Android向けMDXポリシー
この記事では、AndroidアプリのMDXポリシーについて説明します。ポリシー設定はCitrix Endpoint Managementコンソールで変更します。詳細については、「アプリの追加」を参照してください。
以下の一覧には、Secure Webに固有のMDXポリシーは含まれていません。Secure Webに表示されるポリシーの詳細については、「Secure Webポリシー」を参照してください。
認証
アプリのパスコード
オンの場合、アプリの起動時または非アクティブ期間後の再開時に、アプリのロックを解除するためにPINまたはパスコードが必要です。デフォルト値はオンです。
すべてのアプリの非アクティブタイマーを構成するには、設定タブのクライアントプロパティで、INACTIVITY_TIMERの値を分単位で設定します。デフォルトの非アクティブタイマー値は60分です。非アクティブタイマーを無効にして、アプリの起動時にのみPINまたはパスコードのプロンプトが表示されるようにするには、値をゼロに設定します。
注:
暗号化キーポリシーでSecure offlineを選択した場合、このポリシーは自動的に有効になります。
最大オフライン期間(時間)
アプリが、資格の再確認とポリシーの更新のためのネットワークログオンなしでオフラインで実行できる最大期間を定義します。デフォルト値は168時間(7日間)です。最小期間は1時間です。
期間が終了する30分前、15分前、5分前に、ユーザーにログオンを促す通知が表示されます。期間の終了後、ユーザーが正常にネットワークログオンを完了するまで、アプリはロックされたままになります。
代替Citrix Gateway
注:
Endpoint Managementコンソールでのこのポリシー名は代替NetScaler® Gatewayです。
このアプリでの認証およびマイクロVPNセッションに使用される、特定の代替Citrix Gateway(旧NetScaler Gateway)のアドレス。代替NetScaler Gatewayは、オンラインセッション必須ポリシーと組み合わせて使用すると、アプリに特定のゲートウェイへの再認証を強制するオプションのポリシーです。このようなゲートウェイには、通常、異なる(より高い保証の)認証要件とトラフィック管理ポリシーがあります。空白のままにすると、常にサーバーのデフォルトが使用されます。デフォルト値は空白です。
デバイスセキュリティ
ジェイルブレイクまたはルート化されたデバイスのブロック
オンの場合、デバイスがジェイルブレイクまたはルート化されていると、アプリはロックされます。オフの場合、デバイスがジェイルブレイクまたはルート化されていてもアプリは実行できます。デフォルト値はオンです。
デバイスの暗号化を必須にする
オンの場合、デバイスに暗号化が構成されていないと、アプリはロックされます。オフの場合、デバイスに暗号化が構成されていなくてもアプリは実行できます。デフォルト値はオフです。
注:
このポリシーはAndroid 3.0(Honeycomb)でのみサポートされています。このポリシーをオンに設定すると、古いバージョンではアプリが実行されなくなります。
-
デバイスロックを必須にする
-
デバイスPINまたはパスコードが選択されている場合、デバイスにPINまたはパスコードが設定されていないと、アプリはロックされます。デバイスパターン画面ロックが選択されている場合、デバイスにパターン画面ロックが設定されていないと、アプリはロックされます。オフの場合、デバイスにPIN、パスコード、またはパターン画面ロックが設定されていなくてもアプリは実行できます。デフォルト値はオフです。
-
デバイスPINまたはパスコードには、Android 4.1(Jelly Bean)以降のバージョンが必要です。このポリシーをデバイスPINまたはパスコードに設定すると、古いバージョンではアプリが実行されなくなります。
- Android Mデバイスでは、デバイスPINまたはパスコードとデバイスパターン画面ロックのオプションは同じ効果を持ちます。これらのオプションのいずれかを使用すると、デバイスにPIN、パスコード、またはパターン画面ロックが設定されていない場合、アプリはロックされます。
ネットワーク要件
Wi-Fiを必須にする
オンの場合、デバイスがWi-Fiネットワークに接続されていないと、アプリはロックされます。オフの場合、デバイスが4G/3G、LAN、Wi-Fi接続などのアクティブな接続を持っている場合、アプリは実行できます。デフォルト値はオフです。
許可されるWi-Fiネットワーク
許可されるWi-Fiネットワークのコンマ区切りリスト。ネットワーク名に英数字以外の文字(コンマを含む)が含まれる場合、名前は二重引用符で囲む必要があります。アプリは、リストされているいずれかのネットワークに接続されている場合にのみ実行されます。空白のままにすると、すべてのネットワークが許可されます。この値は、携帯電話ネットワークへの接続には影響しません。デフォルト値は空白です。
その他のアクセス
アプリ更新猶予期間(時間)
システムがアプリの更新が利用可能であることを検出した後、アプリを使用できる猶予期間を定義します。デフォルト値は168時間(7日間)です。
注:
ゼロを使用することはお勧めしません。これは、更新がダウンロードおよびインストールされるまで(ユーザーへの警告なしに)実行中のアプリが使用できなくなるためです。この値は、アプリを実行しているユーザーが、必要な更新に準拠するためにアプリを終了せざるを得なくなる(作業が失われる可能性のある)状況につながる可能性があります。
ユーザーがApp Storeでアプリの最新バージョンにアップグレードする必要性を無効にします。デフォルト値はオンです。
ロック時のアプリデータの消去
アプリがロックされたときにデータを消去し、アプリをリセットします。オフの場合、アプリがロックされてもアプリデータは消去されません。デフォルト値はオフです。
