Citrix Gateway-Connector für Exchange ActiveSync

XenMobile NetScaler Connector wurde durch Gateway-Connector für Exchange ActiveSync ersetzt. Weitere Informationen zum vereinheitlichten Citrix-Portfolio finden Sie im Citrix product name guide.

Der Connector bietet einen Authentifizierungsdienst auf Geräteebene für ActiveSync-Clients bei NetScaler, der als Reverseproxy für das Exchange ActiveSync-Protokoll fungiert. Die Autorisierung wird durch eine Kombination von Richtlinien, die Sie in XenMobile definieren, und lokal im Citrix Gateway-Connector für Exchange ActiveSync definierten Regeln gesteuert.

Weitere Informationen finden Sie unter ActiveSync-Gateway.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Die aktuelle Version von Citrix Gateway-Connector für Exchange ActiveSync ist Version 8.5.2.

Neue Features

In den folgenden Abschnitten wird aufgeführt, was in der aktuellen und früheren Versionen des Citrix Gateway-Connectors für Exchange ActiveSync (zuvor “XenMobile NetScaler Connector”) neu ist.

Neue Features in Version 8.5.2

  • XenMobile NetScaler Connector heißt jetzt Citrix Gateway-Connector für Exchange ActiveSync.

Die folgenden Probleme wurden in diesem Release behoben:

  • Wenn bei der Definition einer Richtlinienregel mehr als ein Kriterium verwendet wird und eines der Kriterien die Benutzer-ID betrifft, kann das folgende Problem auftreten: Wenn ein Benutzer mehrere Aliase hat, werden die Aliase bei der Anwendung der Regel auch nicht überprüft. [ CXM-55355 ][]

Hinweis:

Im folgenden Abschnitt “Neue Features” wird für den Citrix Gateway-Connector für Exchange ActiveSync der bisherige Name “XenMobile NetScaler Connector” verwendet. Der neue Name gilt ab Version 8.5.2.

Neue Features in Version 8.5.1.11

  • Geänderte Systemanforderungen: Die aktuelle Version von NetScaler Connector erfordert Microsoft .NET Framework 4.5.

  • Unterstützung von Google Analytics: Wir möchten wissen, wie Sie XenMobile NetScaler Connector verwenden, damit wir wissen, wo wir das Produkt verbessern können.

  • Unterstützung für TLS 1.1 und 1.2: Aufgrund der schwächer werdenden Sicherheit wird TLS 1.0 vom Payment Card Industry Security Standards Council abgelehnt. XenMobile NetScaler Connector unterstützt jetzt TLS 1.1 und 1.2.

Überwachen des Citrix Gateway-Connectors für Exchange ActiveSync

Das Citrix Gateway-Connector für Exchange ActiveSync-Konfigurationsprogramm bietet eine detaillierte Protokollierung, anhand derer Sie den gesamten von Secure Mobile Gateway zugelassenen bzw. blockierten Datenverkehr über den Exchange-Server überwachen können.

Auf der Registerkarte Log wird der Verlauf der von NetScaler zur Autorisierung an den Connector für Exchange ActiveSync weitergeleiteten ActiveSync-Anforderungen angezeigt.

Vergewissern Sie sich außerdem, dass der Webdienst des Citrix Gateway-Connectors für Exchange ActiveSync ausgeführt wird, indem Sie die folgende URL in einen Browser auf dem Connector-Server eingeben: https://<host:port>/services/ActiveSync/Version. Wird die Produktversion als Zeichenfolge zurückgegeben, wird der Webdienst ausgeführt.

Simulieren des ActiveSync-Datenverkehrs mit dem Citrix Gateway-Connector für Exchange ActiveSync

Sie können den Citrix Gateway-Connector für Exchange ActiveSync zum Simulieren des ActiveSync-Datenverkehrs gemäß Ihren Richtlinien verwenden. Klicken Sie im Connector-Konfigurationsprogramm auf die Registerkarte Simulator. Das Ergebnis zeigt, wie Ihre Richtlinien nach den von Ihnen konfigurierten Regeln angewendet werden.

Auswählen von Filtern für den Citrix Gateway-Connector für Exchange ActiveSync

Citrix Gateway-Connector für Exchange ActiveSync-Filter analysieren Geräte auf Verstöße gegen bestimmte Richtlinien oder Eigenschaften. Erfüllt ein Gerät die Kriterien, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Liste zum Zulassen oder Blockieren. Es ist lediglich eine Liste der Geräte, die die Kriterien erfüllen. Die folgenden Filter stehen für den Connector in XenMobile zur Verfügung. Die Optionen für jeden Filter sind Zulassen oder Verweigern.

