サードパーティAndroidアプリのMDXポリシー

この文書では、サードパーティのAndroidアプリに関するMDXポリシーについて説明します。ポリシーの設定は、Citrix Endpoint Managementコンソールで変更できます。

認証

アプリのパスコード

[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。デフォルト値は [オン] です。

すべてのアプリに対して無操作タイマーを構成するには、[設定]タブの[クライアントプロパティ]で、INACTIVITY_TIMER値を分単位で設定します。無通信タイマーのデフォルト値は60分間です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。

注:

[暗号キー]ポリシーで[セキュリティで保護されたオフラインアクセス]を選択した場合、このポリシーは自動的に有効になります。

最大オフライン期間 (時間)

ネットワークへログオンして権利の再確認とポリシー更新を行なうことなく、アプリをオフラインで実行できる最大期間を定義します。デフォルト値は168時間(7日)です。最短の期間は1時間です。

期間終了の30分前、15分前、5分前に、ユーザーにログオンするように通知します。期間が終了すると、ユーザーがネットワークに正常にログオンするまでアプリはロック状態になります。

代替Citrix Gateway

注:

Endpoint Managementコンソールでは、このポリシー名は「代替NetScaler Gateway」です。

認証と、このアプリとのMicro VPNセッションに使用する特定の代替Citrix Gateway(旧称NetScaler Gateway)のアドレスです。これはオプションのポリシーで、[オンラインセッションを必須とする]ポリシーと組み合わせて使用すると、アプリに特定のゲートウェイへの再認証を強制します。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。空のままにしておいた場合は、常にサーバーのデフォルト設定が使用されます。デフォルト値は空です。

デバイスのセキュリティ

ジェイルブレイクまたはRoot化を禁止

[オン] の場合、デバイスがジェイルブレイクされたまたはRoot化された時、アプリがロックされます。[オフ] の場合、デバイスがジェイルブレイクされたまたはRoot化された時でも、アプリを実行できます。デフォルト値は [オン] です。

デバイスのロックを必須とする

[デバイスのPINまたはパスコード] の場合、デバイスにPINまたはパスコードが設定されていないと、アプリがロックされます。[デバイスのパターン画面ロック] の場合、デバイスにパターン画面ロックが設定されていないと、アプリがロックされます。[オフ] の場合、デバイスにPIN、パスコード、またはパターン画面ロックが設定されていなくてもアプリの実行が許可されます。デフォルト値は [オフ] です。

[デバイスのPINまたはパスコード] を使用するには、Android 4.1(Jellybean)以降が必要です。ポリシーを [デバイスのPINまたはパスコード] に設定すると、アプリが古いバージョンで実行されるのを防ぐことができます。

Android Mデバイスでは、デバイスのPINまたはパスコードおよびデバイスのパターン画面ロックのオプションは同じ効果があります。つまり、これらのオプションのいずれかを有効にすると、デバイスにPIN、パスコード、またはパターン画面ロックが未設定の場合アプリがロックされます。

ネットワークの要件

Wi-Fiを必須とする

[オン] の場合、デバイスがWi-Fiネットワークに接続されていない時にアプリがロックされます。[オフ] の場合、デバイスに4G/3G、LAN接続、またはWi-Fi接続などのアクティブな接続がある場合でもアプリを実行できます。デフォルト値は [オフ] です。

許可されたWi-Fiネットワーク

許可するWi-Fiネットワークのコンマ区切りの一覧。ネットワーク名に英数字以外の文字(コンマなど)を含める場合は、ネットワーク名を二重引用符で囲む必要があります。アプリは、一覧にあるネットワークに接続された場合のみ実行されます。一覧を空白のままにした場合、すべてのネットワークが許可されます。この設定は、モバイルネットワークへの接続に影響しません。デフォルトでは何も設定されていません。

その他のアクセス

アプリ更新猶予期間(時間)

利用可能なアプリの更新が検出された時から、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日)です。

注:

値に0を使用することは推奨されません。(更新がダウンロードされインストールされるまで)実行中のアプリケーションが即座に使用できなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新に準拠するために、アプリケーションを実行中のユーザーが、強制的にアプリケーションを終了させられることがあります(作業が破棄されてしまう可能性があります)。

ロック時にアプリデータを消去

アプリがロックされた時に、データを消去し、アプリをリセットします。[オフ] の場合、アプリがロックされてもアプリデータは消去されません。デフォルト値は [オフ] です。

