XenMobile NetScaler Connector

XenMobile NetScaler Connector fournit un service d’autorisation au niveau de l’appareil des clients ActiveSync à NetScaler qui fait office de proxy inverse pour le protocole Exchange ActiveSync. L’autorisation est contrôlée par une combinaison de stratégies que vous définissez dans XenMobile et par des règles définies localement par XenMobile NetScaler Connector.

Pour de plus amples informations, consultez la section ActiveSync Gateway.

Pour un diagramme d’architecture de référence détaillé, voir Architecture.

La version actuelle de XenMobile NetScaler Connector est la version 8.5.1.11.

Nouveautés de la version actuelle

  • Modification de la configuration système requise : la version actuelle de NetScaler Connector requiert Microsoft .NET Framework 4.5.

  • Prise en charge de Google Analytics : nous souhaitons savoir comment vous utilisez XenMobile NetScaler Connector afin de pouvoir nous concentrer sur l’amélioration du produit.

  • Prise en charge de TLS 1.1 et 1.2 : en raison de ses risques pour la sécurité, TLS 1.0 est abandonné par le PCI Council. La prise en charge de TLS 1.1 et 1.2 est ajoutée à XenMobile NetScaler Connector.

Contrôle de XenMobile NetScaler Connector

L’utilitaire de configuration XenMobile NetScaler Connector offre une journalisation détaillée que vous pouvez utiliser pour afficher tout le trafic transitant par le biais de votre serveur Exchange Server qui est autorisé ou bloqué par Secure Mobile Gateway.

Utilisez l’onglet Log pour afficher l’historique des demandes ActiveSync transmises à XenMobile NetScaler Connector par NetScaler pour autorisation.

De plus, pour vous assurer que le service Web XenMobile NetScaler Connector est en cours d’exécution, vous pouvez charger l’adresse URL suivante dans un navigateur sur le serveur XenMobile NetScaler Connector http://<host:port>/services/ActiveSync/Version. Si l’adresse URL retourne la version du produit en tant que chaîne, le service Web est réactif.

Pour simuler le trafic ActiveSync avec XenMobile NetScaler Connector

Vous pouvez utiliser XenMobile NetScaler Connector pour simuler le trafic ActiveSync en conjonction avec vos stratégies. Dans l’utilitaire de configuration XenMobile NetScaler Connector, sélectionnez l’onglet Simulator. Les résultats vous montrent comment vos stratégies s’appliquent aux règles que vous avez configurées.

Choix de filtres pour XenMobile NetScaler Connector

Les filtres XenMobile NetScaler Connector fonctionnent en analysant un appareil à la recherche d’une violation de stratégie ou de paramètre de propriété donné. Si l’appareil est conforme aux critères, l’appareil est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. Il s’agit d’une liste d’appareils qui répondent aux critères définis. Les filtres suivants sont disponibles pour XenMobile NetScaler Connector dans XenMobile. Les deux options pour chaque filtre sont Autoriser ou Refuser.

