値は、[制限なし] です。他のアプリのデフォルト値は [禁止] です。

証明書ラベル

証明書ラベルStoreFront証明書統合サービスと一緒に使用する場合、このラベルによって、このアプリに必要な特定の証明書が識別されます。ラベルが指定されないと、証明書を公開キー基盤(PKI)で使用できるようにはなりません。デフォルト値は空です(証明書が使用されません)。

優先VPNモード

内部ネットワークへトンネリングする接続に対して初期モードを設定します。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[完全VPNトンネル]を推奨します。シングルサインオン (SSO) を必須とする接続に対しては、[セキュアブラウズ] を推奨します。

VPNモードの切り替えを許可

内部ネットワークへトンネリングする場合、このポリシーは必要に応じたVPNモード間の自動的な切り替えを許可します。[オン] の場合、優先VPNモードで処理できない認証要求のために失敗するネットワーク要求は、代替モードで再試行されます。たとえば、クライアント証明書のサーバーチャレンジは、完全トンネルモードにより設定されますが、セキュアブラウズモードの使用時には設定されません。同様に、セキュアブラウズモードの使用時には、HTTP認証チャレンジでSSOが実行される可能性が高くなります。[オフ] の場合、優先VPNモードポリシーで指定されたモードが使用される唯一のモードです。デフォルトの値は、[オフ] です。

WiFiネットワークのホワイトリストへの追加

Wi-Fiネットワーク許可されたネットワークのコンマ区切り一覧。一覧にあるネットワークに接続された場合のみ、アプリが実行されます。一覧を空白のままにした場合、すべてのネットワークが許可されます。これによって、モバイルネットワークへの接続が影響を受けることはありません。デフォルトでは何も設定されていません。

アプリログ

デフォルトのログ出力

デフォルトで、Citrix Endpoint Managementアプリ診断ログファシリティによってどの出力媒体が使用されるかを決定します。選択肢としては、[ファイル]、[コンソール]、または両方です。デフォルト値は[ファイル]です。

デフォルトのログ レベル

業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。番号のレベルが高いほど、より詳細なログが含まれます。

  • 0 - ログを記録されない
  • 1 - 深刻なエラー
  • 2 - エラー
  • 3 - 警告
  • 4 - 情報メッセージ
  • 5 - 詳細な情報メッセージ
  • 6~15 - 1~10のデバッグレベル

デフォルト値はレベル4(情報メッセージ)です。

最大ログ ファイル数

ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小は2です。最大は8です。デフォルト値は2です。

最大ログファイルサイズ

ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。

アプリログのリダイレクト

[オン] の場合、アプリから業務用モバイルアプリ診断ファシリティへのシステムまたはコンソールのログを傍受して、リダイレクトします。[オフ] の場合、システムまたはコンソールのログのアプリ使用は傍受されません。デフォルト値は [オン] です。

ログの暗号化

[オン] の場合、Citrix Endpoint Managementがログを記録すると診断ログを暗号化します。[オフ] の場合、診断ログはアプリのサンドボックスに暗号化されないままで残ります。

注意:

構成されるログレベルによっては、ログの暗号化によってアプリのパフォーマンスやバッテリーの寿命に著しい影響が及ぶことがあります。

デフォルトの値は、[オフ] です。

アプリの地理位置情報およびジオフェンシング

地理位置情報機能を使用すると、ユーザーのデバイスの場所に基づいて、アプリの使用を制限できます。たとえば、アムステルダムに旅行に行くとします。ユーザーがアムステルダムにいる間、アプリの使用を許可した場合、ベルギーに入ると、アプリがロックされます。ユーザーがアムステルダムに戻ると、アプリがロック解除されて通常に使用できるようになります。

次の3つの設定で、地理位置情報を有効にします。

  • 経度(X座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。符号付きの度数形式(DDD.dddd)で指定します。たとえば、「-31.9635」などです。西半球の経度の前には、マイナス記号を付けます。
  • 緯度(Y座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。符号付きの度数形式(DDD.dddd)で指定します。たとえば、「43.06581」などです。南半球の緯度の前には、マイナス記号を付けます。
  • 半径は、アプリの操作をその中に限定するジオフェンスの半径です。メートル単位で指定します。0に設定すると、ジオフェンスは無効になります。

