Endpoint Management Connector für Exchange ActiveSync
XenMobile Mail Manager heißt jetzt Endpoint Management Connector für Exchange ActiveSync. Weitere Informationen zum vereinheitlichten Citrix-Portfolio finden Sie im Citrix product name guide.
Der Connector erweitert die Funktionen von XenMobile auf folgenden Weise:
- Dynamische Zugriffssteuerung für Exchange ActiveSync-Geräte (EAS). EAS-Geräten kann der Zugriff auf Exchange-Dienste automatisch erlaubt oder verweigert werden.
- Zugriff von XenMobile auf durch Exchange bereitgestellte EAS-Gerätepartnerschaftsinformationen.
- Löschen eines mobilen Geräts durch XenMobile auf der Basis des EAS-Status.
- Zugriff von XenMobile auf Informationen über Blackberry-Geräte, und Steuerungsvorgänge wie Löschen und Kennwort zurücksetzen.
Um ein Gerät basierend auf dem EAS-Status zu löschen, konfigurieren Sie eine automatisierte Aktion mit einem ActiveSync-Auslöser. Siehe Automatisierte Aktionen.
So laden Sie Endpoint Management Connector für Exchange ActiveSync herunter:
- Gehen Sie zu https://www.citrix.com/downloads.
- Navigieren Sie zu Citrix Endpoint Management (und Citrix XenMobile Server) > XenMobile Server (on-premises) > Product Software > XenMobile Server 10 > Server Components.
- Klicken Sie auf der Kachel Citrix Endpoint Management Connector für Exchange ActiveSync auf Download File.
Wichtig:
Ab Oktober 2022 bieten Endpoint Management Connector und Citrix Gateway Connector für Exchange ActiveSync angesichts der von Microsoft hier angekündigten Authentifizierungsänderungen keine Unterstützung mehr für Exchange Online. Der Endpoint Management Connector für Exchange funktioniert weiterhin mit Microsoft Exchange Server (on-premises).
Neue Features
In den folgenden Abschnitten wird aufgeführt, was im Endpoint Management-Connector für Exchange ActiveSync (zuvor “XenMobile Mail Manager”) neu ist.
Neue Features in Version 10.1.10
Die folgenden Probleme wurden in Version 10.1.10 behoben:
- Kunden, bei denen häufig Netzwerkprobleme auftreten, können einen Snapshot möglicherweise nicht innerhalb der drei Versuche abschließen, die vorher verfügbar waren. Mit diesem Release kann ein Administrator die maximale Anzahl von Versuchen konfigurieren (1-10). Dieser Fix ermöglicht, dass bei einem Snapshot mehrere Unterbrechungen in der Kommunikation auftreten, ohne dass der Snapshotprozess vollständig aufgegeben wird. [CXM-70837]
- In früheren Versionen wurde der Snapshottyp nicht in der Liste der Exchange-Konfigurationen angezeigt. Nun wird der Snapshottyp angezeigt. [CXM-70846]
- Die von PowerShell gemeldete PSRemotingTransport-Ausnahme weist darauf hin, dass die Exchange-Sitzung nicht mehr funktionsfähig ist. Der Status wird standardmäßig der Liste “Kritische Fehler” in der Konfigurationsdatei hinzugefügt. Wenn PSRemotingTransportException erkannt wird, wird die Verbindung zu einem fehlerhaft markiert für eine spätere Entfernung. Die nächste Kommunikation verwendet eine gültige Verbindung oder erstellt eine neue Verbindung. [XMHELP-2184, CXM-70836]
- Wenn eine Konfigurationsänderung gespeichert wird, ist es möglich, dass nicht alle zuvor konfigurierten internen Komponenten ordnungsgemäß entfernt werden, bevor die neue Konfiguration geladen wird. Dieses Problem kann zu unvorhersehbarem Verhalten führen. Das Verhalten hängt von der spezifischen Änderung ab und ob die Änderung mit der vorherigen Konfiguration in Konflikt steht. In dieser Version werden alle internen Komponenten entfernt, bevor die neue Konfiguration geladen wird. [XMHELP-2259, CXM-71388]
Was ist neu in früheren Releases
Im folgenden Abschnitt werden die Features und behobenen Probleme in früheren Versionen des Endpoint Management Connectors für Exchange ActiveSync aufgeführt.
Neue Features in Version 10.1.9
Die folgenden Probleme wurden in Version 10.1.9 behoben:
- Konfigurationsänderungen werden nun konsequenter umgesetzt. Sobald eine Konfigurationsänderung erkannt wird, wird jedes interne Subsystem gestoppt und jede aktive oder geplante Verarbeitung unterbrochen. Anschließend wird die neue Konfiguration geladen und die Subsysteme werden neu gestartet. Alle Zeitpläne und internen Infrastrukturelemente werden dann mit den neuen Einstellungen wiederhergestellt. Dies behebt ein bekanntes Problem in Version 10.1.8. [CXM-47709, CXM-61330]
- Während eines Upgrades wurde die vorhandene Datenbankkonfiguration nicht mit der neuen Konfigurationsdatei zusammengeführt. Die Datenbankkonfiguration wird nun in die aktualisierte Konfigurationsdatei integriert. [CXM-49326]
- In den Snapshot-bezogenen Diagnosedateien fehlten die Spaltenüberschriften. Die Kopfzeilen werden wiederhergestellt. [CXM-62680]
- Beim Upgrade von einer früheren Version wurden die Standardeinstellungen in der Konfigurationsdatei durch den entsprechenden Abschnitt in der bisher verwendeten Konfigurationsdatei überschrieben. Dadurch konnten Ergänzungen oder Verbesserungen dieses Abschnitts nach dem Upgrade nicht geladen werden. Ab dieser Version enthält der Abschnitt zu den Standardeinstellungen stets die neueste Konfiguration. [CXM-62681]
-
Administratoren können nicht mehr auf bestimmte Optionen zugreifen, indem sie beim Ausführen der Anwendung die Umschalttaste drücken. Diese Optionen waren zuvor mit Citrix-Berechtigung verfügbar. Einige Optionen (z. B. Umleitung zulassen) sind jetzt vollständig verfügbar, während andere (z. B. das Erkennen von Reaktionsproblemen und die Zählkorrektur) nicht mehr unterstützt werden. [CXM-62767]
Neue Features in Version 10.1.8
Die folgenden Probleme wurden in Version 10.1.8 behoben:
- Es kann vorkommen, dass Exchange verhindert, dass der Citrix Endpoint Management Connector für Exchange ActiveSync zu häufig Befehle ausgibt. Dies passiert häufig bei Verbindungen mit Office 365. Die Drosselung führt dazu, dass der ActiveSync-Dienst pausiert, bevor er den nächsten Befehl sendet. In der Konsole zum Konfigurieren wird nun die verbleibende Zeit dieser Pause angezeigt. [CXM-48044]
- Wenn Änderungen an den Abschnitten “Watchdog” oder “SpecialistsDefaults” der Konfigurationsdatei (config.xml) vorgenommen werden, werden diese Änderungen nach einem Upgrade nicht in der Konfigurationsdatei übernommen. Bei diesem Release werden die Änderungen einwandfrei in die neue Konfigurationsdatei übernommen. [CXM-52523]
- Den an Google Analytics gesendeten Analysedaten wurden weitere Details (insbesondere in Bezug auf Snapshots) hinzugefügt. [CXM-56691]
- Das Exchange-Feature zum Testen der Verbindung versuchte nur einmal, die Verbindung zu initialisieren. Da Office 365-Verbindungen gedrosselt werden können, konnte ein Verbindungstest durch die Drosselung fehlschlagen. Der Citrix Endpoint Management Connector für Exchange ActiveSync versucht nun bis zu dreimal, eine Verbindung herzustellen. [CXM-58180]
- Um Richtlinien auf Exchange anzuwenden, muss der Citrix Endpoint Management Connector für Exchange ActiveSync einen Set-CASMailbox-Befehl kompilieren, der alle relevanten Geräte für jedes Postfach in zwei Listen (Zulassen und Blockieren) enthält. Wenn ein Gerät nicht in einer der Listen enthalten ist, kehrt Exchange zum Standardzugriffsstatus zurück. Wenn der Standardzugriffsstatus von dem gewünschten Status für ein Gerät abweicht, ist das Gerät nicht mehr richtlinientreu. Folglich verliert der Benutzer den Zugriff auf seine E-Mail, wenn der Exchange-Standardzugriffsstatus “blockiert” ist und der Status sonst “zugelassen” wäre. Umgekehrt kann einem Benutzer, dessen Zugriff auf E-Mail blockiert werden soll, der Zugriff gewährt werden. Der Citrix Endpoint Management Connector für Exchange ActiveSync stellt nun sicher, dass alle Geräte mit einem gültigen Sollstatus in jedem Set- CASMailbox-Befehl berücksichtigt werden. [CXM-61251]
Das folgende Problem ist in Version 10.1.8 bekannt:
Wenn ein Administrator Konfigurationsdaten in der Anwendung zum Konfigurieren ändert, während der Dienst eine lang andauernde Operation durchführt (z. B. Snapshot oder Richtlinienbewertung) kann der Dienst einen unbestimmten Zustand annehmen. Als mögliches Symptom werden Richtlinienänderungen evtl. nicht verarbeitet oder Snapshots nicht initiiert. Um den Dienst in einen funktionierenden Zustand zurückzuversetzen, muss er neu gestartet werden. Möglicherweise müssen Sie den Dienstprozess über den Windows-Dienstmanager beenden, bevor Sie den Dienst neu starten. [CXM-61330]
Neue Features in Version 10.1.7
- XenMobile Mail Manager heißt jetzt Endpoint Management Connector für Exchange ActiveSync.
