XenMobile Mail Manager 10.x

XenMobile Mail Manager permet d’étendre les capacités de XenMobile des façons suivantes :

  • Contrôle d’accès dynamique des appareils EAS (Exchange Active Sync). L’accès des appareils EAS aux services Exchange peut être automatiquement autorisé ou bloqué.
  • Permet à XenMobile d’accéder aux informations de partenariat d’appareil EAS fournies par Exchange.
  • Permet à XenMobile d’effacer EAS sur un appareil mobile.
  • Permet à XenMobile d’accéder à des informations sur des appareils Blackberry, et de réaliser des opérations de contrôle telles que l’effacement à distance (Wipe) et la réinitialisation du mot de passe (ResetPassword).

Pour télécharger XenMobile Mail Manager, consultez la section Server Components (Composants serveur) dans la rubrique XenMobile 10 Server sur Citrix.com.

Nouveautés dans la version 10.1.6

XenMobile Mail Manager version 10.1.6 contient les améliorations et les problèmes résolus suivants :

  • La fenêtre d’historique des instantanés entre parfois dans un état où la fenêtre n’est plus mise à jour. Le mécanisme d’actualisation de Windows a été amélioré pour une mise à jour plus fiable. [CXM-47983]
  • Deux modes et chemins de code distincts étaient utilisés pour les instantanés partitionnés et non partitionnés. Étant donné que les instantanés non partitionnés sont équivalents aux instantanés partitionnés avec une configuration utilisant une seule partition “*”, le mode instantané non partitionné a été éliminé. Le mode instantané par défaut est désormais partitionné avec 36 partitions (0-9, A-Z). [CXM-49093]
  • Dans la fenêtre de l’historique des instantanés, les messages d’erreur sont écrasés par les messages d’état. Désormais, XenMobile Mail Manager fournit deux champs distincts pour que les utilisateurs puissent voir l’état et les erreurs simultanément. [CXM-51942]
  • Lors de la connexion à Exchange Online (Office 365), les requêtes liées aux images instantanées pouvaient entraîner des données tronquées. Ce problème peut se produire lorsque XenMobile Mail Manager exécute un script en pipeline à plusieurs commandes. La commande en amont ne peut pas transmettre les données assez rapidement à la commande en aval, qui termine alors le travail prématurément ; en conséquence, les données sont incomplètes. XenMobile Mail Manager peut maintenant reproduire le pipeline lui-même et attendre que la commande en amont soit effectuée avant d’appeler la commande en aval. Ce changement devrait entraîner le traitement et la capture de toutes les données. [CXM-52280]
  • Si une erreur non résolue se produit dans une commande de mise à jour de stratégie vers Exchange, la même commande est renvoyée à la file d’attente de travail à plusieurs reprises pendant une longue période. Cette situation entraînait l’envoi de la commande à Exchange à plusieurs reprises. Dans cette version de XenMobile Mail Manager, une commande entraînant une erreur est renvoyée à la file d’attente uniquement un nombre discret de fois. [CXM-52633]
  • Si une mise à jour de stratégie pour une boîte aux lettres spécifique impliquait l’autorisation ou le blocage de tous les appareils : la commande Set-CASMailbox émise échouait car la liste vide était convertie en une chaîne vide au lieu de NULL. Désormais, les données correctes sont envoyées. [CXM-53759]
  • Lors du traitement d’un nouvel appareil, Exchange peut renvoyer l’état “DeviceDiscovery” pendant un certain temps (généralement 15 minutes). XenMobile Mail Manager ne traitait pas spécifiquement cet état. XenMobile Mail Manager gère maintenant cet état. Dans l’onglet Surveillance de l’interface utilisateur, les utilisateurs peuvent filtrer les appareils dans cet état. [CXM-53840]
  • XenMobile Mail Manager ne vérifiait pas la possibilité d’écrire dans la base de données XenMobile Mail Manager. Par conséquent, si les autorisations étaient restreintes, le comportement était imprévisible. XenMobile Mail Manager capture et valide désormais les autorisations requises à partir de la base de données. XenMobile Mail Manager indique les autorisations restreintes lors du test de la connexion (message affiché) ou dans l’indicateur Base de données (survol du message) en bas de la fenêtre principale de configuration. [CXM-54219]
  • Selon la charge de travail en cours, lorsqu’il est dirigé vers XenMobile Mail Manager, le service peut ne pas s’arrêter rapidement, ce qui semble être un état de non-réponse. Les améliorations permettent d’interrompre les tâches en cours, entraînant un arrêt plus rapide. [CXM-54282]

Nouveautés dans la version 10.1.5

XenMobile Mail Manager version 10.1.5 contient les problèmes résolus suivants :

  • Lorsque Exchange applique une limitation aux activités de XenMobile Mail Manager, rien n’indique (en dehors des journaux) que la limitation est en cours. Avec cette version, un utilisateur peut survoler l’instantané actif et un état de limitation apparaît. De plus, pendant que XenMobile Mail Manager est limité, le début d’un instantané majeur est interdit jusqu’à ce que Exchange mette fin à la limitation. [CXM-49617]
  • Si XenMobile Mail Manager est limité par Exchange au cours d’un instantané majeur : il est possible qu’un délai insuffisant s’écoule avant la prochaine tentative d’instantané. Ce problème entraîne une limitation supplémentaire et l’échec de l’instantané. XenMobile Mail Manager attend maintenant le délai minimum spécifié par Exchange entre les tentatives d’instantanés. [CXM-49618]
  • Lorsque les diagnostics sont activés, le fichier de commandes affiche les commandes Set-CasMailbox qui ne contiennent pas de tirets avant chaque nom de propriété. Ce problème se produit uniquement lors du formatage du fichier de diagnostics et non de la commande elle-même vers Exchange. L’absence de tiret empêche un utilisateur de couper la commande et de la coller directement dans une invite PowerShell de test ou de validation. Les tirets ont été ajoutés. [CXM-52520]
  • Si une identité de boîte aux lettres est au format “nom, prénom”, Exchange ajoute une barre oblique inverse avant la virgule lors du renvoi de données à partir d’une requête. Cette barre oblique inverse doit être supprimée lorsque XenMobile Mail Manager utilise l’identité pour demander davantage de données. [CXM-52635]

Limitation connue

XenMobile Mail Manager a une limitation connue qui peut entraîner l’échec des commandes Exchange. Pour appliquer des modifications de stratégie à Exchange, une commande Set_CASMailbox est émise par XenMobile Mail Manager. Cette commande peut utiliser deux listes d’appareils : une pour autoriser et une pour bloquer. La commande est appliquée aux appareils associés à une boîte aux lettres.

Ces listes sont limitées à 256 caractères chacune par l’API Microsoft. Si l’une de ces listes dépasse la limite, la commande échoue dans son intégralité, empêchant toutes les stratégies pour ces appareils de la boîte aux lettres d’être définies. L’erreur signalée, qui apparaîtra dans les journaux XenMobile Mail Manager, ressemble à ceci. L’exemple représente la liste bloquée.

“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”

Les longueurs d’ID d’appareil peuvent varier, mais une bonne mesure à suivre est qu’environ 10 appareils Autorisés ou Bloqués simultanément peuvent dépasser la limite. Bien qu’il soit rare que de nombreux appareils soient associés à une boîte aux lettres spécifique, c’est un scénario possible. Tant que XenMobile Mail Manager n’est pas amélioré pour gérer un tel scénario, nous vous recommandons de limiter le nombre d’appareils associés à un utilisateur et à une boîte aux lettres à 10 ou moins.

