iOS向けサードパーティ製アプリのMDXポリシー
この記事では、サードパーティ製iOSアプリ向けのMDXポリシーについて説明します。ポリシー設定は、ポリシーXMLファイル内で直接変更することも、アプリを追加する際にCitrix Endpoint Management™コンソールで変更することもできます。
認証
デバイスパスコード
オンの場合、デバイスの起動時または非アクティブ期間後の再開時に、デバイスのロックを解除するためにPINまたはパスコードが必要です。Appleファイル暗号化を使用してアプリデータを暗号化するには、デバイスパスコードが必要です。デバイス上のすべてのアプリのデータが暗号化されます。デフォルト値はオフです。
アプリパスコード
オンの場合、アプリの起動時または非アクティブ期間後の再開時に、アプリのロックを解除するためにPINまたはパスコードが必要です。デフォルト値はオンです。
すべてのアプリの非アクティブタイマーを構成するには、設定タブのクライアントプロパティでINACTIVITY_TIMERの値を分単位で設定します。デフォルトの非アクティブタイマー値は60分です。非アクティブタイマーを無効にして、アプリの起動時にのみPINまたはパスコードのプロンプトが表示されるようにするには、値をゼロに設定します。
注:
暗号化キーポリシーでSecure offlineを選択した場合、このポリシーは自動的に有効になります。
オンラインセッション必須
最大オフライン期間(時間)
アプリがCitrix Endpoint Managementからのアプリエンタイトルメントの再確認とポリシーの更新なしで実行できる最大期間を定義します。期限切れになると、必要に応じてサーバーへのログオンがトリガーされる場合があります。デフォルト値は168時間(7日間)です。最小期間は1時間です。
代替Citrix Gateway
注:
Endpoint Managementコンソールでのこのポリシー名はAlternate NetScaler® Gatewayです。
このアプリでの認証およびマイクロVPNセッションに使用される特定の代替Citrix Gatewayのアドレス。これはオプションのポリシーであり、オンラインセッション必須ポリシーと併用すると、アプリが特定のゲートウェイに再認証することを強制します。このようなゲートウェイは通常、異なる(より高い保証の)認証要件とトラフィック管理ポリシーを持っています。空のままにすると、常にサーバーのデフォルトゲートウェイが使用されます。デフォルト値は空です。
デバイスセキュリティ
-
ジェイルブレイクまたはルート化されたデバイスのブロック
-
オンの場合、デバイスがジェイルブレイクまたはルート化されていると、アプリはロックされます。オフの場合、デバイスがジェイルブレイクまたはルート化されていても、アプリは実行できます。デフォルト値はオンです。
-
ネットワーク要件
-
Wi-Fi必須
オンの場合、デバイスがWi-Fiネットワークに接続されていないと、アプリはロックされます。オフの場合、デバイスに4G/3G、LAN、Wi-Fi接続などのアクティブな接続があれば、アプリは実行できます。デフォルト値はオフです。
許可されるWi-Fiネットワーク
Wi-Fiネットワークのコンマ区切りリスト。ネットワーク名に英数字以外の文字(コンマを含む)が含まれている場合、名前は二重引用符で囲む必要があります。アプリは、リストされているいずれかのネットワークに接続されている場合にのみ実行されます。空白の場合、すべてのネットワークが許可されます。これは携帯電話ネットワークへの接続には影響しません。デフォルト値は空白です。
その他のアクセス
アプリ更新猶予期間(時間)
システムがアプリの更新が利用可能であることを検出した後も、アプリが引き続き使用できる猶予期間を定義します。デフォルト値は168時間(7日間)です。
注:
ゼロの値を設定することは推奨されません。これは、更新がダウンロードおよびインストールされるまで(ユーザーへの警告なしに)実行中のアプリが使用できなくなるためです。これにより、ユーザーは必要な更新に準拠するためにアプリを終了せざるを得なくなる(作業が失われる可能性のある)状況につながる可能性があります。
ロック時のアプリデータ消去
アプリがロックされたときに、データを消去し、アプリをリセットします。オフの場合、アプリがロックされてもアプリデータは消去されません。デフォルト値はオフです。
アプリは、以下のいずれかの理由でロックされることがあります。