- Die Option Disable Pipelining im Dialogfeld zur Exchange-Konfiguration ist jetzt veraltet. Sie können die gleiche Wirkung durch Konfiguration mehrerer Schritte für jeden Befehl in der Datei config.xml erzielen. [CXM-54593]
Die folgenden Probleme wurden in Version 10.1.7 behoben:
- Im Snapshotverlauf werden u. U. Fehlermeldungen mit wenig Kontext angezeigt. Jetzt ist Fehlermeldungen der Kontext ihres Auftretens vorangestellt. [CXM-49157]
- Für die XmmGoogleAnalytics-DLL gab es keine Dateiversion für das Release. [CXM-52518]
- Um die Diagnose zu verbessern, hat Citrix vor kurzem das Zeichenfolgenformat für eine Liste von Geräte-IDs geändert, die zum Festlegen eines Postfachs auf “Erlaubt/Gesperrt” verwendet werden. Bei Angabe von zu vielen Geräten wurde jedoch die maximale Zeichenfolgenlänge überschritten. Es wird jetzt eine interne Array-Datenstruktur verwendet. Diese Struktur hat keine Größenbeschränkung und formatiert außerdem die Daten für die Diagnose. [CXM-52610]
- Werden nicht mit Exchange synchronisierte Geräterichtlinien erkannt, können deren Befehle Geräte umfassen, die nicht zum entsprechenden Postfach gehören. Der Endpoint Management Connector für Exchange ActiveSync stellt jetzt sicher, dass Befehle an Exchange nur Geräte darstellen, die zu den jeweiligen Postfächern gehören. [CXM-54842]
- In manchen Umgebungen ist eine Microsoft-Assembly nicht verfügbar. Die erforderliche Assembly wird jetzt zusammen mit der Anwendung installiert. [CXM-55439]
- Enthält der Distinguished Name eines Geräts oder Postfachs Leerzeichen zwischen dem Attributnamen und dem Gleichheitszeichen und/oder nach dem Gleichheitszeichen und vor dem Wert, ordnet der Endpoint Management Connector für Exchange ActiveSync das Gerät möglicherweise nicht seinem Postfach zu oder umgekehrt. Das kann dazu führen, dass Geräte und/oder Postfächer beim Snapshot-Abgleich abgelehnt werden. [CXM-56088]
Hinweis:
In den folgenden Abschnitten wird für den Endpoint Management Connector für Exchange ActiveSync (zuvor “XenMobile Mail Manager”) der bisherige Name “XenMobile Mail Manager” verwendet. Der neue Name gilt ab Version 10.1.7.
Update in Version 10.1.6.20
Ein Update für Version 10.1.6 enthält folgenden Fix in Version 10.1.6.20:
- Werden nicht mit Exchange synchronisierte Geräterichtlinien erkannt, können deren Befehle Geräte umfassen, die nicht zum entsprechenden Postfach gehören. XenMobile Mail Manager stellt jetzt sicher, dass Befehle an Exchange nur Geräte darstellen, die zu den jeweiligen Postfächern gehören. [CXM-54842]
Neue Features in Version 10.1.6
Version 10.1.6 von XenMobile Mail Manager umfasst folgende Problemlösungen und Verbesserungen:
- Das Snapshot-Verlaufsfenster wird u. U. nicht mehr aktualisiert. Der Mechanismus zur Fensteraktualisierung wurde verbessert. [CXM-47983]
- Für partitionierte und nicht partitionierte Snapshots wurden zwei separate Modi und Codepfade verwendet. Da nicht partitionierte Snapshots partitionierten Snapshots entsprechen (mit einer Konfiguration mit einer einzelnen “*“-Partition) wurde der Modus mit nicht partitionierten Snapshots entfernt. Standardmodus sind jetzt Snapshots mit 36 Partitionen (0–9, A–). [CXM-49093]
- Im Fenster “Snapshot History” wurden Fehlermeldungen durch Statusmeldungen überschrieben. XenMobile Mail Manager bietet jetzt zwei Felder, damit Benutzer Status- und Fehlermeldungen gleichzeitig anzeigen können. [CXM-51942]
- Bei Verbindung mit Exchange Online (Office 365) erzeugten Snapshot-bezogene Abfragen evtl. ein unvollständiges Dataset. Dieses Problem konnte auftreten, wenn XenMobile Mail Manager ein Pipelineskript mit mehreren Befehlen ausführt. Der Upstreambefehl kann die Daten nicht schnell genug an den Downstreambefehl übergeben, der die Arbeit vorzeitig einstellt. Dies führt zu unvollständigen Daten. XenMobile Mail Manager kann jetzt die Pipeline selbst nachahmen und die komplette Ausführung des Upstreambefehls abwarten, bevor der Downstreambefehl aufgerufen wird. Dadurch müssten alle Daten verarbeitet und erfasst werden. [CXM-52280]
- Bei einem nicht auflösbaren Fehler in einem Richtlinienaktualisierungsbefehl für Exchange wurde der Befehl lange Zeit wiederholt an die Arbeitswarteschlange zurückgegeben. Dadurch wurde der Befehl viele Male an Exchange gesendet. In dieser Version von XenMobile Mail Manager wird ein Befehl, der zu einem Fehler führt, nur eine spezifische Anzahl von Malen an die Arbeitswarteschlange zurückgegeben. [CXM-52633]
- Wenn eine Richtlinienaktualisierung für ein bestimmtes Postfach das Zulassen oder Sperren aller Geräte beinhaltete, schlug der ausgegebene Befehl Set-CASMailbox fehl, weil die leere Liste in eine leere Zeichenfolge statt NULL konvertiert wurde. Jetzt werden die richtigen Daten gesendet. [CXM-53759]
- Bei der Verarbeitung eines neuen Geräts gab Exchange u. U. den Status eine Zeit lang (normalerweise 15 Minuten) mit “DeviceDiscovery” zurück. Der Status wurde von XenMobile Mail Manager nicht speziell behandelt. XenMobile Mail Manager behandelt jetzt den Status. Die Benutzer können jetzt die Geräte auf der Registerkarte “Überwachen” nach diesem Status filtern. [CXM-53840]
- XenMobile Mail Manager prüfte nicht, ob das Schreiben in die XenMobile Mail Manager-Datenbank möglich war. Bei begrenzten Berechtigungen ist das Verhalten daher nicht vorhersagbar. XenMobile Mail Manager erfasst und validiert jetzt erforderliche Berechtigungen von der Datenbank. XenMobile Mail Manager weist jetzt bei Verbindungstests und beim Zeigen auf die Datenbankanzeige unten im Hauptfenster zum Konfigurieren durch eine Meldung auf begrenzte Berechtigungen hin. [CXM-54219]
- Workloadabhängig wird der XenMobile Mail Manager-Dienst u. U. nicht sofort gestoppt. Der Dienst scheint dann nicht mehr zu reagieren. Durch Verbesserungen können laufende Tasks jetzt unterbrochen werden, was ein ordnungsgemäßeres Beenden ermöglicht. [CXM-54282]
Neue Features in Version 10.1.5
Bei Version 10.1.5 von XenMobile Mail Manager wurden folgende Probleme behoben:
- Auf eine Drosselung der XenMobile Mail Manager-Aktivität durch Exchange wurde ausschließlich in den Protokollen hingewiesen. Bei der neuen Version wird beim Zeigen auf den aktiven Snapshot mit der Maus der Zustand “throttling” angezeigt. Während einer Drosselung von XenMobile Mail Manager kann außerdem kein größerer Snapshot gestartet werden, bis Exchange die Drosselung aufhebt. [CXM-49617]
- Wurde XenMobile Mail Manager während der Erstellung eines größeren Snapshots von Exchange gedrosselt, wurde u. U. bis zum nächsten Snapshotversuch nicht lang genug gewartet. Dies führte zu einer weiteren Drosselung und dem Fehlschlagen des Snapshots. XenMobile Mail Manager hält jetzt die von Exchange festgelegte Wartezeit zwischen Snapshotversuchen ein. [CXM-49618]
- Wenn die Diagnose aktiviert ist, enthielt die Befehlsdatei Set-CasMailbox Befehle, bei denen die Bindestriche vor den Eigenschaftsnamen fehlten. Dieses Problem trat nur in der Diagnosedatei, nicht aber in den an Exchange übergebenen Befehlen auf. Aufgrund des fehlenden Bindestrichs konnten Befehle nicht per Cut & Paste direkt in eine PowerShell-Eingabeaufforderung zum Testen eingefügt werden. Die Bindestriche wurden jetzt hinzugefügt. [CXM-52520]
- Bei Postfachidentitäten des Formats “Nachname, Vorname” fügte Exchange vor dem Komma einen umgekehrten Schrägstrich ein, wenn Daten aus einer Abfrage zurückgegeben werden. Der Schrägstrich muss entfernt werden, wenn XenMobile Mail Manager unter Verwendung der Identität weitere Daten abfragt. [CXM-52635]
Bekannte Einschränkungen
Hinweis:
Die folgende Einschränkung wurde mit Version 10.1.6 behoben.
Bei XenMobile Mail Manager ist eine Einschränkung bekannt, die dazu führen kann, dass Exchange-Befehle fehlschlagen. Zum Anwenden von Richtlinienänderungen auf Exchange wird der Befehl Set_CASMailbox von XenMobile Mail Manager ausgegeben. Dieser Befehl kann die Geräteliste zum Zulassen und die Geräteliste zum Blockieren umfassen. Der Befehl wird auf mit einem Postfach verknüpfte Geräte angewendet.
Die Listen sind durch die Microsoft-API auf jeweils 256 Zeichen beschränkt. Ist eine Liste länger, schlägt der Befehl vollständig fehl und keine der Richtlinien für die Geräte des Postfachs kann festgelegt werden. Der in den XenMobile Mail Manager-Protokollen gemeldete Fehler sieht in etwa wie folgt aus. Das Beispiel gilt für die gesperrte Liste.
“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”
Die Länge von Geräte-IDs kann variieren, doch nach einer guten Grundregel überschreiten 10 oder mehr Geräte in einer Liste den Grenzwert. Es sind zwar nur selten so viele Geräte mit einem Postfach verknüpft, doch kann dies durchaus vorkommen. Bis XenMobile Mail Manager für die Verarbeitung eines solchen Szenarios verbessert ist, empfiehlt es sich, maximal 10 Geräte mit einem Benutzer und Postfach zu verknüpfen. [CXM-52633]
Neue Features in Version 10.1.4
Bei Version 10.1.4 von XenMobile Mail Manager wurden folgende Probleme behoben:
- Aufgrund der schwächer werdenden Sicherheit wird TLS 1.0 vom Payment Card Industry Security Standards Council abgelehnt. XenMobile Mail Manager unterstützt jetzt TLS 1.1 und 1.2. [CXM-38573, CXM-32560]
- XenMobile Mail Manager umfasst eine neue Diagnosedatei. Wenn in der Exchange-Spezifikation Diagnose aktivieren ausgewählt wird, wird eine neue Snapshotverlaufsdatei generiert. Bei jedem Snapshotversuch wird der Datei eine Zeile mit dem Snapshotergebnis hinzugefügt. [CXM-49631]
- In der Commands-Diagnosedatei wurde die Liste der zulässigen und gesperrten Geräte für den Befehl Set-CASMailbox nicht angezeigt. Stattdessen wurde in der Datei der interne Klassenname für die zugehörigen Argumente angezeigt. XenMobile Mail Manager zeigt nun die Liste der Geräte-IDs in Form einer durch Kommas getrennten Liste. [CXM-50693]
- Beim Fehlschlagen einer Verbindung mit Exchange aufgrund einer fehlerhaften Spezifikation wurde fälschlicherweise gemeldet, dass alle Verbindungen in Verwendung seien. Es werden jetzt detailliertere Meldungen angezeigt, z. B. “All connections are inoperable”, “Connection pool is empty”, “All connections are throttled” und “No available connections”. [CXM-50783]
- Die Befehle Zulassen/Blockieren/Löschen wurden gelegentlich mehrfach im internen XenMobile Mail Manager-Cache hinzugefügt. Das Problem führt zu einer Verzögerung beim Senden des Befehls an Exchange. In XenMobile Mail Manager wird jetzt jeder Befehl nur einmal hinzugefügt. [CXM-51524]
Neue Features in Version 10.1.3
- Unterstützung von Google Analytics: Wir möchten wissen, wie Sie XenMobile Mail Manager verwenden, damit wir wissen, wo wir das Produkt verbessern können.
