Citrix Gateway-Connector für Exchange ActiveSync

XenMobile NetScaler Connector ist jetzt der Citrix Gateway-Connector für Exchange ActiveSync. Weitere Informationen zum vereinheitlichten Citrix-Portfolio finden Sie im Citrix product name guide.

Der Connector für Exchange ActiveSync bietet einen Authentifizierungsdienst auf Geräteebene für ActiveSync-Clients bei NetScaler, der als Reverseproxy für das Exchange ActiveSync-Protokoll fungiert. Die Autorisierung wird durch eine Kombination von Richtlinien gesteuert, die Sie in Endpoint Management definieren, und durch Regeln, die lokal vom Citrix Gateway-Connector für Exchange ActiveSync definiert werden.

Weitere Informationen finden Sie unter ActiveSync-Gateway.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Die aktuelle Version von Citrix Gateway-Connector für Exchange ActiveSync ist Version 8.5.2.

Neue Features in Version 8.5.2

  • XenMobile NetScaler Connector ist jetzt der Citrix Gateway-Connector für Exchange ActiveSync.

Die folgenden Probleme wurden in diesem Release behoben:

  • Wenn bei der Definition einer Richtlinienregel mehr als ein Kriterium verwendet wird und eines der Kriterien die Benutzer-ID betrifft, kann das folgende Problem auftreten: Wenn ein Benutzer mehrere Aliase hat, werden die Aliase bei der Anwendung der Regel auch nicht überprüft. [CXM-55355]

Was ist neu in früheren Releases

Hinweis:

Im folgenden “Neue Features”-Abschnitt wird für den Citrix Gateway-Connector für Exchange ActiveSync der bisherige Name “XenMobile NetScaler Connector” verwendet. Der neue Name gilt ab Version 8.5.2.

Neue Features in Version 8.5.1.11

  • Geänderte Systemanforderungen: Die aktuelle Version von NetScaler Connector erfordert Microsoft .NET Framework 4.5.

  • Unterstützung von Google Analytics: Wir möchten wissen, wie Sie XenMobile NetScaler Connector verwenden, damit wir wissen, wo wir das Produkt verbessern können.

  • Unterstützung für TLS 1.1 und 1.2: Aufgrund der schwächer werdenden Sicherheit wird TLS 1.0 vom Payment Card Industry Security Standards Council abgelehnt. XenMobile NetScaler Connector unterstützt jetzt TLS 1.1 und 1.2.

Citrix Gateway-Connector für Exchange ActiveSync überwachen

Das Citrix Gateway-Connector für Exchange ActiveSync-Konfigurationsprogramm bietet eine detaillierte Protokollierung, anhand derer Sie den gesamten von Secure Mobile Gateway zugelassenen bzw. blockierten Datenverkehr über den Exchange-Server überwachen können.

Auf der Registerkarte Protokollierung wird der Verlauf der von NetScaler zur Autorisierung an den Connector für Exchange ActiveSync weitergeleiteten ActiveSync-Anforderungen angezeigt.

Vergewissern Sie sich außerdem, dass der Connector für Exchange ActiveSync-Webdienst ausgeführt wird, indem Sie die folgende URL in einen Browser auf dem Connector-Server eingeben: https://<host:port>/services/ActiveSync/Version. Wird die Produktversion als Zeichenfolge zurückgegeben, wird der Webdienst ausgeführt.

Simulieren des ActiveSync-Datenverkehrs mit dem Connector für Exchange ActiveSync

Sie können Citrix Gateway-Connector für Exchange ActiveSync zum Simulieren des ActiveSync-Datenverkehrs unter Ihren Richtlinien verwenden. Klicken Sie im Connector-Konfigurationsprogramm auf die Registerkarte Simulator. Das Ergebnis zeigt, wie Ihre Richtlinien nach den von Ihnen konfigurierten Regeln angewendet werden.

Auswählen von Filtern für den Connector für Exchange ActiveSync

Citrix Gateway-Connector für Exchange ActiveSync-Filter analysieren Geräte auf Verstöße gegen bestimmte Richtlinien oder Eigenschaften. Erfüllt ein Gerät die Kriterien, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Liste zum Zulassen oder Blockieren. Es ist lediglich eine Liste der Geräte, die die Kriterien erfüllen. Die folgenden Filter sind für den Connector für Exchange ActiveSync in Endpoint Management verfügbar. Die Optionen für jeden Filter sind Zulassen oder Verweigern.