  • Anonyme Geräte: dient zum Zulassen oder Blockieren von Geräten, die bei XenMobile registriert sind, bei denen die Identität des Benutzers jedoch unbekannt ist. Beispielsweise kann dies ein registrierter Benutzer sein, dessen Active Directory-Kennwort abgelaufen ist, oder ein Benutzer, der sich mit unbekannten Anmeldeinformationen registriert hat.
  • Samsung KNOX-Nachweisfehler: Samsung-Geräte besitzen Funktionen für Sicherheit und Diagnose. Dieser Filter erteilt die Bestätigung, dass das Gerät für KNOX eingerichtet ist. Einzelheiten finden Sie unter Samsung KNOX.
  • Unzulässige Apps: Zulassen oder Blockieren von Geräten basierend auf Sperrlistenrichtlinien und dem Vorhandensein gesperrter Apps.
  • Implizit zulassen/verweigern: erstellt eine Liste aller Geräte, die keines der anderen Filterkriterien erfüllen, und lässt den Zugriff zu bzw. blockiert ihn für diese Geräte. Die Option “Implizit zulassen/verweigern” stellt sicher, dass der Status des Citrix Gateway-Connectors für Exchange ActiveSync für die Registerkarte “Geräte” aktiviert ist und der Connector-Status für die Geräte angezeigt wird. Die Option “Implizit zulassen/verweigern” steuert auch alle anderen Connector-Filter, die nicht ausgewählt wurden. Beispielsweise werden bei Auswahl des entsprechenden Filters Geräte mit der Eigenschaft “Blacklisted Apps” vom Connector blockiert, für alle anderen Filter gilt die Einstellung “Zulassen”, wenn die Option “Implizit zulassen/verweigern” auf Zulassen festgelegt wurde.
  • Inaktive Geräte: erstellt eine Liste von Geräten, die innerhalb eines bestimmten Zeitraums nicht mit XenMobile kommuniziert haben. Solche Geräte werden als inaktiv eingestuft. Der Filter lässt die Geräte zu oder verweigert sie entsprechend.
  • Fehlende Pflicht-Apps: Wenn sich ein Benutzer anmeldet, erhält er eine Liste der erforderlichen Apps, die installiert werden müssen. Der Filter für fehlende Plicht-Apps sucht Apps, die nicht mehr vorhanden sind (beispielsweise, weil sie vom Benutzer gelöscht wurden).
  • Nicht empfohlene Apps: Wenn sich ein Benutzer anmeldet, erhält er eine Liste der Apps, deren Installation empfohlen wird. Der Filter für nicht empfohlene Apps überprüft das Gerät auf Apps, die nicht auf dieser Liste stehen.
  • Nicht richtlinientreues Kennwort: erstellt eine Liste aller Geräte ohne Passcode.
  • Nicht richtlinientreue Geräte: ermöglicht das Zulassen bzw. Blockieren von Geräten auf der Basis der Einhaltung firmeninterner IT-Richtlinien. Die Richtlinientreue ist eine willkürliche Einstellung, die durch die Geräteeigenschaft “Out of Compliance” definiert ist, einem booleschen Flag, das entweder True oder False sein kann. (Sie können diese Eigenschaft manuell unter Auswahl des Werts erstellen oder mit automatischen Aktionen auf einem Gerät, wenn das Gerät die Kriterien erfüllt bzw. nicht erfüllt.)
    • Out of Compliance = True: Wenn ein Gerät die Vorgaben und Richtliniendefinitionen der IT-Abteilung nicht erfüllt, wird das Gerät als nicht richtlinientreu eingestuft.
    • Out of Compliance = False: Wenn ein Gerät die Vorgaben und Richtliniendefinitionen der IT-Abteilung erfüllt, wird das Gerät als richtlinientreu eingestuft.
  • Widerrufenstatus: erstellt eine Liste aller widerrufenen Geräte und lässt den Zugriff zu bzw. blockiert ihn auf der Basis des Gerätestatus.
  • Android-Geräte mit Rooting/iOS-Geräte mit Jailbreak: erstellt eine Liste aller Geräte, die als gerootet markiert wurden, und lässt den Zugriff zu bzw. blockiert ihn auf der Basis des entsprechenden Gerätestatus.
  • Nicht verwaltete Geräte: erstellt eine Liste aller Geräte in der XenMobile-Datenbank. Das Mobile Application Gateway muss im Modus “Blockieren” bereitgestellt werden.

Konfigurieren einer Verbindung zum Citrix Gateway-Connector für Exchange ActiveSync

Der Citrix Gateway-Connector für Exchange ActiveSync kommuniziert mit XenMobile und anderen Remote-Konfigurationsanbietern über sichere Webdienste.

  1. Klicken Sie im Connector-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie im Dialogfeld Config Providers unter Name den Benutzernamen eines Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile-Server verwendet wird.
  3. Geben Sie unter Url die Webadresse des XenMobile-GCS (normalerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>) ein. Bei dem Namen von MagConfigService wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile-Server verwendet werden soll.
  5. Geben Sie unter Managing Host den Namen des Servers mit dem Citrix Gateway-Connector für Exchange ActiveSync ein.
  6. Geben Sie unter Baseline Interval das Intervall ein, in dem von Device Manager der aktualisierte Satz dynamischer Regeln abgerufen werden soll.
  7. Geben Sie unter Delta Interval einen Zeitraum für den Abruf aktualisierter dynamischer Regeln ein.
  8. Geben Sie unter Request Timeout das Timeoutintervall für die Serveranforderungen an.
  9. Wählen Sie unter Config Provider, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  10. Aktivieren Sie diese Option unter Events Enabled, wenn der Citrix Gateway-Connector für Exchange ActiveSync die Blockierung eines Geräts melden soll. Die Option ist erforderlich, wenn Sie Regeln des Citrix Gateway-Connectors für Exchange ActiveSync in XenMobile für eine automatische Aktion verwenden.
  11. Klicken Sie auf Save und dann auf Test Connectivity, um die Verbindung zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewalleinstellungen die Verbindung gestatten, oder wenden Sie sich an den Administrator.
  12. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie auf Save.

