iOSアプリのMDXポリシー

この文書では、iOSアプリケーションに対するMDXポリシーについて説明します。ポリシー設定は、アプリの追加時に、ポリシーXMLファイルで直接変更するか、またはCitrix Endpoint Managementコンソールで変更できます。

認証

デバイスのパスコード

注:

このポリシーはiOS 9デバイスにのみ適用されます。

[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。Appleのファイル暗号化機能を使用してアプリデータを暗号化するには、デバイスパスコードが必要です。デバイス上のすべてのアプリデータを暗号化します。デフォルトの値は、[オフ] です。

アプリのパスコード

[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。デフォルト値は [オン] です。

すべてのアプリに対して無操作タイマーを構成するには、[設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMER値を分単位で設定します。無通信タイマーのデフォルト値は15分間です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。

オンラインセッションを必須とする

[オン] の場合、企業ネットワークおよびアクティブなセッションへ接続する必要があります。[オフ] の場合、アクティブなセッションは必要ありません。デフォルトの値は、[オフ] です。

オンライン セッションを必須とするまでの猶予期間(分)

オンラインセッションを必要とするポリシーにより使用を停止されるまで、オフラインでアプリケーションを使用できる分数を指定します。デフォルト値は0(猶予期間なし)です。

最大オフライン期間 (時間)

Citrix Endpoint Managementがアプリ権利の再確認とポリシー更新を行わずにアプリを実行できる最大期間を定義します。有効期限が切れた際には、必要に応じてサーバーへのログオンを要求されます。デフォルトは72時間(3日)です。最短の期間は1時間です。

期間が終了する30分前、15分前、5分前に、ログオンするようユーザーに警告メッセージが表示されます。期間終了後は、ユーザーがサインオンするまでアプリはロックされます。

代替NetScaler Gateway

認証と、このアプリとのMicro VPNセッションに使用する特定の代替NetScaler Gatewayのアドレスです。これはオプションのポリシーで、[オンラインセッションを必須とする]ポリシーと組み合わせて使用すると、アプリに特定のゲートウェイへの再認証を強制します。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。空のままにしておいた場合は、常にサーバーのデフォルトゲートウェイが使用されます。デフォルト値は空です。

デバイスのセキュリティ

ジェイルブレイクまたはRoot化を禁止

[オン] の場合、デバイスがジェイルブレイクされたまたはRoot化された時、アプリがロックされます。[オフ] の場合、デバイスがジェイルブレイクされたまたはRoot化された時でも、アプリを実行できます。デフォルト値は [オン] です。

ネットワーク要件

Wi-Fiを必須とする

[オン] の場合、デバイスがWi-Fiネットワークに接続されていない時にアプリがロックされます。[オフ] の場合、デバイスに4G/3G、LAN接続、またはWi-Fi接続などのアクティブな接続がある場合でもアプリを実行できます。デフォルトの値は、[オフ] です。

その他のアクセス

アプリ更新猶予期間(時間)

アプリ更新を利用できることが検出された後に、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日) です。

注:

値に0を使用することは推奨されません。更新がダウンロードされてインストールされるまで、実行中のアプリが即座に使用できなくなるためです。この場合、必要な更新を適用するために、ユーザーが強制的にアプリを終了させられることがあります(作業が破棄されてしまう可能性があります)。

ロック時にアプリデータを消去

アプリがロックされた時に、データを消去し、アプリをリセットします。オフの場合、アプリがロックされてもアプリデータは消去されません。デフォルトの値は、[オフ]です。

アプリは次のいずれかの理由によりロックされます。

  • アプリのユーザー権の喪失
  • アプリのサブスクリプションの削除
  • アカウントが削除されました
  • Secure Hubがアンインストールされました
  • 指定回数を超えたアプリ認証失敗
  • ジェイルブレイクされたデバイスの検出(ポリシー設定ごと)
  • ほかの管理措置によりロック状態にされたデバイスの検出

アクティブなポーリング周期(分)

アプリを起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイス状態を判別します。Citrix Endpoint Managementを実行中のサーバーへの到達が可能だと推測されると、フレームワークは、デバイスのロックと消去の状態、およびアプリの有効または無効状態に関する情報を返します。サーバーに到達できてもできなくても、アクティブなポーリング期間の間隔を基にして、以降のポーリングがスケジュールされます。期間が終了した後、新しいポーリングが再度試行されます。デフォルト値は60分間です。

重要:

リスクの高いアプリにのみこの値を低く設定します。そうでないと、パフォーマンスが低下する可能性があります。

最小データ保護クラス

注:

このポリシーはiOS 9デバイスでのみ適用されます。

ファイル操作に使用する最小iOSデータ保護クラスを確立します。デフォルト値はComplete unless openです。

  • Completeの場合、NSFileProtectionCompleteを使用します。デバイスがロックされているときはファイルを使用できません。
  • Complete unless openの場合、NSFileProtectionCompleteUnlessOpen以上を使用します。デバイスがロックされたときにファイルが開いていた場合は、アプリでファイルを引き続き使用できます。
  • Until first unlockの場合、NSFileProtectionCompleteUntilFirstUserAuthentication以上を使用します。デバイスを再起動すると、ユーザーが初めてデバイスのロックを解除するまで、ファイルはロックされ読み取れません。
  • Noneの場合、特定のデータ保護クラスを使用しません。ファイルいつでも読み取りまたは書き込みできます。

重要:

開発者はバックグラウンド処理(ロックされたデバイスでのコンテンツの更新またはバックグラウンドの同期など)を実行するラップされたアプリをテストして確認する必要があります。

暗号化

最小データ保護クラス

注:

このポリシーはiOS 9デバイスでのみ適用されます。このポリシーは表示されません。このポリシーをCitrix Endpoint Managementで確認できるようにするには、(Applications/Citrix/MDXToolkit/dataにある)アプリのpolicy_metadata.xmlファイルを開き、DocumentExchangeExceptionListセクションでPolicyHiddenの値をfalseに変更します。アプリをラップ後、Citrix Endpoint Managementにアプリを追加すると、ポリシーが表示されます。

ファイル操作に使用する最小iOSデータ保護クラスを確立します。Completeの場合、NSFileProtectionCompleteを使用します。デバイスがロックされているときはファイルを使用できません。Complete unless openの場合、NSFileProtectionCompleteUnlessOpen以上を使用します。デバイスがロックされた時にファイルが開いていた場合は、アプリでファイルを引き続き使用できます。Until first unlockの場合、NSFileProtectionCompleteUntilFirstUserAuthentication以上を使用します。デバイスを再起動すると、ユーザーが初めてデバイスのロックを解除するまで、ファイルはロックされ読み取れません。Noneの場合、特定のデータ保護クラスを使用しません。ファイルはいつでも読み取りまたは書き込みが可能です。

デフォルト値はComplete unless openです。

暗号化を有効化

注:

このポリシーは、iOS 9デバイス上ではデータベースおよびキーチェーンの暗号化のみを有効にします。iOS 9デバイスでファイルの暗号化を有効にするには、デバイスパスコードポリシーを [オン] にします。それ以前のiOSデバイスの場合は、このポリシーはファイル、データベース、キーチェーンの暗号化を有効にします。

[オフ] の場合、デバイスに格納されているデータは暗号化されません。[オン] の場合、デバイスに格納されているデータは暗号化されます。デフォルト値は [オン] です。

注意:

アプリの展開後にこのポリシーを変更すると、ユーザーはアプリを再インストールする必要があります。

データベースの暗号化から除外する対象

自動暗号化から除外するデータベースの一覧です。特定のデータベースのデータベース暗号化を禁止するには、このコンマで区切った正規表現の一覧にエントリを追加します。データベースパス名が正規表現のうちのいずれかと一致する場合、そのデータベースは暗号化から除外されます。排除パターンはPosix 1003.2 Extended Regular Expressions構文をサポートします。パターンマッチングでは大文字小文字が区別されません。

例:

\.db$,\.sqlite$ は、「.db」または「.sqlite」のいずれかで終わるデータベースパス名を除外します。

\/Database\/unencrypteddb\.dbは、Databaseサブフォルダーにあるデータベースunencrypteddb.dbと一致します。

\/Database\/ は、パス内に /Database/ を含んでいるすべてのデータベースと一致します。

デフォルト値は空です。

ファイルの暗号化から除外する対象

自動的に暗号化されないファイルの除外一覧。特定のファイルのセットに対して暗号化を禁止するには、このコンマで区切った正規表現の一覧にエントリを追加します。ファイルパス名が正規表現のうちのいずれかと一致する場合、そのファイルは暗号化から除外されます。排除パターンはPosix 1003.2 Extended Regular Expressions構文をサポートします。パターンマッチングでは大文字小文字が区別されません。

例:

\.log$,\.dat$ は、「.log」または「.dat」のいずれかで終わるデータベースパス名を除外します。

\/Documents\/unencrypteddoc\.txtは、Documentsサブフォルダーにあるファイルunencrypteddoc.txtの内容と一致します。

\/Documents\/UnencryptedDocs\/.*\.txtは、サブパス/Documents/UnencryptedDocs/の下にある「.txt」ファイルと一致します。

デフォルト値は空です。

警告:

Secure Editを使用してファイルを暗号化し、その後、別のアプリ(Secure MailまたはネイティブiOS Mail)を使用してこれを送信すると、ファイルは暗号化されません。

アプリ相互作用

切り取りおよびコピー

このアプリでのクリップボードへの切り取りおよびコピー操作を禁止、許可、または制限します。[制限] の場合、コピーしたクリップボードデータは、MDXアプリのみが使用できるプライベートクリップボードに配置されます。デフォルト値は、[制限] です。 オプション:[制限なし][禁止]、または [制限]

貼り付け

このアプリでのクリップボードへの貼り付け操作を禁止、許可、または制限します。[制限] の場合、クリップボードデータは、MDXアプリのみが使用できるプライベートクリップボードから貼り付けられます。デフォルト値は [制限なし] です。 オプション:[制限なし][禁止]、または [制限]

ドキュメント交換(このアプリケーションで開く)

このアプリのドキュメント交換操作を禁止、許可、制限します。[制限]の場合、ドキュメントはMDXアプリおよび[このアプリケーションで開く]制限の例外一覧で指定されたアプリの例外とのみ交換できます。

[制限なし]の場合、[暗号化を有効化]ポリシーを[オン]に設定し、ユーザーがラップされていないアプリでドキュメントを開けるようにします。受信するアプリケーションがラップされていないか、または暗号化が無効になっている場合、Citrix Endpoint Managementはドキュメントを暗号化します。

ポリシーがカメラ、オーディオ、クリップボード、または印刷の機能を禁止する場合、各機能は最後に表示されたタイムスタンプを保持します。ユーザーにはオプションの状態のメッセージが表示されます。デフォルト値は、[制限] です。 オプション:[制限なし][禁止]、または [制限]

[このアプリケーションで開く] 制限の例外一覧

[ドキュメント交換(このアプリケーションで開く)]ポリシーが[制限]の場合、MDXアプリは管理されていないApp IDのコンマ区切りの一覧とドキュメントを共有できます。この共有は、[ドキュメント交換(このアプリケーションで開く)]ポリシーが[制限]になっており、[暗号化を有効化]ポリシーが[オン]になっている場合でも行われます。デフォルトの例外一覧は、Office 365アプリを許可します。

com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook

このポリシーについては、Office 365アプリだけがサポートされます。

注意:

このポリシーのセキュリティについて予想される事柄について検討する必要があります。除外一覧を使うと、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。セキュリティを強化するため、このポリシーはCitrix Endpoint Managementコンソールには表示されません。このポリシーをCitrix Endpoint Managementで確認できるようにするには、(Applications/Citrix/MDXToolkit/dataにある)アプリのpolicy_metadata.xmlファイルを開き、DocumentExchangeExceptionListセクションでPolicyHiddenの値をfalseに変更します。アプリをラップ後、Citrix Endpoint Managementにアプリを追加すると、[このアプリケーションで開く]制限の例外一覧ポリシーが表示されます。

接続のセキュリティ レベル

接続で使用されるTLS/SSLの最低バージョンを規定します。[TLS] の場合、接続はすべてのTLSプロトコルをサポートします。[SSLv3とTLS] の場合、接続でSSL 3.0およびTLSがサポートされます。デフォルト値は [TLS] です。

受信ドキュメント交換 (このアプリケーションで開く)

このアプリのドキュメント交換操作を禁止、許可、制限します。[制限]の場合、ドキュメントはMDXアプリとのみ交換できます。デフォルト値は [制限なし] です。

[禁止] または [制限] の場合、受信ドキュメント交換のホワイトリストポリシーを使用してこのアプリにドキュメントを送信できるアプリを指定します。 オプション:[制限なし][禁止]、または [制限]

明示的なログオフ通知

[有効] の場合、アプリは明示的にアクティブになり、ユーザーのログオフを通知します。[無効] の場合、アプリはユーザーのログオフ中アクティブではありません。[共有デバイスのみ] に設定されている場合、デバイスが共有デバイスとして構成されているときのみ、アプリはユーザーのログオフ中にアクティブになります。デフォルトでは、Secure Mail以外のすべてのアプリで [無効] です。Secure Mailのデフォルトは、[共有デバイス] です。

受信ドキュメント交換のホワイトリスト

受信ドキュメント交換が[制限]または[禁止]に設定されている時に、このアプリIDのコンマ区切り一覧 (非MDXアプリを含む) に IDが含まれるアプリは、このアプリへのドキュメント送信が許可されます。