  • Anonyme Geräte: dient zum Zulassen oder Blockieren von Geräten, die bei Endpoint Management registriert sind, bei denen die Identität des Benutzers jedoch unbekannt ist. Beispielsweise kann dies ein registrierter Benutzer sein, dessen Active Directory-Kennwort abgelaufen ist, oder ein Benutzer, der sich mit unbekannten Anmeldeinformationen registriert hat.
  • Samsung KNOX-Nachweisfehler: Samsung-Geräte besitzen Funktionen für Sicherheit und Diagnose. Dieser Filter erteilt die Bestätigung, dass das Gerät für KNOX eingerichtet ist. Weitere Informationen finden Sie im Endpoint Management-Artikel in Samsung KNOX.
  • Unzulässige Apps: Zulassen oder Blockieren von Geräten basierend auf Sperrlistenrichtlinien und dem Vorhandensein gesperrter Apps.
  • Implizit zulassen/verweigern: erstellt eine Liste aller Geräte, die keines der anderen Filterkriterien erfüllen, und lässt den Zugriff zu bzw. blockiert ihn für diese Geräte. Die Option “Implizit zulassen/verweigern” stellt sicher, dass der Connector für Exchange ActiveSync-Status für die Registerkarte “Geräte” aktiviert ist und den Connector-Status für die Geräte anzeigt. Die Option “Implizit zulassen/verweigern” steuert auch alle anderen Connector-Filter, die nicht ausgewählt wurden. Beispielsweise werden bei Auswahl des entsprechenden Filters Geräte mit der Eigenschaft “Blacklisted Apps” vom Connector blockiert, für alle anderen Filter gilt die Einstellung “Zulassen”, wenn die Option “Implizit zulassen/verweigern” auf Zulassen festgelegt wurde.
  • Inaktive Geräte: erstellt eine Liste von Geräten, die innerhalb eines bestimmten Zeitraums nicht mit Endpoint Management kommuniziert haben. Solche Geräte werden als inaktiv eingestuft. Der Filter lässt die Geräte zu oder verweigert sie entsprechend.
  • Fehlende Pflicht-Apps: Wenn sich ein Benutzer anmeldet, erhält er eine Liste der erforderlichen Apps, die installiert werden müssen. Der Filter für fehlende Plicht-Apps sucht Apps, die nicht mehr vorhanden sind (beispielsweise, weil sie vom Benutzer gelöscht wurden).
  • Nicht empfohlene Apps: Wenn sich ein Benutzer anmeldet, erhält er eine Liste der Apps, deren Installation empfohlen wird. Der Filter für nicht empfohlene Apps überprüft das Gerät auf Apps, die nicht auf dieser Liste stehen.
  • Nicht richtlinientreues Kennwort: erstellt eine Liste aller Geräte ohne Passcode.
  • Nicht richtlinientreue Geräte: ermöglicht das Zulassen bzw. Blockieren von Geräten auf der Basis der Einhaltung firmeninterner IT-Richtlinien. Die Richtlinientreue ist eine willkürliche Einstellung, die durch die Geräteeigenschaft “Out of Compliance” definiert ist, einem booleschen Flag, das entweder True oder False sein kann. (Sie können diese Eigenschaft manuell unter Auswahl des Werts erstellen oder mit automatischen Aktionen auf einem Gerät, wenn das Gerät die Kriterien erfüllt bzw. nicht erfüllt.)
    • Out of Compliance = True: Wenn ein Gerät die Vorgaben und Richtliniendefinitionen der IT-Abteilung nicht erfüllt, wird das Gerät als nicht richtlinientreu eingestuft.
    • Out of Compliance = False: Wenn ein Gerät die Vorgaben und Richtliniendefinitionen der IT-Abteilung erfüllt, wird das Gerät als richtlinientreu eingestuft.
  • Widerrufenstatus: erstellt eine Liste aller widerrufenen Geräte und lässt den Zugriff zu bzw. blockiert ihn auf der Basis des Gerätestatus.
  • Android-Geräte mit Rooting/iOS-Geräte mit Jailbreak: erstellt eine Liste aller Geräte, die als gerootet markiert wurden, und lässt den Zugriff zu bzw. blockiert ihn auf der Basis des entsprechenden Gerätestatus.
  • Nicht verwaltete Geräte: Erstellt eine Liste aller Geräte in der Endpoint Management-Datenbank. Das Mobile Application Gateway muss im Modus “Blockieren” bereitgestellt werden.

Konfigurieren einer Verbindung zum Citrix Gateway-Connector für Exchange ActiveSync

Citrix Gateway-Connector für Exchange ActiveSync kommuniziert mit Endpoint Management und anderen Remotekonfigurationsanbietern über sichere Webdienste.

  1. Klicken Sie im Connector für Exchange ActiveSync-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie im Dialogfeld Config Providers unter Name den Benutzernamen eines Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem Endpoint Management-Server verwendet wird.
  3. Geben Sie unter Url die Webadresse des Endpoint Management-GCS (normalerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>) ein. Bei dem Namen von MagConfigService wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem Endpoint Management-Server verwendet werden soll.
  5. Geben Sie unter Managing Host den Namen des Servers mit dem Connector für Exchange ActiveSync ein.
  6. Geben Sie unter Baseline Interval das Intervall ein, in dem von Device Manager der aktualisierte Satz dynamischer Regeln abgerufen werden soll.
  7. Geben Sie unter Delta Interval einen Zeitraum für den Abruf aktualisierter dynamischer Regeln ein.
  8. Geben Sie unter Request Timeout das Timeoutintervall für die Serveranforderungen an.
  9. Wählen Sie unter Config Provider, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  10. Aktivieren Sie diese Option unter Events Enabled, wenn der Connector für Exchange ActiveSync die Blockierung eines Geräts an Endpoint Management melden soll. Die Option ist erforderlich, wenn Sie die Connector-Regeln in Endpoint Management für eine automatische Aktion verwenden.
  11. Klicken Sie auf Save und dann auf Test Connectivity, um die Verbindung zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewalleinstellungen die Verbindung gestatten, oder wenden Sie sich an den Administrator.
  12. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie auf Save.

Wenn Sie einen neuen Konfigurationsanbieter hinzufügen, erstellt der Connector für Exchange ActiveSync automatisch eine oder mehrere diesem Anbieter zugeordnete Richtlinien. Diese Richtlinien werden durch eine Vorlagendefinition im Abschnitt “NewPolicyTemplate” der Datei config\policyTemplates.xml festgelegt. Für jedes Policy-Element in diesem Abschnitt wird eine neue Richtlinie erstellt.

