Connecteur Citrix Endpoint Management pour Exchange ActiveSync

XenMobile Mail Manager est désormais un connecteur Citrix Endpoint Management pour Exchange ActiveSync. Pour plus de détails sur le portefeuille unifié de Citrix, consultez le guide des produits Citrix.

• Le connecteur étend les fonctionnalités de Citrix Endpoint Management des manières suivantes :

• Contrôle d’accès dynamique pour les appareils Exchange ActiveSync (EAS). L’accès aux services Exchange peut être automatiquement autorisé ou bloqué pour les appareils EAS.
• La capacité de Citrix Endpoint Management à accéder aux informations de partenariat des appareils EAS fournies par Exchange.
• La capacité de Citrix Endpoint Management à effacer un appareil mobile en fonction de l’état EAS.
• La capacité de Citrix Endpoint Management à accéder aux informations sur les appareils Blackberry et à effectuer des opérations de contrôle telles que Effacer et Réinitialiser le mot de passe.

Pour effacer un appareil en fonction de l’état EAS, configurez une action automatisée avec un déclencheur ActiveSync. Consultez Actions automatisées.

• Important :

• À compter d’octobre 2022, les connecteurs Citrix Endpoint Management et NetScaler Gateway pour Exchange ActiveSync ne prennent plus en charge Exchange Online en raison des modifications d’authentification annoncées par Microsoft ici. Le connecteur Citrix Endpoint Management pour Exchange continue de fonctionner avec Microsoft Exchange Server (sur site).

• Nouveautés de la version 10.1.10

Les problèmes suivants sont résolus dans la version 10.1.10 :

• Les clients qui rencontrent des problèmes réseau fréquents pourraient ne pas être en mesure de terminer un instantané dans les trois tentatives précédemment autorisées. Avec cette version, un administrateur peut configurer le nombre maximal de tentatives (1-10). Cette correction permet à un instantané de subir plusieurs interruptions de communication sans abandonner complètement le processus d’instantané. [CXM-70837]
• 
• Dans les versions précédentes, le type d’instantané n’apparaissait pas dans la liste des configurations Exchange. Désormais, le type d’instantané apparaît. [CXM-70846]
• L’exception PSRemotingTransport signalée par PowerShell indique que la session vers Exchange n’est plus viable. L’état est ajouté par défaut à la liste des erreurs critiques dans le fichier de configuration. Ainsi, lorsque la PSRemotingTransportException est détectée, la connexion est marquée comme étant en erreur pour être supprimée ultérieurement. La communication suivante utilise une connexion valide ou crée une connexion. [XMHELP-2184, CXM-70836]
• Lors de l’enregistrement d’une modification de configuration, il est possible que tous les composants internes précédemment configurés n’aient pas été correctement supprimés avant le chargement de la nouvelle configuration. Ce problème pourrait entraîner un comportement imprévisible. Le comportement dépend de la modification spécifique et si celle-ci était en conflit avec la configuration précédente. Dans cette version, tous les composants internes sont supprimés avant le chargement de la nouvelle configuration. [XMHELP-2259, CXM-71388]

Nouveautés de la version 10.1.9

• Les problèmes suivants sont résolus dans la version 10.1.9 :

• Les modifications de configuration sont désormais gérées de manière plus cohérente. Lorsque le service détecte une modification de configuration, chaque sous-système interne est arrêté, ce qui signifie que tout traitement actif ou planifié est interrompu. Ensuite, la nouvelle configuration est chargée et les sous-systèmes sont redémarrés, ce qui signifie que tous les plannings et autres infrastructures internes sont rétablis avec les nouveaux paramètres. Ce problème corrige un problème connu dans la version 10.1.8. [CXM-47709, CXM-61330]
• Lors d’une mise à niveau, la configuration de la base de données existante n’était pas fusionnée dans le nouveau fichier de configuration. La configuration de la base de données est désormais fusionnée dans le fichier de configuration mis à niveau. [CXM-49326]
• Dans les fichiers de diagnostic liés aux instantanés, les en-têtes de colonne étaient manquants. Les en-têtes sont restaurés. [CXM-62680]
• Lors de la mise à niveau à partir d’une version précédente, la section des valeurs par défaut du fichier de configuration était écrasée par la section analogue du fichier de configuration en cours d’utilisation. Ce problème empêchait le chargement des ajouts ou des améliorations à la section des valeurs par défaut par le service après la mise à niveau. À partir de cette version, la section des valeurs par défaut reflète toujours la dernière configuration. [CXM-62681]

• Les administrateurs ne peuvent plus accéder à certaines options en appuyant sur Maj lors de l’exécution de l’application. Ces options étaient auparavant disponibles avec l’autorisation de Citrix®. Certaines options sont désormais entièrement disponibles, telles que Autoriser la redirection, et d’autres, telles que Détection de blocage et Correction du nombre, sont obsolètes. [CXM-62767]

• 

Nouveautés des versions antérieures

• La section suivante répertorie les nouvelles fonctionnalités et les problèmes résolus dans les versions antérieures du connecteur Citrix Endpoint Management pour Exchange ActiveSync.

• Nouveautés de la version 10.1.8

• Il est possible qu’Exchange ralentisse le connecteur Citrix Endpoint Management pour le service Exchange ActiveSync afin d’éviter l’émission trop fréquente de commandes. Ce problème est courant dans les connexions à Office 365. L’effet de la limitation nécessite que le service fasse une pause pendant une période spécifiée avant d’envoyer la commande suivante. La console de configuration affiche désormais le temps restant de la pause. [CXM-48044]
• Lorsque des modifications sont apportées aux sections “Watchdog” et/ou “SpecialistsDefaults” du fichier de configuration (config.xml), les modifications ne sont pas reflétées dans le fichier de configuration après une mise à niveau. Avec cette version, les modifications sont correctement fusionnées dans le nouveau fichier de configuration. [CXM-52523]
• Plus de détails ont été ajoutés aux analyses envoyées à Google Analytics, notamment concernant les instantanés. [CXM-56691]
• La fonctionnalité de test de connectivité Exchange tentait d’initialiser la connexion une seule fois. Étant donné que les connexions Office 365 peuvent être limitées, il était possible qu’un test de connectivité semble échouer en cas de limitation. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync tente désormais d’établir une connexion jusqu’à trois fois. [CXM-58180]

• Pour appliquer des stratégies sur Exchange, le connecteur Citrix Endpoint Management pour Exchange ActiveSync doit compiler une commande Set-CASMailbox qui inclut tous les appareils pertinents pour chaque boîte aux lettres, dans deux listes : autoriser et bloquer. Si un appareil n’est inclus dans aucune des listes, Exchange revient à son état d’accès par défaut. Si cet état d’accès par défaut est différent de l’état souhaité pour un appareil, cet appareil devient non conforme. Ainsi, un utilisateur pourrait perdre l’accès à son e-mail si l’état d’accès par défaut d’Exchange est bloqué alors qu’il devrait être autorisé. Ou, un utilisateur dont l’accès à l’e-mail devrait être bloqué pourrait se voir accorder l’accès. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync s’assure désormais que tous les appareils avec un état souhaité valide sont inclus dans chaque commande Set-CasMailbox. [CXM-61251]