  • Appareils anonymes : autorise ou refuse les appareils qui sont inscrits dans XenMobile, mais l’identité de l’utilisateur est inconnue. Par exemple, ceci peut être un utilisateur qui a été inscrit, mais le mot de passe Active Directory de l’utilisateur a expiré ou un utilisateur s’est inscrit avec des informations d’identification inconnues.
  • Échec de l’attestation Samsung KNOX : les appareils Samsung sont dotés de fonctionnalités de sécurité et de diagnostic. Ce filtre fournit la confirmation que l’appareil est configuré pour KNOX. Pour plus de détails, consultez l’article XenMobile Service sur Samsung KNOX.
  • Applications sur liste noire : autorise ou refuse les appareils en fonction de la liste des appareils définie par les stratégies de liste noire et la présence d’applications en liste noire.
  • Autorisations et refus implicite : crée une liste d’appareils de tous les appareils qui ne répondent pas à tous les critères de règle de filtre et les autorise ou les refuse en se basant sur cette liste. L’option Autorisation/refus implicite garantit que l’état de XenMobile NetScaler Connector dans l’onglet Appareils est activé et affiche l’état de XenMobile NetScaler Connector pour vos appareils. L’option Autorisation/refus implicite contrôle également tous les autres filtres XenMobile NetScaler Connector qui n’ont pas été sélectionnés. Par exemple, les Applications sur liste noire seront refusées (bloquées) par XenMobile NetScaler Connector, tandis que tous les autres filtres seront autorisés, car l’option Autorisation/refus implicite est définie sur Autoriser.
  • Appareils inactifs : crée une liste d’appareils des appareils qui n’ont pas communiqué avec XenMobile dans une période de temps spécifiée. Ces appareils sont considérés comme inactifs. Le filtre autorise ou refuse les appareils en conséquence.
  • Applications requises manquantes : lorsqu’un utilisateur s’inscrit, l’utilisateur reçoit une liste des applications requises qui doivent être installées. Le filtre des applications requises manquantes indique qu’une ou plusieurs applications ne sont plus présentes ; par exemple, l’utilisateur a supprimé une ou plusieurs applications.
  • Applications non suggérées : lorsqu’un utilisateur s’inscrit, l’utilisateur reçoit une liste des applications qu’il doit installer. Le filtre des applications non suggérées vérifie que l’appareil ne contient pas d’applications qui ne figurent pas dans cette liste.
  • Mot de passe non conforme : crée une liste d’appareils de tous les appareils qui ne disposent pas d’un code secret sur l’appareil.
  • Appareils non conformes : vous permet d’interdire ou d’autoriser des appareils qui répondent à vos critères de conformité informatiques internes. La conformité est un paramètre arbitraire défini par la propriété d’appareil nommée Non conforme, qui est un indicateur booléen qui peut être soit True soit False. (Vous pouvez créer cette propriété manuellement et définir sa valeur, ou vous pouvez utiliser les actions automatisées pour créer cette propriété sur un appareil si l’appareil correspond ou pas aux critères spécifiques.)
    • Non conforme = True. Si un appareil ne répond pas aux normes de conformité et aux définitions de stratégie définies par votre service informatique, l’appareil n’est pas conforme.
    • Non conforme = False. Si un appareil répond aux normes de conformité et aux définitions de stratégie définies par votre service informatique, l’appareil est conforme.
  • État révoqué : crée une liste d’appareils de tous les appareils révoqués et les autorise ou les refuse en fonction de l’état de révocation.
  • Android rootés/iOS jailbreakés. Crée une liste d’appareils de tous les appareils marqués comme rootés et les autorise ou les refuse en se basant sur leur état racine.
  • Appareils non gérés. Crée une liste d’appareils de tous les appareils dans la base de données XenMobile. Mobile Application Gateway doit être déployé dans un mode Block.

Pour configurer une connexion à XenMobile NetScaler Connector

XenMobile NetScaler Connector communique avec XenMobile et d’autres fournisseurs de configuration à distance via les services Web sécurisés.

  1. Dans l’utilitaire de configuration XenMobile NetScaler Connector, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Dans la boîte de dialogue Config Providers, dans Name, entrez un nom d’utilisateur disposant des privilèges d’administration et qui est utilisé pour l’autorisation HTTP de base avec le serveur XenMobile.
  3. Dans Url, entrez l’adresse Web du service XenMobile GCS (Gateway Configuration Service), généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui sera utilisé pour l’autorisation HTTP de base avec le serveur XenMobile.
  5. Dans Managing Host, entrez le nom du serveur XenMobile NetScaler Connector.
  6. Dans Baseline Interval, spécifiez une période de temps après laquelle un nouveau ruleset dynamique actualisé est extrait depuis Device Manager.
  7. Dans Delta interval, spécifiez une période de temps après laquelle une mise à jour de règles dynamiques est extraite.
  8. Dans Request Timeout, spécifiez l’intervalle d’expiration du délai de demande du serveur.
  9. Dans Config Provider, sélectionnez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  10. Dans Events Enabled, activez cette option si vous souhaitez que XenMobile NetScaler Connector informe XenMobile lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles XenMobile NetScaler Connector dans l’une de vos actions automatisées XenMobile.
  11. Cliquez sur Save, puis cliquez sur Test Connectivity pour tester la connectivité du fournisseur de configuration vers la passerelle. Si la connexion échoue, vérifiez que les paramètres du pare-feu local acceptent la connexion ou contactez votre administrateur.
  12. Si la connexion réussit, désactivez la case à cocher Disabled, puis cliquez sur Save.

Lorsque vous ajoutez un nouveau fournisseur de configuration, XenMobile NetScaler Connector crée automatiquement une ou plusieurs stratégies associées au fournisseur. Ces stratégies sont définies par une définition de modèle contenue dans config\policyTemplates.xml de la section NewPolicyTemplate. Pour chaque élément Policy est défini dans cette section, une nouvelle stratégie est créée.

L’opérateur peut ajouter, supprimer ou modifier les éléments de stratégie si les conditions suivantes sont remplies : l’élément de stratégie est conforme à la définition du schéma et les chaînes de substitution standard (entre accolades) ne sont pas modifiées. Ajoutez ensuite de nouveaux groupes pour le fournisseur et mettez à jour la stratégie pour inclure les nouveaux groupes.

