Citrix Gateway connector for Exchange ActiveSync

XenMobile NetScaler Connector ahora es Citrix Gateway connector for Exchange ActiveSync. Para obtener más detalles sobre los productos unificados de Citrix, consulte la guía de productos de Citrix.

El conector para ActiveSync ofrece un servicio de autorización a NetScaler en el nivel de dispositivos de los clientes ActiveSync, por lo que actúa como proxy inverso para el protocolo de Exchange ActiveSync. La autorización se controla mediante una combinación de directivas que se definen en Endpoint Management y unas reglas definidas localmente por Citrix Gateway connector for Exchange ActiveSync.

Para obtener más información, consulte ActiveSync Gateway.

Para obtener un diagrama detallado con una arquitectura como referencia, consulte Arquitectura.

La versión actual Citrix Gateway connector for Exchange ActiveSync es 8.5.2.

Novedades en la versión 8.5.2

  • XenMobile NetScaler Connector ahora es Citrix Gateway connector for Exchange ActiveSync.

Se han solucionado los problemas siguientes en esta versión:

  • Si se usa más de un criterio para definir una regla de directiva y uno de los criterios implica el ID del usuario, si un usuario tiene más de un alias, los alias no se verifican al aplicar la regla. [CXM-55355]

Novedades en versiones anteriores

Nota:

En la siguiente sección de novedades se hace referencia a Citrix Gateway connector for Exchange ActiveSync por su nombre anterior, XenMobile NetScaler Connector. El nombre cambió a partir de la versión 8.5.2.

Novedades en la versión 8.5.1.11

  • Cambio en los requisitos del sistema: La versión actual de NetScaler Connector requiere Microsoft .NET Framework 4.5.

  • Respaldo para Google Analytics: Nos gustaría saber cómo usa XenMobile NetScaler Connector para centrarnos en dónde mejorar el producto.

  • Respaldo para TLS 1.1 y 1.2: Debido a la poca seguridad que ofrece, PCI Council ha decretado TLS 1.0 como obsoleto. Se ha agregado respaldo para TLS 1.1 y 1.2 a XenMobile NetScaler Connector.

Supervisión de Citrix Gateway connector for Exchange ActiveSync

La herramienta de configuración de Citrix Gateway connector for Exchange ActiveSync ofrece un registro detallado que permite consultar todo el tráfico que pasa por el servidor Exchange Server que Secure Mobile Gateway permite o bloquea.

Use la ficha Log para ver el historial de las solicitudes de ActiveSync que se han reenviado al conector de Exchange ActiveSync para la autorización.

Además, para comprobar que el servicio Web del conector para Exchange ActiveSync se está ejecutando, puede cargar la siguiente URL en un explorador presente en el servidor del conectorhttps://<host:port>/services/ActiveSync/Version. Si la dirección URL devuelve la versión de producto como una cadena, el servicio Web funciona.

Para simular el tráfico de ActiveSync con el conector para Exchange ActiveSync

Puede utilizar Citrix Gateway connector for Exchange ActiveSync para hacer una simulación del aspecto que presentaría el tráfico de ActiveSync en combinación con las directivas. En la herramienta de configuración del conector, haga clic en la ficha Simulator. Los resultados muestran la manera en que se aplicarán las directivas en función de las reglas que haya configurado.

Selección de filtros para el conector para Exchange ActiveSync

Los filtros de Citrix Gateway connector for Exchange ActiveSync analizan un dispositivo para detectar la infracción de una directiva concreta o un parámetro de propiedad. Si el dispositivo cumple los criterios, se coloca en Device List. Esta lista de dispositivos, Device List, no es una lista de dispositivos permitidos ni bloqueados. Es una lista de los dispositivos que cumplen los criterios definidos. Los siguientes filtros están disponibles para el conector para Exchange ActiveSync en Endpoint Management. Las dos opciones para cada filtro son Permitir o Denegar.

