iOS向け業務用モバイルアプリのMDXポリシー
この文書では、iOSアプリケーションに対するMDXポリシーについて説明します。ポリシーの設定は、Citrix Endpoint Managementコンソールで変更します。詳しくは、「アプリの追加」を参照してください。
次の一覧には、Secure Web固有のMDXポリシーは含まれません。Secure Webに表示されるポリシーについて詳しくは、「Secure Webポリシー」を参照してください。
認証
デバイスのパスコード
[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。Appleのファイル暗号化機能を使用してアプリデータを暗号化するには、デバイスパスコードが必要です。デバイス上のすべてのアプリデータを暗号化します。デフォルト値は、[オフ] です。
アプリのパスコード
[オン] の場合、アプリを起動する、または一定期間無効になった後で再開するときにアプリのロックを解除するためPINまたはパスコードが必要です。デフォルト値は [オン] です。
すべてのアプリに対して無操作タイマーを構成するには、[設定] タブの [クライアントプロパティ] で、INACTIVITY_TIMERの値を分単位で設定します。無通信タイマーのデフォルト値は60分間です。無通信タイマーを無効にして、PINまたはパスコードを要求するプロンプトがアプリの起動時のみに表示されるようにするには、この値をゼロに設定します。
注:
[暗号キー]ポリシーで [セキュリティで保護されたオフラインアクセス] を選択した場合、このポリシーは自動的に有効になります。
最大オフライン期間 (時間)
Citrix Endpoint Managementがアプリ権利の再確認とポリシー更新を行わずにアプリを実行できる最大期間を定義します。有効期限が切れた際には、必要に応じてサーバーへのログオンを要求されます。デフォルト値は168時間(7日間)です。最短の期間は1時間です。
代替Citrix Gateway
注:
Endpoint Managementコンソールでは、このポリシー名は「代替NetScaler Gateway」です。
認証およびこのアプリケーションとのマイクロVPNセッションで使用される、特定の代替Citrix Gatewayのアドレス。このポリシーはオプションです。オンラインセッションを必要とするポリシーと共に使用した場合は、アプリを強制的に特定のゲートウェイに再認証させます。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。空のままにしておいた場合は、常にサーバーのデフォルトゲートウェイが使用されます。デフォルト値は空です。
デバイスのセキュリティ
ジェイルブレイクまたはRoot化を禁止
[オン] の場合、デバイスがジェイルブレイクされたまたはRoot化された時、アプリがロックされます。[オフ] の場合、デバイスがジェイルブレイクされたまたはRoot化された時でも、アプリを実行できます。デフォルト値は [オン] です。
ネットワークの要件
Wi-Fiを必須とする
[オン] の場合、デバイスがWi-Fiネットワークに接続されていない時にアプリがロックされます。[オフ] の場合、デバイスに4G/3G、LAN接続、またはWi-Fi接続などのアクティブな接続がある場合でもアプリを実行できます。デフォルト値は、[オフ] です。
許可されたWi-Fiネットワーク
Wi-Fiネットワークのコンマ区切り一覧。ネットワーク名に英数字以外の文字(コンマなど)を含める場合は、ネットワーク名を二重引用符で囲む必要があります。一覧にあるネットワークに接続された場合のみ、アプリが実行されます。空白にした場合、すべてのネットワークが許可されます。この値は、モバイルネットワークへの接続に影響しません。デフォルトでは何も設定されていません。
その他のアクセス
必要なアップグレードを無効化
App Storeでアプリの最新バージョンにアップグレードするという要件を無効にします。デフォルト値は [オン] です。
アプリ更新猶予期間(時間)
アプリ更新を利用できることが検出された後に、アプリの継続使用が許可される猶予期間を定義します。デフォルト値は168時間(7日間) です。
注:
値にゼロを使用することは推奨されません。(更新がダウンロードされてインストールされるまで)実行中のアプリをすぐに使用することができなくなるためです(ユーザーへの警告はなし)。この場合、必要な更新に準拠するために、ユーザーは強制的にアプリケーションを終了させられることがあります(作業が破棄されてしまう可能性があります)。
ロック時にアプリデータを消去
アプリがロックされた時に、データを消去し、アプリをリセットします。[オフ] の場合、アプリがロックされてもアプリデータは消去されません。デフォルト値は、[オフ] です。
アプリは次のいずれかの理由によりロックされます。
- アプリのユーザー権の喪失
- アプリのサブスクリプションの削除
- アカウントが削除されました
- Secure Hubがアンインストールされました
- 指定回数を超えたアプリ認証失敗
- ジェイルブレイクされたデバイスの検出(ポリシー設定ごと)
- ほかの管理措置によりロック状態にされたデバイスの検出
アクティブなポーリング周期(分)
アプリを起動すると、MDXフレームワークはCitrix Endpoint Managementをポーリングして、現在のアプリとデバイス状態を判別します。Endpoint Managementを実行中のサーバーへの到達が可能だと推測されると、フレームワークは、デバイスのロックと消去の状態、およびアプリの有効または無効状態に関する情報を返します。サーバーへの到達の可否にかかわらず、アクティブなポーリング期間の間隔を元にして、それ以降のポーリングがスケジュールされます。期間が終了した後、新しいポーリングが再度試行されます。デフォルト値は60分(1時間)です。
重要:
リスクの高いアプリにのみこの値を低く設定します。そうしないと、パフォーマンスが低下する可能性があります。
暗号化
暗号化の種類
データの暗号化をMDXとデバイスプラットフォームのどちらで処理するかを選択できます。[MDX暗号化] を選択すると、データはMDXによって暗号化されます。[コンプライアンス強制によるプラットフォーム暗号化] を選択すると、データはデバイスプラットフォームによって暗号化されます。デフォルト値は [MDX暗号化] です。
非準拠デバイスの動作
