iOS向けサードパーティ製アプリ用MAM SDKポリシー
この記事では、サードパーティ製iOSアプリ向けのMAM SDKポリシーについて説明します。ポリシー設定は、アプリを追加する際に、ポリシーXMLファイルで直接変更することも、Citrix Endpoint Management™コンソールで変更することもできます。
アプリのネットワークアクセス
ネットワークアクセス
-
注:
-
-
Tunneled - Web SSOは、設定におけるSecure Browseの名称です。動作は同じです。
設定オプションは次のとおりです。
- ブロック済み: アプリが使用するネットワークAPIが失敗します。以前のガイドラインに従い、このような失敗は適切に処理する必要があります。
- 無制限: すべてのネットワーク呼び出しは直接行われ、トンネルされません。
- Tunneled - Web SSO: HTTP/HTTPS URLが書き換えられます。このオプションでは、HTTPおよびHTTPSトラフィックのみのトンネリングが可能です。Tunneled - Web SSOの大きな利点は、HTTPおよびHTTPSトラフィックのシングルサインオン(SSO)、およびPKINIT認証です。Androidでは、このオプションはセットアップのオーバーヘッドが低いため、Webブラウジングタイプの操作に推奨されるオプションです。
認証
アプリのパスコード
オンの場合、一定期間の非アクティブ状態の後、アプリが起動または再開する際に、アプリのロックを解除するためにPINまたはパスコードが必要です。デフォルト値はオンです。
すべてのアプリの非アクティブタイマーを構成するには、設定タブのクライアントプロパティでINACTIVITY_TIMERの値を分単位で設定します。デフォルトの非アクティブタイマー値は60分です。非アクティブタイマーを無効にして、アプリの起動時にのみPINまたはパスコードのプロンプトが表示されるようにするには、値をゼロに設定します。
アプリがCitrix Endpoint Managementからのアプリの資格の再確認とポリシーの更新なしで実行できる最大期間を定義します。期限切れになると、必要に応じてサーバーへのログオンがトリガーされる場合があります。デフォルト値は168時間(7日間)です。最小期間は1時間です。
アプリのログ
デフォルトのログ出力
モバイル生産性アプリの診断ログ機能がデフォルトで使用する出力メディアを決定します。ファイル、コンソール、またはその両方が可能です。デフォルト値はファイルです。
デフォルトのログレベル
モバイル生産性アプリの診断ログ機能のデフォルトの詳細度を制御します。各レベルには、より低い値のレベルが含まれます。可能なレベルの範囲は次のとおりです。
- 0 - 何もログに記録しない
- 1 - 重大なエラー
- 2 - エラー
- 3 - 警告
- 4 - 情報メッセージ
- 5 - 詳細な情報メッセージ
- 6~15 - デバッグレベル1~10
デフォルト値はレベル4(情報メッセージ)です。
最大ログファイル数
モバイル生産性アプリの診断ログ機能がロールオーバーする前に保持するログファイルの数を制限します。最小は2、最大は8です。デフォルト値は2です。
最大ログファイルサイズ
モバイル生産性アプリの診断ログ機能がロールオーバーする前に保持するログファイルのサイズをメガバイト(MB)単位で制限します。最小は1 MB、最大は5 MBです。デフォルト値は2 MBです。
ログ内のURLを難読化
オンの場合、アプリからのシステムログまたはコンソールログを傍受し、モバイル生産性アプリの診断機能にリダイレクトします。オフの場合、アプリによるシステムログまたはコンソールログの使用は傍受されません。
デフォルト値はオンです。
アプリのログをブロック
-
オンの場合、アプリがモバイル生産性アプリの診断ログ機能を使用することを禁止します。オフの場合、アプリのログは記録され、Secure Hubのメールサポート機能を使用して収集できます。デフォルト値はオフです。
-
アプリの操作
切り取りとコピー
このアプリのクリップボードの切り取りおよびコピー操作をブロック、許可、または制限します。制限付きの場合、コピーされたクリップボードデータは、アプリのみが利用できるプライベートクリップボードに配置されます。デフォルト値は制限付きです。
貼り付け
