Tarefas e considerações do administrador

Políticas de MDX para aplicativos móveis de produtividade para Android

April 15, 2025

Contribuição de:

Este artigo descreve as políticas do MDX para aplicativos Android. Você pode alterar as configurações de política no console do Citrix Endpoint Management. Para obter mais detalhes, consulte Adicionar aplicativos.

A lista a seguir não inclui as políticas do MDX específicas do Secure Web. Para obter detalhes sobre as políticas que aparecem para o Secure Web, consulte Políticas do Secure Web.

Autenticação

Código secreto do aplicativo

Se Ativado, um PIN ou senha será necessário para desbloquear o aplicativo quando ele iniciar ou reiniciar após um período de inatividade. O valor padrão é Ativado.

Para configurar o temporizador de inatividade para todos os aplicativos, defina o valor INACTIVITY_TIMER em minutos em Propriedades do cliente na guia Configurações. O valor padrão do temporizador de inatividade é 60 minutos. Para desativar o timer de inatividade de forma que um aviso de PIN ou código secreto seja exibido somente quando o aplicativo for iniciado, defina o valor como zero.

Nota:

Se você selecionar Seguro offline para a política Chaves de criptografia, a política será ativada automaticamente.

Período máximo offline (horas)

Define o período máximo que um aplicativo pode ser executado offline sem um logon de rede para reconfirmar direitos e atualizar políticas. O valor padrão é 168 horas (7 dias). O período mínimo é de 1 hora.

O usuário é lembrado de fazer login 30, 15 e 5 minutos antes do período expirar. Após a expiração, o aplicativo permanece bloqueado até que o usuário conclua um login de rede bem-sucedido.

Citrix Gateway alternativo

Nota:

Este nome de política no console do Endpoint Management é NetScaler Gateway alternativo.

Endereço de um Citrix Gateway alternativo específico (anteriormente, NetScaler Gateway) que é usado para autenticação e para sessões de micro VPN com este aplicativo. Gateway NetScaler alternativo é uma política opcional quando usada com a política de sessão online necessária, forçando os aplicativos a se autenticarem novamente no gateway específico. Esses gateways normalmente têm requisitos de autenticação (maior garantia) e políticas de gerenciamento de tráfego diferentes. Se deixado em branco, o padrão do servidor será sempre usado. O valor padrão é vazio.

Segurança do dispositivo

Bloquear jailbreak ou rooting

Se Ativado, o aplicativo será bloqueado quando o dispositivo tiver jailbreak ou rooting. Se Desativado, o aplicativo poderá ser executado mesmo se o dispositivo estiver com jailbreak ou rooting. O valor padrão é Ativado.

Exigir criptografia do dispositivo

Se Ativado, o aplicativo será bloqueado se o dispositivo não tiver criptografia configurada. Se Desativado, o aplicativo poderá ser executado mesmo que o dispositivo não tenha criptografia configurada. O valor padrão é Desativado.

Nota:

Esta política é compatível apenas com o Android 3.0 (Honeycomb). Definir a política como Ativada impede que um aplicativo seja executado em versões mais antigas.

Exigir bloqueio do dispositivo

Se PIN ou código secreto do dispositivo for selecionado, o aplicativo será bloqueado se o dispositivo não tiver um PIN ou código secreto. Se Bloqueio de tela de padrão do dispositivo for selecionado, o aplicativo será bloqueado se o dispositivo não tiver um bloqueio de tela de padrão definido. Se Desativado, o aplicativo poderá ser executado mesmo que o dispositivo não tenha um PIN, código secreto ou padrão de bloqueio de tela definidos. O valor padrão é Desativado.

PIN ou código secreto do dispositivo requer uma versão mínima do Android 4.1 (Jelly Bean). Definir a política como PIN ou código secreto do dispositivo impede que um aplicativo seja executado em versões mais antigas.

Em dispositivos Android M, as opções PIN ou código secreto do dispositivo e Bloqueio de tela de padrão do dispositivo têm o mesmo efeito: com qualquer uma dessas opções, o aplicativo será bloqueado se o dispositivo não tiver um PIN, código secreto ou bloqueio de tela de padrão definido.

Requisitos de rede

Exigir Wi-Fi

Se Ativado, o aplicativo será bloqueado quando o dispositivo não estiver conectado a uma rede Wi-Fi. Se Desativado, o aplicativo poderá ser executado se o dispositivo tiver uma conexão ativa, como uma conexão 4G/3G, LAN ou Wi-Fi. O valor padrão é Desativado.

Redes Wi-Fi permitidas

Lista delimitada por vírgulas de redes Wi-Fi permitidas. Se o nome da rede contiver caracteres não alfanuméricos (incluindo vírgulas), o nome deverá ser colocado entre aspas duplas. O aplicativo só será executado se estiver conectado a uma das redes listadas. Se deixado em branco, todas as redes serão permitidas. Este valor não afeta conexões com redes celulares. O valor padrão é em branco.

Acesso diverso

Período de tolerância de atualização de aplicativo (horas)

Define o período de tolerância no qual um aplicativo pode ser usado após o sistema descobrir que uma atualização do aplicativo está disponível. O valor padrão é 168 horas (7 dias).

Nota:

Não é recomendado usar zero, pois impede imediatamente que um aplicativo em execução seja usado até que a atualização seja baixada e instalada (sem nenhum aviso ao usuário). Esse valor pode levar a uma situação em que o usuário que executa o aplicativo é forçado a sair do aplicativo (possivelmente perdendo trabalho) para cumprir com a atualização necessária.