アプリのURLスキーム

iOSアプリは、http://などハンドル特定のスキームに登録された他のアプリにURL要求を発信できます。この機能により、アプリが他のアプリに支援要求を送信するメカニズムが提供されます。このポリシーでは、処理のためにこのアプリに渡されるスキーム(すなわち受信URL)がフィルター処理されます。デフォルト値は空で、すべての登録済みアプリのURLスキームが禁止されることを意味します。

このポリシーでは、コンマで区切られたパターンの一覧の形式を使用します。各パターンの前にプラス記号(+)またはマイナス記号(-)が付きます。一致が見つかるまで、一覧の順序で受信URLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて処理が実行されます。マイナス(-)接頭辞では、URLをこのアプリに渡すことが禁止されます。プラス(+)接頭辞では、処理のためにURLをアプリに渡すことが許可されます。パターンの最初の文字がプラス(+)またはマイナス(-)のどちらでもない場合は、+(許可)とみなされます。受信URLが一覧のいずれのパターンにも一致しない場合、そのURLは禁止されます。

次の表は、App URLスキームの例を示しています。

スキーム URLスキームを必要とするアプリ 目的
ctxmobilebrowser Secure Web- Secure WebによるHTTPの使用を許可します。他のアプリからのURLです。
ctxmobilebrowsers Secure Web- Secure WebによるHTTPSの使用を許可します。他のアプリからのURLです。
ctxmail Secure Mail- Secure MailによるHTTPの使用を許可します。他のアプリからのURLです。
COL-G2M GoToMeeting- ラップされたGoToMeetingアプリが会議要求を制御するのを許可します。
ctxsalesforce Citrix for Salesforce- Citrix for SalesforceによるSalesforce要求の処理を許可します。
wbx WebEx ラップされたWebExアプリが会議要求を制御するのを許可します。

許可するURL

iOSアプリは、http://などハンドル特定のスキームに登録された他のアプリにURL要求を発信できます。この機能により、他のアプリを支援するために、アプリが要求を送信するメカニズムが提供されます。

このポリシーは、処理のためこのアプリから別のアプリに渡されているURLのフィルターを実行します(つまり発信URL)。

このポリシーでは、コンマで区切られたパターンの一覧の形式を使用します。各パターンの前にプラス記号(+)またはマイナス記号(-)が付きます。一致が見つかるまで、一覧の順序で発信URLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて処理が実行されます。マイナス(-)接頭辞では、URLを別のアプリに渡すことが禁止されます。プラス(+)接頭辞では、処理のためにURLを別のアプリに渡すことが許可されます。パターンの最初の文字がプラス(+)またはマイナス(-)のどちらでもない場合は、+(許可)とみなされます。等号(=)で区切られた値のペアは、最初の文字列が出現したら2番目の文字列で置き換えるという置換処理を示します。検索文字列の先頭に正規表現「^」を使用すると、先頭部分が一致しているURLを検出できます。発信URLが一覧のパターンと一致しない場合、そのURLはブロックされます。

デフォルト:

^http:

^https:

^mailto:=ctxmail:

+^ctxmailex:

+^ctxmailex2;

+^citrixreceiver:

+^telprompt:

+^tel:

+^col-g2m-2:

+^col-g2w-2:

+^col-g2t-2;

+^mapitem:

+^maps:ios_addr

+^itms-services:

+^itms-apps

+^ctx-sf

+^lmi-g2m:

+^lync:

何も設定しないままにすると、次を除き、すべてのURLがブロックされます。

  • http:
  • https:
  • +citrixreceiver: +tel:

次の表は、許可されたURLの例を示しています。

URL形式 説明
^mailto:=ctxmail: すべてのmailtoのURLがSecure Mailで開きます。
^http: すべてのHTTP URLがSecure Webで開きます。
^https: すべてのHTTPS URLがSecure Webで開きます。
^tel: ユーザーによる通話発信を許可します。
-//www.dropbox.com 管理されたアプリから発信されたDropbox URLをブロックします。
+^COL-G2M: 管理されたアプリがGoToMeetingクライアントアプリを開くのを許可します。
-^SMS: メッセージングチャットクライアントの使用をブロックします。
-^wbx: 管理対象アプリがWebExクライアントアプリを開くのをブロックします。
+^ctxsalesforce: Citrix for SalesforceによるSalesforceサーバーとの通信を許可します。

アプリ制限

重要:

電話機能へのアクセスまたは使用からアプリをブロックするポリシーのセキュリティについて予想される事柄に関し、検討の必要があります。これらのポリシーが [オフ] に設定されている場合、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。

カメラを禁止

[オン] の場合、アプリによるカメラハードウェアの直接使用が禁止されます。デフォルト値は [オン] です。

フォト ライブラリを禁止

[オン] の場合、アプリがデバイス上のフォトライブラリにアクセスするのを防ぎます。デフォルト値は [オン] です。

localhost接続をブロック

[オン] の場合、アプリがループバックアドレス(127.0.0.1)にアクセスするのを防ぎます。デフォルトの値は、[オフ] です。

マイク録音を禁止

[オン] の場合、アプリによる、録音のためのマイクハードウェアの直接使用が禁止されます。デフォルト値は [オン] です。

ディクテーションを禁止

[オン] の場合、アプリによるディクテーションサービスの直接使用が禁止されます。デフォルト値は [オン] です。

位置情報サービスを禁止

[オン] の場合、アプリによるロケーションサービスコンポーネント(GPSまたはネットワーク)の使用が禁止されます。Secure Mail、Secure Notes、Citrix for Salesforceのデフォルト値は [オフ] です。他のアプリのデフォルト値は [オン] です。

SMS作成を禁止

[オン]の場合、アプリでは、SMS/テキストメッセージの送信に使用するSMS作成機能を使用できません。デフォルト値は [オン] です。

iCloudを禁止

[オン] の場合、アプリによる、設定とデータの格納および共有のためのiCloudの使用が禁止されます。

注:

iCloudのデータファイルバックアップは、[ファイルのバックアップを禁止]によって制御されます。

デフォルト値は [オン] です。

ファイルのバックアップを禁止

[オン] の場合、iCloudまたはiTunesによるデータファイルのバックアップが禁止されます。デフォルト値は [オン] です。

AirPrintを禁止

[オン] の場合、AirPrint対応プリンターでデータを印刷するAirPrint機能を使用した印刷が禁止されます。デフォルト値は [オン] です。

AirDropを禁止

[オン] の場合、アプリによるAirDropの使用が禁止されます。デフォルト値は [オン] です。

添付ファイル付きのメールを禁止

注:

このポリシーはiOS 9デバイスでのみ適用されます。

[オン] の場合、PDF添付ファイルとしてメールに添付したメモの送信を無効にします。デフォルトの値は、[オフ] です。

添付ファイルを禁止

注:

このポリシーはiOS 9デバイスでのみ適用されます。

[オン] の場合、Secure Mailでの添付ファイルのダウンロードを無効にします。デフォルトの値は、[オフ] です。

FacebookとTwitterのAPIを禁止

[オン] の場合、[オン]の場合、アプリによるiOS FacebookおよびTwitter APIの使用が禁止されます。デフォルト値は [オン] です。

画面の内容を不鮮明にする

[オン] の場合、ユーザーがアプリを切り替えると、画面が不明瞭になります。このポリシーにより、iOSが画面コンテンツを記録しサブネイルを表示するのを阻止します。デフォルト値は [オン] です。

Block 3rd party keyboards(iOS 9以降のみ)

[オン] の場合、アプリによる、iOS 9以降のデバイス上でのサードパーティ製キーボード拡張機能の使用が禁止されます。デフォルト値は [オン] です。

アプリログを禁止

[オン] の場合、アプリによる業務用モバイルアプリ診断ログファシリティの使用が禁じられます。[オフ] の場合、アプリログが記録され、Secure Hubのメールサポート機能を使って収集されることがあります。デフォルトの値は、[オフ] です。

メール作成のリダイレクト

エンタープライズアプリでメールを作成する方法を、次の3つのうちから選択できます。

  • Secure Mail: デバイスにインストールされているSecure Mailが自動的に開きます。インストールされていない場合は、ネイティブメールプログラムは開きません。ユーザーには、Secure Mailのインストールを指示するメッセージが表示されます。
  • ネイティブメール: デバイスのネイティブメールプログラムが開かれます。
  • 禁止: Secure Mailとネイティブメールの両方が禁止されます。

デフォルトは、Secure Mail です。

iOSの検索を禁止

[オン] の場合、iOSによるアプリでの強調表示された用語の検索が禁止されます。デフォルト値は [オン] です。

アプリのネットワーク アクセス

ネットワークアクセス

アプリケーションのネットワークアクティビティを禁止、許可、リダイレクトします。[制限なし] の場合、ネットワークアクセスに制限はありません。アプリはデバイスが接続されるネットワークに無制限にアクセスします。[禁止] の場合、すべてのネットワークアクセスがブロックされます。[内部ネットワークへトンネル]の場合、内部ネットワークに戻るアプリごとのVPNトンネルは、すべてのネットワークアクセスに使用され、NetScalerスプリットトンネル設定が使用されます。

Secure WebおよびCitrix for Salesforceのデフォルト値は[内部ネットワークへトンネル]です。Secure Mail、Secure Notes、Citrix Files Phone、Citrix Files Tabletのデフォルト値は、[制限なし]です。他のアプリのデフォルト値は[禁止]です。

証明書ラベル

証明書ラベルStoreFront証明書統合サービスと一緒に使用する場合、このラベルによって、このアプリに必要な特定の証明書が識別されます。ラベルが指定されないと、証明書を公開キー基盤(PKI)で使用できるようにはなりません。デフォルト値は空です(証明書が使用されません)。

優先VPNモード

内部ネットワークへトンネリングする接続に対して初期モードを設定します。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[完全VPNトンネル]を推奨します。シングルサインオン (SSO) を必須とする接続に対しては、[セキュアブラウズ] を推奨します。

VPNモードの切り替えを許可

内部ネットワークへトンネリングする場合、このポリシーは必要に応じたVPNモード間の自動的な切り替えを許可します。[オン] の場合、優先VPNモードで処理できない認証要求のために失敗するネットワーク要求は、代替モードで再試行されます。たとえば、クライアント証明書のサーバーチャレンジは、完全トンネルモードにより設定されますが、セキュアブラウズモードの使用時には設定されません。同様に、セキュアブラウズモードの使用時には、HTTP認証チャレンジでSSOが実行される可能性が高くなります。オフの場合、優先VPNモードポリシーで指定されたモードが使用される唯一のモードです。デフォルトの値は、[オフ]です。

PACファイルのURL、またはプロキシサーバー

プロキシの自動構成(PAC)ファイルURLまたは使用するプロキシサーバーを定義します。完全トンネルモードのみをサポートします。PACファイルURLを、http[s]://192.0.2.0/proxy.pacまたはhttp[s]://example.com/proxy.pac形式で指定します。HTTPSの場合、証明書が自己署名または信頼されていないと、デバイスにルートCAがインストールされます。プロキシサーバーをmyhost.example.com:portまたは10.10.0.100:port形式で指定します。デフォルトおよび非デフォルトのポートが受け入れられます。デフォルト値は空です。

WiFiネットワークのホワイトリストへの追加

Wi-Fiネットワーク許可されたネットワークのコンマ区切り一覧。一覧にあるネットワークに接続された場合のみ、アプリが実行されます。一覧を空白のままにした場合、すべてのネットワークが許可されます。これによって、モバイルネットワークへの接続が影響を受けることはありません。デフォルトでは何も設定されていません。

アプリログ

デフォルトのログ出力

デフォルトで、業務用モバイルアプリ診断ログファシリティによってどの出力媒体が使用されるかを決定します。選択肢としては、[ファイル]、[コンソール]、または両方です。デフォルト値は[ファイル]です。

デフォルトのログ レベル

業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。番号のレベルが高いほど、より詳細なログが含まれます。

  • 0 - ログを記録されない
  • 1 - 深刻なエラー
  • 2 - エラー
  • 3 - 警告
  • 4 - 情報メッセージ
  • 5 - 詳細な情報メッセージ
  • 6~15 - 1~10のデバッグレベル

デフォルト値はレベル4(通知メッセージ)です。

最大ログ ファイル数

ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小は2です。最大は8です。デフォルト値は2です。

最大ログファイルサイズ

ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。

アプリの地理位置情報およびジオフェンシング

地理位置情報機能を使用すると、ユーザーのデバイスの場所に基づいて、アプリの使用を制限できます。たとえば、アムステルダムに旅行に行くとします。ユーザーがアムステルダムにいる間、アプリの使用を許可できます。ベルギーに入ると、アプリがロックされ、ユーザーはアプリを操作できません。ユーザーがアムステルダムに戻ると、アプリはロック解除され、それまでどおりに使用できるようになります。

次の3つの設定で、地理位置情報を有効にします。

  • 経度(X座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。符号付きの度数形式(DDD.dddd)で指定します。たとえば、「-31.9635」などです。西半球の経度の前には、マイナス記号を付けます。
  • 緯度(Y座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。符号付きの度数形式(DDD.dddd)で指定します。たとえば、「43.06581」などです。南半球の緯度の前には、マイナス記号を付けます。
  • 半径は、アプリの操作をその中に限定するジオフェンスの半径です。メートル単位で指定します。0に設定すると、ジオフェンスは無効になります。

[位置情報サービスを禁止] を有効にすると、ジオフェンシングは正しく機能しません。

デフォルトは0(無効)です。

ジオフェンシングをサポートしているアプリで、位置情報サービスを無効にしている場合、ユーザーはアプリを終了するか、[設定]をクリックしてAndroidの[設定]画面に移動できます。ユーザーが位置情報サービスを有効にすると、アプリに戻って引き続きアプリを使用できます。