Policy-Elemente können hinzugefügt, entfernt oder modifiziert werden, wenn folgende Voraussetzungen erfüllt sind: Das Policy-Element entspricht der Schemadefinition und die Standard-Ersatzzeichenfolgen (in geschweiften Klammern) werden nicht geändert. Fügen Sie als Nächstes neue Gruppen für den Anbieter hinzu und aktualisieren Sie die Richtlinie zur Berücksichtigung der neuen Gruppen.

Importieren einer Richtlinie aus Endpoint Management

  1. Klicken Sie im Connector für Exchange ActiveSync-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie im Dialogfeld Config Providers unter Name den Benutzernamen eines Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem Endpoint Management-Server verwendet werden soll.
  3. Geben Sie unter Url die Webadresse des Endpoint Management Gateway Configuration Service (GCS) ein, normalerweise im Format https://<xdmHost>/xdm/services/<MagConfigService>. Bei dem Namen von MagConfigService wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem Endpoint Management-Server verwendet werden soll.
  5. Klicken Sie auf Test Connectivity, um die Verbindung zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewalleinstellungen die Verbindung gestatten, oder wenden Sie sich an den Administrator.
  6. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie auf Save.
  7. Behalten Sie unter Managing Host den Standard-DNS-Namen des lokalen Hostcomputers bei. Diese Einstellung wird für die Koordination der Kommunikation mit Endpoint Management verwendet, wenn mehrere Forefront Threat Management Gateway-Server in einem Array konfiguriert sind.

    Nach dem Speichern der Einstellungen öffnen Sie Gateway Configuration Service.

Konfigurieren des Richtlinienmodus des Citrix Gateway-Connectors für Exchange ActiveSync

Der Citrix Gateway-Connector für Exchange ActiveSync kann in folgenden sechs Modi ausgeführt werden:

  • Allow All: In diesem Richtlinienmodus erhält der gesamte Datenverkehr, der den Connector für Exchange ActiveSync passiert, Zugriff. Es werden keine anderen Filterregeln verwendet.
  • Deny All: In diesem Richtlinienmodus wird der gesamte Datenverkehr, der den Connector für Exchange ActiveSync passiert, blockiert. Es werden keine anderen Filterregeln verwendet.
  • Static Rules: Block Mode: In diesem Richtlinienmodus werden statische Regeln mit einer impliziten Blockieren-Anweisung am Ende ausgeführt. Der Connector für Exchange ActiveSync blockiert Geräte, die nicht über andere Filterregeln zugelassen werden.
  • Static Rules: Permit Mode: In diesem Richtlinienmodus werden statische Regeln mit einer impliziten Zulassen-Anweisung am Ende ausgeführt. Geräte, die nicht über andere Filterregeln blockiert werden, werden von dem Connector für Exchange ActiveSync zugelassen.
  • Static + ZDM Rules: Block Mode: In diesem Richtlinienmodus werden statische Regeln und anschließend dynamische Regeln aus Endpoint Management mit einer impliziten Blockieren-Anweisung am Ende ausgeführt. Geräte werden basierend auf Filtern und Device Manager-Regeln zugelassen oder blockiert. Alle Geräte, die keinem Filter und keiner Regel entsprechen, werden blockiert.
  • Static + ZDM Rules: Permit Mode: In diesem Richtlinienmodus werden statische Regeln und anschließend dynamische Regeln aus Endpoint Management mit einer impliziten Zulassen-Anweisung am Ende ausgeführt. Geräte werden basierend auf Filtern und Endpoint Management-Regeln zugelassen oder blockiert. Alle Geräte, die keinem Filter und keiner Regel entsprechen, werden zugelassen.

Die Ausführung dynamischer Regeln durch den Connector-Prozess basiert auf eindeutigen ActiveSync-Kennungen von iOS- und Windows-Mobilgeräten, die von Endpoint Management empfangen werden. Bei Android-Geräten ist das Verhalten je nach Hersteller unterschiedlich, einige stellen ihre eindeutige ActiveSync-ID nicht einfach zur Verfügung. Ersatzweise sendet Endpoint Management für Android-Geräte die Benutzer-ID, damit eine Entscheidung über Zulassen und Blockieren getroffen werden kann. Hat ein Benutzer nur ein Android-Gerät, funktioniert die Zugriffssteuerung daher ordnungsgemäß. Hat ein Benutzer mehrere Android-Geräte, werden alle Geräte zugelassen, da Android-Geräte nicht einzeln unterschieden werden können. Sie können festlegen, dass diese Geräte vom Gateway nach ActiveSync-ID statisch blockiert werden, sofern sie bekannt sind. Sie können das Gateway auch so konfigurieren, dass Geräte nach Gerätetyp oder Benutzeragent blockiert werden.

Zum Festlegen des Richtlinienmodus führen Sie im Konfigurationsprogramm des SMG-Controllers folgende Schritte aus:

  1. Klicken Sie auf die Registerkarte Path Filters und dann auf Add.
  2. Wählen Sie im Dialogfeld Path Properties aus der Liste Policy einen Richtlinienmodus aus und klicken Sie auf Save.