Desativar atualização necessária

Desativa a exigência de que os usuários atualizem para a versão mais recente do aplicativo na App Store. O valor padrão é Ativado.

Apagar dados do aplicativo no bloqueio

Apaga dados e redefine o aplicativo quando ele é bloqueado. Se Desativado, os dados do aplicativo não serão apagados quando o aplicativo for bloqueado. O valor padrão é Desativado.

Um aplicativo pode ser bloqueado por qualquer um dos seguintes motivos:

Perda do direito do aplicativo para o usuário
Assinatura do aplicativo removida
Conta removida
Secure Hub desinstalado
Muitas falhas de autenticação de aplicativo
Dispositivo desbloqueado detectado (conforme configuração de política)
Dispositivo colocado em estado bloqueado por outra ação administrativa

Intervalo ativo de sondagem (minutos)

Quando um aplicativo é iniciado, a estrutura do MDX sonda o Citrix Endpoint Management para determinar o status atual do aplicativo e do dispositivo. Supondo que o servidor que executa o Endpoint Management possa ser acessado, a estrutura retorna informações sobre o status de bloqueio/apagamento do dispositivo e o status de ativação/desativação do aplicativo. Independentemente de o servidor poder ser acessado ou não, uma sondagem subsequente será agendada com base no intervalo do período de sondagem ativo. Após o término do período, uma nova sondagem será tentada novamente. O valor padrão é 60 minutos (1 hora).

Importante:

Defina esse valor mais baixo somente para aplicativos de alto risco, caso contrário o desempenho poderá ser afetado.

Criptografia

Tipo de criptografia

Permite que você escolha se o MDX ou a plataforma do dispositivo lida com a criptografia de dados. Se você selecionar Criptografia MDX, o MDX criptografará os dados. Se você selecionar Criptografia de plataforma com aplicação de conformidade, a plataforma do dispositivo criptografará os dados. O valor padrão é Criptografia MDX.

Comportamento do dispositivo não compatível

Permite que você escolha uma ação quando um dispositivo não atende aos requisitos mínimos de conformidade de criptografia. Selecione Permitir aplicativo para que o aplicativo seja executado normalmente. Selecione Permitir aplicativo após aviso para que o aplicativo seja executado após o aviso aparecer. Selecione Bloquear para bloquear a execução do aplicativo. O valor padrão é Permitir aplicativo após aviso.

Chaves de criptografia

Permite que os segredos usados para derivar chaves de criptografia sejam persistidos no dispositivo. O acesso offline permitido é a única opção disponível.

A Citrix recomenda que você defina a política de autenticação para habilitar um logon de rede ou um desafio de senha offline para proteger o acesso ao conteúdo criptografado.

Criptografia de arquivo privado

Controla a criptografia de arquivos de dados privados nos seguintes locais: /data/data/<appname> e /mnt/sdcard/Android/data/<appname>.

A opção Desativado significa que arquivos privados não são criptografados. A opção SecurityGroup criptografa arquivos privados usando uma chave compartilhada por todos os aplicativos MDX no mesmo grupo de segurança. A opção Aplicativo criptografa arquivos privados usando uma chave exclusiva desse aplicativo. O valor padrão é SecurityGroup.

Exclusões de criptografia de arquivos privados

Contém uma lista de caminhos de arquivo separados por vírgulas. Cada caminho é uma expressão regular que representa um ou mais arquivos criptografados. Os caminhos dos arquivos são relativos às áreas restritas internas e externas. O valor padrão é vazio.

As exclusões se aplicam somente às seguintes pastas:

Armazenamento interno:

/data/data/<your_package_name>
Cartão SD:

/storage/emulated/\<SD Card Slot>/Android/data/<your_package_name>

/storage/emulated/legacy/Android/data/<your_package_name>

Exemplos

Arquivo a ser excluído	Valor na exclusão de criptografia de arquivo privado
/data/data/com.citrix.mail/files/a.txt	^files/a.txt
Todos os arquivos de texto em /storage/emulated/0/Android/data/com.citrix.mail/files	^files/(.)+.txt$
Todos os arquivos em /data/data/com.citrix.mail/files	^arquivos/

Limites de acesso para arquivos públicos

Contém uma lista separada por vírgulas. Cada entrada é um caminho de expressão regular seguido por (NA), (RO) ou (RW). Os arquivos que correspondem ao caminho são limitados aos tipos de acesso Sem acesso, Somente leitura ou Leitura e gravação. A lista é processada em ordem e o primeiro caminho correspondente é usado para definir o limite de acesso. O valor padrão é vazio.

Esta política é aplicada somente quando Criptografia de arquivo público está ativada (alterada da opção Desativado para a opção SecurityGroup ou Aplicativo). Esta política é aplicável somente a arquivos públicos existentes e não criptografados e especifica quando esses arquivos são criptografados.

Arquivos a serem excluídos	Valor na criptografia de arquivos privados
Pasta Downloads no armazenamento externo somente leitura	EXT:^Download/(RO)
Todos os arquivos MP3 na pasta Music no armazenamento virtual sem acesso	VS:^Music/(.)+.mp3$(NA)

Criptografia de arquivo público

Controla a criptografia de arquivos públicos. Se Desativado, os arquivos públicos não serão criptografados. Se SecurityGroup, criptografa arquivos públicos usando uma chave compartilhada por todos os aplicativos MDX no mesmo grupo de segurança. Se Aplicativo, criptografa arquivos públicos usando uma chave exclusiva para este aplicativo.

