Product Documentation

Reglas de control de acceso

Mar 02, 2017
XenMobile Mail Manager ofrece un enfoque basado en reglas para configurar de forma dinámica el control del acceso a los dispositivos Exchange ActiveSync. Una regla de control de acceso de XenMobile Mail Manager está compuesta de dos partes: una expresión correspondiente y un estado de acceso deseado (Permitir o Bloquear). Una regla se puede cotejar con un dispositivo Exchange ActiveSync concreto para determinar si se le puede aplicar (es decir, si corresponde al dispositivo). Hay varios tipos de expresiones correspondientes. Por ejemplo: una regla puede corresponderse con todos los dispositivos de un determinado tipo o un ID de Exchange ActiveSync o todos los dispositivos de un usuario concreto, entre otros.

En cualquier momento durante el proceso de agregar, quitar y cambiar el orden de las reglas en la lista de reglas, puede hacer clic en el botón Cancel para revertir la lista de reglas al estado en que estaba al abrirla. A menos que haga clic en Save, los cambios realizados en esta ventana se perderán si cierra la herramienta de configuración.

XenMobile Mail Manager contiene tres tipos de reglas: reglas locales, reglas del servidor XenMobile, (también conocidas como reglas de Device Manager) y la regla del acceso predeterminado.

Reglas locales.Las reglas locales tienen la prioridad más alta: Si un dispositivo coincide con una regla local, el proceso de cotejo de reglas se detiene. No se consultarán ni las reglas del servidor XenMobile ni la regla del acceso predeterminado. Las reglas locales se configuran localmente en XenMobile Mail Manager, desde la ficha Configure > Access Rules > Local Rules. La correspondencia de apoyo se basa en la pertenencia de un usuario de un grupo determinado de Active Directory. La correspondencia de apoyo se basa en expresiones regulares de los siguientes campos:

  • ID del dispositivo ActiveSync
  • Tipo de dispositivo ActiveSync
  • Nombre principal de usuario (UPN)
  • Agente del usuario de ActiveSync (normalmente, la plataforma del dispositivo o el cliente de correo electrónico)

Mientras una instantánea principal se complete y encuentre dispositivos, podrá agregar reglas, ya sean de expresión regular o normal. Si no se completa ninguna instantánea principal, solo podrá agregar reglas de expresión regular.

Reglas del servidor XenMobile.Las reglas de servidor XenMobile hacen referencia a un servidor externo de XenMobile que proporciona reglas de dispositivos administrados. El servidor XenMobile se puede configurar con sus propias reglas de alto nivel, que identifican aquellos dispositivos que se van a permitir o a bloquear en función de las propiedades que conozca XenMobile, como, por ejemplo, si el dispositivo se ha liberado por jailbreak o si contiene aplicaciones prohibidas. XenMobile coteja las reglas de alto nivel y genera un conjunto de identificadores de dispositivos ActiveSync permitidos o bloqueados. Después, estos ID se entregan a XenMobile Mail Manager.

Regla del acceso predeterminado. La regla del acceso predeterminado es única en que es una correspondencia potencial con todos los dispositivos y siempre se coteja la última. Esta es una regla comodín, lo que significa que, si un dispositivo determinado no coincide con ninguna regla local o del servidor XenMobile, el estado del acceso al dispositivo lo determina el estado de la regla del acceso predeterminado.

  • Acceso predeterminado – Permitir. Se permitirá el acceso de cualquier dispositivo que no coincida con una regla local o del servidor XenMobile.
  • Acceso predeterminado – Bloquear. Se bloqueará el acceso de cualquier dispositivo que no coincida con una regla local o del servidor XenMobile.
  • Acceso predeterminado - Sin cambios. XenMobile Mail Manager no modificará el estado de acceso de un dispositivo que no coincida con una regla local o del servidor XenMobile. Si Exchange ha puesto un dispositivo en el modo de cuarentena, no se realiza ninguna acción; por ejemplo, la única forma de quitar un dispositivo del modo de cuarentena es tener una regla local o XDM que ignore explícitamente la cuarentena.