- ユーザーのアプリエンタイトルメントの喪失
- アプリサブスクリプションの削除
- アカウントの削除
- Secure Hubのアンインストール
- アプリ認証の失敗が多すぎる場合
- ジェイルブレイクされたデバイスの検出(ポリシー設定による)
- その他の管理操作によるデバイスのロック状態への移行
アクティブポーリング期間(分)
アプリが起動すると、MDX FrameworkはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイスのステータスを判断します。Endpoint Managementを実行しているサーバーに到達可能であると仮定すると、フレームワークはデバイスのロック/消去ステータスとアプリの有効/無効ステータスに関する情報を返します。サーバーに到達可能であるかどうかにかかわらず、アクティブポーリング期間間隔に基づいて後続のポーリングがスケジュールされます。期間が経過すると、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。
-
重要:
-
-
この値は、リスクの高いアプリの場合にのみ低く設定してください。そうしないと、パフォーマンスに影響が出る可能性があります。
非準拠デバイスの動作
デバイスが最小限のコンプライアンス要件に準拠していない場合に、アクションを選択できます。アプリを通常どおり実行するには、アプリを許可を選択します。警告が表示された後にアプリを実行するには、警告後にアプリを許可を選択します。アプリの実行をブロックするには、ブロックを選択します。デフォルト値は警告後にアプリを許可です。
アプリの操作
切り取りとコピー
このアプリのクリップボードの切り取りおよびコピー操作をブロック、許可、または制限します。制限されている場合、コピーされたクリップボードデータは、MDXアプリのみが利用できるプライベートクリップボードに配置されます。デフォルト値は制限です。
貼り付け
このアプリのクリップボードの貼り付け操作をブロック、許可、または制限します。制限されている場合、貼り付けられたクリップボードデータは、MDXアプリのみが利用できるプライベートクリップボードから取得されます。デフォルト値は無制限です。
ドキュメント交換(Open In)
このアプリのドキュメント交換操作をブロック、許可、または制限します。制限されている場合、ドキュメントは他のMDXアプリとのみ交換できます。
無制限の場合、ユーザーがラップされていないアプリでドキュメントを開けるように、暗号化を有効にするポリシーをオンに設定します。受信側アプリがラップされていないか、暗号化が無効になっている場合、Citrix Endpoint Managementはドキュメントを復号化します。デフォルト値は制限です。
制限付きOpen-In例外リスト
ドキュメント交換(Open In)ポリシーが制限されている場合、ドキュメント交換(Open In)ポリシーが制限されており、暗号化が有効になっている場合でも、MDXアプリは、このコンマ区切りのアンマネージドアプリIDリストとドキュメントを共有できます。デフォルトの例外リストでは、Office 365アプリが許可されています。
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
このポリシーでサポートされるのはOffice 365アプリのみです。
Caution:
このポリシーのセキュリティ上の影響を考慮してください。例外リストにより、管理対象外のアプリとMDX環境の間でコンテンツが移動できるようになります。
ドキュメントの受信交換 (Open In)
このアプリの受信ドキュメント交換操作をブロック、制限、または許可します。制限されている場合、ドキュメントは他のMDXアプリとのみ交換できます。デフォルト値は無制限です。
ブロックまたは制限されている場合、受信ドキュメント交換ホワイトリストポリシーを使用して、このアプリにドキュメントを送信できるアプリを指定できます。
-
Note:
-
受信ドキュメント交換ホワイトリストポリシーは、iOS 12を実行しているデバイスのみをサポートします。
オプション: 無制限、ブロック、または制限
アプリのURLスキーム
iOSアプリは、特定のスキーム(例: “http://“)を処理するように登録されている他のアプリにURLリクエストをディスパッチできます。この機能により、アプリが別のアプリにヘルプのリクエストを渡すメカニズムが提供されます。このポリシーは、このアプリに処理のために渡されるスキーム(つまり、受信URL)をフィルタリングする役割を果たします。デフォルト値は空であり、登録されているすべてのアプリURLスキームがブロックされることを意味します。