アプリは、次のいずれかの理由でロックされることがあります。
- ユーザーのアプリ資格の喪失
- アプリサブスクリプションの削除
- アカウントの削除
- Secure Hubのアンインストール
- アプリ認証の失敗が多すぎる
- ジェイルブレイクされたデバイスの検出(ポリシー設定による)
- その他の管理操作によるデバイスのロック状態への移行
アクティブポーリング期間(分)
アプリが起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイスのステータスを判断します。Endpoint Managementを実行しているサーバーに到達できると仮定すると、フレームワークはデバイスのロック/消去ステータスとアプリの有効/無効ステータスに関する情報を返します。サーバーに到達できるかどうかにかかわらず、アクティブポーリング期間の間隔に基づいて後続のポーリングがスケジュールされます。期間が終了すると、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。
重要:
この値を低く設定するのは、高リスクのアプリの場合のみにしてください。そうしないと、パフォーマンスに影響が出る可能性があります。
暗号化
暗号化の種類
- MDXまたはデバイスプラットフォームのどちらでデータの暗号化を処理するかを選択できます。MDX暗号化を選択すると、MDXがデータを暗号化します。コンプライアンス強制によるプラットフォーム暗号化を選択すると、デバイスプラットフォームがデータを暗号化します。既定値はMDX暗号化です。
非準拠デバイスの動作
デバイスが暗号化の最小コンプライアンス要件に準拠していない場合に、実行するアクションを選択できます。アプリを通常どおり実行するには、アプリを許可を選択します。警告が表示された後にアプリを実行するには、警告後にアプリを許可を選択します。アプリの実行をブロックするには、ブロックを選択します。既定値は警告後にアプリを許可です。
暗号化キー
暗号化キーの導出に使用されるシークレットをデバイスに保持できるようにします。利用可能なオプションは、オフラインアクセス許可のみです。
Citrixでは、暗号化されたコンテンツへのアクセスを保護するために、ネットワークログオンまたはオフラインパスワードチャレンジを有効にするように認証ポリシーを設定することをお勧めします。
プライベートファイルの暗号化
次の場所にあるプライベートデータファイルの暗号化を制御します: /data/data/<appname> および /mnt/sdcard/Android/data/<appname>。
無効オプションは、プライベートファイルが暗号化されないことを意味します。セキュリティグループオプションは、同じセキュリティグループ内のすべてのMDXアプリで共有されるキーを使用してプライベートファイルを暗号化します。アプリケーションオプションは、このアプリに固有のキーを使用してプライベートファイルを暗号化します。既定値はセキュリティグループです。
プライベートファイルの暗号化の除外
ファイルパスのコンマ区切りリストが含まれます。各パスは、1つ以上の暗号化されたファイルを表す正規表現です。ファイルパスは、内部および外部サンドボックスに対して相対的です。既定値は空です。
除外は、次のフォルダーにのみ適用されます。
- **内部ストレージ:**
`/data/data/<your_package_name>`
-
SDカード:
/storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>/storage/emulated/legacy/Android/data/<your_package_name>
例
| 除外するファイル | プライベートファイルの暗号化の除外の値 |
|---|---|
| /data/data/com.citrix.mail/files/a.txt | ^files/a.txt |
| /storage/emulated/0/Android/data/com.citrix.mail/files内のすべてのテキストファイル | ^files/(.)+.txt$ |
| /data/data/com.citrix.mail/files内のすべてのファイル | ^files/ |
パブリックファイルへのアクセス制限
コンマ区切りのリストが含まれます。各エントリは、正規表現パスの後に(NA)、(RO)、または(RW)が続きます。パスに一致するファイルは、アクセスなし、読み取り専用、または読み書きアクセスに制限されます。リストは順に処理され、最初に一致するパスがアクセス制限の設定に使用されます。既定値は空です。
このポリシーは、パブリックファイルの暗号化が有効になっている場合(無効オプションからセキュリティグループまたはアプリケーションオプションに変更された場合)にのみ適用されます。このポリシーは、既存の暗号化されていないパブリックファイルにのみ適用され、これらのファイルがいつ暗号化されるかを指定します。
| 除外するファイル | プライベートファイルの暗号化の値 |
|---|---|
| 外部ストレージのダウンロードフォルダー(読み取り専用) | EXT:^Download/(RO) |
| 仮想ストレージのMusicフォルダー内のすべてのMP3ファイル(アクセスなし) | VS:^Music/(.)+.mp3$(NA) |
-
パブリックファイルの暗号化
- パブリックファイルの暗号化を制御します。無効の場合、パブリックファイルは暗号化されません。セキュリティグループの場合、同じセキュリティグループ内のすべてのMDXアプリで共有されるキーを使用してパブリックファイルを暗号化します。アプリケーションの場合、このアプリに固有のキーを使用してパブリックファイルを暗号化します。
既定値はセキュリティグループです。
パブリックファイルの暗号化の除外
