Versión Current Release de XenMobile Server

Conector de Citrix Gateway para Exchange ActiveSync

XenMobile Citrix ADC Connector ahora es un conector de Citrix Gateway para Exchange ActiveSync. Para obtener más detalles sobre los productos unificados de Citrix, consulte la guía de productos de Citrix.

El conector para Exchange ActiveSync ofrece un servicio de autorización a Citrix ADC al nivel de dispositivos de los clientes de ActiveSync, por lo que actúa como proxy inverso para el protocolo de Exchange ActiveSync. La autorización se controla mediante una combinación de directivas que se definen en XenMobile y unas reglas definidas localmente por el conector de Citrix Gateway para Exchange ActiveSync.

Para obtener más información, consulte ActiveSync Gateway.

Para obtener un diagrama detallado con una arquitectura como referencia, consulte Arquitectura.

La versión actual del conector de Citrix Gateway para Exchange ActiveSync es 8.5.2.

Importante:

A partir de octubre de 2022, los conectores de Endpoint Management y Citrix Gateway para Exchange ActiveSync ya no admitirán Exchange Online debido a los cambios de autenticación anunciados por Microsoft aquí. El conector de Endpoint Management para Exchange sigue funcionando con Microsoft Exchange Server (local).

Novedades

En las siguientes secciones, se detallan las novedades de las versiones anteriores y actual del conector de Citrix Gateway para Exchange ActiveSync (anteriormente, XenMobile Citrix ADC Connector).

Novedades en la versión 8.5.3

  • Esta versión funciona con los protocolos ActiveSync 16.0 y 16.1.
  • Se han agregado más detalles a los análisis enviados a Google Analytics, especialmente en lo que respecta a las instantáneas. [CXM-52261]

Novedades en la versión 8.5.2

  • XenMobile Citrix ADC Connector ahora es un conector de Citrix Gateway para Exchange ActiveSync.

Se han solucionado los problemas siguientes en esta versión:

  • Si se usa más de un criterio para definir una regla de directiva y uno de los criterios implica el ID del usuario, si un usuario tiene más de un alias, los alias no se verifican al aplicar la regla. [CXM-55355]

Nota:

En la siguiente sección de novedades, se hace referencia al conector de Citrix Gateway para Exchange ActiveSync por su nombre anterior, XenMobile Citrix ADC Connector. El nombre cambió a partir de la versión 8.5.2.

Novedades en la versión 8.5.1.11

  • Cambio en los requisitos del sistema: La versión actual de Citrix ADC Connector requiere Microsoft .NET Framework 4.5.

  • Compatibilidad con Google Analytics: Nos gustaría saber cómo usa XenMobile Citrix ADC Connector para centrarnos en dónde mejorar el producto.

  • Disponibilidad de TLS 1.1 y 1.2: Debido a la poca seguridad que ofrece, PCI Council ha retirado TLS 1.0. Se ha agregado la funcionalidad TLS 1.1 y 1.2 a XenMobile Citrix ADC Connector.

Supervisar el conector de Citrix Gateway para Exchange ActiveSync

La herramienta de configuración del conector de Citrix Gateway para Exchange ActiveSync ofrece un registro detallado que permite consultar todo el tráfico que pasa por el servidor Exchange que Secure Mobile Gateway permite o bloquea.

Use la ficha Log para ver el historial de las solicitudes de ActiveSync que ha reenviado Citrix ADC al conector de Exchange ActiveSync para la autorización.

Además, para comprobar que el servicio web del conector de Citrix Gateway para Exchange ActiveSync se está ejecutando, puede cargar esta URL en un explorador web presente en el servidor del conector: https://<host:port>/services/ActiveSync/Version. Si la dirección URL devuelve la versión de producto como una cadena, el servicio web funciona.

Para simular el tráfico de ActiveSync con el conector de Citrix Gateway para Exchange ActiveSync

Puede utilizar el conector de Citrix Gateway para Exchange ActiveSync para hacer una simulación del tráfico de ActiveSync con las directivas. En la herramienta de configuración del conector, seleccione la ficha Simulator. Los resultados muestran la manera en que se aplicarán las directivas en función de las reglas que haya configurado.

Seleccionar filtros para el conector de Citrix Gateway para Exchange ActiveSync

Los filtros del conector de Citrix Gateway para Exchange ActiveSync analizan un dispositivo para detectar la infracción de una directiva o un parámetro de propiedad concretos. Si el dispositivo cumple los criterios, se coloca en Device List. Esta lista de dispositivos, Device List, no es una lista de dispositivos permitidos ni bloqueados. Es una lista de los dispositivos que cumplen los criterios definidos. Los siguientes filtros están disponibles para el conector en XenMobile. Las dos opciones para cada filtro son Permitir o Denegar.