Sie können Regeln auf der Registerkarte Policies des Konfigurationsprogramms prüfen. Die Regeln werden auf dem Connector für Exchange ActiveSync von oben nach unten verarbeitet. Die Richtlinien zum Zulassen werden mit einem grünen Häkchen angezeigt. Die Richtlinien zum Verweigern werden mit einem durchgestrichenen roten Kreis angezeigt. Zum Aktualisieren der Anzeige der Regeln klicken Sie auf Refresh. Sie können die Reihenfolge der Regeln auch in der Datei config.xml ändern.

Zum Testen von Regeln klicken Sie auf die Registerkarte “Simulator. Geben Sie Werte in den Feldern ein. Diese können auch aus den Protokollen bezogen werden. In einer Ergebnismeldung wird “Allow” oder “Block” angezeigt.

Konfigurieren von statischen Regeln

Geben Sie statische Regeln mit Werten ein, die von dem ISAPI-Filter der HTTP-Anforderungen der ActiveSync-Verbindung gelesen werden. Über statische Regeln kann Connector für Exchange ActiveSync den Datenverkehr basierend auf folgenden Kriterien zulassen oder blockieren:

  • User: Der Connector für Exchange ActiveSync verwendet die bei der Geräteregistrierung erfasste Struktur aus autorisiertem Benutzerwert und Namen. Dies ist normalerweise “domain\username” gemäß Verweis von dem Endpoint Management-Server, der mit Active Directory über LDAP verbunden ist. Auf der Registerkarte Protokollierung des Connector-Konfigurationsprogramms werden die durch den Connector gesendeten Werte angezeigt. Die Werte werden gesendet, wenn die Wertstruktur ermittelt werden muss oder wenn sie sich unterscheidet.
  • Deviceid (ActiveSyncID): Wird auch als “ActiveSyncID” des verbundenen Geräts bezeichnet. Dieser Wert ist häufig auf der spezifischen Geräteeigenschaftenseite der Endpoint Management-Konsole. Er kann auch auf der Registerkarte “Protokollierung” des Konfigurationsprogramms für den Connector für Exchange ActiveSync ermittelt werden.
  • DeviceType: Der Connector für Exchange ActiveSync kann feststellen, ob es sich bei einem Gerät um ein iPhone, iPad oder einen anderen Gerätetyp handelt, und Geräte basierend auf diesem Kriterium blockieren oder zulassen. Wie bei anderen Werten kann Konfigurationsprogramm des Citrix Gateway-Connectors für Exchange ActiveSync alle verbundenen Gerätetypen, die für die ActiveSync-Verbindung verarbeitet werden, anzeigen.
  • UserAgent: Enthält Informationen zu dem verwendeten ActiveSync-Client. Meist entspricht der Wert einem bestimmten Betriebssystem-Build-/Versionspaar für die Mobilgeräteplattform.

Das Connector für Exchange ActiveSync-Konfigurationsprogramm, das auf dem Server ausgeführt wird, verwaltet immer die statischen Regeln.

  1. Klicken Sie im Konfigurationsprogramm des Secure Mobile Gateway-Controllers auf die Registerkarte Static Rules und dann auf Add.
  2. Legen Sie im Dialogfeld Static Rule Properties die Werte fest, die Sie als Kriterien verwenden möchten. Beispiel: Um einen Benutzer für den Zugriff zuzulassen, geben Sie dessen Benutzernamen ein (z. B. AllowedUser) und deaktivieren Sie dann das Kontrollkästchen Disabled.
  3. Klicken Sie auf Speichern.

    Die statische Regel ist jetzt in Kraft. Zusätzlich können Sie reguläre Ausdrücke zum Definieren von Werten verwenden, Sie müssen jedoch den Regelverarbeitungsmodus in der Datei config.xml aktivieren.

Konfigurieren von dynamischen Regeln

Dynamische Regeln werden über Geräterichtlinien und -eigenschaften in Endpoint Management definiert und können einen dynamischen Connector für Exchange ActiveSync-Filter auslösen. Die Filter werden bei einem Verstoß gegen eine Richtlinie oder Eigenschaft ausgelöst. Connector für Exchange ActiveSync-Filter analysieren Geräte auf Verstöße gegen bestimmte Richtlinien oder Eigenschaften. Erfüllt ein Gerät die Kriterien, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Liste zum Zulassen oder zum Blockieren. Es ist lediglich eine Liste der Geräte, die die Kriterien erfüllen. Über die folgenden Konfigurationsoptionen können Sie mithilfe des Connectors für Exchange ActiveSync festlegen, ob die Geräte in der Geräteliste zugelassen oder blockiert werden sollen.

Hinweis:

Sie müssen die Endpoint Management-Konsole verwenden, um dynamische Regeln zu konfigurieren.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf ActiveSync-Gateway. Die Seite ActiveSync-Gateway wird angezeigt.

  3. Wählen Sie unter Folgende Regel(n) aktivieren eine oder mehrere Regeln aus, die Sie aktivieren möchten.

  4. Nur Android: Klicken Sie unter Android-Domänenbenutzer an ActiveSync-Gateway senden auf Ja, um sicherzustellen, dass Endpoint Management Android-Geräteinformationen an das Secure Mobile Gateway sendet.

    Wenn diese Option aktiviert ist, sendet Endpoint Management Android-Geräteinformationen an den Connector für Exchange ActiveSync, wenn Endpoint Management keine ActiveSync-ID für den Android-Gerätebenutzer hat.