このアプリのクリップボードの貼り付け操作をブロック、許可、または制限します。制限付きの場合、貼り付けられたクリップボードデータは、アプリのみが利用できるプライベートクリップボードから取得されます。デフォルト値は無制限です。
ドキュメント交換(Open In)
このアプリのドキュメント交換操作をブロック、許可、または制限します。制限付きの場合、ドキュメントは他のアプリとのみ交換できます。
無制限の場合、ユーザーがラップされていないアプリでドキュメントを開けるように、暗号化を有効にするポリシーをオンに設定します。受信側アプリがラップされていないか、暗号化が無効になっている場合、Citrix Endpoint Managementはドキュメントを復号化します。 デフォルト値は制限付きです。
制限付きOpen-In例外リスト
ドキュメント交換(Open In)ポリシーが制限付きの場合でも、ドキュメント交換(Open In)ポリシーが制限付きで暗号化を有効にするポリシーがオンの場合でも、アプリは管理されていないアプリIDのこのコンマ区切りリストとドキュメントを共有できます。デフォルトの例外リストでは、Office 365アプリが許可されています。
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
-
このポリシーでサポートされているのはOffice 365アプリのみです。
-
注意:
-
-
このポリシーのセキュリティ上の影響を必ず考慮してください。例外リストにより、管理されていないアプリとMAM SDK環境の間でコンテンツが移動する可能性があります。
-
受信ドキュメント交換(Open In)
このアプリの受信ドキュメント交換操作をブロック、制限、または許可します。制限付きの場合、ドキュメントは他のアプリとのみ交換できます。デフォルト値は無制限です。
ブロック済みまたは制限付きの場合、受信ドキュメント交換ホワイトリストポリシーを使用して、このアプリにドキュメントを送信できるアプリを指定できます。
注:
受信ドキュメント交換ホワイトリストポリシーは、iOS 12で実行されているデバイスのみをサポートします。
オプション:無制限、ブロック済み、または制限付き
アプリのURLスキーム
iOSアプリは、特定のスキーム(例:「http://」)を処理するために登録されている他のアプリにURLリクエストをディスパッチできます。この機能は、アプリがヘルプのリクエストを別のアプリに渡すメカニズムを提供します。このポリシーは、このアプリに処理のために渡されるスキーム(つまり、受信URL)をフィルタリングする役割を果たします。デフォルト値は空であり、登録されているすべてのアプリURLスキームがブロックされることを意味します。
ポリシーは、各パターンがプラス「+」またはマイナス「-」で始まる可能性がある、コンマ区切りのパターンのリストとしてフォーマットする必要があります。受信URLは、一致が見つかるまでリストに記載されている順序でパターンと比較されます。一致すると、接頭辞によって実行されるアクションが決定されます。
- マイナス「-」の接頭辞は、URLがこのアプリに渡されるのをブロックします。
- プラス「+」の接頭辞は、URLが処理のためにアプリに渡されることを許可します。
- パターンに「+」または「-」のいずれも指定されていない場合、「+」(許可)が想定されます。
- 受信URLがリスト内のどのパターンとも一致しない場合、URLはブロックされます。
次の表に、アプリのURLスキームの例を示します。
| スキーム | URLスキームを必要とするアプリ | 目的 |
|---|---|---|
| ctxmobilebrowser | Secure Web | 他のアプリからのHTTP: URLをSecure Webが処理することを許可します。 |
| ctxmobilebrowsers | Secure Web | 他のアプリからのHTTPS: URLをSecure Webが処理することを許可します。 |
| ctxmail | Secure Mail | 他のアプリからのmailto: URLをSecure Mailが処理することを許可します。 |
| COL-G2M | GoToMeeting | ラップされたGoToMeetingアプリが会議リクエストを処理することを許可します。 |
| ctxsalesforce | Citrix® for Salesforce | Citrix for SalesforceがSalesforceリクエストを処理することを許可します。 |