  • Dispositivos anónimos: Permite o deniega aquellos dispositivos inscritos en XenMobile cuya identidad de usuario es desconocida. Por ejemplo, puede tratarse de un usuario que se haya inscrito, pero cuyas contraseñas de Active Directory estén caducadas, o bien un usuario que se ha inscrito con credenciales desconocidas.
  • Atestación de Samsung Knox fallida: Los dispositivos Samsung tienen la funcionalidad de seguridad y diagnósticos. Este filtro proporciona la confirmación de que el dispositivo está configurado para Knox. Para obtener información detallada, consulte Samsung Knox.
  • Aplicaciones prohibidas: Permite o deniega dispositivos basándose en la lista de dispositivos definida por las directivas de aplicaciones prohibidas y la presencia de esas aplicaciones.
  • Permitir / Denegar implícitamente: Crea una lista de todos los dispositivos que no cumplen ninguno de los demás criterios de regla o filtro, y permite o deniega en función de esa lista. La opción “Permitir / Denegar implícitamente” garantiza que se habilite el estado del conector de Citrix Gateway para Exchange ActiveSync en la ficha “Dispositivos”, y muestra el estado del conector para los dispositivos. La opción “Permitir / Denegar implícitamente” también controla todos los demás filtros del conector que no se han seleccionado. Por ejemplo, el conector deniega las aplicaciones bloqueadas, pero permite todos los demás filtros porque la opción “Permitir / Denegar implícitamente” está establecida en Permitir.
  • Dispositivos inactivos: Crea una lista de los dispositivos que no se han comunicado con XenMobile durante un período de tiempo específico. Estos dispositivos se consideran inactivos. El filtro permite o niega esos dispositivos basándose en este filtro.
  • Aplicaciones obligatorias que faltan: Cuando un usuario se inscribe, el usuario recibe una lista de las aplicaciones obligatorias que debe instalarse. El filtro “Aplicaciones obligatorias que faltan” indica que una o varias de esas aplicaciones ya no están presentes; por ejemplo, el usuario eliminó una o varias aplicaciones.
  • Aplicaciones no sugeridas: Cuando un usuario se inscribe, recibe una lista de las aplicaciones que instalar. El filtro “Aplicaciones no sugeridas” examina el contenido del dispositivo en busca de las aplicaciones que no están en esa lista.
  • Contraseña no conforme: Crea una lista de todos los dispositivos que no tienen código de acceso en el dispositivo.
  • Dispositivos no conformes: Permite o deniega los dispositivos que cumplen los criterios propios del departamento interno de TI. La conformidad es un valor arbitrario definido por la propiedad de dispositivo denominada “No conforme”, un marcador booleano que puede ser true o false. (Puede crear esta propiedad de forma manual y establecer su valor, o puede usar las acciones automatizadas para crear esta propiedad en un dispositivo en función de si este cumple un criterio específico.)
    • No conforme = true. Si el dispositivo no cumple los estándares de cumplimiento ni las definiciones de directivas establecidas por el departamento de TI, el dispositivo no cumple los requisitos.
    • No conforme = false. Si el dispositivo cumple los estándares de cumplimiento y las definiciones de directivas establecidas por el departamento de TI, el dispositivo cumple los requisitos.
  • Estado revocado: Crea una lista de todos los dispositivos y permite o prohíbe dispositivos según el estado de revocación.
  • Dispositivos Android o iOS liberados por rooting o jailbreak. Crea una lista de todos los dispositivos marcados como liberados por rooting y permite o deniega el acceso en función de ese estado.
  • Dispositivos no administrados. Crea una lista de todos los dispositivos de la base de datos de XenMobile. Mobile Application Gateway debe implementarse en un modo de bloqueo.

Para configurar una conexión con el conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync se comunica con XenMobile y otros proveedores remotos de configuración a través de servicios web seguros.

  1. En la herramienta de configuración del conector, haga clic en la ficha Config Providers y, a continuación, haga clic en Agregar.
  2. En el cuadro de diálogo Config Providers, en Name, escriba un nombre de usuario que tenga privilegios de administrador. Este usuario se utilizará para la autorización HTTP básica en XenMobile Server.
  3. En Url, introduzca la dirección web del servicio GCS de XenMobile. Por norma general, en el formato: https://<FQDN>/<instanceName>/services/<MagConfigService>. En el nombre MagConfigService se distinguen mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización HTTP básica en XenMobile Server.
  5. En Managing Host, escriba el nombre del servidor del conector.
  6. En Baseline Interval, especifique un período de tiempo para la extracción, desde Device Manager, de un conjunto de reglas dinámicas actualizadas.
  7. En Delta interval, especifique un período de tiempo para la extracción de una actualización de reglas dinámicas.
  8. En Request Timeout, especifique el intervalo de tiempo de espera para solicitudes del servidor.
  9. En Config Provider, seleccione si la instancia de servidor del proveedor de configuración proporciona la configuración de directivas.
  10. En Events Enabled, habilite esta opción si quiere que el conector notifique a XenMobile cuando un dispositivo se bloquee. Se requiere esta opción si se utilizan reglas del conector en alguna de las acciones automatizadas de XenMobile.
  11. Haga clic en Save y, a continuación, haga clic en Test Connectivity para probar la conectividad entre la puerta de enlace y el proveedor de configuración. Si se produce un error de conexión, compruebe que la configuración del firewall local permite la conexión o póngase en contacto con el administrador.
  12. Si la conexión se realiza correctamente, desmarque la casilla Disabled y, a continuación, haga clic en Save.