Konfigurieren benutzerdefinierter Richtlinien mithilfe der XML-Datei des Connectors für Exchange ActiveSync

Sie können die grundlegenden Richtlinien der Standardkonfiguration auf der Registerkarte Richtlinien des Konfigurationsprogramms des Connectors für Exchange ActiveSync anzeigen. Zum Erstellen benutzerdefinierter Richtlinien können Sie die XML-Konfigurationsdatei des Citrix Gateway-Connectors für Exchange ActiveSync (config\config.xml) bearbeiten.

  1. Suchen Sie in der Datei den Abschnitt PolicyList und fügen Sie diesem ein neues Policy-Element hinzu.
  2. Wenn eine neue Gruppe erforderlich wird, z. B. eine zusätzliche statische Gruppe oder eine Gruppe für eine zusätzliche GCP, fügen Sie das neue Group-Element dem Abschnitt GroupList hinzu.
  3. Falls gewünscht, können Sie die Reihenfolge der Gruppen in einer vorhandenen Richtlinie durch Umstellen der GroupRef-Elemente ändern.

Konfigurieren der XML-Datei des Connectors für Exchange ActiveSync

Die Aktionen des Connectors für Exchange ActiveSync werden über eine XML-Konfigurationsdatei vorgegeben. Unter anderem enthält die Datei die Dateigruppe und zugehörige Aktionen für den Filter bei der Auswertung von HTTP-Anforderungen. Standardmäßig heißt die Datei config.xml und ist im Verzeichnis \Programme\Citrix\XenMobile NetScaler Connector\config.

GroupRef-Knoten

Die GroupRef-Knoten definieren die logischen Gruppennamen. Die Standardwerte sind “AllowGroup” und “DenyGroup”.

Hinweis:

Die Reihenfolge der GroupRef-Knoten im GroupRefList-Knoten spielt eine Rolle.

Der ID-Wert eines GroupRef-Knotens identifiziert einen logischen Container bzw. eine Mitgliedersammlung, der bzw. die für die Zuordnung spezifischer Benutzerkonten oder Geräte verwendet wird. Die Action-Attribute geben an, wie ein Mitglied zu behandeln ist, das einer Regel in der Sammlung entspricht. Beispielsweise wird ein Benutzerkonto oder Gerät, das einer AllowGroup-Regel entspricht, zugelassen. Dies bedeutet, es erhält Zugriff auf den Exchange-Clientzugriffsserver. Ein Benutzerkonto oder Gerät, das einer DenyGroup-Regel entspricht, wird abgelehnt. Dies bedeutet, es erhält keinen Zugriff auf den Exchange-Clientzugriffsserver.

Entspricht ein bestimmtes Benutzerkonto/Gerät oder eine Konto-/Gerätekombination Regeln beider Gruppen, erfolgt die Behandlung gemäß einer Rangfolgenkonvention. Die Rangfolge entspricht der Reihenfolge der GroupRef-Knoten in der Datei config.xml von oben nach unten. Die GroupRef-Knoten werden nach Priorität gewichtet. Regeln für eine bestimmte Bedingung in der Allow-Gruppe haben immer Vorrang vor Regeln für die gleiche Bedingung in Deny-Gruppe.

Gruppenknoten

In der Datei config.xml sind außerdem Gruppenknoten definiert. Diese Knoten verknüpfen die logischen Container “AllowGroup” und “DenyGroup” mit externen XML-Dateien. Einträge in den externen Dateien bilden die Basis für die Filterregeln.

Hinweis:

In diesem Release werden nur externe XML-Dateien unterstützt.

In der Standardinstallation sind zwei XML-Dateien in der Konfiguration implementiert: allow.xml und deny.xml.

Konfigurieren des Citrix Gateway-Connectors für Exchange ActiveSync

Sie können den Citrix Gateway-Connector für Exchange ActiveSync so konfigurieren, dass ActiveSync-Anforderungen basierend auf den folgenden Eigenschaften selektiv blockiert oder zugelassen werden: ActiveSync Service ID, Device type, User Agent (Geräte-OS), Authorized user und ActiveSync Command.

Die Standardkonfiguration unterstützt eine Kombination aus statischen und dynamischen Gruppen. Statische Gruppen werden mit dem Konfigurationsprogramm des Secure Mobile Gateway-Controllers verwaltet. Statische Gruppen können aus bekannten Gerätekategorien bestehen, z. B. alle Geräte mit einem bestimmten Benutzer-Agent.

Dynamische Gruppen werden von einer externen Quelle, dem Gateway-Konfigurationsanbieter, gepflegt. Der Connector für Exchange ActiveSync verbindet die Gruppen regelmäßig. Endpoint Management kann Gruppen zugelassener und blockierter Geräte und Benutzer in den Connector für Exchange ActiveSync exportieren.

Dynamische Gruppen werden von einer externen Quelle, dem Gateway-Konfigurationsanbieter, gepflegt und regelmäßig von dem Connector für Exchange ActiveSync gesammelt. Endpoint Management kann Gruppen zugelassener und blockierter Geräte und Benutzer in den Connector exportieren.

Eine Richtlinie ist eine sortierte Liste von Gruppen, in der jeder Gruppe eine Aktion (zulassen oder blockieren) zugeordnet ist, und eine Liste der Gruppenmitglieder. Eine Richtlinie kann beliebig viele Gruppen enthalten. Die Reihenfolge der Gruppen in einer Richtlinie ist wichtig, weil bei einer Übereinstimmung die Aktion der Gruppe erfolgt und nachfolgende Gruppen nicht ausgewertet werden.