  • Dispositivos anónimos: Permite o deniega aquellos dispositivos inscritos en Endpoint Management cuya identidad de usuario es desconocida. Por ejemplo, puede tratarse de un usuario que se haya inscrito, pero cuyas contraseñas de Active Directory estén caducadas, o bien un usuario que se ha inscrito con credenciales desconocidas.
  • Atestación de Samsung KNOX fallida: Los dispositivos Samsung tienen la funcionalidad de seguridad y diagnósticos. Este filtro proporciona la confirmación de que el dispositivo está configurado para KNOX. Para obtener más información, consulte el artículo de Endpoint Management sobre Samsung KNOX.
  • Aplicaciones prohibidas: Permite o deniega dispositivos basándose en la lista de dispositivos definida por las directivas de aplicaciones prohibidas y la presencia de esas aplicaciones.
  • Permitir / Denegar implícitamente: Crea una lista de todos los dispositivos que no cumplen ninguno de los demás criterios de regla o filtro, y permite o deniega en función de esa lista. La opción “Permitir / Denegar implícitamente” garantiza que se habilite el estado del conector para Exchange ActiveSync en la ficha “Dispositivos”, y muestra el estado del conector para los dispositivos. La opción “Permitir / Denegar implícitamente” también controla todos los demás filtros del conector que no se han seleccionado. Por ejemplo, el conector denegará (bloqueará) las aplicaciones prohibidas (en lista negra), mientras que el resto de los filtros las permitirán porque la opción “Permitir / Denegar implícitamente” está establecida en Permitir.
  • Dispositivos inactivos: Crea una lista de los dispositivos que no se han comunicado con Endpoint Management durante un período de tiempo específico. Estos dispositivos se consideran inactivos. El filtro permite o niega esos dispositivos basándose en este filtro.
  • Aplicaciones obligatorias que faltan: Cuando un usuario se inscribe, el usuario recibe una lista de las aplicaciones obligatorias que debe instalarse. El filtro “Aplicaciones obligatorias que faltan” indica que una o varias de esas aplicaciones ya no están presentes; por ejemplo, el usuario eliminó una o varias aplicaciones.
  • Aplicaciones no sugeridas: Cuando un usuario se inscribe, recibe una lista de las aplicaciones que debería instalar. El filtro “Aplicaciones no sugeridas” examina el contenido del dispositivo en busca de las aplicaciones que no están en esa lista.
  • Contraseña no conforme: Crea una lista de todos los dispositivos que no tienen código de acceso en el dispositivo.
  • Dispositivos no conformes: Permite o deniega los dispositivos que cumplen los criterios propios del departamento interno de TI. La conformidad es un valor arbitrario definido por la propiedad de dispositivo denominada “No conforme”, un marcador booleano que puede ser verdadero o falso. (Puede crear esta propiedad de forma manual y establecer su valor, o puede usar las acciones automatizadas para crear esta propiedad en un dispositivo en función de si este cumple un criterio específico.)
    • No conforme = Verdadero. Si el dispositivo no cumple los estándares de cumplimiento ni las definiciones de directivas establecidas por el departamento de TI, el dispositivo no cumple los requisitos.
    • No conforme = falso. Si el dispositivo cumple los estándares de cumplimiento y las definiciones de directivas establecidas por el departamento de TI, el dispositivo cumple los requisitos.
  • Estado revocado: Crea una lista de todos los dispositivos y permite o prohíbe dispositivos según el estado de revocación.
  • Dispositivos Android o iOS liberados por root/jailbreak. Crea una lista de todos los dispositivos marcados como liberados por rooting y permite o deniega el acceso en función de ese estado.
  • Dispositivos no administrados. Crea una lista de todos los dispositivos de la base de datos de Endpoint Management. Mobile Application Gateway debe implementarse en un modo de bloqueo.

Para configurar una conexión con Citrix Gateway connector for Exchange ActiveSync

Citrix Gateway connector for Exchange ActiveSync se comunica con Endpoint Management y otros proveedores remotos de configuración a través de servicios Web seguros.

  1. En la herramienta de configuración del conector para Exchange ActiveSync, haga clic en la ficha Config Providers y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Config Providers, en Name, escriba un nombre de usuario que tenga privilegios de administrador. Este usuario se utilizará para la autorización HTTP básica en el servidor de Endpoint Management.
  3. En Url, introduzca la dirección Web del servicio GCS de Endpoint Management. Por norma general, en el formato: https://<FQDN>/<instanceName>/services/<MagConfigService>. En el nombre MagConfigService se distinguen mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización básica de HTTP con el servidor de Endpoint Management.
  5. En Managing Host, escriba el conector para el nombre del servidor de Exchange ActiveSync.
  6. En Baseline Interval, especifique un período de tiempo para la extracción, desde Device Manager, de un conjunto de reglas dinámicas actualizadas.
  7. En Delta interval, especifique un período de tiempo para la extracción de una actualización de reglas dinámicas.
  8. En Request Timeout, especifique el intervalo de tiempo de espera para solicitudes del servidor.
  9. En Config Provider, seleccione si la instancia de servidor del proveedor de configuración proporciona la configuración de directivas.
  10. En Events Enabled, habilite esta opción si quiere que el conector para Exchange ActiveSync notifique a Endpoint Management cuando un dispositivo se bloquee. Se requiere esta opción si se utilizan reglas del conector en alguna de las acciones automatizadas de Endpoint Management.
  11. Haga clic en Save y, a continuación, haga clic en Test Connectivity para probar la conectividad entre la puerta de enlace y el proveedor de configuración. Si se produce un error de conexión, compruebe que la configuración del firewall local permite la conexión o póngase en contacto con el administrador.
  12. Si la conexión se realiza correctamente, desmarque la casilla Disabled y, a continuación, haga clic en Save.