O valor padrão é SecurityGroup.

Exclusões de criptografia de arquivos públicos

Contém uma lista de caminhos de arquivo separados por vírgulas. Cada caminho é uma expressão regular que representa um ou mais arquivos que não estão criptografados. Os caminhos dos arquivos são relativos ao armazenamento externo padrão e a qualquer armazenamento externo específico do dispositivo.

As exclusões de criptografia de arquivos públicos incluem apenas locais de pastas externas.

Exemplos

Arquivo a ser excluído	Valor na exclusão de criptografia de arquivo público
Pasta Downloads no cartão SD	Download
Todos os arquivos MP3 na pasta Music	^Music/(.)+.mp3$

Migração de arquivo público

Esta política é aplicada somente quando você ativa a política de Criptografia de arquivo público (alterada de Desativado para SecurityGroup ou Aplicativo). Esta política é aplicável somente a arquivos públicos existentes e não criptografados e especifica quando esses arquivos são criptografados. O valor padrão é Gravação (RO/RW).

A opção Desativado significa que os arquivos existentes não estão criptografados. A opção Gravação (RO/RW) criptografa os arquivos existentes somente quando eles são abertos para acesso somente gravação ou leitura e gravação. A opção Qualquer criptografa os arquivos existentes quando eles são abertos em qualquer modo. Opções:

Desativado. Não criptografa arquivos existentes.
Gravação (RO/RW). Criptografa os arquivos existentes somente quando eles são abertos para acesso somente gravação ou leitura e gravação.
Qualquer. Criptografa os arquivos existentes quando eles são abertos em qualquer modo.

Notas:

Arquivos novos ou arquivos existentes não criptografados que são substituídos criptografam os arquivos de substituição em todos os casos. - Criptografar um arquivo público existente torna o arquivo indisponível para outros aplicativos que não têm a mesma chave de criptografia.

Interação do aplicativo

Grupo de Segurança

Deixe este campo em branco se quiser que todos os aplicativos móveis gerenciados pelo Citrix Endpoint Management troquem informações entre si. Defina um nome de grupo de segurança para gerenciar configurações de segurança para conjuntos específicos de aplicativos (por exemplo, Finanças ou Recursos humanos).

Cuidado:

Se você alterar esta política para um aplicativo existente, os usuários deverão excluir e reinstalar o aplicativo para aplicar a alteração da política.

Cortar e Copiar

Bloqueia, permite ou restringe as operações de recortar e copiar da área de transferência para este aplicativo. Se Restrito, os dados copiados da Área de Transferência são colocados em uma Área de Transferência privada que está disponível somente para aplicativos MDX. O valor padrão é Restrito.

Colar

Bloqueia, permite ou restringe operações de colagem da área de transferência para o aplicativo. Se Restrito, os dados da área de transferência colados são originados de uma área de transferência privada que está disponível apenas para aplicativos MDX. O valor padrão é Irrestrito.

Troca de documentos (Abrir em)

Bloqueia, permite ou restringe operações de troca de documentos para o aplicativo. Se Restrito, os documentos poderão ser trocados somente com outros aplicativos MDX e as exceções de aplicativo especificadas na política de lista de exceções Abrir em Restrito. Se Irrestrito, defina as políticas de Criptografia de arquivo privado e Criptografia de arquivo público como Desativado para que os usuários possam abrir documentos em aplicativos descompactados. O valor padrão é Restrito.

Domínios de URL excluídos da filtragem

Esta política é usada para excluir determinados URLs de saída da filtragem MDX. A lista a seguir, separada por vírgulas, de nomes de domínio totalmente qualificados (FQDN) ou sufixos DNS são excluídos de qualquer filtragem MDX. Se essa política contiver alguma entrada, os URLs com campos de host que correspondam a pelo menos um item na lista (por meio da correspondência de sufixo DNS) serão enviados inalterados para o navegador padrão. O valor padrão é vazio.

Domínios seguros da Web permitidos

Essa política só está em vigor para domínios não excluídos por uma política de filtragem de URL. Adicione uma lista separada por vírgulas de nomes de domínio totalmente qualificados (FQDN) ou sufixos DNS que são redirecionados para o aplicativo Secure Web quando a Troca de Documentos é Restrita.

Se essa política contiver alguma entrada, somente os URLs com campos de host que correspondam a pelo menos um item na lista (por meio de correspondência de sufixo DNS) serão redirecionados para o aplicativo Secure Web quando a Troca de documentos for Restrita.

Todos os outros URLs são enviados para o navegador padrão do Android (ignorando a política Troca de documentos Restrita). O valor padrão é vazio.

Lista de exceções de Abrir em Restrito

Quando a política de Troca de documentos (Abrir em) é Restrita, essa lista de intenções do Android tem permissão para passar para aplicativos não gerenciados. É necessário ter familiaridade com as intenções do Android para adicionar filtros à lista. Um filtro pode especificar ação, pacote, esquema ou qualquer combinação.

Exemplos

  {action=android.intent.action.MAIN}
  {package=com.sharefile.mobile}
  {action=android.intent.action.DIAL scheme=tel}
  {action=android.intent.action.VIEW scheme=msteams package=com.microsoft.teams}
<!--NeedCopy-->

Cuidado

Certifique-se de considerar as implicações de segurança dessa política. A lista de exceções permite que o conteúdo viaje entre aplicativos não gerenciados e o ambiente do MDX.