Al agregar un nuevo proveedor de configuración, el conector de Citrix Gateway para Exchange ActiveSync crea automáticamente una o más directivas asociadas a ese proveedor. Estas directivas se definen mediante una plantilla contenida en config\policyTemplates.xml, en la sección NewPolicyTemplate. Se crea una nueva directiva por cada elemento de Policy definido en esta sección.

El operador puede agregar, quitar o modificar los elementos de directiva si el elemento de Policy corresponde con la definición de esquema y las cadenas de sustitución estándar (entre llaves) no se modifican. Luego, agregue nuevos grupos para el proveedor y actualice la directiva para incluir los nuevos grupos.

Para importar una directiva desde XenMobile

  1. En la herramienta de configuración del conector de Citrix Gateway para Exchange ActiveSync, haga clic en la ficha Config Providers y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Config Providers, en Name, escriba el nombre de usuario que se utilizará para la autorización HTTP básica en XenMobile Server y que tiene privilegios de administrador.
  3. En Url, introduzca la dirección web del servicio Gateway Configuration Service de XenMobile. Por norma general, en el formato: https://<xdmHost>/xdm/services/<MagConfigService>. En el nombre MagConfigService se distinguen mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización HTTP básica en XenMobile Server.
  5. Haga clic en Test Connectivity para probar la conectividad entre la puerta de enlace y el proveedor de configuración. Si se produce un error de conexión, compruebe que la configuración del firewall local permite la conexión o póngase en contacto con el administrador.
  6. Cuando la conexión se realice correctamente, desmarque la casilla Disabled y, a continuación, haga clic en Save.
  7. En Managing Host, deje el nombre DNS predeterminado del equipo host local. Este parámetro se utiliza para coordinar la comunicación con XenMobile cuando hay varios servidores de Forefront Threat Management Gateway (TMG) configurados en una matriz.

    Después de guardar la configuración, abra GCS.

Configurar el modo de directiva en el conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync se puede ejecutar en los seis modos siguientes:

  • Allow All. Este modo de directiva concede acceso a todo el tráfico que pasa por el conector. No se utiliza ninguna otra regla de filtrado.
  • Deny All. Este modo de directiva bloquea el acceso a todo el tráfico que pasa por el conector. No se utiliza ninguna otra regla de filtrado.
  • Static Rules: Block Mode (Modo de bloqueo). Este modo de directiva ejecuta reglas estáticas con la instrucción implícita de denegar o bloquear al final. El conector bloquea aquellos dispositivos que otras reglas de filtrado no permitan.
  • Static Rules: Permit Mode (Modo de permiso). Este modo de directiva ejecuta reglas estáticas con la instrucción implícita de permitir al final. El conector permite aquellos dispositivos que otras reglas de filtrado no bloqueen o denieguen.
  • Static + ZDM Rules: Block Mode (Modo de bloqueo). Este modo de directiva ejecuta primero las reglas estáticas, seguidas de las reglas dinámicas de XenMobile con una instrucción implícita de denegar o bloquear al final. Los dispositivos se permiten o deniegan según los filtros definidos y las reglas de Device Manager. Los dispositivos que no coincidan con las reglas y los filtros definidos se bloquean.
  • Static + ZDM Rules: Permit Mode (Modo de permiso). Este modo de directiva ejecuta primero las reglas estáticas, seguidas de las reglas dinámicas de XenMobile con una instrucción implícita de permitir al final. Los dispositivos se permiten o deniegan en función de los filtros definidos y las reglas de XenMobile. Los dispositivos que no coincidan con las reglas y los filtros definidos se permiten.