- Einstellung zum Aktivieren der Diagnose: Das Kontrollkästchen Enable Diagnostic wird im Dialogfeld Configuration der Konsole angezeigt.
Behobene Probleme in Version 10.1.3
- Im Fenster Snapshot History geben Zustands-QuickInfos nicht den tatsächlichen Zustand von Snapshots an. [CXM-5570] XenMobile Mail Manager kann zeitweise nicht in die Commands-Diagnosedatei schreiben. In diesem Fall wird der Befehlsverlauf nicht vollständig protokolliert. [CXM-49217]
- Wenn bei einer Verbindung ein Fehler auftritt, wird die Verbindung möglicherweise nicht als fehlerhaft markiert. Die Verbindung wird dann bei einem nachfolgenden Befehl ggf. verwendet, wodurch ein weiterer Fehler auftritt. [CXM-49495]
- Eine von Exchange Server kommende Drosselung kann eine Ausnahme in der Check Health-Routine auslösen. Verbindungen, bei denen ein Fehler aufgetreten ist oder die abgelaufen sind, werden dann evtl. nicht bereinigt. Außerdem stellt XenMobile Mail Manager möglicherweise keine Verbindungen her, bis die Drosselung endet. [CXM-49794]
- Bei Überschreiten der maximalen Sitzungsanzahl für Exchange meldet XenMobile Mail Manager fälschlicherweise den Fehler “Device Capture Failed”. Stattdessen müsste gemeldet werden, dass die beiden von XenMobile Mail Manager normalerweise für die Exchange-Kommunikation verwendeten Sitzungen in Verwendung sind. [CXM-49994]
Neue Features in Version 10.1.2
- Verbesserte Verbindung mit Exchange: XenMobile Mail Manager verwendet PowerShell-Sitzungen für die Kommunikation mit Exchange. Eine PowerShell-Sitzung kann – insbesondere bei Office 365 – nach einiger Zeit instabil werden, sodass Befehle nicht mehr ausgeführt werden. In XenMobile Mail Manager können jetzt Ablaufzeiträume für Verbindungen festgelegt werden. Wenn eine Verbindung abläuft, fährt XenMobile Mail Manager die PowerShell-Sitzung ordnungsgemäß herunter und erstellt eine neue. Dadurch sinkt die Wahrscheinlichkeit, dass PowerShell-Sitzungen instabil werden und Snapshotfehler auftreten.
- Verbesserter Snapshot-Workflow: Große Snapshots sind zeitaufwendig und prozessintensiv. Tritt während eines Snapshots ein Fehler auf, versucht XenMobile Mail Manager jetzt bis zu drei Mal, den Snapshot fertigzustellen. Die Wiederholungsversuche beginnen nicht beim Startpunkt. XenMobile Mail Manager fährt dort fort, wo der Vorgang unterbrochen wurde. Dies verbessert die allgemeine Snapshoterfolgsrate, da zeitweise Fehler während der Snapshoterstellung toleriert werden.
- Verbesserte Diagnose: Die Problembehandlung bei Snapshotvorgängen wird durch drei neue Diagnosedateien erleichtert, die optional während eines Snapshots generiert werden können. Mithilfe der Dateien lassen sich Probleme mit PowerShell-Befehlen, Postfächer, bei denen Informationen fehlen, und nicht mit einem Postfach verknüpfbare Geräte identifizieren. Anhand der Dateien können Administratoren fehlerhafte Daten in Exchange identifizieren.
- Verbesserte Speichernutzung: Die Speichernutzung durch XenMobile Mail Manager ist nun effizienter. Administratoren können festlegen, dass XenMobile Mail Manager automatisch neu und in einem sauberen Zustand gestartet wird.
- Voraussetzung – Microsoft .NET Framework 4.6: Microsoft .NET Framework ist jetzt in Version 4.6 erforderlich.
Behobene Probleme
- Fehler bei Aufforderung zur Eingabe von Anmeldeinformationen: Eine instabile Office 365-Sitzung führte häufig zu diesem Fehler. Das Problem wurde durch die verbesserte Verbindung mit Exchange behoben. (XMHELP-293, XMHELP-311, XMHELP-801)
- Ungenaue Postfach- und Gerätezahl: XenMobile Mail Manager besitzt einen verbesserten Algorithmus für die Zuordnung von Postfächern zu Geräten. Die verbesserte Diagnose hilft bei der Identifizierung von Postfächern und Geräten, für die XenMobile Mail Manager nicht zuständig ist. (XMHELP-623)
- Befehle zum Zulassen/Blockieren/Löschen nicht erkannt: Ein Fehler wurde behoben, durch den XenMobile Mail Manager-Befehle zum Zulassen/Blockieren/Löschen manchmal nicht erkannt wurden. (XMHELP-489)
- Speicherverwaltung: bessere Verwaltung und besserer Ausgleich für Speicher. (XMHELP-419)
Architektur
Die folgende Abbildung zeigt die Hauptkomponenten des Endpoint Management-Connectors für Exchange ActiveSync. Ein detailliertes Architekturdiagramm finden Sie unter Architektur.
Die drei Hauptkomponenten sind Folgende:
- Exchange ActiveSync Access Control Management: ruft eine Exchange ActiveSync-Richtlinie bei XenMobile ab und führt diese mit lokal definierten Richtlinien zusammen, um zu bestimmen, welche Exchange ActiveSync-Geräte Zugriff auf Exchange erhalten sollen. Lokale Richtlinien ermöglichen die Erweiterung der Richtlinienregeln für die Zugriffssteuerung auf der Basis von Active Directory-Gruppe, Benutzer, Gerätetyp oder Gerätebenutzer-Agent (im Allgemeinen die Version der mobilen Plattform).
- Remote PowerShell Management: verantwortlich für das Planen und Aufrufen von Remote-PowerShell-Befehlen für die Anwendung der über Exchange ActiveSync Access Control Management kompilierten Richtlinie. Erstellt in regelmäßigen Abständen einen Snapshot der Exchange ActiveSync-Datenbank zur Erkennung neuer oder geänderter Exchange ActiveSync-Geräte.
- Mobile Service Provider: bietet eine Webdienstschnittstelle, sodass XenMobile Exchange ActiveSync- und BlackBerry-Geräte abfragen und Vorgänge zu deren Steuerung, etwa die Löschung von Daten, ausgeben kann.
Systemanforderungen und Voraussetzungen
Für den Endpoint Management Connector für Exchange ActiveSync gelten die folgenden Mindestsystemanforderungen:
- Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2008 R2 Service Pack 1. Muss ein englischbasierter Server sein. Die Unterstützung für Windows Server 2008 R2 Service Pack 1 endet am 14. Januar 2020 und die Unterstützung für Windows Server 2012 R2 endet am 10. Oktober 2023.
- Microsoft SQL Server 2016 Service Pack 2 oder SQL Server 2014 Service Pack 3.
- Microsoft .NET Framework 4.6.
- Blackberry Enterprise Service, Version 5 (optional).
Unterstützte Mindestversionen von Microsoft Exchange Server:
- Microsoft Office 365
- Exchange Server 2016
- Exchange Server 2013 (Unterstützung endet am 11. April 2023)
- Exchange Server 2010 Service Pack 3 (Support endet am 14. Januar 2020)
Voraussetzungen
- Windows Management Framework installiert
- PowerShell V5, V4 und V3
- Die PowerShell-Ausführungsrichtlinie muss über Set-ExecutionPolicy RemoteSigned auf RemoteSigned festgelegt werden.
-
TCP-Port 80 muss zwischen dem Computer mit dem Endpoint Management Connector für Exchange ActiveSync und dem Remote-Computer mit Exchange Server geöffnet sein.
-
E-Mail-Clients auf Geräten: Nicht alle E-Mail-Clients geben konstant dieselbe ActiveSync-ID für das Gerät zurück. Da der Endpoint Management Connector für Exchange ActiveSync eine eindeutige ActiveSync-ID für jedes Gerät erwartet, werden nur E-Mail-Clients unterstützt, die konstant dieselbe eindeutige ActiveSync-ID für jedes Gerät generieren. Folgende E-Mail-Clients wurden von Citrix getestet und funktionieren ordnungsgemäß:
- Samsung-nativer E-Mail-Client
- iOS-nativer E-Mail-Client
-
Exchange: Anforderungen für lokale Computer mit Exchange:
Das mit der Konfigurationsbenutzeroberfläche für Exchange festgelegte Konto muss in der Lage sein, eine Verbindung mit Exchange Server herzustellen und vollständigen Zugriff zum Ausführen der folgenden Exchange-spezifischen PowerShell-Cmdlets erhalten:
-
Exchange Server 2010 SP2
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Clear-ActiveSyncDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
-
Exchange Server 2013 und Exchange Server 2016:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-MobileDevice
- Get-MobileDeviceStatistics
- Clear-MobileDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
- Wenn der Endpoint Management Connector für Exchange ActiveSync zur Anzeige der kompletten Gesamtstruktur konfiguriert ist, muss die Berechtigung zum Ausführen von Set-AdServerSettings -ViewEntireForest $true gewährt werden.
- Die angegebenen Anmeldeinformationen müssen zu einer Verbindung mit Exchange Server über die Remote-Shell berechtigt sein. Standardmäßig hat der Benutzer, der Exchange installiert, diese Berechtigung.
- Die Anmeldeinformationen zum Herstellen einer Remoteverbindung und Ausführen von Remotebefehlen müssen einem Benutzer entsprechen, der auf dem Remotecomputer Administratorrechte hat. Sie können diese Anforderung mit dem Befehl “Set-PSSessionConfiguration” umgehen. Eine Erläuterung dieses Befehls geht jedoch über den Rahmen des vorliegenden Dokuments hinaus. Weitere Informationen finden Sie im Microsoft-Artikel Informationen zu Sitzungskonfigurationen.
- Exchange Server muss für die Unterstützung von Remote-PowerShell-Anfragen über HTTP konfiguriert sein. Normalerweise ist nur ein Administrator erforderlich, der folgenden PowerShell-Befehl auf dem Exchange Server ausführt: WinRM QuickConfig.