Troca de documentos de entrada (Abrir em)

Bloqueia, restringe ou permite operações de troca de documentos de entrada para esse aplicativo. Se Restrito, os documentos podem ser trocados apenas com outros aplicativos MDX. O valor padrão é Irrestrito.

Se Bloqueado ou Restrito, você pode usar a política de lista de permissões de troca de documentos de entrada para especificar aplicativos que podem enviar documentos para este aplicativo. Para obter informações sobre outras interações de políticas, consulte a política Bloquear galeria.

Opções: Irrestrito, Bloqueado ou Restrito

Lista de permissões de troca de documentos de entrada

Quando a política de troca de documentos de entrada é restrita ou bloqueada, essa lista delimitada por vírgulas de IDs de aplicativo, incluindo aplicativos não MDX, tem permissão para enviar documentos para o aplicativo. Essa política está oculta e não pode ser editada.

Nível de segurança da conexão

Determina a versão mínima do TLS/SSL usada para conexões. Se TLS, as conexões oferecem suporte a todos os protocolos TLS. Se SSLv3 e TLS, as conexões oferecem suporte a SSL 3.0 e TLS. O valor padrão é TLS.

Restrições de aplicativos

Importante:

Não deixe de considerar as implicações de segurança das políticas que bloqueiam o acesso ou uso de funções do telefone por aplicativos. Quando essas políticas estão Desativadas, o conteúdo pode viajar entre aplicativos não gerenciados e o ambiente seguro.

Bloquear câmera

Se Ativado, impede que um aplicativo use diretamente o hardware da câmera. O valor padrão é Ativado.

Bloquear galeria

Se Ativado, impede que um aplicativo acesse a Galeria no dispositivo. O valor padrão é Desativado. Essa política funciona em conjunto com a política de troca de documentos de entrada (Abrir em).

Se a Troca de documentos de entrada (Abrir em) estiver definida como Restrito, os usuários que trabalham no aplicativo gerenciado não poderão anexar imagens da Galeria, independentemente da configuração Bloquear galeria.
Se a Troca de documentos de entrada (Abrir em) estiver definida como Irrestrito, os usuários que trabalham no aplicativo gerenciado terão a seguinte experiência:
- Os usuários poderão anexar imagens se Bloquear galeria estiver definido como Desativado.
- Os usuários serão impedidos de anexar imagens se Bloquear galeria estiver Ativado.

Bloquear gravação de microfone

Se Ativado, impede que um aplicativo use diretamente o hardware do microfone. O valor padrão é Ativado.

Bloquear serviços de localização

Se Ativado, impede que um aplicativo use os componentes dos serviços de localização (GPS ou rede). O valor padrão é Desativado para o Secure Mail.

Bloquear escrita de SMS

Se Ativado, impede que um aplicativo use o recurso de escrita de SMS usado para enviar SMS/mensagens de texto do aplicativo. O valor padrão é Ativado.

Bloquear captura de tela

Se Ativado, impede que os usuários façam capturas de tela enquanto o aplicativo está em execução. Além disso, quando o usuário alterna entre aplicativos, a tela do aplicativo fica obscurecida. O valor padrão é Ativado.

Ao usar a função Comunicação a curta distância (NFC) do Android, alguns aplicativos fazem uma captura de tela antes de transmitir o conteúdo. Para ativar essa função em um aplicativo preparado, altere a política Bloquear captura de tela para Desativado.

Bloquear sensor do dispositivo

Se Ativado, impede que um aplicativo use os sensores do dispositivo (como acelerômetro, sensor de movimento e giroscópio). O valor padrão é Ativado.

Bloquear NFC

Se Ativado, impede que um aplicativo use as Comunicações a curta distância (NFC). O valor padrão é Ativado.

Bloquear logs de aplicativos

Se Ativado, proíbe um aplicativo de usar o recurso de registro de diagnóstico do aplicativo móvel de produtividade. Se Desativado, os logs do aplicativo são registrados e podem ser coletados usando o recurso de suporte por email do Secure Hub. O valor padrão é Desativado.

Bloquear impressão

Se Ativado, impede que um aplicativo imprima dados. Se um aplicativo tiver um comando Compartilhar, você deverá definir Troca de documentos (Abrir em) como Restrito ou Bloqueado para bloquear totalmente a impressão. O valor padrão é Ativado.

Ativar o ShareFile

Permite que os usuários usem o ShareFile para transferir arquivos. O valor padrão é Ativado.

Acesso à rede de aplicativos

Acesso à rede

Nota:

Com túnel - SSO de Web é o nome para Secure Browse nas configurações. O comportamento é o mesmo.

As opções de configuração são as seguintes:

Usar configurações anteriores: o padrão são os valores que você definiu nas políticas anteriores. Se você alterar essa opção, não deverá reverter para ela. Observe também que as alterações nas novas políticas não entrarão em vigor até que o usuário atualize o aplicativo para a versão 18.12.0 ou posterior.
Bloqueado: as APIs de rede usadas pelo seu aplicativo falham. De acordo com a diretriz anterior, você deve lidar normalmente com essa falha.
Irrestrito: todas as chamadas de rede são realizadas diretamente e não são preparadas.
Com túnel - VPN completa: todo o tráfego do aplicativo gerenciado passa pelo Citrix Gateway.
Com túnel - SSO de Web: a URL HTTP/HTTPS é reescrita. Essa opção permite apenas o tunelamento de tráfego HTTP e HTTPS. Uma vantagem significativa da opção Com túnel - SSO de Web é o logon único (SSO) para tráfego HTTP e HTTPS e também a autenticação PKINIT. No Android, essa opção tem baixa sobrecarga de configuração e, portanto, é a opção preferida para operações de navegação na web.

