Conector de Endpoint Management para Exchange ActiveSync

XenMobile Mail Manager es ahora un conector de Endpoint Management para Exchange ActiveSync. Para obtener más detalles sobre la cartera unificada de Citrix, consulta la guía de productos de Citrix.

El conector amplía las capacidades de XenMobile® de las siguientes maneras:

• Control de acceso dinámico para dispositivos Exchange ActiveSync (EAS). Se puede permitir o bloquear automáticamente el acceso de los dispositivos EAS a los servicios de Exchange.
• La capacidad de XenMobile para acceder a la información de asociación de dispositivos EAS proporcionada por Exchange.
• La capacidad de XenMobile para borrar un dispositivo móvil según el estado de EAS.
• La capacidad de XenMobile para acceder a información sobre dispositivos Blackberry y para realizar operaciones de control como Borrar y Restablecer contraseña.

Para borrar un dispositivo según el estado de EAS, configura una acción automatizada con un desencadenador de ActiveSync. Consulta Acciones automatizadas.

Para descargar el conector de Endpoint Management para Exchange ActiveSync:

1. Ve a https://www.citrix.com/downloads.
2. Navega hasta Citrix Endpoint Management™ (and Citrix XenMobile Server) > XenMobile Server (on-premises) > Product Software > XenMobile Server 10 > Server Components.
3. En el mosaico de Citrix Endpoint Management connector for Exchange ActiveSync, haz clic en Download File.

Importante:

A partir de octubre de 2022, los conectores de Endpoint Management y Citrix Gateway para Exchange ActiveSync ya no serán compatibles con Exchange Online, dados los cambios de autenticación anunciados por Microsoft aquí. El conector de Endpoint Management para Exchange sigue funcionando con Microsoft Exchange Server (local).

Novedades

Las siguientes secciones enumeran las novedades del conector de Endpoint Management para Exchange ActiveSync, anteriormente XenMobile Mail Manager.

Novedades de la versión 10.1.10

Se han corregido los siguientes problemas en la versión 10.1.10:

• Los clientes que experimentan problemas de red frecuentes puede que no puedan completar una instantánea dentro de los tres intentos proporcionados anteriormente. Con esta versión, un administrador puede configurar el número máximo de intentos (1-10). Esta corrección permite que una instantánea sufra múltiples interrupciones en la comunicación sin abandonar el proceso de instantánea por completo. [CXM-70837]
• En versiones anteriores, el tipo de instantánea no aparecía en la lista de configuraciones de Exchange. Ahora, el tipo de instantánea aparece. [CXM-70846]
• La excepción PSRemotingTransport notificada por PowerShell indica que la sesión con Exchange ya no es viable. El estado se agrega a la lista de Errores críticos en el archivo de configuración de forma predeterminada. De este modo, cuando se detecta la PSRemotingTransportException, la conexión se marca como en Error para su posterior eliminación. La siguiente comunicación utiliza una conexión válida o crea una conexión. [XMHELP-2184, CXM-70836]
• Cuando se guarda un cambio de configuración, es posible que no todos los componentes internos configurados previamente se hayan eliminado correctamente antes de cargar la nueva configuración. Este problema podría provocar un comportamiento impredecible. El comportamiento depende del cambio específico y de si el cambio entraba en conflicto con la configuración anterior. En esta versión, todos los componentes internos se eliminan antes de cargar la nueva configuración. [XMHELP-2259, CXM-71388]

Novedades en versiones anteriores

La siguiente sección enumera las características y los problemas corregidos en versiones anteriores del conector de Endpoint Management para Exchange ActiveSync.

Novedades de la versión 10.1.9

Se han corregido los siguientes problemas en la versión 10.1.9:

• Los cambios de configuración ahora se gestionan de forma más coherente. Cuando el servicio detecta un cambio en la configuración, cada subsistema interno se detiene, lo que significa que cualquier procesamiento activo o programado se interrumpe. A continuación, se carga la nueva configuración y los subsistemas se inician de nuevo, lo que significa que todos los programas y otras infraestructuras internas se restablecen con la nueva configuración. Este problema corrige un problema conocido en la versión 10.1.8. [CXM-47709, CXM-61330]
• Durante una actualización, la configuración de la base de datos existente no se fusionaba con el nuevo archivo de configuración. La configuración de la base de datos ahora se fusiona con el archivo de configuración actualizado. [CXM-49326]
• En los archivos de diagnóstico relacionados con las instantáneas, faltaban los encabezados de columna. Los encabezados se han restaurado. [CXM-62680]
• Al actualizar desde una versión anterior, la sección de valores predeterminados del archivo de configuración se sobrescribía con la sección análoga del archivo de configuración en uso. Este problema impedía que el servicio cargara las adiciones o mejoras a la sección de valores predeterminados después de la actualización. A partir de esta versión, la sección de valores predeterminados siempre refleja la última configuración. [CXM-62681]

• Los administradores ya no pueden acceder a ciertas opciones pulsando Mayús al ejecutar la aplicación. Estas opciones estaban disponibles anteriormente con el permiso de Citrix. Algunas opciones ahora están totalmente disponibles, como Permitir redirección, y otras, como Detección de bloqueo y Corrección de recuento, están obsoletas. [CXM-62767]

  

Novedades de la versión 10.1.8

Se han corregido los siguientes problemas en la versión 10.1.8:

• Es posible que Exchange limite el conector de Citrix Endpoint Management para el servicio Exchange ActiveSync para que no emita comandos con demasiada frecuencia. Esto es común en las conexiones a Office 365. El efecto de la limitación requiere que el servicio se pause durante un período especificado antes de enviar el siguiente comando. La consola de Configuración ahora muestra la cantidad de tiempo restante en la pausa. [CXM-48044]
• Cuando se realizan modificaciones en las secciones “Watchdog” o “SpecialistsDefaults” del archivo de configuración (config.xml), los cambios no se reflejan en el archivo de configuración después de una actualización. Con esta versión, las modificaciones se fusionan correctamente en el nuevo archivo de configuración. [CXM-52523]
• Se han añadido más detalles a los análisis enviados a Google Analytics, especialmente en lo que respecta a las instantáneas. [CXM-56691]
• La función de prueba de conectividad de Exchange intentaría inicializar la conexión solo una vez. Dado que las conexiones de Office 365 pueden estar limitadas, era posible que una prueba de conectividad pareciera fallar cuando se limitaba. El conector de Citrix Endpoint Management para Exchange ActiveSync ahora intenta iniciar una conexión hasta tres veces. [CXM-58180]
• Para aplicar políticas en Exchange, el conector de Citrix Endpoint Management para Exchange ActiveSync debe compilar un comando Set-CASMailbox que incluya todos los dispositivos pertinentes para cada buzón, en dos listas: permitir y bloquear. Si un dispositivo no se incluye en ninguna de las listas, Exchange vuelve a su estado de acceso predeterminado. Si ese estado de acceso predeterminado es diferente del estado deseado para un dispositivo, ese dispositivo deja de cumplir las normas. En consecuencia, un usuario podría perder el acceso a su correo electrónico si el estado de acceso predeterminado de Exchange está bloqueado y debería estar permitido. O bien, a un usuario cuyo acceso al correo electrónico debería estar bloqueado se le podría conceder acceso. El conector de Citrix Endpoint Management para Exchange ActiveSync ahora garantiza que todos los dispositivos con un estado deseado válido se incluyan en cada comando Set-CasMailbox. [CXM-61251]

Se conoce el siguiente problema en la versión 10.1.8:

Si un administrador realiza un cambio en la aplicación Configurar que modifica los datos de configuración, mientras el servicio realiza operaciones de larga duración, como una instantánea o una evaluación de políticas, el servicio podría entrar en un estado indeterminado. Un posible síntoma podría ser que los cambios de política no se procesen o que las instantáneas no se inicien. Para que el servicio vuelva a un estado de funcionamiento, debe reiniciarse. Es posible que debas usar el administrador de servicios de Windows para terminar el proceso del servicio antes de iniciarlo. [CXM-61330]

Novedades de la versión 10.1.7

• XenMobile Mail Manager es ahora un conector de Endpoint Management para Exchange ActiveSync.
• Hemos dejado de usar la opción Deshabilitar canalización en el cuadro de diálogo de configuración de Exchange. Puedes lograr la misma funcionalidad configurando varios pasos para cada comando en el archivo config.xml. [CXM-54593]

Se han corregido los siguientes problemas en la versión 10.1.7:

• En la ventana Historial de instantáneas, los mensajes de error podrían mostrarse con poco contexto. Ahora, los mensajes de error se prefijan con el contexto de dónde ocurrieron. [CXM-49157]
• El archivo XmmGoogleAnalytics .dll no tenía la versión de archivo correspondiente para la versión. [CXM-52518]
• Para mejorar los diagnósticos, recientemente cambiamos el formato de cadena para una lista de ID de dispositivo utilizados para establecer un estado de buzón Permitido/Bloqueado. Sin embargo, una especificación de demasiados dispositivos excedía el tamaño máximo de cadena. Ahora, usamos una estructura de datos de matriz interna. Esta estructura no tiene un límite de tamaño y también formatea los datos de forma adecuada para fines de diagnóstico. [CXM-52610]
• Cuando se detectan políticas de dispositivos que no están sincronizadas con Exchange, sus comandos pueden incluir dispositivos que no pertenecen al buzón relevante. El conector de Endpoint Management para Exchange ActiveSync ahora garantiza que los comandos a Exchange representen solo los dispositivos que pertenecen a sus respectivos buzones. [CXM-54842]
• En algunos entornos, un ensamblado de Microsoft no está disponible. El ensamblado requerido ahora se instala explícitamente con la aplicación. [CXM-55439]
• Si los nombres distinguidos de los dispositivos o buzones tienen espacios entre el nombre del atributo y el signo igual, y/o espacios después del signo igual y antes del valor, el conector de Endpoint Management para Exchange ActiveSync podría no coincidir correctamente con un dispositivo con su buzón y viceversa. El resultado podría ser que algunos dispositivos y/o buzones sean rechazados durante la conciliación de la instantánea. [CXM-56088]

Nota:

Las siguientes secciones se refieren al conector de Endpoint Management para Exchange ActiveSync por su antiguo nombre de XenMobile Mail Manager. El nombre cambió a partir de la versión 10.1.7.