ファイルパスのコンマ区切りリストが含まれます。各パスは、暗号化されない1つ以上のファイルを表す正規表現です。ファイルパスは、既定の外部ストレージおよびデバイス固有の外部ストレージに対して相対的です。
パブリックファイルの暗号化の除外には、外部フォルダーの場所のみが含まれます。
例
| 除外するファイル | パブリックファイルの暗号化の除外の値 |
|---|---|
| SDカードのダウンロードフォルダー | Download |
| Musicフォルダー内のすべてのMP3ファイル | ^Music/(.)+.mp3$ |
パブリックファイルの移行
このポリシーは、パブリックファイルの暗号化ポリシーを有効にした場合(無効からセキュリティグループまたはアプリケーションに変更した場合)にのみ適用されます。このポリシーは、既存の暗号化されていないパブリックファイルにのみ適用され、これらのファイルがいつ暗号化されるかを指定します。既定値は書き込み (RO/RW)です。
無効オプションは、既存のファイルが暗号化されないことを意味します。書き込み (RO/RW)オプションは、既存のファイルが書き込み専用または読み書きアクセスで開かれた場合にのみ暗号化します。任意オプションは、既存のファイルが任意のモードで開かれた場合に暗号化します。オプション:
- 無効。既存のファイルを暗号化しません
- 書き込み (RO/RW)。既存のファイルが書き込み専用または読み書きアクセスで開かれた場合にのみ暗号化します
-
任意。既存のファイルが任意のモードで開かれた場合に暗号化します
-
注:
-
-
-新しいファイル、または上書きされた既存の暗号化されていないファイルは、すべての場合において置換ファイルを暗号化します
-
-既存のパブリックファイルを暗号化すると、同じ暗号化キーを持たない他のアプリからそのファイルにアクセスできなくなります
アプリの操作
セキュリティグループ
Citrix Endpoint Management™によって管理されているすべてのモバイルアプリが相互に情報を交換できるようにする場合は、このフィールドを空白のままにします。特定のアプリセット(例: 財務または人事)のセキュリティ設定を管理するには、セキュリティグループ名を定義します。
注意:
既存のアプリに対してこのポリシーを変更した場合、ユーザーはポリシーの変更を適用するためにアプリを削除して再インストールする必要があります
切り取りとコピー
このアプリのクリップボードの切り取りおよびコピー操作をブロック、許可、または制限します。制限されている場合、コピーされたクリップボードデータは、MDXアプリのみが利用できるプライベートクリップボードに配置されます。デフォルト値は制限です。
-
貼り付け
-
このアプリのクリップボードの貼り付け操作をブロック、許可、または制限します。制限されている場合、貼り付けられたクリップボードデータは、MDXアプリのみが利用できるプライベートクリップボードから取得されます。デフォルト値は無制限です。
-
ドキュメント交換(Open In)
- このアプリのドキュメント交換操作をブロック、許可、または制限します。制限されている場合、ドキュメントは他のMDXアプリ、および「制限付きOpen-In例外リスト」ポリシーで指定されたアプリ例外とのみ交換できます。無制限の場合、ユーザーがラップされていないアプリでドキュメントを開けるように、「プライベートファイル暗号化」および「パブリックファイル暗号化」ポリシーを無効に設定します。デフォルト値は制限です。
フィルタリングから除外されるURLドメイン
このポリシーは、特定の送信URLをMDXフィルタリングから除外するために使用されます。以下の完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りリストは、MDXフィルタリングから除外されます。このポリシーにエントリが含まれている場合、リスト内の少なくとも1つの項目に一致するホストフィールドを持つURL(DNSサフィックスの一致による)は、変更されずにデフォルトのブラウザに送信されます。デフォルト値は空です。
許可されるSecure Webドメイン
このポリシーは、URLフィルタリングポリシーによって除外されていないドメインにのみ適用されます。ドキュメント交換が制限されている場合にSecure Webアプリにリダイレクトされる、完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りリストを追加します。
このポリシーにエントリが含まれている場合、ドキュメント交換が制限されているときに、リスト内の少なくとも1つの項目に一致するホストフィールドを持つURL(DNSサフィックスの一致による)のみがSecure Webアプリにリダイレクトされます。
その他のすべてのURLは、デフォルトのAndroid Webブラウザに送信されます(ドキュメント交換制限ポリシーをバイパスします)。デフォルト値は空です。
制限付きOpen-In例外リスト
ドキュメント交換(Open In)ポリシーが制限されている場合、このAndroidインテントのリストはアンマネージドアプリに渡すことが許可されます。リストにフィルターを追加するには、Androidインテントに関する知識が必要です。フィルターは、アクション、パッケージ、スキーム、またはそれらの任意の組み合わせを指定できます。
例
{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
{action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->
注意
このポリシーのセキュリティ上の影響を考慮してください。例外リストにより、アンマネージドアプリとMDX環境の間でコンテンツが移動できるようになります。
受信ドキュメント交換(Open In)