アプリは次のいずれかの理由によりロックされます。

  • アプリのユーザー権の喪失
  • アプリのサブスクリプションの削除
  • アカウントが削除されました
  • Secure Hubがアンインストールされました
  • 指定回数を超えたアプリ認証失敗
  • ジェイルブレイクされたデバイスの検出(ポリシー設定ごと)
  • ほかの管理措置によりロック状態にされたデバイスの検出

アクティブなポーリング周期(分)

アプリを起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイス状態を判別します。Endpoint Managementを実行中のサーバーへの到達が可能だと推測されると、フレームワークは、デバイスのロックと消去の状態、およびアプリの有効または無効状態に関する情報を返します。サーバーへの到達の可否にかかわらず、アクティブなポーリング期間の間隔を元にして、それ以降のポーリングがスケジュールされます。期間が終了した後、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。

重要:

リスクの高いアプリにのみこの値を低く設定します。そうでないと、パフォーマンスが低下する可能性があります。

暗号化

暗号化の種類

データの暗号化をMDXとデバイスプラットフォームのどちらで処理するかを選択できます。[MDX暗号化] を選択すると、データはMDXによって暗号化されます。[コンプライアンス強制によるプラットフォーム暗号化] を選択すると、データはデバイスプラットフォームによって暗号化されます。デフォルト値は [MDX暗号化] です。

非準拠デバイスの動作

デバイスが暗号化の最低コンプライアンス要件を順守していない場合のアクションを選択できます。[アプリを許可] を選択すると、アプリが通常どおり動作します。[警告後にアプリを許可する] を選択すると、警告が表示された後にアプリが実行されます。[ブロック] を選択すると、アプリの実行をブロックします。デフォルト値は [警告後にアプリを許可する] です。

暗号キー

暗号キーの生成に使用されるシークレットを有効にして、デバイスで永続させます。[オフラインアクセスを許可]のみを実行できます。

暗号化されたコンテンツへのアクセスを保護するため[認証]ポリシーを設定してネットワークログオンまたはオフラインパスワードチャレンジを有効にすることをお勧めします。

MDXプライベートファイル暗号化

次の場所の個人データファイルの暗号化を制御します:/data/data/<appname>および/mnt/sdcard/Android/data/<appname>。

[無効] オプションを指定した場合、プライベートファイルは暗号化されません。[セキュリティグループ] オプションを選択すると、同じセキュリティグループのすべてのMDXアプリケーションで共有されているキーを使って、プライベートファイルが暗号化されます。[アプリケーション] オプションを選択した場合、このアプリケーションに対して一意のキーを使ってプライベートファイルが暗号化されます。デフォルト値は [セキュリティグループ] です。

プライベートファイルの暗号化から除外する対象

コンマで区切ったパスの一覧があります。各パスは、暗号化する1つまたは複数のファイルを表す正規表現です。ファイルパスは内部および外部サンドボックスと相対します。デフォルト値は空です。

以下のフォルダーのみが除外の対象になります。

  • 内部ストレージ:

    /data/data/< your_package_name >

  • SDカード:

    /storage/emulated/<SD Card Slot>/Android/data/< your_package_name >

    /storage/emulated/legacy/Android/data/< your_package_name >

除外するファイル プライベートファイルの暗号化から除外する値
/data/data/com.citrix.mail/files/a.txt ^files/a.txt
/storage/emulated/0/Android/data/com.citrix.mail/files内のすべてのテキストファイル ^files/(.)+.txt$
/data/data/com.citrix.mail/filesのすべてのファイル ^files/

MDXパブリックファイル暗号化

パブリックファイルの暗号化を制御します。[無効] の場合、パブリックファイルは暗号化されません。[セキュリティグループ] の場合、同じセキュリティグループのすべてのMDXアプリにより共有されたキーを使ってパブリックファイルが暗号化されます。[アプリケーション] の場合、このアプリに対して一意のキーを使ってパブリックファイルが暗号化されます。

デフォルト値は [セキュリティグループ] です。

パブリックファイルの暗号化から除外する対象

コンマで区切ったパスの一覧があります。各パスは、暗号化されない1つまたは複数のファイルを表す正規表現です。ファイルパスはデフォルトの外部ストレージおよびいずれのデバイス特定の外部ストレージとも相対しています。

