NetScaler Gateway Connector für Exchange ActiveSync

Der XenMobile NetScaler Connector ist jetzt der NetScaler Gateway Connector für Exchange ActiveSync. Weitere Informationen zum vereinheitlichten Citrix Portfolio finden Sie im Citrix Produktleitfaden.

• Der Connector für Exchange ActiveSync bietet einen Autorisierungsdienst auf Geräteebene für ActiveSync-Clients für NetScaler Gateway, das als Reverse Proxy für das Exchange ActiveSync-Protokoll fungiert. Sie steuern die Autorisierung durch eine Kombination aus:

• Richtlinien, die Sie in Citrix Endpoint Management definieren
• Regeln, die lokal vom NetScaler Gateway Connector für Exchange ActiveSync definiert werden

Weitere Informationen finden Sie unter ActiveSync Gateway.

Ein detailliertes Referenzarchitekturdiagramm finden Sie unter Architektur.

Die aktuelle Version des NetScaler Gateway Connectors für Exchange ActiveSync ist Version 8.5.3.

So laden Sie den Connector herunter:

• 1. Gehen Sie zu https://www.citrix.com/downloads.
• 1. Navigieren Sie zu Citrix Endpoint Management (and Citrix XenMobile Server) > XenMobile Server (on-premises) > Product Software > XenMobile Server 10 > Server Components.

1. Klicken Sie auf der Kachel NetScaler Gateway Connector auf Download File.

Informationen zur Installation des Connectors finden Sie unter Installieren des NetScaler Gateway Connectors für Exchange ActiveSync).

Wichtig:

Ab Oktober 2022 unterstützen die Citrix Endpoint Management- und NetScaler Gateway-Connectors für Exchange ActiveSync Exchange Online aufgrund der von Microsoft hier angekündigten Authentifizierungsänderungen nicht mehr. Der Citrix Endpoint Management Connector für Exchange funktioniert weiterhin mit Microsoft Exchange Server (lokal).

Neuerungen in Version 8.5.3

• Diese Version fügt Unterstützung für die ActiveSync-Protokolle 16.0 und 16.1 hinzu.
• Den an Google Analytics gesendeten Analysedaten wurden weitere Details hinzugefügt, insbesondere in Bezug auf Snapshots. [CXM-52261]

Neuerungen in früheren Versionen

Hinweis:

Der folgende Abschnitt „Neuerungen“ bezieht sich auf den NetScaler Gateway Connector für Exchange ActiveSync unter seinem früheren Namen, XenMobile NetScaler Connector. Der Name wurde ab Version 8.5.2 geändert.

Neuerungen in Version 8.5.2

• Der XenMobile NetScaler Connector ist jetzt der NetScaler Gateway Connector für Exchange ActiveSync.

• Die folgenden Probleme wurden in dieser Version behoben:

• Wenn bei der Definition einer Richtlinienregel mehr als ein Kriterium verwendet wird und ein Kriterium die Benutzer-ID betrifft, kann das folgende Problem auftreten: Wenn ein Benutzer mehrere Aliase hat, werden die Aliase bei der Anwendung der Regel nicht ebenfalls überprüft. [CXM-55355]

• Neuerungen in Version 8.5.1.11

• Änderung der Systemanforderungen: Die aktuelle Version des NetScaler Connectors erfordert Microsoft .NET Framework 4.5.

• Unterstützung für Google Analytics: Wir möchten wissen, wie Sie den Connector verwenden, damit wir uns darauf konzentrieren können, wo wir das Produkt verbessern können.

• Unterstützung für TLS 1.1 und 1.2: Aufgrund der nachlassenden Sicherheit stellt der PCI Council die Unterstützung für TLS 1.0 und TLS 1.1 ein. Die Unterstützung für TLS 1.2 wurde dem XenMobile NetScaler Connector hinzugefügt.

Überwachung des NetScaler Gateway Connectors für Exchange ActiveSync

Das Konfigurationsdienstprogramm des NetScaler Gateway Connectors für Exchange ActiveSync bietet eine detaillierte Protokollierung. Verwenden Sie die Protokolle, um den gesamten Datenverkehr anzuzeigen, der Ihren Exchange Server durchläuft und den das Secure Mobile Gateway entweder zulässt oder blockiert.

Verwenden Sie die Registerkarte Protokoll, um den Verlauf der ActiveSync-Anfragen anzuzeigen, die zur Autorisierung an den Connector für Exchange ActiveSync weitergeleitet wurden.

Um außerdem sicherzustellen, dass der Connector für den Exchange ActiveSync-Webdienst ausgeführt wird, laden Sie die folgende URL in einem Browser auf dem Connector-Server: https://<host:port>/services/ActiveSync/Version. Wenn die URL die Produktversion als Zeichenfolge zurückgibt, reagiert der Webdienst.

So simulieren Sie ActiveSync-Datenverkehr mit dem Connector für Exchange ActiveSync

Sie können den NetScaler Gateway Connector für Exchange ActiveSync verwenden, um ActiveSync-Datenverkehr mit Ihren Richtlinien zu simulieren. Klicken Sie im Konfigurationsdienstprogramm des Connectors auf die Registerkarte Simulator. Die Ergebnisse zeigen, wie Ihre Richtlinien gemäß den von Ihnen konfigurierten Regeln angewendet werden.

Auswählen von Filtern für den Connector für Exchange ActiveSync

Die Filter des NetScaler Gateway Connectors für Exchange ActiveSync funktionieren, indem sie ein Gerät auf eine bestimmte Richtlinienverletzung oder Eigenschaftseinstellung analysieren. Wenn das Gerät die Kriterien erfüllt, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Zulassungsliste noch eine Sperrliste. Es ist eine Liste von Geräten, die die definierten Kriterien erfüllen. Die folgenden Filter sind für den Connector für Exchange ActiveSync innerhalb von Citrix Endpoint Management verfügbar. Die beiden Optionen für jeden Filter sind Zulassen oder Verweigern.