Wenn Sie einen neuen Konfigurationsanbieter hinzufügen, erstellt der Citrix Gateway-Connector für Exchange ActiveSync automatisch eine oder mehrere diesem Anbieter zugeordnete Richtlinien. Diese Richtlinien werden durch eine Vorlagendefinition im Abschnitt “NewPolicyTemplate” der Datei config\policyTemplates.xml festgelegt. Für jedes Policy-Element in diesem Abschnitt wird eine neue Richtlinie erstellt.

Policy-Elemente können hinzugefügt, entfernt oder modifiziert werden, wenn folgende Voraussetzungen erfüllt sind: Das Policy-Element entspricht der Schemadefinition und die Standard-Ersatzzeichenfolgen (in geschweiften Klammern) werden nicht geändert. Fügen Sie als Nächstes neue Gruppen für den Anbieter hinzu und aktualisieren Sie die Richtlinie zur Berücksichtigung der neuen Gruppen.

Importieren einer Richtlinie aus XenMobile

  1. Klicken Sie im Konfigurationsprogramm des Citrix Gateway-Connectors für Exchange ActiveSync auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie im Dialogfeld Config Providers unter Name den Benutzernamen eines Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile-Server verwendet werden soll.
  3. Geben Sie unter Url die Webadresse von XenMobile Gateway Configuration Service (normalerweise im Format https://<xdmHost>/xdm/services/<MagConfigService>) ein. Bei dem Namen von MagConfigService wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile-Server verwendet werden soll.
  5. Klicken Sie auf Test Connectivity, um die Verbindung zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewalleinstellungen die Verbindung gestatten, oder wenden Sie sich an den Administrator.
  6. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie auf Save.
  7. Behalten Sie unter Managing Host den Standard-DNS-Namen des lokalen Hostcomputers bei. Diese Einstellung wird für die Koordination der Kommunikation mit XenMobile verwendet, wenn mehrere Forefront Threat Management Gateway-Server in einem Array konfiguriert sind.

    Nach dem Speichern der Einstellungen öffnen Sie Gateway Configuration Service.

Konfigurieren des Richtlinienmodus des Citrix Gateway-Connectors für Exchange ActiveSync

Der Citrix Gateway-Connector für Exchange ActiveSync kann in folgenden sechs Modi ausgeführt werden:

  • Allow All: In diesem Richtlinienmodus erhält der gesamte Datenverkehr, der den Citrix Gateway-Connector für Exchange ActiveSync passiert, Zugriff. Es werden keine anderen Filterregeln verwendet.
  • Deny All: In diesem Richtlinienmodus wird der gesamte Datenverkehr, der den Citrix Gateway-Connector für Exchange ActiveSync passiert, blockiert. Es werden keine anderen Filterregeln verwendet.
  • Static Rules: Block Mode: In diesem Richtlinienmodus werden statische Regeln mit einer impliziten Blockieren-Anweisung am Ende ausgeführt. Der Connector blockiert Geräte, die nicht über andere Filterregeln zugelassen werden.
  • Static Rules: Permit Mode: In diesem Richtlinienmodus werden statische Regeln mit einer impliziten Zulassen-Anweisung am Ende ausgeführt. Geräte, die nicht über andere Filterregeln blockiert werden, werden von dem Connector zugelassen.
  • Static + ZDM Rules: Block Mode: In diesem Richtlinienmodus werden statische Regeln und anschließend dynamische Regeln mit einer impliziten Blockieren-Anweisung am Ende ausgeführt. Geräte werden basierend auf Filtern und Device Manager-Regeln zugelassen oder blockiert. Alle Geräte, die keinem Filter und keiner Regel entsprechen, werden blockiert.
  • Static + ZDM Rules: Permit Mode: In diesem Richtlinienmodus werden statische Regeln und anschließend dynamische Regeln mit einer impliziten Zulassen-Anweisung am Ende ausgeführt. Geräte werden basierend auf Filtern und XenMobile-Regeln zugelassen oder blockiert. Alle Geräte, die keinem Filter und keiner Regel entsprechen, werden zugelassen.

Die Ausführung dynamischer Regeln durch den Prozess des Citrix Gateway-Connectors für Exchange ActiveSync basiert auf eindeutigen ActiveSync-Kennungen von iOS- und Windows-Mobilgeräten, die von XenMobile empfangen werden. Bei Android-Geräten ist das Verhalten je nach Hersteller unterschiedlich, einige stellen ihre eindeutige ActiveSync-ID nicht einfach zur Verfügung. Ersatzweise sendet XenMobile für Android-Geräte die Benutzer-ID, damit eine Entscheidung über Zulassen und Blockieren getroffen werden kann. Hat ein Benutzer nur ein Android-Gerät, funktioniert die Zugriffssteuerung daher ordnungsgemäß. Hat ein Benutzer mehrere Android-Geräte, werden alle Geräte zugelassen, da Android-Geräte nicht einzeln unterschieden werden können. Sie können festlegen, dass diese Geräte vom Gateway nach ActiveSync-ID statisch blockiert werden, sofern sie bekannt sind. Sie können das Gateway auch so konfigurieren, dass Geräte nach Gerätetyp oder Benutzeragent blockiert werden.

Zum Festlegen des Richtlinienmodus führen Sie im Konfigurationsprogramm des SMG-Controllers folgende Schritte aus:

  1. Klicken Sie auf die Registerkarte Path Filters und dann auf Add.
  2. Wählen Sie im Dialogfeld Path Properties aus der Liste Policy einen Richtlinienmodus aus und klicken Sie auf Save.