[パブリックファイルの暗号化から除外する対象]には外部フォルダーの場所のみが含まれます。

除外するファイル パブリックファイルの暗号化から除外する値
SDカード上のダウンロードフォルダー ダウンロード
音楽フォルダー内のすべてのMP3ファイル ^Music/(.)+.mp3$

パブリックファイルの移行

このポリシーは、[パブリックファイルの暗号化]ポリシーを有効([無効] から [セキュリティグループ] または [アプリケーション] に変更)にした場合にのみ適用されます。このポリシーは、既存の暗号化されていないパブリックファイルにのみ適用でき、これらのファイルをいつ暗号化するのかを指定します。デフォルト値は [書き込み(RO/RW)] です。

[無効] オプションを指定した場合、既存のファイルは暗号化されません。[書き込み(WO/RW)] オプションでは、既存のファイルが書き込み専用または読み取り/書き込みアクセスで開かれたときにのみ暗号化します。[特定しない] オプションでは、どのモードであっても、既存のファイルが開かれるたびに暗号化します。オプション:

  • 無効。既存のファイルを暗号化しません。
  • 書き込み(RO/RW)。書き込み専用または読み取り書き込みアクセスで既存のファイルが開かれた時に暗号化します。
  • 特定しない。既存のファイルが開かれるたびに暗号化します。

注:

  • 新しいファイルまたは上書きされる既存の暗号化されていないファイルは、毎回置換ファイルを暗号化します。
  • 既存のパブリックファイルを暗号化すると、同じ暗号化キーがないほかのアプリではそのファイルを使用できなくなります。

セキュリティグループ

Citrix Endpoint Managementで管理するすべてのモバイルアプリで情報を交換させるには、このフィールドを空白のままにします。アプリの特定のセット(たとえば、ファイナンスまたは人事など)に対するセキュリティ設定を管理するには、セキュリティグループ名を定義します。

注意:

既存のアプリケーションに対してこのポリシーを変更する場合、ユーザーがポリシーの変更を適用するには、アプリケーションの削除と再インストールを行う必要があります。

許可するSecure Webドメイン

このポリシーは、URLフィルタリングポリシーで除外対象とされていないドメインにのみ適用されます。ドキュメント交換の設定が[制限]である場合にSecure Webアプリへリダイレクトする完全修飾ドメイン名(FQDN)またはDNSサフィックスを、コンマ区切りの一覧形式で指定します。

このポリシーでエントリを指定しており、ドキュメント交換の設定が[制限]である場合、一覧の1つ以上の項目に(DNSサフィックスの照合で)一致するホストフィールドを持つURLは、Secure Webアプリにリダイレクトされます。

ほかのURLはすべて、(ドキュメント交換制限ポリシーを無視して)デフォルトのAndroidブラウザーに送信されます。デフォルト値は空です。

アプリ相互作用

切り取りおよびコピー

このアプリでのクリップボードへの切り取りおよびコピー操作を禁止、許可、または制限します。[制限] の場合、コピーしたクリップボードデータは、MDXアプリのみで使用できるプライベートクリップボードに貼り付けられます。デフォルト値は、[制限] です。

貼り付け

このアプリでのクリップボードへの貼り付け操作を禁止、許可、または制限します。[制限] の場合、クリップボードデータは、MDXアプリのみが使用できるプライベートクリップボードから貼り付けられます。デフォルト値は [制限なし] です。

ドキュメント交換(このアプリケーションで開く)

このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリおよび[このアプリケーションで開く]制限の例外一覧で指定されたアプリの例外とのみ交換できます。[制限なし] に設定する場合は、ラップされていないアプリでユーザーがドキュメントを開けるように、[プライベートファイルの暗号化]および[パブリックファイルの暗号化]ポリシーを [無効] に設定します。デフォルト値は、[制限] です。

[このアプリケーションで開く] 制限の例外一覧

[ドキュメント交換(このアプリケーションで開く)]ポリシーが [制限] の場合、このAndroidインテントの一覧は管理されていないアプリに渡すことができます。一覧にフィルターを追加するには、Androidインテントに精通する必要があります。フィルターは、操作、パッケージ、スキーム、またはこれらの任意の組み合わせをサポートします。

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}

注意:

このポリシーのセキュリティについて予想される事柄について検討する必要があります。除外一覧を使うと、管理されていないアプリとMDX環境間でコンテンツをやり取りできます。

受信ドキュメント交換 (このアプリケーションで開く)

このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリとのみ交換できます。デフォルト値は [制限なし] です。