Nouveautés dans la version 10.1.4

XenMobile Mail Manager version 10.1.4 contient les problèmes résolus suivants :

  • en raison de ses risques pour la sécurité, TLS 1.0 est abandonné par le PCI Council. La prise en charge de TLS 1.1 et 1.2 est ajoutée à XenMobile Mail Manager. [CXM-38573, CXM-32560]
  • XenMobile Mail Manager inclut un nouveau fichier de diagnostic. Lorsque l’option Enable Diagnostics est sélectionnée dans la spécification Exchange, un nouveau fichier d’historique des instantanés est généré. À chaque tentative d’instantané, une ligne est ajoutée au fichier avec les résultats de l’instantané. [CXM-49631]
  • Dans le fichier de diagnostic Commands, la liste des appareils autorisés ou bloqués n’apparaît pas pour la commande Set-CASMailbox. Au lieu de cela, le nom de classe interne était affiché dans le fichier pour les arguments associés. XenMobile Mail Manager affiche désormais la liste des appareils sous forme de liste délimitée par des virgules. [CXM-50693]
  • Lorsqu’une tentative d’acquisition d’une connexion à Exchange échoue en raison d’une spécification incorrecte : Le message d’erreur est remplacé par un message incorrect : “All connections in use”. Des messages plus descriptifs apparaissent maintenant, tels que “All connections are inoperable”, “Connection pool is empty”, “All connections are throttled” et “No available connections”. [CXM-50783]
  • Dans certains cas, les commandes Autoriser / Bloquer / Effacer sont mises en file d’attente plusieurs fois dans le cache interne de XenMobile Mail Manager. Ce problème provoque un retard dans la commande envoyée à Exchange. XenMobile Mail Manager ne met en file d’attente qu’une seule instance de chaque commande. [CXM-51524]

Nouveautés dans la version 10.1.3

  • Prise en charge de Google Analytics : nous souhaitons savoir comment vous utilisez XenMobile Mail Manager afin de pouvoir nous concentrer sur l’amélioration du produit.
  • Paramètre d’activation des diagnostics : une case à cocher Enable Diagnostic s’affiche dans la console Configure de la boîte de dialogue Configuration.

Image de la console Mail Manager

Problèmes résolus dans la version 10.1.3

  • Dans la fenêtre Snapshot History, les infobulles qui montrent l’état actuel de l’instantané ne reflètent pas l’état actuel. [CXM-5570] Parfois, XenMobile Mail Manager ne peut pas écrire dans le fichier de diagnostic Commands. Lorsque cela se produit, l’historique des commandes n’est pas consigné dans son intégralité. [CXM-49217]
  • Lorsqu’une erreur se produit avec une connexion, la connexion peut ne pas être marquée comme “erronée” (errored). Par conséquent, une commande ultérieure peut tenter d’utiliser la connexion et provoquer une autre erreur. [CXM-49495]
  • Lors d’une limitation en provenance du serveur Exchange, une exception peut être envoyée dans la routine Check Health. Par conséquent, les connexions ayant rencontré une erreur ou ayant expiré risquent de ne pas être purgées. En outre, XenMobile Mail Manager peut ne pas créer de connexions jusqu’à ce que le délai de limitation expire. [CXM-49794].
  • Lorsque le nombre maximal de sessions pour Exchange est dépassé, XenMobile Mail Manager signale l’erreur “Device Capture Failed”, qui n’est pas un message exact. Au lieu de cela, le message doit indiquer que les deux sessions que XenMobile Mail Manager utilise normalement pour la communication Exchange sont en cours d’utilisation. [CXM-49994]

Nouveautés dans la version 10.1.2

  • Connexion améliorée à Exchange : XenMobile Mail Manager utilise des sessions PowerShell pour communiquer avec Exchange. Une session PowerShell, en particulier avec Office 365, peut devenir instable après un certain temps, empêchant les commandes suivantes de réussir. XenMobile Mail Manager peut maintenant définir une période d’expiration pour les connexions. Lorsque la connexion atteint son heure d’expiration, XenMobile Mail Manager arrête la session PowerShell et crée une session. Ce faisant, la session PowerShell est moins susceptible de devenir instable, ce qui réduit considérablement les risques d’échec d’un instantané.
  • Flux de travail instantané amélioré : les instantanés importants représentent une opération longue et fastidieuse. Si une erreur se produit pendant un instantané, XenMobile Mail Manager tente désormais à plusieurs reprises (jusqu’à trois) d’effectuer une capture instantanée. Les tentatives suivantes ne commencent pas depuis le début. XenMobile Mail Manager continue là où il s’est arrêté. Ce changement améliore le taux de réussite des instantanés en général en permettant aux erreurs transitoires de passer pendant qu’un instantané est encore en cours.
  • Amélioration des diagnostics : le dépannage des opérations de capture d’instantané est maintenant plus facile avec trois nouveaux fichiers de diagnostic pouvant être générés au cours d’un instantané. Ces fichiers permettent d’identifier les problèmes de commande PowerShell, les boîtes aux lettres avec informations manquantes et les appareils qui ne peuvent pas être associés à une boîte aux lettres. Un administrateur peut utiliser ces fichiers pour identifier les données qui peuvent ne pas être correctes dans Exchange.
  • Amélioration de l’utilisation de la mémoire : XenMobile Mail Manager utilise désormais plus efficacement la mémoire. Les administrateurs peuvent planifier le redémarrage automatique de XenMobile Mail Manager pour fournir une version nettoyée du système.
  • Microsoft .NET Framework 4.6 : la version requise de Microsoft .NET Framework est maintenant la version 4.6.

Problèmes résolus

  • Erreur d’invite d’informations d’identification : l’instabilité de session Office 365 a souvent causé cette erreur. L’amélioration de la connexion à Exchange résout le problème. (XMHELP-293, XMHELP-311, XMHELP-801)
  • La boîte aux lettres et le nombre d’appareils sont inexacts : l’algorithme d’association de boîte aux lettres de XenMobile Mail Manage a été amélioré. La fonction d’amélioration des diagnostics facilite l’identification des boîtes aux lettres et des appareils que XenMobile Mail Manager considère comme n’étant pas sous sa responsabilité. (XMHELP-623)
  • Les commandes Autoriser / Bloquer / Effacer ne sont pas reconnues : correction d’un bogue avec lequel les commandes Autoriser / Bloquer / Effacer de XenMobile Mail Manager ne sont pas reconnues. (XMHELP-489)
  • Gestion de la mémoire : meilleure gestion de la mémoire. (XMHELP-419)

Architecture

Le diagramme suivant illustre les composants principaux de XenMobile Mail Manager. Pour un diagramme d’architecture de référence détaillé, voir Architecture.

Schéma d'une architecture avec XenMobile Mail Manager

Les trois composants principaux sont :

  • Exchange ActiveSync Access Control Management : communique avec XenMobile pour récupérer une stratégie Exchange ActiveSync depuis XenMobile, puis fusionne cette stratégie avec toutes les stratégies définies localement pour déterminer les appareils Exchange ActiveSync ayant le droit ou non d’accéder à Exchange. Les stratégies locales permettent d’étendre les règles de stratégie pour autoriser le contrôle d’accès par un groupe Active Directory, utilisateur, type d’appareil ou agent utilisateur de l’appareil (généralement la version de la plate-forme mobile).
  • Remote PowerShell Management : ce composant est responsable de la planification et de l’appel des commandes PowerShell à distance afin d’appliquer la stratégie compilée par la gestion du contrôle d’accès à Exchange ActiveSync. Il crée régulièrement un instantané de la base de données Exchange ActiveSync pour détecter de nouveaux périphériques ou des périphériques modifiés Exchange ActiveSync.
  • Fournisseur de services mobiles : fournit une interface de service Web permettant à XenMobile d’interroger Exchange ActiveSync, d’interroger des appareils Blackberry, et d’émettre des opérations de contrôle, telles que l’effacement des appareils ActiveSync et Blackberry.

Configuration système requise et conditions préalables

La configuration système minimale suivante est nécessaire pour utiliser XenMobile Mail Manager :

  • Windows Server 2012 R2, Windows Server 2008 R2 (doit être un serveur en anglais)
  • Microsoft SQL Server 2016, SQL Server 2014, SQL Server 2012, SQL Server 2012 Express LocalDB ou SQL Server Express 2008
  • Microsoft .NET Framework 4.6
  • Blackberry Enterprise Service, version 5 (facultatif)

Versions minimales prises en charge de Microsoft Exchange Server :

  • Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013
  • Exchange Server 2010 SP2

Prerequisites:

  • Windows Management Framework doit être installé.
    • PowerShell V5, V4 et V3
  • La stratégie d’exécution de PowerShell doit être paramétrée sur RemoteSigned via Set-ExecutionPolicy RemoteSigned.
  • Le port TCP 80 doit être ouvert entre l’ordinateur exécutant XenMobile Mail Manager et le serveur Exchange distant.