Actualización en la versión 10.1.6.20

Una actualización a la versión 10.1.6 contiene la siguiente corrección en la versión 10.1.6.20:

• Cuando se detectan políticas de dispositivos que no están sincronizadas con Exchange, sus comandos pueden incluir dispositivos que no pertenecen al buzón relevante. XenMobile Mail Manager ahora garantiza que los comandos a Exchange representen solo los dispositivos que pertenecen a sus respectivos buzones. [CXM-54842]

Novedades de la versión 10.1.6

La versión 10.1.6 de XenMobile Mail Manager contiene los siguientes problemas corregidos y mejoras:

• La ventana del historial de instantáneas, a veces, entra en un estado en el que ya no se actualiza. Se ha mejorado el mecanismo de actualización de las ventanas para que se actualicen de forma más fiable. [CXM-47983]
• Se utilizaron dos modos y rutas de código separados para las instantáneas particionadas y no particionadas. Dado que las instantáneas no particionadas son equivalentes a las instantáneas particionadas con una configuración que utiliza una única partición “*”, se elimina el modo de instantánea no particionada. El modo de instantánea predeterminado ahora son instantáneas particionadas con 36 particiones (0-9, A-Z). [CXM-49093]
• En la ventana Historial de instantáneas, los mensajes de error son sobrescritos por los mensajes de estado. Ahora, XenMobile Mail Manager proporciona dos campos separados para que los usuarios puedan ver el estado y los errores simultáneamente. [CXM-51942]
• Al conectarse a Exchange Online (Office 365), las consultas relacionadas con las instantáneas pueden dar como resultado un conjunto de datos truncado. Este problema puede ocurrir cuando XenMobile Mail Manager ejecuta un script canalizado de múltiples comandos. El comando ascendente no puede pasar los datos lo suficientemente rápido al comando descendente, que luego completa el trabajo prematuramente. Como resultado, se producen datos incompletos. XenMobile Mail Manager ahora puede imitar la propia canalización y esperar hasta que el comando ascendente haya terminado antes de invocar el comando descendente. Este cambio debería dar como resultado que todos los datos se procesen y capturen. [CXM-52280]
• Si se produce un error no resoluble en un comando de actualización de política a Exchange, el mismo comando se devuelve a la cola de trabajo repetidamente durante un largo período. Esta situación provocó que el comando se enviara a Exchange muchas veces. En esta versión de XenMobile Mail Manager, un comando que da como resultado un error solo se devuelve a la cola de trabajo un número discreto de veces. [CXM-52633]
• Si una actualización de política para un buzón específico implicaba permitir o bloquear todos los dispositivos: el comando Set-CASMailbox emitido fallaría debido a que la lista vacía se convertía en una cadena vacía en lugar de un NULL. Ahora se envían los datos correctos. [CXM-53759]
• Al procesar un nuevo dispositivo, Exchange puede devolver el estado como “DeviceDiscovery” durante un tiempo (normalmente 15 minutos). XenMobile Mail Manager no estaba manejando específicamente este estado. XenMobile Mail Manager ahora maneja el estado. En la ficha Monitor de la interfaz de usuario, los usuarios pueden filtrar los dispositivos en este estado. [CXM-53840]
• XenMobile Mail Manager no comprobaba la capacidad de escribir en la base de datos de XenMobile Mail Manager. En consecuencia, si los permisos estaban restringidos, el comportamiento no se puede predecir. XenMobile Mail Manager ahora captura y valida los permisos requeridos de la base de datos. XenMobile Mail Manager indica permisos reducidos al probar la conexión (mensaje mostrado) o en el indicador de base de datos (pasa el ratón por encima para ver el mensaje) en la parte inferior de la ventana principal de Configuración. [CXM-54219]
• Dependiendo de la carga de trabajo actual, cuando se le indica, el servicio XenMobile Mail Manager podría no detenerse rápidamente. Por lo tanto, el servicio parece estar en un estado que no responde. Las mejoras permiten que las tareas en curso se interrumpan, lo que resulta en un apagado más elegante. [CXM-54282]

Novedades de la versión 10.1.5

La versión 10.1.5 de XenMobile Mail Manager contiene los siguientes problemas corregidos:

• Cuando Exchange aplica la limitación a la actividad de XenMobile Mail Manager, no hay ninguna indicación (fuera de los registros) de que se esté produciendo la limitación. Con esta versión, un usuario puede pasar el ratón por encima de la instantánea activa y aparece un estado de “limitación”. Además, mientras XenMobile Mail Manager está siendo limitado, el inicio de una instantánea importante está prohibido hasta que Exchange levante el embargo de limitación. [CXM-49617]
• Si XenMobile Mail Manager está siendo limitado por Exchange durante una instantánea importante: es posible que no se permita transcurrir un tiempo suficiente antes de ejecutar el siguiente intento de instantánea. Este problema da como resultado una mayor limitación y una instantánea fallida. XenMobile Mail Manager ahora espera un mínimo del tiempo que Exchange especifica para esperar entre intentos de instantánea. [CXM-49618]
• Cuando los diagnósticos están habilitados, el archivo de comandos muestra comandos Set-CasMailbox que tienen guiones faltantes antes de cada nombre de propiedad. Este problema solo ocurre en el formato del archivo de diagnóstico y no en el comando real a Exchange. El guion faltante impide que un usuario corte el comando y lo pegue directamente en un símbolo del sistema de PowerShell para realizar pruebas o validaciones. Se han añadido los guiones. [CXM-52520]
• Si la identidad de un buzón tiene el formato “apellido, nombre”, Exchange agrega una barra invertida antes de la coma al devolver datos de una consulta. Esta barra invertida debe eliminarse cuando XenMobile Mail Manager usa la identidad para consultar más datos. [CXM-52635]

Limitaciones conocidas

Nota:

La siguiente limitación se resuelve en la versión 10.1.6.

XenMobile Mail Manager tiene una limitación conocida que puede provocar que los comandos a Exchange fallen. Para aplicar cambios de política en Exchange, XenMobile Mail Manager emite un comando Set_CASMailbox. Este comando puede tomar dos listas de dispositivos: una para Permitir y otra para Bloquear. El comando se aplica a los dispositivos asociados con un buzón.

Estas listas están limitadas a 256 caracteres cada una por la API de Microsoft. Si una de esas listas excede la limitación, el comando falla por completo, impidiendo que se establezcan todas las políticas para esos dispositivos del buzón. El error notificado, que aparecerá en los registros de XenMobile Mail Manager, se vería así. El ejemplo es para la lista de bloqueados.

“Message:'Cannot bind parameter 'ActiveSyncBlockedDeviceIDs' to the target. Exception setting "ActiveSyncBlockedDeviceIDs": "The length of the property is too long. The maximum length is 256 and the length of the value provided is …”
<!--NeedCopy-->

La longitud de los ID de dispositivo puede variar, pero una buena pauta es que aproximadamente 10 o más dispositivos permitidos o bloqueados simultáneamente podrían exceder el límite. Aunque tener tantos dispositivos asociados a un buzón específico es raro, es una posibilidad. Hasta que XenMobile Mail Manager se mejore para manejar tal escenario, te recomendamos que limites el número de dispositivos asociados a un usuario y buzón a 10 o menos. [CXM-52633]

Novedades de la versión 10.1.4

La versión 10.1.4 de XenMobile Mail Manager contiene los siguientes problemas corregidos:

• Debido a su seguridad debilitada, el Consejo PCI está desaprobando TLS 1.0. Se ha añadido soporte para TLS 1.1 y 1.2 a XenMobile Mail Manager. [CXM-38573, CXM-32560]
• XenMobile Mail Manager incluye un nuevo archivo de diagnóstico. Cuando se selecciona Habilitar diagnósticos en la especificación de Exchange, se genera un nuevo archivo de Historial de instantáneas. Con cada intento de instantánea, se añade una línea al archivo con los resultados de la instantánea. [CXM-49631]
• En el archivo de diagnóstico de Comandos, la lista de dispositivos permitidos o bloqueados no aparecía para el comando Set-CASMailbox. En su lugar, se mostraba el nombre de la clase interna en el archivo para los argumentos relacionados. XenMobile Mail Manager ahora muestra la lista de ID de dispositivo como una lista separada por comas. [CXM-50693]
• Cuando un intento de adquirir una conexión a Exchange falla debido a una especificación incorrecta: El mensaje de error es sobrescrito por un mensaje incorrecto: “Todas las conexiones en uso”. Ahora aparecen mensajes más descriptivos, como “Todas las conexiones están inoperables”, “El grupo de conexiones está vacío”, “Todas las conexiones están limitadas” y “No hay conexiones disponibles”. [CXM-50783]
• A veces, los comandos Permitir/Bloquear/Borrar se ponen en cola en la caché interna de XenMobile Mail Manager varias veces. Este problema provoca un retraso en el envío del comando a Exchange. XenMobile Mail Manager ahora solo pone en cola una instancia de cada comando. [CXM-51524]

Novedades de la versión 10.1.3

• Soporte para Google Analytics: Queremos saber cómo usas XenMobile Mail Manager para poder centrarnos en cómo mejorar el producto.
• Configuración para habilitar diagnósticos: Una casilla de verificación Habilitar diagnóstico aparece en la consola de Configuración en el cuadro de diálogo Configuración.