Al agregar un nuevo proveedor de configuración, el conector para Exchange ActiveSync crea automáticamente una o más directivas asociadas a ese proveedor. Estas directivas se definen mediante una plantilla contenida en config\policyTemplates.xml, en la sección NewPolicyTemplate. Se crea una nueva directiva por cada elemento de Policy definido en esta sección.

El operador puede agregar, quitar o modificar los elementos de directiva si el elemento de Policy corresponde con la definición de esquema y las cadenas de sustitución estándar (entre llaves) no se modifican. Luego, agregue nuevos grupos para el proveedor y actualice la directiva para incluir los nuevos grupos.

Para importar una directiva desde Endpoint Management

  1. En la herramienta de configuración del conector para Exchange ActiveSync, haga clic en la ficha Config Providers y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Config Providers, en Name, escriba un nombre de usuario que se utilizará para la autorización HTTP básica con el servidor Endpoint Management y que tiene privilegios de administrador.
  3. En Url, introduzca la dirección Web del servicio Gateway Configuration Service de Endpoint Management. Por norma general, en el formato: https://<xdmHost>/xdm/services/<MagConfigService>. En el nombre MagConfigService se distinguen mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización básica de HTTP con el servidor de Endpoint Management.
  5. Haga clic en Test Connectivity para probar la conectividad entre la puerta de enlace y el proveedor de configuración. Si se produce un error de conexión, compruebe que la configuración del firewall local permite la conexión o póngase en contacto con el administrador.
  6. Cuando la conexión se realice correctamente, desmarque la casilla Disabled y, a continuación, haga clic en Save.
  7. En Managing Host, deje el nombre DNS predeterminado del equipo host local. Este parámetro se utiliza para coordinar la comunicación con Endpoint Management cuando hay varios servidores de Forefront Threat Management Gateway (TMG) configurados en una matriz.

    Después de guardar la configuración, abra GCS.

Configuración del modo de directiva de Citrix Gateway connector for Exchange ActiveSync

Citrix Gateway connector for Exchange ActiveSync se puede ejecutar en los seis modos siguientes:

  • Allow All. Este modo de directiva concede acceso a todo el tráfico que pasa por el conector para Exchange ActiveSync. No se utiliza ninguna otra regla de filtrado.
  • Deny All. Este modo de directiva bloquea el acceso a todo el tráfico que pasa por el conector para Exchange ActiveSync. No se utiliza ninguna otra regla de filtrado.
  • Static Rules: Block Mode (Modo de bloqueo). Este modo de directiva ejecuta reglas estáticas con la instrucción implícita de denegar o bloquear al final. El conector para Exchange ActiveSync bloquea aquellos dispositivos que otras reglas de filtrado no permitan.
  • Static Rules: Permit Mode (Modo de permiso). Este modo de directiva ejecuta reglas estáticas con la instrucción implícita de permitir al final. El conector para Exchange ActiveSync permite aquellos dispositivos que otras reglas de filtrado no bloqueen o denieguen.
  • Static + ZDM Rules: Block Mode (Modo de bloqueo). Este modo de directiva ejecuta primero las reglas estáticas, seguidas de las reglas dinámicas de Endpoint Management con una instrucción implícita de denegar o bloquear al final. Los dispositivos se permiten o deniegan según los filtros definidos y las reglas de Device Manager. Los dispositivos que no coincidan con las reglas y los filtros definidos se bloquean.
  • Static + ZDM Rules: Permit Mode (Modo de permiso). Este modo de directiva ejecuta primero las reglas estáticas, luego las reglas dinámicas de Endpoint Management con una instrucción implícita de permitir al final. Los dispositivos se permiten o deniegan según los filtros definidos y las reglas de Endpoint Management. Los dispositivos que no coincidan con las reglas y los filtros definidos se permiten.

El proceso del conector para Exchange ActiveSync permite o bloquea reglas dinámicas en función de identificadores únicos de ActiveSync para dispositivos iOS y dispositivos móviles de Windows recibidos desde Endpoint Management. El comportamiento de los dispositivos Android difiere según el fabricante y algunos no exponen con facilidad un ID único de ActiveSync. Para compensar, Endpoint Management envía información acerca del ID del usuario de los dispositivos Android para la decisión de permitir o bloquear. Como resultado, si un usuario tiene un solo dispositivo Android, las acciones de permitir y bloquear funcionan de la manera habitual. En cambio, si el usuario dispone de varios dispositivos Android, se permiten todos los dispositivos porque los dispositivos Android no se pueden diferenciar. Puede configurar la puerta de enlace para bloquear estáticamente esos dispositivos en función de su ActiveSyncID, si este se conoce. Esta puerta también se puede configurar para bloquear según el tipo de dispositivo o el agente de usuario.