• Anonyme Geräte: Ermöglicht oder verweigert Geräte, die in Citrix Endpoint Management registriert sind, deren Benutzeridentität jedoch unbekannt ist. Beispielsweise hat ein registrierter Benutzer eine unbekannte Identität, wenn der Benutzer ein abgelaufenes Active Directory-Passwort oder unbekannte Anmeldeinformationen hat.
• Verbotene Apps: Ermöglicht oder verweigert Geräte basierend auf der Geräteliste, die durch Sperrlisten in Richtlinien und das Vorhandensein von Apps auf einer Sperrliste definiert ist.
  • Implizites Zulassen/Verweigern: Erstellt eine Geräteliste aller Geräte, die keines der anderen Filterkriterien erfüllen, und erlaubt oder verweigert basierend auf dieser Liste. Die Option “Implizites Zulassen/Verweigern” stellt sicher, dass der Status des Connectors für Exchange ActiveSync auf der Registerkarte “Geräte” aktiviert ist und den Connector-Status für Ihre Geräte anzeigt. Die Option “Implizites Zulassen/Verweigern” steuert auch alle anderen Connector-Filter, die nicht ausgewählt sind. Zum Beispiel verweigert der Connector Apps auf der Sperrliste. Der Connector erlaubt jedoch alle anderen Filter, da die Option “Implizites Zulassen/Verweigern” auf Zulassen eingestellt ist.
  • Inaktive Geräte: Erstellt eine Geräteliste von Geräten, die innerhalb einer bestimmten Zeit nicht mit Citrix Endpoint Management kommuniziert haben. Diese Geräte gelten als inaktiv. Der Filter erlaubt oder verweigert die Geräte entsprechend.
• Fehlende erforderliche Apps: Wenn sich ein Benutzer registriert, erhält er eine Liste der erforderlichen Apps, die installiert werden müssen. Der Filter für fehlende erforderliche Apps zeigt an, dass eine oder mehrere der Apps nicht mehr vorhanden sind; zum Beispiel hat der Benutzer eine oder mehrere Apps gelöscht.
• Nicht vorgeschlagene Apps: Wenn sich ein Benutzer registriert, erhält er eine Liste der zu installierenden Apps. Der Filter für nicht vorgeschlagene Apps überprüft das Gerät auf Apps, die nicht in dieser Liste enthalten sind.
• Nicht konformes Kennwort: Erstellt eine Geräteliste aller Geräte, die kein Kennwort auf dem Gerät haben.
• Nicht konforme Geräte: Ermöglicht Ihnen, Geräte zu verweigern oder zuzulassen, die Ihre internen IT-Compliance-Kriterien erfüllen. Compliance ist eine beliebige Einstellung, die durch die Geräteeigenschaft “Out of Compliance” definiert wird, einem booleschen Flag, das entweder True oder False sein kann. (Sie können diese Eigenschaft manuell erstellen und den Wert festlegen. Oder Sie können automatisierte Aktionen verwenden, um diese Eigenschaft auf einem Gerät zu erstellen, basierend darauf, ob das Gerät bestimmte Kriterien erfüllt.)

• Out of Compliance = True: Wenn ein Gerät die von Ihrer IT-Abteilung festgelegten Compliance-Standards und Richtliniendefinitionen nicht erfüllt, ist das Gerät nicht konform.

  • Out of Compliance = False: Wenn ein Gerät die von Ihrer IT-Abteilung festgelegten Compliance-Standards und Richtliniendefinitionen erfüllt, ist das Gerät konform.
• Widerrufener Status: Erstellt eine Geräteliste aller widerrufenen Geräte und erlaubt oder verweigert basierend auf dem widerrufenen Status.
• Gerootete Android-/Jailbroken iOS-Geräte: Erstellt eine Geräteliste aller als gerootet gekennzeichneten Geräte und erlaubt oder verweigert basierend auf dem Root-Status.

• Nicht verwaltete Geräte: Erstellt eine Geräteliste aller Geräte in der Citrix Endpoint Management-Datenbank. Stellen Sie das Mobile Application Gateway im Blockierungsmodus bereit.

• So konfigurieren Sie eine Verbindung zum NetScaler Gateway Connector für Exchange ActiveSync

Der NetScaler Gateway Connector für Exchange ActiveSync kommuniziert mit Citrix Endpoint Management und anderen Remote-Konfigurationsanbietern über Citrix Secure Web Services.

1. Klicken Sie im Konfigurationsdienstprogramm des Connectors für Exchange ActiveSync auf die Registerkarte Konfigurationsanbieter und dann auf Hinzufügen.
2. Geben Sie im Dialogfeld Konfigurationsanbieter unter Name einen Benutzernamen ein, der über administrative Berechtigungen verfügt und für die grundlegende HTTP-Autorisierung mit dem Citrix Endpoint Management-Server verwendet wird.
3. Geben Sie unter URL die Webadresse des Citrix Endpoint Management GCS ein, typischerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>. Der Name MagConfigService ist Groß-/Kleinschreibung-sensitiv.
4. Geben Sie unter Kennwort das Kennwort ein, das für die grundlegende HTTP-Autorisierung mit dem Citrix Endpoint Management-Server verwendet werden soll.
5. Geben Sie unter Verwaltender Host den Namen des Connectors für den Exchange ActiveSync-Server ein.

• 1. Geben Sie unter Basisintervall einen Zeitraum an, wann ein neuer, aktualisierter dynamischer Regelsatz von Citrix Endpoint Management abgerufen werden soll.
• 1. Geben Sie unter Delta-Intervall einen Zeitraum an, wann ein Update der dynamischen Regeln abgerufen werden soll.
• 1. Geben Sie unter Anfrage-Timeout das Server-Anfrage-Timeout-Intervall an.
• 1. Wählen Sie unter Konfigurationsanbieter aus, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.