半径と位置情報サービス設定が正しい場合、アプリはジオフェンスが侵害されていないかチェックします。現在の場所と中心点との距離が指定された半径を超えている場合、ユーザーはアプリを使用できません。この場合、ユーザーにはアプリを終了するオプションが表示されます。アプリの使用を続けるためにはユーザーはフェンス内にいる必要があります。

現在の場所と中心点との距離が指定された半径を超えていない場合、ユーザーはアプリの使用を続けることができます。

アプリは位置情報をネットワークプロバイダー(WiFi、3G、または4G)またはGPSプロバイダーに確認します。デバイスは、GPSおよびモバイルのキャリアネットワークをあわせて確認することもできます。これによって、位置情報をより早く取得できます。

2分間のタイムアウト設定で、位置情報の確認により長い時間を設定できます。

注:

正確な位置情報を取得し、ユーザーがWi-Fi またはGPSを無効にすることでジオフェンスを回避することを防ぐためには、[オンラインセッションを必須とする]を [オン] に設定することをお勧めします。

ShareConnectのアプリ設定

パスワードの保存

[オン] の場合、ユーザーはリモートコンピューターのユーザー名とパスワードを保存できます。デフォルト値は [オン] です。

Secure Mailアプリの設定

Secure MailのExchange Server

Exchange ServerまたはIBM Notes Travelerサーバー(iOSのみ)の完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)。デフォルト値は空です。管理者がこのフィールドにドメイン名を入力した場合、ユーザーが編集することはできません。管理者がこのフィールドに何も入力しない場合、ユーザーは独自のサーバー情報を入力できます。

注意:

既存のアプリに対してこのポリシーを変更する場合、ユーザーはポリシーの変更を適用するには、アプリの削除と再インストールを行う必要があります。

Secure Mailユーザードメイン

Secure MailユーザードメインExchangeまたはNotesユーザー(iOSのみ)のデフォルトのActive Directoryドメイン名。デフォルト値は空です。

バックグラウンド ネットワーク サービス

バックグラウンドネットワークアクセスで許可されている、サービスアドレスのFQDNとポート。これは、内部ネットワークまたはSecure Mailが接続するそのほかのネットワークのいずれかにあるExchange ServerまたはActiveSyncサーバーなどです(例:mail.example.com:443)。

このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、NetScaler Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。

デフォルト値は空で、バックグラウンドネットワークサービスは使用できません。

バックグラウンドサービスチケットの有効期間

バックグラウンドネットワークサービスチケットが有効な状態で維持される期間。NetScaler Gatewayを介してSecure MailがActiveSyncを実行するExchange Serverに接続する場合、Citrix Endpoint Managementは内部Exchange Serverへの接続にSecure Mailが使用するトークンを発行します。この設定により、認証のために新しいトークンおよびExchange Serverへの接続を要求することなくSecure Mailがトークンを使用できる期間が決まります。有効期限が切れた場合は、ユーザーは再度ログオンして新しいトークンを生成する必要があります。デフォルト値は168時間(7日)です。

バックグラウンドネットワークサービスゲートウェイ

バックグラウンドネットワークサービスに使用するfqdn:port形式の代替ゲートウェイアドレスです。これは、内部Exchange Serverへの接続にSecure Mailが使用するNetScaler Gateway FQDNおよびポート番号です。NetScaler Gateway構成ユーティリティで、Secure Ticket Authority(STA)を構成し、ポリシーを仮想サーバーに結合する必要があります。NetScaler GatewayでのSTAの構成について詳しくは、「Configuring the Secure Ticket Authority on NetScaler Gateway」を参照してください。

デフォルト値は空で、代替ゲートウェイが存在しないことを示します。

このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、NetScaler Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。

連絡先のエクスポート

重要:

ユーザーがExchange Serverに直接アクセスできる(つまりNetScaler Gatewayの外側にいる)場合、この機能を有効にしないでください。それ以外の場合は、デバイスとExchangeで連絡先の重複が発生します。

[オフ] の場合、デバイスに対するSecure Mail連絡先の一方向同期、およびSecure Mail連絡先の共有(vCardとして)が禁止されます。デフォルトの値は、[オフ] です。

エクスポートする連絡先フィールド

iOSのアドレス帳にエクスポートされる連絡先のフィールドを制御します。[すべて] の場合、連絡先のすべてのフィールドがエクスポートされます。[名前と電話] の場合、名前と電話に関連するすべての連絡先フィールドがエクスポートされます。[名前、電話、メール] の場合、名前、電話、メールに関連するすべての連絡先フィールドがエクスポートされます。デフォルト値は [すべて] です。

すべてのSSL証明書を承認する

[オン] の場合、Secure MailはすべてのSSL証明書(有効または無効)を受け入れ、アクセスを許可します。[オフ] の場合、証明書エラーが発生して警告が表示されると、Secure Mailはアクセスをブロックします。デフォルトの値は、[オフ] です。

ロック画面上の通知を制御

メールおよびカレンダー通知をロックされたデバイス画面に表示するかどうかを制御できます。[許可] の場合、通知に含まれているすべての情報が表示されます。[禁止] の場合、通知が表示されません。[メールの送信者またはイベントのタイトル] の場合、メール送信者の名前またはカレンダーイベントのタイトルのみが表示されます。[件数のみ] の場合、メールおよび会議出席依頼数のみが表示され、カレンダー通知の時刻も表示されます。デフォルト値は [許可] です。

デフォルトのメール通知

ユーザーがデバイスでメール通知を[オフ]から[オン]に変更できます。Default email notificationポリシーにより、組織のメール通知のグローバルポリシーを設定できます。

アプリによって新しいポリシーがチェックされるときに、新しい値がユーザーデバイスに送信されます。このチェックは、ユーザーがアプリを初めてインストールするとき、またはアプリをアップグレードするときに発生します。

ユーザーがこのポリシーをローカルに設定し、グローバル設定が異なる場合は、ユーザーがアプリを起動したときにローカル設定が変更されません。

デフォルトの値は、[オフ] です。

デフォルトの同期間隔

Secure Mailのデフォルトの同期間隔を指定します。Secure Mailユーザーは、デフォルト値を変更できます。

Exchange ActiveSyncメールボックスポリシー設定である [電子メールの最大範囲フィルター] は、このポリシーより優先されます。デフォルトの同期間隔を[最大メール期間フィルター]より長い時間を指定すると、代わりに[最大メール期間フィルター]設定が使用されます。Secure Mailには、ActiveSyncの電子メールの[最大メール期間フィルター]設定より短い同期間隔値のみが表示されます。