El proceso del conector de Citrix Gateway para Exchange ActiveSync permite o bloquea reglas dinámicas en función de identificadores únicos de ActiveSync para dispositivos iOS y dispositivos móviles de Windows recibidos desde XenMobile. El comportamiento de los dispositivos Android difiere según el fabricante y algunos no exponen con facilidad un ID único de ActiveSync. Para compensar, XenMobile envía información de ID del usuario de los dispositivos Android para la decisión de permitir o bloquear. Como resultado, si un usuario tiene un solo dispositivo Android, las acciones de permitir y bloquear funcionan de la manera habitual. En cambio, si el usuario dispone de varios dispositivos Android, se permiten todos los dispositivos porque los dispositivos Android no se pueden diferenciar. Puede configurar la puerta de enlace para bloquear estáticamente esos dispositivos en función de su ActiveSyncID, si este se conoce. Esta puerta también se puede configurar para bloquear según el tipo de dispositivo o el agente de usuario.

Para especificar el modo de directiva, en la herramienta de configuración del controlador SMG, realice lo siguiente:

  1. Haga clic en la ficha Path Filters y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Path Properties, seleccione un modo de directiva de la lista Policy y, a continuación, haga clic en Save.

Puede revisar las reglas en la ficha Policies de la herramienta de configuración. Las reglas se procesan en el conector de Citrix Gateway para Exchange ActiveSync de arriba abajo. Las directivas permitidas (Allow) se muestran con una marca de verificación verde. Las directivas denegadas (Deny) se muestran con un círculo rojo atravesado por una línea. Para actualizar la pantalla y ver las reglas actualizadas, haga clic en Refresh. También puede modificar el orden de las reglas en el archivo config.xml.

Para probar las reglas, haga clic en la ficha Simulator. Especifique los valores de los campos. Estos también se pueden obtener a partir de los registros. Aparece un mensaje de resultados con la especificación Allow o Block.

Para configurar reglas estáticas

Introduzca reglas estáticas con valores que lean los filtros ISAPI de las solicitudes HTTP de conexión ActiveSync. Con las reglas estáticas, el conector de Citrix Gateway para Exchange ActiveSync puede permitir o bloquear el tráfico mediante los criterios siguientes:

  • Usuario: El conector de Citrix Gateway para Exchange ActiveSync usa la estructura del nombre y el valor del usuario autorizado capturado durante la inscripción del dispositivo. Generalmente, se encuentra como dominio\nombre_de_usuario, como consta en el servidor que ejecuta XenMobile conectado a Active Directory a través de LDAP. La ficha Log que contiene la herramienta de configuración del conector mostrará los valores que pasen a través de este. Los valores pasan si la estructura de esos valores es diferente o debe determinarse.
  • Deviceid (ActiveSyncID): También conocido como ActiveSyncID del dispositivo conectado. Este valor se suele encontrar en la página de propiedades del dispositivo específico, en la consola de XenMobile. Este valor también se puede consultar desde la ficha Log, en la herramienta de configuración del conector.
  • DeviceType: El conector puede determinar si el dispositivo es un iPhone, un iPad, o cualquier otro tipo de dispositivo; puede permitirlos o bloquearlos basándose en esos criterios. En cuanto a otros valores, la herramienta de configuración del conector puede revelar todos los tipos de dispositivos conectados que se están procesando para la conexión ActiveSync.
  • UserAgent: Contiene información sobre el cliente de ActiveSync que se utiliza. Normalmente, el valor especificado corresponde a una versión y compilación determinadas de sistema operativo para la plataforma del dispositivo móvil.

La herramienta de configuración del conector que se ejecuta en el servidor siempre administra las reglas estáticas.

  1. En la herramienta de configuración del controlador SMG, haga clic en la ficha Static Rules y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Static Rule Properties, especifique los valores a usar como criterios. Por ejemplo, puede indicar un usuario al que permitir el acceso si escribe el nombre del usuario (por ejemplo, AllowedUser) y si, a continuación, desmarca la casilla Disabled.
  3. Haga clic en Guardar.

    La regla estática está ahora activada. También puede usar expresiones regulares para definir los valores, pero debe habilitar el modo de procesamiento de reglas en el archivo config.xml.

Para configurar reglas dinámicas

En XenMobile, las directivas y las propiedades de dispositivo definen las reglas dinámicas y pueden activar un filtro dinámico del conector de Citrix Gateway para Exchange ActiveSync. La activación ocurre en caso de infracción de una directiva o un parámetro de propiedad. Los filtros del conector analizan un dispositivo para detectar la infracción de una directiva concreta o un parámetro de propiedad. Si el dispositivo cumple los criterios, se coloca en Device List. Esta lista Device List no es una lista de dispositivos permitidos ni bloqueados. Es una lista de los dispositivos que cumplen los criterios definidos. Con las siguientes opciones de configuración, puede definir si quiere permitir o denegar los dispositivos de Device List mediante el conector.

Nota:

Debe usar la consola de XenMobile para configurar las reglas dinámicas.