• Le problème suivant est connu dans la version 10.1.8 :

Si un administrateur apporte une modification dans l’application de configuration qui modifie les données de configuration, pendant que le service effectue des opérations de longue durée, telles qu’un instantané ou une évaluation de stratégie, le service peut entrer dans un état indéterminé. Un symptôme possible peut être que les modifications de stratégie ne sont pas traitées ou que les instantanés ne sont pas démarrés. Pour ramener le service à un état de fonctionnement, le service doit être redémarré. Vous devrez peut-être utiliser le gestionnaire de services Windows pour arrêter le processus de service avant de démarrer le service. [CXM-61330]

• Nouveautés de la version 10.1.7

• XenMobile Mail Manager est désormais un connecteur Citrix Endpoint Management pour Exchange ActiveSync.

• Nous avons déprécié l’option Désactiver le pipelining dans la boîte de dialogue de configuration d’Exchange. Vous pouvez obtenir la même fonctionnalité en configurant plusieurs étapes pour chaque commande dans le fichier config.xml. [CXM-54593]

• Les problèmes suivants sont résolus dans la version 10.1.7 :

• Dans la fenêtre Historique des instantanés, les messages d’erreur pouvaient s’afficher avec peu de contexte. Désormais, les messages d’erreur sont précédés du contexte de leur apparition. [CXM-49157]
• La DLL XmmGoogleAnalytics n’avait pas la version de fichier correspondante pour la version. [CXM-52518]
• Pour améliorer les diagnostics, nous avons récemment modifié le format de chaîne pour une liste d’ID d’appareil utilisée pour définir un état Autorisé/Bloqué de boîte aux lettres. Cependant, la spécification d’un trop grand nombre d’appareils dépassait la taille maximale de la chaîne. Nous utilisons désormais une structure de données de tableau interne. Cette structure n’a pas de limite de taille et formate également les données de manière appropriée à des fins de diagnostic. [CXM-52610]
• Lorsque des stratégies d’appareil qui ne sont pas synchronisées avec Exchange sont détectées, leurs commandes peuvent inclure des appareils qui n’appartiennent pas à la boîte aux lettres concernée. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync s’assure désormais que les commandes envoyées à Exchange ne représentent que les appareils qui appartiennent à leurs boîtes aux lettres respectives. [CXM-54842]
• Dans certains environnements, un assembly Microsoft n’est pas disponible. L’assembly requis est désormais explicitement installé avec l’application. [CXM-55439]
• Si les noms uniques (Distinguished Names) des appareils ou des boîtes aux lettres comportent des espaces entre le nom de l’attribut et le signe égal, ou des espaces après le signe égal et avant la valeur, le connecteur Citrix Endpoint Management pour Exchange ActiveSync peut ne pas faire correspondre correctement un appareil à sa boîte aux lettres et inversement. Il peut en résulter que certains appareils et/ou boîtes aux lettres soient rejetés lors de la réconciliation des instantanés. [CXM-56088]

Remarque :

Les sections Nouveautés suivantes font référence au connecteur Citrix Endpoint Management pour Exchange ActiveSync sous son ancien nom de XenMobile Mail Manager. Le nom a changé à partir de la version 10.1.7.

Mise à jour de la version 10.1.6.20

Une mise à jour de la version 10.1.6 apporte le correctif suivant dans la version 10.1.6.20 :

• Lorsque des stratégies d’appareil qui ne sont pas synchronisées avec Exchange sont détectées, leurs commandes peuvent inclure des appareils qui n’appartiennent pas à la boîte aux lettres concernée. XenMobile® Mail Manager s’assure désormais que les commandes envoyées à Exchange ne représentent que les appareils qui appartiennent à leurs boîtes aux lettres respectives. [CXM-54842]

• Nouveautés de la version 10.1.6

• La version 10.1.6 de XenMobile Mail Manager présente les problèmes résolus et les améliorations suivants :

• La fenêtre d’historique des instantanés entre parfois dans un état où elle ne se met plus à jour. Le mécanisme d’actualisation des fenêtres a été amélioré pour une mise à jour plus fiable. [CXM-47983]
• Deux modes et chemins de code distincts étaient utilisés pour les instantanés partitionnés et non partitionnés. Étant donné que les instantanés non partitionnés sont équivalents aux instantanés partitionnés avec une configuration utilisant une seule partition “*”, le mode d’instantané non partitionné est éliminé. Le mode d’instantané par défaut est désormais les instantanés partitionnés avec 36 partitions (0-9, A-Z). [CXM-49093]
• Dans la fenêtre Historique des instantanés, les messages d’erreur sont écrasés par les messages d’état. Désormais, XenMobile Mail Manager fournit deux champs distincts afin que les utilisateurs puissent afficher simultanément l’état et les erreurs. [CXM-51942]
• Lors de la connexion à Exchange Online (Office 365), les requêtes liées aux instantanés peuvent entraîner un jeu de données tronqué. Ce problème peut survenir lorsque XenMobile Mail Manager exécute un script pipelined multi-commandes. La commande en amont ne peut pas transmettre les données assez rapidement à la commande en aval, qui termine alors le travail prématurément. Il en résulte des données incomplètes. XenMobile Mail Manager peut désormais imiter le pipeline lui-même et attendre que la commande en amont soit terminée avant d’invoquer la commande en aval. Cette modification devrait permettre de traiter et de capturer toutes les données. [CXM-52280]
• Si une erreur non résoluble se produit dans une commande de mise à jour de stratégie vers Exchange, la même commande est renvoyée à la file d d’attente de travail à plusieurs reprises pendant une longue période. Cette situation entraînait l’envoi de la commande à Exchange de nombreuses fois. Dans cette version de XenMobile Mail Manager, une commande qui entraîne une erreur n’est renvoyée à la file d’attente de travail qu’un nombre discret de fois. [CXM-52633]
• Si une mise à jour de stratégie pour une boîte aux lettres spécifique impliquait l’autorisation ou le blocage de tous les appareils : La commande Set-CASMailbox émise échouait car la liste vide était convertie en une chaîne vide au lieu d’une valeur NULL. Les données appropriées sont désormais envoyées. [CXM-53759]
• Lors du traitement d’un nouvel appareil, Exchange peut renvoyer l’état “DeviceDiscovery” pendant un certain temps (généralement 15 minutes). XenMobile Mail Manager ne gérait pas spécifiquement cet état. XenMobile Mail Manager gère désormais cet état. Dans l’onglet Moniteur de l’interface utilisateur, les utilisateurs peuvent filtrer les appareils dans cet état. [CXM-53840]
• XenMobile Mail Manager ne vérifiait pas la capacité d’écriture dans la base de données XenMobile Mail Manager. Ainsi, si les autorisations étaient restreintes, le comportement pouvait ne pas être prédit. XenMobile Mail Manager capture et valide désormais les autorisations requises de la base de données. XenMobile Mail Manager indique des autorisations réduites lors du test de la connexion (message affiché) ou dans l’indicateur de base de données (survoler pour le message) en bas de la fenêtre de configuration principale. [CXM-54219]