このアプリの受信ドキュメント交換操作をブロック、制限、または許可します。制限されている場合、ドキュメントは他のMDXアプリとのみ交換できます。デフォルト値は無制限です。
ブロックまたは制限されている場合、「受信ドキュメント交換ホワイトリスト」ポリシーを使用して、このアプリにドキュメントを送信できるアプリを指定できます。他のポリシーの相互作用については、「ギャラリーのブロック」ポリシーを参照してください。
オプション:無制限、ブロック、または制限
受信ドキュメント交換ホワイトリスト
受信ドキュメント交換ポリシーが制限またはブロックされている場合、非MDXアプリを含むアプリIDのこのコンマ区切りリストは、アプリにドキュメントを送信することが許可されます。このポリシーは非表示であり、編集できません。
接続セキュリティレベル
接続に使用されるTLS/SSLの最小バージョンを決定します。TLSの場合、接続はすべてのTLSプロトコルをサポートします。SSLv3およびTLSの場合、接続はSSL 3.0およびTLSをサポートします。デフォルト値はTLSです。
アプリの制限
重要:
アプリが電話機能にアクセスしたり使用したりするのをブロックするポリシーのセキュリティ上の影響を考慮してください。これらのポリシーがオフの場合、コンテンツはアンマネージドアプリとセキュア環境の間で移動できます。
カメラのブロック
オンの場合、アプリがカメラハードウェアを直接使用するのを防ぎます。デフォルト値はオンです。
ギャラリーのブロック
オンの場合、アプリがデバイス上のギャラリーにアクセスするのを防ぎます。デフォルト値はオフです。このポリシーは、受信ドキュメント交換(Open In)ポリシーと連携して機能します。
- 受信ドキュメント交換(Open In)が制限に設定されている場合、管理対象アプリで作業しているユーザーは、「ギャラリーのブロック」設定に関係なく、ギャラリーから画像を添付できません
- 受信ドキュメント交換(Open In)が無制限に設定されている場合、管理対象アプリで作業しているユーザーは次のようになります
- 「ギャラリーのブロック」がオフに設定されている場合、ユーザーは画像を添付できます
- 「ギャラリーのブロック」がオンの場合、ユーザーは画像を添付できません
マイク録音のブロック
オンの場合、アプリがマイクハードウェアを直接使用するのを防ぎます。デフォルト値はオンです。
位置情報サービスのブロック
オンの場合、アプリが位置情報サービスコンポーネント(GPSまたはネットワーク)を使用するのを防ぎます。Secure Mailの場合、デフォルト値はオフです。
SMS作成のブロック
オンの場合、アプリがSMS/テキストメッセージを送信するために使用されるSMS作成機能を使用するのを防ぎます。デフォルト値はオンです。
スクリーンキャプチャのブロック
オンの場合、アプリの実行中にユーザーがスクリーンキャプチャを撮るのを防ぎます。また、ユーザーがアプリを切り替えるときに、アプリ画面を隠します。デフォルト値はオンです。
Androidの近距離無線通信(NFC)機能を使用する場合、一部のアプリはコンテンツをビームする前に自身のスクリーンショットを撮ります。ラップされたアプリでその機能を有効にするには、「スクリーンキャプチャのブロック」ポリシーをオフに変更します。
デバイスセンサーのブロック
オンの場合、アプリがデバイスセンサー(加速度計、モーションセンサー、ジャイロスコープなど)を使用することを防止します。デフォルト値はオンです。
NFCのブロック
オンの場合、アプリが近距離無線通信(NFC)を使用することを防止します。デフォルト値はオンです。
-
アプリログのブロック
- オンの場合、アプリがモバイル生産性アプリの診断ログ機能を使用することを禁止します。オフの場合、アプリログは記録され、Secure Hubのメールサポート機能を使用して収集される可能性があります。デフォルト値はオフです。
印刷のブロック
- オンの場合、アプリがデータを印刷することを防止します。アプリに共有コマンドがある場合、印刷を完全にブロックするには、ドキュメント交換(Open in)を制限またはブロックに設定する必要があります。デフォルト値はオンです。
ShareFileの有効化
ユーザーがShareFileを使用してファイルを転送できるようにします。デフォルト値はオンです。
アプリのネットワークアクセス
ネットワークアクセス
注:
トンネル化 - Web SSOは、設定におけるセキュアブラウズの名称です。動作は同じです。
設定オプションは次のとおりです。
- 以前の設定を使用: 以前のポリシーで設定した値がデフォルトになります。このオプションを変更した場合、このオプションに戻してはなりません。また、新しいポリシーへの変更は、ユーザーがアプリをバージョン18.12.0以降にアップグレードするまで有効になりません。
- ブロック済み: アプリで使用されるネットワークAPIが失敗します。以前のガイドラインに従い、このような失敗は適切に処理する必要があります。
- 無制限: すべてのネットワーク呼び出しは直接行われ、トンネル化されません。
- トンネル化 - フルVPN: 管理対象アプリからのすべてのトラフィックはCitrix Gatewayを介してトンネル化されます。
- トンネル化 - Web SSO: HTTP/HTTPS URLが書き換えられます。このオプションでは、HTTPおよびHTTPSトラフィックのみのトンネル化が可能です。トンネル化 - Web SSOの大きな利点は、HTTPおよびHTTPSトラフィックのシングルサインオン(SSO)とPKINIT認証です。Androidでは、このオプションはセットアップのオーバーヘッドが低いため、Webブラウジングタイプの操作に推奨されるオプションです。