Pour importer une stratégie depuis XenMobile

  1. Dans l’utilitaire de configuration XenMobile NetScaler Configuration, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Dans la boîte de dialogue Config Providers, dans Name, entrez un nom d’utilisateur qui sera utilisé pour l’autorisation HTTP de base avec le serveur XenMobile et disposant de privilèges d’administrateur.
  3. Dans Url, entrez l’adresse Web du service XenMobile GCS (Gateway Configuration Service), généralement au format https://<xdmHost>/xdm/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui est utilisé pour l’autorisation HTTP de base avec le serveur XenMobile.
  5. Cliquez sur Test Connectivity pour tester la connectivité du fournisseur de configuration vers la passerelle. Si la connexion échoue, vérifiez que vos paramètres locaux de pare-feu autorisent la connexion ou contactez votre administrateur.
  6. Lorsqu’une connexion est établie, désactivez la case à cocher Disabled, puis cliquez sur Save.
  7. Dans Managing Host, laissez la valeur par défaut du nom DNS de l’ordinateur hôte. Ce paramètre est utilisé pour coordonner les communications avec XenMobile lorsque plusieurs serveurs Forefront Threat Management Gateway (TMG) sont configurés dans un tableau.

    Lorsque vous enregistrez les paramètres, ouvrez le GCS.

Configuration du mode de stratégie XenMobile NetScaler Connector

XenMobile NetScaler Connector peut s’exécuter dans les six modes suivants :

  • Allow All. Ce mode de stratégie accorde l’accès à tout le trafic passant via XenMobile NetScaler Connector. Aucune autre règle de filtrage n’est utilisée.
  • Deny All. Ce mode de stratégie bloque l’accès à tout le trafic passant via XenMobile NetScaler Connector. Aucune autre règle de filtrage n’est utilisée.
  • Static Rules: Block Mode. Ce mode de stratégie exécute des règles statiques avec une instruction implicite de blocage ou de refus à la fin. XenMobile NetScaler Connector bloque les appareils qui ne sont pas autorisés par d’autres règles de filtre.
  • Static Rules: Permit Mode. Ce mode de stratégie exécute des règles statiques avec une instruction implicite d’acceptation ou d’autorisation à la fin. Les appareils qui ne sont pas bloqués ou refusés par d’autres règles de filtre sont autorisés via XenMobile NetScaler Connector.
  • Static + ZDM Rules: Block Mode. Ce mode de stratégie exécute tout d’abord des règles statiques, suivies par des règles dynamiques depuis XenMobile avec une instruction implicite de blocage ou de refus à la fin. Les appareils sont autorisés ou refusés en se basant sur des filtres définis et des règles Device Manager. Tous les appareils qui ne correspondent pas à des filtres et des règles définis sont bloqués.
  • Static + ZDM Rules: Permit Mode. Ce mode de stratégie exécute tout d’abord des règles statiques, suivies par des règles dynamiques depuis XenMobile avec une instruction implicite d’acceptation ou d’autorisation à la fin. Les appareils sont autorisés ou refusés en se basant sur des filtres définis et des règles XenMobile. Tous les appareils qui ne correspondent pas à des filtres et des règles définis sont autorisés.

Le processus XenMobile NetScaler Connector autorise ou bloque les règles dynamiques en se basant sur des ID ActiveSync uniques pour appareils mobiles iOS et Windows reçus de XenMobile. Les appareils Android changent de comportement en fonction du fabricant et certains n’exposent pas directement d’ID unique ActiveSync. Pour compenser, XenMobile envoie les informations d’ID de l’utilisateur pour les appareils Android pour effectuer une décision d’autorisation ou de blocage. Par conséquent, si un utilisateur possède un seul appareil Android, la fonctionnalité d’autorisation et de blocage fonctionne normalement. Si l’utilisateur possède plusieurs appareils Android, tous les appareils sont autorisés, car les appareils Android ne peuvent pas être différenciés. Vous pouvez configurer la passerelle pour bloquer de façon statique ces appareils par ActiveSyncID, s’ils sont connus. Vous pouvez également configurer la passerelle pour qu’elle effectue un blocage en fonction de l’agent utilisateur ou du type d’appareil.

Pour spécifier le mode de stratégie, dans l’outil SMG Controller Configuration, procédez comme suit :

  1. Cliquez sur l’onglet Path Filters, puis cliquez sur Add.
  2. Dans la boîte de dialogue Path Properties, sélectionnez un mode de stratégie à partir de la liste Policy, puis cliquez sur Save.