1. Aktivieren Sie unter Ereignisse aktiviert diese Option, wenn der Connector für Exchange ActiveSync Citrix Endpoint Management benachrichtigen soll, wenn ein Gerät blockiert wird. Diese Option ist erforderlich, wenn Sie die Connector-Regeln in einer Ihrer automatisierten Aktionen von Citrix Endpoint Management verwenden.
2. Klicken Sie auf Speichern und dann auf Konnektivität testen, um die Gateway-zu-Konfigurationsanbieter-Konnektivität zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewall-Einstellungen die Verbindung zulassen, oder wenden Sie sich an Ihren Administrator.
3. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Deaktiviert und klicken Sie dann auf Speichern.

Wenn Sie einen Konfigurationsanbieter hinzufügen, erstellt der Connector für Exchange ActiveSync automatisch eine oder mehrere Richtlinien, die dem Anbieter zugeordnet sind. Eine Vorlagendefinition, die in config\policyTemplates.xml im Abschnitt NewPolicyTemplate enthalten ist, definiert die Richtlinien. Für jedes in diesem Abschnitt definierte Policy-Element wird eine neue Richtlinie erstellt.

Der Operator kann Richtlinienelemente hinzufügen, entfernen oder ändern, wenn Folgendes zutrifft: Das Richtlinienelement entspricht der Schemadefinition und die Standard-Ersetzungszeichenfolgen (in geschweiften Klammern) werden nicht geändert. Fügen Sie als Nächstes neue Gruppen für den Anbieter hinzu und aktualisieren Sie die Richtlinie, um die neuen Gruppen aufzunehmen.

So importieren Sie eine Richtlinie aus Citrix Endpoint Management

1. Im Connector für das Exchange ActiveSync-Konfigurationsprogramm klicken Sie auf die Registerkarte Config Providers und dann auf Hinzufügen.
2. Geben Sie im Dialogfeld Config Providers unter Name einen Benutzernamen für die grundlegende HTTP-Autorisierung mit Citrix Endpoint Management ein. Der Benutzer muss über Administratorrechte verfügen.
3. Geben Sie unter Url die Webadresse des Citrix Endpoint Management Gateway Configuration Service (GCS) ein, typischerweise im Format https://<xdmHost>/xdm/services/<MagConfigService>. Der Name MagConfigService unterscheidet Groß- und Kleinschreibung.
4. Geben Sie unter Password das Kennwort ein, das für die grundlegende HTTP-Autorisierung mit dem Citrix Endpoint Management-Server verwendet wird.
5. Klicken Sie auf Test Connectivity, um die Konnektivität zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob Ihre lokalen Firewalleinstellungen die Verbindung zulassen, oder wenden Sie sich an Ihren Administrator.
6. Wenn eine Verbindung erfolgreich hergestellt wurde, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie dann auf Save.

7. Lassen Sie unter Managing Host den Standard-DNS-Namen des lokalen Hostcomputers. Diese Einstellung wurde verwendet, um die Kommunikation mit Citrix Endpoint Management zu koordinieren, wenn mehrere Forefront Threat Management Gateway (TMG)-Server in einem Array konfiguriert sind.

   Nachdem Sie die Einstellungen gespeichert haben, öffnen Sie den GCS.

Konfigurieren des NetScaler Gateway-Connectors für den Exchange ActiveSync-Richtlinienmodus

Der NetScaler Gateway-Connector für Exchange ActiveSync kann in den folgenden sechs Modi ausgeführt werden:

• Alle zulassen: Dieser Richtlinienmodus gewährt Zugriff für den gesamten Datenverkehr, der den Connector für Exchange ActiveSync durchläuft. Es werden keine anderen Filterregeln verwendet.
• Alle verweigern: Dieser Richtlinienmodus blockiert den Zugriff für den gesamten Datenverkehr, der den Connector für Exchange ActiveSync durchläuft. Es werden keine anderen Filterregeln verwendet.
• Statische Regeln: Blockierungsmodus: Dieser Richtlinienmodus führt statische Regeln mit einer impliziten Verweigerungs- oder Blockierungsanweisung am Ende aus. Der Connector für Exchange ActiveSync blockiert Geräte, die nicht über andere Filterregeln zugelassen oder erlaubt sind.
• Statische Regeln: Zulassungsmodus: Dieser Richtlinienmodus führt statische Regeln mit einer impliziten Zulassungs- oder Erlaubnisanweisung am Ende aus. Geräte, die nicht über andere Filterregeln blockiert oder verweigert werden, werden über den Connector für Exchange ActiveSync zugelassen.
• Statische + ZDM-Regeln: Blockierungsmodus. Dieser Richtlinienmodus führt zuerst statische Regeln aus, gefolgt von dynamischen Regeln von Citrix Endpoint Management mit einer impliziten Verweigerungs- oder Blockierungsanweisung am Ende. Geräte werden basierend auf definierten Filtern und Citrix Endpoint Management-Regeln zugelassen oder verweigert. Alle Geräte, die nicht mit den definierten Filtern und Regeln übereinstimmen, werden blockiert.
• Statische + ZDM-Regeln: Zulassungsmodus. Dieser Richtlinienmodus führt zuerst statische Regeln aus, gefolgt von dynamischen Regeln von Citrix Endpoint Management mit einer impliziten Zulassungs- oder Erlaubnisanweisung am Ende. Geräte werden basierend auf definierten Filtern und Citrix Endpoint Management-Regeln zugelassen oder verweigert. Alle Geräte, die nicht mit den definierten Filtern und Regeln übereinstimmen, werden zugelassen.