Problemas corregidos en la versión 10.1.3

• En la ventana Historial de instantáneas, las descripciones emergentes que muestran el estado actual de la instantánea no reflejan el estado real. [CXM-5570] Ocasionalmente, XenMobile Mail Manager no puede escribir en el archivo de diagnóstico de Comandos. Cuando esto ocurre, el historial de comandos no se registra por completo. [CXM-49217]
• Cuando ocurre un error con una conexión, es posible que la conexión no se marque como “con error”. Como resultado, un comando posterior podría intentar usar la conexión y causar otro error. [CXM-49495]
• Cuando se produce una limitación por parte del servidor Exchange, se puede lanzar una excepción en la rutina de Comprobación de estado. Como resultado, las conexiones que han experimentado un error o han caducado podrían no ser purgadas. Además, XenMobile Mail Manager podría no crear conexiones hasta que expire el tiempo de limitación. [CXM-49794]
• Cuando se excede el número máximo de sesiones para Exchange, XenMobile Mail Manager informa del error “Error en la captura del dispositivo”, que no es un mensaje preciso. En su lugar, el mensaje debería indicar que las dos sesiones que XenMobile Mail Manager usa normalmente para la comunicación con Exchange están en uso. [CXM-49994]

Novedades de la versión 10.1.2

• Conexión mejorada a Exchange: XenMobile Mail Manager usa sesiones de PowerShell para comunicarse con Exchange. Una sesión de PowerShell, especialmente al tratar con Office 365, puede volverse inestable después de un tiempo, impidiendo que los comandos posteriores tengan éxito. XenMobile Mail Manager ahora puede establecer un período de caducidad para las conexiones. Cuando la conexión alcanza su tiempo de caducidad, XenMobile Mail Manager cierra la sesión de PowerShell de forma controlada y crea una sesión. Al hacerlo, es menos probable que la sesión de PowerShell se vuelva inestable, lo que reduce significativamente la posibilidad de un fallo en la instantánea.
• Flujo de trabajo de instantáneas mejorado: Las instantáneas principales son una operación que consume mucho tiempo y recursos. Si ocurre un error durante una instantánea, XenMobile Mail Manager ahora intenta varias veces (hasta tres) completar una instantánea. Los intentos posteriores no comienzan desde el principio. XenMobile Mail Manager continúa desde donde lo dejó. Esta mejora aumenta la tasa de éxito de las instantáneas en general al permitir que los errores transitorios pasen mientras una instantánea aún está en curso.
• Diagnósticos mejorados: La resolución de problemas de las operaciones de instantáneas es ahora más fácil con tres nuevos archivos de diagnóstico generados opcionalmente durante una instantánea. Estos archivos ayudan a identificar problemas de comandos de PowerShell, buzones con información faltante y dispositivos que no se pueden relacionar con un buzón. Un administrador puede usar estos archivos para identificar datos que podrían no ser correctos en Exchange.
• Uso de memoria mejorado: XenMobile Mail Manager es ahora más eficiente en su uso de la memoria. Los administradores pueden programar XenMobile Mail Manager para que se reinicie automáticamente y así proporcionar un estado limpio al sistema.
• Requisito previo de Microsoft .NET Framework 4.6: El requisito previo para Microsoft .NET Framework es ahora la versión 4.6.

Problemas corregidos

• Error de solicitud de credenciales: La inestabilidad de la sesión de Office 365 a menudo causaba este error. La mejora de la Conexión mejorada a Exchange aborda el problema. (XMHELP-293, XMHELP-311, XMHELP-801)
• Inexactitudes en el recuento de buzones y dispositivos: XenMobile Mail Manager tiene un algoritmo mejorado de asociación de buzones a dispositivos. La función de Diagnósticos mejorados ayuda en la identificación de buzones y dispositivos que XenMobile Mail Manager considera que no están dentro de su ámbito de responsabilidad. (XMHELP-623)
• Comandos Permitir/Bloquear/Borrar no reconocidos: Se corrigió un error por el cual, a veces, los comandos de permitir/bloquear/borrar de XenMobile Mail Manager no se reconocían. (XMHELP-489)
• Gestión de memoria: Mejor gestión y mitigación de la memoria. (XMHELP-419)

Arquitectura

La siguiente figura muestra los componentes principales del conector de Endpoint Management para Exchange ActiveSync. Para un diagrama de arquitectura de referencia detallado, consulta Arquitectura.

Los tres componentes principales son:

• Gestión de control de acceso de Exchange ActiveSync: Se comunica con XenMobile para recuperar una política de Exchange ActiveSync de XenMobile, y fusiona esta política con cualquier política definida localmente para determinar los dispositivos de Exchange ActiveSync a los que se debe permitir o denegar el acceso a Exchange. La política local permite extender las reglas de política para permitir el control de acceso por Grupo de Active Directory, Usuario, Tipo de dispositivo o Agente de usuario del dispositivo (generalmente la versión de la plataforma móvil).
• Gestión remota de PowerShell: Responsable de programar e invocar comandos remotos de PowerShell para aplicar la política compilada por la Gestión de control de acceso de Exchange ActiveSync. Periódicamente toma una instantánea de la base de datos de Exchange ActiveSync para detectar dispositivos de Exchange ActiveSync nuevos o modificados.
• Proveedor de servicios móviles: Proporciona una interfaz de servicio web para que XenMobile pueda consultar Exchange ActiveSync, consultar dispositivos Blackberry y emitir operaciones de control como Borrar contra dispositivos ActiveSync y Blackberry.

Requisitos del sistema y requisitos previos

Se requieren los siguientes requisitos mínimos del sistema para usar el conector de Endpoint Management para Exchange ActiveSync:

• Windows Server 2016, Windows Server 2012 R2 o Windows Server 2008 R2 Service Pack 1. Debe ser un servidor basado en inglés. El soporte para Windows Server 2008 R2 Service Pack 1 finaliza el 14 de enero de 2020 y el soporte para Windows Server 2012 R2 finaliza el 10 de octubre de 2023.
• Microsoft SQL Server 2016 Service Pack 2 o SQL Server 2014 Service Pack 3.
• Microsoft .NET Framework 4.6.
• Blackberry Enterprise Service, versión 5 (opcional).

Versiones mínimas compatibles de Microsoft Exchange Server:

• Microsoft Office 365
• Exchange Server 2016
• Exchange Server 2013 (el soporte finaliza el 11 de abril de 2023)
• Exchange Server 2010 Service Pack 3 (el soporte finaliza el 14 de enero de 2020)

Requisitos previos

• Windows Management Framework debe estar instalado.
  • PowerShell V5, V4 y V3
• La política de ejecución de PowerShell debe establecerse en RemoteSigned mediante Set-ExecutionPolicy RemoteSigned.

• El puerto TCP 80 debe estar abierto entre el equipo que ejecuta el conector de Endpoint Management para Exchange ActiveSync y el servidor Exchange remoto.

• Clientes de correo electrónico de dispositivos: No todos los clientes de correo electrónico devuelven de forma consistente el mismo ID de ActiveSync para un dispositivo. Dado que el conector de Endpoint Management para Exchange ActiveSync espera un ID de ActiveSync único para cada dispositivo, solo se admiten los clientes de correo electrónico que generan de forma consistente los mismos ID de ActiveSync únicos para cada dispositivo. Citrix ha probado estos clientes de correo electrónico sin errores:

  • Cliente de correo electrónico nativo de Samsung
  • Cliente de correo electrónico nativo de iOS

• Exchange: Los requisitos para el equipo local que ejecuta Exchange son los siguientes:

  Las credenciales especificadas en la interfaz de usuario de Configuración de Exchange deben poder conectarse al servidor Exchange y tener acceso completo para ejecutar los siguientes cmdlets de PowerShell específicos de Exchange.

