Android向けサードパーティ製アプリのMDXポリシー

本記事では、Android向けサードパーティ製アプリのMDXポリシーについて説明します。Citrix Endpoint Management™コンソールでポリシー設定を変更できます。

認証

アプリのパスコード

オンの場合、アプリの起動時または一定期間の非アクティブ状態からの再開時に、アプリのロックを解除するためにPINまたはパスコードが必要です。デフォルト値はオンです。

すべてのアプリの非アクティブタイマーを設定するには、設定タブのクライアントプロパティでINACTIVITY_TIMERの値を分単位で設定します。デフォルトの非アクティブタイマー値は60分です。非アクティブタイマーを無効にし、アプリの起動時にのみPINまたはパスコードのプロンプトが表示されるようにするには、値をゼロに設定します。

注：

暗号化キーポリシーでセキュアオフラインを選択した場合、このポリシーは自動的に有効になります。

最大オフライン期間（時間）

アプリが、資格の再確認とポリシーの更新のためにネットワークログオンなしでオフラインで実行できる最大期間を定義します。デフォルト値は168時間（7日間）です。最小期間は1時間です。

期間が終了する30分前、15分前、5分前に、ユーザーにログオンを促す通知が表示されます。期限切れ後、ユーザーが正常なネットワークログオンを完了するまで、アプリはロックされたままになります。

代替Citrix Gateway

注：

Endpoint Managementコンソールでのこのポリシー名は、代替NetScaler® Gatewayです。

認証およびこのアプリとのマイクロVPNセッションに使用される特定の代替Citrix Gateway（旧称NetScaler Gateway）のアドレスです。これは、オンラインセッション必須ポリシーと組み合わせて使用​​する場合にオプションのポリシーであり、アプリに特定のゲートウェイへの再認証を強制します。このようなゲートウェイは通常、異なる（より高い保証の）認証要件とトラフィック管理ポリシーを持ちます。空のままにすると、常にサーバーのデフォルトが使用されます。デフォルト値は空です。

デバイスセキュリティ

ジェイルブレイクまたはルート化されたデバイスのブロック

オンの場合、デバイスがジェイルブレイクまたはルート化されているとアプリはロックされます。オフの場合、デバイスがジェイルブレイクまたはルート化されていてもアプリは実行できます。デフォルト値はオンです。

デバイスロックの要求

• デバイスPINまたはパスコードの場合、デバイスにPINまたはパスコードがないとアプリはロックされます。デバイスパターン画面ロックの場合、デバイスにパターン画面ロックが設定されていないとアプリはロックされます。オフの場合、デバイスにPIN、パスコード、またはパターン画面ロックが設定されていなくてもアプリは実行できます。デフォルト値はオフです。

• デバイスPINまたはパスコードには、Android 4.1 (Jelly Bean)以降のバージョンが必要です。ポリシーをデバイスPINまたはパスコードに設定すると、古いバージョンのAndroidではアプリが実行されなくなります。

• Android Mデバイスでは、デバイスPINまたはパスコードとデバイスパターン画面ロックのオプションは同じ効果を持ちます。これらのオプションのいずれかを使用すると、デバイスにPIN、パスコード、またはパターン画面ロックが設定されていない場合、アプリはロックされます。

• ネットワーク要件

Wi-Fiの要求

オンの場合、デバイスがWi-Fiネットワークに接続されていないとアプリはロックされます。オフの場合、デバイスに4G/3G、LAN、Wi-Fi接続などのアクティブな接続があればアプリは実行できます。デフォルト値はオフです。

許可されたWi-Fiネットワーク

許可されたWi-Fiネットワークのコンマ区切りのリストです。ネットワーク名に英数字以外の文字（コンマを含む）が含まれる場合、名前は二重引用符で囲む必要があります。アプリは、リストされているネットワークのいずれかに接続されている場合にのみ実行されます。空白のままにすると、すべてのネットワークが許可されます。これは携帯電話ネットワークへの接続には影響しません。デフォルト値は空白です。