Clients de messagerie d’appareil : les clients de messagerie ne renvoient pas tous le même ID ActiveSync pour un appareil. Étant donné que XenMobile Mail Manager s’attend à un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent toujours le même ID ActiveSync unique pour chaque appareil sont pris en charge. Ces clients de messagerie ont été testés par Citrix et aucune erreur n’a été détectée :

  • Client de messagerie natif HTC
  • Client de messagerie natif Samsung
  • Client de messagerie natif iOS
  • TouchDown for Smartphones

Exchange : la configuration requise pour l’ordinateur local exécutant Exchange est la suivante :

Les informations d’identification spécifiées dans l’interface utilisateur de la console Exchange Configuration doivent être en mesure de se connecter au serveur Exchange Server et bénéficier d’un accès complet pour exécuter les applets de commande PowerShell spécifiques à Exchange suivantes :

  • Pour Exchange Server 2010 SP2 :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Pour Exchange Server 2013 et Exchange Server 2016 :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Si XenMobile Mail Manager est configuré pour afficher l’ensemble de la forêt, l’autorisation doit avoir été accordée pour exécuter : Set-AdServerSettings -ViewEntireForest $true
  • Les informations d’identification fournies doivent avoir été autorisées à se connecter au serveur Exchange Server via le Shell distant. Par défaut, l’utilisateur qui a installé Exchange possède ce droit.
  • Conformément à l’article Microsoft TechNet about_Remote_Requirements, afin d’établir une connexion à distance et exécuter les commandes distantes, les informations d’identification doivent correspondre à un utilisateur qui est un administrateur sur l’appareil distant. Vous pouvez utiliser Set-PSSessionConfiguration pour éliminer les exigences administratives, mais cette commande n’entre pas dans le cadre de ce document. Pour plus d’informations, consultez ce billet de blog, You Don’t Have to Be An Administrator to Run Remote PowerShell Commands.
  • Le serveur Exchange doit être configuré pour prendre en charge les requêtes PowerShell distantes via HTTP. En règle générale, un administrateur exécutant la commande PowerShell suivante sur le serveur Exchange est la seule exigence requise : WinRM QuickConfig.
  • Exchange possède de nombreuses stratégies de limitation. L’une de ces stratégies contrôle combien de connexions PowerShell simultanées sont autorisées par utilisateur. Par défaut, le nombre de connexions simultanées autorisées pour un utilisateur est de 18 sur Exchange 2010. Lorsque la limite de connexion est atteinte, XenMobile Mail Manager ne peut pas se connecter au serveur Exchange. Il existe plusieurs méthodes pour changer le nombre maximal de connexions simultanées autorisées via PowerShell qui ne sont pas couvertes dans cette documentation. Si vous êtes intéressé, renseignez-vous au sujet des stratégies de limitation d’Exchange relatives à la gestion à distance avec PowerShell.

Configuration requise pour Office 365 Exchange

  • Autorisations : les informations d’identification spécifiées dans l’interface utilisateur de la console Exchange Configuration doivent être en mesure de se connecter à Office 365 et bénéficier d’un accès complet pour exécuter les applets de commande PowerShell spécifiques à Exchange suivantes :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Privilèges : les informations d’identification fournies doit avoir été autorisées à se connecter au serveur Office 365 via le Shell distant. Par défaut, l’administrateur d’Office 365 Online possède les privilèges requis.
  • Stratégies de limitation : Exchange possède de nombreuses stratégies de limitation. L’une de ces stratégies contrôle combien de connexions PowerShell simultanées sont autorisées par utilisateur. Par défaut, le nombre de connexions simultanées autorisées pour un utilisateur est de trois sur Office 365. Lorsque la limite de connexion est atteinte, XenMobile Mail Manager ne peut pas se connecter au serveur Exchange. Il existe plusieurs méthodes pour changer le nombre maximal de connexions simultanées autorisées via PowerShell qui ne sont pas couvertes dans cette documentation. Si vous êtes intéressé, renseignez-vous au sujet des stratégies de limitation d’Exchange relatives à la gestion à distance avec PowerShell.

Installer et configurer

  1. Cliquez sur le fichier XmmSetup.msi puis suivez les instructions de l’assistant pour installer XenMobile Mail Manager.

    Image de l'écran de configuration de Mail Manager

  2. Laissez l’option Launch the Configure utility sélectionnée dans le dernier écran de l’assistant. OU, à partir du menu Démarrer, ouvrez XenMobile Mail Manager.

    Image de l'écran de configuration de Mail Manager

  3. Configurez les propriétés de base de données suivantes :

    • Sélectionnez l’onglet Configure > Database.
    • Entrez le nom du serveur SQL (localhost par défaut).
    • Conservez la base de données par défaut CitrixXmm.
  4. Sélectionnez l’un des modes d’authentification suivants utilisés pour SQL :

    • SQL : entrez le nom d’utilisateur et le mot de passe d’un utilisateur SQL valide.
    • Windows Integrated : si vous sélectionnez cette option, les informations d’identification d’ouverture de session du service XenMobile Mail Manager doivent être modifiées par un compte Windows disposant des autorisations nécessaires pour accéder au serveur SQL. Pour ce faire, ouvrez le Panneau de configuration > Outils d’administration > Services, cliquez avec le bouton droit de la souris sur l’entrée du service XenMobile Mail Manager, puis sélectionnez l’onglet Log On (Connexion).

    Si Windows Integrated est également choisi pour la connexion à la base de données BlackBerry, le compte Windows spécifié ici doit également pouvoir accéder à la base de données BlackBerry.

  5. Cliquez sur Test Connectivity pour vérifier qu’une connexion peut être établie avec le serveur SQL, puis cliquez sur Save.

  6. Un message vous invite à redémarrer le service. Cliquez sur Yes.

    Image de l'écran de configuration de Mail Manager

  7. Configurez un ou plusieurs serveurs Exchange :

    • Si vous ne gérez qu’un seul environnement Exchange, spécifiez un seul serveur. Si vous gérez plusieurs environnements Exchange, spécifiez un seul serveur Exchange pour chaque environnement Exchange.
    • Cliquez sur l’onglet Configure > Exchange, puis cliquez sur Add.