デフォルト値は3日です。

メール検索の制限

メールサーバー検索に含める日数を制限することで、モバイルデバイスからアクセスできるメール履歴の量を制限します。

使用できるオプションは、次のとおりです。

  • 90日間
  • 180日間
  • 1年間
  • 無制限

モバイルデバイスに同期されるメールの量を制限するには、[クライアントの最大同期周期] ポリシーを構成します。

デフォルト値は [無制限] です。

最大同期間隔

同期周期を制限することで、モバイルデバイスにローカルに保存するメールの量を制御します。

デバイスでメールサーバーを検索できる周期を制限するには、[メール サーバー検索の制限] ポリシーを構成します。

有効な値は次のとおりです。

  • 3日間
  • 1週間
  • 2週間
  • 1か月
  • すべて

デフォルト値は1か月です。

許可される最大同期間隔

デバイスでの検索を指定した期間に制限します。検索には、2つの個別のポリシーを使用して構成するローカル検索とサーバー検索が含まれます。ポリシーを有効にするには、ユーザーデバイスとサーバーそれぞれでポリシーを設定します。

有効な値は次のとおりです。

  • 3日間
  • 1週間
  • 2週間
  • 1か月
  • すべて

デフォルト値は1か月です。

週番号を有効化

[オン] にすると、カレンダー表示に週番号が含まれます。デフォルトの値は、[オフ] です。

Wi-Fiを経由する添付ファイルのダウンロードを有効化

[オン] の場合、Secure Mailの[添付ファイルのダウンロード]オプションが有効になり、ユーザーはデフォルトで、内部Wi-Fiネットワーク経由で添付ファイルをダウンロードできます。[オフ] の場合、Secure Mailの[添付ファイルをダウンロード]オプションが無効になり、ユーザーはデフォルトではWi-Fi経由で添付ファイルをダウンロードできません。デフォルトの値は、[オフ] です。

Information Rights Management

[オン] の場合、Secure MailはExchange Information Rights Management(IRM)機能をサポートします。デフォルトの値は、[オフ] です。

メール分類

[オン] の場合、Secure MailはSEC(Security)およびDLM(Dissemination Limiting Markers)のメール分類マーキングをサポートします。分類マーキングはX-Protective-Marking値としてメールヘッダーに表示されます。関連するメール分類ポリシーを構成する必要があります。デフォルトの値は、[オフ] です。

メール分類のマーキング

分類マーキングを指定してユーザーが使用できるようにします。マーキングの一覧にはセミコロンで区切られた値のペアが含まれています。各ペアには、Secure Mailに表示されるリスト値と、メールの件名とヘッダーに付随された文字列であるマーキング値が含まれます。たとえば、マーキングペアのUNOFFICIAL,SEC=UNOFFICIALの場合、リスト値はUNOFFICIAL、マーキング値はSEC=UNOFFICIALとなります。

デフォルト値は変更できる分類マーキングの一覧です。デフォルトのマーキングの一覧については、「メールセキュリティの分類」を参照してください。

一覧が空の場合、Secure Mailは保護マーキングの一覧を含めません。

メール分類の名前空間

使用される分類の標準によりメールヘッダー内で必要とされる分類名前空間を指定します。たとえば、名前空間gov.auはヘッダーにはNS=gov.auと表示されます。デフォルト値は空です。

メール分類のバージョン

使用される分類の標準によりメールヘッダー内で必要とされる分類バージョンを指定します。たとえば、バージョン2012.3はヘッダーにはVER=2012.3と表示されます。デフォルト値は空です。

デフォルトのメール分類

ユーザーがマーキングを選択しない場合にSecure Mailがメールに適用する保護マーキングを指定します。この値は、[メール分類のマーキング]ポリシーの一覧にある必要があります。デフォルトの値は [UNOFFICIAL] です。

メールの下書きの自動保存を有効化

[オン] の場合、Secure Mailは[Drafts]フォルダーへのメッセージの自動保存をサポートします。自動保存は20秒単位で実行されます。デフォルト値は [オン] です。

iOS データ保護を有効化

このポリシーは、Australian Signals Directorate(ASD)のコンピューターセキュリティ要件に準拠する必要があるエンタープライズを対象としています。ファイル使用時のiOSデータ保護を有効にします。[オン] の場合、アプリのサンドボックスでファイルを作成および開くときのファイル保護レベルを指定します。デフォルトの値は、[オフ] です。

Google analytics

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名] の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

プッシュ通知

メールボックスのアクティビティに関するAPNsベースの通知を有効にします。[オン] の場合、Secure Mailはプッシュ通知をサポートします。デフォルトの値は、[オフ] です。

プッシュ通知のリージョン

Secure Mailユーザー用にAPNsホストが置かれる地域です。オプションは、[南北アメリカ][EMEA][APAC] です。デフォルト値は [南北アメリカ] です。

プッシュ通知の顧客ID

Citrix通知サービスへのアカウントの識別に使用されるAPNSカスタマーID。デフォルト値は空です。

S/MIME証明書のソース

S/MIME証明書のソースを指定します。[メール] の場合、ユーザーにユーザー証明書をメールで送信し、ユーザーはSecure Mailでそのメールを開いて添付された証明書をインポートする必要があります。[共有コンテナー] の場合、サポートされるデジタルIDプロバイダーによって業務用モバイルアプリの共有コンテナーに証明書が供給されます。サードパーティプロバイダーと統合する場合、関連のアプリがユーザーに公開される必要があります。[派生資格情報]の場合、スマートカードなどのソースから証明書を使用します。派生資格情報について詳しくは、「iOSの派生資格情報」を参照してください。ユーザーエクスペリエンスの詳細については、[Secure Mailの初回起動時にS/MIMEを有効化]ポリシーの説明を参照してください。

デフォルト値は [メール] です。

Secure Mailの初回起動時にS/MIMEを有効化

[S/MIME証明書のソース]ポリシーが[共有コンテナー]である場合において、Secure Mailの初回起動時にSecure MailでS/MIMEを有効化するかどうかを指定します。[オン] の場合、共有コンテナーにユーザーの証明書があると、Secure MailはS/MIMEを有効にします。共有された資格情報コンテナーに証明書がない場合は、証明書のインポートを求めるプロンプトがユーザーに表示されます。どちらの場合も、Secure Mailでアカウントを作成する前に、ユーザーはサポートされたデジタルIDプロバイダーアプリから証明書を構成する必要があります。

[オフ] の場合、Secure MailでS/MIMEは有効化されません。ユーザーはSecure Mailの設定でS/MIMEを有効にできます。デフォルトの値は、[オフ] です。

最初の認証メカニズム

このポリシーでは、最初のプロビジョニング画面の使用時に [アドレス] フィールドの入力にMDXが提供するメールサーバーアドレスを使用すべきか、ユーザーのメールアドレスを使用すべきかを示します。