Sie können Regeln auf der Registerkarte Policies des Konfigurationsprogramms prüfen. Die Regeln werden vom Citrix Gateway-Connector für Exchange ActiveSync in der Reihenfolge von oben nach unten verarbeitet. Die Richtlinien zum Zulassen werden mit einem grünen Häkchen angezeigt. Die Richtlinien zum Verweigern werden mit einem durchgestrichenen roten Kreis angezeigt. Zum Aktualisieren der Anzeige der Regeln klicken Sie auf Refresh. Sie können die Reihenfolge der Regeln auch in der Datei config.xml ändern.

Zum Testen von Regeln klicken Sie auf die Registerkarte “Simulator. Geben Sie Werte in den Feldern ein. Diese können auch aus den Protokollen bezogen werden. In einer Ergebnismeldung wird “Allow” oder “Block” angezeigt.

Konfigurieren von statischen Regeln

Geben Sie statische Regeln mit Werten ein, die von dem ISAPI-Filter der HTTP-Anforderungen der ActiveSync-Verbindung gelesen werden. Über statische Regeln kann der Citrix Gateway-Connector für Exchange ActiveSync den Datenverkehr basierend auf folgenden Kriterien zulassen oder blockieren:

  • User: Der Citrix Gateway-Connector für Exchange ActiveSync verwendet die bei der Geräteregistrierung erfasste Struktur aus autorisiertem Benutzerwert und Namen. Dies ist normalerweise “domain\username” gemäß Verweis von dem XenMobile-Server, der mit Active Directory über LDAP verbunden ist. Auf der Registerkarte Log des Konfigurationsprogramms für den Citrix Gateway-Connector für Exchange ActiveSync werden die durch den Connector gesendeten Werte angezeigt. Die Werte werden gesendet, wenn die Wertstruktur ermittelt werden muss oder wenn sie sich unterscheidet.
  • Deviceid (ActiveSyncID): Wird auch als “ActiveSyncID” des verbundenen Geräts bezeichnet. Dieser Wert ist häufig auf der spezifischen Geräteeigenschaftenseite der XenMobile-Konsole. Er kann auch auf der Registerkarte Log des Konfigurationsprogramms für den Citrix Gateway-Connector für Exchange ActiveSync ermittelt werden.
  • DeviceType: Der Connector kann feststellen, ob es sich bei einem Gerät um ein iPhone, iPad oder einen anderen Gerätetyp handelt, und Geräte basierend auf diesem Kriterium blockieren oder zulassen. Wie bei anderen Werten kann Konfigurationsprogramm des Citrix Gateway-Connectors für Exchange ActiveSync alle verbundenen Gerätetypen, die für die ActiveSync-Verbindung verarbeitet werden, anzeigen.
  • UserAgent: Enthält Informationen zu dem verwendeten ActiveSync-Client. Meist entspricht der Wert einem bestimmten Betriebssystem-Build-/Versionspaar für die Mobilgeräteplattform.

Das Connector-Konfigurationsprogramm, das auf dem Server ausgeführt wird, verwaltet immer die statischen Regeln.

  1. Klicken Sie im Konfigurationsprogramm des Secure Mobile Gateway-Controllers auf die Registerkarte Static Rules und dann auf Add.
  2. Legen Sie im Dialogfeld Static Rule Properties die Werte fest, die Sie als Kriterien verwenden möchten. Beispiel: Um einen Benutzer für den Zugriff zuzulassen, geben Sie dessen Benutzernamen ein (z. B. AllowedUser) und deaktivieren Sie dann das Kontrollkästchen Disabled.
  3. Klicken Sie auf Speichern.

    Die statische Regel ist jetzt in Kraft. Zusätzlich können Sie reguläre Ausdrücke zum Definieren von Werten verwenden, Sie müssen jedoch den Regelverarbeitungsmodus in der Datei config.xml aktivieren.

Konfigurieren von dynamischen Regeln

Dynamische Regeln werden über Geräterichtlinien und -eigenschaften in XenMobile definiert und können einen dynamischen Citrix Gateway-Connector für Exchange ActiveSync-Filter auslösen. Die Filter werden bei einem Verstoß gegen eine Richtlinie oder Eigenschaft ausgelöst. Die Connector-Filter analysieren Geräte auf Verstöße gegen bestimmte Richtlinien oder Eigenschaften. Erfüllt ein Gerät die Kriterien, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Liste zum Zulassen oder zum Blockieren. Es ist lediglich eine Liste der Geräte, die die Kriterien erfüllen. Über die folgenden Konfigurationsoptionen können Sie mithilfe des Connectors festlegen, ob die Geräte in der Geräteliste zugelassen oder blockiert werden sollen.

Hinweis:

Sie müssen die XenMobile-Konsole verwenden, um dynamische Regeln zu konfigurieren.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf ActiveSync-Gateway. Die Seite ActiveSync-Gateway wird angezeigt.

  3. Wählen Sie unter Folgende Regel(n) aktivieren eine oder mehrere Regeln aus, die Sie aktivieren möchten.

  4. Nur Android: Klicken Sie unter Send Android domain users to ActiveSync Gateway auf YES, um sicherzustellen, dass XenMobile Android-Geräteinformationen an das Secure Mobile Gateway sendet.

    Wenn diese Option aktiviert ist, sendet XenMobile Android-Geräteinformationen an den Citrix Gateway-Connector für Exchange ActiveSync, wenn XenMobile keine ActiveSync-ID für den Android-Gerätebenutzer hat.