Der Connector für den Exchange ActiveSync-Prozess erlaubt oder blockiert dynamische Regeln basierend auf eindeutigen ActiveSync-IDs für iOS- und Windows-basierte Mobilgeräte, die von Citrix Endpoint Management empfangen werden. Android-Geräte unterscheiden sich in ihrem Verhalten je nach Hersteller, und einige geben keine eindeutige ActiveSync-ID preis. Zum Ausgleich sendet Citrix Endpoint Management Benutzer-ID-Informationen für Android-Geräte, um eine Zulassungs- oder Blockierungsentscheidung zu treffen. Wenn ein Benutzer nur ein Android-Gerät hat, funktionieren Zulassungen und Blockierungen daher normal. Wenn der Benutzer mehrere Android-Geräte hat, sind alle Geräte zugelassen, da Android-Geräte nicht unterschieden werden können. Sie können das Gateway so konfigurieren, dass diese Geräte statisch nach ActiveSyncID blockiert werden, falls diese bekannt sind. Sie können das Gateway auch so konfigurieren, dass es basierend auf dem Gerätetyp oder dem Benutzeragenten blockiert.

Um den Richtlinienmodus festzulegen, gehen Sie im SMG Controller Configuration-Dienstprogramm wie folgt vor:

1. Klicken Sie auf die Registerkarte Path Filters und dann auf Add.
2. Wählen Sie im Dialogfeld Path Properties einen Richtlinienmodus aus der Liste Policy aus und klicken Sie dann auf Save.

Sie können die Regeln auf der Registerkarte Policies des Konfigurationsprogramms überprüfen. Die Regeln werden auf dem Connector für Exchange ActiveSync von oben nach unten verarbeitet. Die Zulassungsrichtlinien werden mit einem grünen Häkchen angezeigt. Die Verweigerungsrichtlinien werden als roter Kreis mit einem durchgestrichenen Strich dargestellt. Um den Bildschirm zu aktualisieren und die aktuellsten Regeln anzuzeigen, klicken Sie auf Refresh. Sie können die Reihenfolge der Regeln auch in der Datei config.xml ändern.

Um die Regeln zu testen, klicken Sie auf die Registerkarte Simulator. Geben Sie Werte in die Felder ein. Sie können die Werte aus den Protokollen abrufen. Eine Ergebnisnachricht gibt „Zulassen“ oder „Blockieren“ an.

So konfigurieren Sie statische Regeln

Geben Sie statische Regeln mit Werten ein, die die ISAPI-Filterung der HTTP-Anfragen der ActiveSync-Verbindung liest. Statische Regeln ermöglichen es dem Connector für Exchange ActiveSync, den Datenverkehr nach folgenden Kriterien zuzulassen oder zu blockieren:

• Benutzer: Der Connector für Exchange ActiveSync verwendet den autorisierten Benutzerwert und die Namensstruktur, die während der Geräteregistrierung erfasst wurden. Diese Struktur wird häufig als domain\username gefunden, wie vom Server referenziert, auf dem Citrix Endpoint Management ausgeführt wird, der über LDAP mit dem Active Directory verbunden ist. Die Registerkarte Log im Connector-Konfigurationsprogramm zeigt die Werte an, die den Connector durchlaufen. Die Werte werden übergeben, wenn der Connector die Wertestruktur bestimmen muss oder wenn die Struktur abweicht.
• DeviceID (ActiveSyncID): Auch bekannt als die ActiveSyncID des verbundenen Geräts. Dieser Wert ist häufig auf der spezifischen Geräteeigenschaftenseite in der Citrix Endpoint Management-Konsole zu finden. Dieser Wert kann auch über die Registerkarte Log im Connector für das Exchange ActiveSync-Konfigurationsprogramm eingesehen werden.
• DeviceType: Der Connector für Exchange ActiveSync kann feststellen, ob ein Gerät ein iPhone, iPad oder ein anderer Gerätetyp ist, und basierend auf diesen Kriterien zulassen oder blockieren. Wie bei anderen Werten kann das Connector-Konfigurationsprogramm alle verbundenen Gerätetypen anzeigen, die für die ActiveSync-Verbindung verarbeitet werden.
• UserAgent: Enthält Informationen über den verwendeten ActiveSync-Client. Normalerweise entspricht der angegebene Wert einem bestimmten Betriebssystem-Build und einer Version für die mobile Geräteplattform.

Der Connector für das Exchange ActiveSync-Konfigurationsprogramm, das auf dem Server ausgeführt wird, verwaltet immer die statischen Regeln.

1. Klicken Sie im SMG Controller Configuration-Dienstprogramm auf die Registerkarte Static Rules und dann auf Add.
2. Geben Sie im Dialogfeld Static Rule Properties die Werte an, die Sie als Kriterien verwenden möchten. Sie können beispielsweise einen Benutzer eingeben, um den Zugriff zu erlauben, indem Sie den Benutzernamen (z. B. AllowedUser) eingeben und dann das Kontrollkästchen Disabled deaktivieren.

3. Klicken Sie auf Save.

   Die statische Regel ist nun in Kraft. Sie können auch reguläre Ausdrücke verwenden, um Werte zu definieren, müssen aber den Regelverarbeitungsmodus in der Datei config.xml aktivieren.

So konfigurieren Sie dynamische Regeln

Geräterichtlinien und -eigenschaften in Citrix Endpoint Management definieren dynamische Regeln und können einen dynamischen Connector für den Exchange ActiveSync-Filter auslösen. Die Auslöser basieren auf dem Vorhandensein einer Richtlinienverletzung oder einer Eigenschaftseinstellung. Die Connector für Exchange ActiveSync-Filter funktionieren, indem sie ein Gerät auf eine bestimmte Richtlinienverletzung oder Eigenschaftseinstellung analysieren. Wenn das Gerät die Kriterien erfüllt, wird es in eine Geräteliste (Device List) aufgenommen. Diese Geräteliste ist keine Zulassungsliste oder Blockierungsliste. Es ist eine Liste von Geräten, die die definierten Kriterien erfüllen. Die folgenden Konfigurationsoptionen ermöglichen es Ihnen zu definieren, ob Sie die Geräte in der Geräteliste mithilfe des Connectors für Exchange ActiveSync zulassen oder verweigern möchten.

• Hinweis:

• Verwenden Sie die Citrix Endpoint Management-Konsole, um dynamische Regeln zu konfigurieren.