  • Para Exchange Server 2010 SP2:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Para Exchange Server 2013 y Exchange Server 2016:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Si el conector de Endpoint Management para Exchange ActiveSync está configurado para ver todo el bosque, se debe haber concedido permiso para ejecutar: Set-AdServerSettings -ViewEntireForest $true
  • Las credenciales proporcionadas deben haber recibido el derecho de conectarse al servidor Exchange a través del Shell remoto. Por defecto, el usuario que instaló Exchange tiene este derecho.
  • Para establecer una conexión remota y ejecutar comandos remotos, las credenciales deben corresponder a un usuario que sea administrador en la máquina remota. Puedes usar Set-PSSessionConfiguration para eliminar el requisito administrativo, pero la discusión de ese comando está fuera del alcance de este documento. Para obtener más información, consulta el artículo de Microsoft Acerca de las configuraciones de sesión.
  • El servidor Exchange debe estar configurado para admitir solicitudes remotas de PowerShell a través de HTTP. Normalmente, un administrador que ejecute el siguiente comando de PowerShell en el servidor Exchange es todo lo que se requiere: WinRM QuickConfig.
  • Exchange tiene muchas políticas de limitación. Una de las políticas controla cuántas conexiones simultáneas de PowerShell se permiten por usuario. El número predeterminado de conexiones simultáneas permitidas para un usuario es 18 en Exchange 2010. Cuando se alcanza el límite de conexiones, el conector de Endpoint Management para Exchange ActiveSync no puede conectarse al servidor Exchange. Hay formas de cambiar el número máximo de conexiones simultáneas permitidas a través de PowerShell que están fuera del alcance de esta documentación. Si te interesa, investiga las políticas de limitación de Exchange relacionadas con la gestión remota con PowerShell.

Requisitos para Office 365 Exchange

• Permisos: Las credenciales especificadas en la interfaz de usuario de Configuración de Exchange deben poder conectarse a Office 365 y tener acceso completo para ejecutar los siguientes cmdlets de PowerShell específicos de Exchange:
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-MobileDevice
  • Get-MobileDeviceStatistics
  • Clear-MobileDevice
  • Get-ExchangeServer
  • Get-ManagementRole
  • Get-ManagementRoleAssignment
• Privilegios: Las credenciales proporcionadas deben haber recibido el derecho de conectarse al servidor de Office 365 a través del Shell remoto. Por defecto, el administrador en línea de Office 365 tiene los privilegios necesarios.
• Políticas de limitación: Exchange tiene muchas políticas de limitación. Una de las políticas controla cuántas conexiones simultáneas de PowerShell se permiten por usuario. El número predeterminado de conexiones simultáneas permitidas para un usuario es tres en Office 365. Cuando se alcanza el límite de conexiones, el conector de Endpoint Management para Exchange ActiveSync no puede conectarse al servidor Exchange. Hay formas de cambiar el número máximo de conexiones simultáneas permitidas a través de PowerShell que están fuera del alcance de esta documentación. Si te interesa, investiga las políticas de limitación de Exchange relacionadas con la gestión remota con PowerShell.

Instalar y configurar

1. Haz clic en el archivo XmmSetup.msi y luego sigue las indicaciones del instalador para instalar el conector de Endpoint Management para Exchange ActiveSync.

2. Deja seleccionada la opción Launch the Configure utility en la última pantalla del asistente de configuración. O, desde el menú Inicio, abre el conector de Endpoint Management para Exchange ActiveSync.

3. Configura las siguientes propiedades de la base de datos:

   • Selecciona la ficha Configure > Database.
   • Introduce el nombre del servidor SQL (el valor predeterminado es localhost).
   • Mantén la base de datos como el valor predeterminado CitrixXmm.

4. Selecciona uno de los siguientes modos de autenticación usados para SQL:

   • SQL: Introduce el nombre de usuario y la contraseña de un usuario SQL válido.
   • Windows Integrated: Si seleccionas esta opción, las credenciales de inicio de sesión del servicio del conector de Endpoint Management para Exchange ActiveSync deben cambiarse a una cuenta de Windows que tenga permisos para acceder al servidor SQL. Para ello, abre el Panel de control > Herramientas administrativas > Servicios, haz clic con el botón derecho en la entrada del servicio del conector de Endpoint Management para Exchange ActiveSync y, a continuación, haz clic en la ficha Iniciar sesión.

   Si también se elige Windows Integrated para la conexión de la base de datos de BlackBerry, la cuenta de Windows especificada aquí también debe tener acceso a la base de datos de BlackBerry.

5. Haz clic en Test Connectivity para comprobar que se puede establecer una conexión con el servidor SQL y, a continuación, haz clic en Save.

6. Un mensaje te pedirá que reinicies el servicio. Haz clic en Yes.

   

7. Configura uno o varios servidores Exchange:

   • Si administras un único entorno Exchange, especifica solo un servidor. Si administras varios entornos Exchange, especifica un único servidor Exchange para cada entorno Exchange.
   • Haz clic en la ficha Configure > Exchange y, a continuación, haz clic en Add.

   

8. Selecciona el tipo de entorno de servidor Exchange: On Premise u Office 365.

   • Si seleccionas On Premise, introduce el nombre del servidor Exchange que se usará para los comandos de Remote PowerShell.
   • Introduce el nombre de usuario de una identidad de Windows que tenga los derechos apropiados en el servidor Exchange, tal como se especifica en la sección Requisitos, y luego introduce la contraseña del usuario.
   • Selecciona la programación para ejecutar instantáneas principales (Major snapshots). Una instantánea principal detecta cada asociación de Exchange ActiveSync.
   • Selecciona la programación para ejecutar instantáneas secundarias (Minor snapshots). Una instantánea secundaria detecta las asociaciones de Exchange ActiveSync recién creadas.
   • Selecciona el tipo de instantánea: Deep o Shallow. Las instantáneas Shallow suelen ser mucho más rápidas y son suficientes para realizar todas las funciones de control de acceso de Exchange ActiveSync del conector de Endpoint Management para Exchange ActiveSync. Las instantáneas Deep pueden tardar más y solo son necesarias si el proveedor de servicios móviles está habilitado para ActiveSync. Esta opción permite a XenMobile consultar dispositivos no administrados.
   • Selecciona el acceso predeterminado: Allow, Block o Unchanged. Esta configuración controla cómo se tratan todos los dispositivos que no sean los identificados por reglas explícitas de XenMobile o locales. Si seleccionas Allow, se permite el acceso a ActiveSync a todos esos dispositivos. Si seleccionas Block, se deniega el acceso. Si seleccionas Unchanged, no se realiza ningún cambio.
   • Selecciona el modo de comando de ActiveSync: PowerShell o Simulation.
   • En el modo PowerShell, el conector de Endpoint Management para Exchange ActiveSync emite comandos de PowerShell para aplicar el control de acceso deseado. En el modo Simulation, el conector de Endpoint Management para Exchange ActiveSync no emite comandos de PowerShell, sino que registra el comando previsto y los resultados previstos en la base de datos. En el modo Simulation, el usuario puede usar la ficha Monitor para ver qué habría sucedido si el modo PowerShell estuviera habilitado.
   • En Connection Expiration, establece las horas y los minutos de la vida útil de una conexión. Cuando una conexión alcanza la edad especificada, se marca como caducada, de modo que la conexión nunca se vuelve a usar. Cuando la conexión caducada ya no se usa, el conector de Endpoint Management para Exchange ActiveSync cierra la conexión de forma segura. Cuando se necesita una conexión de nuevo, se inicializa una nueva conexión si no hay ninguna disponible. Si no se especifica ninguna, se usa el valor predeterminado de 30 minutos.
   • Selecciona View Entire Forest para configurar el conector de Endpoint Management para Exchange ActiveSync para ver todo el bosque de Active Directory en el entorno de Exchange.
   • Selecciona el protocolo de autenticación: Kerberos o Basic. El conector de Endpoint Management para Exchange ActiveSync admite la autenticación Basic para implementaciones locales. Esto permite usar el conector de Endpoint Management para Exchange ActiveSync cuando el servidor del conector de Endpoint Management para Exchange ActiveSync no es miembro del dominio en el que reside el servidor Exchange.
   • Haz clic en Test Connectivity para comprobar que se puede establecer una conexión con el servidor Exchange y, a continuación, haz clic en Save.
   • Un mensaje te pedirá que reinicies el servicio. Haz clic en Yes.

9. Configura las reglas de acceso: Selecciona la ficha Configure > Access Rules, haz clic en la ficha XMS Rules y, a continuación, haz clic en Add.

   

10. En la página XenMobile server Service Properties, modifica la cadena de URL para que apunte al servidor XenMobile. Por ejemplo, si el nombre de la instancia es zdm, introduce https://<XdmHostName>/zdm/services/MagConfigService. En el ejemplo, reemplaza XdmHostName por la dirección IP o DNS del servidor XenMobile.

    

    • Introduce un usuario autorizado del servidor.
    • Introduce la contraseña del usuario.
    • Mantén los valores predeterminados para Baseline Interval, Delta Interval y Timeout.
    • Haz clic en Test Connectivity para comprobar la conexión con el servidor y, a continuación, haz clic en OK.

    Si la casilla Disabled está seleccionada, el servicio de correo de XenMobile no recopila políticas de XenMobile.

11. Haz clic en la ficha Local Rules.

    

    • Puedes agregar reglas locales basadas en el ID de dispositivo de ActiveSync, el tipo de dispositivo, el grupo de AD, el usuario o el UserAgent del dispositivo. En la lista, selecciona el tipo apropiado.
    • Introduce texto o fragmentos de texto en el cuadro de texto. Opcionalmente, haz clic en el botón de consulta para ver las entidades que coinciden con el fragmento.