Acerca de los cotejos de reglas

Las reglas se cotejan siguiendo un orden (de mayor a menor prioridad) con cada dispositivo sobre el que Exchange informa a XenMobile Mail Manager:

  • Reglas locales
  • Reglas del servidor XenMobile
  • Regla del acceso predeterminado

Cuando se encuentra una correspondencia, el cotejo se detiene. Por ejemplo: si una regla local coincide con un dispositivo determinado, este no se cotejará con ninguna regla del servidor XenMobile ni con la regla del acceso predeterminado. Esto también se da en el caso de un tipo concreto de regla. Por ejemplo, si hay más de una correspondencia en la lista de reglas de un dispositivo concreto, el cotejo se detiene tan pronto como se encuentre la primera correspondencia.

XenMobile Mail Manager vuelve a cotejar el conjunto de reglas definido cuando cambian las propiedades del dispositivo, cuando se agregan o quitan dispositivos o cuando cambian las reglas en sí. Las instantáneas principales pueden elegir cambios y eliminaciones de las propiedades de dispositivo a intervalos que se pueden configurar. Las instantáneas secundarias eligen dispositivos nuevos a intervalos que se pueden configurar.

Exchange ActiveSync también tiene reglas que controlan el acceso. Es importante entender la manera en que funcionan estas reglas en el contexto de XenMobile Mail Manager. Exchange se puede configurar con tres niveles de reglas: exenciones personales, reglas de dispositivos y parámetros de organización. XenMobile Mail Manager automatiza el control del acceso por la emisión, mediante programación, de solicitudes remotas de PowerShell que afectan a las listas de excepciones personales. Se trata de listas de identificadores de dispositivos Exchange ActiveSync permitidos o bloqueados asociados a un buzón de correo determinado. Cuando XenMobile Mail Manager se implementa, asume la capacidad de administración de las listas de exención en Exchange. Para obtener más información, consulte este artículo de Microsoft.

El análisis es especialmente útil en situaciones en que se han definido varias reglas para el mismo campo. Puede detectar problemas potenciales de las relaciones entre las reglas. El análisis se realiza con respecto a los campos de reglas; por ejemplo, las reglas se analizan en grupos basados en el campo correspondiente, como el ID del dispositivo ActiveSync, el tipo de dispositivo ActiveSync, el usuario y el agente de usuario, entre otros.

Terminología referente a las reglas:

  • Overriding rule (Regla de invalidación). Se produce una invalidación cuando hay más de una regla que se podría aplicar al mismo dispositivo. Como las reglas se cotejan por prioridad en la lista, es posible que las últimas instancias de reglas que se podrían aplicar nunca se cotejen.
  • Conflicting rule (Regla en conflicto). El conflicto se produce cuando hay más de una regla que se podría aplicar al mismo dispositivo, pero el acceso (permitir o bloquear) no se corresponde. Si las reglas conflictivas no son de expresión regular, un conflicto siempre tiene la connotación implícita de una invalidación.
  • Supplemental rule (Regla adicional). Se produce una adición cuando hay varias reglas de expresión regular y, por lo tanto, es posible que necesite comprobar que las dos (o más) expresiones regulares se pueden combinar en una sola regla de expresión regular, o bien deberá comprobar que no dupliquen la funcionalidad. Una regla adicional también puede entrar en conflicto en el acceso (permitir o bloquear).
  • Primary rule (Regla primaria). La regla primaria es aquella sobre la que se ha hecho clic en el cuadro de diálogo. La regla está indicada visualmente por una línea de borde sólido que la rodea. La regla también tiene una o dos flechas verdes que apuntan hacia arriba o hacia abajo. Si una flecha apunta arriba, indica que hay reglas auxiliares que preceden la regla primaria. Si una flecha apunta abajo, indica que hay reglas auxiliares que siguen a la regla primaria. Solo una regla primaria puede estar activa en un momento dado.
  • Ancillary rule (Regla auxiliar). Una regla auxiliar está relacionada con la regla primaria, ya sea por invalidación, por conflicto o por reglas adicionales. Las reglas se indican visualmente con un borde discontinuo que las rodea. Puede haber entre una y varias reglas auxiliares por cada regla primaria. Al hacer clic en una entrada subrayada, las reglas auxiliares marcadas siempre se marcan con respecto a la regla primaria. Por ejemplo: la regla primaria invalidará la regla auxiliar, y/o la regla auxiliar entrará en conflicto en el acceso con la regla primaria, y/o la regla auxiliar complementará la regla primaria.