1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol in der oberen rechten Ecke. Die Seite Einstellungen wird angezeigt.

2. Klicken Sie unter Server auf ActiveSync Gateway. Die Seite ActiveSync Gateway wird angezeigt.

3. Wählen Sie unter Folgende Regeln aktivieren eine oder mehrere Regeln aus, die Sie aktivieren möchten.

4. Nur für Android: Klicken Sie unter Android-Domänenbenutzer an ActiveSync Gateway senden auf JA, um sicherzustellen, dass Citrix Endpoint Management Android-Geräteinformationen an das Secure Mobile Gateway sendet.

   Wenn diese Option aktiviert ist, sendet Citrix Endpoint Management Android-Geräteinformationen an den Connector, wenn Citrix Endpoint Management die ActiveSync-Kennung für den Gerätenutzer nicht besitzt.

Benutzerdefinierte Richtlinien konfigurieren durch Bearbeiten der XML-Datei des Connectors für Exchange ActiveSync

Sie können die grundlegenden Richtlinien in der Standardkonfiguration auf der Registerkarte Richtlinien des Konfigurationsdienstprogramms des Connectors für Exchange ActiveSync anzeigen. Wenn Sie benutzerdefinierte Richtlinien erstellen möchten, können Sie die XML-Konfigurationsdatei des NetScaler Gateway-Connectors für Exchange ActiveSync (config\config.xml) bearbeiten.

• 1. Suchen Sie den Abschnitt PolicyList in der Datei und fügen Sie dann ein neues Policy-Element hinzu.

1. Wenn auch eine neue Gruppe erforderlich ist, z. B. eine weitere statische Gruppe oder eine Gruppe zur Unterstützung eines anderen GCP, fügen Sie das neue Group-Element zum Abschnitt GroupList hinzu.
2. Optional können Sie die Reihenfolge der Gruppen innerhalb einer vorhandenen Richtlinie ändern, indem Sie die GroupRef-Elemente neu anordnen.

• Konfigurieren der XML-Datei des Connectors für Exchange ActiveSync

Der Connector für Exchange ActiveSync verwendet eine XML-Konfigurationsdatei, um die Aktionen des Connectors zu steuern. Neben anderen Einträgen gibt die Datei die Gruppendateien und die zugehörigen Aktionen an, die der Filter bei der Auswertung von HTTP-Anfragen ausführt. Standardmäßig heißt die Datei config.xml und befindet sich am folgenden Speicherort: ..\Program Files\Citrix\XenMobile NetScaler Connector\config.

GroupRef-Knoten

• Die GroupRef-Knoten definieren die logischen Gruppennamen. Die Standardwerte sind AllowGroup und DenyGroup.

• Hinweis:

  Die Reihenfolge der GroupRef-Knoten, wie sie im GroupRefList-Knoten erscheinen, ist wichtig.

Der ID-Wert eines GroupRef-Knotens identifiziert einen logischen Container oder eine Sammlung von Mitgliedern, die zum Abgleichen bestimmter Benutzerkonten oder Geräte verwendet werden. Die Aktionsattribute geben an, wie der Filter ein Mitglied behandelt, das einer Regel in der Sammlung entspricht. Beispielsweise „besteht“ ein Benutzerkonto oder Gerät, das einer Regel im AllowGroup-Satz entspricht. Bestehen bedeutet, dass der Zugriff auf den Exchange CAS erlaubt ist. Ein Benutzerkonto oder Gerät, das einer Regel im DenyGroup-Satz entspricht, wird „abgelehnt“. Abgelehnt bedeutet, dass der Zugriff auf den Exchange CAS nicht erlaubt ist.

Wenn ein bestimmtes Benutzerkonto/Gerät oder eine Kombination Regeln in beiden Gruppen erfüllt, wird eine Vorrangkonvention verwendet, um das Ergebnis der Anfrage zu steuern. Der Vorrang ist in der Reihenfolge der GroupRef-Knoten in der Datei config.xml von oben nach unten festgelegt. Die GroupRef-Knoten sind nach Priorität geordnet. Regeln für eine bestimmte Bedingung in der Allow-Gruppe haben immer Vorrang vor Regeln für dieselbe Bedingung in der Deny-Gruppe.

Group-Knoten

Die config.xml definiert auch Group-Knoten. Diese Knoten verknüpfen die logischen Container AllowGroup und DenyGroup mit externen XML-Dateien. In den externen Dateien gespeicherte Einträge bilden die Grundlage der Filterregeln.

Hinweis:

In dieser Version werden nur externe XML-Dateien unterstützt.

Die Standardinstallation implementiert zwei XML-Dateien in der Konfiguration: allow.xml und deny.xml.

Konfigurieren des NetScaler Gateway-Connectors für Exchange ActiveSync

Sie können den NetScaler Gateway-Connector für Exchange ActiveSync so konfigurieren, dass ActiveSync-Anfragen selektiv blockiert oder zugelassen werden, basierend auf den folgenden Eigenschaften: ActiveSync-Dienst-ID, Gerätetyp, Benutzer-Agent (Gerätebetriebssystem), Autorisierter Benutzer und ActiveSync-Befehl.

Die Standardkonfiguration unterstützt eine Kombination aus statischen und dynamischen Gruppen. Statische Gruppen pflegen Sie mithilfe des SMG Controller-Konfigurationsdienstprogramms. Die statischen Gruppen können aus bekannten Gerätekategorien bestehen, z. B. alle Geräte, die einen bestimmten Benutzer-Agent verwenden.

Eine externe Quelle, ein sogenannter Gateway-Konfigurationsanbieter, verwaltet dynamische Gruppen. Der Connector für Exchange ActiveSync verbindet die Gruppen regelmäßig. Citrix Endpoint Management kann Gruppen von zugelassenen und blockierten Geräten und Benutzern an den Connector für Exchange ActiveSync exportieren.