- Exchange hat zahlreiche Drosselungsrichtlinien. Eine davon steuert, wie viele gleichzeitige PowerShell-Verbindungen pro Benutzer zugelassen sind. In Exchange 2010 ist die Standardzahl gleichzeitiger Verbindungen pro Benutzer 18. Wenn dieses Limit erreicht ist, kann der Endpoint Management Connector für Exchange ActiveSync keine Verbindung mit Exchange Server herstellen. Es gibt Methoden zum Ändern der Zahl der maximal zulässigen gleichzeitigen Verbindungen über PowerShell, dies geht jedoch über den Rahmen der vorliegenden Dokumentation hinaus. Bei entsprechendem Interesse lesen Sie die Exchange-Dokumentation zu Drosselungsrichtlinien für die Remoteverwaltung per PowerShell.
-
Exchange Server 2010 SP2
Anforderungen für Office 365 Exchange
-
Berechtigungen: Das mit der Konfigurationsbenutzeroberfläche für Exchange festgelegte Konto muss in der Lage sein, eine Verbindung mit Office 365 herzustellen und vollständigen Zugriff zum Ausführen der folgenden Exchange-spezifischen PowerShell-Cmdlets erhalten:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-MobileDevice
- Get-MobileDeviceStatistics
- Clear-MobileDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
- Privilegien: Die angegebenen Anmeldeinformationen müssen zu einer Verbindung mit dem Office 365-Server über die Remote-Shell berechtigt sein. Standardmäßig besitzt der Office 365-Onlineadministrator die erforderlichen Rechte.
- Drosselungsrichtlinien: Exchange hat zahlreiche Drosselungsrichtlinien. Eine davon steuert, wie viele gleichzeitige PowerShell-Verbindungen pro Benutzer zugelassen sind. In Office 365 kann ein Benutzer standardmäßig drei gleichzeitige Verbindungen haben. Wenn dieses Limit erreicht ist, kann der Endpoint Management Connector für Exchange ActiveSync keine Verbindung mit Exchange Server herstellen. Es gibt Methoden zum Ändern der Zahl der maximal zulässigen gleichzeitigen Verbindungen über PowerShell, dies geht jedoch über den Rahmen der vorliegenden Dokumentation hinaus. Bei entsprechendem Interesse lesen Sie die Exchange-Dokumentation zu Drosselungsrichtlinien für die Remoteverwaltung per PowerShell.
Installation
-
Klicken Sie auf die Datei XmmSetup.msi und folgen Sie den Anweisungen des Installers zum Installieren des Endpoint Management-Connectors für Exchange ActiveSync.
-
Lassen Sie auf dem letzten Bildschirm des Setupassistenten die Option Launch the Configure utility ausgewählt. Oder öffnen Sie den Endpoint Management Connector für Exchange ActiveSync über das Menü Start.
-
Konfigurieren Sie die folgenden Datenbankeigenschaften:
- Wählen Sie die Registerkarte Configure > Database aus.
- Geben Sie den Namen des SQL-Servers ein (standardmäßig “localhost”).
- Behalten Sie den Standarddatenbanknamen CitrixXmm bei.
-
Wählen Sie einen der folgenden für SQL verwendeten Authentifizierungsmodi aus:
- SQL: Geben Sie den Benutzernamen und das Kennwort eines gültigen SQL-Benutzers ein.
- Windows Integrated: Wenn Sie diese Option auswählen, müssen die Anmeldeinformationen des Diensts des Endpoint Management-Connectors für Exchange ActiveSync in ein Windows-Konto geändert werden, das Zugriff auf den SQL-Server hat. Öffnen Sie hierfür Systemsteuerung > Verwaltung > Dienste. Klicken Sie mit der rechten Maustaste auf den Endpoint Management Connector für Exchange ActiveSync-Diensteintrag und klicken Sie dann auf die Registerkarte Anmelden.
Wenn “Windows Integrated” auch für die BlackBerry-Datenbankverbindung ausgewählt wird, muss dem hier angegebenen Windows-Konto Zugriff auf die BlackBerry-Datenbank erteilt werden.
-
Klicken Sie auf Test Connectivity, um sicherzustellen, dass eine Verbindung zum SQL-Server hergestellt werden kann, und klicken Sie auf Save.
-
Eine Meldung fordert Sie zum Neustarten des Diensts auf. Klicken Sie auf Ja.
-
Konfigurieren Sie einen oder mehrere Exchange-Server:
- Wenn Sie nur eine Exchange-Umgebung verwalten, konfigurieren Sie nur einen Server. Wenn Sie mehrere Exchange-Umgebungen verwalten, müssen Sie für jede einen eigenen Exchange Server-Computer festlegen.
- Klicken Sie auf Configure > Exchange und dann auf Add.
-
Wählen Sie den Typ der Exchange Server-Umgebung aus: On Premise oder Office 365.
- Wenn Sie On Premise auswählen, geben Sie den Namen des für Remote PowerShell-Befehle verwendeten Exchange Servers ein.
- Geben Sie den Benutzernamen einer Windows-Identität ein, die die unter “Anforderungen” aufgeführten Berechtigungen auf dem Exchange Server-Computer hat, und geben Sie das zugehörige Kennwort ein.
- Wählen Sie den Zeitplan zum Ausführen größerer Snapshots. Bei einem größeren Snapshot wird jede Exchange ActiveSync-Partnerschaft ermittelt.
- Wählen Sie den Zeitplan zum Ausführen kleinerer Snapshots. Bei einem kleineren Snapshot werden neu erstellte Exchange ActiveSync-Partnerschaften ermittelt.
- Wählen Sie den Snapshottyp: Deep oder Shallow. Flache Snapshots (Shallow) werden in der Regel viel schneller erstellt und reichen zur Ausführung aller Funktionen der Exchange ActiveSync-Zugriffssteuerung über den Endpoint Management Connector für Exchange ActiveSync aus. Tiefe Snapshots (Deep) brauchen u. U. länger und sind nur erforderlich, wenn Mobile Service Provider für ActiveSync aktiviert ist. Mit dieser Option kann XenMobile nicht verwaltete Geräte abfragen.
- Wählen Sie den Standardzugriff aus: Allow, Block oder Unchanged. Durch die Einstellung wird gesteuert, wie Geräte behandelt werden, die keine der Kriterien von XenMobile-Regeln oder lokalen Regeln erfüllen. Wenn Sie Allow auswählen, ist der ActiveSync-Zugriff auf all diese Geräte zulässig. Wenn Sie Block auswählen, wird der Zugriff verweigert. Wenn Sie Unchanged auswählen, wird keine Änderung vorgenommen.
- Wählen Sie für “ActiveSync Command Mode” eine Option aus: PowerShell oder Simulation.
- Im PowerShell-Modus gibt der Endpoint Management Connector für Exchange ActiveSync die PowerShell-Befehle für die gewünschte Zugriffssteuerung aus. Im Simulationsmodus werden vom Endpoint Management Connector für Exchange ActiveSync keine PowerShell-Befehle ausgegeben, sondern stattdessen beabsichtigte Befehle und Ergebnisse in der Datenbank protokolliert. Im Simulationsmodus kann der Benutzer auf der Registerkarte Monitor sehen, was passiert wäre, wenn der PowerShell-Modus aktiviert gewesen wäre.
- Legen Sie unter Connection Expiration die Lebensdauer für Verbindungen fest. Wenn eine Verbindung das vorgegebene Alter erreicht, wird sie als abgelaufen markiert und nicht wieder verwendet. Eine solchermaßen nicht mehr verwendete Verbindung wird vom Endpoint Management Connector für Exchange ActiveSync ordnungsgemäß getrennt. Wenn eine Verbindung wieder benötigt wird, wird eine neue Verbindung initialisiert, wenn keine verfügbar ist. Erfolgt keine Angabe, wird der Standardwert von 30 Minuten verwendet.
- Wählen Sie View Entire Forest, damit der Endpoint Management Connector für Exchange ActiveSync die gesamte Active Directory-Struktur in der Exchange-Umgebung anzeigt.
- Wählen Sie das Authentifizierungsprotokoll aus: Kerberos oder Basic. Der Endpoint Management Connector für Exchange ActiveSync unterstützt die Standardauthentifizierung für On-Premises-Bereitstellungen. Dadurch kann der Endpoint Management Connector für Exchange ActiveSync auch dann verwendet werden, wenn sein Server kein Mitglied der Domäne des Exchange-Servers ist.
- Klicken Sie auf Test Connectivity, um sicherzustellen, dass eine Verbindung zum Exchange-Server hergestellt werden kann, und klicken Sie auf Save.
- Eine Meldung fordert Sie zum Neustarten des Diensts auf. Klicken Sie auf Ja.
-
Konfigurieren Sie die Zugriffsregeln: Klicken Sie auf die Registerkarte Configure > Access Rules, klicken Sie auf die Registerkarte XMS Rules und dann auf Add.
-
Ändern Sie auf der Seite XenMobile server Service Properties die URL-Zeichenfolge so, dass sie auf XenMobile Server verweist. Wenn der Instanzname beispielsweise zdm lautet, geben Sie
https://<XdmHostName>/zdm/services/MagConfigService
ein. Ersetzen Sie XdmHostName in dem Beispiel durch die IP- oder DNS-Adresse des XenMobile-Servers.- Geben Sie einen berechtigten Serverbenutzer an.
- Geben Sie das Kennwort des Benutzers ein.
- Behalten Sie die Standardwerte für Baseline Interval, Delta Interval und Timeout bei.
- Klicken Sie auf Test Connectivity, um die Verbindung zu dem Server zu testen, und klicken Sie auf OK.
Wenn das Kontrollkästchen Disabled aktiviert ist, ruft der XenMobile Mail-Dienst keine Richtlinien von XenMobile ab.
-
Klicken Sie auf die Registerkarte Local Rules.
- Sie können lokale Regeln basierend auf den Parametern “ActiveSync Device ID”, “Device Type”, “AD Group”, “User” oder “UserAgent” hinzufügen. Wählen Sie in der Liste den geeigneten Schlüssel aus.
- Geben Sie Text oder Textteile in das Textfeld ein. Klicken Sie optional auf die Schaltfläche “Query”, um die Entsprechungen für die Textteile anzuzeigen.
Bei allen Typen mit Ausnahme von Group verwendet das System die in einem Snapshot gefundenen Geräte. Wenn Sie gerade erst anfangen und noch keinen Snapshot erstellt haben, ist daher noch nichts verfügbar.
- Wählen Sie einen Textwert aus und klicken Sie auf Allow oder Deny, um ihn rechts zum Bereich Rule List hinzuzufügen. Sie können die Reihenfolge der Regeln ändern oder sie mithilfe der Schaltflächen rechts neben dem Bereich Rule List entfernen. Die Reihenfolge ist wichtig, weil die Regeln für jeden Benutzer bzw. jedes Gerät in der angegebenen Reihenfolge bewertet werden und eine Übereinstimmung bei einer höher stehenden Regel dazu führt, dass darunter stehende Regeln wirkungslos bleiben. Beispiel: Wenn Sie eine Regel zum Zulassen aller iPads und darunter eine Regel zum Blockieren des Benutzers “Matthias” erstellen, dann wird das iPad des Benutzers Matthias zugelassen, da die iPad-Regel Priorität vor der Matthias-Regel hat.