Mitglieder sind eine Methode für die Zuordnung der Eigenschaften einer Anforderung. Sie können einer einzelnen Eigenschaft (z. B. Geräte-ID) oder mehreren Eigenschaften entsprechen (z. B. Gerätetyp und Benutzer-Agent).

Auswählen eines Sicherheitsmodells für den Citrix Gateway-Connector für Exchange ActiveSync

Die Implementierung eines Sicherheitsmodells ist für eine erfolgreiche Mobilgerätebereitstellung in Organisationen jeder Größe wichtig. Häufig wird eine Netzwerksteuerung mit Schutz oder Quarantäne verwendet, um den Zugriff auf Benutzer, Computer oder Geräte standardmäßig zuzulassen. Dieses Verfahren ist jedoch nicht immer ideal. In jeder Organisation werden bei der Verwaltung der IT-Sicherheit andere ggf. maßgeschneiderte Methoden zum Schutz von Mobilgeräten eingesetzt.

Die gleiche Logik gilt für die Sicherheit von Mobilgeräten. Angesichts der Vielzahl verschiedener Mobilgerätetypen, der großen Zahl Mobilgeräte pro Benutzer und der Vielfalt an Betriebssystemen und Apps ist das permissive Modell keine gute Wahl. In den meisten Organisationen ist das restriktive Modell die beste Wahl.

Citrix lässt bei der Integration des Connectors für Exchange ActiveSync in Endpoint Management folgende Konfigurationsszenarios zu:

Permissives Modell (Zulassungsmodus)

Beim permissiven Sicherheitsmodell gilt, dass bei allem der Zugriff standardmäßig zugelassen ist. Nur durch Einsatz von Regeln und Filtern können Elemente blockiert und Beschränkungen angewendet werden. Das permissive Sicherheitsmodell ist für Organisationen geeignet, in denen keine strengen Sicherheitsvorschriften hinsichtlich der Mobilgeräte herrschen. Bei diesem Modell wird der Zugriff nur dann verweigert, wenn eine Richtlinienregel verletzt wurde.

Restriktives Modell (Blockierungsmodus)

Beim restriktiven Sicherheitsmodell gilt, dass bei nichts der Zugriff standardmäßig zugelassen ist. Alle Elemente werden bei der Sicherheitsprüfung gefiltert und untersucht. Der Zugriff wird blockiert, außer wenn die Regeln für die Zulassung des Zugriffs erfüllt werden. Das restriktive Sicherheitsmodell ist für Organisationen geeignet, in denen relativ strenge Sicherheitsvorschriften hinsichtlich der Mobilgeräte herrschen. Bei diesem Modell wird der Zugriff nur gewährt, wenn alle Regeln für das Zulassen des Zugriffs erfüllt werden.

Verwalten des Citrix Gateway-Connectors für Exchange ActiveSync

Sie können unter Einsatz des Citrix Gateway-Connectors für Exchange ActiveSync Zugriffsregeln erstellen. Mit diesen Regeln wird der Zugriff verwalteter Geräte auf ActiveSync-Verbindungsanforderungen zugelassen oder blockiert. Der Zugriff basiert auf Gerätestatus, App-Sperrlisten bzw. App-Positivlisten und anderen Vorgaben zur Richtlinientreue.

Mit dem Konfigurationsprogramm des Connectors für Exchange ActiveSync können Sie dynamische und statische Regeln zum Erzwingen von Richtlinien für E-Mail erstellen, mit denen Benutzer, die die Richtlinien nicht einhalten, blockiert werden. Sie können außerdem die Verschlüsselung von E-Mail-Anlagen einrichten, sodass alle Anlagen, die über Exchange Server an verwaltete Geräte gesendet werden, verschlüsselt werden und nur von autorisierten Benutzern auf verwalteten Geräten angezeigt werden können.

Deinstallieren von XNC

  1. Führen Sie XncInstaller.exe als Administrator aus.
  2. Folgen Sie den Anweisungen zum Durchführen der Deinstallation.

Installieren, Aktualisieren oder Deinstallieren des Connectors für Exchange ActiveSync

  1. Führen Sie XncInstaller.exe als Administrator aus, um den Connector für Exchange ActiveSync zu installieren bzw. vorhandene Versionen zu aktualisieren oder zu deinstallieren.
  2. Folgen Sie den angezeigten Anweisungen, um die Installation, das Upgrade oder die Deinstallation durchzuführen.

Nach der Installation des Connectors für Exchange ActiveSync müssen Sie den Endpoint Management-Konfigurationsdienst und den Benachrichtigungsdienst manuell neu starten.

Installieren des Citrix Gateway-Connectors für Exchange ActiveSync

Sie können den Connector für Exchange ActiveSync auf einem eigenen Server oder auf demselben Server wie Endpoint Management installieren.

Die Installation des Connectors für Exchange ActiveSync auf einem eigenen Server (getrennt von Endpoint Management) könnte sich aus folgenden Gründen anbieten:

  • Der Endpoint Management-Server wird remote in einer Cloud (physischer Speicherort) gehostet.
  • Sie möchten nicht, dass der Connector durch Neustarts des ndpoint Management-Servers beeinträchtigt wird (Verfügbarkeit).
  • Sie möchten die Systemressourcen des Servers vollständig für den Connector für Exchange ActiveSync nutzen (Leistung).