ポリシーは、各パターンがプラス「+」またはマイナス「-」で始まる可能性がある、コンマ区切りのパターンのリストとしてフォーマットする必要があります。受信URLは、一致が見つかるまでリストに記載されている順序でパターンと比較されます。一致が見つかると、接頭辞によって実行されるアクションが決定されます。
- マイナス「-」の接頭辞は、URLがこのアプリに渡されるのをブロックします。
- プラス「+」の接頭辞は、URLが処理のためにアプリに渡されることを許可します。
- パターンに「+」も「-」も指定されていない場合、「+」(許可)が想定されます。
- 受信URLがリスト内のどのパターンとも一致しない場合、URLはブロックされます。
次の表に、アプリのURLスキームの例を示します。
| スキーム | URLスキームを必要とするアプリ | 目的 |
|---|---|---|
| ctxmobilebrowser | Secure Web | Secure Webが他のアプリからのHTTP: URLを処理することを許可します。 |
| ctxmobilebrowsers | Secure Web | Secure Webが他のアプリからのHTTPS: URLを処理することを許可します。 |
| ctxmail | Secure Mail | Secure Mailが他のアプリからのmailto: URLを処理することを許可します。 |
| COL-G2M | GoToMeeting | ラップされたGoToMeetingアプリが会議リクエストを処理することを許可します。 |
| ctxsalesforce | Citrix for Salesforce | Citrix for SalesforceがSalesforceリクエストを処理することを許可します。 |
| wbx | WebEx | ラップされたWebExアプリが会議リクエストを処理することを許可します。 |
アプリのインタラクション (送信URL)
URLフィルタリングから除外されるドメイン
このポリシーは、送信URLを「許可されたURL」フィルタリングから除外します。「許可されたURL」フィルタリングから除外する完全修飾ドメイン名 (FQDN) またはDNSサフィックスのコンマ区切りリストを追加します。このポリシーが空の場合(デフォルト)、定義された「許可されたURL」フィルタリングはURLを処理します。このポリシーにエントリが含まれている場合、リスト内の少なくとも1つの項目に一致するホストフィールドを持つURL(DNSサフィックスの一致による)は、変更されずにiOSに送信され、「許可されたURL」フィルタリングロジックをバイパスします。デフォルト値は空です。
許可されたURL
iOSアプリは、特定のスキーム(例: “http://“)を処理するように登録されている他のアプリケーションにURLリクエストをディスパッチできます。この機能により、アプリが別のアプリにヘルプのリクエストを渡すメカニズムが提供されます。このポリシーは、このアプリから他のアプリに処理のために渡されるURL(つまり、送信URL)をフィルタリングする役割を果たします。
ポリシーは、各パターンがプラス「+」またはマイナス「-」で始まる可能性がある、コンマ区切りのパターンのリストとしてフォーマットする必要があります。送信URLは、一致が見つかるまでリストに記載されている順序でパターンと比較されます。一致が見つかると、接頭辞によって実行されるアクションが決定されます。マイナス「-」の接頭辞は、URLが別のアプリに渡されるのをブロックします。プラス「+」の接頭辞は、URLが処理のために別のアプリに渡されることを許可します。パターンに「+」もマイナス「-」も指定されていない場合、「+」(許可)が想定されます。「=」で区切られた値のペアは、最初の文字列の出現箇所が2番目の文字列に置き換えられる置換を示します。正規表現の「^」接頭辞を使用して、URLの先頭に固定する文字列を検索できます。送信URLがリスト内のどのパターンとも一致しない場合、ブロックされます。
デフォルト
+maps.apple.com
+itunes.apple.com
^http:=ctxmobilebrowser:
^https:=ctxmobilebrowsers:
^mailto:=ctxmail:
+^citrixreceiver:
+^telprompt:
+^tel:
+^lmi-g2m:
+^maps:ios_addr
-
+^mapitem:
-
+^sms:
+^facetime:
+^ctxnotes:
+^ctxnotesex:
+^ctxtasks:
+^facetime-audio:
+^itms-apps:
+^ctx-sf:
-
+^sharefile:
-
+^lync:
-
+^slack:
設定が空白の場合、以下のURLを除き、すべてのURLがブロックされます。
- http:
- https:
- +citrixreceiver: +tel:
次の表に、許可されたURLの例を示します。
| URL形式 | 説明 |
|---|---|
| ^mailto:=ctxmail | すべての mailto: URL は Secure Mail で開きます。 |
| ^http | すべての HTTP URL は Secure Web で開きます。 |
| ^https | すべての HTTPS URL は Secure Web で開きます。 |
| ^tel | ユーザーが通話できるようにします。 |
| -//www.dropbox.com | 管理対象アプリからディスパッチされる Dropbox URL をブロックします。 |
| +^COL-G2M | 管理対象アプリが GoToMeeting クライアントアプリを開くことを許可します。 |
| -^SMS | メッセージングチャットクライアントの使用をブロックします。 |
| -^wbx | 管理対象アプリが WebEx クライアントアプリを開くことをブロックします。 |
| +^ctxsalesforce | Citrix for Salesforce が Salesforce サーバーと通信することを許可します。 |
許可されたSecure Webドメイン
このポリシーは、URL を Secure Web アプリにリダイレクトする「許可された URL」ポリシーエントリ (^ http:=ctxmobilebrowser: および ^https:=ctxmobilebrowsers:) にのみ影響します。Secure Web アプリへのリダイレクトが許可される完全修飾ドメイン名 (FQDN) または DNS サフィックスのコンマ区切りリストを追加します。このポリシーにエントリが含まれている場合、リスト内の少なくとも 1 つの項目に一致するホストフィールドを持つ URL (DNS サフィックス一致による) のみが Secure Web アプリにリダイレクトされます。その他のすべての URL は、Secure Web アプリをバイパスして、変更されずに iOS に送信されます。デフォルト値は空です。
アプリの制限
重要:
アプリが電話機能にアクセスしたり使用したりすることをブロックするポリシーのセキュリティ上の影響を考慮してください。
これらのポリシーが オフ の場合、コンテンツは管理対象外のアプリとセキュア環境の間を移動できます。
カメラのブロック
オン の場合、アプリがカメラハードウェアを直接使用することを防止します。デフォルト値は オフ です。
写真ライブラリのブロック
オン の場合、アプリがデバイス上の写真ライブラリにアクセスすることを防止します。デフォルト値は オン です。
マイク録音のブロック
オン の場合、アプリがマイクハードウェアを直接使用することを防止します。デフォルト値は オン です。
音声入力のブロック
オン の場合、アプリが音声入力サービスを直接使用することを防止します。デフォルト値は オン です。
位置情報サービスのブロック
オン の場合、アプリが位置情報サービスコンポーネント (GPS またはネットワーク) を使用することを防止します。Secure Mail のデフォルト値は オフ です。
SMS作成のブロック
オン の場合、アプリが SMS/テキストメッセージを送信するために使用する SMS 作成機能を使用することを防止します。デフォルト値は オン です。
メール作成のブロック
オン の場合、アプリがメールメッセージを送信するために使用するメール作成機能を使用することを防止します。デフォルト値は オン です。
iCloudのブロック
オン の場合、アプリが設定とデータの保存および共有のために iCloud を使用することを防止します。
注:
iCloud データファイルは、ファイルバックアップのブロックポリシーによって制御されます。