- Zum Durchführen einer Analyse der Regeln in der Liste auf mögliche Außerkraftsetzungen, Konflikte oder zusätzliche Konstrukte klicken Sie zunächst auf Analyze und dann auf Save.
-
Wenn Sie lokale Regeln für Active Directory-Gruppen erstellen möchten, klicken Sie auf Configure LDAP und konfigurieren Sie die LDAP-Verbindungseigenschaften.
-
Konfigurieren des Mobile Service Provider-Diensts
Mobile Service Provider ist optional. Der Dienst ist nur erforderlich, wenn auch XenMobile für die Verwendung der Mobile Service Provider-Schnittstelle zum Abfragen nicht verwalteter Geräte konfiguriert ist.
- Wählen Sie die Registerkarte Configure > MSP.
- Legen Sie den Diensttransporttyp für Mobile Service Provider auf HTTP oder HTTPS fest.
- Legen Sie unter Service port den Port (normalerweise 80 oder 443) für den Mobile Service Provider-Dienst fest. Wenn Sie Port 443 verwenden, muss an den Port in IIS ein SSL-Zertifikat gebunden sein.
- Legen Sie Authorization Group oder User fest. Dies ist die Gruppe bzw. der Benutzer, die bzw. der in XenMobile eine Verbindung mit dem Mobile Service Provider-Dienst herstellen kann.
- Legen Sie fest, ob ActiveSync-Abfragen aktiviert sein sollen. Wenn ActiveSync-Abfragen für XenMobile Server aktiviert werden, muss der Snapshottyp für den bzw. die Exchange Server auf Deep eingestellt werden. Diese Einstellung kann zu einer starken Leistungsminderung beim Erstellen von Snapshots führen.
- Standardmäßig werden ActiveSync-Geräte, die dem regelmäßigen Ausdruck “WorxMail.*” entsprechen, nicht an XenMobile gesendet. Zum Ändern dieses Verhaltens ändern Sie das Feld Filter ActiveSync nach Bedarf. Ein leeres Feld bedeutet, dass alle Geräte an XenMobile weitergeleitet werden.
- Klicken Sie auf Speichern.
-
Konfigurieren Sie optional eine oder mehrere Instanzen von BlackBerry Enterprise Server (BES): Klicken Sie auf Add und geben Sie den Servernamen des BES-SQL-Servers ein
- Geben Sie den Namen der BES-Verwaltungsdatenbank ein.
- Wählen Sie unter Authentication den Authentifizierungsmodus aus. Bei Auswahl von “Windows Integrated” wird das Dienstbenutzerkonto des Endpoint Management-Connectors für Exchange ActiveSync für die Verbindung mit dem BES SQL-Server verwendet. Wenn Sie für die Datenbankverbindung des Endpoint Management-Connectors für Exchange ActiveSync außerdem “Windows Integrated” auswählen, muss das hier angegebene Windows-Konto auch Zugriff auf die Datenbank des Endpoint Management-Connectors für Exchange ActiveSync erhalten.
- Wenn Sie SQL authentication auswählen, geben Sie den Benutzernamen und das Kennwort ein.
- Legen Sie unter Sync Schedule den Synchronisierungszeitplan fest. Nach diesem Zeitplan erfolgt eine regelmäßige Verbindung mit dem BES SQL-Server zur Prüfung auf Aktualisierungen an Geräten.
- Klicken Sie auf Test Connectivity, um die Verbindung mit dem SQL-Server zu prüfen. Wurde “Windows Integrated” ausgewählt, wird beim Test das Konto des aktuell angemeldeten Benutzers anstelle des Dienstkontos des Endpoint Management-Connectors für Exchange ActiveSync verwendet und die SQL-Authentifizierung daher nicht richtig getestet.
- Wenn Sie Remotelöschen und Zurücksetzen des Kennworts auf BlackBerry-Geräten von XenMobile aus unterstützen möchten, aktivieren Sie das Kontrollkästchen Enabled.
- Geben Sie den vollqualifizierten Domänennamen (FQDN) für BES ein.
- Geben Sie den BES-Port ein, der für den Verwaltungswebdienst verwendet wird.
- Geben Sie den vollqualifizierten Benutzernamen und das Kennwort ein, das für den BES-Dienst erforderlich ist.
- Klicken Sie auf Test Connectivity, um die Verbindung mit BES zu testen.
- Klicken Sie auf Speichern.
Erzwingen von E-Mail-Richtlinien mit ActiveSync-IDs
Die E-Mail Richtlinie Ihres Unternehmens schreibt möglicherweise vor, dass bestimmte Geräte nicht für Unternehmens-E-Mails verwendet werden dürfen. Für die Einhaltung dieser Richtlinie müssen Sie sicherstellen, dass Benutzer über solche Geräte keinen Zugriff auf Unternehmens-E-Mail haben. Der Endpoint Management Connector für Exchange ActiveSync und XenMobile setzen eine solche E-Mail-Richtlinie zusammen durch. In XenMobile wird die Richtlinie für den Zugriff auf Unternehmens-E-Mail festgelegt und wenn ein nicht genehmigtes Gerät bei XenMobile registriert wird, erzwingt der Endpoint Management Connector für Exchange ActiveSync die Einhaltung der Richtlinie.
Der E-Mail-Client eines Geräts kündigt sich bei Exchange Server (oder Office 365) mit der Geräte-ID an. Die Geräte-ID wird auch als “ActiveSync-ID” bezeichnet und ermöglicht die Identifizierung des Geräts. Secure Hub ruft eine ähnliche ID ab und sendet sie XenMobile, wenn das Gerät registriert wird. Durch den Vergleich der beiden Geräte-IDs kann der Endpoint Management Connector für Exchange ActiveSync ermitteln, ob ein bestimmtes Gerät auf Unternehmens-E-Mail zugreifen darf. Das Konzept wird in folgender Abbildung dargestellt:
Wenn XenMobile dem Endpoint Management Connector für Exchange ActiveSync eine ActiveSync-ID sendet, die sich von der von dem Gerät in Exchange veröffentlichten ID unterscheidet, kann der Connector nicht vorgeben, was mit dem Gerät geschehen soll.
Das Zuordnen von ActiveSync-IDs funktioniert zuverlässig auf den meisten Plattformen. Bei einigen Android-Implementierungen hat Citrix jedoch festgestellt, dass sich die ActiveSync-ID des Geräts von der ID unterscheidet, die der E-Mail-Client Exchange ankündigt. Auf folgende Weise mindern Sie das Problem:
- Auf der Samsung SAFE-Plattform stellen Sie die ActiveSync-Konfiguration von XenMobile per Push auf dem Gerät bereit.
Um sicherzustellen, dass die Unternehmensrichtlinien für den E-Mail-Zugriff ordnungsgemäß durchgesetzt werden, können Sie eine defensive Sicherheitsstrategie anwenden und den Endpoint Management Connector für Exchange ActiveSync so konfigurieren, dass E-Mails blockiert werden, indem Sie die statische Richtlinie standardmäßig auf “Verweigern” festlegen. Wenn ein Mitarbeiter einen anderen E-Mail-Client auf einem Android-Gerät konfiguriert und die ActiveSync-ID-Erkennung nicht ordnungsgemäß funktioniert, wird dem Mitarbeiter der Zugriff auf Unternehmens-E-Mail verweigert.
Regeln für die Zugriffssteuerung
Der Endpoint Management Connector für Exchange ActiveSync bietet eine regelbasierte Methode zur dynamischen Konfiguration der Zugriffssteuerung für Exchange ActiveSync-Geräte. Die Zugriffsregeln von Endpoint Management Connector für Exchange ActiveSync bestehen aus zwei Teilen: einem Abgleichausdruck und dem gewünschten Zugriffszustand (Zulassen oder Blockieren). Eine Regel kann gegen ein Exchange ActiveSync-Gerät ausgewertet werden, um zu ermitteln, ob die Regel auf das Gerät zutrifft, d. h. ob der Abgleichausdruck auf das Gerät zutrifft. Es gibt mehrere Arten von Abgleichausdrücken, eine Regel kann beispielsweise auf alle Geräten eines bestimmten Typs, eine bestimmte Exchange ActiveSync-Geräte-ID, alle Geräte eines bestimmten Benutzers usw. zutreffen.
Beim Hinzufügen, Entfernen und Umordnen von Regeln in der Regelliste kann die Liste jederzeit mit einem Klick auf die Schaltfläche Abbrechen auf den Zustand zurückgesetzt werden, den sie beim ersten Öffnen hatte. Wenn Sie nicht auf Speichern klicken, gehen alle im Fenster gemachten Änderungen verloren, wenn Sie das Tool zum Konfigurieren schließen.
Der Endpoint Management Connector für Exchange ActiveSync bietet drei Regeltypen: lokale Regeln, XenMobile Server-Regeln (XDM-Regeln) und die Standardzugriffsregel.
Lokale Regeln: Diese haben die höchste Priorität, d. h. sobald eine lokale Regel auf ein Gerät zutrifft, wird die Regelauswertung eingestellt. Es werden weder die XenMobile Server-Regeln noch die Standardzugriffsregeln konsultiert. Lokale Regeln werden in Bezug auf den Endpoint Management Connector für Exchange ActiveSync lokal über die Registerkarte Konfigurieren > Zugriffsregeln > Lokale Regeln konfiguriert. Der Abgleich basiert auf der Mitgliedschaft von Benutzern bei einer bestimmten Active Directory-Gruppe. Der Abgleich basiert auf regulären Ausdrücken in folgenden Feldern:
- ActiveSync Device ID
- ActiveSync Device Type
- User Principal Name (UPN)
- ActiveSync User Agent (normalerweise die Geräteplattform oder der E-Mail Client)
Sofern ein größerer Snapshot durchgeführt und Geräte gefunden wurden, müsste es möglich sein, eine normale Regel oder eine solche mit regulären Ausdrücken hinzuzufügen. Wenn kein größerer Snapshot durchgeführt wurde, können Sie nur Regeln mit regulären Ausdrücken hinzufügen.
XenMobile Server-Regeln: XenMobile Server-Regeln sind Verweise auf einen externen XenMobile Server, der Regeln für verwaltete Geräte bereitstellt. XenMobile Server kann mit eigenen allgemeinen Regeln konfiguriert werden, bei denen Geräte basierend auf in XenMobile bekannten Eigenschaften (z. B. Vorliegen von Jailbreak oder Vorhandensein verbotener Apps) zugelassen oder blockiert werden. XenMobile wertet die allgemeinen Regeln aus und generiert eine Liste zulässiger bzw. blockierter ActiveSync-Geräte-IDs, die dann an den Endpoint Management Connector für Exchange ActiveSync gesendet werden.