• Selon la charge de travail actuelle, lorsqu’il est demandé, le service XenMobile Mail Manager peut ne pas s’arrêter rapidement. Le service semble donc être dans un état non réactif. Des améliorations permettent d’interrompre les tâches en cours, ce qui entraîne un arrêt plus gracieux. [CXM-54282]

• Nouveautés de la version 10.1.5

• La version 10.1.5 de XenMobile Mail Manager présente les problèmes résolus suivants :

• Lorsque Exchange applique une limitation (throttling) à l’activité de XenMobile Mail Manager, il n’y a aucune indication (en dehors des journaux) que la limitation est en cours. Avec cette version, un utilisateur peut survoler l’instantané actif et un état “limitation” apparaît. De plus, pendant que XenMobile Mail Manager est limité, le démarrage d’un instantané majeur est interdit jusqu’à ce qu’Exchange lève l’embargo de limitation. [CXM-49617]
• Si XenMobile Mail Manager est limité par Exchange lors d’un instantané majeur : Il est possible qu’un temps insuffisant soit écoulé avant de tenter le prochain instantané. Ce problème entraîne une limitation supplémentaire et un échec de l’instantané. XenMobile Mail Manager attend désormais au minimum le temps spécifié par Exchange entre les tentatives d’instantané. [CXM-49618]
• Lorsque les diagnostics sont activés, le fichier de commandes affiche des commandes Set-CasMailbox qui comportent des tirets manquants avant chaque nom de propriété. Ce problème ne se produit que dans le formatage du fichier de diagnostic et non dans la commande réelle envoyée à Exchange. Le tiret manquant empêche un utilisateur de couper la commande et de la coller directement dans une invite PowerShell pour des tests ou une validation. Les tirets ont été ajoutés. [CXM-52520]

• Si l’identité d’une boîte aux lettres est de la forme nomdefamille, prénom, Exchange ajoute une barre oblique inverse avant la virgule lors du renvoi de données d’une requête. Cette barre oblique inverse doit être supprimée lorsque XenMobile Mail Manager utilise l’identité pour interroger davantage de données. [CXM-52635]

• Limitations connues

• Remarque :

  La limitation suivante est résolue dans la version 10.1.6.

XenMobile Mail Manager présente une limitation connue qui peut entraîner l’échec des commandes vers Exchange. Pour appliquer les modifications de stratégie à Exchange, une commande Set_CASMailbox est émise par XenMobile Mail Manager. Cette commande peut prendre deux listes d’appareils : une à autoriser et une à bloquer. La commande est appliquée aux appareils associés à une boîte aux lettres.

• Ces listes sont limitées à 256 caractères chacune par l’API Microsoft. Si l’une de ces listes dépasse cette limite, la commande échoue entièrement, empêchant l’application des stratégies pour les appareils de cette boîte aux lettres. L’erreur signalée, qui apparaît dans les journaux de XenMobile Mail Manager, se présenterait comme suit. L’exemple concerne la liste bloquée.

“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”

• La longueur des ID d’appareil peut varier, mais une bonne règle générale est qu’environ 10 appareils ou plus autorisés ou bloqués simultanément pourraient dépasser la limite. Bien qu’il soit rare d’avoir autant d’appareils associés à une boîte aux lettres spécifique, c’est une possibilité. Tant que Mail Manager n’est pas amélioré pour gérer un tel scénario, nous vous recommandons de limiter le nombre d’appareils associés à un utilisateur et à une boîte aux lettres à 10 ou moins. [CXM-52633]

• Nouveautés de la version 10.1.4

• XenMobile Mail Manager version 10.1.4 présente les problèmes résolus suivants :

• En raison de l’affaiblissement de sa sécurité, le Conseil PCI déprécie TLS 1.0 et TLS 1.1. La prise en charge de la version 1.2 est ajoutée à XenMobile Mail Manager. [CXM-38573, CXM-32560]
• XenMobile Mail Manager inclut un nouveau fichier de diagnostic. Lorsque l’option Activer les diagnostics est sélectionnée dans la spécification Exchange, un nouveau fichier d’historique des instantanés est généré. À chaque tentative d’instantané, une ligne est ajoutée au fichier avec les résultats de l’instantané. [CXM-49631]
• Dans le fichier de diagnostic des commandes, la liste des appareils autorisés ou bloqués n’apparaissait pas pour la commande Set-CASMailbox. Au lieu de cela, le nom de la classe interne était affiché dans le fichier pour les arguments associés. XenMobile Mail Manager affiche désormais la liste des ID d’appareil sous forme de liste délimitée par des virgules. [CXM-50693]
• Lorsqu’une tentative d’acquisition d’une connexion à Exchange échoue en raison d’une mauvaise spécification : un message incorrect remplace le message d’erreur : « Toutes les connexions sont utilisées ». Des messages plus descriptifs apparaissent désormais, tels que « Toutes les connexions sont inopérantes », « Le pool de connexions est vide », « Toutes les connexions sont limitées » et « Aucune connexion disponible ». [CXM-50783]

• Parfois, les commandes Autoriser/Bloquer/Effacer sont mises en file d’attente plusieurs fois dans le cache interne de XenMobile Mail Manager. Ce problème entraîne un délai dans l’envoi de la commande à Exchange. XenMobile Mail Manager ne met désormais en file d’attente qu’une seule instance de chaque commande. [CXM-51524]

• Nouveautés de la version 10.1.3

• Prise en charge de Google Analytics : Nous voulons savoir comment vous utilisez XenMobile Mail Manager afin de pouvoir nous concentrer sur les améliorations possibles du produit.

• Paramètre d’activation des diagnostics : Une case à cocher Activer les diagnostics apparaît dans la console de configuration, dans la boîte de dialogue Configuration.