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en ActiveSync Gateway. Aparecerá la página ActiveSync Gateway.

  3. En Activar las reglas siguientes, seleccione las reglas que quiera activar.

  4. En “Solo Android”, haga clic en en Enviar usuarios de dominio Android a ActiveSync Gateway para que XenMobile envíe información de dispositivos Android a Secure Mobile Gateway.

    Si esta opción está habilitada, XenMobile envía información de dispositivos Android al conector de Citrix Gateway para Exchange ActiveSync en el caso de que XenMobile no disponga del identificador de ActiveSync correspondiente al usuario del dispositivo Android.

Para configurar directivas personalizadas con la edición del archivo XML del conector de Citrix Gateway para Exchange ActiveSync

En la herramienta de configuración del conector de Citrix Gateway para Exchange ActiveSync, puede ver las directivas básicas en la configuración predeterminada de la ficha Policies. Si quiere crear directivas personalizadas, puede modificar el archivo de configuración XML del conector (config\config.xml).

  1. Busque la sección PolicyList en el archivo y, a continuación, agregue un nuevo elemento Policy.
  2. Si también se requiere un nuevo grupo (por ejemplo, otro grupo estático un grupo para admitir otro proveedor GCP), agregue el nuevo elemento Group a la sección GroupList.
  3. Si quiere, puede cambiar el orden de los grupos dentro de una directiva existente. Para ello, reorganice los elementos de GroupRef.

Configurar el archivo XML del conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync utiliza un archivo de configuración XML para dictar las acciones del conector. Entre otras entradas, en el archivo se especifica el grupo de archivos y las acciones asociadas que el filtro tendrá en cuenta y realizará al evaluar solicitudes HTTP. De forma predeterminada, el archivo se denomina config.xml y se encuentra en la siguiente ubicación: ..\Archivos de programa\Citrix\XenMobile Citrix ADC Connector\config.

Nodos GroupRef

Los nodos de GroupRef definen los nombres de los grupos lógicos. Los valores predeterminados son AllowGroup y DenyGroup.

Nota:

Es importante el orden de aparición de los nodos GroupRef en el nodo GroupRefList.

El valor de ID de un nodo GroupRef identifica un contenedor lógico o una colección de miembros, que se utilizan para hacer coincidir dispositivos o cuentas de usuario específicos. Los atributos de la acción especifican cómo tratará el filtro a un miembro que coincida con una regla de la colección. Por ejemplo, un dispositivo o cuenta de usuario que coincida con una regla del conjunto AllowGroup podrá “pasar”. En este caso, “pasar” significa que se le permitirá acceder a Exchange CAS. En cambio, un dispositivo o cuenta de usuario que coincida con una regla del conjunto DenyGroup será “rechazada”. En este caso, “rechazar” significa que no se le permitirá acceder a Exchange CAS.

Cuando un dispositivo o una cuenta de usuario determinados, o bien una combinación, cumplen las reglas de ambos grupos, se usa una convención de precedencia para dirigir el resultado de la solicitud. La precedencia se expresa en el orden de los nodos GroupRef en el archivo config.xml de arriba a abajo. Los nodos GroupRef están clasificados por orden de prioridad. Las reglas de una condición determinada del grupo Allow (Permitir) siempre prevalecerán sobre las reglas de la misma condición en el grupo Deny (Denegar).

Nodos Group

Además, el archivo config.xml define los nodos Group. Estos nodos enlazan los contenedores lógicos AllowGroup y DenyGroup a archivos XML. Las entradas almacenadas en los archivos externos forman la base de las reglas de filtrado.

Nota:

En esta versión, solo se admiten los archivos XML externos.

La instalación predeterminada implementa dos archivos XML en la configuración: allow.xml y deny.xml.

Configurar el conector de Citrix Gateway para Exchange ActiveSync

Puede configurar el conector de Citrix Gateway para Exchange ActiveSync de modo que este conector bloquee o permita solicitudes de ActiveSync de forma selectiva, en función de las propiedades Active Sync Service ID, Device type, User Agent (sistema operativo del dispositivo), Authorized user y ActiveSync Command.

La configuración predeterminada admite una combinación de grupos estáticos y dinámicos. Debe mantener grupos estáticos mediante la herramienta de configuración del controlador SMG. Los grupos estáticos pueden constar solo de las categorías conocidas de los dispositivos, como, por ejemplo, todos los dispositivos con un agente determinado de usuario.

Una fuente externa, llamada Gateway Configuration Provider (Proveedor de configuración de la puerta de enlace) mantiene los grupos dinámicos. El conector de Citrix Gateway para Exchange ActiveSync conecta los grupos de forma periódica. Con XenMobile, puede exportar grupos de dispositivos y usuarios permitidos y bloqueados al conector.