デフォルト値は オン です。
検索のブロック
オン の場合、アプリが、辞書、iTunes、App Store、映画の上映時間、近くの場所などでハイライトされたテキストを検索する「検索」機能を使用することを防止します。デフォルト値は オン です。
ファイルバックアップのブロック
オン の場合、データファイルが iCloud または iTunes によってバックアップされることを防止します。デフォルト値は オン です。
AirPrintのブロック
オン の場合、アプリが AirPrint 対応プリンターへのデータ印刷に AirPrint 機能を使用することを防止します。デフォルト値は オン です。
AirDropのブロック
オン の場合、アプリが AirDrop を使用することを防止します。デフォルト値は オン です。
FacebookおよびTwitter APIのブロック
オン の場合、アプリが iOS の Facebook および Twitter API を使用することを防止します。デフォルト値は オン です。
画面コンテンツの隠蔽
オン の場合、ユーザーがアプリを切り替えるときに画面が隠されます。このポリシーは、iOS が画面コンテンツを記録したりサムネイルを表示したりすることを防止します。デフォルト値は オン です。
サードパーティ製キーボードのブロック (iOS 11以降のみ)
オン の場合、アプリが iOS 8 以降でサードパーティ製キーボード拡張機能を使用することを防止します。デフォルト値は オン です。
アプリログのブロック
オン の場合、アプリがモバイル生産性アプリの診断ログ機能を使用することを禁止します。オフ の場合、アプリログが記録され、Secure Hub のメールサポート機能を使用して収集される場合があります。デフォルト値は オフ です。
アプリのネットワークアクセス
ネットワークアクセス
注:
トンネル化 - Web SSO は、設定における Secure Browse の名称です。動作は同じです。
設定オプションは次のとおりです。
- ブロック済み: すべてのネットワークアクセスがブロックされます。アプリで使用されるネットワーク API は失敗します。以前のガイドラインに従って、このような失敗を適切に処理する必要があります。
- 無制限: すべてのネットワーク呼び出しは直接行われ、トンネル化されません。
- トンネル化 - Web SSO: HTTP/HTTPS URL が書き換えられます。このオプションでは、HTTP および HTTPS トラフィックのトンネル化のみが許可されます。トンネル化 - Web SSO の大きな利点は、HTTP および HTTPS トラフィックのシングルサインオン (SSO) と PKINIT 認証です。Android では、このオプションはセットアップのオーバーヘッドが低いため、Web ブラウジングタイプの操作に推奨されるオプションです。
トンネル化 - Web SSO オプションが選択されている場合、この初期モードでアプリごとの VPN トンネルがエンタープライズネットワークに作成され、Citrix Gateway のスプリットトンネル設定が使用されます。Citrix は、シングルサインオン (SSO) を必要とする接続には トンネル化 - Web SSO を推奨します。
micro VPNセッションが必要
「はい」の場合、ユーザーは企業ネットワークへの接続とアクティブなセッションが必要です。「いいえ」の場合、アクティブなセッションは必要ありません。デフォルト値は「以前の設定を使用」です。新規にアップロードされたアプリの場合、デフォルト値は「いいえ」です。この新しいポリシーへのアップグレード前に選択されていた設定は、「以前の設定を使用」以外のオプションが選択されるまで有効です。
micro VPNセッションの猶予期間(分)
この値は、オンラインセッション必須ポリシーによってユーザーがアプリをそれ以上使用できなくなるまで(オンラインセッションが検証されるまで)に、ユーザーがアプリを使用できる分数を示します。デフォルト値は0(猶予期間なし)です。このポリシーは、Microsoft Intune/EMSとの統合には適用されません。
証明書ラベル
StoreFront™証明書統合サービスと併用する場合、このラベルは、このアプリに必要な特定の証明書を識別します。ラベルが指定されていない場合、公開鍵インフラストラクチャ(PKI)で使用できる証明書は提供されません。デフォルト値は空(証明書は使用されません)です。