  

Problèmes résolus dans la version 10.1.3

-  Dans la fenêtre **Historique des instantanés**, les info-bulles qui affichent l’état actuel de l’instantané ne reflètent pas l’état réel. [CXM-5570]
-  Occasionnellement, XenMobile Mail Manager ne peut pas écrire dans le fichier de diagnostic des commandes. Dans ce cas, l’historique des commandes n’est pas entièrement enregistré. [CXM-49217]
-  Lorsqu’une erreur se produit avec une connexion, la connexion peut ne pas être marquée comme « en erreur ». Par conséquent, une commande ultérieure peut tenter d’utiliser la connexion et provoquer une autre erreur. [CXM-49495]
-  Lorsque la limitation du serveur Exchange se produit, une exception peut être levée dans la routine de vérification de l’intégrité. Par conséquent, les connexions qui ont rencontré une erreur ou qui ont expiré peuvent ne pas être purgées. En outre, XenMobile Mail Manager peut ne pas créer de connexions tant que le temps de limitation n’a pas expiré. [CXM-49794].
-  Lorsque le nombre maximal de sessions pour Exchange est dépassé, XenMobile Mail Manager signale l’erreur « Échec de la capture de l’appareil », ce qui n’est pas un message précis. Au lieu de cela, le message doit indiquer que les deux sessions que XenMobile Mail Manager utilise normalement pour la communication Exchange sont en cours d’utilisation. [CXM-49994]

Nouveautés de la version 10.1.2

-  **Amélioration de la connexion à Exchange :** XenMobile Mail Manager utilise des sessions PowerShell pour communiquer avec Exchange. Une session PowerShell, en particulier lorsqu’il s’agit d’Office 365, peut devenir instable après un certain temps, empêchant les commandes ultérieures de réussir. XenMobile Mail Manager peut désormais définir une période d’expiration pour les connexions. Lorsque la connexion atteint son délai d’expiration, XenMobile Mail Manager ferme correctement la session PowerShell et crée une session. Ce faisant, la session PowerShell est moins susceptible de devenir instable, ce qui réduit considérablement les risques d’échec d’un instantané.
-  **Amélioration du workflow d’instantané :** Les instantanés majeurs sont une opération longue et gourmande en processus. Si une erreur se produit lors d’un instantané, XenMobile Mail Manager tente désormais plusieurs fois (jusqu’à trois) de terminer un instantané. Les tentatives ultérieures ne commencent pas depuis le début. XenMobile Mail Manager continue là où il s’est arrêté. Cette amélioration augmente le taux de réussite des instantanés en général en permettant aux erreurs transitoires de passer pendant qu’un instantané est toujours en cours.
-  **Amélioration des diagnostics :** La résolution des problèmes liés aux opérations d’instantané est désormais plus facile grâce à trois nouveaux fichiers de diagnostic générés en option lors d’un instantané. Ces fichiers aident à identifier les problèmes de commande PowerShell, les boîtes aux lettres avec des informations manquantes et les appareils qui ne peuvent pas être liés à une boîte aux lettres. Un administrateur peut utiliser ces fichiers pour identifier les données qui peuvent être incorrectes dans Exchange.
-  **Amélioration de l’utilisation de la mémoire :** XenMobile Mail Manager est désormais plus efficace dans son utilisation de la mémoire. Les administrateurs peuvent programmer le redémarrage automatique de XenMobile Mail Manager pour offrir un système propre.
-  **Prérequis Microsoft .NET Framework 4.6 :** La version prérequise de Microsoft .NET Framework est désormais la version 4.6.

Problèmes résolus

-  Erreur d’invite d’informations d’identification : L’instabilité de la session Office 365 a souvent causé cette erreur. L’amélioration de la connexion à Exchange résout le problème. (XMHELP-293, XMHELP-311, XMHELP-801)
-  Inexactitudes du nombre de boîtes aux lettres et d’appareils : XenMobile Mail Manager dispose d’un algorithme d’association boîte aux lettres-appareil amélioré. La fonction de diagnostics améliorés aide à identifier les boîtes aux lettres et les appareils que XenMobile Mail Manager estime ne pas relever de sa responsabilité. (XMHELP-623)
-  Commandes Autoriser/Bloquer/Effacer non reconnues : Un bug a été corrigé, où parfois, les commandes Autoriser/Bloquer/Effacer de XenMobile Mail Manager ne sont pas reconnues. (XMHELP-489)
-  Gestion de la mémoire : Meilleure gestion et atténuation de la mémoire. (XMHELP-419)

Architecture

-  Le diagramme suivant présente les principaux composants du connecteur Citrix Endpoint Management pour Exchange ActiveSync. Pour un diagramme d’architecture de référence détaillé, consultez [Architecture](/fr-fr/citrix-endpoint-management/about.html#architecture).

-  ![Architecture du connecteur Citrix Endpoint Management pour Exchange ActiveSync](/en-us/citrix-endpoint-management/media/architecture-citrix-gateway-connector-exchangeactivesync.png)

-  Les deux principaux composants sont :

-  **Gestion du contrôle d’accès Exchange ActiveSync :** Communique avec Citrix Endpoint Management pour récupérer une stratégie Exchange ActiveSync de Citrix Endpoint Management, et fusionne cette stratégie avec toute stratégie définie localement pour déterminer les appareils Exchange ActiveSync qui doivent être autorisés ou refusés à accéder à Exchange. La stratégie locale permet d’étendre les règles de stratégie pour autoriser le contrôle d’accès par groupe Active Directory, utilisateur, type d’appareil ou agent utilisateur de l’appareil (généralement la version de la plateforme mobile).
-  **Gestion PowerShell à distance :** Responsable de la planification et de l’invocation des commandes PowerShell à distance pour appliquer la stratégie compilée par la gestion du contrôle d’accès Exchange ActiveSync. Prend périodiquement un instantané de la base de données Exchange ActiveSync pour détecter les appareils Exchange ActiveSync nouveaux ou modifiés.

Configuration système requise et prérequis

-  Les exigences système minimales suivantes sont requises pour utiliser le connecteur Citrix Endpoint Management pour Exchange ActiveSync :

-  Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Doit être un serveur basé sur l’anglais. La prise en charge de Windows Server 2008 R2 Service Pack 1 se termine le 14 janvier 2020 et la prise en charge de Windows Server 2012 R2 se termine le 10 octobre 2023.
-  Microsoft SQL Server 2016 Service Pack 2, SQL Server 2014 Service Pack 3 ou SQL Server 2012 Service Pack 4.
-  Microsoft .NET Framework 4.6.
-  Blackberry Enterprise Service, version 5 (facultatif).

-  Versions minimales prises en charge de Microsoft Exchange Server :

• Microsoft Office 365
• Exchange Server 2016
  • Exchange Server 2013 (la prise en charge se termine le 11 avril 2023)
  • Exchange Server 2010 Service Pack 3 (la prise en charge se termine le 14 janvier 2020)

Prérequis

-  Windows Management Framework doit être installé.
-  PowerShell V5, V4 et V3
-  La stratégie d'exécution PowerShell doit être définie sur RemoteSigned via Set-ExecutionPolicy RemoteSigned.
-  Le port TCP 80 doit être ouvert entre l'ordinateur exécutant le connecteur pour Exchange ActiveSync et le serveur Exchange distant.