その他のアクセス

• アプリ更新猶予期間（時間）

アプリの更新が利用可能であることがシステムによって検出された後、アプリを使用できる猶予期間を定義します。デフォルト値は168時間（7日間）です。

注：

ゼロの値を設定することは推奨されません。これは、実行中のアプリが、更新がダウンロードおよびインストールされるまで（ユーザーへの警告なしに）すぐに使用できなくなるためです。これにより、アプリを実行しているユーザーが、必要な更新に準拠するためにアプリを終了せざるを得なくなり（作業を失う可能性もあります）、問題が発生する可能性があります。

ロック時のアプリデータ消去

アプリがロックされたときにデータを消去し、アプリをリセットします。オフの場合、アプリがロックされてもアプリデータは消去されません。デフォルト値はオフです。

アプリは、以下のいずれかの理由でロックされる可能性があります。

• ユーザーのアプリ資格の喪失
• アプリのサブスクリプションが削除された
• アカウントが削除された
• Secure Hubがアンインストールされた
• アプリ認証の失敗が多すぎる
• ジェイルブレイクされたデバイスが検出された（ポリシー設定による）
• その他の管理操作によりデバイスがロック状態にされた

アクティブポーリング期間（分）

アプリが起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイスのステータスを判断します。Endpoint Managementを実行しているサーバーに到達できると仮定すると、フレームワークはデバイスのロック/消去ステータスとアプリの有効/無効ステータスに関する情報を返します。サーバーに到達できるかどうかにかかわらず、アクティブポーリング期間間隔に基づいて後続のポーリングがスケジュールされます。期間が終了すると、新しいポーリングが再度試行されます。デフォルト値は60分（1時間）です。

重要：

リスクの高いアプリの場合にのみこの値を低く設定してください。そうしないとパフォーマンスに影響が出る可能性があります。

非準拠デバイスの動作

デバイスが最小限のコンプライアンス要件に準拠していない場合の動作を選択できます。アプリを通常どおり実行するにはアプリを許可を選択します。警告が表示された後にアプリを実行するには警告後にアプリを許可を選択します。アプリの実行をブロックするにはブロックを選択します。デフォルト値は警告後にアプリを許可です。

公開ファイルの移行

このポリシーは、公開ファイル暗号化ポリシーを有効にした場合（無効からSecurityGroupまたはApplicationに変更した場合）にのみ適用されます。このポリシーは、既存の暗号化されていない公開ファイルにのみ適用され、これらのファイルがいつ暗号化されるかを指定します。デフォルト値は書き込み（RO/RW）です。

オプション：

• 無効。既存のファイルを暗号化しません。
• 書き込み（RO/RW）。既存のファイルが書き込み専用または読み取り/書き込みアクセスで開かれた場合にのみ暗号化します。
  • 任意。既存のファイルが任意のモードで開かれた場合に暗号化します。

注： - >

• 新しいファイル、または上書きされる既存の暗号化されていないファイルは、すべての場合において置換ファイルが暗号化されます。
• 既存の公開ファイルを暗号化すると、同じ暗号化キーを持たない他のアプリではそのファイルが利用できなくなります。

セキュリティグループ

Citrix Endpoint Managementで管理されているすべてのモバイルアプリが相互に情報を交換できるようにする場合は、このフィールドを空白のままにします。特定のアプリセット（例：財務、人事）のセキュリティ設定を管理するために、セキュリティグループ名を定義します。

注意:

既存のアプリに対してこのポリシーを変更した場合、ポリシーの変更を適用するには、ユーザーはアプリを削除して再インストールする必要があります。

許可されるSecure Webドメイン

このポリシーは、URLフィルタリングポリシーによって除外されていないドメインにのみ適用されます。ドキュメント交換が制限されている場合にSecure Webアプリにリダイレクトされる、完全修飾ドメイン名（FQDN）またはDNSサフィックスのコンマ区切りリストを追加します。