除外リスト
VPN接続を介さずに直接アクセスされるFQDNまたはDNSサフィックスのコンマ区切りリスト。これは、Citrix Gatewayがスプリットトンネルリバースモードで構成されている場合の「トンネル - Web SSO」モードにのみ適用されます。
アプリログ
デフォルトのログ出力
モバイル生産性アプリの診断ログ機能によってデフォルトで使用される出力メディアを決定します。選択肢はファイル、コンソール、またはその両方です。デフォルト値は「ファイル」です。
デフォルトのログレベル
モバイル生産性アプリの診断ログ機能のデフォルトの冗長性を制御します。各レベルには、それより低い値のレベルが含まれます。設定可能なレベルの範囲は次のとおりです。
- 0 - なし
- 1 - 重大なエラー
- 2 - エラー
- 3 - 警告
- 4 - 情報メッセージ
- 5 - 詳細情報メッセージ
- 6~15 - デバッグレベル1~10
デフォルト値はレベル4(情報メッセージ)です。
最大ログファイル数
モバイル生産性アプリの診断ログ機能によって保持されるログファイルの、ロールオーバー前の数を制限します。最小は2です。最大は8です。デフォルト値は2です。
最大ログファイルサイズ
モバイル生産性アプリの診断ログ機能によって保持されるログファイルの、ロールオーバー前のサイズをメガバイト(MB)単位で制限します。最小は1 MBです。最大は5 MBです。デフォルト値は2 MBです。
システムログのリダイレクト
「オン」の場合、アプリからのシステムログまたはコンソールログを傍受し、モバイル生産性アプリの診断機能にリダイレクトします。「オフ」の場合、アプリによるシステムログまたはコンソールログの使用は傍受されません。
デフォルト値は「オン」です。
アプリのジオフェンス
中心点の経度
アプリの動作が制限される、点/半径ジオフェンスの中心点の経度(X座標)。構成されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
符号付き度数形式(DDD.dddd)で表現する必要があります。例:「-31.9635」。西経にはマイナス記号を付けます。デフォルト値は0です。
中心点の緯度
アプリの動作が制限される、点/半径ジオフェンスの中心点の緯度(Y座標)。構成されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
符号付き度数形式(DDD.dddd)で表現する必要があります。例:「43.06581」。南緯にはマイナス記号を付けます。デフォルト値は0です。
半径
アプリの動作が制限されるジオフェンスの半径。構成されたジオフェンスの外で操作された場合、アプリはロックされたままになります。
メートル単位で表現する必要があります。ゼロに設定すると、ジオフェンスは無効になります。「位置情報サービスをブロック」ポリシーが有効になっている場合、ジオフェンシングは正しく機能しません。デフォルトは0(無効)です。
分析
Google Analyticsの詳細レベル
Citrixは、製品品質向上のために分析データを収集します。「匿名」を選択すると、企業を特定できる情報の含めないようにユーザーがオプトアウトされます。デフォルトは「完全」です。
レポート
Citrixレポート
「オン」の場合、Citrixは問題のトラブルシューティングに役立つクラッシュレポートと診断情報を収集します。「オフ」の場合、Citrixはデータを収集しません。
注:
Citrixは、機能フラグを使用してこの機能を制御する場合もあります。この機能が機能するには、機能フラグとこのポリシーの両方を有効にする必要があります。
デフォルト値は「オフ」です。
アップロードトークン
Citrix Insight Services(CIS)アカウントからアップロードトークンを取得できます。このオプションのトークンを指定すると、CISはデバイスからアップロードされたクラッシュレポートと診断情報へのアクセスを提供します。Citrixも同じ情報にアクセスできます。デフォルト値は空です。
Wi-Fi経由でのみレポートを送信
「オン」の場合、CitrixはWi-Fiネットワークに接続されている場合にのみクラッシュレポートと診断情報を送信します。デフォルト値は「オン」です。
レポートファイルキャッシュの最大値
キャッシュをクリアする前に保持されるクラッシュレポートおよび診断バンドルのサイズを制限します。最小は1 MBです。最大は5 MBです。デフォルト値は2 MBです。