Konfigurieren benutzerdefinierter Richtlinien mithilfe der XML-Datei des Citrix Gateway-Connectors für Exchange ActiveSync

Sie können die grundlegenden Richtlinien der Standardkonfiguration auf der Registerkarte Policies des Konfigurationsprogramms des Citrix Gateway-Connectors für Exchange ActiveSync anzeigen. Zum Erstellen benutzerdefinierter Richtlinien können Sie die XML-Konfigurationsdatei des Connectors (config\config.xml) bearbeiten.

  1. Suchen Sie in der Datei den Abschnitt PolicyList und fügen Sie diesem ein neues Policy-Element hinzu.
  2. Wenn eine neue Gruppe erforderlich wird, z. B. eine zusätzliche statische Gruppe oder eine Gruppe für eine zusätzliche GCP, fügen Sie das neue Group-Element dem Abschnitt GroupList hinzu.
  3. Falls gewünscht, können Sie die Reihenfolge der Gruppen in einer vorhandenen Richtlinie durch Umstellen der GroupRef-Elemente ändern.

Konfigurieren der XML-Datei des Citrix Gateway-Connectors für Exchange ActiveSync

Die Aktionen des Citrix Gateway-Connectors für Exchange ActiveSync werden über eine XML-Konfigurationsdatei vorgegeben. Unter anderem enthält die Datei die Dateigruppe und zugehörige Aktionen für den Filter bei der Auswertung von HTTP-Anforderungen. Standardmäßig heißt die Datei config.xml und ist im Verzeichnis \Programme\Citrix\XenMobile NetScaler Connector\config.

GroupRef-Knoten

Die GroupRef-Knoten definieren die logischen Gruppennamen. Die Standardwerte sind “AllowGroup” und “DenyGroup”.

Hinweis:

Die Reihenfolge der GroupRef-Knoten im GroupRefList-Knoten spielt eine Rolle.

Der ID-Wert eines GroupRef-Knotens identifiziert einen logischen Container bzw. eine Mitgliedersammlung, der bzw. die für die Zuordnung spezifischer Benutzerkonten oder Geräte verwendet wird. Die Action-Attribute geben an, wie ein Mitglied zu behandeln ist, das einer Regel in der Sammlung entspricht. Beispielsweise wird ein Benutzerkonto oder Gerät, das einer AllowGroup-Regel entspricht, zugelassen. Dies bedeutet, es erhält Zugriff auf den Exchange-Clientzugriffsserver. Ein Benutzerkonto oder Gerät, das einer DenyGroup-Regel entspricht, wird abgelehnt. Dies bedeutet, es erhält keinen Zugriff auf den Exchange-Clientzugriffsserver.

Entspricht ein bestimmtes Benutzerkonto/Gerät oder eine Konto-/Gerätekombination Regeln beider Gruppen, erfolgt die Behandlung gemäß einer Rangfolgenkonvention. Die Rangfolge entspricht der Reihenfolge der GroupRef-Knoten in der Datei config.xml von oben nach unten. Die GroupRef-Knoten werden nach Priorität gewichtet. Regeln für eine bestimmte Bedingung in der Allow-Gruppe haben immer Vorrang vor Regeln für die gleiche Bedingung in Deny-Gruppe.

Gruppenknoten

In der Datei config.xml sind außerdem Gruppenknoten definiert. Diese Knoten verknüpfen die logischen Container “AllowGroup” und “DenyGroup” mit externen XML-Dateien. Einträge in den externen Dateien bilden die Basis für die Filterregeln.

Hinweis:

In diesem Release werden nur externe XML-Dateien unterstützt.

In der Standardinstallation sind zwei XML-Dateien in der Konfiguration implementiert: allow.xml und deny.xml.

Konfigurieren des Citrix Gateway-Connectors für Exchange ActiveSync

Sie können den Citrix Gateway-Connector für Exchange ActiveSync so konfigurieren, dass ActiveSync-Anforderungen basierend auf den folgenden Eigenschaften selektiv blockiert oder zugelassen werden: ActiveSync Service ID, Device type, User Agent (Geräte-OS), Authorized user und ActiveSync Command.

Die Standardkonfiguration unterstützt eine Kombination aus statischen und dynamischen Gruppen. Statische Gruppen werden mit dem Konfigurationsprogramm des Secure Mobile Gateway-Controllers verwaltet. Statische Gruppen können aus bekannten Gerätekategorien bestehen, z. B. alle Geräte mit einem bestimmten Benutzer-Agent.

Dynamische Gruppen werden von einer externen Quelle, dem Gateway-Konfigurationsanbieter, gepflegt. Der Citrix Gateway-Connector für Exchange ActiveSync verbindet die Gruppen regelmäßig. XenMobile kann Gruppen zugelassener und blockierter Geräte und Benutzer in den Connector exportieren.

Dynamische Gruppen werden von einer externen Quelle, dem Gateway-Konfigurationsanbieter, gepflegt und regelmäßig von dem Citrix Gateway-Connector für Exchange ActiveSync gesammelt. XenMobile kann Gruppen zugelassener und blockierter Geräte und Benutzer in den Connector exportieren.

Eine Richtlinie ist eine sortierte Liste von Gruppen, in der jeder Gruppe eine Aktion (zulassen oder blockieren) zugeordnet ist, und eine Liste der Gruppenmitglieder. Eine Richtlinie kann beliebig viele Gruppen enthalten. Die Reihenfolge der Gruppen in einer Richtlinie ist wichtig, weil bei einer Übereinstimmung die Aktion der Gruppe erfolgt und nachfolgende Gruppen nicht ausgewertet werden.