デバイスが暗号化の最低コンプライアンス要件を順守していない場合のアクションを選択できます。[アプリを許可] を選択すると、アプリが通常どおり動作します。[警告後にアプリを許可する] を選択すると、警告が表示された後にアプリが実行されます。[ブロック] を選択すると、アプリの実行をブロックします。デフォルト値は [警告後にアプリを許可する] です。
MDX暗号化の有効化
[オフ] の場合、デバイスに格納されているデータは暗号化されません。[オン] の場合、デバイスに格納されているデータは暗号化されます。デフォルト値は [オン] です。
注意:
アプリの展開後にこのポリシーを変更すると、ユーザーはアプリを再インストールする必要があります。
データベースの暗号化から除外する対象
自動的に暗号化しないデータベースの除外一覧。特定のデータベースのデータベース暗号化を禁止するには、このコンマで区切った正規表現の一覧にエントリを追加します。データベースパス名が正規表現のうちのいずれかと一致する場合、そのデータベースは暗号化から除外されます。排除パターンはPosix 1003.2 Extended Regular Expressions構文をサポートします。パターンマッチングでは大文字小文字が区別されません。
例
\\.db$,\\.sqlite$は、「.db」または「.sqlite」のいずれかで終わるデータベースパス名を除外します。
\/Database\/unencrypteddb\.dbは、Databaseサブフォルダーにあるデータベースunencrypteddb.dbと一致します。
\/Database\/ は、パス内に /Database/ を含んでいるすべてのデータベースと一致します。
デフォルト値は空です。
ファイルの暗号化から除外する対象
自動的に暗号化されないファイルの除外一覧。特定のファイルのセットに対して暗号化を禁止するには、このコンマで区切った正規表現の一覧にエントリを追加します。ファイルパス名が正規表現のうちのいずれかと一致する場合、そのファイルは暗号化から除外されます。排除パターンはPosix 1003.2 Extended Regular Expressions構文をサポートします。パターンマッチングでは大文字小文字が区別されません。
例
\\.log$,\\.dat$は、「.log」または「.dat」のいずれかで終わるデータベースパス名を除外します。
\/Documents\/unencrypteddoc\.txtは、Documentsサブフォルダーにあるファイルunencrypteddoc.txtの内容と一致します。
\/Documents\/UnencryptedDocs\/.*\.txtは、サブパス/Documents/UnencryptedDocs/の下にある「.txt」ファイルと一致します。
デフォルト値は空です。
アプリ相互作用
切り取りおよびコピー
このアプリでのクリップボードへの切り取りおよびコピー操作を禁止、許可、または制限します。[制限]の場合、コピーしたクリップボードデータは、MDXアプリのみで使用できるプライベートクリップボードに貼り付けられます。デフォルト値は、[制限] です。
貼り付け
このアプリでのクリップボードへの貼り付け操作を禁止、許可、または制限します。[制限] の場合、クリップボードデータは、MDXアプリのみが使用できるプライベートクリップボードから貼り付けられます。デフォルト値は [制限なし] です。
ドキュメント交換(このアプリケーションで開く)
このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリケーションとのみ交換できます。
[制限なし] の場合、[暗号化を有効化]ポリシーを [オン] に設定し、ラップされていないアプリでユーザーがドキュメントを開けるようにします。受信するアプリケーションがラップされていないか、または暗号化が無効になっている場合、Citrix Endpoint Managementはドキュメントを暗号化します。 デフォルト値は、[制限] です。
[このアプリケーションで開く]制限の例外一覧
[ドキュメント交換(このアプリケーションで開く)]ポリシーが [制限] の場合、MDXアプリは管理されていないApp IDのコンマ区切りの一覧とドキュメントを共有できます。この共有は、[ドキュメント交換(このアプリケーションで開く)]ポリシーが [制限] になっており、[暗号化を有効化]ポリシーが [オン] になっている場合でも行われます。デフォルトの例外一覧は、Office 365アプリを許可します。
com.microsoft.Office.Word,com.microsoft.Office.Excel,com.microsoft.Office.Powerpoint, com.microsoft.onenote,com.microsoft.onenoteiPad,com.microsoft.Office.Outlook
このポリシーについては、Office 365アプリだけがサポートされます。
注意:
このポリシーのセキュリティについて予想される事柄について検討する必要があります。除外一覧を使うと、管理されていないアプリとMDX環境間でコンテンツをやり取りできます。
接続のセキュリティ レベル
接続で使用されるTLS/SSLの最低バージョンを規定します。[TLS] の場合、接続はすべてのTLSプロトコルをサポートします。[SSLv3とTLS] の場合、接続でSSL 3.0およびTLSがサポートされます。デフォルト値は [TLS] です。
受信ドキュメント交換(このアプリケーションで開く)
このアプリのドキュメント交換操作を禁止、許可、制限します。[制限] の場合、ドキュメントはMDXアプリとのみ交換できます。デフォルト値は [制限なし] です。
[禁止] または [制限] の場合、受信ドキュメント交換のホワイトリストポリシーを使用してこのアプリにドキュメントを送信できるアプリを指定します。
オプション:[制限なし]、[禁止]、または [制限]
アプリのURLスキーム
iOSアプリは、http://などハンドル特定のスキームに登録された他のアプリにURL要求を発信できます。この機能により、アプリが他のアプリに支援要求を送信するメカニズムが提供されます。このポリシーでは、処理のためにこのアプリに渡されるスキーム(すなわち受信URL)がフィルター処理されます。デフォルト値は空で、すべての登録済みアプリのURLスキームが禁止されることを意味します。
このポリシーでは、コンマで区切られたパターンの一覧の形式を使用する必要があります。各パターンの前にプラス記号(+)またはマイナス記号(-)が付きます。一致が見つかるまで、一覧の順序で受信URLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて処理が実行されます。