Eine externe Quelle, ein sogenannter Gateway-Konfigurationsanbieter, verwaltet dynamische Gruppen. Der Connector für Exchange ActiveSync erfasst dynamische Gruppen regelmäßig. Citrix Endpoint Management kann Gruppen von zugelassenen und blockierten Geräten und Benutzern an den Connector exportieren.

Eine Richtlinie ist eine geordnete Liste von Gruppen, wobei jede Gruppe eine zugehörige Aktion (zulassen oder blockieren) und eine Liste von Gruppenmitgliedern hat. Eine Richtlinie kann beliebig viele Gruppen enthalten. Die Reihenfolge der Gruppen innerhalb einer Richtlinie ist wichtig, denn wenn eine Übereinstimmung gefunden wird, wird die Aktion der Gruppe ausgeführt und nachfolgende Gruppen werden nicht ausgewertet.

Ein Mitglied definiert eine Möglichkeit, die Eigenschaften einer Anfrage abzugleichen. Es kann eine einzelne Eigenschaft abgleichen, wie z. B. die Geräte-ID, oder mehrere Eigenschaften, wie z. B. Gerätetyp und Benutzer-Agent.

• Auswahl eines Sicherheitsmodells für den NetScaler Gateway-Connector für Exchange ActiveSync

Die Festlegung eines Sicherheitsmodells ist für eine erfolgreiche Bereitstellung mobiler Geräte in Unternehmen jeder Größe unerlässlich. Es ist üblich, eine geschützte oder unter Quarantäne gestellte Netzwerksteuerung zu verwenden, um einem Benutzer, Computer oder Gerät standardmäßig Zugriff zu gewähren. Diese Praxis ist nicht immer ideal. Jedes Unternehmen, das IT-Sicherheit verwaltet, kann einen leicht unterschiedlichen oder maßgeschneiderten Ansatz für die Sicherheit mobiler Geräte haben.

Dieselbe Logik gilt für die Sicherheit mobiler Geräte. Die Verwendung eines permissiven Modells ist aufgrund der Vielzahl mobiler Geräte und Typen, mobiler Geräte pro Benutzer und verfügbarer Betriebssystemplattformen und Apps eine schwache Wahl. In den meisten Organisationen ist das restriktive Modell die logischste Wahl.

Die Konfigurationsszenarien, die Citrix für die Integration des Connectors für Exchange ActiveSync mit Citrix Endpoint Management zulässt, sind wie folgt:

Permissives Modell (Zulassungsmodus)

Das permissive Sicherheitsmodell basiert auf der Prämisse, dass standardmäßig alles zugelassen oder gewährt wird. Nur durch Regeln und Filter wird etwas blockiert und eine Einschränkung angewendet. Das permissive Sicherheitsmodell ist gut für Organisationen, die relativ geringe Sicherheitsbedenken hinsichtlich mobiler Geräte haben. Das Modell wendet restriktive Kontrollen nur an, um den Zugriff gegebenenfalls zu verweigern (wenn eine Richtlinienregel nicht erfüllt wird).

Restriktives Modell (Blockierungsmodus)

Das restriktive Sicherheitsmodell basiert auf der Prämisse, dass standardmäßig nichts zugelassen oder gewährt wird. Alles, was den Sicherheitskontrollpunkt passiert, wird gefiltert und überprüft und der Zugriff wird verweigert, es sei denn, die Regeln, die den Zugriff erlauben, werden bestanden. Das restriktive Sicherheitsmodell ist gut für Organisationen, die relativ strenge Sicherheitskriterien für mobile Geräte haben. Der Modus gewährt die Nutzung und Funktionalität mit den Netzwerkdiensten nur, wenn alle Regeln für den Zugriff bestanden wurden.

Verwalten des NetScaler Gateway-Connectors für Exchange ActiveSync

Sie können den NetScaler Gateway-Connector für Exchange ActiveSync verwenden, um Zugriffssteuerungsregeln zu erstellen. Die Regeln erlauben oder blockieren den Zugriff auf ActiveSync-Verbindungsanfragen von verwalteten Geräten. Der Zugriff basiert auf dem Gerätestatus, App-Zulassungs- oder Blockierungslisten und anderen Compliance-Bedingungen.

Mithilfe des Connectors für das Exchange ActiveSync-Konfigurationsdienstprogramm können Sie dynamische und statische Regeln erstellen, die die Unternehmens-E-Mail-Richtlinien durchsetzen. Diese Regeln und Richtlinien ermöglichen es Ihnen, Benutzer zu blockieren, die gegen Compliance-Standards verstoßen. Sie können auch die E-Mail-Anhangsverschlüsselung einrichten, sodass alle Anhänge, die über Ihren Exchange Server an verwaltete Geräte gesendet werden, verschlüsselt sind. Nur autorisierte Benutzer mit verwalteten Geräten können verschlüsselte Anhänge anzeigen.

So deinstallieren Sie den XNC

1. Führen Sie XncInstaller.exe mit einem Administratorkonto aus.
2. Befolgen Sie die Anweisungen auf dem Bildschirm, um die Deinstallation abzuschließen.

So installieren, aktualisieren oder deinstallieren Sie den Connector für Exchange ActiveSync

1. Führen Sie XncInstaller.exe mit einem Administratorkonto aus, um den Connector für Exchange ActiveSync zu installieren oder die Aktualisierung oder Entfernung eines vorhandenen Connectors zu ermöglichen.
2. Befolgen Sie die Anweisungen auf dem Bildschirm, um die Installation, das Upgrade oder die Deinstallation abzuschließen.

Nach der Installation des Connectors für Exchange ActiveSync müssen Sie den Citrix Endpoint Management-Konfigurationsdienst und den Benachrichtigungsdienst manuell neu starten.

Installieren des NetScaler Gateway-Connectors für Exchange ActiveSync

Sie können den Connector für Exchange ActiveSync auf einem eigenen Server oder auf demselben Server installieren, auf dem Sie Citrix Endpoint Management installiert haben.