Se um dos modos Com túnel for selecionado, um túnel VPN por aplicativo nesse modo inicial será criado de volta para a rede corporativa. Aqui, as configurações de túnel dividido do Citrix Gateway são usadas. A Citrix recomenda Com túnel – VPN completa para conexões que empregam certificados de cliente ou SSL de ponta a ponta para um recurso na rede corporativa. A Citrix recomenda Com túnel - SSO de Web para conexões que exigem logon único (SSO).

Sessão micro VPN obrigatória

Se Sim, o usuário deve ter uma conexão com a rede corporativa e uma sessão ativa. Se Não, uma sessão ativa não é necessária. O valor padrão é Usar configuração anterior. Para aplicativos recém-carregados, o valor padrão é Não. Qualquer configuração selecionada antes da atualização desta política permanecerá em vigor até que uma opção diferente de Usar configuração anterior seja selecionada.

Lista de exclusões

Lista delimitada por vírgulas de FQDNs ou sufixos DNS a serem acessados diretamente em vez de por meio de uma conexão VPN. Essa política se aplica somente ao modo Com túnel - SSO de Web quando o Citrix Gateway está configurado com o modo reverso de túnel dividido.

Bloquear conexões de localhost

Se Ativado, os aplicativos não têm permissão para fazer conexões de localhost. Localhost é um endereço (como 127.0.0.1) para comunicações que ocorrem localmente no dispositivo. O localhost ignora o hardware da interface de rede local e acessa os serviços de rede em execução no host. Se Desativado, essa política substituirá a política de Acesso à rede, o que significa que os aplicativos poderão se conectar fora do contêiner seguro se o dispositivo estiver executando um servidor proxy localmente. O padrão é Desativado.

Etiqueta de certificado

Quando usado com o serviço de integração de certificados do StoreFront, esse rótulo identifica o certificado específico necessário para este aplicativo. Se nenhum rótulo for fornecido, o certificado não será disponibilizado para uso com uma infraestrutura de chave pública (PKI). O valor padrão é vazio (nenhum certificado usado).

Logs de aplicativos

Saída de log padrão

Determina quais mídias de saída são usadas pelos recursos de registro em log de diagnóstico do aplicativo Citrix Endpoint Management por padrão. As possibilidades são arquivo, console ou ambos. O valor padrão é arquivo.

Nível de log padrão

Controla o detalhamento padrão do recurso de registro em log de diagnóstico do aplicativo móvel de produtividade. Números de nível superior incluem logs mais detalhados.

0 - Nada registrado em log
1 - Erros críticos
2 - Erros
3 - Avisos
4 - Mensagens informativas
5 - Mensagens informativas detalhadas
6 a 15 - Níveis de depuração de 1 a 10

O valor padrão é nível 4 (Mensagens informativas).

Máximo de arquivos de log

Limita o número de arquivos de log retidos pelo recurso de registro em log de diagnóstico do aplicativo móvel de produtividade antes da substituição. O mínimo é 2. O máximo é 8. O valor padrão é 2.

Tamanho máximo do arquivo de log

Limita o tamanho em MB dos arquivos de log retidos pelo recurso de registro em log de diagnóstico do aplicativo móvel de produtividade antes da substituição. O mínimo é 1 MB. O máximo é 5 MB. O valor padrão é 2 MB.

Redirecionar logs de aplicativos

Se Ativado, intercepta e redireciona logs do sistema ou do console de um aplicativo para o recurso de diagnóstico do aplicativo móvel de produtividade. Se essa configuração estiver Desativada, o uso do aplicativo de logs do sistema ou do console não será interceptado. O valor padrão é Ativado.

Criptografar logs

Se Ativado, o Citrix Endpoint Management criptografa os logs de diagnóstico à medida que os registra. Se Desativado, os logs de diagnóstico permanecerão descriptografados na área restrita do aplicativo.

Cuidado:

Dependendo dos níveis de log configurados, a criptografia de log pode ter um impacto perceptível no desempenho do aplicativo e na duração da bateria.

O valor padrão é Desativado.

Geocerca do aplicativo

Longitude do ponto central

Longitude (coordenada X) do ponto central da geocerca de ponto/raio na qual o aplicativo está limitado a operar. Quando operado fora da geocerca configurada, o aplicativo permanece bloqueado. O valor deve ser expresso em formato de graus com sinal (DDD.dddd), por exemplo “-31.9635”. As longitudes à oeste devem ser precedidas por um sinal de menos. O valor padrão é 0.

Latitude do ponto central

Latitude (coordenada Y) do ponto central da geocerca de ponto/raio na qual o aplicativo está limitado a operar. Quando operado fora da geocerca configurada, o aplicativo permanece bloqueado.

Os valores devem ser expressos em formato de graus com sinal (DDD.dddd), por exemplo “43.06581”. As latitudes ao sul devem ser precedidas por um sinal de menos. O valor padrão é 0.

Raio

O raio da geocerca na qual o aplicativo está limitado a operar. Quando operado fora da geocerca configurada, o aplicativo permanece bloqueado. O valor deve ser expresso em metros. Quando definido como zero, a geocerca é desativada. O padrão é 0 (desativado).