Vous pouvez vérifier les règles sur l’onglet Policies de l’utilitaire de configuration. Les règles sont traitées sur XenMobile NetScaler Connector de haut en bas. Les stratégies autorisées sont affichées avec une coche verte. Les stratégies refusées s’affichent un cercle rouge traversé d’une ligne. Pour actualiser l’écran et afficher les règles mises à jour le plus récemment, cliquez sur Refresh. Vous pouvez également modifier l’ordre des règles dans le fichier config.xml.

Pour tester les règles, cliquez sur l’onglet Simulator. Spécifiez des valeurs dans les champs. Elles peuvent également être obtenues à partir des journaux. Un message de résultat apparaît spécifiant Allow ou Block.

Pour configurer des règles statiques

Entrez des règles statiques avec les valeurs qui sont lues par le filtrage ISAPI des lectures de demandes HTTP de connexion ActiveSync. Les règles statiques permettent à XenMobile NetScaler Connector d’autoriser ou de bloquer le trafic en fonction des critères suivants :

  • Utilisateur. XenMobile NetScaler Connector utilise la valeur de l’utilisateur autorisé et la structure de nom qui a été capturée lors de l’inscription de l’appareil. Ceci est couramment détecté en tant que domaine\nomutilisateur comme référencé par le serveur qui exécute XenMobile connecté à Active Directory via LDAP. L’onglet Log dans l’utilitaire de configuration XenMobile NetScaler Connector affiche les valeurs qui sont transmises via XenMobile NetScaler Connector. Les valeurs sont transmises si la structure de valeur doit être déterminée ou est différente.
  • Deviceid (ActiveSyncID). Également appelée ActiveSyncID de l’appareil connecté. Cette valeur est généralement présente dans la page de propriétés spécifiques de l’appareil dans la console XenMobile. Cette valeur peut être également vue depuis l’onglet Log de l’utilitaire de configuration XenMobile NetScaler Connector.
  • DeviceType. XenMobile NetScaler Connector peut déterminer si un appareil est un iPhone, iPad ou tout autre type d’appareil et peut l’autoriser ou le bloquer en fonction de critères donnés. Comme avec d’autres valeurs, l’utilitaire de configuration XenMobile NetScaler Connector peut révéler tous les types d’appareils connectés en cours de traitement pour la connexion ActiveSync.
  • UserAgent. Contient des informations sur le client ActiveSync utilisé. Dans la plupart des cas, la valeur spécifiée correspond à une version spécifique d’un système d’exploitation et à la version de plate-forme de l’appareil mobile.

L’utilitaire de configuration XenMobile NetScaler Connector en cours d’exécution sur le serveur gère toujours les règles statiques.

  1. Dans l’utilitaire SMG Controller Configuration, cliquez sur l’onglet Static Rules, puis cliquez sur Add.
  2. Dans la boîte de dialogue Static Rule Properties, spécifiez les valeurs que vous voulez utiliser en tant que critères. Par exemple, vous pouvez entrer un utilisateur pour autoriser l’accès en entrant le nom d’utilisateur (par exemple, AllowedUser), puis désactiver la case à cocher Disabled.
  3. Cliquez sur Enregistrer.

    La règle statique est maintenant effective. Par ailleurs, vous pouvez utiliser des expressions régulières pour définir des valeurs, mais vous devez activer le mode de traitement de la règle dans le fichier config.xml.

Pour configurer les règles dynamiques

Les stratégies et les propriétés d’appareils dans Device Manager définissent les règles dynamiques et peuvent déclencher un filtre XenMobile NetScaler Connector dynamique. Les déclencheurs sont basés sur la présence d’une violation de stratégie ou d’un paramètre de propriété. Les filtres XenMobile NetScaler Connector fonctionnent en analysant un appareil à la recherche d’une violation de stratégie ou de paramètre de propriété donné. Si l’appareil est conforme aux critères, l’appareil est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. Il s’agit d’une liste d’appareils qui satisfait au critère défini. Les options de configuration suivantes vous permettent de définir si vous souhaitez autoriser ou refuser les appareils dans la liste d’appareils en utilisant XenMobile NetScaler Connector.

Remarque :

Vous devez utiliser la console XenMobile pour configurer les règles dynamiques.

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur ActiveSync Gateway. La page ActiveSync Gateway s’affiche.

  3. Dans Activer la ou les règles suivantes, sélectionnez une ou plusieurs règles à activer.

  4. Dans Android uniquement, dans Envoyer les utilisateurs de domaine Android vers ActiveSync Gateway, cliquez sur Oui pour vous assurer que XenMobile envoie les informations de l’appareil Android à Secure Mobile Gateway.

    Lorsque cette option est activée, XenMobile envoie les informations de l’appareil Android à XenMobile NetScaler Connector lorsque XenMobile ne dispose pas de l’identificateur ActiveSync de l’utilisateur de l’appareil Android.