-  **Clients de messagerie des appareils :** Tous les clients de messagerie ne renvoient pas systématiquement le même ID ActiveSync pour un appareil. Étant donné que le connecteur pour Exchange ActiveSync attend un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent systématiquement le même ID ActiveSync unique pour chaque appareil sont pris en charge. Ces clients de messagerie ont été testés par Citrix et ne présentent aucune erreur :

-  Client de messagerie natif Samsung
-  Client de messagerie natif iOS

-  **Exchange :** Les exigences pour l'ordinateur local exécutant Exchange sont les suivantes :

-  Les informations d'identification spécifiées dans l'interface utilisateur de configuration d'Exchange doivent pouvoir se connecter à Exchange Server et disposer d'un accès complet pour exécuter les cmdlets PowerShell spécifiques à Exchange suivantes.

-  **Pour Exchange Server 2010 SP2 :**
-  `Get-CASMailbox`
-  `Set-CASMailbox`
-  `Get-Mailbox`
-  `Get-ActiveSyncDevice`
-  `Get-ActiveSyncDeviceStatistics`
-  `Clear-ActiveSyncDevice`
-  `Get-ExchangeServer`
-  `Get-ManagementRole`
-  `Get-ManagementRoleAssignment`
-  **Pour Exchange Server 2013 et Exchange Server 2016 :**
-  `Get-CASMailbox`
-  `Set-CASMailbox`
-  `Get-Mailbox`
-  `Get-MobileDevice`
-  `Get-MobileDeviceStatistics`
-  `Clear-MobileDevice`
-  `Get-ExchangeServer`
-  `Get-ManagementRole`
-  `Get-ManagementRoleAssignment`

-  Si le connecteur pour Exchange ActiveSync est configuré pour afficher l'intégralité de la forêt, l'autorisation d'exécuter doit avoir été accordée : **Set-AdServerSettings -ViewEntireForest $true**
-  Les informations d'identification fournies doivent avoir obtenu le droit de se connecter à Exchange Server via le Shell distant. Par défaut, l'utilisateur qui a installé Exchange dispose de ce droit.
-  Pour établir une connexion à distance et exécuter des commandes à distance, les informations d'identification doivent correspondre à un utilisateur qui est administrateur sur la machine distante. Vous pouvez utiliser Set-PSSessionConfiguration pour éliminer l'exigence administrative, mais la discussion de cette commande dépasse le cadre de ce document. Pour plus d'informations, consultez l'article Microsoft [À propos des configurations de session](https://docs.microsoft.com/fr-fr/powershell/module/microsoft.powershell.core/about/about_session_configurations?view=powershell-7).
-  Exchange Server doit être configuré pour prendre en charge les requêtes PowerShell à distance via HTTP. Généralement, il suffit qu'un administrateur exécute la commande PowerShell suivante sur Exchange Server : WinRM QuickConfig.
-  Exchange dispose de nombreuses stratégies de limitation. L'une des stratégies contrôle le nombre de connexions PowerShell simultanées autorisées par utilisateur. Le nombre par défaut de connexions simultanées autorisées pour un utilisateur est de 18 sur Exchange 2010. Lorsque la limite de connexion est atteinte, le connecteur pour Exchange ActiveSync ne peut pas se connecter à Exchange Server. Il existe des moyens de modifier le nombre maximal de connexions simultanées autorisées via PowerShell qui dépassent le cadre de cette documentation. Si vous êtes intéressé, examinez les stratégies de limitation d'Exchange en relation avec la gestion à distance avec PowerShell.

-  ## Exigences pour Office 365 Exchange

-  **Autorisations :** Les informations d'identification spécifiées dans l'interface utilisateur de configuration d'Exchange doivent pouvoir se connecter à Office 365 et disposer d'un accès complet pour exécuter les cmdlets PowerShell spécifiques à Exchange suivantes :
-  `Get-CASMailbox`
-  `Set-CASMailbox`
-  `Get-Mailbox`
-  `Get-MobileDevice`
-  `Get-MobileDeviceStatistics`
-  `Clear-MobileDevice`
-  `Get-ExchangeServer`
-  `Get-ManagementRole`
-  `Get-ManagementRoleAssignment`
-  **Privilèges :** Les informations d'identification fournies doivent avoir obtenu le droit de se connecter au serveur Office 365 via le Shell distant. Par défaut, l'administrateur en ligne d'Office 365 dispose des privilèges requis.
-  **Stratégies de limitation :** Exchange dispose de nombreuses stratégies de limitation. L'une des stratégies contrôle le nombre de connexions PowerShell simultanées autorisées par utilisateur. Le nombre par défaut de connexions simultanées autorisées pour un utilisateur est de trois sur Office 365. Lorsque la limite de connexion est atteinte, le connecteur pour Exchange ActiveSync ne peut pas se connecter à Exchange Server. Il existe des moyens de modifier le nombre maximal de connexions simultanées autorisées via PowerShell qui dépassent le cadre de cette documentation. Si vous êtes intéressé, examinez les stratégies de limitation d'Exchange en relation avec la gestion à distance avec PowerShell.

Installer et configurer

1. Cliquez sur le fichier XmmSetup.msi, puis suivez les invites de l’installateur pour installer le connecteur Citrix Endpoint Management pour Exchange ActiveSync.

• 1. Laissez l’option Lancer l’utilitaire de configuration sélectionnée dans le dernier écran de l’assistant d’installation. Ou, à partir du menu Démarrer, ouvrez le connecteur pour Exchange ActiveSync.
• 1. Configurez les propriétés de base de données suivantes :
  • Sélectionnez l’onglet Configurer > Base de données.
  • Saisissez le nom du serveur SQL (par défaut : localhost).
  • Conservez la base de données par défaut CitrixXmm.
• 1. Sélectionnez l’un des modes d’authentification suivants utilisés pour SQL :
  • SQL : Saisissez le nom d’utilisateur et le mot de passe d’un utilisateur SQL valide.
  • Intégration Windows : Si vous sélectionnez cette option, les informations d’identification de connexion du service XenMobile Mail Manager doivent être modifiées pour un compte Windows disposant des autorisations d’accès à SQL Server. Pour ce faire, ouvrez le Panneau de configuration > Outils d’administration > Services, cliquez avec le bouton droit sur l’entrée du service XenMobile Mail Manager, puis cliquez sur l’onglet Connexion.
• Si l’intégration Windows est également choisie pour la connexion à la base de données BlackBerry, le compte Windows spécifié ici doit également avoir accès à la base de données BlackBerry.

1. Cliquez sur Tester la connectivité pour vérifier qu’une connexion peut être établie avec SQL Server, puis cliquez sur Enregistrer.

2. Un message vous invite à redémarrer le service. Cliquez sur Oui.

   

• 1. Configurez un ou plusieurs serveurs Exchange :
  • Si vous gérez un seul environnement Exchange, spécifiez un seul serveur. Si vous gérez plusieurs environnements Exchange, spécifiez un seul serveur Exchange pour chaque environnement Exchange.
  • Cliquez sur l’onglet Configurer > Exchange, puis sur Ajouter.