- マイナス記号「-」が付いている場合、このアプリケーションに渡されないようにURLをブロックします。
- プラス記号「+」が付いている場合、処理のためアプリケーションに渡されるようにURLを許可します。
- パターンの最初の文字がプラス(+)またはマイナス(-)のどちらでもない場合は、+(許可)とみなされます。
- 受信URLが一覧のいずれのパターンにも一致しない場合、そのURLは禁止されます。
次の表は、App URLスキームの例を示しています。
| スキーム | URLスキームを必要とするアプリ | 目的 |
|---|---|---|
ctxmobilebrowser |
Secure Web- | Secure WebによるHTTPの使用を許可します。他のアプリからのURLです。 |
ctxmobilebrowsers |
Secure Web- | Secure WebによるHTTPSの使用を許可します。他のアプリからのURLです。 |
ctxmail |
Secure Mail- | Secure MailによるHTTPの使用を許可します。他のアプリからのmailto: URLです。 |
| COL-G2M | GoToMeeting- | ラップされたGoToMeetingアプリが会議要求を制御するのを許可します。 |
ctxsalesforce |
Citrix for Salesforce - | Citrix for SalesforceによるSalesforce要求の処理を許可します。 |
wbx |
WebEx | ラップされたWebExアプリが会議要求を制御するのを許可します。 |
アプリ相互作用(送信URL)
URLフィルタリングから除外されたドメイン
このポリシーでは、「許可するURL」フィルタリングの対象から送信URLを除外します。「許可するURL」フィルタリングから除外する完全修飾ドメイン名(FQDN)またはDNSサフィックスを、コンマ区切りの一覧形式で追加します。このポリシーが空(デフォルト)の場合、「許可するURL」フィルタリング処理で定義されているURLが許可されます。このポリシーでエントリを指定している場合、一覧の1つ以上の項目に(DNSサフィックスの照合で)一致するホストフィールドを持つURLは、変更されないままiOSに送信されます。この通信は、[許可するURL]フィルタリングロジックをバイパスします。デフォルト値は空です。
許可するURL
iOSアプリは、"http://"などハンドル特定のスキームに登録された他のアプリケーションにURL要求を発信できます。この機能により、アプリが他のアプリに支援要求を送信するメカニズムが提供されます。このポリシーでは、処理のためにこのアプリからほかのアプリに渡されるURL(すなわち送信URL)がフィルター処理されます。
このポリシーでは、コンマで区切られたパターンの一覧の形式を使用する必要があります。各パターンの前にプラス記号(+)またはマイナス記号(-)を付けることができます。一致が見つかるまで、一覧の順序で発信URLがパターンと比較されます。一致が見つかると、パターン冒頭のプラスまたはマイナス記号に応じて処理が実行されます。マイナス「-」接頭辞では、URLを別のアプリに渡すことが禁止されます。プラス「+」接頭辞では、処理のためにURLを別のアプリに渡すことが許可されます。パターンの最初の文字がプラス「+」またはマイナス「-」のどちらでもない場合は、+(許可)とみなされます。等号(=)で区切られた値のペアは、最初の文字列が出現したら2番目の文字列で置き換えるという置換処理を示します。検索文字列の先頭に正規表現「^」を使用すると、先頭部分が一致しているURLを検出できます。発信URLが一覧のパターンと一致しない場合、そのURLはブロックされます。
デフォルト
+maps.apple.com
+itunes.apple.com
^http:=ctxmobilebrowser:
^https:=ctxmobilebrowsers:
^mailto:=ctxmail:
+^citrixreceiver:
+^telprompt:
+^tel:
+^lmi-g2m:
+^maps:ios_addr
+^mapitem:
+^sms:
+^facetime:
+^ctxnotes:
+^ctxnotesex:
+^ctxtasks:
+^facetime-audio:
+^itms-apps:
+^ctx-sf:
+^sharefile:
+^lync:
+^slack:
+^msteams:
何も設定しないままにすると、次を除き、すべてのURLがブロックされます。
http:https:+citrixreceiver: +tel:
次の表は、許可されたURLの例を示しています。
| URL形式 | 説明 |
|---|---|
| ^mailto:=ctxmail | すべてのmailto:のURLがSecure Mailで開きます。 |
| ^http | すべてのHTTP URLがSecure Webで開きます。 |
| ^https | すべてのHTTPS URLがSecure Webで開きます。 |
| ^tel | ユーザーによる通話発信を許可します。 |
-//www.dropbox.com |
管理されたアプリから発信されたDropbox URLをブロックします。 |
| +^COL-G2M | 管理されたアプリがGoToMeetingクライアントアプリを開くのを許可します。 |
| -^SMS | メッセージングチャットクライアントの使用をブロックします。 |
| -^wbx | 管理対象アプリがWebExクライアントアプリを開くのをブロックします。 |
| +^ctxsalesforce | Citrix for SalesforceによるSalesforceサーバーとの通信を許可します。 |
許可するSecure Webドメイン
このポリシーは、Secure Webアプリケーション(^ http:=ctxmobilebrowser: および ^https:=ctxmobilebrowsers:)にURLをリダイレクトする「許可されたURL」ポリシーエントリにのみ影響します。Secure Webアプリへのリダイレクトが許可された完全修飾ドメイン名(FQDN)またはDNSサフィックスのコンマ区切りの一覧を追加します。このポリシーが空の場合(デフォルト)、すべてのドメインがSecure Webアプリへのリダイレクトを許可されます。このポリシーに値があれば、一覧の少なくとも1つの項目に一致する(DNSサフィックスの一致)ホストフィールドを持つURLのみがSecure Webアプリにリダイレクトされます。その他のすべてのURLはSecure WebをバイパスしてそのままiOSに送信されます。デフォルト値は空です。