注:

[位置情報サービスを禁止] を有効にすると、ジオフェンシングは正しく機能しません。

デフォルトは0(無効)です。

ジオフェンシングをサポートしているアプリで、位置情報サービスを無効にしている場合、メッセージが表示され、ユーザーはアプリを終了するか、[設定]をクリックしてAndroidデバイスの[設定]画面に移動できます。ユーザーが位置情報サービスを有効にすると、アプリに戻って引き続きアプリを使用できます。

半径と位置情報サービス設定が正しい場合、アプリはジオフェンスが侵害されていないかチェックします。現在の場所と中心点との距離が指定された半径を超えている場合、ユーザーはアプリを使用できません。この場合、ユーザーにはアプリを終了するオプションが表示されます。アプリの使用を続けるためにはユーザーはフェンス内にいる必要があります。

現在の場所と中心点との距離が指定された半径を超えていない場合、ユーザーはアプリの使用を続けることができます。

アプリは位置情報をネットワークプロバイダー(WiFi、3G、または4G)またはGPSプロバイダーに確認します。デバイスは、GPSおよびモバイルのキャリアネットワークをあわせて確認することもできます。これによって、位置情報をより早く取得できます。

2分間のタイムアウト設定で、位置情報の確認により長い時間を設定できます。

注:

正確な位置情報を取得し、ユーザーがWi-FiまたはGPSを無効にすることでジオフェンスを回避することを防ぐためには、ポリシーオンラインセッションを必須とする[オン] に設定することをお勧めします。

ShareConnectのアプリ設定

パスワードの保存

[オン] の場合、ユーザーはリモートコンピューターのユーザー名とパスワードを保存できます。デフォルト値は [オン] です。

Google analytics

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名] の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

Secure Mailアプリの設定

Secure MailのExchange Server

Exchange ServerまたはIBM Notes Travelerサーバー(iOSのみ)の完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)。デフォルト値は空です。管理者がこのフィールドにドメイン名を入力した場合、ユーザーが編集することはできません。管理者がこのフィールドに何も入力しない場合、ユーザーは独自のサーバー情報を入力できます。

注意:

既存のアプリに対してこのポリシーを変更する場合、ユーザーはポリシーの変更を適用するには、アプリの削除と再インストールを行う必要があります。

Secure Mailユーザードメイン

Secure MailユーザードメインExchangeまたはNotesユーザー(iOSのみ)のデフォルトのActive Directoryドメイン名。デフォルト値は空です。

バックグラウンド ネットワーク サービス

バックグラウンドネットワークアクセスで許可されている、サービスアドレスのFQDNとポート。このアドレスは、Exchange ServerまたはActiveSyncサーバーの場合があります。これは、内部ネットワーク、またはSecure Mailが接続するそのほかのネットワークのいずれかにあります(例:mail.example.com:443)。

このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、NetScaler Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。

デフォルト値は空で、バックグラウンドネットワークサービスは使用できません。

バックグラウンドサービスチケットの有効期間

バックグラウンドネットワークサービスチケットが有効な状態で維持される期間。NetScaler Gatewayを介してSecure MailがActiveSyncを実行するExchange Serverに接続する場合、Citrix Endpoint Managementは内部Exchange Serverへの接続にSecure Mailが使用するトークンを発行します。この設定により、認証のために新しいトークンおよびExchange Serverへの接続を要求することなくSecure Mailがトークンを使用できる期間が決まります。有効期限が切れた場合は、ユーザーは再度ログオンして新しいトークンを生成する必要があります。デフォルト値は168時間(7日)です。

バックグラウンドネットワークサービスゲートウェイ

バックグラウンドネットワークサービスに使用するfqdn:port形式の代替ゲートウェイアドレスです。これは、内部Exchange Serverへの接続にSecure Mailが使用するNetScaler Gateway FQDNおよびポート番号です。NetScaler Gateway構成ユーティリティで、Secure Ticket Authority(STA)を構成し、ポリシーを仮想サーバーに結合する必要があります。NetScaler GatewayでのSTAの構成について詳しくは、「Configuring the Secure Ticket Authority on NetScaler Gateway」を参照してください。