このポリシーにエントリが含まれている場合、リスト内の少なくとも1つの項目に一致するホストフィールドを持つURL（DNSサフィックスの一致による）のみが、ドキュメント交換が制限されている場合にSecure Webアプリにリダイレクトされます。

その他のすべてのURLは、デフォルトのAndroid Webブラウザに送信されます（ドキュメント交換制限ポリシーをバイパスします）。デフォルト値は空です。

アプリの操作

切り取りとコピー

このアプリのクリップボードの切り取りおよびコピー操作をブロック、許可、または制限します。制限されている場合、コピーされたクリップボードデータは、MDXアプリのみが利用できるプライベートクリップボードに配置されます。デフォルト値は制限です。

貼り付け

• このアプリのクリップボードの貼り付け操作をブロック、許可、または制限します。制限されている場合、貼り付けられたクリップボードデータは、MDXアプリのみが利用できるプライベートクリップボードから取得されます。デフォルト値は無制限です。

• ドキュメント交換（Open In）

• このアプリのドキュメント交換操作をブロック、許可、または制限します。制限されている場合、ドキュメントは他のMDXアプリおよび制限付きOpen-In例外リストポリシーで指定されたアプリ例外とのみ交換できます。無制限の場合、ユーザーがラップされていないアプリでドキュメントを開けるように、プライベートファイル暗号化ポリシーとパブリックファイル暗号化ポリシーを無効に設定します。デフォルト値は制限です。

制限付きOpen-In例外リスト

ドキュメント交換（Open In）ポリシーが制限されている場合、このAndroidインテントのリストは管理対象外のアプリに渡すことが許可されます。リストにフィルターを追加するには、Androidインテントに関する知識が必要です。フィルターは、アクション、パッケージ、スキーム、またはそれらの任意の組み合わせを指定できます。

例

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
<!--NeedCopy-->

注意

このポリシーのセキュリティ上の影響を考慮してください。例外リストにより、管理対象外のアプリとMDX環境の間でコンテンツが移動できるようになります。

受信ドキュメント交換（Open In）

• このアプリの受信ドキュメント交換操作をブロック、制限、または許可します。制限されている場合、ドキュメントは他のMDXアプリとのみ交換できます。デフォルト値は無制限です。

• ブロックまたは制限されている場合、受信ドキュメント交換ホワイトリストポリシーを使用して、このアプリにドキュメントを送信できるアプリを指定できます。その他のポリシーの相互作用については、「ギャラリーのブロック」ポリシーを参照してください。

• オプション：無制限、ブロック、または制限

• アプリの制限

重要:

アプリが電話機能にアクセスしたり使用したりするのをブロックするポリシーのセキュリティ上の影響を考慮してください。これらのポリシーがオフの場合、コンテンツは管理対象外のアプリとセキュア環境の間で移動できます。

カメラのブロック

オンの場合、アプリがカメラハードウェアを直接使用するのを防ぎます。デフォルト値はオンです。

ギャラリーのブロック

オンの場合、アプリがデバイス上のギャラリーにアクセスするのを防ぎます。デフォルト値はオフです。このポリシーは、受信ドキュメント交換（Open In）ポリシーと連携して機能します。

• 受信ドキュメント交換（Open In）が制限に設定されている場合、管理対象アプリで作業しているユーザーは、ギャラリーのブロック設定に関係なく、ギャラリーから画像を添付できません。
• 受信ドキュメント交換（Open In）が無制限に設定されている場合、管理対象アプリで作業しているユーザーは次のようになります。
  • ギャラリーのブロックがオフに設定されている場合、ユーザーは画像を添付できます。
  • ギャラリーのブロックがオンの場合、ユーザーは画像を添付できません。