Para especificar el modo de directiva, en la herramienta de configuración del controlador SMG, realice lo siguiente:

  1. Haga clic en la ficha Path Filters y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Path Properties, seleccione un modo de directiva de la lista Policy y, a continuación, haga clic en Save.

Puede revisar las reglas en la ficha Policies de la herramienta de configuración. Las reglas se procesan en el conector para Exchange ActiveSync de arriba a abajo. Las directivas permitidas (Allow) se muestran con una marca de verificación verde. Las directivas denegadas (Deny) se muestran con un círculo rojo atravesado por una línea. Para actualizar la pantalla y ver las reglas actualizadas, haga clic en Refresh. También puede modificar el orden de las reglas en el archivo config.xml.

Para probar las reglas, haga clic en la ficha Simulator. Especifique los valores de los campos. Estos también se pueden obtener a partir de los registros. Aparecerá un mensaje de resultados con la especificación Allow o Block.

Para configurar reglas estáticas

Introduzca reglas estáticas con valores que lean los filtros ISAPI de las solicitudes HTTP de conexión ActiveSync. Con las reglas estáticas, el conector para Exchange ActiveSync puede permitir o bloquear el tráfico mediante los criterios siguientes:

  • User. El conector para Exchange ActiveSync usa la estructura del nombre y el valor del usuario autorizado capturado durante la inscripción del dispositivo. Generalmente, se encuentra como dominio\nombre_de_usuario, como consta en el servidor que ejecuta Endpoint Management conectado a Active Directory a través de LDAP. La ficha Log que contiene la herramienta de configuración del conector mostrará los valores que pasen a través de este. Los valores pasan si la estructura de esos valores es diferente o debe determinarse.
  • Deviceid (ActiveSyncID). También conocido como ActiveSyncID del dispositivo conectado. Este valor se suele encontrar en la página de propiedades del dispositivo específico, en la consola de Endpoint Management. Este valor también se puede consultar desde la ficha Log, en la herramienta de configuración del conector para Exchange ActiveSync.
  • DeviceType. El conector para Exchange ActiveSync puede determinar si el dispositivo es un iPhone, un iPad, o cualquier otro tipo de dispositivo; puede permitirlos o bloquearlos basándose en esos criterios. En cuanto a otros valores, la herramienta de configuración del conector puede revelar todos los tipos de dispositivos conectados que se están procesando para la conexión ActiveSync.
  • UserAgent. Contiene información sobre el cliente de ActiveSync que se utiliza. En la mayoría de los casos, el valor especificado corresponde a una versión y compilación determinadas de sistema operativo para la plataforma del dispositivo móvil.

La herramienta de configuración del conector para Exchange ActiveSync que se ejecuta en el servidor siempre administra las reglas estáticas.

  1. En la herramienta de configuración del controlador SMG, haga clic en la ficha Static Rules y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Static Rule Properties, especifique los valores a usar como criterios. Por ejemplo, puede indicar un usuario al que permitir el acceso si escribe el nombre del usuario (por ejemplo, AllowedUser) y si, a continuación, desmarca la casilla Disabled.
  3. Haga clic en Guardar.

    La regla estática está ahora activada. Además, puede usar expresiones regulares para definir los valores, pero debe habilitar el modo de procesamiento de reglas en el archivo config.xml.

Para configurar reglas dinámicas

En Endpoint Management, las directivas y las propiedades de dispositivo definen las reglas dinámicas y pueden desencadenar un filtro dinámico para el conector para Exchange ActiveSync. La activación ocurre en caso de infracción de una directiva o un parámetro de propiedad. Los filtros del conector para Exchange ActiveSync analizan un dispositivo para detectar la infracción de una directiva concreta o un parámetro de propiedad. Si el dispositivo cumple los criterios, se coloca en Device List. Esta lista Device List no es una lista de dispositivos permitidos ni bloqueados. Es una lista de los dispositivos que cumplen los criterios definidos. Con las siguientes opciones de configuración, puede definir si quiere permitir o denegar los dispositivos de Device List mediante el conector para Exchange ActiveSync.

Nota:

Debe usar la consola de Endpoint Management para configurar las reglas dinámicas.

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en ActiveSync Gateway. Aparecerá la página ActiveSync Gateway.

  3. En Activar las reglas siguientes, seleccione las reglas que quiera activar.

  4. En “Solo Android”, haga clic en en Enviar usuarios de dominio Android a ActiveSync Gateway para que Endpoint Management envíe información de dispositivos Android a Secure Mobile Gateway.

    Si esta opción está habilitada, Endpoint Management envía información de dispositivos Android al conector para Exchange ActiveSync en el caso de que Endpoint Management no disponga del identificador de ActiveSync correspondiente al usuario del dispositivo Android.