    Image de l'écran de configuration de Mail Manager

  8. Sélectionnez le type d’environnement de serveur Exchange, soit On Premise soit Office 365.

    Image de l'écran de configuration de Mail Manager

    • Si vous sélectionnez On Premise, entrez le nom du serveur Exchange qui sera utilisé pour les commandes PowerShell à distance.
    • Entrez le nom d’utilisateur d’une identité Windows disposant des droits appropriés sur le serveur Exchange comme indiqué dans la section Configuration requise et entrez le mot de passe de l’utilisateur.
    • Sélectionnez la planification d’exécution de captures d’instantanés principaux. Un instantané principal détecte tous les partenariats Exchange ActiveSync.
    • Sélectionnez la planification d’exécution des captures d’instantanés secondaires. Un instantané secondaire détecte les partenariats Exchange ActiveSync nouvellement créés.
    • Sélectionnez le type d’instantané : Deep ou Shallow. Les instantanés Shallow sont plus rapides et suffisants pour exécuter toutes les fonctions de contrôle d’accès Exchange ActiveSync de XenMobile Mail Manager. Les instantanés Deep peuvent prendre plus de temps et sont uniquement nécessaires si Mobile Service Provider est activé pour ActiveSync. Cette option permet à XenMobile d’interroger les appareils non gérés.
    • Sélectionnez les paramètres d’accès par défaut : Allow, Block ou Unchanged. Ce paramètre contrôle la façon dont sont traités tous les appareils autres que ceux identifiés explicitement par des règles locales ou XenMobile. Si vous sélectionnez Allow, l’accès à ActiveSync à tous ces appareils est autorisé. Si vous sélectionnez Block, l’accès est refusé. Si vous sélectionnez Unchanged, aucune modification n’est effectuée.
    • Sélectionnez le mode de commande ActiveSync : PowerShell ou Simulation.
    • En mode PowerShell, XenMobile Mail Manager émet des commandes PowerShell afin d’appliquer le contrôle d’accès souhaité. En mode Simulation, XenMobile Mail Manager n’émet pas de commandes PowerShell, mais consigne la commande prévue et les résultats escomptés dans la base de données. En mode Simulation, l’utilisateur peut alors utiliser l’onglet Monitor pour voir ce qui serait arrivé si le mode PowerShell était activé.
    • Dans Connection Expiration, définissez les heures et les minutes pour la durée de vie d’une connexion. Lorsqu’une connexion atteint la durée spécifiée, la connexion est marquée comme expirée, de sorte que la connexion n’est jamais utilisée à nouveau. Lorsque la connexion expirée n’est plus utilisée, XenMobile Mail Manager arrête la connexion. Lorsqu’une connexion est de nouveau nécessaire, une nouvelle connexion est initialisée si aucune n’est disponible. Si aucune n’est spécifiée, la valeur par défaut de 30 minutes est utilisée.
    • Sélectionnez View Entire Forest pour configurer XenMobile Mail Manager de manière à ce qu’il affiche la forêt Active Directory entière dans l’environnement Exchange.
    • Sélectionnez le protocole d’authentification : Kerberos ou Basic. XenMobile Mail Manager prend en charge l’authentification de base pour les déploiements locaux. Cela permet à XenMobile Mail Manager d’être utilisé lorsque le serveur XenMobile Mail Manager n’est pas membre du domaine dans lequel le serveur Exchange réside.
    • Cliquez sur Test Connectivity pour vérifier qu’une connexion peut être établie avec le serveur Exchange, puis cliquez sur Save.
    • Un message vous invite à redémarrer le service. Cliquez sur Yes.
  9. Configurer les règles d’accès : sélectionnez l’onglet Configure > Access Rules, cliquez sur l’onglet XMS Rules, puis sur Add.

    Image de la console Mail Manager

  10. Dans la page XenMobile server Service Properties, modifiez la chaîne d’URL pour qu’elle pointe vers le serveur XenMobile. Par exemple, si le nom de l’instance est zdm, entrez http://<XdmHostName>/zdm/services/MagConfigService. Dans l’exemple, remplacez XdmHostName par l’adresse IP ou DNS du serveur XenMobile.

    Image de la console Mail Manager

    • Entrez un utilisateur autorisé sur le serveur.
    • Entrez le mot de passe de l’utilisateur.
    • Conservez les valeurs par défaut Baseline Interval, Delta Interval, et Timeout values.
    • Cliquez sur Test Connectivity pour tester la connexion au serveur, puis cliquez sur OK.

    Si la case Disabled est cochée, XenMobile Mail Service ne collecte pas de stratégie depuis XenMobile.

  11. Cliquez sur l’onglet Local Rules.

    Image de la console Mail Manager

    • Vous pouvez ajouter des règles locales basées sur ActiveSync Device ID, Device Type, AD Group, User ou UserAgent. Sélectionnez le type approprié dans la liste.
    • Tapez le texte ou les fragments de texte dans la zone de texte. Si vous le souhaitez, cliquez sur le bouton de requête pour afficher les entités qui correspondent au fragment.

    Pour tous les types autres que Group, le système s’appuie sur les appareils qui ont été localisés dans un instantané. Par conséquent, si vous démarrez et que vous n’avez pas réalisé d’instantané, aucune entité n’est disponible.

    • Sélectionnez une valeur de texte, puis cliquez sur Allow ou Deny pour l’ajouter à la Rule List sur le côté droit. Vous pouvez modifier l’ordre des règles ou les supprimer en utilisant les boutons situés à droite du panneau de Rule List. L’ordre est important car pour un utilisateur et un appareil donné, les règles sont évaluées dans l’ordre indiqué. Dans le cas d’une correspondance à une règle de niveau élevé (près du haut de la liste), les règles se trouvant plus bas dans la liste n’ont pas d’effet. Par exemple, si vous possédez une règle qui autorise tous les iPad, et une règle suivante bloquant l’utilisateur « Matt », l’iPad de Matt sera autorisé car la règle « iPad » possède une priorité plus élevée que la règle « Matt ».
    • Pour effectuer une analyse des règles dans la liste de règles afin de rechercher des remplacements, des conflits ou des constructions supplémentaires potentiels, cliquez sur Analyze, puis sur Save.
  12. Si vous souhaitez créer des règles locales qui fonctionnent sur des groupes Active Directory, cliquez sur Configure LDAP, puis configurez les propriétés de connexion LDAP.

    Image de la console Mail Manager

  13. Configurez le Mobile Service Provider.

    Le fournisseur de services mobiles est facultatif. Ce paramètre est uniquement nécessaire si XenMobile est également configuré pour utiliser l’interface Mobile Service Provider pour interroger les appareils non gérés.

    • Cliquez sur l’onglet Configure > MSP.

    Image de la console Mail Manager

    • Définissez le type de transport de service sur HTTP ou HTTPS pour le service Mobile Service Provider service.
    • Définissez le port de service (généralement 80 ou 443) pour le service Fournisseur de services mobiles. Si vous utilisez le port 443, le port requiert un certificat SSL lié dans IIS.
    • Définissez le groupe ou l’utilisateur d’autorisation. Cela définit l’utilisateur ou l’ensemble des utilisateurs qui peuvent se connecter au service fournisseur de services mobiles XenMobile.
    • Paramétrer si les requêtes ActiveSync sont actives ou non. Si les requêtes ActiveSync sont activées pour le serveur XenMobile, le type Snapshot pour un ou plusieurs serveurs Exchange doit être défini sur Deep. Ce paramètre peut entraîner des coûts de performances significatifs liés à la prise d’instantanés.
    • Par défaut, les appareils ActiveSync correspondants à l’expression régulière Secure Mail.*ne seront pas envoyés à XenMobile. Pour changer ce comportement, vous pouvez modifier le champ Filter ActiveSync si nécessaire. S’il est laissé vide, cela signifie que tous les appareils sont transférés vers XenMobile.
    • Cliquez sur Enregistrer.
  14. Vous pouvez également configurer une ou plusieurs instances de BlackBerry Enterprise Server (BES) : cliquez sur Add, puis entrez le nom du serveur BES SQL Server.

    Image de la console Mail Manager

    • Tapez le nom de la base de données de gestion BES.
    • Sélectionnez le mode Authentication. Si vous sélectionnez l’authentification intégrée Windows, le compte d’utilisateur du service XenMobile Mail Manager est le compte utilisé pour se connecter au serveur BES SQL. Si vous choisissez Windows Integrated pour la connexion à la base de données XenMobile Mail Manager, le compte Windows spécifié ici doit également pouvoir accéder à la base de données de XenMobile Mail Manager.
    • Si vous sélectionnez SQL authentication, entrez le nom d’utilisateur et le mot de passe.
    • Définissez Sync Schedule. Il s’agit du calendrier utilisé pour se connecter au serveur BES SQL et rechercher toute mise à jour d’appareil.
    • Cliquez sur Test Connectivity pour vérifier la connectivité avec le serveur SQL. Si Windows Integrated est sélectionné, ce test utilise l’utilisateur actuellement connecté et non l’utilisateur du service XenMobile Mail Manager et par conséquent ne teste pas correctement l’authentification SQL.
    • Pour prendre en charge l’effacement à distance (Wipe) et la réinitialisation du mot de passe (ResetPassword) d’appareils BlackBerry depuis XenMobile, sélectionnez la case Enabled.
    • Entrez le nom de domaine complet BES.
    • Entrez le port BES utilisé par le service Web d’administration.
    • Entrez le nom d’utilisateur complet et le mot de passe requis par le service BES.
    • Cliquez sur Test Connectivity pour tester la connexion au serveur BES.
    • Cliquez sur Enregistrer.