マイク録音のブロック

オンの場合、アプリがマイクハードウェアを直接使用するのを防ぎます。デフォルト値はオンです。

位置情報サービスのブロック

オンの場合、アプリが位置情報サービスコンポーネント（GPSまたはネットワーク）を使用するのを防ぎます。Secure Mailの場合、デフォルト値はオフです。

SMS作成のブロック

オンの場合、アプリからSMS/テキストメッセージを送信するために使用されるSMS作成機能の使用を防ぎます。デフォルト値はオンです。

画面キャプチャのブロック

オンの場合、アプリの実行中にユーザーが画面キャプチャを撮るのを防ぎます。また、ユーザーがアプリを切り替えるときに、アプリ画面を隠します。デフォルト値はオンです。

Androidの近距離無線通信（NFC）機能を使用する場合、一部のアプリはコンテンツを送信する前に自身のスクリーンショットを撮ります。ラップされたアプリでその機能を有効にするには、「画面キャプチャのブロック」ポリシーをオフに変更します。

デバイスセンサーのブロック

オンの場合、アプリがデバイスセンサー（加速度計、モーションセンサー、ジャイロスコープなど）を使用するのを防ぎます。デフォルト値はオンです。

NFCのブロック

オンの場合、アプリが近距離無線通信（NFC）を使用するのを防ぎます。デフォルト値はオンです。

アプリログのブロック

オンの場合、アプリがモバイル生産性アプリの診断ログ機能を使用することを禁止します。オフの場合、アプリログは記録され、Secure Hubのメールサポート機能を使用して収集されることがあります。デフォルト値はオフです。

印刷のブロック

オンの場合、アプリがデータを印刷することを禁止します。アプリに共有コマンドがある場合、印刷を完全にブロックするには、ドキュメント交換（Open in）を制限またはブロックに設定する必要があります。デフォルト値はオンです。

アプリのネットワークアクセス

ネットワークアクセス

注：

トンネル - Web SSO は、設定における Secure Browse の名称です。動作は同じです。

設定オプションは次のとおりです。

• 以前の設定を使用: 以前のポリシーで設定した値がデフォルトになります。このオプションを変更した場合、このオプションに戻すべきではありません。また、新しいポリシーへの変更は、ユーザーがアプリをバージョン18.12.0以降にアップグレードするまで有効になりません。
• ブロック: アプリで使用されるネットワークAPIは失敗します。以前のガイドラインに従い、このような失敗は適切に処理する必要があります。
• 無制限: すべてのネットワーク呼び出しは直接行われ、トンネル化されません。
• トンネル - フルVPN: 管理対象アプリからのすべてのトラフィックはCitrix Gatewayを介してトンネル化されます。
• トンネル - Web SSO: HTTP/HTTPS URLが書き換えられます。このオプションは、HTTPおよびHTTPSトラフィックのトンネル化のみを許可します。トンネル - Web SSO の大きな利点は、HTTPおよびHTTPSトラフィックのシングルサインオン（SSO）とPKINIT認証です。Androidでは、このオプションはセットアップのオーバーヘッドが低いため、Webブラウジングタイプの操作に推奨されるオプションです。
• トンネル - フルVPNとWeb SSO: 必要に応じてVPNモード間の自動切り替えを許可します。特定のVPNモードで処理できない認証要求が原因でネットワーク要求が失敗した場合、代替モードで再試行されます。

いずれかのトンネルモードが選択されている場合、この初期モードでエンタープライズネットワークへのアプリごとのVPNトンネルが作成され、Citrix Gatewayの分割トンネル設定が使用されます。Citrixは、クライアント証明書またはエンタープライズネットワーク内のリソースへのエンドツーエンドSSLを使用する接続にはトンネル - フルVPNを推奨します。Citrixは、シングルサインオン（SSO）を必要とする接続にはトンネル - Web SSOを推奨します。

マイクロVPNセッションが必要

はいの場合、ユーザーはエンタープライズネットワークへの接続とアクティブなセッションを持っている必要があります。いいえの場合、アクティブなセッションは必要ありません。デフォルト値は以前の設定を使用です。新しくアップロードされたアプリの場合、デフォルト値はいいえです。このポリシーへのアップグレード前に選択された設定は、以前の設定を使用以外のオプションが選択されるまで有効です。