    Para todos los tipos, excepto Grupo, el sistema se basa en los dispositivos que se han encontrado en una instantánea. Por lo tanto, si acabas de empezar y no has completado una instantánea, no hay entidades disponibles.

    • Selecciona un valor de texto y, a continuación, haz clic en Allow o Deny para agregarlo al panel Rule List del lado derecho. Puedes cambiar el orden de las reglas o quitarlas usando los botones a la derecha del panel Rule List. El orden es importante porque, para un usuario y dispositivo determinados, las reglas se evalúan en el orden que se muestra y una coincidencia en una regla superior (más cerca de la parte superior) hace que las reglas posteriores no tengan efecto. Por ejemplo, si tienes una regla que permite todos los dispositivos iPad y una regla posterior que bloquea al usuario Matt, el iPad de Matt seguirá estando permitido porque la regla del iPad tiene una prioridad efectiva más alta que la regla de Matt.
    • Para realizar un análisis de las reglas dentro de la lista de reglas para encontrar posibles anulaciones, conflictos o construcciones suplementarias, haz clic en Analyze y, a continuación, haz clic en Save.

12. Si quieres construir reglas locales que operen en grupos de Active Directory, haz clic en Configure LDAP y, a continuación, configura las propiedades de conexión LDAP.

    

13. Configura el proveedor de servicios móviles.

    El proveedor de servicios móviles es opcional. Esa configuración solo es necesaria si XenMobile también está configurado para usar la interfaz del proveedor de servicios móviles para consultar dispositivos no administrados.

    • Haz clic en la ficha Configure > MSP.

    

    • Establece el tipo de transporte de servicio como HTTP o HTTPS para el servicio del proveedor de servicios móviles.
    • Establece el puerto de servicio (normalmente 80 o 443) para el servicio del proveedor de servicios móviles. Si usas el puerto 443, el puerto requiere un certificado SSL vinculado a él en IIS.
    • Establece el Authorization Group o User. Esto establece el usuario o el conjunto de usuarios que podrán conectarse al servicio del proveedor de servicios móviles desde XenMobile.
    • Establece si las consultas de ActiveSync están habilitadas o no. Si las consultas de ActiveSync están habilitadas para el servidor XenMobile, el tipo de instantánea para uno o varios servidores Exchange debe establecerse en Deep. Esa configuración podría tener costos de rendimiento significativos para tomar instantáneas.
    • De forma predeterminada, los dispositivos ActiveSync que coincidan con la expresión regular WorxMail.* no se enviarán a XenMobile. Para cambiar este comportamiento, modifica el campo Filter ActiveSync según sea necesario. En blanco significa que todos los dispositivos se reenvían a XenMobile.
    • Haz clic en Save.

14. Opcionalmente, configura una o varias instancias de BlackBerry Enterprise Server (BES): Haz clic en Add y, a continuación, introduce el nombre del servidor SQL de BES.

    

    • Introduce el nombre de la base de datos de administración de BES.
    • Selecciona el modo de Authentication. Si seleccionas la autenticación integrada de Windows, la cuenta de usuario del servicio del conector de Endpoint Management para Exchange ActiveSync es la cuenta que se usa para conectarse al servidor SQL de BES. Si también eliges Windows Integrated para la conexión de la base de datos del conector de Endpoint Management para Exchange ActiveSync, la cuenta de Windows especificada aquí también debe tener acceso a la base de datos del conector de Endpoint Management para Exchange ActiveSync.
    • Si seleccionas la autenticación SQL, introduce el nombre de usuario y la contraseña.
    • Establece la Sync Schedule. Esta es la programación que se usa para conectarse al servidor SQL de BES y comprueba si hay actualizaciones de dispositivos.
    • Haz clic en Test Connectivity para comprobar la conectividad con el servidor SQL. Si seleccionas Windows Integrated, esta prueba usa el usuario que ha iniciado sesión actualmente y no el usuario del servicio del conector de Endpoint Management para Exchange ActiveSync y, por lo tanto, no prueba con precisión la autenticación SQL.
    • Para admitir el borrado remoto (Wipe) y el restablecimiento de contraseña (ResetPassword) de dispositivos BlackBerry desde XenMobile, selecciona la casilla Enabled.
    • Introduce el nombre de dominio completo (FQDN) de BES.
    • Introduce el puerto de BES usado para el servicio web de administración.
    • Introduce el usuario y la contraseña completos requeridos por el servicio BES.
    • Haz clic en Test Connectivity para probar la conexión con BES.
    • Haz clic en Save.

Aplicar políticas de correo electrónico con ID de ActiveSync

La política de correo electrónico de tu empresa podría dictar que ciertos dispositivos no están aprobados para el uso de correo electrónico corporativo. Para seguir esta política, quieres asegurarte de que los empleados no puedan acceder al correo electrónico corporativo desde dichos dispositivos. El conector de Endpoint Management para Exchange ActiveSync y XenMobile trabajan juntos para aplicar dicha política de correo electrónico. XenMobile establece la política para el acceso al correo electrónico corporativo y, cuando un dispositivo no aprobado se inscribe en XenMobile, el conector de Endpoint Management para Exchange ActiveSync aplica la política.

El cliente de correo electrónico de un dispositivo se anuncia al servidor Exchange (o Office 365) usando el ID del dispositivo, también conocido como ID de ActiveSync, que se usa para identificar el dispositivo. Secure Hub obtiene un identificador similar y lo envía a XenMobile cuando el dispositivo se inscribe. Al comparar los dos ID de dispositivo, el conector de Endpoint Management para Exchange ActiveSync puede determinar si un dispositivo específico debe tener acceso al correo electrónico corporativo. La siguiente figura ilustra este concepto:

Reglas de acceso del conector de Endpoint Management para Exchange ActiveSync

Si XenMobile envía al conector de Endpoint Management para Exchange ActiveSync un ID de ActiveSync diferente del ID que el dispositivo publica en Exchange, el conector de Endpoint Management para Exchange ActiveSync no puede indicar a Exchange qué hacer con el dispositivo.

La coincidencia de ID de ActiveSync funciona de forma fiable en la mayoría de las plataformas. Sin embargo, Citrix ha descubierto que en algunas implementaciones de Android, el ID de ActiveSync del dispositivo es diferente del ID que el cliente de correo anuncia a Exchange. Para mitigar este problema, puedes hacer lo siguiente:

• En la plataforma Samsung SAFE, envía la configuración de ActiveSync del dispositivo desde XenMobile.

Para garantizar que tu política de acceso al correo electrónico corporativo se aplique correctamente, puedes adoptar una postura de seguridad defensiva y configurar el conector de Endpoint Management para Exchange ActiveSync para bloquear correos electrónicos estableciendo la política estática en Denegar por defecto. Esto significa que si un empleado configura un cliente de correo electrónico en un dispositivo Android y la detección del ID de ActiveSync no funciona correctamente, se le denegará el acceso al correo electrónico corporativo.

Reglas de control de acceso

El conector de Endpoint Management para Exchange ActiveSync proporciona un enfoque basado en reglas para configurar dinámicamente el control de acceso para dispositivos Exchange ActiveSync. Una regla de control de acceso del conector de Endpoint Management para Exchange ActiveSync consta de dos partes: una expresión de coincidencia y un estado de acceso deseado (Permitir o Bloquear). Una regla puede evaluarse contra un dispositivo Exchange ActiveSync dado para determinar si la regla se aplica o coincide con el dispositivo. Existen varios tipos de expresiones de coincidencia; por ejemplo, una regla puede coincidir con todos los dispositivos de un tipo de dispositivo dado, o con un ID de dispositivo Exchange ActiveSync específico, o con todos los dispositivos de un usuario específico, y así sucesivamente.

En cualquier momento durante la adición, eliminación y reorganización de las reglas en la lista de reglas, al hacer clic en el botón Cancelar se revierte la lista de reglas al estado en que se encontraba cuando se abrió por primera vez. A menos que hagas clic en Guardar, cualquier cambio realizado en esta ventana se perderá si cierras la herramienta de configuración.

El conector de Endpoint Management para Exchange ActiveSync tiene tres tipos de reglas: reglas locales, reglas del servidor XenMobile (también conocidas como reglas XDM) y la regla de acceso predeterminada.

Reglas locales: Las reglas locales tienen la máxima prioridad: si un dispositivo coincide con una regla local, la evaluación de la regla se detiene. No se consultarán ni las reglas del servidor XenMobile ni las reglas de acceso predeterminadas. Las reglas locales se configuran localmente en el conector de Endpoint Management para Exchange ActiveSync a través de la ficha Configurar > Reglas de acceso > Reglas locales. La coincidencia de soporte se basa en la pertenencia de un usuario a un grupo de Active Directory dado. La coincidencia de soporte se basa en expresiones regulares para los siguientes campos:

• ID de dispositivo de ActiveSync
• Tipo de dispositivo de ActiveSync
• Nombre principal de usuario (UPN)
• Agente de usuario de ActiveSync (normalmente la plataforma del dispositivo o el cliente de correo electrónico)

Siempre que se haya completado una instantánea principal y se hayan encontrado dispositivos, deberías poder agregar una regla normal o una regla de expresión regular. Si no se ha completado una instantánea principal, solo puedes agregar reglas de expresión regular.