Aspecto de los tipos de reglas en el cuadro del análisis de reglas

Cuando no haya conflictos, invalidaciones o complementaciones, el cuadro Rule Analysis no contendrá entradas subrayadas. Hacer clic en alguno de los elementos no tiene ningún efecto: solo se habrá seleccionado el elemento de la manera habitual.

La ventana Rule Analysis (análisis de reglas) tiene una casilla de verificación que, marcada, muestra únicamente las reglas con conflictos, invalidaciones, redundancias y complementaciones.  

Cuando se produzca una invalidación, se subrayarán al menos dos reglas: la primaria y las auxiliares. Al menos una regla auxiliar aparecerá con una fuente más atenuada para indicar que se ha reemplazado por otra regla de mayor prioridad. Puede hacer clic en la regla invalidada para averiguar qué regla o reglas la han invalidado. Cada vez que se marque una regla como invalidada, ya sea porque es la primaria o porque es la auxiliar, aparecerá un círculo negro junto a ella, a modo de indicación más visual de que la regla está inactiva. Por ejemplo, antes de hacer clic en la regla, el cuadro aparecerá de la siguiente manera:

 

 

Cuando haga clic en la regla de mayor prioridad, el cuadro aparecerá de la siguiente manera:

 



En este ejemplo, la regla de expresión regular WorkMail.* es la regla primaria (indicada con el borde sólido) y la regla normal workmailc633313818 es una regla auxiliar (indicada con el borde discontinuo). El punto negro junto a la regla auxiliar es una indicación visual de que la regla está inactiva (nunca se cotejará) debido a la regla de expresión regular de mayor prioridad que la precede. Después de hacer clic en la regla invalidada, el cuadro aparecerá de la siguiente manera:

 


 

En el ejemplo anterior, la regla de expresión regular WorkMail.* es la regla auxiliar (indicada con el borde discontinuo) y la regla normal workmailc633313818 es la regla primaria (indicada con el borde sólido). En este sencillo ejemplo, no hay mucha diferencia. Para un ejemplo más complejo, consulte el ejemplo de expresión compleja más adelante en este apartado. En un entorno con varias reglas definidas, hacer clic en la regla invalidada identificaría rápidamente las reglas que la han invalidado.

Cuando se produzca un conflicto, se subrayarán al menos dos reglas: la primaria y la(s) auxiliar(es). Las reglas en conflicto se indican con un punto de color rojo. Aquellas reglas que solo entren en conflicto una con otra solo se dan cuando hay dos o más reglas de expresión regular definidas. En todos los demás casos de conflictos, no solo hay un conflicto, sino también una invalidación. Antes de hacer clic en las reglas, en un ejemplo sencillo, el cuadro aparecerá de la siguiente manera:

 


 

Tras examinar las dos reglas de expresiones regulares, es evidente que la primera regla permite el acceso a todos aquellos dispositivos con un ID de dispositivo que contenga "App" y la segunda regla niega el acceso a todos aquellos dispositivos con un ID de dispositivo que contenga "Appl". Además, aunque la segunda regla rechaza todos los dispositivos con un ID de dispositivo que contenga "Appl", no se negará el acceso a ningún dispositivo que se corresponda con ese criterio por la prioridad más alta de la regla que permite el acceso. Después de hacer clic en la primera regla, el cuadro aparecerá de la siguiente manera:

 


 

En este caso, tanto la regla primaria (la regla de expresión regular App.*) como la regla auxiliar (la regla de expresión regular Appl.*) se resaltan en amarillo. Este es simplemente un elemento visual que sirve para advertirle de que ha aplicado más de una regla de expresión regular a un único campo correspondiente, lo que puede derivar en un problema de redundancia o algo más grave.

En un caso de conflicto e invalidación, la regla primaria (regla de expresión regular App.*) y la regla auxiliar (regla de expresión regular Appl.*) se resaltan en amarillo. Este es simplemente un elemento visual que sirve para advertirle de que ha aplicado más de una regla de expresión regular a un único campo correspondiente, lo que puede derivar en un problema de redundancia o algo más grave.