アプリ制限
重要:
電話機能へのアクセスまたは使用からアプリをブロックするポリシーのセキュリティについて予想される事柄に関し、検討の必要があります。これらのポリシーが [オフ] に設定されている場合、管理されていないアプリとSecure環境間でコンテンツをやり取りできます。
カメラを禁止
[オン] の場合、アプリによるカメラハードウェアの直接使用が禁止されます。デフォルト値は [オフ] です。
フォト ライブラリを禁止
[オン] の場合、アプリがデバイス上のフォトライブラリにアクセスするのを防ぎます。デフォルト値は [オン] です。
マイク録音を禁止
[オン] の場合、アプリでマイクハードウェアを直接使用できなくなります。デフォルト値は [オン] です。
ディクテーションを禁止
[オン] の場合、アプリによるディクテーションサービスの直接使用が禁止されます。デフォルト値は [オン] です。
位置情報サービスを禁止
[オン] の場合、アプリによるロケーションサービスコンポーネント(GPSまたはネットワーク)の使用が禁止されます。Secure Mailのデフォルト値は [オフ] です。
SMS作成を禁止
[オン] の場合、アプリでは、SMS/テキストメッセージの送信に使用するSMS作成機能を使用できません。デフォルト値は [オン] です。
メール作成を禁止
[オン] の場合、アプリでは、そのアプリからのメールメッセージ送信に使用するメール作成機能を使用できません。デフォルト値は [オン] です。
iCloudを禁止
[オン] の場合、アプリによる、設定とデータの格納および共有のためのiCloudの使用が禁止されます。
注:
iCloudのデータファイルは、[ファイルのバックアップを禁止]ポリシーによって制御されます。
デフォルト値は [オン] です。
検索を禁止
[オン] の場合、アプリは辞書、iTunes、App Store、動画の再生、位置情報などで強調表示されたテキストを検索する機能を使用できません。デフォルト値は [オン] です。
ファイルのバックアップを禁止
[オン] の場合、iCloudまたはiTunesによるデータファイルのバックアップが禁止されます。デフォルト値は [オン] です。
AirPrintを禁止
[オン] の場合、アプリではAirPrint対応プリンターでデータを印刷するAirPrint機能を使用できません。デフォルト値は [オン] です。
AirDropを禁止
[オン] の場合、アプリによるAirDropの使用が禁止されます。デフォルト値は [オン] です。
添付ファイルを禁止
注:
このポリシーはiOS 11以降のデバイスに適用されます。
[オン] の場合、添付ファイルの処理が無効になります。デフォルト値は、[オフ] です。
FacebookとTwitterのAPIを禁止
[オン] の場合、[オン]の場合、アプリによるiOS FacebookおよびTwitter APIの使用が禁止されます。デフォルト値は [オン] です。
画面の内容を不鮮明にする
[オン] の場合、ユーザーがアプリを切り替えると、画面が不明瞭になります。このポリシーにより、iOSが画面コンテンツを記録しサブネイルを表示するのを阻止します。デフォルト値は [オン] です。
サードパーティ製キーボードを禁止(iOS 11以降のみ)
[オン] の場合、アプリによる、iOS 8以降のデバイス上でのサードパーティ製キーボード拡張機能の使用が禁止されます。デフォルト値は [オン] です。
アプリログを禁止
[オン] の場合、アプリによる業務用モバイルアプリ診断ログファシリティの使用が禁じられます。[オフ] の場合、アプリログが記録され、Secure Hubのメールサポート機能を使って収集されることがあります。デフォルト値は、[オフ] です。
ShareFileの有効化
ユーザーにShareFileを使用したファイル転送を許可します。デフォルト値は [オン] です。
ファイルからの添付の有効化
iOSファイルアプリから添付ファイルを追加できるようにします。デフォルト値は [オン] です。
アプリのネットワークアクセス
ネットワークアクセス
注:
[トンネルWeb SSO] は、この設定において [セキュアブラウズ] に相当する名前です。動作は同じです。
以下は、設定オプションです:
- 禁止:すべてのネットワークアクセスがブロックされます。アプリが使用するネットワークAPIは機能しません。前述のガイドラインに基づいて、このような失敗を正常に処理する必要があります。
- 制限なし:ネットワーク呼び出しはすべて直接転送され、トンネリングされません。
- トンネル-Web SSO:HTTP/HTTPS URLが書き込まれます。このオプションでは、HTTPトラフィックおよびHTTPSトラフィックのトンネリングのみが許可されます。トンネル-Web SSOの大きなメリットは、HTTPトラフィックとHTTPSトラフィックのシングルサインオン(SSO)、およびPKINIT認証です。Androidでは、このオプションはセットアップの手間が少ないため、Web閲覧操作に関する推奨オプションとなっています。
[トンネル-完全VPN] または [トンネル-完全VPNおよびWeb SSO] を使用している場合、[トンネル-Web SSO] に切り替える必要があります。廃止されたポリシーを引き続き使用すると、メールの同期に失敗します。
注:
[トンネル-完全VPN] を使用し、Secure Ticket Authority(STA)が構成されている場合、最新の認証画面を読み込めません。
マイクロVPNセッションを必須とする
[はい] の場合、企業ネットワークおよびアクティブなセッションに接続する必要があります。[いいえ] の場合、アクティブなセッションは必要ありません。デフォルト値は [以前の設定を使用] です。新しくアップロードされたアプリの場合、デフォルト値は [いいえ] です。この新しいポリシーへのアップグレード前に選択されていた設定は、[以前の設定を使用] 以外のオプションを選択するまで有効なままになります。
マイクロVPNセッションを必須とするまでの猶予期間(分)
この値では、(オンラインセッションが検証されるまで)[オンラインセッションを必須とする]ポリシーにより使用を停止されるまで、アプリケーションを使用できる分数を指定します。デフォルト値は0(猶予期間なし)です。このポリシーは、Microsoft IntuneおよびEMSとの統合には適用されません。
証明書ラベル
証明書ラベルStoreFront証明書統合サービスと一緒に使用する場合、このラベルによって、このアプリに必要な特定の証明書が識別されます。ラベルが指定されないと、証明書を公開キー基盤(PKI)で使用できるようにはなりません。デフォルト値は空です(証明書が使用されません)。