Appliquer les stratégies de messagerie avec des ID ActiveSync

Votre stratégie de messagerie d’entreprise peut refuser l’accès à la messagerie d’entreprise à certains appareils. Pour vous conformer à cette stratégie, vous devez vous assurer que les employés ne peuvent pas accéder à la messagerie d’entreprise à partir de tels appareils. XenMobile Mail Manager et XenMobile fonctionnent ensemble pour appliquer une telle stratégie de messagerie. XenMobile définit la stratégie d’accès à la messagerie d’entreprise, et lorsqu’un appareil non approuvé s’inscrit auprès de XenMobile, XenMobile Mail Manager applique la stratégie.

Le client de messagerie sur un appareil se fait connaître d’Exchange Server (ou Office 365) à l’aide de l’D d’appareil, également appelé ID ActiveSync, qui est utilisé pour identifier l’appareil. Secure Hub obtient un identificateur similaire et envoie l’identificateur à XenMobile lorsque l’appareil est inscrit. En comparant les ID des deux appareils, XenMobile Mail Manager peut déterminer si un appareil spécifique est autorisé à accéder à la messagerie d’entreprise. La figure suivante illustre ce concept :

Diagramme du flux de travail de détection d'ID ActiveSync

Si XenMobile envoie un ID ActiveSync à XenMobile Mail Manager qui est différent de l’ID publié auprès de Exchange par l’appareil, XenMobile Mail Manager ne peut pas indiquer à Exchange l’action à exécuter avec l’appareil.

La correspondance des ID ActiveSync fonctionne de manière fiable sur la plupart des plates-formes. Cependant, Citrix a constaté que sur certaines implémentations Android, l’ID ActiveSync de l’appareil est différent de l’ID publié par le client de messagerie auprès d’Exchange. Pour pallier ce problème, vous pouvez effectuer les tâches suivantes :

  • Sur la plate-forme Samsung SAFE, distribuez la configuration ActiveSync de l’appareil depuis XenMobile.
  • Sur les autres plates-formes Android, distribuez l’application TouchDown et la configuration TouchDown ActiveSync depuis XenMobile.

Cela n’empêche pas toutefois un employé d’installer un client de messagerie autre que TouchDown sur un appareil Android. Pour garantir que votre stratégie d’accès à la messagerie d’entreprise est appliquée correctement, vous pouvez adopter une approche de sécurité défensive et configurer XenMobile Mail Manager de manière à bloquer les e-mails en définissant la stratégie statique sur Deny by default. Cela signifie que si un employé configure un client de messagerie autre que TouchDown sur un appareil Android, et que la détection de l’ID ActiveSync ne fonctionne pas correctement, l’employé se voit refuser l’accès à la messagerie d’entreprise.

Règles de contrôle d’accès

XenMobile Mail Manager propose une approche basée sur des règles permettant de configurer dynamiquement le contrôle d’accès aux appareils Exchange ActiveSync. Une règle de contrôle d’accès à XenMobile Mail Manager se compose de deux parties : une expression correspondante et un état d’accès désiré (Autoriser ou Bloquer). Une règle doit être testée par rapport à un appareil ActiveSync Exchange donné pour déterminer si elle s’applique à l’appareil ou correspond à ce dernier. Il existe plusieurs types d’expressions correspondantes ; une règle peut, par exemple, correspondre à tous les appareils d’un type d’appareil donné ou à un ID d’appareil ActiveSync Exchange spécifique, ou encore à tous les appareils d’un utilisateur spécifique, etc.

À tout moment lors de l’ajout, la suppression et la réorganisation de règles dans la liste, si vous cliquez sur le bouton Cancel, l’état dans lequel se trouvait la liste lors de la première ouverture est rétabli. Si vous fermez l’outil de configuration sans cliquer sur Save, les modifications apportées sur cette fenêtre seront perdues.

XenMobile Mail Manager propose trois types de règles : les règles locales, les règles du serveur XenMobile (aussi appelées règles XDM), et la règle d’accès par défaut.

Local rules (Règles locales) : les règles locales ont la priorité la plus élevée : si un appareil est identifié par une règle locale, l’évaluation de la règle ne s’applique pas. Ni les règles du serveur XenMobile ni la règle d’accès par défaut ne seront consultées. Les règles locales se configurent localement sur XenMobile Mail Manager via l’onglet Configure>Access Rules>Local Rules. La prise en charge de correspondance se base sur l’appartenance des utilisateurs à un groupe Active Directory donné. La prise en charge de correspondance se base sur des expressions régulières pour les champs suivants :

  • Active Sync Device ID
  • ActiveSync Device Type
  • User Principal Name (UPN)
  • ActiveSync User Agent (généralement la plate-forme de l’appareil ou le client de messagerie)

Si un instantané principal a été effectué et qu’il a trouvé des appareils, vous pouvez ajouter une règle d’expressions normales ou régulières. Si aucun instantané principal n’a été effectué, vous pouvez uniquement ajouter des règles d’expressions régulières.

Règles du serveur XenMobile : les règles du serveur XenMobile sont des références à un serveur XenMobile externe qui fournit des règles aux appareils gérés. Le serveur XenMobile peut être configuré avec ses propres règles de haut niveau qui identifient les appareils à autoriser ou à bloquer en fonction des propriétés connues par XenMobile, par exemple si l’appareil est jailbreaké ou s’il contient des applications interdites. XenMobile évalue les règles de haut niveau et génère un ensemble d’ID d’appareils ActiveSync autorisés ou bloqués, qui sont ensuite envoyés à XenMobile Mail Manager.

Default access rule (Règle d’accès par défaut) : la règle d’accès par défaut est unique car elle peut potentiellement s’appliquer à tous les appareils et elle est toujours évaluée en dernier. C’est la règle passe-partout, ce qui signifie que si un appareil donné ne correspond pas à une règle locale ou de XenMobile Server, l’état d’accès souhaité de l’appareil est déterminé par l’état d’accès souhaité de la règle d’accès par défaut.

  • Default Access – Allow (Accès par défaut - Autoriser) : tout appareil ne correspondant pas à une règle locale ou de XenMobile Server sera autorisé.
  • Default Access – Block (Accès par défaut - Bloquer) : tout appareil ne correspondant pas à une règle locale ou de XenMobile Server sera bloqué.
  • Default Access - Unchanged (Accès par défaut - Inchangé) : l’état d’accès de tout appareil non associé à une règle locale ou de XenMobile Server ne pourra pas être modifié par XenMobile Mail Manager. Si un appareil a été placé en quarantaine par Exchange, aucune action n’est prise ; par exemple, la seule manière de retirer un appareil en quarantaine est de posséder une règle locale ou XDM qui outrepasse explicitement la quarantaine.

À propos des évaluations de règles

Pour chaque appareil pour lequel Exchange remet des rapports à XenMobile Mail Manager, les règles sont évaluées dans l’ordre, de la priorité la plus élevée à la plus faible, comme suit :

  • Règles locales
  • XenMobile server rules (Règles du serveur XenMobile).
  • Règle d’accès par défaut

Lorsqu’une correspondance est trouvée, l’évaluation s’arrête. Par exemple, si un appareil correspond à une règle locale, l’appareil ne sera pas évalué par rapport aux règles du serveur XenMobile ou à la règle d’accès par défaut. Cela reste aussi vrai pour un type de règle donné. Par exemple, s’il existe plus d’une correspondance pour un appareil donné dans la liste des règles locales, l’évaluation s’arrête dès la première correspondance.

XenMobile Mail Manager réévalue l’ensemble des règles déjà définies lorsque les propriétés d’un appareil sont modifiées, lorsque des appareils sont ajoutés ou supprimés ou lorsque les règles sont modifiées. Les instantanés principaux détectent la suppression d’appareils ainsi que les modifications apportées à leurs propriétés à intervalles configurables. Les instantanés secondaires détectent les nouveaux appareils à intervalles configurables.