| wbx | WebEx | ラップされたWebExアプリが会議リクエストを処理することを許可します。 |
アプリの操作(送信URL)
許可されたURL
iOSアプリは、特定のスキーム(例: "http://")を処理するように登録されている他のアプリケーションにURLリクエストをディスパッチできます。この機能は、アプリが別のアプリにヘルプリクエストを渡すメカニズムを提供します。このポリシーは、このアプリから他のアプリに処理のために渡されるURL(つまり、アウトバウンドURL)をフィルタリングする役割を果たします。
ポリシーは、各パターンがプラス「+」またはマイナス「-」で始まる可能性がある、コンマ区切りのパターンリストとしてフォーマットする必要があります。アウトバウンドURLは、一致が見つかるまで、リストに記載されている順序でパターンと比較されます。一致すると、実行されるアクションはプレフィックスによって決定されます。マイナス「-」プレフィックスは、URLが他のアプリに渡されるのをブロックします。プラス「+」プレフィックスは、URLが処理のために他のアプリに渡されることを許可します。パターンに「+」も「-」も指定されていない場合、「+」(許可)が仮定されます。「=」で区切られた値のペアは、最初の文字列の出現箇所が2番目の文字列に置き換えられる置換を示します。正規表現の「^」プレフィックスを検索文字列に使用して、URLの先頭に固定できます。アウトバウンドURLがリスト内のどのパターンとも一致しない場合、それはブロックされます。
コンプライアンス
デバイスのパスコード
オンの場合、デバイスの起動時または非アクティブ期間からの再開時に、デバイスのロックを解除するためにPINまたはパスコードが必要です。Appleファイル暗号化を使用してアプリデータを暗号化するには、デバイスのパスコードが必要です。デバイス上のすべてのアプリのデータが暗号化されます。デフォルト値はオフです。
ジェイルブレイクまたはルート化されたデバイスのブロック
オンの場合、デバイスがジェイルブレイクまたはルート化されていると、アプリはロックされます。オフの場合、デバイスがジェイルブレイクまたはルート化されていてもアプリは実行できます。デフォルト値はオンです。
非準拠デバイスの動作
暗号化の最小コンプライアンス要件にデバイスが準拠していない場合に、アクションを選択できます。アプリを通常どおり実行するには、アプリを許可を選択します。警告が表示された後にアプリを実行するには、警告後にアプリを許可を選択します。アプリの実行をブロックするには、ブロックを選択します。デフォルト値は警告後にアプリを許可です。
ロック時のアプリデータ消去
アプリがロックされたときに、データを消去し、アプリをリセットします。オフの場合、アプリがロックされてもアプリデータは消去されません。デフォルト値はオフです。
アプリは、次のいずれかの理由でロックされることがあります。
- ユーザーのアプリエンタイトルメントの喪失
- アプリのサブスクリプションの削除
- アカウントの削除
- Secure Hubのアンインストール
- アプリ認証の失敗が多すぎる
- ジェイルブレイクされたデバイスの検出(ポリシー設定による)
- 他の管理アクションによるデバイスのロック状態への移行
アクティブポーリング期間(分)
アプリが起動すると、MAM SDKフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイスのステータスを判断します。Endpoint Managementを実行しているサーバーに到達できると仮定すると、フレームワークはデバイスのロック/消去ステータスとアプリの有効/無効ステータスに関する情報を返します。サーバーに到達できるかどうかにかかわらず、アクティブポーリング期間間隔に基づいて後続のポーリングがスケジュールされます。期間が経過すると、再度新しいポーリングが試行されます。デフォルト値は60分(1時間)です。
重要:
高リスクのアプリの場合にのみこの値を低く設定してください。そうしないと、パフォーマンスに影響が出る可能性があります。
アプリ更新猶予期間(時間)
システムがアプリの更新が利用可能であることを検出した後、アプリが引き続き使用できる猶予期間を定義します。デフォルト値は168時間(7日間)です。
注:
ゼロの値を設定することは推奨されません。これは、更新がダウンロードおよびインストールされるまで(ユーザーへの警告なしに)、実行中のアプリがすぐに使用できなくなるためです。これにより、ユーザーは必要な更新に準拠するためにアプリを終了せざるを得なくなり(作業が失われる可能性もあります)、状況が発生する可能性があります。
アプリの制限
重要:
アプリが電話機能にアクセスまたは使用するのをブロックするポリシーのセキュリティ上の影響を必ず考慮してください。これらのポリシーがオフの場合、管理されていないアプリとセキュアな環境の間でコンテンツが移動する可能性があります。
カメラのブロック
オンの場合、アプリがカメラハードウェアを直接使用するのを防ぎます。デフォルト値はオフです。
写真ライブラリのブロック
オンの場合、アプリがデバイス上の写真ライブラリにアクセスするのを防ぎます。デフォルト値はオンです。
マイク録音のブロック
オンの場合、アプリがマイクハードウェアを直接使用するのを防ぎます。デフォルト値はオンです。
音声入力のブロック
オンの場合、アプリが音声入力サービスを直接使用するのを防ぎます。デフォルト値はオンです。
位置情報サービスのブロック
オンの場合、アプリが位置情報サービスコンポーネント(GPSまたはネットワーク)を使用するのを防ぎます。Secure Mailのデフォルト値はオフです。
SMS作成のブロック
オンの場合、アプリからSMS/テキストメッセージを送信するために使用されるSMS作成機能のアプリによる使用を防ぎます。デフォルト値はオンです。
iCloudのブロック
オンの場合、アプリが設定とデータの保存および共有のためにiCloudを使用するのを防ぎます。
注:
iCloudデータファイルは、ファイルバックアップのブロックポリシーによって制御されます。
デフォルト値はオンです。
ルックアップのブロック
オンの場合、アプリがルックアップ機能を使用するのを防ぎます。この機能は、辞書、iTunes、App Store、映画の上映時間、近くの場所などでハイライトされたテキストを検索します。デフォルト値はオンです。
ファイルバックアップのブロック
オンの場合、データファイルがiCloudまたはiTunesによってバックアップされるのを防ぎます。デフォルト値はオンです。
AirPrintのブロック
オンの場合、アプリがAirPrint対応プリンターへのデータ印刷のためにAirPrint機能を使用するのを防ぎます。デフォルト値はオンです。
AirDropのブロック
オンの場合、アプリがAirDropを使用するのを防ぎます。デフォルト値はオンです。
FacebookおよびTwitter APIのブロック
オンの場合、アプリがiOSのFacebookおよびTwitter APIを使用するのを防ぎます。デフォルト値はオンです。
画面コンテンツの隠蔽
オンの場合、ユーザーがアプリを切り替えるときに、画面が隠されます。このポリシーは、iOSが画面コンテンツを記録したりサムネイルを表示したりするのを防ぎます。デフォルト値はオンです。
サードパーティ製キーボードのブロック(iOS 11以降のみ)
オンの場合、アプリがiOS 8以降でサードパーティ製キーボード拡張機能を使用するのを防ぎます。デフォルト値はオンです。
アプリのジオフェンス
中心点の経度
アプリの動作が制限されるポイント/半径ジオフェンスの中心点の経度(X座標)。設定されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
符号付き度数形式(DDD.dddd)で表現する必要があります。例:”-31.9635”。西経にはマイナス記号を付ける必要があります。デフォルト値は0です。
中心点の緯度
アプリの動作が制限されるポイント/半径ジオフェンスの中心点の緯度(Y座標)。設定されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
符号付き度数形式(DDD.dddd)で表現する必要があります。例:”43.06581”。南緯にはマイナス記号を付ける必要があります。デフォルト値は0です。
半径
アプリの動作が制限されるジオフェンスの半径。設定されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
メートルで表現する必要があります。ゼロに設定すると、ジオフェンスは無効になります。位置情報サービスのブロックポリシーが有効になっている場合、ジオフェンスは正しく機能しません。デフォルトは0(無効)です。