除外の一覧
VPN接続を使用せずに直接アクセスするFQDNまたはDNSサフィックスのコンマ区切りの一覧。この値は、Citrix Gatewayを分割トンネルリバースモードに設定している場合の [トンネルWeb SSO] モードにのみ適用されます。
アプリログ
デフォルトのログ出力
デフォルトで、業務用モバイルアプリ診断ログファシリティによってどの出力媒体が使用されるかを決定します。選択肢としては、[ファイル]、[コンソール]、または両方です。デフォルト値は [ファイル] です。
デフォルトのログレベル
業務用モバイルアプリ診断ログファシリティのデフォルトの詳細度を制御します。各レベルには、下位のレベル値が含まれます。使用できるレベルの範囲は次のとおりです:
- 0 - ログを記録されない
- 1 - 深刻なエラー
- 2 - エラー
- 3 - 警告
- 4 - 情報メッセージ
- 5 - 詳細な情報メッセージ
- 6~15 - 1~10のデバッグレベル
デフォルト値はレベル4(情報メッセージ)です。
最大ログファイル数
ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルの数を制限します。最小値は2です。最大値は8です。デフォルト値は2です。
最大ログファイルサイズ
ロールオーバーする前に、業務用モバイルアプリ診断ログファシリティによって保持されるログファイルのサイズ(単位はMB)を制限します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。
アプリのジオフェンス
中心点の経度
経度(X座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
「-31.9635」など、符号付きの度数形式(DDD.dddd)で指定します。西経の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。
中心点の緯度
緯度(Y座標)は、アプリの操作をその中に限定するポイント/半径ジオフェンスの中心点です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
「-43.06581」など、符号付きの度数形式(DDD.dddd)で指定します。南半球の緯度の場合は先頭にマイナス記号を付ける必要があります。デフォルト値は0です。
半径
半径は、アプリの操作をその中に限定するジオフェンスの半径です。構成されたジオフェンスの外で操作しても、アプリはロックされたままとなります。
値はメートルで表す必要があります。0に設定すると、ジオフェンスは無効になります。[位置情報サービスを禁止]ポリシーが有効な場合、ジオフェンスは正常に機能しません。デフォルトは0(無効)です。
Google Analyticsを有効化
[オン] の場合、シトリックスは匿名データを収集して製品の質を向上させます。[オフ] の場合、データは収集されません。 デフォルト値は [オン] です。
分析
Google Analyticsの詳細レベル
シトリックスは分析データを収集して製品の質を向上させます。[Anonymous] を選択した場合、企業を特定できる情報は収集されません。デフォルトは [完了] です。
レポート
Citrixレポート
[オン] の場合、問題のトラブルシューティングを目的として、Citrixによりクラッシュレポートと診断情報が収集されます。[オフ] の場合、データの収集は行われません。
注:
この機能の制御には機能フラグも使用されます。この機能を動作させるには、機能フラグとこのポリシーの両方が有効である必要があります。
デフォルト値は、[オフ] です。
アップロードトークン
アップロードトークンは、Citrix Insight Services(CIS)アカウントから取得できます。このオプションのトークンを指定した場合、CISで、デバイスからアップロードされたクラッシュレポートと診断情報にアクセスできるようになります。これらの情報にはCitrixもアクセスできます。デフォルト値は空です。
Wi-Fiのみでレポートを送信
[オン] の場合、ユーザーがWi-Fiネットワークに接続している場合のみCitrixはクラッシュレポートと診断情報を送信します。デフォルト値は [オン] です。
レポートファイルキャッシュの最大値
キャッシュを削除するまでに保持するクラッシュレポートと診断情報パッケージのサイズ上限を指定します。最小値は1MBです。最大値は5MBです。デフォルト値は2MBです。
アプリ相互作用
明示的なログオフ通知
[無効] の場合、アプリはユーザーのログオフ中にアクティブ化されません。[共有デバイスのみ] に設定すると、デバイスを共有デバイスとして構成している場合のみ、ユーザーのログオフ中にアプリがアクティブになります。Secure Mailのデフォルトは [共有デバイスのみ] です。
アプリ設定
Secure MailのExchange Server
Exchange ServerまたはIBM Notes Travelerサーバー(iOSのみ)の完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)。デフォルト値は空です。管理者がこのフィールドにドメイン名を入力した場合、ユーザーが編集することはできません。管理者がこのフィールドに何も入力しない場合、ユーザーは独自のサーバー情報を入力できます。
注意:
既存のアプリケーションに対してこのポリシーを変更する場合、ユーザーがポリシーの変更を適用するには、アプリケーションの削除と再インストールを行う必要があります。
Secure Mailユーザードメイン
ExchangeまたはNotesユーザー(iOSのみ)のデフォルトのActive Directoryドメイン名。デフォルト値は空です。
バックグラウンドネットワークサービス
バックグラウンドネットワークアクセスで許可されている、サービスアドレスのFQDNとポート。この値は、内部ネットワークまたはSecure Mailが接続するそのほかのネットワークのいずれかにあるExchange ServerまたはActiveSyncサーバーなどです(例:mail.example.com:443)。
このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、ネットワークアクセスポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、Citrix Gateway(旧称NetScaler Gateway)を使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。