 


 

En el ejemplo anterior, es fácil observar que la primera regla (regla de expresión regular SAMSUNG.*) no solo invalida la siguiente regla (regla normal SAMSUNG-SM-G900A/101.40402), sino que las dos reglas se diferencian en su acceso (la primaria especifica Permitir, mientras que la auxiliar especifica Bloquear). La segunda regla (regla normal SAMSUNG-SM-G900A/101.40402) aparece con un texto más atenuado para indicar que se ha invalidado y está, por lo tanto, inactiva.

Después de hacer clic en la regla de expresión regular, el cuadro aparecerá de la siguiente manera:

 


 

La regla primaria (regla de expresión regular SAMSUNG.*) va seguida de un punto rojo para indicar que su estado de acceso está en conflicto con una o varias reglas auxiliares. La regla auxiliar (regla normal SAMSUNG-SM-G900A/101.40402) va seguida de un punto rojo para indicar que su estado de acceso está en conflicto con la regla primaria. También va seguida de un punto negro para indicar que se ha invalidado y está inactiva.

Se subrayan al menos dos reglas: la primaria y la(s) auxiliar(es). Las reglas que solo se complementan entre ellas solo pueden ser reglas de expresión regular. Cuando las reglas se complementan entre ellas, se indican con una capa de color amarillo. Antes de hacer clic en las reglas, en un ejemplo sencillo, el cuadro aparecerá de la siguiente manera:

 


 

Tras echar un vistazo, es evidente que ambas reglas son de expresión regular y que se han aplicado al campo de ID de dispositivo ActiveSync en XenMobile Mail Manager. Después de hacer clic en la primera regla, el cuadro aparecerá de la siguiente manera:

 


 

La regla primaria (regla de expresión regular WorkMail.*) está resaltada con una capa amarilla para indicar que hay al menos una regla auxiliar adicional que es una expresión regular. La regla auxiliar (regla de expresión regular SAMSUNG.*) está resaltada en amarillo para indicar que ella y la regla primaria son reglas de expresión regular que se aplican al mismo campo en XenMobile Mail Manager; en este caso, el campo de ID de dispositivo ActiveSync. Las expresiones regulares pueden o no pueden superponerse. Le corresponde a usted decidir si sus expresiones regulares se han elaborado correctamente.

Ejemplo de una expresión compleja

Se pueden producir tantos conflictos, invalidaciones o complementaciones que no se puede ofrecer un ejemplo para todos los casos posibles. En el siguiente ejemplo, se describe lo que no se recomienda hacer y también se ilustra el verdadero potencial de la construcción visual del análisis de reglas. En la siguiente imagen, la mayoría de los elementos están subrayados. Muchos de los elementos se representan con una fuente más atenuada que otras, lo que indica que la regla en cuestión se ha invalidado por una regla de mayor prioridad. También se han incluido en la lista reglas de expresión regular, indicadas con el icono .

 


 

Cómo analizar una invalidación

Para ver qué regla o reglas han invalidado una regla determinada, haga clic en la regla.

Ejemplo 1. En este ejemplo, se examina por qué zentrain01@zenprise.com se ha invalidado.

 


 

La regla primaria (regla del grupo de AD zenprise/TRAINING/ZenTraining B, de la que zentrain01@zenprise.com es miembro) tiene las siguientes características:

  • Está resaltada en azul y tiene un borde sólido.
  • Tiene una flecha verde que apunta hacia arriba (para indicar que las reglas auxiliares están todas encima de ella).
  • Va seguida de un círculo rojo y uno negro para indicar, respectivamente, que una o más reglas están en conflicto con el acceso y que la regla primaria se ha invalidado y, por lo tanto, está inactiva.