デフォルト値は空で、代替ゲートウェイが存在しないことを示します。このポリシーを構成する場合、ネットワークアクセスポリシーを[内部ネットワークへトンネル]に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、NetScaler Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。

連絡先のエクスポート

重要:

ユーザーがExchange Serverに直接アクセスできる(つまりNetScaler Gatewayの外側にいる)場合、この機能を有効にしないでください。それ以外の場合は、デバイスとExchangeで連絡先の重複が発生します。

[オフ] の場合、デバイスに対するSecure Mail連絡先の一方向同期、およびSecure Mail連絡先の共有(vCardとして)が禁止されます。デフォルトの値は、[オフ] です。

エクスポートする連絡先フィールド

iOSのアドレス帳にエクスポートされる連絡先のフィールドを制御します。[すべて] の場合、連絡先のすべてのフィールドがエクスポートされます。[名前と電話] の場合、名前と電話に関連するすべての連絡先フィールドがエクスポートされます。[名前、電話、メール] の場合、名前、電話、メールに関連するすべての連絡先フィールドがエクスポートされます。デフォルト値は [すべて] です。

すべてのSSL証明書を承認する

[オン] の場合、Secure MailはすべてのSSL証明書(有効または無効)を受け入れ、アクセスを許可します。[オフ] の場合、証明書エラーが発生して警告が表示されると、Secure Mailはアクセスをブロックします。デフォルトの値は、[オフ] です。

Information Rights Management

[オン] の場合、Secure MailはExchange Information Rights Management(IRM)機能をサポートします。デフォルトの値は、[オフ] です。

ロック画面上の通知を制御

メールおよびカレンダー通知をロックされたデバイス画面に表示するかどうかを制御できます。[許可] の場合、通知に含まれているすべての情報が表示されます。[禁止] の場合、通知が表示されません。[メールの送信者またはイベントのタイトル] の場合、メール送信者の名前またはカレンダーイベントのタイトルのみが表示されます。[件数のみ] の場合、メールおよび会議出席依頼数のみが表示され、カレンダー通知の時刻も表示されます。デフォルト値は [許可] です。

安全な接続(SSL)を使用する

[オン] の場合、Secure Mailは安全な接続を使用します。[オフ] の場合、Secure Mailは安全な接続を使用しません。デフォルトは [オン] です。

メール検索の制限

メールサーバー検索に含める日数を制限することで、モバイルデバイスからアクセスできるメール履歴の量を制限します。モバイルデバイスに同期されるメールの量を制限するには、[最大同期周期]ポリシーを構成します。デフォルト値は [無制限] です。

デフォルトの同期間隔

Secure Mailのデフォルトの同期間隔を指定します。Secure Mailユーザーは、デフォルト値を変更できます。

Exchange ActiveSyncメールボックスポリシー設定である最大メール期間フィルターは、このポリシーより優先されます。デフォルトの同期間隔を[最大メール期間フィルター]より長い時間を指定すると、代わりに[最大メール期間フィルター]設定が使用されます。Secure Mailには、ActiveSyncの電子メールの[最大メール期間フィルター]設定より短い同期間隔値のみが表示されます。

デフォルト値は3日です。

許可される最大同期間隔

デバイスでの検索を指定した期間に制限します。検索には、2つの個別のポリシーを使用して構成するローカル検索とサーバー検索が含まれます。ポリシーを有効にするには、ユーザーデバイスとサーバーそれぞれでポリシーを設定します。

有効な値は次のとおりです。

  • 3日間
  • 1週間
  • 2週間
  • 1か月
  • すべて

デフォルト値は [すべて] です。

最大同期間隔

同期周期を制限することで、モバイルデバイスにローカルに保存するメールの量を制御します。

デバイスでメールサーバーを検索できる周期を制限するには、[メール サーバー検索の制限]ポリシーを構成します。

有効な値は次のとおりです。

  • 3日間
  • 1週間
  • 2週間
  • 1か月
  • すべて

デフォルト値は [すべて] です。

デフォルトの同期間隔

Secure Mailのデフォルトの同期間隔を指定します。Secure Mailユーザーは、デフォルト値を変更できます。

Exchange ActiveSyncメールボックスポリシー設定である最大メール期間フィルターは、このポリシーより優先されます。デフォルトの同期間隔を[最大メール期間フィルター]より長い時間を指定すると、代わりに[最大メール期間フィルター]設定が使用されます。Secure Mailには、ActiveSyncの電子メールの[最大メール期間フィルター]設定より短い同期間隔値のみが表示されます。