Exchange ActiveSync possède aussi des règles régissant l’accès. Il est important de bien comprendre la façon dont ces règles fonctionnent dans l’environnement XenMobile Mail Manager. Exchange peut être configuré avec trois niveaux de règles : les exemptions personnelles, les règles d’appareil et les paramètres d’organisation. XenMobile Mail Manager automatise le contrôle d’accès en envoyant des requêtes PowerShell à distance via un programme pour modifier la liste des exemptions personnelles. Il s’agit de listes d’ID d’appareils Exchange ActiveSync autorisés ou bloqués associés à une boîte aux lettres donnée. Lorsqu’il est déployé, XenMobile Mail Manager prend en charge la gestion des listes d’exemptions dans Exchange. Pour plus d’informations, consultez cet article Microsoft.

L’analyse est particulièrement utile dans les situations dans lesquelles plusieurs règles ont été définies pour le même champ. Vous pouvez résoudre les relations entre les règles. Vous pouvez effectuer des analyses depuis la perspective des champs de règle ; par exemple, les règles sont analysées par groupes en fonction du champ remplissant la condition, tel que ActiveSync device ID, ActiveSync device type, User, User Agent, et ainsi de suite.

Terminologie relative aux règles

  • Règle absolue : une substitution se produit lorsque plusieurs règles s’appliquent à un même appareil. Étant donné que les règles sont évaluées par priorité dans la liste, la ou les dernières instances de règle devant s’appliquer peuvent ne jamais être évaluées.
  • Règle conflictuelle : un conflit survient quand plusieurs règles s’appliquent à un même appareil et que l’accès (Autoriser/Bloquer) ne correspond pas. Si les règles conflictuelles ne sont pas des expressions régulières, un conflit se traduit toujours implicitement par une substitution.
  • Règle complémentaire : un complément a lieu lorsque plusieurs règles sont des expressions régulières et par conséquent, il peut s’avérer nécessaire de vérifier que les deux expressions régulières (ou plus) peuvent être combinées en une seule expression ou qu’il n’y ait pas duplication de fonctionnalités. Une règle complémentaire peut également causer des problèmes de conflit d’accès (Autoriser/Bloquer).
  • Règle principale : la règle principale est la règle sur laquelle l’utilisateur a cliqué dans la boîte de dialogue. La règle est indiquée visuellement par une bordure. La règle aura également une ou deux flèches vertes pointant vers le haut ou vers le bas. Si une flèche pointe vers le haut, cela indique qu’il existe des règles secondaires qui précèdent la règle principale. Si une flèche pointe vers le bas, cela indique qu’il existe des règles secondaires qui s’appliquent après la règle principale. Seule une règle principale peut être active à tout moment.
  • Règle secondaire : une règle secondaire est liée d’une certaine manière à la règle principale que ce soit via une relation de remplacement, de conflit ou supplémentaire. Les règles sont indiquées visuellement par une bordure en pointillés. Pour chaque règle principale, il peut y avoir une ou plusieurs règles secondaires. Lorsque vous cliquez sur une entrée soulignée, la ou les règles secondaires sélectionnées le sont toujours du point de vue de la règle principale. Par exemple, la règle secondaire est remplacée par la règle principale et/ou la règle secondaire entrera en conflit avec la règle principale et/ou la règle secondaire complétera la règle principale.

Apparence des types de règles dans la boîte de dialogue d’analyse des règles

Lorsqu’il n’y a aucun conflit, remplacement, ou complément, il n’y a pas d’entrées soulignées dans la boite de dialogue Rule Analysis. Par exemple, cliquer sur des éléments n’a pas d’impact, les éléments normaux sélectionnés sont mis en évidence.

La fenêtre Rule Analysis contient une case qui, lorsqu’elle est sélectionnée, affiche uniquement les conflits, remplacements, redondances ou compléments.

Image de la console Mail Manager

Lorsqu’une substitution se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Au moins une règle secondaire s’affiche dans une police plus claire pour indiquer que la règle a été remplacée par une règle de priorité plus élevée. Vous pouvez cliquer sur les règles remplacées pour déterminer la ou les règles qui ont remplacé la règle. Lorsqu’une règle remplacée a été soulignée que ce soit parce que la règle est une règle principale ou secondaire, un cercle noir apparaît à côté en guise d’indication visuelle signifiant que la règle est inactive. Par exemple, avant de cliquer sur la règle, la boîte de dialogue se présente comme suit :

Image de la console Mail Manager

Lorsque vous cliquez sur la règle prioritaire, la boîte de dialogue se présente comme suit :

Image de la console Mail Manager

Dans cet exemple, la règle d’expression régulière WorkMail.* est la règle principale (indiquée par une bordure pleine) et la règle normale workmailc633313818 est une règle secondaire (indiquée par une bordure en pointillés). Le point noir à côté de la règle secondaire est une indication visuelle qui signifie que la règle est inactive (ne sera jamais évaluée) en raison de la règle d’expression régulière prioritaire. Après avoir cliqué sur la règle remplacée, la boîte de dialogue se présente comme suit :

Image de la console Mail Manager

Dans l’exemple précédent, la règle d’expression régulière WorkMail.* est la règle secondaire (indiquée par une bordure en pointillés) et la règle normale workmailc633313818 est une règle principale (indiquée par une bordure pleine). Pour cet exemple simple, il n’y a pas grande différence. Pour un exemple plus compliqué, consultez l’exemple d’expression complexe plus en avant dans cette rubrique. Dans un scénario avec de nombreuses règles définies, cliquer sur la règle remplacée permet d’identifier rapidement par quelles règles elle a été remplacée.

Lorsqu’un conflit se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Les règles en conflit sont indiquées par un point rouge. Le cas de règles qui entrent seulement en conflit avec une autre règle est uniquement possible avec deux ou plusieurs règles d’expressions régulières définies. Dans tous les autres cas de conflit, il y aura non seulement un conflit, mais aussi un remplacement. Avant de cliquer sur des règles dans un exemple simple, la boîte de dialogue se présente comme suit :

Image de la console Mail Manager

En inspectant les deux règles d’expressions régulières, il est évident que la première règle autorise tous les appareils avec un ID d’appareil contenant « App » et que la deuxième règle refuse tous les appareils avec un ID d’appareil contenant « Appl ». En outre, même si la deuxième règle refuse tous les appareils avec un ID d’appareil contenant « Appl », aucun appareil correspondant à ces critères ne verra son accès refusé en raison de la priorité plus élevée de la règle l’y autorisant. Après avoir cliqué sur la première règle, la boîte de dialogue se présente comme suit :

Image de la console Mail Manager

Dans le cas précédent, la règle principale (règle d’expression régulière App.*) et la règle secondaire (règle d’expression régulière Appl.*) sont toutes deux affichées en jaune. Il s’agit simplement d’une indication visuelle vous alertant du fait que vous avez appliqué plus d’une règle d’expression régulière à un même champ de correspondance, ce qui peut entraîner un problème de redondance ou quelque chose de plus sérieux.

Dans un cas regroupant un conflit et un remplacement, la règle principale (règle d’expression régulière App.*) et la règle secondaire (règle d’expression régulière Appl.*) sont surlignées en jaune. Il s’agit simplement d’une indication visuelle vous alertant du fait que vous avez appliqué plus d’une règle d’expression régulière à un même champ de correspondance, ce qui peut entraîner un problème de redondance ou quelque chose de plus sérieux.

Image de la console Mail Manager

Il est facile de voir dans l’exemple précédent que la première règle (règle d’expression régulière SAMSUNG.*) ne remplace pas seulement la règle suivante (règle normale SAMSUNG-SM-G900A/101.40402), mais que l’accès des deux règles est différent (la règle principale indique Autoriser, la règle secondaire indique Bloquer). La deuxième règle (règle normale SAMSUNG-SM-G900A/101.40402) est affichée dans une police plus claire pour indiquer qu’elle a été remplacée et qu’elle n’est donc pas active.

Après avoir cliqué sur la règle d’expression régulière, la boîte de dialogue se présente comme suit :

Image de la console Mail Manager

La règle principale (règle d’expression régulière SAMSUNG.*) est suivie d’un point rouge indiquant qu’elle entre en conflit avec une ou plusieurs règles secondaires. La règle secondaire (règle normale SAMSUNG-SM-G900A/101.40402) est suivie d’un point rouge pour indiquer que son état d’accès est en conflit avec la règle principale. Cette règle est également suivie d’un point noir pour indiquer qu’elle est substituée et donc inactive.