Standardzugriffsregel: Die Besonderheit der Standardzugriffsregel besteht darin, dass sie theoretisch auf jedes Gerät zutreffen kann und immer als letzte ausgewertet wird. Die Regel dient als Auffangnetz für alle Geräte; trifft bei einem Gerät weder eine lokale noch eine XenMobile Server-Regel zu, wird der gewünschte Zugriffszustand durch die Standardzugriffsregel bestimmt.
- Default Access – Allow: Geräte, auf die weder eine lokale noch eine XenMobile Server-Regel zutrifft, werden alle zugelassen.
- Default Access – Block: Geräte, auf die weder eine lokale noch eine XenMobile Server-Regel zutrifft, werden alle blockiert.
- Default Access – Unchanged: Bei Geräten, auf die weder eine lokale noch eine XenMobile Server-Regel zutrifft, wird der Zugriffszustand vom Endpoint Management Connector für Exchange ActiveSync nicht geändert. Wenn ein Gerät von Exchange in den Quarantänemodus versetzt wurde, erfolgt keine Aktion. Beispielsweise kann ein Gerät nur aus dem Quarantänemodus geholt werden, wenn es eine explizite lokale oder XDM-Regel gibt, die die Quarantäne außer Kraft setzt.
Regelauswertung
Für jedes Gerät, das Exchange dem Endpoint Management Connector für Exchange ActiveSync meldet, werden die Regeln beginnend bei der Regel mit der höchsten bis zu der Regel mit der niedrigsten Priorität in folgender Reihenfolge ausgewertet:
- Lokale Regeln
- XenMobile Server-Regeln
- Standardzugriffsregel
Sobald eine Regel zutrifft, wird die Auswertung beendet. Trifft beispielsweise eine lokale Regel auf ein Gerät zu, erfolgt für dieses keine Auswertung der XenMobile Server-Regeln oder der Standardzugriffsregel. Das gleiche Prinzip gilt für die Regeln desselben Regeltyps. Beispiel: Treffen mehrere lokale Regeln auf ein Gerät zu, wird die Auswertung beendet, wenn die erste Übereinstimmung gefunden wird.
Der Endpoint Management Connector für Exchange ActiveSync wiederholt die Auswertung eines vorliegenden Regelsatzes, wenn Geräteeigenschaften sich ändern, wenn Geräte hinzugefügt oder entfernt werden oder wenn die Regeln selbst sich ändern. Bei größeren Snapshots werden Änderungen an Eigenschaften und Entfernungen von Geräten in konfigurierbaren Intervallen ermittelt. Bei kleineren Snapshots werden Hinzufügungen von Geräten in konfigurierbaren Intervallen ermittelt.
Exchange ActiveSync umfasst ebenfalls Regeln für den Zugriff. Es ist wichtig zu wissen, wie diese Regeln im Kontext des Endpoint Management Connectors für Exchange ActiveSync funktionieren. In Exchange können Regeln dreierlei Ebenen konfiguriert werden: persönliche Ausnahmen, Geräteregeln und Organisationseinstellungen. Der Endpoint Management Connector für Exchange ActiveSync automatisiert die Zugriffssteuerung durch programmgesteuerte Remote PowerShell-Anforderungen, die sich auf die Listen der persönlichen Ausnahmen auswirken. Bei diesen handelt es sich um Listen zulässiger oder blockierter Exchange ActiveSync-Geräte-IDs eines Postfachs. Der Endpoint Management Connector für Exchange ActiveSync übernimmt bei seiner Bereitstellung die Verwaltung der Ausnahmelistenfunktion in Exchange. Weitere Informationen finden Sie im Microsoft-Artikel Controlling Device Access.
Eine Analyse ist nützlich, wenn mehrere Regeln für das gleiche Feld definiert wurden. Sie können die Beziehungen zwischen Regeln auf Konflikte untersuchen. Sie führen Analysen aus der Perspektive der Regelfelder durch. Regeln werden beispielsweise in Gruppen nach abgeglichenen Feld (ActiveSync Device ID, ActiveSync Device Type, User, User Agent) analysiert.
Terminologie der Regeln
- Außerkraftsetzung: Eine Außerkraftsetzung tritt auf, wenn mehrere Regeln auf ein Gerät zutreffen können. Da Regeln nacheinander gemäß Priorität ausgewertet werden, werden zutreffende Regeln weiter unten in der Liste möglicherweise nie ausgewertet.
- Konflikt: Ein Konflikt tritt auf, wenn mehrere Regeln auf ein Gerät zutreffen, der Zugriffszustand (Zulassen/Blockieren) jedoch nicht übereinstimmt. Handelt es sich nicht um Regeln mit regulären Ausdrücken, folgt aus einem Konflikt grundsätzlich eine Außerkraftsetzung.
- Ergänzung: Eine Ergänzung liegt vor, wenn mehrere Regeln reguläre Ausdrücke enthalten und daher sichergestellt werden muss, dass die regulären Ausdrücke sich entweder zu einem einzigen zusammenfassen lassen, oder aber keine Funktionalität duplizieren. Eine Ergänzungsregel kann auch beim Zugriffszustand (Zulassen/Blockieren) einen Konflikt verursachen.
- Primärregel: Die primäre Regel ist diejenige, auf die im Dialogfeld geklickt wurde. Sie wird durch einen durchgehenden Rahmen optisch hervorgehoben. Für diese Regel werden auch ein oder zwei nach oben oder unten weisende grüne Pfeile angezeigt. Ein nach oben weisender Pfeil zeigt an, dass es Nebenregeln gibt, die vor der primären Regel stehen. Ein nach unten weisender Pfeil zeigt an, dass es Nebenregeln gibt, die nach der primären Regel stehen. Es kann immer nur eine primäre Regel aktiv sein.
- Nebenregel: Eine Nebenregel hängt durch eine Außerkraftsetzung, einen Konflikt oder eine Ergänzungsbeziehung mit einer primären Regel zusammen. Solche Regeln werden durch einen gestrichelten Rahmen optisch hervorgehoben. Jede primäre Regel kann beliebig viele Nebenregeln haben. Wenn Sie auf einen unterstrichenen Eintrag klicken, erfolgt die Hervorhebung der Nebenregeln immer aus der Sicht der primären Regel. Beispiel: Die Nebenregel wird durch die primäre Regel außer Kraft gesetzt und/oder die Nebenregel verursacht einen Konflikt beim Zugriffszustand mit der primären Regel und/oder die Nebenregel ergänzt die primäre Regel.
Darstellung des Regeltyps im Dialogfeld “Rule Analysis”
Wenn keine Konflikte, Außerkraftsetzungen oder Ergänzungen vorliegen, enthält das Dialogfeld “Rule Analysis” keine unterstrichenen Einträge. Das Klicken auf Elemente hat keine Auswirkung, es wird z. B. normal angezeigt, welches Element ausgewählt ist.
Im Fenster “Rule Analysis” ist ein Kontrollkästchen, bei dessen Aktivierung nur die Regeln angezeigt werden, die Konflikte, Überschreibungen, Redundanzen oder Ergänzungen sind.
Wenn eine Außerkraftsetzung vorliegt, werden mindestens zwei Regeln unterstrichen dargestellt: die primäre Regel und die Nebenregel(n). Mindestens eine Nebenregel erscheint in einer helleren Schrift, um anzuzeigen, dass sie durch eine höhere Regel außer Kraft gesetzt wird. Sie können auf die außer Kraft gesetzte Regel klicken, um zu ermitteln, durch welche Regel(n) sie außer Kraft gesetzt wird. Neben außer Kraft gesetzten Primär- oder Nebenregeln wird, sobald sie ausgewählt werden, ein schwarzer Punkt als deutliches Zeichen dafür angezeigt, dass die jeweilige Regel nicht aktiv ist. Beispiel: Bevor Sie auf eine Regel klicken, wird das Dialogfeld folgendermaßen angezeigt:
Wenn Sie auf die Regel mit der höchsten Priorität klicken, wird es folgendermaßen angezeigt:
In diesem Beispiel ist die Regel mit regulären Ausdrücken WorkMail.*
die primäre Regel (angezeigt durch den durchgehenden Rahmen) und die normale Regel workmailc633313818
ist eine Nebenregel (angezeigt durch den gestrichelten Rahmen). Der schwarze Punkt neben der Nebenregel weist deutlich darauf hin, dass die Regel inaktiv ist (d. h. niemals ausgewertet wird), da ihr die Regel mit den regulären Ausdrücken voransteht und eine höhere Priorität hat. Nach dem Klicken auf die außer Kraft gesetzte Regel wird das Dialogfeld folgendermaßen angezeigt:
Im obigen Beispiel ist die Regel mit regulären Ausdrücken WorkMail.*
die Nebenregel (angezeigt durch den gestrichelten Rahmen) und die normale Regel workmailc633313818
ist eine primäre Regel (angezeigt durch den durchgehenden Rahmen). In diesem einfachen Beispiel ist der Unterschied nicht groß. Ein etwas vielschichtigeres Beispiel finden Sie weiter unten in der Beschreibung komplexer Ausdrücke. In einem Szenario mit vielen definierten Regeln lässt sich durch einen Klick auf eine außer Kraft gesetzte Regel schnell herausfinden, welche Regel(n) sie außer Kraft setzen.
Wenn ein Konflikt vorliegt, werden mindestens zwei Regeln unterstrichen dargestellt: die primäre Regel und die Nebenregel(n). Die widersprüchlichen Regeln werden mit einem roten Punkt gekennzeichnet. Ein reiner Konflikt ist nur möglich, wenn mindestens zwei Regeln mit regulären Ausdrücken definiert wurden. Bei allen anderen Szenarios liegt nicht nur ein Konflikt vor, sondern auch eine Außerkraftsetzung. Vor dem Klicken auf eine der Regeln in diesem einfachen Beispiel sieht das Dialogfeld folgendermaßen aus:
Eine Untersuchung der beiden Regeln mit regulären Ausdrücken ergibt, dass die erste alle Geräte, deren ID “App” enthält, zulässt und die zweite alle Geräte, deren ID “Appl” enthält, blockiert. Obwohl die zweite Regel alle Geräte, deren ID “Appl” enthält, blockiert, wird kein Gerät, auf das die Regel zutrifft, je blockiert, da die zulassende Regel eine höhere Priorität hat. Nach dem Klicken auf die erste Regel wird das Dialogfeld folgendermaßen angezeigt:
Im vorherigen Szenario wird sowohl die primäre Regel (mit dem regulären Ausdruck App.*
) und die Nebenregel (mit dem regulären Ausdruck Appl.*
) gelb markiert angezeigt. Dies ist ein einfacher optischer Warnhinweis auf den Umstand, dass mehrere Regeln mit regulärem Ausdruck für ein einzelnes Feld angewendet wurden, was eine Redundanz oder ein schwerwiegenderes Problem bedeuten kann.