Reglas del servidor XenMobile: Las reglas del servidor XenMobile son referencias a un servidor XenMobile externo que proporciona reglas sobre los dispositivos administrados. El servidor XenMobile se puede configurar con sus propias reglas de alto nivel que identifican los dispositivos que se permitirán o bloquearán en función de las propiedades conocidas por XenMobile, como si el dispositivo tiene jailbreak o si contiene aplicaciones prohibidas. XenMobile evalúa las reglas de alto nivel y produce un conjunto de ID de dispositivo ActiveSync permitidos o bloqueados, que luego se entregan al conector de Endpoint Management para Exchange ActiveSync.

Regla de acceso predeterminada: La regla de acceso predeterminada es única en el sentido de que puede coincidir potencialmente con todos los dispositivos y siempre se evalúa en último lugar. Esta regla es la regla comodín, lo que significa que si un dispositivo dado no coincide con una regla local o del servidor XenMobile, el estado de acceso deseado del dispositivo se determina por el estado de acceso deseado de la regla de acceso predeterminada.

• Acceso predeterminado – Permitir: Cualquier dispositivo que no coincida con una regla local o del servidor XenMobile será permitido.
• Acceso predeterminado – Bloquear: Cualquier dispositivo que no coincida con una regla local o del servidor XenMobile será bloqueado.
• Acceso predeterminado - Sin cambios: Cualquier dispositivo que no coincida con una regla local o del servidor XenMobile no tendrá su estado de acceso modificado de ninguna manera por el conector de Endpoint Management para Exchange ActiveSync. Si un dispositivo ha sido puesto en modo de Cuarentena por Exchange, no se toma ninguna acción. Por ejemplo, la única forma de quitar un dispositivo del modo de Cuarentena es que una regla local o XDM lo anule explícitamente.

Acerca de las evaluaciones de reglas

Para cada dispositivo que Exchange informa al conector de Endpoint Management para Exchange ActiveSync, las reglas se evalúan en secuencia, de mayor a menor prioridad, de la siguiente manera:

• Reglas locales
• Reglas del servidor XenMobile
• Regla de acceso predeterminada

Cuando se encuentra una coincidencia, la evaluación se detiene. Por ejemplo, si una regla local coincide con un dispositivo dado, el dispositivo no se evaluará contra ninguna de las reglas del servidor XenMobile ni la regla de acceso predeterminada. Esto también es válido dentro de un tipo de regla dado. Por ejemplo, si hay más de una coincidencia para un dispositivo dado en la lista de reglas locales, cuando se encuentra la primera coincidencia, la evaluación se detiene.

El conector de Endpoint Management para Exchange ActiveSync reevalúa el conjunto de reglas actualmente definido cuando cambian las propiedades del dispositivo, o cuando se agregan o quitan dispositivos, o cuando las propias reglas cambian. Las instantáneas principales detectan los cambios y eliminaciones de propiedades del dispositivo a intervalos configurables. Las instantáneas secundarias detectan nuevos dispositivos a intervalos configurables.

Exchange ActiveSync también tiene reglas que rigen el acceso. Es importante comprender cómo funcionan estas reglas en el contexto del conector de Endpoint Management para Exchange ActiveSync. Exchange podría configurarse con tres niveles de reglas: exenciones personales, reglas de dispositivo y configuraciones de organización. El conector de Endpoint Management para Exchange ActiveSync automatiza el control de acceso emitiendo solicitudes de PowerShell remoto de forma programática para afectar las listas de exenciones personales. Estas son listas de ID de dispositivo Exchange ActiveSync permitidos o bloqueados asociados con un buzón dado. Cuando se implementa, el conector de Endpoint Management para Exchange ActiveSync asume eficazmente la gestión de la capacidad de listas de exenciones dentro de Exchange. Para obtener más detalles, consulta el artículo de Microsoft, Controlar el acceso a dispositivos.

El análisis es útil en situaciones en las que se han definido varias reglas para el mismo campo. Puedes solucionar problemas de las relaciones entre las reglas. Realizas el análisis desde la perspectiva de los campos de las reglas. Por ejemplo, las reglas se analizan en grupos según el campo que se está haciendo coincidir, como el ID de dispositivo de ActiveSync, el tipo de dispositivo de ActiveSync, el usuario, el agente de usuario.

Terminología de las reglas

• Regla de anulación: Una anulación ocurre cuando más de una regla puede aplicarse al mismo dispositivo. Debido a que las reglas se evalúan por prioridad en la lista, las instancias de reglas posteriores que podrían aplicarse nunca se evaluarían.
• Regla en conflicto: Un conflicto ocurre cuando más de una regla podría aplicarse al mismo dispositivo, pero el acceso (Permitir/Bloquear) no coincide. Si las reglas en conflicto no son reglas de expresión regular, un conflicto siempre connota implícitamente una anulación.
• Regla suplementaria: Un suplemento ocurre cuando más de una regla es una regla de expresión regular y, por lo tanto, podría ser necesario asegurar que las dos (o más) expresiones regulares puedan combinarse en una única regla de expresión regular, o que no dupliquen la funcionalidad. Una regla suplementaria también podría entrar en conflicto en su acceso (Permitir/Bloquear).
• Regla principal: La regla principal es la regla en la que se ha hecho clic dentro del cuadro de diálogo. La regla se indica visualmente mediante una línea de borde sólido que la rodea. La regla también tendrá una o dos flechas verdes apuntando hacia arriba o hacia abajo. Si una flecha apunta hacia arriba, indica que hay reglas auxiliares que preceden a la regla principal. Si una flecha apunta hacia abajo, indica que hay reglas auxiliares que vienen después de la regla principal. Solo una única regla principal puede estar activa en un momento dado.
• Regla auxiliar: Una regla auxiliar está relacionada de alguna manera con la regla principal, ya sea por anulación, conflicto o una relación suplementaria. Las reglas se indican visualmente mediante un borde discontinuo que las rodea. Para cada regla principal, puede haber de una a muchas reglas auxiliares. Al hacer clic en cualquier entrada subrayada, la regla o reglas auxiliares que se resaltan siempre se ven desde la perspectiva de la regla principal. Por ejemplo, la regla auxiliar es anulada por la regla principal, y/o la regla auxiliar entrará en conflicto en su acceso con la regla principal, y/o la regla auxiliar complementará la regla principal.

Cómo aparecen los tipos de reglas en el cuadro de diálogo Análisis de reglas

Cuando no hay conflictos, anulaciones o suplementos, el cuadro de diálogo Análisis de reglas no tiene entradas subrayadas. Hacer clic en cualquiera de los elementos no tiene ningún impacto; por ejemplo, se producen las visualizaciones normales de los elementos seleccionados.

La ventana Análisis de reglas tiene una casilla de verificación que, cuando se selecciona, muestra solo aquellas reglas que son conflictos, anulaciones, redundancias o suplementos.

Cuando ocurre una anulación, al menos dos reglas estarán subrayadas: la regla principal y la regla o reglas auxiliares. Al menos una regla auxiliar aparece con una fuente más clara para indicar que la regla ha sido anulada por una regla de mayor prioridad. Puedes hacer clic en la regla anulada para averiguar qué regla o reglas la han anulado. Cada vez que una regla anulada se ha resaltado, ya sea porque la regla es la principal o auxiliar, aparece un círculo negro junto a ella como una indicación visual adicional de que la regla está inactiva. Por ejemplo, antes de hacer clic en la regla, el cuadro de diálogo aparece de la siguiente manera:

Cuando haces clic en la regla de mayor prioridad, el cuadro de diálogo aparece de la siguiente manera:

En este ejemplo, la regla de expresión regular WorkMail.* es la regla principal (indicada por el borde sólido) y la regla normal workmailc633313818 es una regla auxiliar (indicada por el borde discontinuo). El punto negro junto a la regla auxiliar es una señal visual que indica además que la regla está inactiva (nunca se evaluará) debido a la regla de expresión regular de mayor prioridad que la precede. Después de hacer clic en la regla anulada, el cuadro de diálogo aparece de la siguiente manera:

En el ejemplo anterior, la regla de expresión regular WorkMail.* es la regla auxiliar (indicada por el borde discontinuo) y la regla normal workmailc633313818 es una regla principal (indicada por el borde sólido). Para este ejemplo sencillo, no hay mucha diferencia. Para un ejemplo más complicado, consulta el ejemplo de expresión compleja más adelante en este tema. En un escenario con muchas reglas definidas, hacer clic en la regla anulada identificaría rápidamente qué regla o reglas la habían anulado.

Cuando ocurre un conflicto, al menos dos reglas estarán subrayadas, la regla principal y la regla o reglas auxiliares. Las reglas en conflicto se indican con un punto rojo. Las reglas que solo entran en conflicto entre sí solo son posibles con dos o más reglas de expresión regular definidas. En todos los demás escenarios de conflicto, no solo habrá un conflicto, sino también una anulación en juego. Antes de hacer clic en cualquiera de las reglas en un ejemplo sencillo, el cuadro de diálogo aparece de la siguiente manera:

Al inspeccionar las dos reglas de expresión regular, es evidente que la primera regla permite todos los dispositivos con un ID de dispositivo que contiene “App” y que la segunda regla deniega todos los dispositivos con un ID de dispositivo que contiene “Appl”. Además, aunque la segunda regla deniega todos los dispositivos con un ID de dispositivo que contiene “Appl”, ningún dispositivo que coincida con los criterios será denegado debido a la mayor precedencia de la regla de permiso. Después de hacer clic en la primera regla, el cuadro de diálogo aparece de la siguiente manera:

En el escenario anterior, tanto la regla principal (regla de expresión regular App.*) como la regla auxiliar (regla de expresión regular Appl.*) están resaltadas en amarillo. Esto es simplemente una advertencia visual para alertarte sobre el hecho de que has aplicado más de una regla de expresión regular a un solo campo coincidente, lo que puede significar un problema de redundancia o algo más grave.