Análise

Google Analytics de detalhes

A Citrix coleta dados analíticos para melhorar a qualidade do produto. Selecionar Anônimo evita que você inclua informações de identificação da empresa.

Configurações do aplicativo

Exchange Server do Secure Mail

O nome de domínio totalmente qualificado (FQDN) para o Exchange Server ou, somente para iOS, o servidor do IBM Notes Traveler. O valor padrão é vazio. Se você fornecer um nome de domínio nesse campo, os usuários não poderão editá-lo. Se você deixar o campo em branco, os usuários fornecerão suas próprias informações de servidor.

Cuidado:

Se você alterar essa política para um aplicativo existente, os usuários deverão excluir e reinstalar o aplicativo para aplicar a alteração da política.

Domínio de usuário do Secure Mail

Nome de domínio padrão do Active Directory para usuários do Exchange ou, somente para iOS, usuários do Notes. O valor padrão é vazio.

Serviços de rede em segundo plano

Os endereços FQDN e de porta de serviço permitidos para acesso à rede em segundo plano. Esse valor pode ser um Exchange Server ou servidor do ActiveSync, na sua rede interna ou em outra rede à qual o Secure Mail se conecta, como mail.example.com:443.

Se você configurar essa política, defina a Política de acesso à rede como Com túnel para a rede interna. Essa política entra em vigor quando você configura a política de acesso à rede. Use essa política quando o Exchange Server residir na sua rede interna e você quiser usar o NetScaler Gateway para fazer proxy da conexão com o Exchange Server interno.

O valor padrão está vazio, o que significa que os serviços de rede em segundo plano não estão disponíveis.

Expiração de tíquete de serviços em segundo plano

Período durante o qual um tíquete de serviço de rede em segundo plano permanece válido. Após a expiração, será necessário um login empresarial para renovar o tíquete. O valor padrão é 168 horas (7 dias).

Gateway de serviço de rede em segundo plano

Endereço de gateway alternativo a ser usado para serviços de rede em segundo plano, no formato FQDN:porta. Esse endereço é o FQDN do Citrix Gateway e o número da porta que o Secure Mail usa para se conectar ao Exchange Server interno. No utilitário de configuração do Citrix Gateway, você deve configurar o Secure Ticket Authority (STA) e vincular a política ao servidor virtual.

O valor padrão é vazio, o que implica que não existe um gateway alternativo.

Se você configurar essa política, defina a Política de acesso à rede como Com túnel para a rede interna. Essa política entra em vigor quando você configura a política de acesso à rede. Use essa política quando o Exchange Server residir na sua rede interna e você quiser usar o Citrix Gateway para fazer proxy da conexão com o Exchange Server interno.

Exportar contatos

Importante:

Não ative essa função se os usuários puderem acessar seu Exchange Server diretamente (ou seja, fora do Citrix Gateway). Caso contrário, os contatos serão duplicados no dispositivo e no Exchange.

Se Desativado, impede a sincronização unidirecional dos contatos do Secure Mail com o dispositivo e impede o compartilhamento dos contatos do Secure Mail (como vCards). O valor padrão é Desativado.

Campos de contato para exportar

Controla os campos de contato a serem exportados para o catálogo de endereços. Se Todos, todos os campos de contato são exportados. Se Nome e telefone, todos os campos de contato relacionados a nome e telefone serão exportados. Se Nome, telefone e email, todos os campos de contato relacionados a nome, telefone e email serão exportados. O valor padrão é Todos.

Aceitar todos os certificados SSL

Se Ativado, o Secure Mail aceita todos os certificados SSL (válidos ou não) e permite o acesso. Se Desativado, o Secure Mail bloqueia o acesso quando ocorre um erro de certificado e exibe um aviso. O valor padrão é Desativado.

Usar conexão segura

Se Ativado, o Secure Mail usa uma conexão segura. Se Desativado, o Secure Mail não usa uma Conexão Segura. O padrão é Ativado.

Gerenciamento de Direitos de Informação

Se Ativado, o Secure Mail oferece suporte aos recursos do Gerenciamento de Direitos de Informação (IRM) do Exchange. O valor padrão é Desativado.

Controlar notificações de tela bloqueada

Controla se as notificações de email e calendário aparecem na tela de um dispositivo bloqueado. Se Permitir for selecionado, todas as informações contidas na notificação serão exibidas. Se Bloco for selecionado, as notificações não aparecerão. Se Remetente do email ou título do evento for selecionado, somente o nome do remetente do email ou o título do evento de calendário será exibido. Se Apenas contar for selecionado, somente a contagem de emails e convites para reuniões, além do tempo dos lembretes do calendário, será exibida. O valor padrão é Permitir.

Intervalo de sincronização padrão

Especifica o intervalo de sincronização padrão para o Secure Mail. Os usuários do Secure Mail podem alterar o padrão.

A configuração de política de Caixa de correio do Exchange ActiveSync Filtro de idade máxima de email tem prioridade sobre essa política. Se você especificar um intervalo de sincronização padrão maior que o filtro de idade máxima do email, a configuração do filtro Idade máxima de email será usada. O Secure Mail exibe apenas os valores de intervalo de sincronização que são menores que a configuração do filtro Idade máxima do email do Active Sync.

O valor padrão é 3 dias.