Pour configurer des stratégies personnalisées en éditant le fichier XML de XenMobile NetScaler Connector

Vous pouvez afficher les stratégies de base dans la configuration par défaut sur l’onglet Policies de l’utilitaire de configuration XenMobile NetScaler Connector. Si vous souhaitez créer des stratégies, vous pouvez modifier le fichier de configuration XML XenMobile NetScaler Connector (config\config.xml).

  1. Recherchez la section PolicyList dans le fichier, puis ajoutez un nouvel élément Policy.
  2. Si un nouveau groupe est également requis, tel qu’un groupe statique ou un groupe pour prendre en charge un autre GCP, ajoutez le nouvel élément Group à la section GroupList.
  3. Si vous le souhaitez, vous pouvez modifier l’ordre des groupes dans une stratégie existante en réorganisant les éléments GroupRef.

Configuration du fichier XML de XenMobile NetScaler Connector

XenMobile NetScaler Connector utilise un fichier de configuration XML pour dicter les actions de XenMobile NetScaler Connector. Entre autres entrées, le fichier spécifie les fichiers du groupe et les actions associées que le filtre effectue lors de l’évaluation des requêtes HTTP. Par défaut, le fichier est appelé config.xml et est situé à l’emplacement suivant : ..\Program Files\Citrix\XenMobile NetScaler Connector\config.

Nœuds GroupRef

Les nœuds GroupRef définissent les noms des groupes logiques. Les valeurs par défaut sont AllowGroup et DenyGroup.

Remarque :

L’ordre des nœuds GroupRef tels qu’ils apparaissent dans le nœud GroupRefList est significatif.

La valeur de l’ID d’un nœud GroupRef identifie un conteneur logique ou une collection de membres qui sont utilisés pour la mise en correspondance des comptes d’utilisateurs ou d’appareils spécifiques. Les attributs d’action spécifient la façon dont le filtre traite un membre qui correspond à une règle dans la collection. Par exemple, un compte d’utilisateur ou un appareil qui correspond à une règle dans l’ensemble AllowGroup sera « pass. » « pass » signifie qu’il est autorisé à accéder à Exchange CAS. Un compte d’utilisateur ou un appareil qui correspond à une règle dans l’ensemble DenyGroup est « rejected. » « rejected » signifie qu’il n’est pas autorisé à accéder à Exchange CAS.

Lorsqu’un compte utilisateur/appareil particulier ou une combinaison des deux répond aux règles dans les deux groupes, une convention de priorité est utilisée pour diriger le résultat de la requête. La priorité est incorporée dans l’ordre des nœuds GroupRef dans le fichier config.xml de haut en bas. Les nœuds GroupRef sont classés par ordre de priorité. Les règles pour une condition donnée dans le groupe Allow seront toujours prioritaires sur les règles de la même condition du groupe Deny.

Nœuds de groupe

De plus, le fichier config.xml définit les nœuds Groupe. Ces nœuds fournissent une liaison entre les conteneurs logiques AllowGroup et DenyGroup vers les fichiers XML externes. Les entrées stockées dans les fichiers externes forment la base des règles de filtre.

Remarque :

Dans cette version, seuls les fichiers XML externes sont pris en charge.

L’installation par défaut implémente deux fichiers XML de configuration : allow.xml et deny.xml.

Configuration de XenMobile NetScaler Connector

Vous pouvez configurer XenMobile NetScaler Connector pour bloquer ou autoriser les demandes ActiveSync de manière sélective en vous basant sur les propriétés suivantes : Active Sync Service ID, Device type, User Agent (système d’exploitation de l’appareil), Authorized user et ActiveSync Command.

La configuration par défaut prend en charge une combinaison de groupes statiques et dynamiques. Vous pouvez gérer les groupes statiques à l’aide de l’utilitaire de configuration SMG Controller. Les groupes statiques peuvent être composés de catégories d’appareils connues, telles que les appareils utilisant un agent utilisateur donné.

Une source externe appelée fournisseur de configuration de passerelle gère les groupes dynamiques. XenMobile NetScaler Connector connecte les groupes régulièrement. XenMobile peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers XenMobile NetScaler Connector.

Les groupes dynamiques sont gérés par une source externe appelée Gateway Configuration Provider et régulièrement collectés par XenMobile NetScaler Connector. XenMobile peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers XenMobile NetScaler Connector.

Une stratégie est une liste ordonnée de groupes dans laquelle chaque groupe est associé à une action (autoriser ou bloquer) et une liste des membres du groupe. Une stratégie peut contenir n’importe quel nombre de groupes. L’ordre du groupe dans une stratégie est important car lorsqu’une correspondance est localisée, l’action du groupe est prise, et les autres groupes ne sont pas évalués.