いずれかのトンネルモードが選択されている場合、この初期モードでアプリごとのVPNトンネルがエンタープライズネットワークに作成されます。ここでは、Citrix Gatewayの分割トンネル設定が使用されます。Citrixは、クライアント証明書またはエンドツーエンドSSLをエンタープライズネットワーク内のリソースに利用する接続にはトンネル化 - フルVPNを推奨します。Citrixは、シングルサインオン(SSO)を必要とする接続にはトンネル化 - Web SSOを推奨します。
マイクロVPNセッションが必要
- はいの場合、ユーザーはエンタープライズネットワークへの接続とアクティブなセッションを持っている必要があります。いいえの場合、アクティブなセッションは必要ありません。デフォルト値は以前の設定を使用です。新しくアップロードされたアプリの場合、デフォルト値はいいえです。このポリシーへのアップグレード前に選択されていた設定は、以前の設定を使用以外のオプションが選択されるまで有効なままです。
除外リスト
VPN接続を介さずに直接アクセスされるFQDNまたはDNSサフィックスのコンマ区切りリスト。このポリシーは、Citrix Gatewayが分割トンネルリバースモードで構成されている場合のトンネル化 - Web SSOモードにのみ適用されます。
ローカルホスト接続のブロック
-
オンの場合、アプリはローカルホスト接続を行うことが許可されません。ローカルホストは、デバイス上でローカルに発生する通信用のアドレス(127.0.0.1など)です。ローカルホストは、ローカルネットワークインターフェースハードウェアをバイパスし、ホスト上で実行されているネットワークサービスにアクセスします。オフの場合、このポリシーはネットワークアクセスポリシーを上書きします。つまり、デバイスがローカルでプロキシサーバーを実行している場合、アプリはセキュアコンテナの外部に接続できます。デフォルトはオフです。
-
証明書ラベル
StoreFront™証明書統合サービスと併用する場合、このラベルは、このアプリに必要な特定の証明書を識別します。ラベルが指定されていない場合、公開鍵インフラストラクチャ(PKI)で使用できる証明書は提供されません。デフォルト値は空(証明書は使用されません)です。
アプリログ
デフォルトのログ出力
Citrix Endpoint Managementアプリ診断ログ機能がデフォルトで使用する出力媒体を決定します。ファイル、コンソール、またはその両方が可能です。デフォルト値はファイルです。
デフォルトのログレベル
-
モバイル生産性アプリ診断ログ機能のデフォルトの詳細度を制御します。レベル番号が高いほど、より詳細なログが含まれます。
- 0 - なし
- 1 - 重大なエラー
- 2 - エラー
- 3 - 警告
- 4 - 情報メッセージ
- 5 - 詳細情報メッセージ
- 6~15 - デバッグレベル1~10
デフォルト値はレベル4(情報メッセージ)です。
最大ログファイル数
モバイル生産性アプリ診断ログ機能がロールオーバーする前に保持するログファイルの数を制限します。最小値は2です。最大値は8です。デフォルト値は2です。
最大ログファイルサイズ
モバイル生産性アプリ診断ログ機能がロールオーバーする前に保持するログファイルのサイズをMB単位で制限します。最小値は1 MBです。最大値は5 MBです。デフォルト値は2 MBです。
アプリログのリダイレクト
オンの場合、アプリからのシステムログまたはコンソールログを傍受し、モバイル生産性アプリ診断機能にリダイレクトします。この設定がオフの場合、アプリによるシステムログまたはコンソールログの使用は傍受されません。デフォルト値はオンです。
ログの暗号化
オンの場合、Citrix Endpoint Managementは診断ログを記録する際に暗号化します。オフの場合、診断ログはアプリサンドボックス内で暗号化されずに残ります。
注意:
構成されたログレベルによっては、ログの暗号化がアプリのパフォーマンスとバッテリー寿命に著しい影響を与える可能性があります。
デフォルト値はオフです。
アプリのジオフェンス
中心点の経度
アプリの動作が制限されるポイント/半径ジオフェンスの中心点の経度 (X座標)。設定されたジオフェンスの外部で操作された場合、アプリはロックされたままになります。値は符号付き度数形式 (DDD.dddd) で表現する必要があり、例えば「-31.9635」のようになります。西経にはマイナス記号を前に付ける必要があります。デフォルト値は 0 です。
中心点の緯度
アプリの動作が制限されるポイント/半径ジオフェンスの中心点の緯度 (Y座標)。設定されたジオフェンスの外部で操作された場合、アプリはロックされたままになります。
値は符号付き度数形式 (DDD.dddd) で表現する必要があり、例えば「43.06581」のようになります。南緯にはマイナス記号を前に付ける必要があります。デフォルト値は 0 です。
半径
アプリの動作が制限されるジオフェンスの半径。設定されたジオフェンスの外部で操作された場合、アプリはロックされたままになります。 値はメートルで表現する必要があります。ゼロに設定すると、ジオフェンスは無効になります。デフォルトは0 (無効) です。
分析
Google Analyticsの詳細
Citrixは製品品質の向上のため分析データを収集します。「匿名」を選択すると、企業を特定できる情報の収集を停止します。
アプリ設定
Secure Mail Exchange Server
Exchange Serverの完全修飾ドメイン名 (FQDN)、またはiOSのみの場合、IBM Notes TravelerサーバーのFQDN。デフォルト値は空です。このフィールドにドメイン名を入力すると、ユーザーは編集できません。フィールドを空のままにすると、ユーザーが独自のサーバー情報を提供します。
注意:
既存のアプリに対してこのポリシーを変更した場合、ユーザーはポリシー変更を適用するためにアプリを削除して再インストールする必要があります。
Secure Mailユーザーのドメイン
Exchangeユーザー、またはiOSのみの場合、NotesユーザーのデフォルトのActive Directoryドメイン名。デフォルト値は空です。