Si se desplaza hacia arriba, verá lo siguiente:

 


 

En este caso, hay dos reglas auxiliares que invalidan la regla primaria: la regla de expresión regular zen.* y la regla normal zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). En el caso de la última regla auxiliar, lo que ha ocurrido es que la regla del grupo de Active Directory ZenTraining A contiene el usuario zentrain01@zenprise.com y la regla del grupo de Active Directory de ZenTraining B también contiene el usuario zentrain01@zenprise.com. La regla auxiliar, por tener una prioridad mayor, ha invalidado la regla primaria. El acceso de la regla primaria es Permitir y, como el acceso de ambas reglas auxiliares es Bloquear, todas van seguidas de un círculo rojo para indicar un conflicto de acceso.

Ejemplo 2. En este ejemplo, se muestra por qué se ha invalidado el dispositivo con el ID de dispositivo ActiveSync 069026593E0C4AEAB8DE7DD589ACED33:

 


 

La regla primaria (regla normal de ID de dispositivo 069026593E0C4AEAB8DE7DD589ACED33) tiene las siguientes características:

  • Está resaltada en azul y tiene un borde sólido.
  • Tiene una flecha verde que apunta hacia arriba (para indicar que la regla auxiliar está encima de ella).
  • Va seguida de un círculo negro para indicar que una regla auxiliar ha invalidado la primaria y, por lo tanto, está inactiva.

 


 

En este caso, una sola regla auxiliar invalida la regla primaria: la regla de ID de dispositivo ActiveSync de expresión regular 3E.*. Como la expresión regular 3E.* se correspondería con 069026593E0C4AEAB8DE7DD589ACED33, la regla primaria no se cotejará nunca.

Cómo analizar una complementación y un conflicto

En este caso, la regla primaria es regla de tipo de dispositivo ActiveSync de expresión regular touch.*. Las características son las siguientes:

  • Está indicada con un borde sólido y una capa amarilla a modo de advertencia de que hay más de una regla de expresión regular y solo un campo de regla concreto (en este caso: tipo de dispositivo ActiveSync).
  • Una flecha que apunta hacia arriba y otra que apunta hacia abajo, lo que indica que hay al menos una regla auxiliar con mayor prioridad y al menos una regla auxiliar con menor prioridad.
  • El círculo rojo situado junto a ella indica que hay al menos una regla auxiliar con el acceso establecido en Permitir, lo que está en conflicto con la regla primaria, cuyo acceso es Bloquear.
  • Hay dos reglas auxiliares: la regla de tipo de dispositivo ActiveSync de expresión regular SAM.* y la regla de tipo de dispositivo ActiveSync de expresión regular Andro.*.
  • Ambas reglas tienen bordes discontinuos para indicar que son auxiliares.
  • Ambas reglas auxiliares tienen una capa amarilla para indicar que se aplican de forma complementaria al campo de regla de tipo de dispositivo ActiveSync.
  • Debe comprobar, en estos casos, que las reglas de expresión regular no sean redundantes.

 


 

Cómo analizar las reglas al detalle

En este ejemplo, se describe cómo las relaciones entre reglas se dan siempre con respecto a la regla primaria. En el ejemplo anterior, se ha mostrado cómo un clic en la regla de expresión regular se aplicaba al campo de regla de tipo de dispositivo con el valor touch.*. Al hacer clic en la regla auxiliar Andro.*, se muestra un conjunto diferente de reglas auxiliares resaltadas.

 


 

El ejemplo muestra una regla invalidada que se incluye en la relación de las reglas. Esta regla es la regla normal de tipo de dispositivo ActiveSync Android, que se ha invalidado (situación indicada con la fuente más atenuada y el círculo negro junto a ella) y también está en conflicto con el acceso de la regla primaria de tipo de dispositivo ActiveSync de expresión regular Andro.*; esa regla era anteriormente una regla auxiliar antes de que se hiciera clic en ella. En el ejemplo anterior, la regla normal de tipo de dispositivo ActiveSync Android no aparecía como una regla auxiliar porque, con respecto a la entonces regla primaria (la regla de tipo de dispositivo ActiveSync de expresión regular touch.*), no estaba relacionada con ella.

Para configurar una regla local de expresión normal

  1. Haga clic en la ficha Access Rules
     

  2. En la lista Device ID, seleccione el campo para el que quiere crear una regla local.
  3. Haga clic en el icono de lupa para ver todas las correspondencias únicas con el campo seleccionado. En este ejemplo, se ha seleccionado el campo Device Type, y las opciones se muestran a continuación, en el cuadro de lista. 
     