Un membre définit une façon de faire correspondre les propriétés d’une demande. Il peut correspondre à une seule propriété, telle que l’ID d’appareil ou plusieurs propriétés, telles que le type d’appareil et l’agent utilisateur.

Choix d’un modèle de sécurité pour XenMobile NetScaler Connector

L’établissement d’un modèle de sécurité est nécessaire au succès d’un déploiement d’appareils mobiles pour les organisations de toutes tailles. Il est courant d’utiliser un contrôle de réseau protégé ou en quarantaine pour autoriser l’accès à un utilisateur, un ordinateur ou un appareil par défaut. Cette pratique n’est pas toujours idéale. Chaque organisation qui gère la sécurité informatique peut avoir une approche légèrement différente ou adaptée à la sécurité pour les appareils mobiles.

La même logique s’applique à la sécurité des appareils mobiles. Un modèle permissif est un choix inadapté étant donné le grand nombre de types et d’appareils mobiles, d’appareils mobiles par utilisateur et de plates-formes de systèmes d’exploitation et d’applications disponibles. Dans la plupart des organisations, le modèle restrictif sera le choix le plus logique.

Les scénarios de configuration que Citrix autorise pour l’intégration de Citrix XenMobile NetScaler Connector avec XenMobile sont les suivants :

Modèle permissif (Permit Mode)

Le modèle de sécurité permissif fonctionne sur le principe que l’accès est autorisé par défaut. Un blocage et une restriction seront appliqués uniquement via des règles et un filtrage. Le modèle de sécurité permissif est adapté aux organisations dans lesquelles la sécurité n’est pas une préoccupation principale pour les appareils mobiles. Le modèle applique uniquement des contrôles restrictifs pour refuser l’accès lorsque cela est approprié (lorsqu’une règle de stratégie a échoué).

Modèle restrictif (Block Mode)

Le modèle de sécurité restrictif est basé sur le principe que l’accès n’est pas autorisé par défaut. Tout le contenu transitant par le point de vérification est filtré et inspecté, et l’accès est refusé, sauf si les règles autorisant l’accès sont satisfaites. Le modèle de sécurité restrictif est adapté aux organisations qui possèdent des mesures de sécurité relativement strictes pour les appareils mobiles. Le mode accorde seulement l’accès (à des fins d’utilisation et aux fonctionnalités) aux services réseau lorsque toutes les règles autorisant l’accès sont observées.

Gestion de XenMobile NetScaler Connector

Vous pouvez utiliser XenMobile NetScaler Connector pour créer des règles de contrôle d’accès. Les règles autorisent ou bloquent l’accès aux demandes de connexion ActiveSync des appareils gérés. L’accès dépend de l’état de l’appareil, des listes noires ou des listes blanches des applications et d’autres critères de conformité.

À l’aide de l’utilitaire de configuration XenMobile NetScaler Connector, vous pouvez créer des règles dynamiques et statiques qui appliquent des stratégies de messagerie d’entreprise, ce qui vous permet de bloquer les utilisateurs qui ne respectent pas ces règles. Vous pouvez également configurer le cryptage des pièces jointes aux e-mails, de sorte que toutes les pièces jointes qui sont transmises par le biais de votre serveur Exchange vers les appareils gérés sont cryptées et uniquement disponibles sur les appareils gérés par des utilisateurs autorisés.

Pour désinstaller XNC

  1. Exécutez XncInstaller.exe avec un compte d’administrateur.
  2. Suivez les instructions à l’écran pour procéder à la désinstallation.

Pour installer, mettre à niveau ou désinstaller XenMobile NetScaler Connector

  1. Exécutez XncInstaller.exe avec un compte d’administrateur pour installer XenMobile NetScaler Connector ou autoriser la mise à niveau ou la suppression d’un XenMobile NetScaler Connector.
  2. Suivez les instructions à l’écran pour procéder à l’installation, la mise à niveau ou la désinstallation.

Après avoir installé XenMobile NetScaler Connector, vous devez redémarrer manuellement le service de configuration et le service de notification de XenMobile.

Installation de XenMobile NetScaler Connector

Vous pouvez installer XenMobile NetScaler Connector sur son propre serveur ou sur le même serveur où vous avez installé XenMobile.

Vous pouvez envisager d’installer XenMobile NetScaler Connector sur son propre serveur (distinct de XenMobile) pour les raisons suivantes :

  • Votre serveur XenMobile est hébergé à distance dans le cloud (emplacement physique).
  • Vous ne souhaitez pas que XenMobile NetScaler Connector soit affecté par les redémarrages du serveur XenMobile (disponibilité).
  • Vous souhaitez que les ressources système d’un serveur soient entièrement dévouées à XenMobile NetScaler Connector (performances).