In einem Szenario mit Konflikt und Außerkraftsetzung wird sowohl die primäre Regel (mit dem regulären Ausdruck App.*
) und die Nebenregel (mit dem regulären Ausdruck Appl.*
) gelb markiert angezeigt. Dies ist ein einfacher optischer Warnhinweis auf den Umstand, dass mehrere Regeln mit regulärem Ausdruck für ein einzelnes Feld angewendet wurden, was eine Redundanz oder ein schwerwiegenderes Problem bedeuten kann.
Im vorherigen Beispiel ist leicht zu erkennen, dass die erste Regel (mit dem regulären Ausdruck SAMSUNG.*
) die nächste Regel (normale Regel SAMSUNG-SM-G900A/101.40402
) außer Kraft setzt und überdies ein Konflikt beim Zugriffszustand (primäre Regel = Zulassen, Nebenregel = Blockieren) vorliegt. Die zweite Regel (normale Regel SAMSUNG-SM-G900A/101.40402
) wird in einer helleren Schrift dargestellt, um darauf hinzuweisen, dass sie aufgrund einer Außerkraftsetzung inaktiv ist.
Nach dem Klicken auf die Regel mit dem regulären Ausdruck wird das Dialogfeld folgendermaßen angezeigt:
Die primäre Regel (mit dem regulären Ausdruck SAMSUNG.*
) ist mit einem roten Punkt gekennzeichnet, um anzuzeigen, dass ihr Zugriffszustand im Widerspruch mit dem von mindestens einer Nebenregel steht. Die Nebenregel (normale Regel SAMSUNG-SM-G900A/101.40402
) ist mit einem roten Punkt gekennzeichnet, um anzuzeigen, dass ihr Zugriffszustand im Widerspruch mit dem der primären Regel steht. Ein schwarzer Punkt zeigt überdies an, dass sie außer Kraft gesetzt und daher inaktiv ist.
Mindestens zwei Regeln werden unterstrichen dargestellt: die primäre Regel und die Nebenregel(n). Regeln, die nur einander ergänzen, können nur solche mit regulären Ausdrücken sein. Wenn Regeln einander ergänzen, werden sie durch eine gelbe Schattierung gekennzeichnet. Vor dem Klicken auf eine der Regeln in diesem einfachen Beispiel sieht das Dialogfeld folgendermaßen aus:
Es ist leicht zu erkennen, dass beide Regeln solche mit regulären Ausdrücken sind, und beide auf das Feld “ActiveSync device ID” im Endpoint Management Connector für Exchange ActiveSync angewendet werden. Nach dem Klicken auf die erste Regel sieht das Dialogfeld folgendermaßen aus:
Die primäre Regel (mit dem regulären Ausdruck WorkMail.*
) ist gelb hinterlegt, um anzuzeigen, dass es mindestens eine Nebenregel mit einem regulären Ausdruck gibt. Die Nebenregel (mit dem regulären Ausdruck SAMSUNG.*
) ist gelb hinterlegt, um anzuzeigen, dass sie und die primäre Regel als Regel mit einem regulären Ausdruck auf dasselbe Feld im Endpoint Management Connector für Exchange ActiveSync (ActiveSync device ID) angewendet werden. In diesem Fall ist dieses Feld die ActiveSync-Geräte-ID. De regulären Ausdrücke überschneiden sich möglicherweise. Sie müssen entscheiden, ob die regulären Ausdrücke richtig konfiguriert wurden.
Beispiel für einen komplexen Ausdruck
Es sind viele Außerkraftsetzungen, Konflikte oder Ergänzungen möglich, die hier nicht alle mit einem Beispiel vorgestellt werden können. Im Folgenden werden anhand eines Negativbeispiels die immensen Vorzüge des visuellen Konstrukts der Regelanalyse gezeigt. Die meisten Elemente in der folgenden Abbildung sind unterstrichen. Viele Elemente werden in einer helleren Schrift dargestellt, wodurch angezeigt wird, dass die jeweilige Regel durch eine höhere Regel außer Kraft gesetzt wurde. Die Liste enthält auch eine Reihe von Regeln mit regulären Ausdrücken, die durch das Symbol gekennzeichnet sind.
Analysieren einer Außerkraftsetzung
Um zu sehen, welche Regeln eine bestimmte Regel außer Kraft setzen, klicken Sie auf die Regel.
Beispiel 1: In diesem Beispiel wird untersucht, warum zentrain01@zenprise.com
außer Kraft gesetzt wird.
Die primäre Regel (AD-Gruppenregel zenprise/TRAINING/ZenTraining B
, bei der zentrain01@zenprise.com
Mitglied ist) hat die folgenden Merkmale:
- Sie ist blau unterlegt und wird von einem durchgehenden Rahmen umgeben.
- Sie hat einen nach oben weisenden grünen Pfeil, was anzeigt, dass alle Nebenregeln weiter oben sind.
- Sie ist mit einem roten und einem schwarzen Punkt gekennzeichnet, um anzuzeigen, dass erstens mindestens eine Nebenregel einen widersprüchlichen Zugriffszustand hat und zweitens die primäre Regel außer Kraft gesetzt und somit inaktiv ist.
Wenn Sie einen Bildlauf nach oben durchführen, wird Folgendes angezeigt:
In diesem Fall gibt es zwei Nebenregeln, die die primäre Regel außer Kraft setzen: die Regel mit regulärem Ausdruck zen.*
und die normale Regel zentrain01@zenprise.com
(von zenprise/TRAINING/ZenTraining A
). Bei der letzteren Nebenregel besteht das Problem darin, dass die Active Directory-Gruppenregel ZenTraining A
den Benutzer zentrain01@zenprise.com
enthält, die Active Directory-Gruppenregel ZenTraining B
den Benutzer zentrain01@zenprise.com
jedoch auch enthält. Da die Nebenregel eine höhere Priorität hat als die primäre Regel, wird die primäre Regel außer Kraft gesetzt. Der Zugriffszustand der primären Regel ist “Zulassen” und weil der Zugriffszustand beider Nebenregeln “Blockieren” ist, werden alle mit einem roten Punkt gekennzeichnet, um auf den Konflikt hinzuweisen.
Beispiel 2: Dieses Beispiel zeigt, warum die Regel zu dem Gerät mit der ActiveSync-Geräte-ID 069026593E0C4AEAB8DE7DD589ACED33
außer Kraft gesetzt wurde:
Die primäre Regel (normale Regel mit Geräte-ID 069026593E0C4AEAB8DE7DD589ACED33
) hat die folgenden Merkmale:
- Sie ist blau unterlegt und wird von einem durchgehenden Rahmen umgeben.
- Sie hat einen nach oben weisenden grünen Pfeil, was anzeigt, dass die Nebenregel weiter oben ist.
- Sie ist mit einem schwarzen Punkt gekennzeichnet, um anzuzeigen, dass sie von einer Nebenregel außer Kraft gesetzt und somit deaktiviert wurde.
In diesem Fall wird die primäre Regel von einer einzigen Nebenregel außer Kraft gesetzt: der Regel mit der ActiveSync Geräte-ID und dem regulären Ausdruck 3E.*
. Da der reguläre Ausdruck 3E.*
auf 069026593E0C4AEAB8DE7DD589ACED33
zutrifft, würde die primäre Regel niemals ausgewertet.
Analysieren einer Ergänzung und eines Konflikts
In diesem Beispiel ist die primäre Regel die ActiveSync-Gerätetypregel mit dem regulären Ausdruck touch.*
Sie hat folgende Merkmale:
- Sie ist von einem durchgehenden Rahmen umgeben und gelb hinterlegt, was anzeigt, dass mehrere Regeln mit regulären Ausdrücken auf das gleiche Feld abzielen (in diesem Fall “ActiveSync device type”).
- Ein nach oben und ein nach unten weisender Pfeil geben an, dass es mindestens eine Nebenregel mit höherer Priorität und mindestens eine Nebenregel mit niedrigerer Priorität gibt.
- Der rote Punkt zeigt an, dass bei mindestens einer Nebenregel der Zugriffszustand auf Zulassen festgelegt ist und somit ein Konflikt mit der primären Regel besteht, bei welcher der Zugriffszustand auf Blockieren festgelegt ist
- Es gibt zwei Nebenregeln: die ActiveSync-Gerätetypregel mit dem regulären Ausdruck
SAM.*
und die ActiveSync-Gerätetypregel mit dem regulären AusdruckAndro.*
. - Beide Nebenregeln sind von einem gestrichelten Rahmen umgeben, welcher anzeigt, dass es sich um Nebenregeln handelt.
- Beide Nebenregeln sind gelb hinterlegt, was anzeigt, dass sie auch auf das Regelfeld “ActiveSync device type” angewendet werden.
-
In einem solchen Szenario sollten Sie sicherstellen, dass die Regeln mit regulären Ausdrücken nicht redundant sind.
Weitere Analyse von Regeln
In diesem Beispiel wird demonstriert, dass Regelbeziehungen immer aus der Sicht der primären Regel dargestellt werden. Im vorherigen Beispiel wurde gezeigt, was ein Klick auf die Regel mit dem regulären Ausdruck für den Wert touch.*
des Felds “device type” bewirkt. Wenn Sie auf die Nebenregel Andro.*
klicken, werden andere Nebenregeln hervorgehoben.
In diesem Beispiel wird eine außer Kraft gesetzte Regel, die Teil der Regelbeziehung ist, gezeigt. Diese Regel ist die normale ActiveSync-Gerätetypregel Android
, die außer Kraft gesetzt ist (sichtbar an der helleren Schrift und dem schwarzen Punkt) und deren Zugriffszustand mit dem der primären ActiveSync-Gerätetypregel mit regulärem Ausdruck Andro.*
einen Konflikt verursacht. Letztere war vor dem Anklicken eine Nebenregel. Im vorherigen Beispiel wurde die normale ActiveSync-Gerätetypregel Android
nicht als Nebenregel angezeigt, da sie aus Sicht der primären Regel (der ActiveSync-Gerätetypregel mit regulärem Ausdruck touch.*
) nicht mit dieser in Beziehung stand.
Konfigurieren einer lokalen Regel mit normalem Ausdruck
-
Klicken Sie auf die Registerkarte Access Rules.
-
Wählen Sie in der Liste Device ID das Feld aus, für das Sie eine lokale Regel erstellen möchten.
-
Klicken Sie auf das Lupensymbol, um alle eindeutigen Übereinstimmungen für das ausgewählte Feld einzublenden. In diesem Beispiel wurde das Feld Gerätetyp ausgewählt und die Auswahlmöglichkeiten werden unten im Listenfeld aufgeführt.
-
Klicken Sie auf eines der Elemente in der Ergebnisliste und anschließend auf eine der folgenden Optionen:
- Allow konfiguriert Exchange so, dass ActiveSync-Datenverkehr für alle übereinstimmenden Geräte zugelassen wird.
- Deny Allow konfiguriert Exchange so, dass ActiveSync-Datenverkehr für alle übereinstimmenden Geräte verweigert wird.