[禁止] または [制限] の場合、受信ドキュメント交換のホワイトリストポリシーを使用してこのアプリにドキュメントを送信できるアプリを指定します。その他のポリシーの情報については、[ギャラリーを禁止]ポリシーを参照してください。

オプション:[制限なし][禁止]、または [制限]

アプリ制限

重要:

電話機能へのアクセスまたは使用からアプリをブロックするポリシーのセキュリティについて予想される事柄に関し、検討の必要があります。これらのポリシーが [オフ] に設定されている場合、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。

カメラを禁止

[オン] の場合、アプリによるカメラハードウェアの直接使用が禁止されます。デフォルト値は [オン] です。

ギャラリーを禁止

[オン] の場合、アプリがデバイス上のギャラリーにアクセスするのを防ぎます。デフォルト値は [オフ] です。このポリシーは、[受信ドキュメント交換(このアプリケーションで開く)]とともに機能します。

  • [受信ドキュメント交換(このアプリケーションで開く)]が [制限] に設定されている場合、管理対象アプリで作業をしているユーザーは、[ギャラリーを禁止]設定に関係なく、ギャラリーから画像を添付できません。
  • [受信ドキュメント交換(このアプリケーションで開く)]が [制限なし] に設定されている場合、管理対象アプリで作業をしているユーザーの操作は以下のようになります。
    • [ギャラリーを禁止]を [オフ] に設定すると、ユーザーはイメージを添付できます。
    • [ギャラリーを禁止]を [オン] に設定すると、ユーザーはイメージを添付できなくなります。

マイク録音を禁止

[オン] の場合、アプリでマイクハードウェアを直接使用できなくなります。デフォルト値は [オン] です。

位置情報サービスを禁止

[オン] の場合、アプリによるロケーションサービスコンポーネント(GPSまたはネットワーク)の使用が禁止されます。Secure Mailのデフォルト値は [オフ] です。

SMS作成を禁止

[オン] の場合、アプリでは、SMS/テキストメッセージの送信に使用するSMS作成機能を使用できません。デフォルト値は [オン] です。

スクリーン ショットを禁止

[オン] の場合、アプリの実行中スクリーンキャプチャができないようにします。また、ユーザーがアプリを切り替えると、アプリ画面が不明瞭になります。デフォルト値は [オン] です。

Android Near Field Communication(NFC)機能を使うと、コンテンツのデータ送受信を行う前に一部のアプリはスクリーンショットを撮ります。ラップされたアプリでこの機能を有効にするには、[スクリーンキャプチャを禁止]ポリシーを [オフ] に変更します。

デバイスのセンサーを禁止

[オン] の場合、アプリによる加速度計、モーションセンサー、ジャイロスコープなどのデバイスセンサーの使用を禁止します。デフォルト値は [オン] です。

NFCを禁止

[オン] の場合、アプリによるNear Field Communications(NFC)の使用を禁止します。デフォルト値は [オン] です。

アプリログを禁止

[オン] の場合、アプリによる業務用モバイルアプリ診断ログファシリティの使用が禁じられます。[オフ] の場合、アプリログが記録され、Secure Hubのメールサポート機能を使って収集されることがあります。デフォルト値は [オフ] です。

印刷を禁止

[オン] の場合、アプリによるデータの印刷が禁止されます。アプリにShareコマンドがある場合は、[ドキュメント交換(このアプリケーションで開く)]を [制限] または [禁止] に設定して、印刷を完全にブロックする必要があります。デフォルト値は [オン] です。

アプリのネットワークアクセス

ネットワークアクセス

注:

[トンネル-Web SSO] は、この設定において [セキュアブラウズ] に相当する名前です。動作は同じです。

以下は、設定オプションです:

  • 以前の設定を使用:デフォルトでは、過去のポリシーで設定済みの値が使用されます。値の変更後は、[以前の設定を使用]に戻さないでください。また、新しいポリシーに対する変更は、ユーザーがアプリをバージョン18.12.0以降にアップグレードするまで反映されません。
  • 禁止:アプリが使用するネットワークAPIは機能しません。前述のガイドラインに基づいて、このような失敗を正常に処理する必要があります。
  • 制限なし:ネットワーク呼び出しはすべて直接転送され、トンネリングされません。
  • トンネル-完全VPN:管理対象アプリケーションからのトラフィックはすべてCitrix Gatewayを介してトンネリングされます。
  • トンネル-Web SSO:HTTP/HTTPS URLが書き込まれます。このオプションでは、 HTTPトラフィックおよびHTTPSトラフィックのトンネリングのみが許可されます。トンネル-Web SSOの大きなメリットは、HTTPトラフィックとHTTPSトラフィックのシングルサインオン(SSO)、およびPKINIT認証です。Androidでは、このオプションはセットアップの手間が少ないため、Web閲覧操作に関する推奨オプションとなっています。