デフォルト値は3日です。

Wi-Fiを経由する添付ファイルのダウンロードを有効化

[オン] の場合、Secure Mailの[添付ファイルのダウンロード]オプションが有効になり、ユーザーはデフォルトで、内部Wi-Fiネットワーク経由で添付ファイルをダウンロードできます。[オフ] の場合、Secure Mailの[添付ファイルをダウンロード]オプションが無効になり、ユーザーはデフォルトではWi-Fi経由で添付ファイルをダウンロードできません。デフォルトの値は、[オフ] です。

メールの下書きの自動保存を有効化

[オン] の場合、Secure Mailは[Drafts]フォルダーへのメッセージの自動保存をサポートします。自動保存は20秒単位で実行されます。デフォルト値は [オン] です。

Google analytics

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名] の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

週番号を有効化

[オン]にすると、カレンダー表示に週番号が含まれます。デフォルトの値は、[オフ] です。

最初の認証メカニズム

このポリシーでは、最初のプロビジョニング画面の使用時に [アドレス] フィールドの入力にMDXが提供するメールサーバーアドレスを使用すべきか、ユーザーのメールアドレスを使用すべきかを示します。

デフォルト値は、「MDXが提供するメールサーバーアドレスを使用する」 です。

最初の認証資格情報

このポリシーでは、最初の使用時にプロビジョニング画面にユーザー名として選択すべき値を定義します。

デフォルト値は、[ユーザープリンシパル名] です。

Web/オーディオ会議の種類

会議をセットアップするときに、ユーザーが構成できる会議の種類を制御します。[GoToMeetingおよびユーザー入力] の場合、[作成]または[イベントの編集] 画面で [Web/オーディオ] セクションをタップすると[GoToMeeting]または[そのほかの電話会議]を選択できます。[そのほかの電話会議] は、ユーザーが手動で会議情報を入力できます。[ユーザー入力のみ] の場合、ユーザーを [そのほかの電話会議] 画面に直接移動します。デフォルトは、[GoToMeetingおよびユーザー入力] です。

S/MIMEパブリック証明書のソース

S/MIMEパブリック証明書のソースを指定します。[Exchange] の場合、Secure MailはExchange Serverから証明書を取得します。[LDAP] の場合、Secure MailはLDAPサーバーから証明書を取得します。デフォルト値は [Exchange] です。

LDAPサーバーアドレス

LDAPサーバーアドレス(ポート番号を含む)。デフォルト値は空です。

LDAPベースDN

LADPベース識別名。デフォルト値は空です。

LDAPに匿名でアクセスする

このポリシーが [オン] の場合、Secure Mailは事前の認証なしにLDAPを検索できます。デフォルトは [オフ] です。

[オン] の場合、Active Directoryユーザー名およびパスワードのみ使用してLDAPで認証が行われます。証明書ベースの認証およびその他の認証モードはサポートされていません。

フィッシング報告の方法

フィッシング報告機能が有効になっている場合、このポリシーでフィッシング詐欺の報告方法を制御します。[添付ファイルで報告] を選択して、フィッシングメールを.emlファイルで送信します。[転送で報告] を選択して、メールをターゲットアドレスに転送します。デフォルト値は [添付ファイルで報告] です。

Slackの有効化

このポリシーを有効にすると、ユーザーはSecure MailでSlack機能を利用できます。デフォルトは [無効] です。

Slackワークスペース名

ユーザーがSecure MailからSlackにログインするときに、自動入力されるワークスペース名を指定します。このポリシーはオプションです。名前を指定しないと、ユーザーは名前を入力します。

Secure Notesアプリの設定

Secure Notesのストレージオプション

Secure Notesを使用すると、ユーザーが作成するメモのストレージオプションを設定できます。[ShareFileとExchange Server] の場合、ユーザーはメモのストレージオプションを選択できます。[ShareFileのみ] の場合、メモはShareFileに格納されます。[Exchangeのみ] の場合、メモはExchange Serverに格納されます。デフォルトの値は [ShareFileとExchange Server] です。