デフォルト値は、[MDXが提供するメールサーバーアドレスを使用する] です。

最初の認証資格情報

このポリシーでは、最初の使用時にプロビジョニング画面にユーザー名として選択すべき値を定義します。

デフォルト値は、[ユーザープリンシパル名] です。

Web/オーディオ会議の種類

Web/オーディオ会議の種類: 会議をセットアップするときに、ユーザーが構成できる会議の種類を制御します。[GoToMeetingおよびユーザー入力] の場合、[作成]または[イベントの編集]画面で[Web/オーディオ]セクションをタップすると[GoToMeeting]または[そのほかの電話会議]を選択できます。[そのほかの電話会議]は、ユーザーが手動で会議情報を入力できます。[ユーザー入力のみ] の場合、ユーザーを[そのほかの電話会議]画面に直接移動します。デフォルトは、[GoToMeetingおよびユーザー入力] です。

S/MIMEパブリック証明書のソース

[LDAPサーバーアドレス]: ポート番号を含むLDAPサーバーアドレス。デフォルト値は空です。

LDAPサーバーアドレス

LDAPサーバーアドレス(ポート番号を含む)。デフォルト値は空です。

LDAPベースDN

LADPベース識別名。デフォルト値は空です。

LDAPに匿名でアクセスする

このポリシーが [オン] の場合、Secure Mailは事前の認証なしにLDAPを検索できます。デフォルトは [オフ] です。

[オン] の場合、Active Directoryユーザー名およびパスワードのみ使用してLDAPで認証が行われます。証明書ベースの認証およびその他の認証モードはサポートされていません。

ネイティブ連絡先の確認を上書きする

[オン] の場合、ネイティブの連絡先アプリがExchange/Hotmailアカウントで構成されている場合でも、アプリによって連絡先がデバイスに同期されます。

[オフ] の場合、アプリは連絡先同期のブロックを継続します。デフォルトは [オン] です。

許可するメール ドメイン

この一覧にメールドメインを追加すると、ユーザーがそのドメインからアカウントを構成できます。他のすべてのドメインは禁止されます。デフォルトは空で、Secure Mailによってドメインは禁止されません。

Secure Mailによる禁止ドメインのフィルターを許可するには、許可されるドメインを一覧に追加する必要があります。これにより、Secure Mailによって、ドメインが許可されるドメインの一覧と比較されます。たとえば、許可されるドメイン名としてserver.company.comを一覧に加えると、ユーザーのメールアドレスがuser@internal.server.company.comである場合、Secure Mailではこのメールアドレスがサポートされます。この例では、Secure Mailではserver.company.com以外のドメイン名のメールアドレスはサポートされません。

ポリシー設定で、許可されるドメインをserver.company.com, server.company.co.ukのようにコンマ区切り形式で追加します。

Slackの有効化

このポリシーを有効にすると、ユーザーはSecure MailでSlack機能を利用できます。デフォルトは [無効] です。

Slackワークスペース名

ユーザーがSecure MailからSlackにログインするときに、自動入力されるワークスペース名を指定します。このポリシーはオプションです。名前を指定しない場合、ユーザーが名前を入力する必要があります。

Secure Notesアプリの設定

Secure Notesのストレージオプション

Secure Notesのストレージオプション:Secure Notesを使用すると、ユーザーが作成するメモのストレージオプションを設定できます。[Citrix FilesとExchange Server]の場合、ユーザーはメモのストレージオプションを選択できます。[Citrix Filesのみ] の場合、メモはCitrix Filesに格納されます。[Exchangeのみ] の場合、メモはExchange Serverに格納されます。デフォルトの値は [Citrix FilesとExchange Server] です。

Secure NotesのExchange Server

Exchange Serverの完全修飾ドメイン名(FQDN)。デフォルト値は空です。

Secure Notesユーザードメイン

ExchangeユーザーのデフォルトActive Directoryドメイン名。デフォルト値は空です。

バックグラウンド ネットワーク サービス

バックグラウンドネットワークアクセスで許可されている、サービスアドレスのFQDNとポート。これは、内部ネットワークまたはSecure Mailが接続するそのほかのネットワークのいずれかにあるExchange ServerまたはActiveSyncサーバーなどです(例:mail.example.com:443)。

このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、[ネットワークアクセス]ポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、NetScaler Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。

デフォルト値は空で、バックグラウンドネットワークサービスは使用できません。

バックグラウンドサービスチケットの有効期間

バックグラウンドネットワークサービスチケットが有効な状態で維持される期間。有効期限が切れた後は、チケットの再発行のためエンタープライズログオンが求められます。デフォルト値は168時間(7日)です。

バックグラウンドネットワークサービスゲートウェイ

バックグラウンドネットワークサービスに使用するfqdn:port形式の代替ゲートウェイアドレスです。デフォルト値は空で、代替ゲートウェイはありません。

すべてのSSL証明書を承認する

[オン] の場合、Secure NotesはすべてのSSL証明書(有効または無効)を受け入れ、アクセスを許可します。[オフ] の場合、証明書エラーが発生して警告が表示されると、Secure Notesはアクセスをブロックします。デフォルトの値は、[オフ] です。

使用状況の分析

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名] の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

Secure Tasksアプリの設定

iOSデバイス上のSecure Tasksに対して、次のポリシーを構成できます。

Secure TasksのExchange Server

Exchange Serverの完全修飾ドメイン名(FQDN)。デフォルト値は空です。

Secure Tasksユーザードメイン

ExchangeユーザーのデフォルトActive Directoryドメイン名。デフォルト値は空です。

バックグラウンド ネットワーク サービス

バックグラウンドネットワークアクセスが許可されるサービスアドレスとポートのコンマ区切りの一覧です。各サービスは、fqdn:port形式になります。デフォルト値は空で、バックグラウンドネットワークサービスは使用できません。

バックグラウンドサービスチケットの有効期間

バックグラウンドネットワークサービスチケットが有効な状態で維持される期間。有効期限が切れた後は、チケットの再発行のためエンタープライズログオンが求められます。デフォルト値は168時間(7日)です。

バックグラウンドネットワークサービスゲートウェイ

バックグラウンドネットワークサービスに使用するfqdn:port形式の代替ゲートウェイアドレスです。デフォルト値は空で、代替ゲートウェイはありません。

すべてのSSL証明書を承認する

[オン] の場合、Secure TasksはすべてのSSL証明書(有効または無効)を受け入れ、アクセスを許可します。[オフ] の場合、証明書エラーが発生して警告が表示されると、Secure Tasksはアクセスをブロックします。デフォルトの値は、[オフ] です。

Google analytics

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名]の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

Secure Webアプリの設定

許可または禁止するWebサイト

Secure Webは、通常Webリンクをフィルター処理しません。このポリシーを使って、許可されたサイトまたは禁止されたサイトの特定の一覧を構成できます。コンマ区切りの一覧形式でURLのパターンを入力して、WebブラウザーでアクセスできるWebサイトを制限します。一覧内の各パターンには、プラス記号(+)またはマイナス記号(-)のプレフィックスが付いています。一致するものが見つかるまで、一覧の順序どおりにURLがパターンと比較されます。一致が見つかると、プレフィックスにより次のようなアクションが指示されます。