Para configurar directivas personalizadas con la edición del archivo XML del conector para Exchange ActiveSync

En la herramienta de configuración del conector para Exchange ActiveSync, puede ver las directivas básicas en la configuración predeterminada de la ficha Policies. Si quiere crear directivas personalizadas, puede modificar el archivo de configuración XML de Citrix Gateway connector for Exchange ActiveSync (config\config.xml).

  1. Busque la sección PolicyList en el archivo y, a continuación, agregue un nuevo elemento Policy.
  2. Si también se requiere un nuevo grupo (por ejemplo, otro grupo estático un grupo para respaldar otro proveedor GCP), agregue el nuevo elemento Group a la sección GroupList.
  3. Si quiere, puede cambiar el orden de los grupos dentro de una directiva existente. Para ello, reorganice los elementos de GroupRef.

Configuración del archivo XML del conector para Exchange ActiveSync

El conector para Exchange ActiveSync utiliza un archivo de configuración XML para dictar las acciones del conector. Entre otras entradas, en el archivo se especifica el grupo de archivos y las acciones asociadas que el filtro tendrá en cuenta y realizará al evaluar solicitudes HTTP. De forma predeterminada, el archivo se denomina config.xml y se encuentra en la siguiente ubicación: ..\Archivos de programa\Citrix\XenMobile NetScaler Connector\config.

Nodos GroupRef

Los nodos de GroupRef definen los nombres de los grupos lógicos. Los valores predeterminados son AllowGroup y DenyGroup.

Nota:

Es importante el orden de aparición de los nodos GroupRef en el nodo GroupRefList.

El valor de ID de un nodo GroupRef identifica un contenedor lógico o una colección de miembros, que se utilizan para hacer coincidir dispositivos o cuentas de usuario específicos. Los atributos de la acción especifican cómo tratará el filtro a un miembro que coincida con una regla de la colección. Por ejemplo, un dispositivo o cuenta de usuario que coincida con una regla del conjunto AllowGroup podrá “pasar”. En este caso, “pasar” significa que se le permitirá acceder a Exchange CAS. En cambio, un dispositivo o cuenta de usuario que coincida con una regla del conjunto DenyGroup será “rechazada”. En este caso, “rechazar” significa que no se le permitirá acceder a Exchange CAS.

Cuando un dispositivo o una cuenta de usuario determinados, o bien una combinación, cumplen las reglas de ambos grupos, se usa una convención de precedencia para dirigir el resultado de la solicitud. La precedencia se expresa en el orden de los nodos GroupRef en el archivo config.xml de arriba a abajo. Los nodos GroupRef están clasificados por orden de prioridad. Las reglas de una condición determinada del grupo Allow (Permitir) siempre prevalecerán sobre las reglas de la misma condición en el grupo Deny (Denegar).

Nodos Group

Además, el archivo config.xml define los nodos Group. Estos nodos enlazan los contenedores lógicos AllowGroup y DenyGroup a archivos XML. Las entradas almacenadas en los archivos externos forman la base de las reglas de filtrado.

Nota:

En esta versión, solo se admiten los archivos XML externos.

La instalación predeterminada implementa dos archivos XML en la configuración: allow.xml y deny.xml.

Configuración de Citrix Gateway connector for Exchange ActiveSync

Puede configurar Citrix Gateway connector for Exchange ActiveSync para bloquear o permitir solicitudes de ActiveSync de forma selectiva, en función de las siguientes propiedades: Active Sync Service ID, Device type, User Agent (sistema operativo del dispositivo), Authorized user, y ActiveSync Command.

La configuración predeterminada admite una combinación de grupos estáticos y dinámicos. Debe mantener grupos estáticos mediante la herramienta de configuración del controlador SMG. Los grupos estáticos pueden constar solo de las categorías conocidas de los dispositivos, como, por ejemplo, todos los dispositivos con un agente determinado de usuario.

Una fuente externa, llamada Gateway Configuration Provider (Proveedor de configuración de la puerta de enlace) mantiene los grupos dinámicos. El conector para Exchange ActiveSync conecta los grupos de forma periódica. Con Endpoint Management puede exportar grupos de dispositivos y usuarios permitidos y bloqueados al conector para Exchange ActiveSync.

Los grupos dinámicos se mantienen mediante un recurso externo llamado Gateway Configuration Provider (proveedor de configuración de puerta de enlace). El conector para Exchange ActiveSync recopila esos grupos de forma periódica. Con Endpoint Management puede exportar grupos de dispositivos y usuarios permitidos y bloqueados al conector.

Una directiva es una lista ordenada de grupos, donde cada grupo tiene asociada una acción (permitir o bloquear), además de una lista de los miembros del grupo. Una directiva puede tener una cantidad infinita de grupos. El orden de los grupos en una directiva es importante porque, cuando se encuentra una coincidencia, se realiza la acción del grupo, y los demás grupos no se evalúan.