デフォルト値は空で、バックグラウンドネットワークサービスは使用できません。
バックグラウンドサービスチケットの有効期間
バックグラウンドネットワークサービスチケットが有効な期間。有効期限が切れた後は、チケットの再発行のため企業ネットワークにログオンするよう求められます。デフォルト値は168時間(7日間)です。
バックグラウンドネットワークサービスゲートウェイ
バックグラウンドネットワークサービスに使用するfqdn:port形式の代替ゲートウェイアドレス。この値は、内部Exchange Serverへの接続にSecure Mailが使用するCitrix Gateway FQDNおよびポート番号です。Citrix Gateway構成ユーティリティで、Secure Ticket Authority(STA)を構成し、ポリシーを仮想サーバーに結合する必要があります。デフォルト値は空で、代替ゲートウェイが存在しないことを示します。
このポリシーを構成する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。このポリシーは、ネットワークアクセスポリシーを構成したときに適用されます。Exchange Serverが内部ネットワークにあり、Citrix Gatewayを使って内部Exchange Serverへの接続をプロキシ接続する場合は、このポリシーを使用します。
連絡先のエクスポート
重要:
ユーザーがExchange Serverに直接アクセスできる(つまりCitrix Gatewayの外側にいる)場合、この機能を有効にしないでください。それ以外の場合は、デバイスとExchangeで連絡先が重複して作成されます。
[オフ] の場合、デバイスに対するSecure Mail連絡先の一方向同期、およびSecure Mail連絡先の共有(vCardとして)が禁止されます。デフォルト値は、[オフ] です。
エクスポートする連絡先フィールド
iOSのアドレス帳にエクスポートされる連絡先のフィールドを制御します。[すべて] の場合、連絡先のすべてのフィールドがエクスポートされます。[名前と電話] の場合、名前と電話に関連するすべての連絡先フィールドがエクスポートされます。[名前、電話、メール] の場合、名前、電話、メールに関連するすべての連絡先フィールドがエクスポートされます。
デフォルト値は [すべて] です。
すべてのSSL証明書を承認する
[オン] の場合、Secure MailはすべてのSSL証明書(有効または無効)を受け入れ、アクセスを許可します。[オフ] の場合、証明書エラーが発生して警告が表示されると、Secure Mailはアクセスをブロックします。
デフォルト値は、[オフ] です。
ロック画面上の通知を制御
メールおよびカレンダー通知をロックされたデバイス画面に表示するかどうかを制御できます。[許可] の場合、通知に含まれているすべての情報が表示されます。[禁止] の場合、通知が表示されません。[メールの送信者またはイベントのタイトル] の場合、メール送信者の名前またはカレンダーイベントのタイトルのみが表示されます。[件数のみ] の場合、メールおよび会議出席依頼数が表示され、カレンダー通知の時刻も表示されます。デフォルト値は [許可] です。
デフォルトのメール通知
[オン] の場合、Secure Mailでメール関連の通知がロック画面上に表示されます。デフォルト値は [オン] です。
デフォルトの同期間隔
Secure Mailのデフォルトの同期間隔を指定します。Secure Mailユーザーは、デフォルト値を変更できます。Exchange ActiveSyncメールボックスポリシー設定である [電子メールの最大範囲フィルター] は、このポリシーより優先されます。デフォルトの同期間隔を [最大メール期間フィルター] より長い時間に設定した場合は、代わりに[最大メール期間フィルター]設定が使用されます。
Secure Mailには、ActiveSyncの [最大メール期間フィルター] 設定より短い同期間隔値のみが表示されます。
デフォルト値は3日です。
メール検索の制限
メールサーバー検索に含める日数を制限することで、モバイルデバイスからアクセスできるメール履歴の量を制限します。デフォルト値は [無制限] です。
モバイルデバイスに同期されるメールの量を制限するには、[クライアントの最大同期周期]ポリシーを構成します。
最大同期間隔
同期周期を制限することで、モバイルデバイスにローカルに保存するメールの量を制御します。デフォルト値は [すべて] です。デバイスでメールサーバーを検索できる周期を制限するには、[メール サーバー検索の制限]ポリシーを構成します。
週番号を有効化
[オン] にすると、カレンダー表示に週番号が含まれます。デフォルト値は、[オフ] です。
Wi-Fiを経由する添付ファイルのダウンロードを有効化
[オン] の場合、Secure Mailの[添付ファイルのダウンロード]オプションが有効になり、ユーザーはデフォルトで、許可されている内部Wi-Fiネットワーク経由で添付ファイルをダウンロードできます。[オフ] の場合、Secure Mailの[添付ファイルをダウンロード]オプションが無効になり、ユーザーはデフォルトではWi-Fi経由で添付ファイルをダウンロードできません。
デフォルト値は、[オフ] です。
オフラインドキュメントを許可
ユーザーがオフラインでデバイスにドキュメントを保存できるかどうか、およびその期間を指定します。デフォルト値は [無制限] です。
Information Rights Management
[オン] の場合、Secure MailはExchange Information Rights Management(IRM)機能をサポートします。デフォルト値は、[オフ] です。
メール分類
[オン] の場合、Secure MailはSEC(セキュリティ)およびDLM(Dissemination Limiting Markers)のメール分類マーキングをサポートします。分類マーキングは”X-Protective-Marking”値としてメールヘッダーに表示されます。関連するメール分類ポリシーを構成する必要があります。
デフォルト値は、[オフ] です。
メール分類のマーキング
分類マーキングを指定してユーザーが使用できるようにします。一覧が空の場合、Secure Mailは保護マーキングの一覧を含めません。マーキングの一覧にはセミコロンで区切られた値のペアが含まれています。各ペアには、Secure Mailに表示される値と、Secure Mailのメールの件名とヘッダーに付随された文字列であるマーキング値が含まれます。たとえば、マーキングペアの「UNOFFICIAL,SEC=UNOFFICIAL」の場合、リスト値は「UNOFFICIAL」、マーキング値は「SEC=UNOFFICIAL」となります。