Ativar download de anexos via Wi-Fi

Se Ativado, a opção Baixar anexos do Secure Mail é ativada para que os usuários possam, por padrão, baixar anexos por redes Wi-Fi internas. Se Desativado, a opção Baixar anexos do Secure Mail será desativada para que, por padrão, os usuários não possam baixar anexos por Wi-Fi. O valor padrão é Desativado.

Permitir documentos offline

Especifica se, e por quanto tempo, os usuários podem armazenar documentos offline em dispositivos. O valor padrão é Ilimitado.

Ativar salvamento automático de rascunhos de email

Se Ativado, o Secure Mail oferece suporte ao salvamento automático de mensagens na pasta Rascunhos. O valor padrão é Ativado.

Mecanismo de autenticação inicial

Essa política indica se o endereço do servidor de email fornecido pelo MDX é usado para preencher o campo Endereço na tela de provisionamento do primeiro uso ou se o endereço de email do usuário é usado. O valor padrão é Endereço de servidor de email.

Credenciais de autenticação inicial

Essa política define o valor que deve ser escolhido como o nome de usuário a ser preenchido na tela inicial de provisionamento de primeiro uso. O valor padrão é Nome de usuário de registro.

Ativar número da semana

Se Ativado, as exibições do calendário incluem o número da semana. O valor padrão é Desativado.

Classificação de email

Se Ativado, o Secure Mail oferece suporte a marcações de classificação de email para SEC (segurança) e DLM (marcadores de limitação de disseminação). As marcações de classificação aparecem nos cabeçalhos de email como valores X-Protective-Marking. Certifique-se de configurar as políticas de classificação de email relacionadas. O valor padrão é Desativado.

Marcações de classificação de email

Especifica as marcações de classificação a serem disponibilizadas aos usuários finais. Se a lista estiver vazia, o Secure Mail não incluirá uma lista de marcações de proteção. A lista de marcações contém pares de valores separados por ponto e vírgula. Cada par inclui o valor que aparece no Secure Mail e o valor de marcação que é o texto anexado ao assunto e ao cabeçalho do email no Secure Mail. Por exemplo, no par de marcação "UNOFFICIAL,SEC=UNOFFICIAL;", o valor da lista é “UNOFFICIAL” e o valor de marcação é “SEC=UNOFFICIAL”.

Namespace de classificação de email

Especifica o namespace de classificação que é exigido no cabeçalho do email pelo padrão de classificação usado. Por exemplo, o namespace “gov.au” aparece no cabeçalho como “NS=gov.au”. O valor padrão é vazio.

Versão de classificação de email

Especifica a versão de classificação exigida no cabeçalho do email pelo padrão de classificação usado. Por exemplo, a versão “2012.3” aparece no cabeçalho como “VER=2012.3”. O valor padrão é vazio.

Classificação de email padrão

Especificará a marcação de proteção que o Secure Mail aplica a um email se um usuário não escolher uma marcação. Esse valor deve estar na lista da política de Marcações de classificação de email. O valor padrão é UNOFFICIAL.

Limite de pesquisa de email

Restringe a quantidade de histórico de email acessível em dispositivos móveis, limitando o número de dias incluídos nas pesquisas do servidor de email. Para restringir a quantidade de emails sincronizados com um dispositivo móvel, configure a política de Intervalo máximo de sincronização. O valor padrão é Ilimitado.

Intervalo máximo de sincronização

Controla a quantidade de emails armazenados localmente em um dispositivo móvel, limitando o período de sincronização.

Para restringir o período durante o qual um dispositivo pode pesquisar no servidor de email, configure a política de Limite de pesquisa do servidor de email.

Os valores são:

3 dias
1 semana
2 semanas
1 mês
Todos

O valor padrão é Todos.

Opções da Web e de áudio do calendário

GoToMeeting e usuário inserido - Quando essa opção é escolhida, os usuários podem escolher o tipo de conferência que desejam configurar. As opções incluem o GoToMeeting, que abre uma página do GoToMeeting, e Outra conferência, que permite que os usuários insiram informações da reunião manualmente.
Somente usuário inserido - Quando essa opção é escolhida, os usuários são levados diretamente para a página Outra conferência, onde podem inserir informações da reunião manualmente.

Origem do certificado público S/MIME

Especifica a origem dos certificados públicos S/MIME. Se Exchange, o Secure Mail busca certificados do Exchange Server. Se LDAP, o Secure Mail busca certificados do servidor LDAP. O valor padrão é Exchange.

Endereço do servidor LDAP

Endereço do servidor LDAP incluindo número da porta. O valor padrão é vazio.

DN base do LDAP

Nome distinto base do LDAP. O valor padrão é vazio.

Acessar LDAP anonimamente

Se essa política estiver Ativada, o Secure Mail poderá pesquisar no LDAP sem autenticação prévia. O padrão é Desativado.

Domínios de email permitidos

Defina uma lista de domínios de email permitidos em um formato separado por vírgulas, como server.company.com,server.company.co.uk. O valor padrão é vazio, o que implica que o Secure Mail não filtra domínios de email e oferece suporte a todos os domínios de email. O Secure Mail compara os domínios listados com o nome de domínio no endereço de email.

Por exemplo, quando server.company.com é um nome de domínio listado e o endereço de email é user@internal.server.company.com, o Secure Mail oferece suporte ao endereço de email.

Notificações por push

Ativa as notificações baseadas em FCM sobre atividades de caixa de correio. Se Ativado, o Secure Mail oferecerá suporte a notificações por push. O valor padrão é Desativado.