Die CPU-Last, die der Connector für Exchange ActiveSync einem Server zuweist, hängt von der Anzahl der verwalteten Geräte ab. Grundsätzlich wird empfohlen, dass ein weiterer CPU-Kern bereitzustellen ist, wenn der Connector auf demselben Server wie Endpoint Management bereitgestellt wird. Bei hohen Gerätezahlen (über 50.000) müssen Sie möglicherweise weitere Kerne bereitstellen, wenn Sie keine Clusterumgebung haben. Der Speicherbedarf des Connectors ist so gering, dass kein zusätzlicher Speicher erforderlich ist.

Systemanforderungen für den Citrix Gateway-Connector für Exchange ActiveSync

Der Citrix Gateway-Connector für Exchange ActiveSync kommuniziert mit NetScaler über eine auf dem NetScaler-Gerät konfigurierte SSL-Brücke. Über diese Brücke kann das Gerät sämtlichen sicheren Datenverkehr direkt an Endpoint Management übergeben. Der Connector für Exchange ActiveSync erfordert die folgende Mindestsystemkonfiguration:

Komponente Anforderung
Computer und Prozessor Pentium III-Prozessor, 733 MHz oder schneller; empfohlen: Pentium III-Prozessor, 2.0 GHz oder schneller
NetScaler NetScaler-Gerät mit Softwareversion 10
Speicher 1 GB
Festplatte NTFS-formatierte lokale Partition mit 150 MB freiem Speicherplatz
Betriebssystem Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008, oder Microsoft Windows Server 2012 R2.
Sonstige Geräte Mit dem Hostbetriebssystem kompatibler Netzwerkadapter für die Kommunikation mit dem internen Netzwerk
Microsoft .NET Framework Version 8.5.1.11 erfordert Microsoft .NET Framework 4.5.
Anzeigen VGA-Monitor oder höher

Auf dem Hostcomputer für den Connector für Exchange ActiveSync ist mindestens folgender freier Festplattenspeicher erforderlich:

  • Anwendung: 10–15 MB (100 MB empfohlen)
  • Protokollierung: 1 GB (20 GB empfohlen)

Informationen über die vom Connector für Exchange ActiveSync unterstützten Plattformen finden Sie unter Unterstützte Gerätebetriebssysteme.

Geräte-E-Mail-Clients

Nicht alle E-Mail-Clients geben konstant dieselbe ActiveSync-ID für das Gerät zurück. Da der Connector für Exchange ActiveSync eine eindeutige ActiveSync-ID für jedes Gerät erwartet, werden nur E-Mail-Clients unterstützt, die konstant dieselbe eindeutige ActiveSync-ID für jedes Gerät generieren. Folgende E-Mail-Clients wurden von Citrix getestet und funktionieren ordnungsgemäß:

  • HTC-nativer E-Mail-Client
  • Samsung-nativer E-Mail-Client
  • iOS-nativer E-Mail-Client
  • TouchDown

Bereitstellen des Citrix Gateway-Connectors für Exchange ActiveSync

Mit dem Citrix Gateway-Connector für Exchange ActiveSync können Sie NetScaler als Proxy und für den Lastausgleich bei der Kommunikation zwischen Endpoint Management Server und mit XenMobile verwalteten Geräten verwenden. Der Connector für Exchange ActiveSync kommuniziert periodisch mit Endpoint Management, um Richtlinien zu synchronisieren. Der Connector Exchange ActiveSync und Endpoint Management lassen sich zusammen oder separat in Clustern zusammenfassen. Ein Lastausgleich ist mit NetScaler möglich.

Komponenten des Connectors für Exchange ActiveSync

  • Dienst: Der Dienst des Connectors für Exchange ActiveSync bietet eine REST-Webdienstschnittstelle, die von NetScaler aufgerufen werden kann, um zu ermitteln, ob eine ActiveSync-Anforderung von einem Gerät autorisiert ist.
  • Endpoint Management-Konfigurationsdienst: Dieser Dienst kommuniziert mit Endpoint Management, um die Endpoint Management-Richtlinienänderungen mit dem Connector für Exchange ActiveSync zu synchronisieren.
  • Endpoint Management-Benachrichtigungsdienst: Dieser Dienst sendet Benachrichtigungen über unautorisierten Gerätezugriff an Endpoint Management. Endpoint Management kann dann die nötigen Schritte ergreifen und beispielsweise den Benutzer benachrichtigen, warum sein Gerät blockiert wurde.
  • Connector für Exchange ActiveSync-Konfigurationshilfsprogramm: Mit dieser Anwendung kann der Administrator den Connector für Exchange ActiveSync konfigurieren und überwachen.

Einrichten von Überwachungsadressen für den Citrix Gateway-Connector für Exchange ActiveSync

Führen Sie folgende Schritte aus, damit der Citrix Gateway-Connector für Exchange ActiveSync Anforderungen von NetScaler zur Autorisierung von ActiveSync-Datenverkehr empfangen kann. Geben Sie den Port an, den der Connector für Exchange ActiveSync auf Aufrufe des NetScaler-Webdiensts überwacht.

  1. Wählen Sie im Menü Start das Konfigurationshilfsprogramm des Connectors für Exchange ActiveSync aus.
  2. Klicken Sie auf die Registerkarte Web Service, und geben Sie die zu überwachenden Adressen für den Connector-Webdienst ein. Sie können HTTP und/oder HTTPS auswählen. Wenn sich der Connector für Exchange ActiveSync auf dem gleichen Server wie Endpoint Management befindet, wählen Sie Ports aus, die keinen Konflikt mit denen von Endpoint Management auslösen.
  3. Wenn die Werte konfiguriert sind, klicken Sie auf Save und dann auf Start Service, um den Webdienst zu starten.