Sie können die Installation des Connectors für Exchange ActiveSync auf einem eigenen Server (getrennt von Citrix Endpoint Management) aus den folgenden Gründen in Betracht ziehen:

• Wenn Ihr Citrix Endpoint Management-Server remote in der Cloud gehostet wird (physischer Standort)
• Wenn Sie nicht möchten, dass Neustarts des Citrix Endpoint Management-Servers den Connector für Exchange ActiveSync beeinträchtigen (Verfügbarkeit)
• Wenn Sie die Systemressourcen eines Servers vollständig dem Connector für Exchange ActiveSync widmen möchten (Leistung)

Die CPU-Last, die der Connector für Exchange ActiveSync auf einem Server verursacht, hängt davon ab, wie viele Geräte verwaltet werden. Eine allgemeine Empfehlung ist, einen weiteren CPU-Kern bereitzustellen, wenn der Connector auf demselben Server wie Citrix Endpoint Management bereitgestellt wird. Bei einer großen Anzahl von Geräten (mehr als 50.000) müssen Sie möglicherweise mehr Kerne bereitstellen, wenn Sie keine Cluster-Umgebung haben. Der Speicherbedarf des Connectors ist nicht signifikant genug, um mehr Speicher zu rechtfertigen.

Systemanforderungen für den NetScaler Gateway-Connector für Exchange ActiveSync

Der NetScaler Gateway-Connector für Exchange ActiveSync kommuniziert mit NetScaler Gateway über eine SSL-Bridge, die auf der NetScaler Gateway-Appliance konfiguriert ist. Die Bridge ermöglicht es der Appliance, den gesamten sicheren Datenverkehr direkt an Citrix Endpoint Management zu überbrücken. Der Connector für Exchange ActiveSync hat die folgende Mindestsystemkonfiguration:

Der Hostcomputer für den Connector für Exchange ActiveSync erfordert den folgenden minimalen freien Festplattenspeicher:

• Anwendung: 10–15 MB (100 MB empfohlen)
• Protokollierung: 1 GB (20 GB empfohlen)

Informationen zur Plattformunterstützung für den Connector für Exchange ActiveSync finden Sie unter Unterstützte Gerätebetriebssysteme.

E-Mail-Clients für Geräte

Nicht alle E-Mail-Clients geben konsistent dieselbe ActiveSync-ID für ein Gerät zurück. Da der Connector für Exchange ActiveSync eine eindeutige ActiveSync-ID für jedes Gerät erwartet, gilt Folgendes: Es werden nur E-Mail-Clients unterstützt, die konsistent dieselbe, eindeutige ActiveSync-ID für jedes Gerät generieren. Citrix hat diese E-Mail-Clients getestet, und die Clients haben fehlerfrei funktioniert:

• Nativer Samsung E-Mail-Client
• Nativer iOS E-Mail-Client

Bereitstellen des NetScaler Gateway-Connectors für Exchange ActiveSync

Der NetScaler Gateway Connector für Exchange ActiveSync ermöglicht Ihnen die Verwendung von NetScaler Gateway zum Proxying und Lastenausgleich der Kommunikation des Citrix Endpoint Management-Servers mit von Citrix Endpoint Management verwalteten Geräten. Der Connector für Exchange ActiveSync kommuniziert regelmäßig mit Citrix Endpoint Management, um Richtlinien zu synchronisieren. Sie können den Connector für Exchange ActiveSync und Citrix Endpoint Management gemeinsam oder unabhängig voneinander clustern.

Die Komponenten des Connectors für Exchange ActiveSync

• Der Connector für Exchange ActiveSync-Dienst: Dieser Dienst stellt eine REST-Webdienstschnittstelle bereit, die NetScaler Gateway aufrufen kann, um festzustellen, ob eine ActiveSync-Anfrage von einem Gerät autorisiert ist.
• Citrix Endpoint Management-Konfigurationsdienst: Dieser Dienst kommuniziert mit Citrix Endpoint Management, um Citrix Endpoint Management-Richtlinienänderungen mit dem Connector für Exchange ActiveSync zu synchronisieren.
• Citrix Endpoint Management-Benachrichtigungsdienst: Dieser Dienst sendet Benachrichtigungen über unautorisierten Gerätezugriff an Citrix Endpoint Management. Auf diese Weise kann Citrix Endpoint Management geeignete Maßnahmen ergreifen, z. B. den Benutzer darüber informieren, warum das Gerät blockiert wurde.
• Das Konfigurationsdienstprogramm des Connectors für Exchange ActiveSync: Diese Anwendung ermöglicht dem Administrator die Konfiguration und Überwachung des Connectors für Exchange ActiveSync.

So richten Sie Empfangsadressen für den NetScaler Gateway Connector für Exchange ActiveSync ein

Damit der NetScaler Gateway Connector für Exchange ActiveSync Anfragen von NetScaler Gateway zur Autorisierung des ActiveSync-Datenverkehrs empfangen kann, gehen Sie wie folgt vor. Geben Sie den Port an, an dem der Connector für Exchange ActiveSync auf NetScaler Gateway-Webdienstaufrufe lauscht.

1. Wählen Sie im Startmenü das Konfigurationsdienstprogramm des Connectors für Exchange ActiveSync aus.
2. Klicken Sie auf die Registerkarte Webdienst und geben Sie dann die Empfangsadressen für den Connector-Webdienst ein. Sie können HTTP oder HTTPS oder beides auswählen. Wenn der Connector für Exchange ActiveSync zusammen mit Citrix Endpoint Management (auf demselben Server installiert) ausgeführt wird, wählen Sie Portwerte, die nicht mit Citrix Endpoint Management in Konflikt stehen.
3. Nachdem die Werte konfiguriert wurden, klicken Sie auf Speichern und dann auf Dienst starten, um den Webdienst zu starten.