Los grupos dinámicos se mantienen mediante un recurso externo llamado Gateway Configuration Provider (proveedor de configuración de puerta de enlace). El conector de Citrix Gateway para Exchange ActiveSync recopila esos grupos de forma periódica. Con XenMobile, puede exportar grupos de dispositivos y usuarios permitidos y bloqueados al conector.

Una directiva es una lista ordenada de grupos, donde cada grupo tiene asociada una acción (permitir o bloquear), además de una lista de los miembros del grupo. Una directiva puede tener una cantidad infinita de grupos. El orden de los grupos en una directiva es importante porque, cuando se encuentra una coincidencia, se realiza la acción del grupo, y los demás grupos no se evalúan.

Un miembro define la manera de coincidir con las propiedades de una solicitud. Se puede coincidir con una sola propiedad, como ID de dispositivo, o con varias propiedades, como el tipo de dispositivo y el agente de usuario.

Seleccionar un modelo de seguridad para el conector de Citrix Gateway para Exchange ActiveSync

Establecer un modelo de seguridad es esencial para una buena implementación de dispositivos móviles en organizaciones de cualquier tamaño. Es frecuente utilizar un control de red protegida o en cuarentena para permitir el acceso a un usuario, un equipo o un dispositivo de forma predeterminada. Sin embargo, esta práctica no es siempre la más adecuada. Cada organización que administra la seguridad de TI puede tener un enfoque diferente o adaptado a la seguridad de los dispositivos móviles.

La misma lógica se aplica a la seguridad de los dispositivos móviles. Utilizar un modelo permisivo es una mala elección debido a la gran cantidad de: dispositivos móviles y sus tipos, dispositivos móviles por usuario, así como aplicaciones y plataformas de sistemas operativos disponibles. En la mayoría de las organizaciones, el modelo restrictivo es la elección más lógica.

Tipos de configuración que permite Citrix para integrar el conector de Citrix Gateway para Exchange ActiveSync en XenMobile:

Modelo permisivo (Permit mode)

El modelo de seguridad permisivo estipula que, de forma predeterminada, se permite o se concede acceso a todo. Solo se bloqueará el acceso a algo y se aplicará una restricción si existen reglas y filtros. El modelo de seguridad permisivo es una buena opción para organizaciones con un criterio de seguridad de dispositivos móviles relativamente laxo. Ese modelo solo aplica controles restrictivos para denegar el acceso cuando corresponda (si falla una regla de directiva).

Modelo restrictivo (Block Mode)

El modelo de seguridad restrictivo estipula que, de forma predeterminada, no se permite o no se concede acceso a nada. Todo lo que pasa por el punto de control de seguridad se filtra y se comprueba; se le deniega el acceso a menos que las reglas de acceso lo permitan. El modelo de seguridad restrictivo es una buena opción para organizaciones con un criterio de seguridad de dispositivos móviles relativamente estricto. Este modo solo concede acceso para uso y funciones con los servicios de red cuando todas las reglas de acceso lo permitan.

Administrar el conector de Citrix Gateway para Exchange ActiveSync

Puede utilizar el conector de Citrix Gateway para Exchange ActiveSync para crear reglas de control de acceso. Las reglas permiten o bloquean el acceso a las solicitudes de conexión de ActiveSync provenientes de los dispositivos administrados. El acceso se concede en función del estado del dispositivo, las aplicaciones permitidas o prohibidas u otras condiciones de cumplimiento.

Con la herramienta de configuración del conector de Citrix Gateway para Exchange ActiveSync, puede generar reglas dinámicas y estáticas que apliquen directivas de correo electrónico de empresa, por lo que podrá bloquear a los usuarios que infrinjan las normas. También puede configurar el cifrado de datos adjuntos de correo electrónico, de modo que todos esos datos que pasen a través del servidor Exchange hacia los dispositivos administrados se cifren y solo se puedan ver en dispositivos administrados por usuarios autorizados.

Para desinstalar el conector de Citrix Gateway para Exchange ActiveSync

  1. Ejecute XncInstaller.exe con una cuenta de administrador.
  2. Siga las instrucciones que aparecen en la pantalla para completar la desinstalación.

Para instalar, actualizar o desinstalar el conector de Citrix Gateway para Exchange ActiveSync

  1. Ejecute XncInstaller.exe con una cuenta de administrador para instalar el conector o para permitir la actualización o la eliminación de un conector existente.
  2. Siga las instrucciones en pantalla para completar la instalación, la actualización o la desinstalación.

Después de instalar el conector, debe reiniciar manualmente el servicio de notificación y el servicio de configuración de XenMobile.

Instalar el conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync se instala en su propio servidor Windows.