Secure NotesのExchange Server

Exchange Serverの完全修飾ドメイン名(FQDN)。デフォルト値は空です。

Google analytics

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名] の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

Secure Notesユーザードメイン

ExchangeユーザーのデフォルトActive Directoryドメイン名。デフォルト値は空です。

バックグラウンド ネットワーク サービス

バックグラウンドネットワークアクセスで許可されている、サービスアドレスのFQDNとポート。これは、内部ネットワークまたはSecure Mailが接続するそのほかのネットワークのいずれかにあるExchange ServerまたはActiveSyncサーバーなどです(例:mail.example.com:443)。

このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、NetScaler Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。

デフォルト値は空で、バックグラウンドネットワークサービスは使用できません。

バックグラウンドサービスチケットの有効期間

バックグラウンドネットワークサービスチケットが有効な状態で維持される期間。有効期限が切れた後は、チケットの再発行のためエンタープライズログオンが求められます。デフォルト値は168時間(7日)です。

バックグラウンドネットワークサービスゲートウェイ

バックグラウンドネットワークサービスに使用するfqdn:port形式の代替ゲートウェイアドレスです。デフォルト値は空で、代替ゲートウェイはありません。

すべてのSSL証明書を承認する

[オン] の場合、Secure NotesはすべてのSSL証明書(有効または無効)を受け入れ、アクセスを許可します。[オフ] の場合、証明書エラーが発生して警告が表示されると、Secure Notesはアクセスをブロックします。デフォルトの値は、[オフ] です。

Information Rights Management

[オン] の場合、Secure NotesはExchange Information Rights Management(IRM)機能をサポートします。デフォルトの値は、[オフ] です。

Secure Tasksアプリの設定

バックグラウンド ネットワーク サービス

バックグラウンドネットワークアクセスで許可されている、サービスアドレスのFQDNとポート。これは、内部ネットワークまたはSecure Mailが接続するそのほかのネットワークのいずれかにあるExchange ServerまたはActiveSyncサーバーなどです(例:mail.example.com:443)。

このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、NetScaler Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。

デフォルト値は空で、バックグラウンドネットワークサービスは使用できません。

バックグラウンドサービスチケットの有効期間

バックグラウンドネットワークサービスチケットが有効な状態で維持される期間。有効期限が切れた後は、チケットの再発行のためエンタープライズログオンが求められます。デフォルト値は168時間(7日)です。

Google analytics

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名] の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

バックグラウンドネットワークサービスゲートウェイ

バックグラウンドネットワークサービスに使用するfqdn:port形式の代替ゲートウェイアドレスです。デフォルト値は空で、代替ゲートウェイはありません。

すべてのSSL証明書を承認する

[オン] の場合、Secure TasksはすべてのSSL証明書(有効または無効)を受け入れ、アクセスを許可します。[オフ] の場合、証明書エラーが発生して警告が表示されると、Secure Tasksはアクセスをブロックします。デフォルトの値は、[オフ] です。

Secure Webアプリの設定

許可または禁止するWebサイト

Secure Webは、通常Webリンクをフィルター処理しません。このポリシーを使って、許可されたサイトまたは禁止されたサイトの特定の一覧を構成できます。コンマ区切りの一覧形式でURLのパターンを入力して、WebブラウザーでアクセスできるWebサイトを制限します。一覧内の各パターンには、プラス記号(+)またはマイナス記号(-)のプレフィックスが付いています。一致するものが見つかるまで、一覧の順序どおりにURLがパターンと比較されます。一致が見つかると、プレフィックスにより次のような処理が指示されます。

  • マイナス(-)記号の場合、そのURLへのアクセスが禁止されます。この場合、解決できないWebサーバーアドレスとしてURLが処理されます。
  • プラス(+)記号の場合、そのURLへのアクセスが許可されます。
  • パターンの最初の文字がプラス(+)またはマイナス(-)のどちらでもない場合は、+(許可)とみなされます。
  • URLが一覧のパターンのいずれとも一致しない場合、そのURLは許可されたものとなります。