Nome de host do EWS das notificações por push

O servidor que hospeda o Exchange Web Services (EWS) para email. O valor deve ser o URL do EWS, juntamente com o número da porta. O valor padrão é vazio.

Região de notificações por push

A região onde o host FCM está localizado para seus usuários do Secure Mail. As opções são Américas, EMEA e PAC. O valor padrão é Américas.

Tentativa de migração de nome de usuário em caso de falha de autenticação

Essa política tenta migrar o nome de usuário do Exchange para um UPN para autenticação. O valor padrão é Desativado.

Denunciar endereços de email de phishing

Se configurado, você pode denunciar emails suspeitos de phishing para um determinado endereço de email ou para uma lista de endereços de email separados por vírgulas. O valor padrão é vazio. Se você não configurar essa política, não poderá denunciar mensagens de phishing.

Denunciar mecanismo de phishing

Essa política indica o mecanismo usado para denunciar emails suspeitos de phishing.

Denunciar por anexo (.eml) – Denunciar emails de phishing como anexo. O anexo é enviado para um endereço de email ou uma lista de endereços de email separados por vírgulas configurados na política Denunciar endereços de email de phishing.
Denunciar via encaminhamento – Denunciar emails de phishing como encaminhamento. O email é encaminhado para um endereço de email ou uma lista de endereços de email separados por vírgulas configurados na política Denunciar endereços de email de phishing.

Nota:

Essa política está disponível somente para o Microsoft Exchange Server.

O padrão é Denunciar por anexo (.eml).

Domínios de reunião do Skype for Business

Essa política contém uma lista separada por vírgulas de domínios usados para reuniões do Skype for Business. O Secure Mail já gerencia reuniões com prefixo de URL como o seguinte:

https://join
https://meet
https://lync

Com essa política, outros domínios do Skype for Business podem ser adicionados no formato https://*domain*. O domínio pode ser uma sequência de caracteres alfanuméricos e não pode conter caracteres especiais. Não insira o https:// anterior ou o ponto seguinte.

Exemplo

Se o valor da política for customDomain1,customDomain2, os prefixos de URL com suporte para o Skype for Business seriam: https://customDomain1 http://customDomain1 https://customDomain2 http://customDomain2

O valor padrão é vazio.

Exportar calendário

Essa política permite que eventos do calendário do Secure Mail sejam exportados para seu dispositivo ou calendário pessoal. Você pode visualizar seus eventos em seu calendário pessoal. Você pode editar os eventos usando o Secure Mail. O valor padrão é Hora da reunião.

Os seguintes valores de política do MDX estão disponíveis para os campos de eventos de calendário que aparecem no seu calendário pessoal:

Nenhum (Não Exportar)
Hora da reunião
Hora da reunião, localização
Hora da reunião, assunto, localização
Hora da reunião, disponibilidade, participantes, assunto, localização, notas

Suporte do OAuth para Office 365

Usar a autenticação moderna para o O365

Se essa política estiver Ativada, o Secure Mail usará o protocolo OAuth para autenticação ao configurar uma conta no Office 365. Se Desativado, o Secure Mail usa autenticação básica. O padrão é Desativado.

Nomes de host confiáveis do Exchange Online

Defina uma lista de nomes de host confiáveis do Exchange Online que usam o mecanismo OAuth para autenticação ao configurar uma conta. Esse valor é um formato separado por vírgulas, como server.company.com, server.company.co.uk. Se a lista estiver vazia, o Secure Mail usará a autenticação básica para configuração da conta. O valor padrão é outlook.office365.com.

Nomes de host confiáveis do AD FS

Defina uma lista de nomes de host confiáveis do AD FS para páginas da Web onde a senha é preenchida durante a autenticação OAuth do Office 365. Esse valor é um formato separado por vírgulas, como sts.companyname.com, sts.company.co.uk. Se a lista estiver vazia, o Secure Mail não preencherá as senhas automaticamente. O Secure Mail compara os nomes de host listados com o nome de host da página da Web encontrada durante a autenticação do Office 365 e verifica se a página usa o protocolo HTTPS.

Por exemplo, quando sts.company.com é um nome de host listado e se o usuário navega para https://sts.company.com, o Secure Mail preencherá a senha se a página tiver um campo de senha. O valor padrão é login.microsoftonline.com.

Agente de usuário personalizado para autenticação moderna

Essa política permite que você altere a sequência de caracteres do agente do usuário padrão para autenticação moderna. Se configurada, essa cadeia de caracteres do agente do usuário será usada para autenticação com o Microsoft AD FS. Se você não configurar essa política, o agente de usuário padrão do Secure Mail será usado durante a autenticação moderna.

Integração com o Slack

Ativar o Slack

Bloqueia ou permite a integração com o Slack. Se Ativado, a interface do Secure Mail inclui recursos do Slack. Se Desativado, a interface do Secure Mail não inclui funções do Slack.

Nome do espaço de trabalho do Slack

O nome do espaço de trabalho do Slack para sua empresa. Se você fornecer um nome, o Secure Mail preencherá previamente o nome do espaço de trabalho durante o logon. Se você não fornecer um nome, os usuários deverão digitar o nome do espaço de trabalho (nome.slack.com).

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Políticas de MDX para aplicativos móveis de produtividade para Android

April 15, 2025

Contribuição de:

April 15, 2025

Contribuição de:

Isso foi útil?