  4. Haga clic en uno de los elementos de la lista de resultados y, a continuación, haga clic en una de las siguientes opciones:
    • Allow significa que Exchange se configurará para permitir el tráfico de ActiveSync en todos los dispositivos que se correspondan.
    • Deny significa que Exchange se configurará para denegar el tráfico de ActiveSync en todos los dispositivos que se correspondan.

    En este ejemplo, se ha denegado el acceso a todos los dispositivos que tienen un tipo de dispositivo TouchDown.

     

Para agregar una expresión regular

Las reglas locales de expresión regular se distinguen por el icono que aparece junto a ellas - . Para agregar una regla de expresión regular, puede crear una regla de expresión regular a partir de un valor existente de la lista de resultados de un campo determinado (siempre que se haya completado una instantánea principal), o bien puede, simplemente, escribir la expresión regular que quiera.

Para crear una expresión regular a partir de un valor de campo existente

  1. Haga clic en la ficha Access Rules.

  2. En la lista Device ID, seleccione el campo para el que quiere crear una regla local de expresión regular.
  3. Haga clic en el icono de lupa para ver todas las correspondencias únicas con el campo seleccionado. En este ejemplo, se ha seleccionado el campo Device Type, y las opciones se muestran a continuación, en el cuadro de lista.

  4. Haga clic en uno de los elementos de la lista de resultados. En este ejemplo, se ha seleccionado SAMSUNGSPHL720 y aparece en el cuadro de texto adyacente a Device Type
     

  5. Para permitir el acceso a todos los tipos de dispositivos que contengan "Samsung" en su valor de tipo de dispositivo, siga estos pasos para agregar una regla de expresión regular:
    1. Haga clic en el cuadro de texto del elemento seleccionado.
    2. Cambie el texto de SAMSUNGSPHL720 a SAMSUNG.*
    3. Compruebe que la casilla de verificación regular expression está marcada.
    4. Haga clic en Allow.

     

Para crear una regla de acceso

  1. Haga clic en la ficha Local Rules.
  2. Para escribir la expresión regular, deberá usar la lista Device ID y el cuadro de texto del elemento seleccionado.

  3. Seleccione el campo con el que corresponderse. En este ejemplo, se utiliza Device Type.
  4. Escriba la expresión regular. En este ejemplo, se utiliza samsung.*.
  5. Compruebe que la casilla de verificación regular expression está marcada y, a continuación, haga clic en Allow o Deny. En este ejemplo, la opción es Allow para que el resultado final sea el siguiente:
     

Para buscar dispositivos

Al marcar la casilla "regular expression", puede realizar búsquedas de dispositivos específicos que se corresponden con la expresión indicada. Esta función solo está disponible si una instantánea principal se ha completado correctamente. Puede usar esta función incluso si no planea utilizar reglas de expresión regular. Por ejemplo, supongamos que quiere buscar todos los dispositivos que contienen el texto "workmail" en el ID de sus dispositivos ActiveSync. Para ello, siga este procedimiento.

  1. Haga clic en la ficha Access Rules.
  2. Compruebe que el selector del campo de correspondencia del dispositivo es Device ID (opción predeterminada). 
     

  3. Haga clic en el cuadro de texto del elemento seleccionado (como se muestra en azul en la imagen anterior) y escriba workmail.*.
  4. Compruebe que la casilla de verificación regular expression está marcada y, a continuación, haga clic en el icono de lupa para ver los resultados, tal y como se muestra en la siguiente imagen. 
     

Para agregar un usuario individual, un dispositivo o un tipo de dispositivo a una regla

Puede agregar reglas estáticas basadas en el usuario, el ID de dispositivo o el tipo de dispositivo en la ficha ActiveSync Devices.
  1. Haga clic en la ficha ActiveSync Devices.
  2. En la lista, haga clic con el botón secundario en un usuario, un dispositivo o un tipo de dispositivo, y seleccione si permitir o denegar la selección.

    En la imagen siguiente, se muestra la opción de permitir o denegar cuando el usuario1 está seleccionado.