Au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Les règles qui se complètent uniquement entre elles n’impliquent que des règles d’expressions régulières. Lorsque des règles se complètent entre elles, elles sont surlignées en jaune. Avant de cliquer sur des règles dans un exemple simple, la boîte de dialogue se présente comme suit :

Image de la console Mail Manager

L’inspection visuelle révèle facilement que les deux règles sont des règles d’expressions régulières qui s’appliquent toutes les deux au champ ActiveSync device ID dans XenMobile Mail Manager. Après avoir cliqué sur la première règle, la boîte de dialogue se présente comme suit :

Image de la console Mail Manager

La règle principale (règle d’expression régulière WorkMail.*) est surlignée en jaune pour indiquer qu’il existe au moins une autre règle secondaire qui est une expression régulière. La règle secondaire (règle d’expression régulière SAMSUNG.*) est surlignée en jaune pour indiquer que celle-ci et la règle principale sont des règles d’expressions régulières qui s’appliquent à un même champ dans XenMobile Mail Manager. Dans ce cas, ce champ est ActiveSync device ID. Les expressions régulières peuvent ou non se chevaucher. C’est à vous de décider si vos expressions régulières sont correctement conçues.

Exemple d’expression complexe

De nombreux remplacements, conflits ou compléments sont susceptibles de se produire, c’est pourquoi il est impossible de fournir des exemples couvrant tous les scénarios envisageables. L’exemple suivant explique ce qu’il ne faut pas faire, et sert aussi à illustrer toute la portée de la présentation visuelle de l’analyse des règles. La plupart des éléments sont soulignés dans la figure ci-après. Plusieurs des éléments s’affichent dans une police plus claire, ce qui indique que la règle en question a été remplacée par une règle dont la priorité est plus élevée. Un certain nombre de règles d’expressions régulières sont incluses dans la liste, comme l’indique l’icône Image de l'icône.

Image de la console Mail Manager

Comment analyser un remplacement

Pour afficher la ou les règles qui ont remplacé une règle particulière, cliquez sur cette dernière.

Exemple 1 : cet exemple explique pourquoi zentrain01@zenprise.com a été remplacée.

Image de la console Mail Manager

La règle principale (règle de groupe AD zenprise/TRAINING/ZenTraining B, dont zentrain01@zenprise.com est un membre) présente les caractéristiques suivantes :

  • Est surlignée en bleu et encadrée par une bordure pleine.
  • A une flèche verte pointant vers le haut (pour indiquer que la règle secondaire ou l’ensemble des règles se trouvent au-dessus).
  • Est suivie d’un cercle rouge et d’un cercle noir pour indiquer respectivement qu’une ou plusieurs règles secondaires sont en conflit et que la règle principale a été remplacée et n’est donc pas active.

Si vous faites défiler vers le haut, vous pouvez voir ce qui suit :

Image de la console Mail Manager

Dans ce cas, il existe deux règles secondaires qui remplacent la règle principale : la règle d’expression régulière zen.* et la règle normale zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). Dans le cas de la dernière règle secondaire, la règle de groupe Active Directory ZenTraining A contient l’utilisateur zentrain01@zenprise.com et la règle de groupe Active Directory ZenTraining B contient aussi l’utilisateur zentrain01@zenprise.com. Toutefois, étant donné que la règle secondaire a une priorité plus élevée que la règle principale, la règle principale a été remplacée. L’accès à la règle principale est Autoriser. Et comme l’accès des deux règles secondaires est Bloquer, toutes sont suivies d’un cercle rouge indiquant un conflit d’accès.

Exemple 2 : cet exemple illustre la raison pour laquelle l’appareil avec l’ID d’appareil ActiveSync 069026593E0C4AEAB8DE7DD589ACED33 a été remplacé :

Image de la console Mail Manager

La règle principale (règle d’ID d’appareil normale 069026593E0C4AEAB8DE7DD589ACED33) présente les caractéristiques suivantes :

  • Est surlignée en bleu et encadrée par une bordure pleine.
  • A une flèche verte pointant vers le haut (pour indiquer que la règle secondaire doit se trouver au-dessus).
  • Est suivie par un cercle noir indiquant qu’une règle secondaire a remplacé la règle principale et que la règle est par conséquent inactive.

Image de la console Mail Manager

Dans ce cas, une seule règle secondaire remplace la règle principale : la règle d’expression régulière d’ID d’appareil ActiveSync est 3E.*. Comme l’expression régulière 3E.* correspond à 069026593E0C4AEAB8DE7DD589ACED33, la règle ne sera jamais évaluée.

Comment analyser un supplément et un conflit

Dans ce cas, la règle principale est la règle d’expression régulière ActiveSync Device Type touch.* Les caractéristiques sont les suivantes :

  • Est signalée par une bordure pleine et surlignée en jaune indiquant qu’il y a plus d’une seule règle d’expression régulière appelant le même champ de règle, dans ce cas, ActiveSync device type.
  • Deux flèches pointant vers le haut et vers le bas, ce qui indique qu’il existe au moins une règle secondaire avec une priorité plus élevée et au moins une règle secondaire avec une priorité inférieure.
  • Le cercle rouge à côté indique qu’au moins une règle secondaire a son accès défini sur Autoriser ce qui entre en conflit avec l’accès de la règle principale qui est défini sur Bloquer.
  • Il existe deux règles secondaires : la règle d’expression régulière ActiveSync Device Type SAM.* et la règle d’expression régulière ActiveSync Device Type Andro.*.
  • Les deux règles secondaires sont encadrées par des pointillés pour indiquer qu’elles sont secondaires.
  • Les règles secondaires sont surlignées en jaune pour indiquer qu’elles s’appliquent en aussi au champ de la règle ActiveSync Device Type.
  • Vous devez vous assurer dans de tels scénarios que leurs règles d’expressions régulières ne sont pas redondantes.

Image de la console Mail Manager

Comment améliorer l’analyse des règles

Cet exemple explique pourquoi les relations entre les règles sont toujours abordées du point de vue de la règle principale. L’exemple précédent a montré comment un clic sur la règle d’expression régulière s’appliquait au champ de règle de type de périphérique avec une valeur de touch.*. Un clic sur la règle secondaire Andro.* montre un ensemble différent de règles secondaires mises en évidence.

Image de la console Mail Manager

Cet exemple présente une règle remplacée qui est inclue dans la relation de règle. Cette règle est la règle normale ActiveSync Device Type Android, qui est remplacée (indiquée par une police plus claire et un cercle noir à côté) et qui entre également en conflit avec la règle d’expression régulière principale ActiveSync Device Type Andro.*. Cette règle était auparavant une règle secondaire avant d’être sélectionnée. Dans l’exemple précédent, la règle normale ActiveSync Device Type Android n’était pas affichée en tant que règle secondaire, car du point de vue de la règle principale (règle d’expression régulière ActiveSync Device Type touch.*), elle n’était pas liée.

Pour configurer une règle locale d’expression normale

  1. Cliquez sur l’onglet Access Rules.

    Image de la console Mail Manager

  2. Dans la listeDevice ID, sélectionnez le champ pour lequel vous souhaitez créer une règle locale.

  3. Cliquez sur l’icône de la loupe pour afficher tous les résultats uniques pour le champ sélectionné. Dans cet exemple, le champ Device Type a été choisi et les choix sont affichés ci-dessous dans la zone de liste.

    Image de la console Mail Manager

  4. Cliquez sur un des éléments dans la liste des résultats et cliquez sur l’une des options suivantes :

    • Allow signifie qu’Exchange sera configuré pour permettre le trafic ActiveSync pour tous les appareils correspondant.
    • Deny signifie que Exchange sera configuré de manière à refuser le trafic ActiveSync de tous les appareils correspondant.

    Dans cet exemple, les appareils dont le type est TouchDown se voient refuser l’accès.

    Image de la console Mail Manager

Pour ajouter une expression régulière

Les règles locales d’expressions régulières peuvent être différenciées par l’icône qui s’affiche à leur côté - Image de l'icône. Pour ajouter une règle d’expression régulière, vous pouvez créer une règle d’expression régulière à partir d’une valeur existante dans la liste des résultats pour un champ donné (si un instantané principal a été effectué), ou vous pouvez simplement saisir l’expression régulière que vous souhaitez.