Un miembro define la manera de coincidir con las propiedades de una solicitud. Se puede coincidir con una sola propiedad, como ID de dispositivo, o con varias propiedades, como el tipo de dispositivo y el agente de usuario.

Selección de un modelo de seguridad para Citrix Gateway connector for Exchange ActiveSync

Establecer un modelo de seguridad es esencial para una buena implementación de dispositivos móviles en organizaciones de cualquier tamaño. Es frecuente utilizar un control de red protegida o en cuarentena para permitir el acceso a un usuario, un equipo o un dispositivo de forma predeterminada. Sin embargo, esta práctica no es siempre la más adecuada. Cada organización que administra la seguridad de TI puede tener un enfoque diferente o adaptado a la seguridad de los dispositivos móviles.

La misma lógica se aplica a la seguridad de los dispositivos móviles. Utilizar un modelo permisivo es una mala elección debido a la gran cantidad de: dispositivos móviles y sus tipos, dispositivos móviles por usuario, así como aplicaciones y plataformas de sistemas operativos disponibles. En la mayoría de las organizaciones, el modelo restrictivo sería la elección más lógica.

Los tipos de configuración que permite Citrix para integrar el conector para Exchange ActiveSync con Endpoint Management son:

Modelo permisivo (Permit mode)

El modelo de seguridad permisivo estipula que, de forma predeterminada, se permite o se concede acceso a todo. Solo se bloqueará el acceso a algo y se aplicará una restricción si existen reglas y filtros. El modelo de seguridad permisivo es una buena opción para organizaciones con un criterio de seguridad de dispositivos móviles relativamente laxo. Ese modelo solo aplica controles restrictivos para denegar el acceso cuando corresponda (si falla una regla de directiva).

Modelo restrictivo (Block Mode)

El modelo de seguridad restrictivo estipula que, de forma predeterminada, no se permite o no se concede acceso a nada. Todo lo que pasa por el punto de control de seguridad se filtra y se comprueba; se le deniega el acceso a menos que las reglas de acceso lo permitan. El modelo de seguridad restrictivo es una buena opción para organizaciones con un criterio de seguridad de dispositivos móviles relativamente estricto. Este modo solo concede acceso para uso y funciones con los servicios de red cuando todas las reglas de acceso lo permitan.

Administración de Citrix Gateway connector for Exchange ActiveSync

Puede utilizar Citrix Gateway connector for Exchange ActiveSync para crear reglas de control de acceso. Las reglas permiten o bloquean el acceso a las solicitudes de conexión de ActiveSync provenientes de los dispositivos administrados. El acceso se concede en función del estado del dispositivo, las aplicaciones permitidas o prohibidas u otras condiciones de cumplimiento.

Con la herramienta de configuración del conector para Exchange ActiveSync, puede generar reglas dinámicas y estáticas que apliquen directivas de correo electrónico de empresa, por lo que podrá bloquear a los usuarios que infrinjan las normas. También puede configurar el cifrado de datos adjuntos de correo electrónico, de modo que todos esos datos que pasen a través del servidor Exchange hacia los dispositivos administrados se cifren y solo se puedan ver en dispositivos administrados por usuarios autorizados.

Para desinstalar XenMobile NetScaler Connector

  1. Ejecute XncInstaller.exe con una cuenta de administrador.
  2. Siga las instrucciones que aparecen en la pantalla para completar la desinstalación.

Para instalar, actualizar o desinstalar el conector para Exchange ActiveSync

  1. Ejecute XncInstaller.exe con una cuenta de administrador para instalar el conector para Exchange ActiveSync o para permitir la actualización o la eliminación de un conector existente.
  2. Siga las instrucciones en pantalla para completar la instalación, la actualización o la desinstalación.

Después de instalar el conector para Exchange ActiveSync, debe reiniciar manualmente el servicio de notificación y el servicio de configuración de Endpoint Management.

Desinstalación de Citrix Gateway connector for Exchange ActiveSync

Puede instalar el conector para Exchange ActiveSync en su propio servidor o en el mismo servidor donde se ha instalado Endpoint Management.

Puede plantearse instalar el conector para Exchange ActiveSync en su propio servidor (separado de Endpoint Management) por los siguientes motivos:

  • Si el servidor Endpoint Management está alojado de forma remota en la nube (ubicación física).
  • Si no quiere que el conector para Exchange ActiveSync se vea afectado por los reinicios del servidor Endpoint Management (disponibilidad).
  • Si quiere que los recursos del sistema de un servidor se dediquen totalmente al conector para Exchange ActiveSync (rendimiento).