いずれのパターンとも一致しないURLへのアクセスを禁止するには、一覧の最後にマイナス(-)の付いたアスタリスク(-*)を追加します。次に例を示します。

  • ポリシーの値「+http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-*」の場合、mycorp.comドメイン内ではHTTP URLを許可してほかの場所ではブロックし、HTTPSおよびFTPのURLを許可してそのほかすべてのURLをブロックします。
  • ポリシーの値「+http://*.training.lab/*,+https://*.training.lab/*,-*」の場合、HTTPまたはHTTPSを介したTraining.labドメイン(イントラネット)の任意のサイトをユーザーは開くことができますが、プロトコルに関係なくFacebook、Google、HotmailなどのパブリックURLは開くことができません。

デフォルト値は空です(すべてのURLが許可される)。

事前ロードするブックマーク

Secure Webブラウザーに対して事前に読み込まれたブックマークのセットを定義します。ポリシーは、フォルダー名、ブックマーク名、およびURLを1組としてコンマ区切りの一覧形式で入力します。各組は「<フォルダー名>,<ブックマーク名>,<URL>」形式で入力します。フォルダー名とブックマーク名は必要に応じて二重引用符(”)で囲みます。

たとえば、ポリシー値「,"Mycorp, Inc. home page",http://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",http://www.mycorp.com/IR/Contactus.aspx」は3つのブックマークを定義します。1つ目のブックマークは「Mycorp, Inc. home page」という名前のプライマリリンク (フォルダー名なし) です。2つ目のブックマークは「MyCorp Links」という名前のフォルダーに「Account logon」という名前で追加されます。3つ目のブックマークは「MyCorp Links」フォルダーの「Investor Relations」サブフォルダーに「Contact us」という名前で追加されます。

デフォルト値は空です。

ホームページのURL

Secure Webの起動時に読み込むWebサイトを定義します。デフォルト値は空です(デフォルトのスタートページ)。

ブラウザーのユーザーインターフェイス

このポリシーでは、Secure Webブラウザーのユーザーインターフェイスコントロールの動作と表示を指定します。通常、ユーザーはすべてのコントロールを使用できます。Secure Webのユーザーインターフェイスには、次のページに進む、前のページに戻る、アドレスバー、更新または停止用などのコントロールがあります。このポリシーを構成して、一部のコントロールの使用および表示を制限できます。デフォルト値は、[すべてのコントロールを表示]です。

オプション:

  • すべてのコントロールを表示。すべてのコントロールが表示され、ユーザーはそのすべてを使用できます。
  • 読み取り専用アドレスバー。すべてのコントロールが表示されますが、ユーザーはアドレスフィールドを編集できません。
  • アドレスバーを隠す。アドレスバーが非表示になり、ほかのすべてのコントロールが表示されます。
  • すべてのコントロールを隠す。ツールバー全体を非表示にして、フレームのないブラウジング環境を提供します。

Webパスワードのキャッシュを有効化

Webリソースへアクセスまたはそれを要求する場合に、Secure Webユーザーが資格情報を入力すると、このポリシーによりデバイス上でパスワードがSecure Webによりサイレントキャッシュされるかどうかが決まります。このポリシーは、認証ダイアログに入力されたパスワードに適用され、Webフォームに入力されたパスワードには適用されません。

[オン] の場合、Webリソースの要求時にユーザーが入力するすべてのパスワードがSecure Webによりキャッシュされます。[オフ] の場合、Secure Webはパスワードをキャッシュせずに既存のキャッシュ済みパスワードを削除します。デフォルトの値は、[オフ] です。

Google analytics

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名] の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

Cookieを無効化

[オン] の場合、ユーザーがSecure Webを終了するとすべてのSecure WebのCookieを削除します。その結果、ユーザーがSecure Webを起動するたびに、Webサイト設定やユーザー名などの情報を再入力する必要があります。デフォルトの値は、[オフ] です。

HTML5ローカル ストレージを無効化

[オン] の場合、ユーザーはWebサイトデータをHTML 5ローカルストレージに保存できなくなります。ローカルストレージではファイル名がプレーンテキストとして保存されるため、Internet Explorerなどのデスクトップアプリから表示できます。大半のWebサイトはHTML5ローカルストレージなしで機能します。デフォルトの値は、[オフ] です。