  

1. Sélectionnez le type d’environnement de serveur Exchange : Sur site ou Office 365.

   • Si vous sélectionnez Sur site, entrez le nom du serveur Exchange à utiliser pour les commandes PowerShell à distance.
   • Entrez le nom d’utilisateur d’une identité Windows disposant des droits appropriés sur le serveur Exchange, comme spécifié dans la section Exigences, puis entrez le mot de passe de l’utilisateur.
   • Sélectionnez la planification d’exécution des instantanés majeurs. Un instantané majeur détecte chaque partenariat Exchange ActiveSync.
   • Sélectionnez la planification d’exécution des instantanés mineurs. Un instantané mineur détecte les partenariats Exchange ActiveSync nouvellement créés.
   • Sélectionnez le type d’instantané : Approfondi ou Superficiel. Les instantanés superficiels sont généralement beaucoup plus rapides et suffisent pour exécuter toutes les fonctions de contrôle d’accès Exchange ActiveSync du connecteur pour Exchange ActiveSync.
   • Sélectionnez l’accès par défaut : Autoriser, Bloquer ou Non modifié. Ce paramètre contrôle la manière dont tous les appareils, autres que ceux identifiés par des règles explicites Citrix Endpoint Management ou locales, sont traités. Si vous sélectionnez Autoriser, l’accès ActiveSync à tous ces appareils est autorisé. Si vous sélectionnez Bloquer, l’accès est refusé. Si vous sélectionnez Non modifié, aucune modification n’est apportée.
   • Sélectionnez le mode de commande ActiveSync : PowerShell ou Simulation.
   • En mode PowerShell, le connecteur pour Exchange ActiveSync émet des commandes PowerShell pour appliquer le contrôle d’accès souhaité. En mode Simulation, le connecteur pour Exchange ActiveSync n’émet pas de commandes PowerShell, mais enregistre la commande prévue et les résultats attendus dans la base de données. En mode Simulation, l’utilisateur peut ensuite utiliser l’onglet Surveiller pour voir ce qui se serait passé si le mode PowerShell avait été activé.
   • Dans Expiration de la connexion, définissez les heures et les minutes pour la durée de vie d’une connexion. Lorsqu’une connexion atteint l’âge spécifié, elle est marquée comme expirée, de sorte qu’elle n’est plus jamais utilisée. Lorsque la connexion expirée n’est plus utilisée, le connecteur pour Exchange ActiveSync ferme la connexion en douceur. Lorsqu’une connexion est à nouveau nécessaire, une nouvelle connexion est initialisée si aucune n’est disponible. Si aucune valeur n’est spécifiée, la valeur par défaut de 30 minutes est utilisée.
   • Sélectionnez Afficher toute la forêt pour configurer le connecteur pour Exchange ActiveSync afin qu’il affiche l’intégralité de la forêt Active Directory dans l’environnement Exchange.
   • Sélectionnez le protocole d’authentification : Kerberos ou De base. Le connecteur pour Exchange ActiveSync prend en charge l’authentification de base pour les déploiements sur site. Cela permet d’utiliser le connecteur lorsque le serveur de connecteur n’est pas membre du domaine dans lequel réside le serveur Exchange.
   • Cliquez sur Tester la connectivité pour vérifier qu’une connexion peut être établie avec le serveur Exchange, puis cliquez sur Enregistrer.
   • Un message vous invite à redémarrer le service. Cliquez sur Oui.

2. Configurez les règles d’accès : Sélectionnez l’onglet Configurer > Règles d’accès, cliquez sur l’onglet Règles Citrix Endpoint Management, puis cliquez sur Ajouter.

   

3. Sur la page Propriétés du service du serveur Citrix Endpoint Management, modifiez la chaîne d’URL pour qu’elle pointe vers le serveur Citrix Endpoint Management. Par exemple, si le nom de l’instance est zdm, entrez https://<XdmHostName>/zdm/services/MagConfigService. Dans l’exemple, remplacez XdmHostName par l’adresse IP ou DNS du serveur Citrix Endpoint Management.

   

   • Entrez un utilisateur autorisé du serveur.
   • Entrez le mot de passe de l’utilisateur.
   • Conservez les valeurs par défaut pour les valeurs Intervalle de base, Intervalle delta et Délai d’expiration.
   • Cliquez sur Tester la connectivité pour vérifier la connexion au serveur, puis cliquez sur OK.

   Si la case à cocher Désactivé est sélectionnée, le service de messagerie Citrix Endpoint Management ne collecte pas les stratégies de Citrix Endpoint Management.

4. Cliquez sur l’onglet Règles locales.

   • 

   • Vous pouvez ajouter des règles locales basées sur l’ID d’appareil ActiveSync, le type d’appareil, le groupe AD, l’utilisateur ou l’agent utilisateur de l’appareil. Dans la liste, sélectionnez le type approprié.
   • Entrez du texte ou des fragments de texte dans la zone de texte. Vous pouvez éventuellement cliquer sur le bouton de requête pour afficher les entités qui correspondent au fragment.

   Pour tous les types autres que Groupe, le système s’appuie sur les appareils trouvés dans un instantané. Ainsi, si vous débutez et n’avez pas terminé d’instantané, aucune entité n’est disponible.

   • Sélectionnez une valeur de texte, puis cliquez sur Autoriser ou Refuser pour l’ajouter au volet Liste des règles sur le côté droit. Vous pouvez modifier l’ordre des règles ou les supprimer à l’aide des boutons situés à droite du volet Liste des règles. L’ordre est important car, pour un utilisateur et un appareil donnés, les règles sont évaluées dans l’ordre affiché et une correspondance sur une règle supérieure (plus proche du haut) annule l’effet des règles suivantes. Par exemple, si vous avez une règle autorisant tous les appareils iPad et une règle ultérieure bloquant l’utilisateur Matt, l’iPad de Matt sera toujours autorisé car la règle iPad a une priorité effective plus élevée que la règle Matt.

   • Pour effectuer une analyse des règles dans la liste des règles afin de trouver d’éventuelles remplacements, conflits ou constructions supplémentaires, cliquez sur Analyser, puis sur Enregistrer.

   • 1. Si vous souhaitez créer des règles locales qui opèrent sur des groupes Active Directory, cliquez sur Configurer LDAP, puis configurez les propriétés de connexion LDAP.

   

5. Si vous le souhaitez, configurez une ou plusieurs instances de BlackBerry Enterprise Server (BES) : Cliquez sur Ajouter, puis saisissez le nom du serveur SQL BES

• 

  • Saisissez le nom de la base de données de gestion BES.

  • Sélectionnez le mode d’authentification. Si vous sélectionnez l’authentification intégrée Windows, le compte d’utilisateur du connecteur pour le service Exchange ActiveSync est le compte utilisé pour se connecter au serveur SQL BES. Si vous choisissez également l’authentification intégrée Windows pour la connexion à la base de données du connecteur, le compte Windows spécifié ici doit également avoir accès à la base de données du connecteur.