バックグラウンドネットワークサービス
バックグラウンドネットワークアクセスが許可されるサービスアドレスのFQDNとポート。この値は、内部ネットワーク内またはSecure Mailが接続する別のネットワーク内にあるExchange ServerまたはActiveSyncサーバーである可能性があり、例えば mail.example.com:443 のようになります。
このポリシーを構成する場合、ネットワークアクセスポリシーを 内部ネットワークへのトンネル に設定します。このポリシーは、ネットワークアクセスポリシーを構成したときに有効になります。このポリシーは、Exchange Serverが内部ネットワーク内にあり、NetScaler Gatewayを使用して内部Exchange Serverへの接続をプロキシする場合に使用します。
デフォルト値は空であり、バックグラウンドネットワークサービスが利用できないことを意味します。
バックグラウンドサービスチケットの有効期限
バックグラウンドネットワークサービスチケットが有効なままになる期間。有効期限が切れた後、チケットを更新するにはエンタープライズログオンが必要になります。デフォルト値は 168 時間 (7 日間) です。
バックグラウンドネットワークサービスゲートウェイ
バックグラウンドネットワークサービスに使用する代替ゲートウェイアドレス (FQDN:ポート形式)。このアドレスは、Secure Mailが内部Exchange Serverに接続するために使用するCitrix GatewayのFQDNとポート番号です。Citrix Gateway構成ユーティリティで、Secure Ticket Authority (STA) を構成し、ポリシーを仮想サーバーにバインドする必要があります。
デフォルト値は空であり、代替ゲートウェイが存在しないことを意味します。
このポリシーを構成する場合、ネットワークアクセスポリシーを 内部ネットワークへのトンネル に設定します。このポリシーは、ネットワークアクセスポリシーを構成したときに有効になります。このポリシーは、Exchange Serverが内部ネットワーク内にあり、Citrix Gatewayを使用して内部Exchange Serverへの接続をプロキシする場合に使用します。
連絡先のエクスポート
重要:
ユーザーがExchange Serverに直接アクセスできる場合 (つまり、Citrix Gatewayの外部からアクセスできる場合) は、この機能を有効にしないでください。そうしないと、連絡先がデバイスとExchangeで重複します。
オフの場合、Secure Mailの連絡先がデバイスに一方向同期されるのを防ぎ、Secure Mailの連絡先 (vCardとして) の共有を防ぎます。デフォルト値は オフ です。
エクスポートする連絡先フィールド
アドレス帳にエクスポートする連絡先フィールドを制御します。すべての場合、すべての連絡先フィールドがエクスポートされます。名前と電話番号の場合、名前と電話番号に関連するすべての連絡先フィールドがエクスポートされます。名前、電話番号、メールの場合、名前、電話番号、メールに関連するすべての連絡先フィールドがエクスポートされます。デフォルト値は すべて です。
すべてのSSL証明書を受け入れる
オンの場合、Secure MailはすべてのSSL証明書 (有効か無効かに関わらず) を受け入れ、アクセスを許可します。オフの場合、Secure Mailは証明書エラーが発生した場合にアクセスをブロックし、警告を表示します。デフォルト値は オフ です。
セキュアな接続を使用
オンの場合、Secure Mailはセキュアな接続を使用します。オフの場合、Secure Mailはセキュアな接続を使用しません。デフォルトは オン です。
Information Rights Management
オンの場合、Secure MailはExchange Information Rights Management (IRM) 機能に対応します。デフォルト値は オフ です。
ロック画面通知の制御
メールとカレンダーの通知がロックされたデバイス画面に表示されるかどうかを制御します。許可が選択されている場合、通知に含まれるすべての情報が表示されます。ブロックが選択されている場合、通知は表示されません。メール送信者またはイベントタイトルが選択されている場合、メール送信者の名前またはカレンダーイベントのタイトルのみが表示されます。件数のみが選択されている場合、メールと会議の招待の件数、およびカレンダーリマインダーの時刻のみが表示されます。デフォルト値は 許可 です。
デフォルトの同期間隔
Secure Mailのデフォルトの同期間隔を指定します。Secure Mailユーザーはデフォルトを変更できます。
Exchange ActiveSyncメールボックスポリシー設定の 最大メール保持期間フィルター は、このポリシーよりも優先されます。最大メール保持期間フィルターよりも長いデフォルトの同期間隔を指定した場合、代わりに最大メール保持期間フィルター設定が使用されます。Secure Mailは、Active Sync最大メール保持期間フィルター設定よりも短い同期間隔の値のみを表示します。
デフォルト値は 3 日 です。
Wi-Fi経由での添付ファイルのダウンロードを有効にする
オンの場合、Secure Mailの添付ファイルダウンロードオプションが有効になり、ユーザーはデフォルトで社内Wi-Fiネットワーク経由で添付ファイルをダウンロードできます。オフの場合、Secure Mailの添付ファイルダウンロードオプションが無効になり、ユーザーはデフォルトでWi-Fi経由で添付ファイルをダウンロードできません。デフォルト値はオフです。
オフラインドキュメントの許可
ユーザーがデバイスにオフラインドキュメントを保存できるかどうか、およびその期間を指定します。デフォルト値は無制限です。