メール分類の名前空間
使用される分類の標準によりメールヘッダー内で必要とされる分類名前空間を指定します。たとえば、名前空間”gov.au”はヘッダーには”NS=gov.au”と表示されます。
デフォルト値は空です。
メール分類のバージョン
使用される分類の標準によりメールヘッダー内で必要とされる分類バージョンを指定します。たとえば、バージョン”2012.3”はヘッダーには”VER=2012.3”と表示されます。
デフォルト値は空です。
デフォルトのメール分類
ユーザーがマーキングを選択しない場合にSecure Mailがメールに適用する保護マーキングを指定します。この値は、[メール分類のマーキング]ポリシーの一覧にある必要があります。
デフォルト値は [UNOFFICIAL] です。
メールの下書きの自動保存を有効化
[オン] の場合、Secure Mailは [下書き] フォルダーへのメッセージの自動保存をサポートします。
デフォルト値は [オン] です。
最初の認証メカニズム
このポリシーでは、最初の使用時にプロビジョニング画面の[アドレス]フィールドの入力にMDXが提供するメールサーバーアドレスを使用するか、ユーザーのメールアドレスを使用するかを指定します。
デフォルト値は [メールサーバーアドレス] です。
最初の認証資格情報
このポリシーでは、最初の使用時にプロビジョニング画面にユーザー名として選択する必要がある値を定義します。
デフォルト値は [登録ユーザー名] です。
ユーザ名の自動入力を有効化
有効にした場合、アカウントプロビジョニングのユーザーインターフェイスでユーザー名が自動入力されます。デフォルト値は [オン] です。
iOSデータ保護を有効化
注:
このポリシーは、Australian Signals Directorate(ASD)のコンピューターセキュリティ要件に準拠する必要があるエンタープライズを対象としています。
ファイル使用時のiOSデータ保護を有効にします。[オン] の場合、アプリのサンドボックスでファイルを作成および開くときのファイル保護レベルを指定します。デフォルト値は、[オフ] です。
プッシュ通知のEWSホスト名
メール用のExchange Webサービス(EWS:Exchange Web Services)をホストするサーバーです。EWSのURLにポート番号を付けて指定する必要があります。デフォルト値は空です。
プッシュ通知
メールボックスのアクティビティに関するAPNsベースの通知を有効にします。[オン] の場合、Secure Mailはプッシュ通知をサポートします。
デフォルト値は、[オフ] です。
プッシュ通知のリージョン
Secure Mailユーザー用のAPNsホストが置かれる地域です。オプションは、[南北アメリカ]、[EMEA]、[APAC] です。デフォルト値は [南北アメリカ] です。
S/MIMEパブリック証明書のソース
S/MIME証明書のソースを指定します。[メール] の場合、ユーザーにユーザー証明書をメールで送信し、ユーザーはSecure Mailでそのメールを開いて添付された証明書をインポートする必要があります。
[共有コンテナ] の場合、サポートされるデジタルIDプロバイダーによってSecure Appsアプリの共有コンテナに証明書が供給されます。サードパーティプロバイダーと統合する場合、関連のアプリがユーザーに公開される必要があります。ユーザーエクスペリエンスの詳細については、[Secure Mailの初回起動時にS/MIMEを有効化]ポリシーの説明を参照してください。
デフォルト値は [メール] です。
Secure Mailの初回起動時にS/MIMEを有効化
[S/MIME証明書のソース]ポリシーの設定値が [共有コンテナ] である場合に、Secure Mailの初回起動時にSecure MailでS/MIMEを有効化するかどうかを指定します。[オン] の場合、共有コンテナにユーザーの証明書があると、Secure MailはS/MIMEを有効にします。共有された資格情報コンテナに証明書がない場合は、証明書のインポートを求めるプロンプトがユーザーに表示されます。どちらの場合も、Secure Mailでアカウントを作成する前に、ユーザーはサポートされたデジタルIDプロバイダーアプリから証明書を構成する必要があります。
[オフ] の場合、Secure MailでS/MIMEは有効化されません。ユーザーはSecure Mailの設定でS/MIMEを有効にできます。デフォルト値は、[オフ] です。
カレンダーWebおよびオーディオオプション
- GoToMeetingおよびユーザー入力: ユーザーは開催する会議の種類を選択できます。ほかのオプションには、GoToMeetingページを表示する[GoToMeeting]と、ユーザーがマニュアルで会議の情報を入力できる [そのほかの電話会議] があります。
- ユーザー入力のみ: ユーザーは[そのほかの電話会議]ページにリダイレクトされ、マニュアルで会議の情報を入力します。
S/MIMEパブリック証明書のソース
S/MIMEパブリック証明書のソースを指定します。[Exchange] の場合、Secure MailはExchange Serverから証明書を取得します。[LDAP] の場合、Secure MailはLDAPサーバーから証明書を取得します。デフォルト値は [Exchange] です。
LDAPサーバーアドレス
LDAPサーバーアドレス(ポート番号を含む)。デフォルト値は空です。
LDAPベースDN
LDAPベースの識別名です。デフォルト値は空です。
LDAPに匿名でアクセスする
このポリシーが [オン] の場合、Secure Mailは事前の認証なしにLDAPを検索できます。デフォルトは [オフ] です。
許可するメールドメイン
許可するメールドメインの一覧を、「server.company.com,server.company.co.uk」のようにコンマ区切り形式で設定します。デフォルトでは空白であり、Secure Mailはメールドメインをフィルタ処理せずにすべてのメールドメインをサポートします。Secure Mailは、この一覧に指定したドメインをメールアドレスのドメイン名と照合します。たとえば、server.company.comというドメイン名を一覧に加えた場合に、メールアドレスがuser@internal.server.company.comであると、Secure Mailではこのメールアドレスがサポートされます。