  • Si vous sélectionnez l’authentification SQL, saisissez le nom d’utilisateur et le mot de passe.

  • Définissez le plan de synchronisation. Il s’agit du plan utilisé pour se connecter au serveur SQL BES et vérifier les mises à jour des appareils.

    • Cliquez sur Tester la connectivité pour vérifier la connectivité au serveur SQL. Si vous sélectionnez l’authentification intégrée Windows, ce test utilise l’utilisateur actuellement connecté et non l’utilisateur du service de connecteur, et ne teste donc pas précisément l’authentification SQL.

    • Pour prendre en charge l’effacement à distance (Wipe) et la réinitialisation du mot de passe (ResetPassword) des appareils BlackBerry depuis Citrix Endpoint Management, cochez la case Activé.

  • Saisissez le nom de domaine complet (FQDN) du BES.

  • Saisissez le port BES utilisé pour le service web d’administration.

  • Saisissez l’utilisateur et le mot de passe complets requis par le service BES.

  • Cliquez sur Tester la connectivité pour tester la connexion au BES, puis cliquez sur Enregistrer.

Appliquer les stratégies de messagerie avec les ID ActiveSync

Votre stratégie de messagerie d’entreprise peut stipuler que certains appareils ne sont pas approuvés pour l’utilisation de la messagerie d’entreprise. Pour respecter cette stratégie, vous devez vous assurer que les employés ne peuvent pas accéder à la messagerie d’entreprise depuis de tels appareils. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync et Citrix Endpoint Management collaborent pour appliquer une telle stratégie de messagerie. Citrix Endpoint Management définit la stratégie d’accès à la messagerie d’entreprise. Lorsqu’un appareil non approuvé s’inscrit auprès de Citrix Endpoint Management, le connecteur pour Exchange ActiveSync applique la stratégie.

Le client de messagerie sur un appareil s’annonce au serveur Exchange (ou Office 365) en utilisant l’ID de l’appareil, également appelé ID ActiveSync, qui est utilisé pour identifier l’appareil. Citrix Secure Hub obtient un identifiant similaire et l’envoie à Citrix Endpoint Management lorsque l’appareil est inscrit. En comparant les deux ID d’appareil, le connecteur pour Exchange ActiveSync peut déterminer si un appareil spécifique doit avoir accès à la messagerie d’entreprise. La figure suivante illustre ce concept :

Si Citrix Endpoint Management envoie au connecteur pour Exchange ActiveSync un ID ActiveSync différent de l’ID que l’appareil publie sur Exchange, le connecteur ne peut pas indiquer à Exchange ce qu’il doit faire avec l’appareil.

La correspondance des ID ActiveSync fonctionne de manière fiable sur la plupart des plates-formes. Cependant, Citrix a constaté que sur certaines implémentations Android, l’ID ActiveSync de l’appareil est différent de l’ID que le client de messagerie annonce à Exchange. Pour atténuer ce problème, vous pouvez effectuer les opérations suivantes :

• Sur les plates-formes Android, Citrix recommande d’utiliser Citrix Secure Mail.

Pour garantir que votre stratégie d’accès à la messagerie d’entreprise est correctement appliquée, vous pouvez adopter une approche de sécurité défensive. Configurez le connecteur Citrix Endpoint Management pour Exchange ActiveSync afin de bloquer les e-mails en définissant la stratégie statique sur Refuser par défaut. Cela signifie que si un employé configure un autre client de messagerie sur un appareil Android et que la détection de l’ID ActiveSync ne fonctionne pas, la messagerie d’entreprise refuse l’accès à l’employé.

Règles de contrôle d’accès

Le connecteur Citrix Endpoint Management pour Exchange ActiveSync offre une approche basée sur des règles pour configurer dynamiquement le contrôle d’accès des appareils Exchange ActiveSync. Une règle de contrôle d’accès du connecteur se compose de deux parties : une expression de correspondance et un état d’accès souhaité (Autoriser ou Bloquer). Une règle peut être évaluée par rapport à un appareil Exchange ActiveSync donné pour déterminer si la règle s’applique à cet appareil ou correspond à celui-ci. Il existe plusieurs types d’expressions de correspondance ; par exemple, une règle peut correspondre à tous les appareils d’un type d’appareil donné, à un ID d’appareil Exchange ActiveSync spécifique, à tous les appareils d’un utilisateur spécifique, et ainsi de suite.

À tout moment, lors de l’ajout, de la suppression et du réarrangement des règles dans la liste des règles, le fait de cliquer sur le bouton Annuler rétablit la liste des règles dans l’état où elle se trouvait lors de sa première ouverture. À moins que vous ne cliquiez sur Enregistrer, toutes les modifications apportées à cette fenêtre sont perdues si vous fermez l’outil de configuration.

Le connecteur Citrix Endpoint Management pour Exchange ActiveSync comporte trois types de règles : les règles locales, les règles de serveur Citrix Endpoint Management (également appelées règles XDM) et la règle d’accès par défaut.

Règles locales : Les règles locales ont la priorité la plus élevée : si un appareil correspond à une règle locale, l’évaluation de la règle s’arrête. Ni les règles du serveur Citrix Endpoint Management ni la règle d’accès par défaut ne seront consultées. Les règles locales sont configurées localement pour le connecteur Exchange ActiveSync via l’onglet Configurer > Règles d’accès > Règles locales. La correspondance de support est basée sur l’appartenance d’un utilisateur à un groupe Active Directory donné. La correspondance de support est basée sur des expressions régulières pour les champs suivants :

• ID d’appareil ActiveSync
• Type d’appareil ActiveSync
• Nom d’utilisateur principal (UPN)
• Agent utilisateur ActiveSync (généralement la plateforme de l’appareil ou le client de messagerie)

Tant qu’une capture instantanée majeure est terminée et a trouvé des appareils, vous pouvez ajouter une règle normale ou une règle d’expression régulière. Si une capture instantanée majeure n’est pas terminée, vous ne pouvez ajouter que des règles d’expression régulière.

Règles de serveur Citrix Endpoint Management : Les règles de serveur Citrix Endpoint Management sont des références à un serveur Citrix Endpoint Management externe qui fournit des règles concernant les appareils gérés. Le serveur Citrix Endpoint Management peut être configuré avec ses propres règles de haut niveau qui identifient les appareils à autoriser ou à bloquer en fonction des propriétés connues de Citrix Endpoint Management, telles que le fait que l’appareil soit jailbreaké ou qu’il contienne des applications interdites. Citrix Endpoint Management évalue les règles de haut niveau et produit un ensemble d’ID d’appareil ActiveSync autorisés ou bloqués, qui sont ensuite transmis à XenMobile Mail Manager.