Mitglieder sind eine Methode für die Zuordnung der Eigenschaften einer Anforderung. Sie können einer einzelnen Eigenschaft (z. B. Geräte-ID) oder mehreren Eigenschaften entsprechen (z. B. Gerätetyp und Benutzer-Agent).

Auswählen eines Sicherheitsmodells für den Citrix Gateway-Connector für Exchange ActiveSync

Die Implementierung eines Sicherheitsmodells ist für eine erfolgreiche Mobilgerätebereitstellung in Organisationen jeder Größe wichtig. Häufig wird eine Netzwerksteuerung mit Schutz oder Quarantäne verwendet, um den Zugriff auf Benutzer, Computer oder Geräte standardmäßig zuzulassen. Dieses Verfahren ist jedoch nicht immer ideal. In jeder Organisation werden bei der Verwaltung der IT-Sicherheit andere ggf. maßgeschneiderte Methoden zum Schutz von Mobilgeräten eingesetzt.

Die gleiche Logik gilt für die Sicherheit von Mobilgeräten. Angesichts der Vielzahl verschiedener Mobilgerätetypen, der großen Zahl Mobilgeräte pro Benutzer und der Vielfalt an Betriebssystemen und Apps ist das permissive Modell keine gute Wahl. In den meisten Organisationen ist das restriktive Modell die beste Wahl.

Citrix lässt bei der Integration des Citrix Gateway-Connectors für Exchange ActiveSync in XenMobile folgende Konfigurationsszenarios zu:

Permissives Modell (Zulassungsmodus)

Beim permissiven Sicherheitsmodell gilt, dass bei allem der Zugriff standardmäßig zugelassen ist. Nur durch Einsatz von Regeln und Filtern können Elemente blockiert und Beschränkungen angewendet werden. Das permissive Sicherheitsmodell ist für Organisationen geeignet, in denen keine strengen Sicherheitsvorschriften hinsichtlich der Mobilgeräte herrschen. Bei diesem Modell wird der Zugriff nur dann verweigert, wenn eine Richtlinienregel verletzt wurde.

Restriktives Modell (Blockierungsmodus)

Beim restriktiven Sicherheitsmodell gilt, dass bei nichts der Zugriff standardmäßig zugelassen ist. Alle Elemente werden bei der Sicherheitsprüfung gefiltert und untersucht. Der Zugriff wird blockiert, außer wenn die Regeln für die Zulassung des Zugriffs erfüllt werden. Das restriktive Sicherheitsmodell ist für Organisationen geeignet, in denen relativ strenge Sicherheitsvorschriften hinsichtlich der Mobilgeräte herrschen. Bei diesem Modell wird der Zugriff nur gewährt, wenn alle Regeln für das Zulassen des Zugriffs erfüllt werden.

Verwalten des Citrix Gateway-Connectors für Exchange ActiveSync

Sie können unter Einsatz des Citrix Gateway-Connectors für Exchange ActiveSync Zugriffsregeln erstellen. Mit diesen Regeln wird der Zugriff verwalteter Geräte auf ActiveSync-Verbindungsanforderungen zugelassen oder blockiert. Der Zugriff basiert auf Gerätestatus, App-Sperrlisten bzw. App-Positivlisten und anderen Vorgaben zur Richtlinientreue.

Mit dem Konfigurationsprogramm des Citrix Gateway-Connectors für Exchange ActiveSync können Sie dynamische und statische Regeln zum Erzwingen von Richtlinien für E-Mail erstellen, mit denen Benutzer, die die Richtlinien nicht einhalten, blockiert werden. Sie können außerdem die Verschlüsselung von E-Mail-Anlagen einrichten, sodass alle Anlagen, die über Exchange Server an verwaltete Geräte gesendet werden, verschlüsselt werden und nur von autorisierten Benutzern auf verwalteten Geräten angezeigt werden können.

Deinstallieren des Citrix Gateway-Connectors für Exchange ActiveSync

  1. Führen Sie XncInstaller.exe als Administrator aus.
  2. Folgen Sie den Anweisungen zum Durchführen der Deinstallation.

Installieren, Aktualisieren oder Deinstallieren des Citrix Gateway-Connectors für Exchange ActiveSync

  1. Führen Sie XncInstaller.exe als Administrator aus, um den Connector zu installieren bzw. vorhandene Versionen zu aktualisieren oder zu deinstallieren.
  2. Folgen Sie den angezeigten Anweisungen, um die Installation, das Upgrade oder die Deinstallation durchzuführen.

Nach der Installation des Connectors müssen Sie den XenMobile-Konfigurationsdienst und den Benachrichtigungsdienst manuell neu starten.

Installieren des Citrix Gateway-Connectors für Exchange ActiveSync

Sie können den Citrix Gateway-Connector für Exchange ActiveSync auf einem eigenen Server oder auf demselben Server wie XenMobile installieren.

Die Installation des Citrix Gateway-Connectors für Exchange ActiveSync auf einem eigenen Server könnte sich aus folgenden Gründen anbieten:

  • Der XenMobile-Server wird remote in einer Cloud (physischer Speicherort) gehostet.
  • Sie möchten nicht, dass der Connector durch Neustarts des XenMobile-Servers beeinträchtigt wird (Verfügbarkeit).
  • Sie möchten die Systemressourcen des Servers vollständig für den Connector nutzen (Leistung).