La charge d’UC que XenMobile NetScaler Connector place sur un serveur dépend du nombre d’appareils gérés. Une règle générale consiste à provisionner un noyau d’UC supplémentaire si XenMobile NetScaler Connector est déployé sur le même serveur que XenMobile. Pour un grand nombre d’appareils (plus de 50 000), il se peut que vous deviez provisionner des noyaux supplémentaires si vous ne disposez pas d’un environnement en cluster. L’encombrement mémoire de XenMobile NetScaler Connector n’est pas assez important pour justifier plus de mémoire.

Configuration système requise de XenMobile NetScaler Connector

XenMobile NetScaler Connector communique avec NetScaler sur un pont SSL configuré sur le boîtier NetScaler. La passerelle permet au boîtier d’acheminer tout le trafic sécurisé directement vers XenMobile. XenMobile NetScaler Connector requiert la configuration système minimale suivante :

Composant Exigences
Ordinateur et processeur 733 MHz Pentium III 733 MHz ou processeur supérieur. 2.0 GHz Pentium III ou processeur supérieur (recommandé)
NetScaler Boîtier NetScaler avec version du logiciel 10
Mémoire 1 Go
Disque dur Partition locale au format NTFS avec 150 Mo d’espace disque dur disponible
Système d’exploitation Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008 SP2, Microsoft Windows Server 2012 R2
Autres périphériques Carte réseau compatible avec le système d’exploitation hôte pour les communications avec le réseau interne.
Microsoft .NET Framework La version 8.5.1.11 requiert Microsoft .NET Framework 4.5.
Afficher Moniteur VGA ou de plus haute résolution

L’ordinateur hôte pour XenMobile NetScaler Connector requiert l’espace disque disponible suivant :

  • Application. 10 -15 Mo (100 Mo recommandés)
  • Logging. 1 Go (20 Go recommandés)

Pour de plus amples informations sur les plates-formes prises en charge pour XenMobile NetScaler Connector, consultez Systèmes d’exploitation d’appareils pris en charge.

Clients de messagerie d’appareil

Les clients de messagerie ne renvoient pas tous le même ID ActiveSync pour un appareil. Étant donné que XenMobile NetScaler Connect s’attend à un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent toujours le même ID ActiveSync unique pour chaque appareil sont pris en charge. Citrix a testé ces clients de messagerie et aucune erreur n’a été détectée :

  • Client de messagerie natif HTC
  • Client de messagerie natif Samsung
  • Client de messagerie natif iOS
  • TouchDown

Déploiement de XenMobile NetScaler Connector

XenMobile NetScaler Connector vous permet d’utiliser NetScaler pour servir de proxy et équilibrer la charge des communications du serveur XenMobile avec les appareils gérés XenMobile. XenMobile NetScaler Connector communique périodiquement avec XenMobile pour synchroniser les stratégies. XenMobile NetScaler Connector et XenMobile peuvent être en cluster, ensemble ou indépendamment, et leur charge peut être équilibrée par NetScaler.

Composants de XenMobile NetScaler Connector

  • Service XenMobile NetScaler Connector. Ce service offre une interface de service Web REST pouvant être invoquée par NetScaler pour déterminer si une demande ActiveSync provenant d’un appareil est autorisée.
  • Service de configuration XenMobile. Ce service communique avec Device Manager pour synchroniser les modifications apportées aux stratégies Device Manager avec XenMobile NetScaler Connector.
  • Service de notification XenMobile. Ce service envoie des notifications d’accès non autorisé à Device Manager. De cette façon, Device Manager peut prendre les mesures appropriées, envoyer à l’utilisateur une notification expliquant pourquoi l’appareil a été bloqué par exemple.
  • Utilitaire de configuration XenMobile NetScaler. Cette application permet à l’administrateur de configurer et de surveiller XenMobile NetScaler Connector.

Pour configurer des adresses d’écoute pour XenMobile NetScaler Connector

Pour que XenMobile NetScaler Connector reçoive des demandes de NetScaler pour autoriser le trafic ActiveSync, procédez comme suit. Indiquez le port sur lequel XenMobile NetScaler Connector écoute les appels de service Web NetScaler.

  1. À partir du menu Démarrer, sélectionnez l’utilitaire de configuration XenMobile NetScaler.
  2. Cliquez sur l’onglet Web Service, puis entrez les adresses d’écoute pour le service Web XenMobile NetScaler Connector. Vous pouvez sélectionner le protocole HTTP et/ou HTTPS. Si XenMobile NetScaler Connector est co-résident avec XenMobile (installé sur le même serveur), sélectionnez les valeurs de port qui ne sont pas en conflit avec XenMobile.
  3. Une fois les valeurs configurées, cliquez sur Save, puis sur Start Service pour démarrer le service Web.