Pour créer une expression régulière à partir d’une valeur de champ existant

  1. Cliquez sur l’onglet Access Rules.

    Image de la console Mail Manager

  2. Dans la listeDevice ID, sélectionnez le champ pour lequel vous souhaitez créer une règle d’expression régulière locale.

  3. Cliquez sur l’icône de la loupe pour afficher tous les résultats uniques pour le champ sélectionné. Dans cet exemple, le champ Device Type a été choisi et les choix sont affichés ci-dessous dans la zone de liste.

    Image de la console Mail Manager

  4. Cliquez sur un des éléments dans la liste des résultats. Dans cet exemple, SAMSUNGSPHL720 a été sélectionné et s’affiche dans la zone de texte adjacente à Device Type.

    Image de la console Mail Manager

  5. Pour autoriser tous les types d’appareils qui ont « Samsung » dans leur valeur Device Type, ajoutez une règle d’expression régulière en suivant les étapes suivantes :

    1. Cliquez dans la zone de texte de l’élément sélectionné.

    2. Remplacez le texte SAMSUNGSPHL720 par SAMSUNG.*.

    3. Vérifiez que la case regular expression est cochée.

    4. Cliquez sur Allow.

    Image de la console Mail Manager

Pour créer une règle d’accès

  1. Cliquez sur l’onglet Local Rules.
  2. Pour entrer l’expression régulière, vous devez utiliser la liste Device ID et la zone de texte de l’élément sélectionné.

    Image de la console Mail Manager

  3. Sélectionnez le champ que vous voulez mettre en correspondance. Cet exemple utilise Device Type.
  4. Entrez l’expression régulière. Cet exemple utilise samsung.*
  5. Assurez-vous que la case regular expression est cochée et cliquez sur Allow ou Deny. Dans cet exemple, le choix est Allow. Le résultat final est le suivant :

    Image de la console Mail Manager

Pour rechercher des appareils

En cochant la case « regular expression », vous pouvez rechercher des appareils correspondant à l’expression donnée. Cette fonction est uniquement disponible si un instantané principal a été effectué. Vous pouvez utiliser cette fonction, même si vous ne prévoyez pas d’utiliser des règles d’expressions régulières. Imaginons que vous souhaitiez rechercher tous les appareils contenant « workmail » dans l’ID d’appareil ActiveSync. Pour ce faire, suivez cette procédure.

  1. Cliquez sur l’onglet Access Rules.
  2. Assurez-vous que le sélecteur de champ d’appareil est défini sur Device ID (valeur par défaut).

    Image de la console Mail Manager

  3. Cliquez sur la zone de texte de l’élément sélectionné (comme illustré en bleu dans la figure précédente) puis tapez workmail.*.
  4. Vérifiez que la case regular expression est cochée et cliquez sur l’icône de la loupe pour afficher les correspondances comme illustré dans la figure suivante.

    Image de la console Mail Manager

Pour ajouter un seul utilisateur, appareil ou type d’appareil à une règle statique

Vous pouvez ajouter des règles statiques basées sur l’utilisateur, l’ID d’appareil ou le type d’appareil sur l’onglet ActiveSync Devices.

  1. Cliquez sur l’onglet ActiveSync Devices.

  2. Dans la liste, cliquez avec le bouton droit sur un utilisateur, un appareil ou un type d’appareil et choisissez si vous souhaitez autoriser ou refuser votre sélection.

    L’image suivante montre l’option Allow/Deny lorsque user1 est sélectionné.

    Image de la console Mail Manager

Surveillance des appareils

L’onglet Monitor de XenMobile Mail Manager permet de visualiser les appareils Exchange ActiveSync et BlackBerry qui ont été détectés et l’historique des commandes PowerShell automatisées qui ont été émises. L’onglet Monitor inclut les trois onglets suivants :

  • ActiveSync Devices :
    • Vous pouvez exporter les partenariats d’appareils ActiveSync affichés en cliquant sur le bouton Export.
    • Vous pouvez ajouter des règles locales (statiques) en cliquant avec le bouton droit sur les colonnes User, Device IDType et en choisissant la règle d’autorisation ou de blocage appropriée.
    • Pour réduire une ligne développée, faites un Ctrl-clic sur la ligne développée.
  • Appareils BlackBerry
  • Historique d’automatisation

L’onglet Configure affiche l’historique de tous les instantanés. L’historique d’instantané affiche le moment où l’instantané a été capturé, la durée nécessaire à la capture, le nombre d’appareils détectés et toutes les erreurs qui se sont produites :

  • Sur l’onglet Exchange, cliquez sur l’icône d’information pour le serveur Exchange Server désiré.
  • Sous l’onglet MSP, cliquez sur l’icône d’information pour le serveur BlackBerry désiré.

Dépannage et diagnostics

XenMobile Mail Manager consigne erreurs et d’autres informations opérationnelles dans son fichier journal : dossier d’installation\log\XmmWindowsService.log. XenMobile Mail Manager consigne également d’importants événements dans le journal d’événements Windows.

Erreurs fréquentes

La liste suivante contient des erreurs courantes :

  • Le service XenMobile Mail Manager ne démarre pas

    En cas d’erreurs, consultez le fichier journal et le journal des événements Windows. Les raisons habituelles sont les suivantes :

    • Le service XenMobile Mail Manager ne peut pas accéder au serveur SQL. Cela peut être dû aux problèmes suivants :

      • Le service SQL Server n’est pas exécuté.
      • Échec de l’authentification.

      Si l’authentification Windows Integrated n’est pas configurée, le compte d’utilisateur du service XenMobile Mail Manager doit être une ouverture de session SQL autorisée. Le compte du service XenMobile Mail Manager utilise par défaut le compte système local, mais peut être modifié pour utiliser un autre compte disposant des privilèges d’administrateur local. Si l’authentification SQL est configurée, l’ouverture de session SQL doit être correctement configurée dans SQL.

    • Le port configuré pour le fournisseur de services mobiles (MSP) n’est pas disponible. Le port d’écoute sélectionné ne doit pas être utilisé par un autre processus du système.

  • XenMobile ne peut pas se connecter au MSP

    Vérifiez que le port du service MSP et le transport sont correctement configurés dans l’onglet Configure > MSP de la console XenMobile Mail Manager. Vérifiez qu’un groupe ou utilisateur d’autorisations est correctement défini.

    Si le protocole HTTPS est configuré, vous devez installer un certificat de serveur SSL valide. Si IIS est installé, vous pouvez utiliser le gestionnaire IIS (Internet Information Services) pour installer le certificat. Si IIS n’est pas installé, consultez la section http://msdn.microsoft.com/en-us/library/ms733791.aspx pour plus d’informations sur l’installation de certificats.

    XenMobile Mail Manager possède un utilitaire pour tester la connectivité au service MSP. Exécutez le programme DossierInstallation\MspTestServiceClient.exe et paramétrez l’URL et les informations d’identification afin qu’elles correspondent à celles qui seront configurées dans XenMobile, puis cliquez sur Test Connectivity. Cela simule les requêtes de service Web que XenMobile Service émet. Si le protocole HTTPS est configuré, vous devez spécifier le nom d’hôte actuelle du serveur (le nom spécifié dans le certificat SSL).

    Lors de l’utilisation de Test Connectivity, assurez-vous d’avoir au moins un enregistrement ActiveSyncDevice ou le test risque d’échouer.

    Image de la console Mail Manager

Outils de résolution des problèmes

Des utilitaires PowerShell destinés au dépannage sont disponibles dans le dossier Support\PowerShell.

Un outil de dépannage effectue une analyse approfondie des boîtes aux lettres et appareils des utilisateurs, détecte les conditions d’erreur et les zones de défaillance potentielles, et réalise également une analyse approfondie des RBAC (contrôle d’accès basé sur un rôle) des utilisateurs. Il peut enregistrer les sorties brutes de toutes les applets de commande sur un fichier texte.