In diesem Beispiel wird der Zugriff für alle Geräte des Typs SamsungSPhl720 verweigert.
Hinzufügen eines regelmäßigen Ausdrucks
Lokale Regeln mit regulären Ausdrücken sind an dem Symbol zu erkennen.
Zum Hinzufügen einer Regel mit regulärem Ausdruck können Sie entweder einen Wert aus der Ergebnisliste für ein spezifisches Feld als Grundlage verwenden (sofern bereits ein größerer Snapshot durchgeführt wurde) oder den regulären Ausdruck selbst eingeben.
Erstellen eines regulären Ausdrucks aus einem vorhandenen Feldwert
-
Klicken Sie auf die Registerkarte Access Rules.
-
Wählen Sie in der Liste Device ID das Feld aus, für das Sie eine lokale Regel mit regulärem Ausdruck erstellen möchten.
-
Klicken Sie auf das Lupensymbol, um alle eindeutigen Übereinstimmungen für das ausgewählte Feld einzublenden. In diesem Beispiel wurde das Feld Gerätetyp ausgewählt und die Auswahlmöglichkeiten werden unten im Listenfeld aufgeführt.
-
Klicken Sie auf einen der Einträge in der Ergebnisliste. In diesem Beispiel wurde SAMSUNGSPHL720 ausgewählt und wird im Textfeld neben Device Type angezeigt.
-
Um alle Gerätetypen zuzulassen, deren Gerätetypwert “Samsung” enthält, fügen Sie eine Regel mit regulärem Ausdruck hinzu, indem Sie die folgenden Schritte ausführen:
-
Klicken Sie in das Textfeld des ausgewählten Elements.
-
Ändern Sie den Text SAMSUNGSPHL720 in SAMSUNG.*.
-
Stellen Sie sicher, dass das Kontrollkästchen “regular expression” aktiviert ist.
-
Klicken Sie auf Zulassen.
-
Erstellen einer Zugriffsregel
- Klicken Sie auf die Registerkarte Local Rules.
-
Zur Eingabe des regulären Ausdrucks benötigen Sie die Liste “Device ID” und das Textfeld mit dem ausgewählten Element.
- Wählen Sie das gewünschte Kriterienfeld aus. In diesem Beispiel ist dies Device Type.
- Geben Sie den regulären Ausdruck ein. In diesem Beispiel ist dies
samsung.*
-
Stellen Sie sicher, dass das Kontrollkästchen “regular expression” aktiviert ist, und klicken Sie auf Allow oder Deny. In diesem Beispiel ist die Auswahl Allow. Endergebnis:
Suchen von Geräten
Durch Aktivieren des Kontrollkästchens “regular expression” können Sie Geräte, die dem angegebenen Ausdruck entsprechen, suchen. Dieses Feature steht nur zur Verfügung, wenn ein größerer Snapshot erfolgreich durchgeführt wurde. Sie können das Feature nutzen, selbst wenn Sie keine Verwendung regulärer Ausdrücke planen. Beispiel: Sie möchten alle Geräte suchen, deren ActiveSync-Geräte-ID den Text “workmail” enthält. Gehen Sie hierfür wie nachfolgend beschrieben vor.
- Klicken Sie auf die Registerkarte Access Rules.
-
Stellen Sie sicher, dass als Kriterienfeld “Device ID” (= Standardeinstellung) ausgewählt ist.
- Klicken Sie in das Textfeld des ausgewählten Elements (blau in der Abbildung oben) und geben Sie dann
workmail.*
ein. -
Stellen Sie sicher, dass das Kontrollkästchen “regular expression” aktiviert ist, und klicken Sie auf das Lupensymbol, damit Übereinstimmungen angezeigt werden (siehe folgende Abbildung).
Hinzufügen eines einzelnen Benutzers, eines einzelnen Geräts oder eines einzelnen Gerätetyps zu einer statischen Regel
Sie können statische Regeln basierend auf Benutzern, Geräte-IDs oder Gerätetypen auf der Registerkarte ActiveSync Devices hinzufügen.
-
Klicken Sie auf die Registerkarte ActiveSync Devices.
-
Klicken Sie in der Liste mit der rechten Maustaste auf einen Benutzer, ein Gerät oder einen Gerätetyp und wählen Sie Zulassen oder Verweigern aus.
Die folgende Abbildung zeigt die Allow-/Deny-Option für user1.
Geräteüberwachung
Die Registerkarte Monitor im Endpoint Management Connector für Exchange ActiveSync ermöglicht das Durchsuchen der erkannten Exchange ActiveSync- und BlackBerry-Geräte sowie des Verlaufs automatisch ausgegebener PowerShell-Befehle. Die Registerkarte Monitor enthält die folgenden drei Registerkarten:
-
ActiveSync-Geräte:
- Sie können die angezeigten ActiveSync-Geräte exportieren, indem Sie auf die Schaltfläche Export klicken.
- Sie können lokale (statische) Regeln hinzufügen, indem Sie mit der rechten Maustaste auf die Spalte User, Device ID oder Type klicken und den entsprechenden Regeltyp zum Blockieren oder Zulassen auswählen.
- Zum Reduzieren einer erweiterten Zeile klicken Sie darauf bei gedrückter Strg-Taste.
- Blackberry-Geräte
- Automation History
Auf der Registerkarte Configure wird der Verlauf aller Snapshots angezeigt. Unter “Snapshot history” wird angezeigt, wann ein Snapshot erstellt wurde, wie lange er dauerte, wie viele Geräte erkannt wurden und ggf. welche Fehler aufgetreten sind.
- Klicken Sie auf der Registerkarte Exchange auf das Info-Symbol für den gewünschten Exchange-Server.
- Klicken Sie auf der Registerkarte MSP auf das Info-Symbol für den gewünschten Blackberry-Server.
Problembehandlung und Diagnose
In folgender Protokolldatei des Endpoint Management-Connectors für Exchange ActiveSync werden Fehler und andere Betriebsinformationen aufgezeichnet: Install Folder\log\XmmWindowsService.log. Der Endpoint Management Connector für Exchange ActiveSync protokolliert außerdem wichtige Ereignisse im Windows-Ereignisprotokoll.
Ändern der Protokollierungsstufe
Der Endpoint Management Connector für Exchange ActiveSync enthält die folgenden Protokollierungsstufen: Error, Info, Warn, Debug und Trace.
Hinweis:
Auf jeder Stufe werden mehr Details (mehr Daten) als bei der vorherigen generiert. So bietet die Stufe “Error” die wenigsten und die Stufe “Trace” die meisten Details.
Führen Sie folgende Schritte aus, um die Protokollierungsstufe zu ändern:
- Öffnen Sie unter C:\Programme\Citrix\Citrix Endpoint Management Connector die Datei nlog.config.
-
Ändern Sie im Abschnitt
<rules>
den Parameter minilevel in die gewünschte Protokollierungsstufe. Beispiel:<rules> <logger name="*" writeTo="file" minlevel="Debug" /> </rules> <!--NeedCopy-->
-
Speichern Sie die Datei.
Die Änderungen werden sofort wirksam. Sie müssen den Connector für Exchange ActiveSync nicht neu starten.
Häufige Fehler
Beispiele für verbreitete Fehler:
-
Der Dienst des Endpoint Management-Connectors für Exchange ActiveSync wird nicht gestartet.
Prüfen Sie die Protokolldatei und das Windows-Ereignisprotokoll auf Fehler. Typische Ursachen:
-
Der Dienst des Endpoint Management-Connectors für Exchange ActiveSync kann nicht auf den SQL Server zugreifen. Dafür kann Folgendes die Ursache sein:
- Der SQL Server-Dienst wird nicht ausgeführt.
- Authentifizierungsfehler.
Wenn die integrierte Windows-Authentifizierung konfiguriert ist, muss das Benutzerkonto des Endpoint Management-Connectors für Exchange ActiveSync als zulässige SQL-Anmeldung konfiguriert sein. Standardmäßig ist das Konto des Diensts des Endpoint Management-Connectors für Exchange ActiveSync das lokale System, es kann aber in jedes beliebige Konto, das über lokale Administratorprivilegien verfügt, geändert werden. Wenn die SQL-Authentifizierung konfiguriert ist, muss die SQL-Anmeldung in SQL richtig konfiguriert sein.
-
Der für den Mobile Service Provider konfigurierte Port ist nicht verfügbar. Es muss ein Überwachungsport verwendet werden, der von keinem anderen Prozess des Systems verwendet wird.
-
-
XenMobile kann keine Verbindung mit dem Mobile Service Provider herstellen
Stellen Sie auf der Registerkarte Configure > MSP der Konsole des Endpoint Management-Connectors für Exchange ActiveSync sicher, dass Port und Transport für den Mobile Service Provider-Dienst ordnungsgemäß konfiguriert sind. Stellen Sie sicher, dass die Autorisierungsgruppe bzw. der Benutzer richtig eingestellt ist.
Wenn HTTPS konfiguriert ist, muss ein gültiges SSL-Serverzertifikat installiert sein. Wenn IIS installiert ist, kann IIS-Manager verwendet werden, um das Zertifikat zu installieren. Wenn IIS nicht installiert ist, finden Sie unter How to configure a port with an SSL certificate Anweisungen zur Installation von Zertifikaten.
Der Endpoint Management Connector für Exchange ActiveSync enthält ein Hilfsprogramm zum Testen der Verbindung mit dem MSP-Dienst. Führen Sie das Programm InstallFolder\MspTestServiceClient.exe aus, legen Sie die URL und die Anmeldeinformationen auf Werte fest, die in XenMobile konfiguriert werden, und klicken Sie dann auf Test Connectivity. Dies simuliert die vom XenMobile Server ausgehenden Webdienstanfragen. Wenn HTTPS konfiguriert ist, müssen Sie den Hostnamen des Servers (den im SSL-Zertifikat angegebenen Namen) verwenden.
Für Test Connectivity muss mindestens ein ActiveSyncDevice-Datensatz vorhanden sein, sonst schlägt der Test möglicherweise fehl.
Problembehandlungstools
PowerShell-Dienstprogramme zur Problembehandlung sind im Order Support\PowerShell verfügbar.
Ein Problembehandlungstool führt eine gründliche RBAC-Analyse von Benutzern sowie detaillierte Analysen der Postfächer und Geräte von Benutzern aus, um Fehlerzustände und potenzielle Fehlerbereiche zu erkennen. Alle Cmdlets können in eine Textdatei ausgegeben und gespeichert werden.
In diesem Artikel
- Neue Features
- Neue Features in Version 10.1.10
- Was ist neu in früheren Releases
- Architektur
- Systemanforderungen und Voraussetzungen
- Installation
- Erzwingen von E-Mail-Richtlinien mit ActiveSync-IDs
- Regeln für die Zugriffssteuerung
- Geräteüberwachung
- Problembehandlung und Diagnose
- Problembehandlungstools