メール下書きの自動保存を有効にする
オンの場合、Secure Mailはメッセージを下書きフォルダーに自動保存することをサポートします。デフォルト値はオンです。
初期認証メカニズム
このポリシーは、MDXによって提供されるメールサーバーアドレスが初回使用時のプロビジョニング画面のアドレスフィールドに入力されるか、またはユーザーのメールアドレスが使用されるかを示します。デフォルト値はメールサーバーアドレスです。
初期認証資格情報
このポリシーは、初回使用時のプロビジョニング画面に入力するユーザー名として選択する必要がある値を定義します。デフォルト値は登録ユーザー名です。
週番号を有効にする
オンの場合、カレンダービューに週番号が含まれます。デフォルト値はオフです。
メール分類
オンの場合、Secure MailはSEC(セキュリティ)およびDLM(配布制限マーカー)のメール分類マーキングをサポートします。分類マーキングは、メールヘッダーにX-Protective-Marking値として表示されます。関連するメール分類ポリシーを必ず構成してください。デフォルト値はオフです。
メール分類マーキング
エンドユーザーが利用できる分類マーキングを指定します。リストが空の場合、Secure Mailは保護マーキングのリストを含みません。マーキングリストには、セミコロンで区切られた値のペアが含まれます。各ペアには、Secure Mailに表示される値と、Secure Mailのメール件名およびヘッダーに追加されるテキストであるマーキング値が含まれます。たとえば、マーキングペア"UNOFFICIAL,SEC=UNOFFICIAL;"では、リスト値は“UNOFFICIAL”で、マーキング値は“SEC=UNOFFICIAL”です。
メール分類ネームスペース
使用される分類標準によってメールヘッダーで要求される分類ネームスペースを指定します。たとえば、ネームスペース”gov.au”はヘッダーに”NS=gov.au”として表示されます。デフォルト値は空です。
メール分類バージョン
使用される分類標準によってメールヘッダーで要求される分類バージョンを指定します。たとえば、バージョン”2012.3”はヘッダーに”VER=2012.3”として表示されます。デフォルト値は空です。
デフォルトのメール分類
ユーザーがマーキングを選択しない場合にSecure Mailがメールに適用する保護マーキングを指定します。この値は、メール分類マーキングポリシーのリストに含まれている必要があります。デフォルト値はUNOFFICIALです。
メール検索制限
メールサーバー検索に含まれる日数を制限することにより、モバイルデバイスからアクセスできるメール履歴の量を制限します。モバイルデバイスに同期されるメールの量を制限するには、[最大同期間隔]ポリシーを構成します。デフォルト値は無制限です。
最大同期間隔
同期期間を制限することにより、モバイルデバイスにローカルに保存されるメールの量を制御します。
デバイスがメールサーバーで検索できる期間を制限するには、[メールサーバー検索制限]ポリシーを構成します。
値は次のとおりです。
- 3日間
- 1週間
- 2週間
- 1か月
- すべて
デフォルト値はすべてです。
カレンダーのWebおよびオーディオオプション
- GoToMeetingとユーザー入力 - このオプションが選択されている場合、ユーザーは設定したい会議の種類を選択できます。オプションには、GoToMeetingページを開くGoToMeetingと、ユーザーが会議情報を手動で入力できるその他の会議が含まれます。
- ユーザー入力のみ - このオプションが選択されている場合、ユーザーは直接[その他の会議]ページに移動し、そこで会議情報を手動で入力できます。
S/MIME公開証明書のソース
S/MIME公開証明書のソースを指定します。Exchangeの場合、Secure MailはExchange Serverから証明書を取得します。LDAPの場合、Secure MailはLDAPサーバーから証明書を取得します。デフォルト値はExchangeです。
LDAPサーバーアドレス
ポート番号を含むLDAPサーバーアドレス。デフォルト値は空です。
LDAPベースDN
LDAPベースの識別名。デフォルト値は空です。
LDAPへの匿名アクセス
このポリシーがオンの場合、Secure Mailは事前の認証なしにLDAPを検索できます。デフォルトはオフです。
許可されるメールのドメイン
server.company.com,server.company.co.ukのようなコンマ区切りの形式で、許可されるメールのドメインのリストを定義します。デフォルト値は空であり、Secure Mailがメールのドメインをフィルタリングせず、すべてのメールのドメインをサポートすることを意味します。Secure Mailは、リストされたドメインをメールアドレスのドメイン名と照合します。
例えば、server.company.com がリストされたドメイン名であり、メールアドレスが user@internal.server.company.com である場合、Secure Mail はそのメールアドレスをサポートします。
プッシュ通知
メールボックスのアクティビティに関する FCM ベースの通知を有効にします。[オン] の場合、Secure Mail はプッシュ通知をサポートします。デフォルト値は [オフ] です。
プッシュ通知 EWS ホスト名
メール用の Exchange Web Services (EWS) をホストするサーバー。値は EWS の URL とポート番号である必要があります。デフォルト値は空です。
プッシュ通知リージョン
Secure Mail ユーザーの FCM ホストが配置されているリージョン。オプションは Americas、EMEA、PAC です。デフォルト値は Americas です。
認証失敗時のユーザー名移行の試行