En un escenario con un conflicto y una anulación, tanto la regla principal (regla de expresión regular App.*) como la regla auxiliar (regla de expresión regular Appl.*) se resaltan en amarillo. Esto es simplemente una advertencia visual para alertarte de que has aplicado más de una regla de expresión regular a un único campo coincidente, lo que puede significar un problema de redundancia o algo más grave.

Es fácil ver en el ejemplo anterior que la primera regla (regla de expresión regular SAMSUNG.*) no solo anula la siguiente regla (regla normal SAMSUNG-SM-G900A/101.40402), sino que las dos reglas difieren en su acceso (la principal especifica Permitir, la auxiliar especifica Bloquear). La segunda regla (regla normal SAMSUNG-SM-G900A/101.40402) se muestra en un texto más claro para indicar que ha sido anulada y, por lo tanto, está inactiva.

Después de hacer clic en la regla de expresión regular, el cuadro de diálogo aparece de la siguiente manera:

La regla principal (regla de expresión regular SAMSUNG.*) va seguida de un punto rojo para indicar que su estado de acceso entra en conflicto con una o más reglas auxiliares. La regla auxiliar (regla normal SAMSUNG-SM-G900A/101.40402) va seguida de un punto rojo para indicar que su estado de acceso entra en conflicto con la regla principal. Esa regla también va seguida de un punto negro para indicar que está anulada y, por lo tanto, inactiva.

Al menos dos reglas estarán subrayadas: la regla principal y la regla o reglas auxiliares. Las reglas que solo se complementan entre sí solo implicarán reglas de expresión regular. Cuando las reglas se complementan entre sí, se indican con una superposición amarilla. Antes de hacer clic en cualquiera de las reglas, en un ejemplo simple, el cuadro de diálogo aparece de la siguiente manera:

Una inspección visual revela fácilmente que ambas reglas son reglas de expresión regular que se han aplicado al campo de ID de dispositivo de ActiveSync en el conector de Endpoint Management para Exchange ActiveSync. Después de hacer clic en la primera regla, el cuadro de diálogo se ve de la siguiente manera:

La regla principal (regla de expresión regular WorkMail.*) se resalta con una superposición amarilla para indicar que existe al menos una regla auxiliar más que es una expresión regular. La regla auxiliar (regla de expresión regular SAMSUNG.*) se resalta con una superposición amarilla para indicar que tanto ella como la regla principal son reglas de expresión regular que se aplican al mismo campo dentro del conector de Endpoint Management para Exchange ActiveSync. En este caso, ese campo es el ID de dispositivo de ActiveSync. Las expresiones regulares pueden o no superponerse. Depende de ti decidir si tus expresiones regulares están correctamente elaboradas.

Ejemplo de una expresión compleja

Pueden ocurrir muchas posibles anulaciones, conflictos o complementos, lo que hace imposible dar un ejemplo de todos los escenarios posibles. El siguiente ejemplo analiza lo que no se debe hacer, sirviendo también para ilustrar todo el poder de la construcción visual de análisis de reglas. La mayoría de los elementos están subrayados en la siguiente figura. Muchos de los elementos se muestran en una fuente más clara, lo que indica que la regla en cuestión ha sido anulada por una regla de mayor prioridad de alguna manera. También se incluyen varias reglas de expresión regular en la lista, como lo indica el icono .

Cómo analizar una anulación

Para ver qué regla o reglas han anulado una regla particular, haz clic en la regla.

Ejemplo 1: Este ejemplo examina por qué zentrain01@zenprise.com ha sido anulado.

La regla principal (regla de grupo de AD zenprise/TRAINING/ZenTraining B, de la cual zentrain01@zenprise.com es miembro) tiene las siguientes características:

• Está resaltada en azul y tiene un borde sólido.
• Tiene una flecha verde que apunta hacia arriba (para indicar que la regla o reglas auxiliares se encuentran todas por encima de ella).
• Va seguida de un círculo rojo y un círculo negro para indicar, respectivamente, que una o más reglas auxiliares entran en conflicto con su acceso y que la regla principal ha sido anulada y, por lo tanto, está inactiva.

Cuando te desplazas hacia arriba, verás lo siguiente:

En este caso, hay dos reglas auxiliares que anulan la regla principal: la regla de expresión regular zen.* y la regla normal zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). En el caso de esta última regla auxiliar, lo que ha ocurrido es que la regla de grupo de Active Directory ZenTraining A contiene al usuario zentrain01@zenprise.com, y la regla de grupo de Active Directory ZenTraining B también contiene al usuario zentrain01@zenprise.com. Sin embargo, debido a que la regla auxiliar tiene una mayor precedencia que la regla principal, la regla principal ha sido anulada. El acceso de la regla principal es Permitir, y debido a que el acceso de ambas reglas auxiliares es Bloquear, todas van seguidas de un círculo rojo para indicar además un conflicto de acceso.

Ejemplo 2: Este ejemplo muestra por qué el dispositivo con un ID de dispositivo de ActiveSync de 069026593E0C4AEAB8DE7DD589ACED33 ha sido anulado:

La regla principal (regla de ID de dispositivo normal 069026593E0C4AEAB8DE7DD589ACED33) tiene las siguientes características:

• Está resaltada en azul y tiene un borde sólido.
• Tiene una flecha verde que apunta hacia arriba (para indicar que la regla auxiliar se encuentra por encima de ella).
• Va seguida de un círculo negro para indicar que una regla auxiliar ha anulado la regla principal y, por lo tanto, está inactiva.

En este caso, una única regla auxiliar anula la regla principal: la regla de ID de dispositivo de ActiveSync de expresión regular es 3E.* Dado que la expresión regular 3E.* coincidiría con 069026593E0C4AEAB8DE7DD589ACED33, la regla principal nunca se evaluará.

Cómo analizar un complemento y un conflicto

En este caso, la regla principal es la regla de tipo de dispositivo ActiveSync de expresión regular touch.* Las características son las siguientes:

• Está indicada por un borde sólido con una superposición amarilla como advertencia de que hay más de una regla de expresión regular operando contra un campo de regla particular, en este caso, el tipo de dispositivo ActiveSync.
• Dos flechas apuntan hacia arriba y hacia abajo, respectivamente, indicando que hay al menos una regla auxiliar con mayor prioridad y al menos una regla auxiliar con menor prioridad.
• El círculo rojo junto a ella indica que al menos una regla auxiliar tiene su acceso configurado en Permitir, lo que entra en conflicto con el acceso de la regla principal de Bloquear.
• Hay dos reglas auxiliares: la regla de tipo de dispositivo ActiveSync de expresión regular SAM.* y la regla de tipo de dispositivo ActiveSync de expresión regular Andro.*.
• Ambas reglas auxiliares están bordeadas con guiones para indicar que son auxiliares.
• Ambas reglas auxiliares están superpuestas con amarillo para indicar que también se aplican al campo de regla de tipo de dispositivo ActiveSync.

• Debes asegurarte en tales escenarios de que sus reglas de expresión regular no sean redundantes.

  

Cómo analizar más a fondo las reglas

Este ejemplo explora cómo las relaciones de las reglas siempre se ven desde la perspectiva de la regla principal. El ejemplo anterior mostró cómo al hacer clic en la regla de expresión regular aplicada al campo de regla de tipo de dispositivo con un valor de touch.*. Al hacer clic en la regla auxiliar Andro.*, se muestra un conjunto diferente de reglas auxiliares resaltadas.

El ejemplo muestra una regla anulada que se incluye en la relación de reglas. Esta regla es la regla normal de tipo de dispositivo ActiveSync Android, que está anulada (indicada por la fuente más clara y el círculo negro junto a ella) y también entra en conflicto en su acceso con la regla principal de tipo de dispositivo ActiveSync de expresión regular Andro.*. Esa regla era anteriormente una regla auxiliar antes de hacer clic en ella. En el ejemplo anterior, la regla normal de tipo de dispositivo ActiveSync Android no se mostró como una regla auxiliar porque, desde la perspectiva de la entonces regla principal (la regla de tipo de dispositivo ActiveSync de expresión regular touch.*), no estaba relacionada con ella.

Para configurar una regla local de expresión normal

1. Haz clic en la ficha Reglas de acceso.

1. En la lista ID de dispositivo, selecciona el campo para el que quieres crear una regla local.

2. Haz clic en el icono de la lupa para mostrar todas las coincidencias únicas para el campo elegido. En este ejemplo, se ha elegido el campo Tipo de dispositivo y las opciones se muestran a continuación en el cuadro de lista.

   

3. Haz clic en uno de los elementos del cuadro de lista de resultados y, a continuación, haz clic en una de las siguientes opciones:

   • Permitir significa que Exchange se configurará para permitir el tráfico de ActiveSync para todos los dispositivos coincidentes.
   • Denegar significa que Exchange se configurará para denegar el tráfico de ActiveSync para todos los dispositivos coincidentes.