認証失敗時にユーザー名移行を試行
認証用にUPNへのExchangeのユーザー名の移行を試行します。デフォルト値は [オフ] です。
フィッシングメールの報告アドレス
このポリシーを設定すると、指定したメールアドレスまたはコンマ区切りのメールアドレスの一覧に、フィッシングメールの可能性があるメールを報告できます。デフォルト値は空です。このポリシーを設定しない場合、フィッシングメッセージを報告できません。
フィッシング報告の方法
このポリシーでは、フィッシングメールの可能性があるメールの報告に使用する方法を指定します。
- 添付ファイルで報告: フィッシングメールを添付ファイルとして報告します。この添付ファイルは、[フィッシングメールの報告アドレス]ポリシーに設定されているメールアドレスまたはコンマ区切りのメールアドレスの一覧に送信されます。
- 転送で報告: フィッシングメールを転送して報告します。メールは、[フィッシングメールの報告アドレス]ポリシーに設定されているメールアドレスまたはコンマ区切りのメールアドレスの一覧に転送されます。
注:
このポリシーは、Microsoft Exchange Serverでのみ使用できます。
デフォルト値は [添付ファイルで報告] です。
Skype for Business会議のドメイン
このポリシーでは、Skype for Businessの会議に使用するドメインをコンマ区切りの一覧として指定します。
Secure Mailは、デフォルトで以下のURLプレフィックスが付く会議ドメインを受け入れるように設定されています:
https://joinhttps://meethttps://lync
このポリシーでは、ほかのSkype For Businessドメインを「https://*domain*」の形式で追加することができます。ドメインには英数字を使用できますが、特殊文字は使用できません。先頭にhttps://を付けたり、末尾にピリオドを付けたりしないでください。
例:
ポリシーの設定値がcustomDomain1,customDomain2の場合、Skype for Business用にサポートされるURLプレフィックスは次のようになります:
https://customDomain1http://customDomain1https://customDomain2http://customDomain2
デフォルト値は空です。
カレンダーのエクスポート
このポリシーでは、デバイスまたは個人用カレンダーへのSecure Mailのカレンダーイベントのエクスポートを許可するかどうかを指定します。個人用カレンダーでは、エクスポートしたイベントを確認できます。イベントを編集するときには、Secure Mailを使用できます。デフォルト値は [会議の時間] です。
個人用カレンダーに表示されるカレンダーイベントフィールドには、次のMDXポリシーの値を使用できます:
- なし(エクスポートしない)
- 会議の時間
- 会議の時間、場所
- 会議の時間、件名、場所
- 会議の時間、件名、場所、メモ
発信者番号
[オン] の場合、Secure Mailは、保存されている連絡先の名前と電話番号を発信者識別のためにiOSに提供します。これらのデータは、着信した電話番号の詳細をSecure Mailの連絡先一覧から特定し、表示するためにのみ使用されます。デフォルト値は [オン] です。
Office 365のOAuthサポート
Office 365の認証メカニズム
このポリシーは、Office 365でアカウントを構成する時に認証に使用するOAuthメカニズムを示します。
- OAuthを使用しない: Secure Mailはアカウント構成でOAuthを使用せず、基本認証を使用します。
- OAuthでユーザー名とパスワードを使用する: OAuthフローで、ユーザーにユーザー名とパスワード、およびMFAコード(オプション)を入力するように求めます。
- クライアント証明書でOAuthを使用: OAuthフローでクライアント証明書を使用してユーザーの認証を行います。
デフォルトは [OAuthを使用しない] です。
信頼されたExchange Onlineホスト名
アカウントの構成時の認証でOAuthメカニズムを使用する、信頼できるExchange Onlineのホスト名一覧を定義します。「server.company.com, server.company.co.uk」のようなコンマ区切り形式で指定します。一覧が空の場合、Secure Mailはアカウント構成に基本認証を使用します。デフォルト値はoutlook.office365.comです。
信頼されたAD FSホスト名
Office 365のOAuth認証中にパスワードを入力するWebページの、信頼できるAD FSホスト名の一覧を定義します。この値は、sts.companyname.com、sts.company.co.ukなどのコンマ区切りの形式です。一覧が空の場合、Secure Mailはパスワードを自動入力しません。Secure Mailは、ホスト名一覧をOffice 365認証中に検出されたWebページのホスト名と照合し、そのページがHTTPSプロトコルを使用しているかを確認します。たとえば、sts.company.comがホスト名一覧にある場合にユーザーがhttps://sts.company.comにアクセスすると、このページにパスワードフィールドがあれば、Secure Mailがパスワードを入力します。デフォルト値はlogin.microsoftonline.comです。
メールのリダイレクト
メールのリダイレクト
メールの作成を禁止または制限します。Secure Mailは、メールの作成時にSecure Mailにリダイレクトします。アカウントが設定されている場合、ネイティブメールプログラムはメールの作成時にネイティブメールプログラムにリダイレクトします。デフォルト値は [Secure Mail] です。
Slackとの統合
Slackの有効化
Slackとの統合を禁止または許可します。[オン] の場合、Secure MailのインターフェイスにSlackの機能が追加されます。[オフ] の場合、Slackの機能はSecure Mailのインターフェイスに統合されません。デフォルト値は [オフ] です。
Slackワークスペース名
会社用のSlackワークスペースの名前です。名前を指定すると、サインオン時にSecure Mailによりそのワークスペース名が事前入力されます。名前を指定しない場合は、ユーザーがワークスペース名(name.slack.com)を入力する必要があります。デフォルト値は空です。