このポリシーは、認証のために Exchange ユーザー名を UPN に移行しようとします。デフォルト値は [オフ] です。
フィッシングメールアドレスの報告
設定されている場合、疑わしいフィッシングメールを指定されたメールアドレス、またはコンマ区切りのメールアドレスのリストに報告できます。デフォルト値は空です。このポリシーを設定しない場合、フィッシングメッセージを報告することはできません。
フィッシング報告メカニズム
このポリシーは、疑わしいフィッシングメールを報告するために使用されるメカニズムを示します。
- 添付ファイル (.eml) 経由で報告 – フィッシングメールを添付ファイルとして報告します。添付ファイルは、[フィッシングメールアドレスの報告] ポリシーで設定されたメールアドレス、またはコンマ区切りのメールアドレスのリストに送信されます。
- 転送経由で報告 – フィッシングメールを転送として報告します。メールは、[フィッシングメールアドレスの報告] ポリシーで設定されたメールアドレス、またはコンマ区切りのメールアドレスのリストに転送されます。
注記:
このポリシーは、Microsoft Exchange サーバーでのみ利用可能です。
デフォルトは添付ファイル (.eml) 経由で報告です。
Skype for Business 会議ドメイン
このポリシーには、Skype for Business 会議に使用されるコンマ区切りのドメインのリストが含まれています。 Secure Mail は、以下の URL プレフィックスを持つ会議をすでに処理します。
https://joinhttps://meethttps://lync
このポリシーにより、https://*domain* の形式で他の Skype for Business ドメインを追加できます。ドメインは英数字の文字列であり、特殊文字を含めることはできません。先行する https:// や後続のドットは入力しないでください。
例
ポリシー値が customDomain1,customDomain2 の場合、Skype for Business でサポートされる URL プレフィックスは次のようになります。
https://customDomain1
http://customDomain1
https://customDomain2
http://customDomain2
デフォルト値は空です。
カレンダーのエクスポート
このポリシーにより、Secure Mail のカレンダーイベントをデバイスまたは個人のカレンダーにエクスポートできます。個人のカレンダーでイベントを表示できます。Secure Mail を使用してイベントを編集できます。デフォルト値は [会議時間] です。
個人のカレンダーに表示されるカレンダーイベントフィールドには、以下の MDX ポリシー値が利用可能です。
- なし (エクスポートしない)
- 会議時間
- 会議時間、場所
- 会議時間、件名、場所
- 会議時間、空き時間、出席者、件名、場所、メモ
Office 365 の OAuth サポート
O365 のモダン認証の使用
このポリシーが [オン] の場合、Secure Mail は Office 365 でアカウントを設定する際に認証に OAuth プロトコルを使用します。[オフ] の場合、Secure Mail は基本認証を使用します。デフォルトは [オフ] です。
信頼済み Exchange Online ホスト名
アカウントを設定する際に OAuth メカニズムを使用して認証を行う、信頼済み Exchange Online ホスト名のリストを定義します。この値は、server.company.com, server.company.co.uk のようなコンマ区切り形式です。リストが空の場合、Secure Mail はアカウント設定に基本認証を使用します。デフォルト値は outlook.office365.com です。
信頼済み AD FS ホスト名
Office 365 OAuth 認証中にパスワードが入力されるウェブページ用の、信頼済み AD FS ホスト名のリストを定義します。この値は、sts.companyname.com, sts.company.co.uk のようなコンマ区切り形式です。リストが空の場合、Secure Mail はパスワードを自動入力しません。Secure Mail は、Office 365 認証中に遭遇したウェブページのホスト名とリストされたホスト名を照合し、そのページが HTTPS プロトコルを使用しているかどうかを確認します。
例えば、sts.company.com がリストされたホスト名であり、ユーザーが https://sts.company.com に移動した場合、そのページにパスワードフィールドがあれば Secure Mail はパスワードを入力します。デフォルト値は login.microsoftonline.com です。
モダン認証用のカスタムユーザーエージェント
このポリシーにより、モダン認証のデフォルトのユーザーエージェント文字列を変更できます。 設定されている場合、このユーザーエージェント文字列は Microsoft AD FS との認証に使用されます。このポリシーを設定しない場合、モダン認証中はデフォルトの Secure Mail ユーザーエージェントが使用されます。
Slack 連携
Slack の有効化
Slack 連携をブロックまたは許可します。[オン] の場合、Secure Mail インターフェースには Slack 機能が含まれます。[オフ] の場合、Secure Mail インターフェースには Slack 機能が含まれません。
Slack ワークスペース名
会社の Slack ワークスペース名。名前を指定すると、Secure Mail はサインオン時にワークスペース名を事前入力します。名前を指定しない場合、ユーザーはワークスペース名 (name.slack.com) を入力する必要があります。