La carga de la CPU que pone el conector para Exchange ActiveSync en un servidor depende de la cantidad de dispositivos administrados. Una recomendación general es aprovisionar un núcleo de CPU adicional si el conector se implementa en el mismo servidor que Endpoint Management. En caso de una gran cantidad de dispositivos (más de 50 000), puede que necesite aprovisionar más núcleos si no dispone de un entorno en clústeres. La superficie de memoria del conector no es lo suficientemente significativa como para garantizar una memoria adicional.

Requisitos del sistema de Citrix Gateway connector for Exchange ActiveSync

Citrix Gateway connector for Exchange ActiveSync se comunica con NetScaler a través de un puente SSL configurado en el dispositivo NetScaler. Ese puente permite al dispositivo pasar todo el tráfico seguro directamente a Endpoint Management. El conector para Exchange ActiveSync requiere la siguiente configuración mínima de sistema:

Componente Requisito
Equipo y procesador Procesador Pentium III de 733 MHz o más. Procesador Pentium III de 2,0 GHz o más (recomendado)
NetScaler Dispositivo NetScaler con la versión 10 de software
Memoria 1 GB
Disco duro Partición local con formato NTFS, con 150 MB de espacio disponible en disco duro
Sistema operativo Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008 SP2, Microsoft Windows Server 2012 R2
Otros dispositivos Un adaptador de red compatible con el sistema operativo del host para la comunicación con la red interna
Microsoft .NET Framework La versión 8.5.1.11 requiere Microsoft .NET Framework 4.5.
Mostrar Monitor VGA o de mayor resolución

El equipo host del conector para Exchange ActiveSync requiere el siguiente espacio mínimo disponible en el disco duro:

  • Aplicación: De 10 a 15 MB (se recomienda 100 MB)
  • Captura de registros: 1 GB (se recomienda 20 GB)

Para obtener más información acerca de la compatibilidad de plataformas para el conector para Exchange ActiveSync, consulte Sistemas operativos respaldados.

Clientes de correo electrónico del dispositivo

No todos los clientes de correo electrónico devuelven el mismo ID de ActiveSync para un dispositivo. Debido a que el conector para Exchange ActiveSync espera un ID de ActiveSync único para cada dispositivo, solo se admiten los clientes de correo electrónico que generan constantemente el mismo y único ID de ActiveSync para cada dispositivo. Citrix ha realizado pruebas sin errores con estos clientes de correo electrónico:

  • Cliente de correo electrónico nativo de HTC
  • Cliente de correo electrónico nativo de Samsung
  • Cliente de correo electrónico nativo de iOS
  • TouchDown

Implementación de Citrix Gateway connector for Exchange ActiveSync

El conector para Exchange ActiveSync permite utilizar NetScaler para redirigir mediante proxy y equilibrar la carga de la comunicación entre Endpoint Management y los dispositivos administrados. El conector para Exchange ActiveSync se comunica periódicamente con Endpoint Management para sincronizar directivas. El conector para Exchange ActiveSync y Endpoint Management se pueden agrupar en clústeres (ya sea en un mismo clúster o en clústeres diferentes), y NetScaler puede equilibrar su carga.

Componentes del conector para Exchange ActiveSync

  • Servicio del conector para Exchange ActiveSync: Este servicio ofrece una interfaz de servicio Web REST que se puede invocar mediante NetScaler para determinar si se autoriza una solicitud de ActiveSync desde un dispositivo.
  • Servicio de configuración de Endpoint Management: Este servicio se comunica con Endpoint Management para sincronizar los cambios de directivas de Endpoint Management con el conector para Exchange ActiveSync.
  • Servicio de notificaciones de Endpoint Management: Este servicio envía notificaciones a Endpoint Management acerca de accesos de dispositivos no autorizados. De esta forma, Endpoint Management puede tomar las medidas adecuadas, como notificar al usuario el motivo del bloqueo del dispositivo.
  • Herramienta de configuración del conector para Exchange ActiveSync: Esta aplicación permite al administrador configurar y supervisar el conector para Exchange ActiveSync.

Para configurar las direcciones de escucha de Citrix Gateway connector for Exchange ActiveSync

Para que Citrix Gateway connector for Exchange ActiveSync reciba solicitudes desde NetScaler para autorizar el tráfico ActiveSync, debe: Especificar el puerto en el que el conector para Exchange ActiveSync escucha las llamadas al servicio Web de NetScaler.

  1. En el menú Inicio, seleccione la herramienta de configuración del conector para Exchange ActiveSync.
  2. Haga clic en la ficha Web Service y, a continuación, escriba las direcciones de escucha para el servicio Web del conector. Puede seleccionar HTTP, HTTPS o ambos. Si el conector para Exchange ActiveSync y Endpoint Management están instalados en el mismo servidor, seleccione puertos que no entren en conflicto con Endpoint Management.
  3. Después de configurar los valores, haga clic en Save y, a continuación, haga clic en Start Service para iniciar el servicio Web.