So konfigurieren Sie Gerätezugriffssteuerungsrichtlinien im NetScaler Gateway Connector für Exchange ActiveSync

Gehen Sie wie folgt vor, um die Zugriffssteuerungsrichtlinie zu konfigurieren, die Sie auf Ihre verwalteten Geräte anwenden möchten:

1. Klicken Sie im Konfigurationsdienstprogramm des Connectors für Exchange ActiveSync auf die Registerkarte Pfadfilter.
2. Wählen Sie die erste Zeile, Microsoft-Server-ActiveSync ist für ActiveSync, aus und klicken Sie dann auf Bearbeiten.
3. Wählen Sie aus der Liste Richtlinie die gewünschte Richtlinie aus. Für eine Richtlinie, die Citrix Endpoint Management-Richtlinien einschließt, wählen Sie Statisch + ZDM: Zulassungsmodus oder Statisch + ZDM: Blockierungsmodus. Diese Richtlinien kombinieren lokale (oder statische) Regeln mit den Regeln von Citrix Endpoint Management. Der Zulassungsmodus bedeutet, dass allen Geräten, die nicht explizit durch die Regeln identifiziert werden, der Zugriff auf ActiveSync gestattet ist. Der Blockierungsmodus bedeutet, dass solche Geräte blockiert werden.
4. Nachdem Sie die Richtlinien festgelegt haben, klicken Sie auf Speichern.

So konfigurieren Sie die Kommunikation mit Citrix Endpoint Management

Geben Sie den Namen und die Eigenschaften des Citrix Endpoint Management-Servers an, den Sie mit dem NetScaler Gateway Connector für Exchange ActiveSync und NetScaler Gateway verwenden möchten.

Hinweis:

Diese Aufgabe setzt voraus, dass Sie Citrix Endpoint Management bereits installiert und konfiguriert haben. Das Exchange ActiveSync-Konfigurationsdienstprogramm verwendet den Begriff „Konfigurationsanbieter“ für Citrix Endpoint Management.

1. Klicken Sie im Konfigurationsdienstprogramm des Connectors für Exchange ActiveSync auf die Registerkarte Konfigurationsanbieter und dann auf Hinzufügen.
2. Geben Sie den Namen und die URL des Citrix Endpoint Management-Servers ein, den Sie in dieser Bereitstellung verwenden. Wenn Sie mehrere Citrix Endpoint Management-Server in einer Mehrmandantenbereitstellung bereitgestellt haben, muss dieser Name für jede Serverinstanz eindeutig sein.
3. Geben Sie unter URL die Webadresse des Citrix Endpoint Management GlobalConfig Provider (GCP) ein, typischerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>. Der Name MagConfigService ist Groß-/Kleinschreibung-sensitiv.
4. Geben Sie unter Kennwort das Kennwort ein, das für die grundlegende HTTP-Autorisierung mit dem Citrix Endpoint Management-Webserver verwendet werden soll.
5. Geben Sie unter Verwaltender Host den Servernamen ein, auf dem Sie den Connector für Exchange ActiveSync installiert haben.
6. Geben Sie unter Basisintervall einen Zeitraum an, wann ein neuer, aktualisierter dynamischer Regelsatz von Citrix Endpoint Management abgerufen wird.
7. Geben Sie unter Anforderungs-Timeout das Serveranforderungs-Timeout-Intervall an.
8. Wählen Sie unter Konfigurationsanbieter aus, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
9. Aktivieren Sie unter Ereignisse aktiviert diese Option, wenn Secure Mobile Gateway Citrix Endpoint Management benachrichtigen soll, wenn ein Gerät blockiert wird. Diese Option ist erforderlich, wenn Sie die Secure Mobile Gateway-Regeln in einer Ihrer automatisierten Aktionen von Citrix Endpoint Management verwenden.
10. Nachdem Sie den Server konfiguriert haben, klicken Sie auf Konnektivität testen, um die Verbindung zu Citrix Endpoint Management zu testen.
11. Wenn die Verbindung hergestellt wurde, klicken Sie auf Speichern.

Bereitstellen des NetScaler Gateway Connectors für Exchange ActiveSync für Redundanz und Skalierbarkeit

Um Ihre Bereitstellung des NetScaler Gateway Connectors für Exchange ActiveSync und Citrix Endpoint Management zu skalieren, können Sie Instanzen des Connectors für Exchange ActiveSync auf mehreren Windows-Servern installieren. Alle Connector-Instanzen verweisen auf dieselbe Citrix Endpoint Management-Instanz. Anschließend können Sie NetScaler Gateway verwenden, um den Lastenausgleich der Server durchzuführen.

Es gibt zwei Modi für die Konfiguration des Connectors für Exchange ActiveSync:

• Im nicht freigegebenen Modus kommuniziert jeder Connector für eine Exchange ActiveSync-Instanz mit einem Citrix Endpoint Management-Server und behält eine eigene private Kopie der resultierenden Richtlinie. Beispielsweise können Sie für einen Cluster von Citrix Endpoint Management-Servern eine Connector-Instanz auf jedem Citrix Endpoint Management-Server ausführen. Der Connector ruft dann Richtlinien von der lokalen Citrix Endpoint Management-Instanz ab.
• Im freigegebenen Modus wird ein Connector für einen Exchange ActiveSync-Knoten als primärer Knoten festgelegt. Der Connector kommuniziert mit Citrix Endpoint Management. Die anderen Knoten teilen die resultierende Konfiguration über eine Windows-Netzwerkfreigabe oder durch Windows- (oder Drittanbieter-) Replikation.

Die gesamte Konfiguration des Connectors für Exchange ActiveSync befindet sich in einem einzigen Ordner (bestehend aus einigen XML-Dateien). Der Connector-Prozess erkennt Änderungen an jeder Datei in diesem Ordner und lädt die Konfiguration automatisch neu. Es gibt kein Failover für den primären Knoten im freigegebenen Modus. Das System kann jedoch tolerieren, dass der primäre Server für einige Minuten (z. B. zum Neustart) ausgefallen ist. Die letzte bekannte gute Konfiguration wird im Connector-Prozess zwischengespeichert.