La carga de la CPU que pone el conector en un servidor depende de la cantidad de dispositivos administrados. En caso de una gran cantidad de dispositivos (más de 50 000), puede que necesite aprovisionar más de un núcleo si no dispone de un entorno en clústeres. La superficie de memoria del conector no es lo suficientemente significativa como para garantizar una memoria adicional.

Requisitos del sistema para el conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync se comunica con Citrix ADC a través de un puente SSL configurado en el dispositivo Citrix ADC. Ese puente permite al dispositivo pasar todo el tráfico seguro directamente a XenMobile. El conector requiere la siguiente configuración mínima de sistema:

Componente Requisito
Equipo y procesador Procesador Pentium III de 733 MHz o más. Procesador Pentium III de 2,0 GHz o más (recomendado)
Citrix ADC Dispositivo Citrix ADC con la versión 10 del software
Memoria 1 GB
Disco duro Partición local con formato NTFS, con 150 MB de espacio disponible en disco duro
Sistema operativo Windows Server 2016, Windows Server 2012 R2 o Windows Server 2008 R2 Service Pack 1. Debe ser un servidor en inglés. La compatibilidad para Windows Server 2008 R2 Service Pack 1 finaliza el 14 de enero de 2020 y la compatibilidad para Windows Server 2012 R2 finaliza el 10 de octubre de 2023.
Otros dispositivos Un adaptador de red compatible con el sistema operativo del host para la comunicación con la red interna
Microsoft .NET Framework La versión 8.5.1.11 requiere Microsoft .NET Framework 4.5.
Pantalla Monitor VGA o de mayor resolución

El equipo host del conector de Citrix Gateway para Exchange ActiveSync requiere el siguiente espacio mínimo disponible en el disco duro:

  • Aplicación: De 10 a 15 MB (se recomienda 100 MB)
  • Captura de registros: 1 GB (se recomienda 20 GB)

Para obtener más información acerca de la compatibilidad de plataformas con el conector de Citrix Gateway para Exchange ActiveSync, consulte Sistemas operativos compatibles.

Clientes de correo electrónico del dispositivo

No todos los clientes de correo electrónico devuelven el mismo ID de ActiveSync para un dispositivo. Debido a que el conector de Citrix Gateway para Exchange ActiveSync espera un ID de ActiveSync único para cada dispositivo, solo se admiten los clientes de correo electrónico que generan constantemente el mismo y único ID de ActiveSync para cada dispositivo. Citrix ha realizado pruebas sin errores con estos clientes de correo electrónico:

  • Cliente de correo electrónico nativo de Samsung
  • Cliente de correo electrónico nativo de iOS

Implementar el conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync permite utilizar Citrix ADC para redirigir mediante proxy y equilibrar la carga de la comunicación entre XenMobile Server y los dispositivos administrados de XenMobile. El conector se comunica de forma periódica con XenMobile para sincronizar las directivas. El conector y XenMobile se pueden agrupar en clústeres (ya sea en un mismo clúster o en clústeres diferentes), y Citrix ADC puede equilibrar su carga.

Componentes del conector de Citrix Gateway para Exchange ActiveSync

  • Servicio del conector de Citrix Gateway para Exchange ActiveSync: Este servicio ofrece una interfaz de servicio web REST que se puede invocar mediante Citrix ADC para determinar si se autoriza una solicitud de ActiveSync desde un dispositivo.
  • Servicio de configuración de XenMobile: Este servicio se comunica con XenMobile para sincronizar los cambios de las directivas de XenMobile con el conector.
  • Servicio de notificaciones de XenMobile: Este servicio envía notificaciones a XenMobile acerca de accesos de dispositivos no autorizados. De esta forma, XenMobile puede tomar las medidas adecuadas, como notificar al usuario el motivo del bloqueo del dispositivo.
  • Herramienta de configuración del conector de Citrix Gateway para Exchange ActiveSync: Esta aplicación permite al administrador configurar y supervisar el conector.

Para configurar las direcciones de escucha del conector de Citrix Gateway para Exchange ActiveSync

Para que el conector de Citrix Gateway para Exchange ActiveSync reciba solicitudes desde Citrix ADC para autorizar el tráfico de ActiveSync, debe: Especificar el puerto en el que el conector escucha las llamadas al servicio web de Citrix ADC.

  1. En el menú Inicio, seleccione la herramienta de configuración del conector de Citrix Gateway para Exchange ActiveSync.
  2. Haga clic en la ficha Web Service y, a continuación, escriba las direcciones de escucha para el servicio web del conector. Puede seleccionar HTTP, HTTPS o ambos. Si el conector y XenMobile están instalados en el mismo servidor, seleccione puertos que no entren en conflicto con XenMobile.
  3. Después de configurar los valores, haga clic en Save y, a continuación, haga clic en Start Service para iniciar el servicio web.