Die CPU-Last, die der Connector einem Server zuweist, hängt von der Anzahl der verwalteten Geräte ab. Als Faustregel gilt, dass ein weiterer CPU-Kern bereitzustellen ist, wenn der Connector auf demselben Server wie XenMobile bereitgestellt wird. Bei hohen Gerätezahlen (über 50.000) müssen Sie möglicherweise weitere Kerne bereitstellen, wenn Sie keine Clusterumgebung haben. Der Speicherbedarf des Connectors ist so gering, dass kein zusätzlicher Speicher erforderlich ist.

Systemanforderungen für den Citrix Gateway-Connector für Exchange ActiveSync

Der Citrix Gateway-Connector für Exchange ActiveSync kommuniziert mit NetScaler über eine auf dem NetScaler-Gerät konfigurierte SSL-Brücke. Über diese Brücke kann das Gerät sämtlichen sicheren Datenverkehr direkt an XenMobile übergeben. Der Connector erfordert die folgende Mindestsystemkonfiguration:

Komponente Anforderung
Computer und Prozessor Pentium III-Prozessor, 733 MHz oder schneller; empfohlen: Pentium III-Prozessor, 2.0 GHz oder schneller
NetScaler NetScaler-Gerät mit Softwareversion 10
Speicher 1 GB
Festplatte NTFS-formatierte lokale Partition mit 150 MB freiem Speicherplatz
Betriebssystem Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008, oder Microsoft Windows Server 2012 R2.
Sonstige Geräte Mit dem Hostbetriebssystem kompatibler Netzwerkadapter für die Kommunikation mit dem internen Netzwerk
Microsoft .NET Framework Version 8.5.1.11 erfordert Microsoft .NET Framework 4.5.
Anzeigen VGA-Monitor oder höher

Auf dem Hostcomputer für den Citrix Gateway-Connector für Exchange ActiveSyncist mindestens folgender freier Festplattenspeicher erforderlich:

  • Anwendung: 10–15 MB (100 MB empfohlen)
  • Protokollierung: 1 GB (20 GB empfohlen)

Informationen über die vom Citrix Gateway-Connector für Exchange ActiveSync unterstützten Plattformen finden Sie unter Unterstützte Gerätebetriebssysteme.

Geräte-E-Mail-Clients

Nicht alle E-Mail-Clients geben konstant dieselbe ActiveSync-ID für das Gerät zurück. Da der Citrix Gateway-Connector für Exchange ActiveSync eine eindeutige ActiveSync-ID für jedes Gerät erwartet, werden nur E-Mail-Clients unterstützt, die konstant dieselbe eindeutige ActiveSync-ID für jedes Gerät generieren. Folgende E-Mail-Clients wurden von Citrix getestet und funktionieren ordnungsgemäß:

  • HTC-nativer E-Mail-Client
  • Samsung-nativer E-Mail-Client
  • iOS-nativer E-Mail-Client
  • TouchDown

Bereitstellen des Citrix Gateway-Connectors für Exchange ActiveSync

Mit dem Citrix Gateway-Connector für Exchange ActiveSync können Sie NetScaler als Proxy und für den Lastausgleich bei der Kommunikation zwischen XenMobile Server und mit XenMobile verwalteten Geräten verwenden. Der Connector kommuniziert in regelmäßigen Abständen mit XenMobile zur Synchronisierung von Richtlinien. Der Connector und XenMobile lassen sich zusammen oder separat in Clustern zusammenfassen. Ein Lastausgleich ist mit NetScaler möglich.

Komponenten des Citrix Gateway-Connectors für Exchange ActiveSync

  • Dienst: Der Dienst des Connectors bietet eine REST-Webdienstschnittstelle, die von NetScaler aufgerufen werden kann, um zu ermitteln, ob eine ActiveSync-Anforderung von einem Gerät autorisiert ist.
  • Konfigurationsdienst: Der Konfigurationsdienst des Connectors kommuniziert mit XenMobile zur Synchronisierung von XenMobile-Richtlinienänderungen mit dem Connector.
  • XenMobile-Benachrichtigungsdienst: Dieser Dienst sendet Benachrichtigungen über unautorisierten Gerätezugriff an XenMobile. XenMobile kann dann die nötigen Schritte ergreifen und beispielsweise den Benutzer benachrichtigen, warum sein Gerät blockiert wurde.
  • Citrix Gateway Connector für Exchange ActiveSync-Konfigurationshilfsprogramm: Mit dieser Anwendung kann der Administrator den Connector konfigurieren und überwachen.

Einrichten von Überwachungsadressen für den Citrix Gateway-Connector für Exchange ActiveSync

Führen Sie folgende Schritte aus, damit der Citrix Gateway-Connector für Exchange ActiveSync Anforderungen von NetScaler zur Autorisierung von ActiveSync-Datenverkehr empfangen kann. Geben Sie den Port an, den der Connector auf Aufrufe des NetScaler-Webdiensts überwacht.

  1. Wählen Sie im Menü Start das Konfigurationshilfsprogramm des Citrix Gateway-Connectors für Exchange ActiveSync aus.
  2. Klicken Sie auf die Registerkarte Web Service, und geben Sie die zu überwachenden Adressen für den Connector-Webdienst ein. Sie können HTTP und/oder HTTPS auswählen. Residiert der Connector auf dem gleichen Server wie XenMobile, wählen Sie Ports aus, die keinen Konflikt mit denen von XenMobile auslösen.
  3. Wenn die Werte konfiguriert sind, klicken Sie auf Save und dann auf Start Service, um den Webdienst zu starten.