  • マイナス(-)記号の場合、そのURLへのアクセスが禁止されます。この場合、解決できないWebサーバーアドレスとしてURLが処理されます。
  • プラス(+)記号の場合、そのURLへのアクセスが許可されます。
  • パターンの最初の文字がプラス(+)またはマイナス(-)のどちらでもない場合は、+(許可)とみなされます。
  • URLが一覧のパターンのいずれとも一致しない場合、そのURLは許可されたものとなります。

    いずれのパターンとも一致しないURLへのアクセスを禁止するには、一覧の最後にマイナス(-)の付いたアスタリスク(-*)を追加します。次に例を示します。

  • ポリシーの値「+http://*.mycorp.com/*,-http://*,+https://*,+ftp://*,-*」の場合、mycorp.comドメイン内ではHTTP URLを許可してほかの場所ではブロックし、HTTPSおよびFTPのURLを許可してそのほかすべてのURLをブロックします。
  • ポリシーの値「+http://*.training.lab/*,+https://*.training.lab/*,-*」の場合、HTTPまたはHTTPSを介したTraining.labドメイン(イントラネット)の任意のサイトをユーザーは開くことができますが、プロトコルに関係なくFacebook、Google、HotmailなどのパブリックURLは開くことができません。

デフォルト値は空です(すべてのURLが許可される)。

事前ロードするブックマーク

Secure Webブラウザーに対して事前に読み込まれたブックマークのセットを定義します。ポリシーは、フォルダー名、ブックマーク名、およびURLを1組としてコンマ区切りの一覧形式で入力します。各組は「<フォルダー名>,<ブックマーク名>,<URL>」形式で入力します。フォルダー名とブックマーク名は必要に応じて二重引用符(”)で囲みます。

たとえば、ポリシー値「,"Mycorp, Inc. home page",http://www.mycorp.com, "MyCorp Links",Account logon,https://www.mycorp.com/Accounts "MyCorp Links/Investor Relations","Contact us",http://www.mycorp.com/IR/Contactus.aspx」は3つのブックマークを定義します。1つ目のブックマークは「Mycorp, Inc. home page」という名前のプライマリリンク (フォルダー名なし) です。2つ目のブックマークは「MyCorp Links」という名前のフォルダーに「Account logon」という名前で追加されます。3つ目のブックマークは「MyCorp Links」フォルダーの「Investor Relations」サブフォルダーに「Contact us」という名前で追加されます。

デフォルト値は空です。

ホームページのURL

Secure Webの起動時に読み込むWebサイトを定義します。デフォルト値は空です(デフォルトのスタートページ)。

ブラウザーのユーザーインターフェイス

このポリシーでは、Secure Webブラウザーのユーザーインターフェイスコントロールの動作と表示を指定します。通常、ユーザーはすべてのコントロールを使用できます。Secure Webのユーザーインターフェイスには、次のページに進む、前のページに戻る、アドレスバー、更新または停止用などのコントロールがあります。このポリシーを構成して、一部のコントロールの使用および表示を制限できます。デフォルト値は、[すべてのコントロールを表示]です。

オプション:

  • すべてのコントロールを表示。すべてのコントロールが表示され、ユーザーはそのすべてを使用できます。
  • 読み取り専用アドレスバー。すべてのコントロールが表示されますが、ユーザーはアドレスフィールドを編集できません。
  • アドレスバーを隠す。アドレスバーが非表示になり、ほかのすべてのコントロールが表示されます。
  • すべてのコントロールを隠す。ツールバー全体を非表示にして、フレームのないブラウジング環境を提供します。

Webパスワードのキャッシュを有効化

Webリソースへアクセスまたはそれを要求する場合に、Secure Webユーザーが資格情報を入力すると、このポリシーによりデバイス上でパスワードがSecure Webによりサイレントキャッシュされるかどうかが決まります。このポリシーは、認証ダイアログに入力されたパスワードに適用され、Webフォームに入力されたパスワードには適用されません。

[オン] の場合、Webリソースの要求時にユーザーが入力するすべてのパスワードがSecure Webによりキャッシュされます。[オフ] の場合、Secure Webはパスワードをキャッシュせずに既存のキャッシュ済みパスワードを削除します。デフォルトの値は、[オフ] です。

このポリシーは、このアプリで優先VPNポリシーを[完全VPNトンネル]に設定した場合にのみ有効になります。

Google analytics

[完了] した場合、シトリックスは製品品質を向上させるために貴社に関する情報元が特定できないデータを収集します。[匿名] の場合は、匿名のデータのみが収集されます。デフォルト値は [完了] です。

iOS データ保護を有効化

注:

このポリシーは、Australian Signals Directorate(ASD)のコンピューターセキュリティ要件に準拠する必要があるエンタープライズを対象としています。

ファイル使用時のiOSデータ保護を有効にします。[オン] の場合、アプリのサンドボックスでファイルを作成および開くときのファイル保護レベルを指定します。デフォルトの値は、[オフ] です。

iOS 9のセキュリティ制限

注:

このポリシーはiOS 9デバイスで適用されます。

[オン] の場合、ファイルやオフラインページのダウンロードを無効にします。また、CookieのキャッシュおよびHTML 5のローカルストレージも無効にできます。デフォルトの値は、[オフ] です。

Secure Webドメイン

ネイティブブラウザーで開かれたURLを制御する新しいポリシー。SecureWebDomainsポリシーは、どのドメインをネイティブブラウザーではなくSecure Webブラウザーに送信するかを制御します。URLホストドメインのコンマ区切りの一覧は、アプリが通常外部ハンドラーに送信するURLのホスト名部分と照合されます。管理者は通常、Secure Webが処理する内部ドメインの一覧としてこのポリシーを構成します。ポリシーを空白のままにすると、明示的にフィルター処理から除外されていない、またはインテント/URLフィルターロジックによってリダイレクトされるすべてのWebトラフィックがSecure Webに送信されます。

ドメインのURLフィルターを除外

ExcludeUrlFilterForDomainsポリシーは、URLフィルター処理から除外されたWebサイトドメインのコンマ区切りの一覧です。一覧内のドメインを含むURLは、Secure Webの代わりにユーザーのネイティブブラウザーに送信されます。ポリシーが空の場合、すべてのURLがURLフィルターで処理されます。このポリシーは、SecureWebDomainsポリシーよりも優先されます。デフォルトのポリシー値はです。

Citrix Filesセキュアクライアントのアプリ設定

セキュリティで保護されたビューアーを有効化

[オン] の場合、クライアントはiOS Quick Lookプレビュー機能の代わりにセキュリティで保護されたビューアーを使用します。MDXベースのセキュアビューアーにより、MDXラップしたアプリ間でのみ、カット、コピー、および貼り付け操作を実行できるようになります。[オフ] の場合、セキュリティで保護されたビューアーは使用されません。デフォルトは [オン] です。