いずれかのトンネルモードを選択すると、企業ネットワークに戻るPer-app VPNトンネルがこの初期モードで作成され、Citrix Gatewayの分割トンネルの設定が使用されます。企業ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、[トンネル完全VPN]を推奨します。シングルサインオン(SSO)を必要とする接続に対しては、[トンネル-Web SSO] が推奨されます。

Micro VPNセッションを必須とする

[はい] の場合、企業ネットワークおよびアクティブなセッションに接続する必要があります。[いいえ] の場合、アクティブなセッションは必要ありません。デフォルト値は [以前の設定を使用] です。新しくアップロードされたアプリの場合、デフォルト値は [いいえ] です。このポリシーへのアップグレード前に選択されていた設定は、[以前の設定を使用]以外のオプションを選択するまで有効なままになります。

Micro VPNセッションを必須とするまでの猶予期間(分)

アプリ更新を利用できることが検出された後に、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日) です。

注:

値に0を使用することは推奨されません。(更新がダウンロードされインストールされるまで)実行中のアプリケーションが即座に使用できなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新に準拠するために、アプリケーションを実行中のユーザーが、強制的にアプリケーションを終了させられることがあります(作業が破棄されてしまう可能性があります)。

証明書ラベル

証明書ラベルStoreFront証明書統合サービスと一緒に使用する場合、このラベルによって、このアプリに必要な特定の証明書が識別されます。ラベルが指定されないと、証明書を公開キー基盤(PKI)で使用できるようにはなりません。デフォルト値は空です(証明書が使用されません)。

除外の一覧

VPN接続を使用せずに直接アクセスするFQDNまたはDNSサフィックスのコンマ区切りの一覧。この設定は、Citrix Gatewayを分割トンネルリバースモードに設定している場合の [トンネルWeb SSO] モードにのみ適用されます。

localhost接続をブロック

[オン] の場合、アプリのローカルホストへの接続を禁止します。ローカルホストは、デバイス上でローカルに行われる通信用のアドレス(127.0.0.1や::1など)です。ローカルホストは、ローカルネットワークインターフェイスのハードウェアをバイパスして、ホスト上で実行されているネットワークサービスにアクセスします。[オフ] の場合、このポリシーが[ネットワークアクセス]ポリシーよりも優先されるため、デバイスでローカルにプロキシサーバーが実行されているのであれば、アプリはセキュアコンテナの外部に接続できます。デフォルトは [オフ] です。

アプリログ

デフォルトのログ出力

Citrix Endpoint Managementアプリ診断ログファシリティがデフォルトで使用する出力媒体を決定します。選択肢としては、[ファイル]、[コンソール]、または両方です。デフォルト値は[ファイル]です。

デフォルトのログレベル

業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。番号のレベルが高いほど、より詳細なログが含まれます。

  • 0 - ログを記録されない
  • 1 - 深刻なエラー
  • 2 - エラー
  • 3 - 警告
  • 4 - 情報メッセージ
  • 5 - 詳細な情報メッセージ
  • 6~15 - 1~10のデバッグレベル

デフォルト値はレベル4(情報メッセージ)です。

最大ログファイル数

ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小は2です。最大は8です。デフォルト値は2です。

最大ログファイルサイズ

ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。

アプリのジオフェンス

中心点の経度

経度(X座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。「-31.9635」など、符号付きの角度形式(DDD.dddd)で指定します。西経の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。

中心点の緯度

緯度(Y座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。

「43.06581」など、符号付きの角度形式(DDD.dddd)で指定します。南半球の緯度の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。

半径

半径は、アプリの操作をその中に限定するジオフェンスの半径です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。 値はメートル単位で指定します。0に設定した場合、ジオフェンスは無効になります。デフォルトは0(無効)です。

Analytics

Google Analyticsの詳細レベル

シトリックスは分析データを収集して製品の質を向上させます。[匿名]を選択した場合、企業を特定できる情報は収集されません。