Konfigurieren von Zugriffssteuerungsrichtlinien im Citrix Gateway-Connector für Exchange ActiveSync

Zum Konfigurieren einer Zugriffssteuerungsrichtlinie für verwaltete Geräte gehen Sie folgendermaßen vor:

  1. Klicken Sie im Konfigurationsprogramm des Citrix Gateway-Connectors für Exchange ActiveSync auf die Registerkarte Path Filters.
  2. Wählen Sie die erste Zeile Microsoft-Server-ActiveSync is for ActiveSync und klicken Sie auf Edit.
  3. Wählen Sie in der Liste Policy die gewünschte Richtlinie aus. Bei Richtlinien, die XenMobile-Richtlinien umfassen, wählen Sie Static + ZDM: Permit Mode oder Static + ZDM: Block Mode. Diese Richtlinien kombinieren lokale (statische) Regeln mit denen von XenMobile. Permit Mode bedeutet, dass alle Geräte, die nicht explizit durch die Regeln identifiziert werden, Zugriff auf ActiveSync erhalten. Block Mode bedeutet, dass solche Geräte blockiert werden.
  4. Klicken Sie nach dem Festlegen der Richtlinien auf Save.

Konfigurieren der Kommunikation mit XenMobile

Geben Sie Namen und Eigenschaften des XenMobile-Servers (= “Config Provider”) an, den Sie mit dem Citrix Gateway-Connector für Exchange ActiveSync und NetScaler verwenden möchten.

Hinweis: Es wird davon ausgegangen, dass Sie XenMobile bereits installiert und konfiguriert haben.

  1. Klicken Sie im Konfigurationsprogramm des Citrix Gateway-Connectors für Exchange ActiveSync auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie den Namen und die URL des XenMobile-Servers ein, den Sie in der Bereitstellung verwenden. Wenn Sie mehrere XenMobile Server in einer Bereitstellung mit mehreren Mandanten haben, muss der Name für jede Serverinstanz eindeutig sein. Geben Sie unter Name beispielsweise XMS ein.
  3. Geben Sie unter Url die Webadresse von XenMobile GlobalConfig Provider (normalerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>) ein. Bei dem Namen von MagConfigService wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile-Webserver verwendet werden soll.
  5. Geben Sie unter Managing Host den Namen des Servers an, auf dem Sie den Citrix Gateway-Connector für Exchange ActiveSync installiert haben.
  6. Geben Sie unter Baseline Interval das Intervall ein, in dem von XenMobile der aktualisierte Satz dynamischer Regeln abgerufen werden soll.
  7. Geben Sie unter Request Timeout das Timeoutintervall für die Serveranforderungen an.
  8. Wählen Sie unter Config Provider, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  9. Aktivieren Sie die Option unter Events Enabled, wenn Secure Mobile Gateway die Blockierung eines Geräts an XenMobile melden soll. Die Option ist erforderlich, wenn Sie Secure Mobile Gateway-Regeln in Device Manager für eine automatische Aktion verwenden.
  10. Klicken Sie nach Abschluss der Konfiguration des Servers auf Test Connectivity, um die Verbindung mit XenMobile zu testen.
  11. Wenn die Verbindung hergestellt wird, klicken Sie auf Save.

Bereitstellen des Citrix Gateway-Connectors für Exchange ActiveSync für Redundanz und Skalierbarkeit

Wenn Sie Ihre Bereitstellung des Citrix Gateway-Connectors für Exchange ActiveSync und von XenMobile skalieren möchten, installieren Sie Instanzen des Connectors auf mehreren Windows-Servern, die alle auf die gleiche XenMobile-Instanz verweisen, und führen Sie dann einen Lastausgleich der Server mit NetScaler aus.

Es gibt zwei Modi zur Konfiguration des Citrix Gateway-Connectors für Exchange ActiveSync:

  • Im Modus ohne Freigabe kommuniziert jede Instanz des Citrix Gateway-Connectors für Exchange ActiveSync mit einem XenMobile-Server und speichert eine eigene Kopie der daraus resultierenden Richtlinie. Beispiel: In einem XenMobile-Servercluster können Sie eine Connector-Instanz auf jedem XenMobile-Server ausführen. Der Connector erhält dann Richtlinien von der lokalen XenMobile-Instanz.
  • In Modus mit Freigabe wird ein Knoten mit dem Citrix Gateway-Connector für Exchange ActiveSync als primärer Knoten festgelegt, der mit XenMobile kommuniziert. Die resultierende Konfiguration wird dann per Windows-Netzwerkfreigabe oder per Windows-Replikation (bzw. per Drittanbieter-Replikation) an die anderen Knoten weitergegeben.

Die Connector-Konfiguration (bestehend aus einigen XML-Dateien) ist in einem einzigen Ordner. Der Connector-Prozess erkennt Änderungen an jeder Datei in diesem Ordner und lädt die Konfiguration dann automatisch neu. Im Modus mit Freigabe gibt kein Failover für den primären Knoten. Bei einem Ausfall des primären Servers (z. B. durch Neustart) besteht jedoch einige Minuten lang Fehlertoleranz, da die letzte funktionsfähige Konfiguration im Connector-Prozess zwischengespeichert ist.