   En este ejemplo, se deniega el acceso a todos los dispositivos que tienen un tipo de dispositivo SamsungSPhl720.

   

Para agregar una expresión regular

Las reglas locales de expresiones regulares se distinguen por el icono que aparece junto a ellas: .

Para agregar una regla de expresión regular, puedes crear una regla de expresión regular a partir de un valor existente de la lista de resultados para un campo determinado (siempre que se haya completado una instantánea principal), o simplemente puedes escribir la expresión regular que quieras.

Para crear una expresión regular a partir de un valor de campo existente

1. Haz clic en la ficha Reglas de acceso.

   

2. En la lista ID de dispositivo, selecciona el campo para el que quieres crear una regla local de expresión regular.

3. Haz clic en el icono de la lupa para mostrar todas las coincidencias únicas para el campo elegido. En este ejemplo, se ha elegido el campo Tipo de dispositivo y las opciones se muestran a continuación en el cuadro de lista.

   

4. Haz clic en uno de los elementos de la lista de resultados. En este ejemplo, se ha seleccionado SAMSUNGSPHL720 y aparece en el cuadro de texto junto a Tipo de dispositivo.

   

5. Para permitir todos los tipos de dispositivo que tienen “Samsung” en su valor de tipo de dispositivo, agrega una regla de expresión regular siguiendo estos pasos:

   1. Haz clic dentro del cuadro de texto del elemento seleccionado.

   2. Cambia el texto de SAMSUNGSPHL720 a SAMSUNG.*.

   3. Asegúrate de que la casilla de verificación de expresión regular esté seleccionada.

   4. Haz clic en Permitir.

   

Para crear una regla de acceso

1. Haz clic en la ficha Reglas locales.

2. Para introducir la expresión regular, debes usar tanto la lista ID de dispositivo como el cuadro de texto del elemento seleccionado.

   

3. Selecciona el campo con el que quieres hacer coincidir. Este ejemplo usa Tipo de dispositivo.
4. Escribe la expresión regular. Este ejemplo usa samsung.*

5. Asegúrate de que la casilla de verificación de expresión regular esté seleccionada y, a continuación, haz clic en Permitir o Denegar. En este ejemplo, la opción es Permitir. El resultado final es el siguiente:

   

Para buscar dispositivos

Al seleccionar la casilla de verificación de expresión regular, puedes realizar búsquedas de dispositivos específicos que coincidan con la expresión dada. Esta función solo está disponible si se ha completado correctamente una instantánea principal. Puedes usar esta función incluso si no hay planes de usar reglas de expresión regular. Por ejemplo, supongamos que quieres encontrar todos los dispositivos que tienen el texto “workmail” en su ID de dispositivo de ActiveSync. Para hacerlo, sigue este procedimiento.

1. Haz clic en la ficha Reglas de acceso.

2. Asegúrate de que el selector de campo de coincidencia de dispositivo esté configurado en ID de dispositivo (el valor predeterminado).

   

3. Haz clic dentro del cuadro de texto del elemento seleccionado (como se muestra en azul en la figura anterior) y, a continuación, escribe workmail.*.

4. Asegúrate de que la casilla de verificación de expresión regular esté seleccionada y, a continuación, haz clic en el icono de la lupa para mostrar las coincidencias como se muestra en la siguiente figura.

   

Para agregar un usuario individual, dispositivo o tipo de dispositivo a una regla estática

Puedes agregar reglas estáticas basadas en el usuario, el ID de dispositivo o el tipo de dispositivo en la ficha Dispositivos ActiveSync.

1. Haz clic en la ficha Dispositivos ActiveSync.

2. En la lista, haz clic con el botón derecho en un usuario, dispositivo o tipo de dispositivo y selecciona si quieres permitir o denegar tu selección.

   La siguiente imagen muestra la opción Permitir/Denegar cuando se selecciona user1.

   

Supervisión de dispositivos

La ficha Supervisar del conector de Endpoint Management para Exchange ActiveSync te permite explorar los dispositivos Exchange ActiveSync y BlackBerry que se han detectado, así como el historial de comandos automatizados de PowerShell que se han emitido. La ficha Supervisar tiene las tres fichas siguientes:

• Dispositivos ActiveSync:
  • Puedes exportar las asociaciones de dispositivos ActiveSync mostradas haciendo clic en el botón Exportar.
  • Puedes agregar reglas locales (estáticas) haciendo clic con el botón derecho en las columnas Usuario, ID de dispositivo o Tipo y seleccionando el tipo de regla de permitir o bloquear adecuado.
  • Para contraer una fila expandida, haz clic en la fila expandida mientras mantienes pulsada la tecla Ctrl.
• Dispositivos BlackBerry
• Historial de automatización

La ficha Configurar muestra el historial de todas las instantáneas. El historial de instantáneas muestra cuándo se realizó la instantánea, cuánto tiempo tardó, cuántos dispositivos se detectaron y los errores que se produjeron:

• En la ficha Exchange, haz clic en el icono de información del servidor Exchange deseado.
• En la ficha MSP, haz clic en el icono de información del servidor BlackBerry deseado.

Solución de problemas y diagnósticos

El conector de Endpoint Management para Exchange ActiveSync registra los errores y otra información operativa en su archivo de registro: Carpeta de instalación\log\XmmWindowsService.log. El conector de Endpoint Management para Exchange ActiveSync también registra los eventos importantes en el registro de eventos de Windows.

Para cambiar el nivel de registro

El conector de Endpoint Management para Exchange ActiveSync incluye los siguientes niveles de registro: Error, Info, Warn, Debug y Trace.

Nota:

Cada nivel sucesivo genera más detalles (más datos). Por ejemplo, el nivel Error proporciona el menor detalle, mientras que el nivel Trace proporciona el mayor detalle.

Para cambiar el nivel de registro, haz lo siguiente:

1. En C:\Program Files\Citrix\Citrix Endpoint Management connector, abre el archivo nlog.config.

2. En la sección <rules>, cambia el parámetro minlevel al nivel de registro que prefieras. Por ejemplo:

       <rules>
   
       <logger name="*" writeTo="file" minlevel="Debug" />
   
       </rules>
   <!--NeedCopy-->
   

3. Guarda el archivo.

   Los cambios surten efecto de inmediato. No es necesario reiniciar el conector para Exchange ActiveSync.

Errores comunes

La siguiente lista incluye errores comunes:

• El servicio del conector de Endpoint Management para Exchange ActiveSync no se inicia

  Comprueba el archivo de registro y el registro de eventos de Windows en busca de errores. Las causas típicas son las siguientes:

  • El conector de Endpoint Management para el servicio Exchange ActiveSync no puede acceder al servidor SQL. Esto podría deberse a los siguientes problemas:

    • El servicio de SQL Server no se está ejecutando.
    • Error de autenticación.

    Si la autenticación integrada de Windows está configurada, la cuenta de usuario del servicio del conector de Endpoint Management para Exchange ActiveSync debe ser un inicio de sesión SQL permitido. La cuenta del servicio del conector de Endpoint Management para Exchange ActiveSync se establece de forma predeterminada en Sistema local, pero se puede cambiar a cualquier cuenta que tenga privilegios de administrador local. Si la autenticación SQL está configurada, el inicio de sesión SQL debe configurarse correctamente en SQL.

  • El puerto configurado para el proveedor de servicios móviles (MSP) no está disponible. Se debe seleccionar un puerto de escucha que no esté siendo utilizado por otro proceso en el sistema.

• XenMobile no puede conectarse al MSP

  Comprueba que el puerto de servicio y el transporte del MSP estén configurados correctamente en la ficha Configurar > MSP de la consola del conector de Endpoint Management para Exchange ActiveSync. Comprueba que el grupo o usuario de autorización esté configurado correctamente.

  Si HTTPS está configurado, se debe instalar un certificado de servidor SSL válido. Si IIS está instalado, se puede usar el Administrador de IIS para instalar el certificado. Si IIS no está instalado, consulta Cómo configurar un puerto con un certificado SSL para obtener detalles sobre la instalación de certificados.

  El conector de Endpoint Management para Exchange ActiveSync contiene un programa de utilidad para probar la conectividad con el servicio MSP. Ejecuta el programa Carpeta de instalación\MspTestServiceClient.exe y establece la URL y las credenciales a una URL y credenciales que estén configuradas en XenMobile y, a continuación, haz clic en Probar conectividad. Esto simula las solicitudes de servicio web que emite XenMobile Server. Si HTTPS está configurado, debes especificar el nombre de host real del servidor (el nombre especificado en el certificado SSL).

  Cuando uses Probar conectividad, asegúrate de tener al menos un registro de ActiveSyncDevice o la prueba podría fallar.

  

Herramientas de solución de problemas

Un conjunto de utilidades de PowerShell para la solución de problemas está disponible en la carpeta Support\PowerShell.

Una herramienta de solución de problemas realiza un análisis en profundidad de los buzones y dispositivos de los usuarios, detectando condiciones de error y posibles áreas de fallo, y un análisis RBAC en profundidad de los usuarios. Puede guardar la salida sin procesar de todos los cmdlets en un archivo de texto.