Konfigurieren von Zugriffssteuerungsrichtlinien im Citrix Gateway-Connector für Exchange ActiveSync

Zum Konfigurieren einer Zugriffssteuerungsrichtlinie für verwaltete Geräte gehen Sie folgendermaßen vor:

  1. Klicken Sie im Konfigurationsprogramm des Connectors für Exchange ActiveSync auf die Registerkarte Path Filters.
  2. Wählen Sie die erste Zeile Microsoft-Server-ActiveSync is for ActiveSync und klicken Sie auf Edit.
  3. Wählen Sie in der Liste Policy die gewünschte Richtlinie aus. Bei Richtlinien, die Endpoint Management-Richtlinien umfassen, wählen Sie Static + ZDM: Permit Mode oder Static + ZDM: Block Mode. Diese Richtlinien kombinieren lokale (statische) Regeln mit denen von Endpoint Management. Permit Mode bedeutet, dass alle Geräte, die nicht explizit durch die Regeln identifiziert werden, Zugriff auf ActiveSync erhalten. Block Mode bedeutet, dass solche Geräte blockiert werden.
  4. Klicken Sie nach dem Festlegen der Richtlinien auf Save.

Konfigurieren der Kommunikation mit Endpoint Management

Geben Sie Namen und Eigenschaften des Endpoint Management-Servers (= “Config Provider”) an, den Sie mit dem Citrix Gateway-Connector für Exchange ActiveSync und NetScaler verwenden möchten.

Hinweis: Es wird davon ausgegangen, dass Sie Endpoint Management bereits installiert und konfiguriert haben.

  1. Klicken Sie im Connector für Exchange ActiveSync-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie den Namen und die URL des Endpoint Management-Servers ein, den Sie in der Bereitstellung verwenden. Wenn Sie mehrere Endpoint Management-Server in einer Bereitstellung mit mehreren Mandanten haben, muss der Name für jede Serverinstanz eindeutig sein. Geben Sie für Name beispielsweise CEM ein.
  3. Geben Sie unter Url die Webadresse von Endpoint Management GlobalConfig Provider (normalerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>) ein. Bei dem Namen von MagConfigService wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem Endpoint Management-Server verwendet werden soll.
  5. Geben Sie unter Managing Host den Namen des Servers an, auf dem Sie den Connector für Exchange ActiveSync installiert haben.
  6. Geben Sie unter Baseline Interval das Intervall ein, in dem von Endpoint Management der aktualisierte Satz dynamischer Regeln abgerufen werden soll.
  7. Geben Sie unter Request Timeout das Timeoutintervall für die Serveranforderungen an.
  8. Wählen Sie unter Config Provider, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  9. Aktivieren Sie diese Option unter Events Enabled, wenn Secure Mobile Gateway die Blockierung eines Geräts an Endpoint Management melden soll. Die Option ist erforderlich, wenn Sie Secure Mobile Gateway-Regeln in Endpoint Management für eine automatische Aktion verwenden.
  10. Klicken Sie nach Abschluss der Konfiguration des Servers auf Test Connectivity, um die Verbindung mit Endpoint Management zu testen.
  11. Wenn die Verbindung hergestellt wird, klicken Sie auf Save.

Bereitstellen des Citrix Gateway-Connectors für Exchange ActiveSync für Redundanz und Skalierbarkeit

Wenn Sie Ihre Bereitstellung des Citrix Gateway-Connectors für Exchange ActiveSync und von Endpoint Management skalieren möchten, installieren Sie Instanzen des Connectors auf mehreren Windows-Servern, die alle auf die gleiche Endpoint Management-Instanz verweisen. Dann können Sie NetScaler verwenden, um den Lastausgleich der Server durchzuführen.

Es gibt zwei Modi zur Konfiguration des Connectors für Exchange ActiveSync:

  • Im Modus ohne Freigabe kommuniziert jede Instanz des Connectors für Exchange ActiveSync mit einem Endpoint Management-Server und speichert eine eigene Kopie der daraus resultierenden Richtlinie. Beispiel: In einem Endpoint Management-Servercluster können Sie eine Connector-Instanz auf jedem Endpoint Management-Server ausführen. Der Connector erhält dann Richtlinien von der lokalen Endpoint Management-Instanz.
  • Im gemeinsamen Modus wird ein Connector für Exchange ActiveSync-Knoten als primärer Knoten bezeichnet. Der Connector kommuniziert mit Endpoint Management. Die resultierende Konfiguration wird dann per Windows-Netzwerkfreigabe oder per Windows-Replikation (bzw. per Drittanbieter-Replikation) an die anderen Knoten weitergegeben.

Die Connector Exchange ActiveSync-Konfiguration (bestehend aus einigen XML-Dateien) ist in einem einzigen Ordner. Der Connector-Prozess erkennt Änderungen an jeder Datei in diesem Ordner und lädt die Konfiguration dann automatisch neu. Im Modus mit Freigabe gibt kein Failover für den primären Knoten. Bei einem Ausfall des primären Servers (z. B. durch Neustart) besteht jedoch einige Minuten lang Fehlertoleranz, da die letzte funktionsfähige Konfiguration im Connector-Prozess zwischengespeichert ist.