Para configurar las directivas de control de acceso de dispositivo en Citrix Gateway connector for Exchange ActiveSync

Para configurar la directiva de control de acceso que quiere aplicar a los dispositivos administrados, haga lo siguiente:

  1. En la herramienta de configuración del conector para Exchange ActiveSync, haga clic en la ficha Path Filters.
  2. Seleccione la primera fila Microsoft-Server-ActiveSync is for ActiveSync y, a continuación, haga clic en Edit.
  3. En la lista Policy, seleccione la directiva pertinente. Para una directiva que incluya las directivas de Endpoint Management, seleccione Static + ZDM: Permit Mode o Static + ZDM: Block Mode. Estas directivas combinan reglas locales (o estáticas) con las reglas de Endpoint Management. El modo Permit Mode significa que se permite el acceso a ActiveSync por parte de todos los dispositivos no identificados específicamente mediante reglas. En cambio, el modo Block Mode significa que todos esos dispositivos serán bloqueados.
  4. Después de establecer las directivas, haga clic en Save.

Para configurar la comunicación con Endpoint Management

Especifique el nombre y las propiedades del servidor Endpoint Management (también llamado Config Provider) que quiere utilizar con Citrix Gateway connector for Exchange ActiveSync y NetScaler.

Nota: En esta tarea se presupone que usted ya tiene Endpoint Management instalado y configurado.

  1. En la herramienta de configuración del conector para Exchange ActiveSync, haga clic en la ficha Config Providers y, a continuación, haga clic en Add.
  2. Indique el nombre y la dirección URL del servidor Endpoint Management utilizado en esta implementación. Si dispone de varios servidores Endpoint Management implementados en una implementación multiarrendatario, este nombre debe ser único para cada instancia de servidor. Por ejemplo, en Name, podría escribir CEM.
  3. En Url, introduzca la dirección Web de GlobalConfig Provider (GCP) de Endpoint Management. Por norma general, en el formato: https://<FQDN>/<instanceName>/services/<MagConfigService>. En el nombre MagConfigService se distinguen mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización básica de HTTP con el servidor Web de Endpoint Management.
  5. En Managing Host, introduzca el nombre del servidor donde se instaló el conector para Exchange ActiveSync.
  6. En Baseline Interval, especifique un período de tiempo para la extracción, desde Endpoint Management, de un conjunto de reglas dinámicas actualizadas.
  7. En Request Timeout, especifique el intervalo de tiempo de espera para solicitudes del servidor.
  8. En Config Provider, seleccione si la instancia de servidor de Config Provider proporciona la configuración de directivas.
  9. Habilite la opción Events Enabled si quiere que Secure Mobile Gateway notifique a Endpoint Management cuando se bloquee un dispositivo. Se requiere esta opción si se utilizan reglas de Secure Mobile Gateway en alguna de las acciones automatizadas de Endpoint Management.
  10. Una vez configurado el servidor, haga clic en Test Connectivity para comprobar la conexión con Endpoint Management.
  11. Cuando se haya establecido la conectividad, haga clic en Save.

Implementación de Citrix Gateway connector for Exchange ActiveSync para la redundancia y escalabilidad

Si quiere ampliar la implementación de Citrix Gateway connector for Exchange ActiveSync y Endpoint Management, puede instalar instancias del conector para Exchange ActiveSync en varios servidores Windows que señalen a la misma instancia de Endpoint Management. Puede utilizar NetScaler para equilibrar la carga de los servidores.

La configuración del conector para Exchange ActiveSync cuenta con dos modos:

  • En el modo no compartido (non-shared mode), cada instancia del conector para Exchange ActiveSync se comunica con un servidor Endpoint Management y mantiene su propia copia privada de la directiva resultante. Por ejemplo, si tiene un clúster de servidores Endpoint Management, puede ejecutar una instancia del conector en cada servidor Endpoint Management, y el conector obtendría las directivas desde la instancia local de Endpoint Management.
  • En modo compartido, un nodo del conector para Exchange ActiveSync es designado como nodo principal. El conector se comunica con Endpoint Management. La configuración resultante se comparte entre los demás nodos, ya sea mediante una replicación de Windows o un recurso compartido de red Windows (o de terceros).

Toda la configuración del conector para Exchange ActiveSync se encuentra en una carpeta (de varios archivos XML). El proceso del conector detecta los cambios en los archivos de esta carpeta y vuelve a cargar automáticamente la configuración. No hay ninguna conmutación por error para el nodo principal en el modo compartido. Sin embargo, el sistema puede tolerar que el servidor principal esté inactivo durante unos minutos (por ejemplo, para reiniciarse) porque la última configuración válida conocida se almacena en caché en el proceso del conector.