Para configurar las directivas de control de acceso del dispositivo en el conector de Citrix Gateway para Exchange ActiveSync

Para configurar la directiva de control de acceso que quiere aplicar a los dispositivos administrados, haga lo siguiente:

  1. En la herramienta de configuración del conector de Citrix Gateway para Exchange ActiveSync, haga clic en la ficha Path Filters.
  2. Seleccione la primera fila Microsoft-Server-ActiveSync is for ActiveSync y, a continuación, haga clic en Edit.
  3. En la lista Policy, seleccione la directiva pertinente. Para una directiva que incluya las directivas de XenMobile, seleccione Static + ZDM: Permit Mode o Static + ZDM: Block Mode. Estas directivas combinan reglas locales (o estáticas) con las reglas de XenMobile. El modo Permit Mode significa que se permite el acceso a ActiveSync por parte de todos los dispositivos no identificados específicamente mediante reglas. En cambio, el modo Block Mode significa que todos esos dispositivos serán bloqueados.
  4. Después de establecer las directivas, haga clic en Save.

Para configurar la comunicación con XenMobile

Especifique el nombre y las propiedades de XenMobile Server (también llamado Config Provider) que quiere utilizar con el conector de Citrix Gateway para Exchange ActiveSync y Citrix ADC.

Nota:

En esta tarea, se presupone que XenMobile ya está instalado y configurado.

  1. En la herramienta de configuración del conector de Citrix Gateway para Exchange ActiveSync, haga clic en la ficha Config Providers y, a continuación, haga clic en Add.
  2. Indique el nombre y la dirección URL del servidor de XenMobile Server utilizado en esta implementación. Si dispone de varios XenMobile Servers implementados en una implementación multiarrendatario, este nombre debe ser único para cada instancia de servidor. Por ejemplo, en Name, puede escribir XMS.
  3. En Url, introduzca la dirección web de GlobalConfig Provider (GCP) de XenMobile. Por norma general, en el formato: https://<FQDN>/<instanceName>/services/<MagConfigService>. En el nombre MagConfigService se distinguen mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización HTTP básica en XenMobile Server.
  5. En Managing Host, introduzca el nombre del servidor donde se instaló el conector de Citrix Gateway para Exchange ActiveSync.
  6. En Baseline Interval, especifique un período de tiempo para la extracción, desde XenMobile, de un conjunto de reglas dinámicas actualizadas.
  7. En Request Timeout, especifique el intervalo de tiempo de espera para solicitudes del servidor.
  8. En Config Provider, seleccione si la instancia de servidor de Config Provider proporciona la configuración de directivas.
  9. Habilite la opción Events Enabled si quiere que Secure Mobile Gateway notifique a XenMobile cuando se bloquee un dispositivo. Se requiere esta opción si se utilizan reglas de Secure Mobile Gateway en alguna de las acciones automatizadas de Device Manager.
  10. Una vez configurado el servidor, haga clic en Test Connectivity para comprobar la conexión con XenMobile.
  11. Cuando se haya establecido la conectividad, haga clic en Save.

Implementar el conector de Citrix Gateway para Exchange ActiveSync para la redundancia y la escalabilidad

Si quiere ampliar la implementación del conector de Citrix Gateway para Exchange ActiveSync y XenMobile, puede instalar instancias del conector en varios servidores Windows que señalen a la misma instancia de XenMobile y, a continuación, puede utilizar Citrix ADC para equilibrar la carga de los servidores.

La configuración del conector de Citrix Gateway para Exchange ActiveSync cuenta con dos modos:

  • En el modo no compartido (non-shared mode), cada instancia del conector de Citrix Gateway para Exchange ActiveSync se comunica con XenMobile Server y mantiene su propia copia privada de la directiva resultante. Por ejemplo, si tiene un clúster de XenMobile Servers, puede ejecutar una instancia del conector en cada XenMobile Server, y el conector obtendría las directivas desde la instancia local de XenMobile.
  • En modo compartido (shared mode), un nodo del conector se designa como el nodo principal y se comunica con XenMobile. La configuración resultante se comparte entre los demás nodos, ya sea mediante una replicación de Windows o un recurso compartido de red Windows (o de terceros).

Toda la configuración del conector se encuentra en una carpeta (de varios archivos XML). El proceso del conector detecta los cambios en los archivos de esta carpeta y vuelve a cargar automáticamente la configuración. No hay ninguna conmutación por error para el nodo principal en el modo compartido. Sin embargo, el sistema puede tolerar que el servidor principal esté inactivo durante unos minutos (por ejemplo, para reiniciarse) porque la última configuración válida conocida se almacena en caché en el proceso del conector.

Conector de Citrix Gateway para Exchange ActiveSync