マイクロVPNセッションの猶予期間（分）

システムがアプリのアップデートが利用可能であることを検出した後、アプリが引き続き使用できる猶予期間を定義します。デフォルト値は168時間（7日間）です。

注：

ゼロの値を設定することは推奨されません。これは、アップデートがダウンロードおよびインストールされるまで（ユーザーへの警告なしに）、実行中のアプリがすぐに使用できなくなるためです。これにより、アプリを実行しているユーザーが、必要なアップデートに準拠するためにアプリを終了せざるを得なくなる（作業が失われる可能性のある）状況につながる可能性があります。

証明書ラベル

StoreFront™証明書統合サービスと併用する場合、このラベルは、このアプリに必要な特定の証明書を識別します。ラベルが指定されていない場合、公開鍵基盤（PKI）で使用できる証明書は提供されません。デフォルト値は空（証明書は使用されません）です。

除外リスト

VPN接続を介さずに直接アクセスされるFQDNまたはDNSサフィックスのコンマ区切りリスト。これは、Citrix Gatewayがスプリットトンネルリバースモードで構成されている場合のトンネル - Web SSOモードにのみ適用されます。

ローカルホスト接続のブロック

オンの場合、アプリはローカルホスト接続を行うことが許可されません。ローカルホストは、デバイス上でローカルに発生する通信用のアドレス（127.0.0.1や::1など）です。ローカルホストは、ローカルネットワークインターフェースハードウェアをバイパスし、ホスト上で実行されているネットワークサービスにアクセスします。オフの場合、このポリシーはネットワークアクセスポリシーを上書きします。つまり、デバイスがローカルでプロキシサーバーを実行している場合、アプリはセキュアコンテナの外部に接続できます。デフォルトはオフです。

アプリログ

デフォルトのログ出力

Citrix Endpoint Managementアプリ診断ログ機能によってデフォルトで使用される出力媒体を決定します。ファイル、コンソール、またはその両方が可能です。デフォルト値はファイルです。

デフォルトのログレベル

モバイル生産性アプリ診断ログ機能のデフォルトの詳細度を制御します。レベル番号が高いほど、より詳細なログが含まれます。

• 0 - なし
• 1 - 重大なエラー
• 2 - エラー
• 3 - 警告
• 4 - 情報メッセージ
• 5 - 詳細情報メッセージ
• 6～15 - デバッグレベル1～10

デフォルト値はレベル4（情報メッセージ）です。

最大ログファイル数

モバイル生産性アプリ診断ログ機能によって保持されるログファイルの数を、ロールオーバーする前に制限します。最小値は2です。最大値は8です。デフォルト値は2です。

最大ログファイルサイズ

モバイル生産性アプリ診断ログ機能によって保持されるログファイルのサイズを、ロールオーバーする前にメガバイト（MB）単位で制限します。最小値は1 MBです。最大値は5 MBです。デフォルト値は2 MBです。

アプリのジオフェンス

中心点の経度

アプリが動作するように制約される、ポイント/半径ジオフェンスの中心点の経度（X座標）。設定されたジオフェンスの外で操作された場合、アプリはロックされたままになります。符号付き度数形式（DDD.dddd）で表現する必要があります。例：「-31.9635」。西経はマイナス記号を前に付ける必要があります。デフォルト値は0です。

中心点の緯度

アプリが動作するように制約される、ポイント/半径ジオフェンスの中心点の緯度（Y座標）。設定されたジオフェンスの外で操作された場合、アプリはロックされたままになります。

符号付き度数形式（DDD.dddd）で表現する必要があります。例：「43.06581」。南緯はマイナス記号を前に付ける必要があります。デフォルト値は0です。

半径

アプリが動作するように制約されるジオフェンスの半径。設定されたジオフェンスの外で操作された場合、アプリはロックされたままになります。 メートル単位で表現する必要があります。ゼロに設定すると、ジオフェンスは無効になります。デフォルトは0（無効）です。

分析

Google Analyticsの詳細

Citrixは製品品質向上のため分析データを収集します。匿名を選択すると、企業を特定できる情報の収集から除外されます。