Pour configurer des stratégies de contrôle d’accès à l’appareil dans XenMobile NetScaler Connector

Pour configurer la stratégie de contrôle d’accès que vous souhaitez appliquer à vos appareils gérés, effectuez les opérations suivantes :

  1. Dans l’utilitaire de configuration XenMobile NetScaler, cliquez sur l’onglet Path Filters.
  2. Sélectionner la première ligne, Microsoft-Server-ActiveSync is for ActiveSync, puis cliquez sur Edit.
  3. À partir de la liste Policy, sélectionnez la stratégie désirée. Pour une stratégie qui comprend des stratégies XenMobile, sélectionnez Static + ZDM: Permit Mode ou Static + ZDM: Block Mode. Ces stratégies combinent des règles locales (ou statiques) avec les règles de XenMobile. Permit Mode signifie que tous les appareils non identifiés de manière explicite par les règles sont autorisés à accéder à ActiveSync. Block Mode signifie que de tels appareils sont bloqués.
  4. Après avoir défini les stratégies, cliquez sur Save.

Pour configurer les communications avec XenMobile

Spécifiez le nom et les propriétés du serveur XenMobile (également appelé fournisseur de configuration) que vous souhaitez utiliser avec XenMobile NetScaler Connector et NetScaler.

Remarque : cette tâche suppose que XenMobile soit déjà installé et configuré.

  1. Dans l’utilitaire de configuration XenMobile NetScaler Connector, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Entrez le nom et l’URL du serveur XenMobile que vous utilisez pour ce déploiement. Si vous disposez de plusieurs serveurs XenMobile déployés dans un déploiement multi-locataire, ce nom doit être unique pour chaque instance de serveur. Par exemple, pour le champ Nom, vous pouvez entrer XMS.
  3. Dans Url, entrez l’adresse Web du service XenMobile GCS (Gateway Configuration Service), généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui sera utilisé pour l’autorisation HTTP de base avec le serveur Web XenMobile.
  5. Dans Managing Host, entrez le nom du serveur sur lequel vous avez installé XenMobile NetScaler Connector.
  6. Dans Baseline Interval, spécifiez une période de temps après laquelle un nouveau ruleset dynamique actualisé est extrait depuis XenMobile.
  7. Dans Request Timeout, spécifiez l’intervalle d’expiration du délai de demande du serveur.
  8. Dans Config Provider, sélectionnez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  9. Dans Events Enabled, activez cette option si vous souhaitez que Secure Mobile Gateway informe XenMobile lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles Secure Mobile Gateway dans l’une des actions automatisées de votre Device Manager.
  10. Une fois que le serveur est configuré, cliquez sur Test Connectivity pour tester la connexion à XenMobile.
  11. Lorsque la connexion est établie, cliquez sur Save.

Déploiement de XenMobile NetScaler Connector pour la redondance et la capacité à monter en charge

Si vous voulez étendre votre déploiement XenMobile NetScaler Connector et XenMobile, vous pouvez installer des instances de XenMobile NetScaler Connector sur de multiples serveurs Windows, et les faire pointer vers la même instance de XenMobile, puis vous pouvez utiliser NetScaler pour équilibrer la charge des serveurs.

Il existe deux modes de configuration de XenMobile NetScaler Connector :

  • En mode non partagé, chaque instance de XenMobile NetScaler Connector communique avec un serveur XenMobile et conserve sa propre copie privée de la stratégie résultante. Par exemple, si vous possédez un cluster de serveurs XenMobile, vous pouvez exécuter une instance de XenMobile NetScaler Connector sur chaque serveur XenMobile et XenMobile NetScaler Connector obtiendra des stratégies depuis l’instance locale de XenMobile.
  • En mode partagé, un nœud XenMobile NetScaler Connector est désigné comme nœud principal et il communique avec XenMobile. La configuration résultante est partagée entre les autres nœuds soit par un partage réseau Windows soit par une réplication Windows (ou tierce).

La totalité de la configuration XenMobile NetScaler Connector se trouve dans un dossier unique (composé de plusieurs fichiers XML). Le processus XenMobile NetScaler Connector détecte les modifications apportées à tout fichier dans ce dossier et recharge automatiquement la configuration. Il n’y a pas de basculement du nœud principal en mode partagé. Toutefois, le système peut tolérer le fait que le serveur principal soit arrêté pendant quelques minutes (par exemple, pour redémarrer), car la dernière configuration correcte connue est mise en cache dans le processus XenMobile NetScaler Connector.