Règle d’accès par défaut : La règle d’accès par défaut est unique en ce sens qu’elle peut potentiellement correspondre à chaque appareil et est toujours évaluée en dernier. Cette règle est la règle de rattrapage, ce qui signifie que si un appareil donné ne correspond pas à une règle locale ou à une règle de serveur Citrix Endpoint Management, l’état d’accès souhaité de l’appareil est déterminé par l’état d’accès souhaité de la règle d’accès par défaut.

• Accès par défaut – Autoriser : Tout appareil qui ne correspond pas à une règle locale ou à une règle de serveur Citrix Endpoint Management sera autorisé.
• Accès par défaut – Bloquer : Tout appareil qui ne correspond pas à une règle locale ou à une règle de serveur Citrix Endpoint Management sera bloqué.
• Accès par défaut – Non modifié : Tout appareil qui ne correspond pas à une règle locale ou à une règle de serveur Citrix Endpoint Management ne verra pas son état d’accès modifié de quelque manière que ce soit par le connecteur pour Exchange ActiveSync. Si un appareil a été mis en mode Quarantaine par Exchange, aucune action n’est entreprise. Par exemple, la seule façon de retirer un appareil du mode Quarantaine est d’avoir une règle locale ou XDM explicite qui annule la quarantaine.

À propos des évaluations de règles

-  Pour chaque appareil qu'Exchange signale au connecteur pour Exchange ActiveSync, les règles sont évaluées séquentiellement, de la priorité la plus élevée à la plus basse, comme suit :

• Règles locales
• Règles de serveur Citrix Endpoint Management
• Règle d’accès par défaut

Lorsqu’une correspondance est trouvée, l’évaluation s’arrête. Par exemple, si une règle locale correspond à un appareil donné, l’appareil ne sera pas évalué par rapport aux règles du serveur Citrix Endpoint Management ni à la règle d’accès par défaut. Cela est également vrai au sein d’un type de règle donné. Par exemple, s’il y a plus d’une correspondance pour un appareil donné dans la liste des règles locales, lorsque la première correspondance est trouvée, l’évaluation s’arrête.

Le connecteur pour Exchange ActiveSync réévalue l’ensemble de règles actuellement défini lorsque les propriétés des appareils changent, ou lorsque des appareils sont ajoutés ou supprimés, ou lorsque les règles elles-mêmes changent. Les captures instantanées majeures détectent les modifications et les suppressions de propriétés d’appareil à des intervalles configurables. Les captures instantanées mineures détectent les nouveaux appareils à des intervalles configurables.

Exchange ActiveSync dispose également de règles régissant l’accès. Il est important de comprendre comment ces règles fonctionnent dans le contexte du connecteur pour Exchange ActiveSync. Exchange peut être configuré avec trois niveaux de règles : les exemptions personnelles, les règles d’appareil et les paramètres d’organisation. Le connecteur pour Exchange ActiveSync automatise le contrôle d’accès en émettant programmatiquement des requêtes PowerShell à distance pour affecter les listes d’exemptions personnelles. Il s’agit de listes d’ID d’appareil Exchange ActiveSync autorisés ou bloqués associés à une boîte aux lettres donnée. Lorsqu’il est déployé, le connecteur pour Exchange ActiveSync prend effectivement en charge la gestion de la fonctionnalité des listes d’exemptions au sein d’Exchange. Consultez l’article de Microsoft, Gestion des appareils avec Exchange et Configuration Manager.

L’analyse est utile dans les situations où plusieurs règles pour le même champ ont été définies. Vous pouvez dépanner les relations entre les règles. Vous effectuez l’analyse du point de vue des champs de règle. Par exemple, les règles sont analysées en groupes basés sur le champ qui est mis en correspondance, tel que l’ID d’appareil ActiveSync, le type d’appareil ActiveSync, l’utilisateur, l’agent utilisateur.

Terminologie des règles

• Règle de remplacement : Un remplacement se produit lorsque plus d’une seule règle peut s’appliquer au même appareil. Étant donné que les règles sont évaluées par priorité dans la liste, les instances de règles ultérieures qui pourraient s’appliquer pourraient ne jamais être évaluées.
• Règle en conflit : Un conflit se produit lorsque plus d’une seule règle peut s’appliquer au même appareil, mais que l’accès (Autoriser/Bloquer) ne correspond pas. Si les règles en conflit ne sont pas des règles d’expression régulière, un conflit implique toujours implicitement un remplacement.
• Règle supplémentaire : Un supplément se produit lorsque plus d’une règle est une règle d’expression régulière et qu’il peut donc être nécessaire de s’assurer que les deux (ou plusieurs) expressions régulières peuvent être combinées en une seule règle d’expression régulière, ou qu’elles ne dupliquent pas de fonctionnalités. Une règle supplémentaire peut également être en conflit dans son accès (Autoriser/Bloquer).
• Règle principale : La règle principale est la règle sur laquelle on a cliqué dans la boîte de dialogue. La règle est indiquée visuellement par une ligne de bordure solide qui l’entoure. La règle aura également une ou deux flèches vertes pointant vers le haut ou vers le bas. Si une flèche pointe vers le haut, elle indique qu’il existe des règles auxiliaires qui précèdent la règle principale. Si une flèche pointe vers le bas, cela indique qu’il existe des règles auxiliaires qui viennent après la règle principale. Une seule règle principale peut être active à la fois.
• Règle auxiliaire : Une règle auxiliaire est liée d’une manière ou d’une autre à la règle principale, soit par remplacement, conflit ou relation supplémentaire. Les règles sont indiquées visuellement par une bordure en pointillés qui les entoure. Pour chaque règle principale, il peut y avoir entre une et plusieurs règles auxiliaires. Lorsque l’on clique sur une entrée soulignée, la ou les règles auxiliaires mises en évidence sont toujours du point de vue de la règle principale. Par exemple, la règle auxiliaire est remplacée par la règle principale, ou la règle auxiliaire est en conflit dans son accès avec la règle principale, ou la règle auxiliaire complète la règle principale.

Comment les types de règles apparaissent dans la boîte de dialogue Analyse des règles

• Lorsqu’il n’y a pas de conflits, de remplacements ou de compléments, la boîte de dialogue Analyse des règles ne contient aucune entrée soulignée. Cliquer sur l’un des éléments n’a aucun impact ; par exemple, les visuels normaux des éléments sélectionnés apparaissent.

  • La fenêtre Analyse des règles dispose d’une case à cocher qui, lorsqu’elle est sélectionnée, affiche uniquement les règles qui sont des conflits, des remplacements, des redondances ou des compléments.

    • 

Lorsqu’un remplacement se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles auxiliaires. Au moins une règle auxiliaire apparaît dans une police plus claire pour indiquer que la règle a été remplacée par une règle de priorité plus élevée. Vous pouvez cliquer sur la règle remplacée pour savoir quelle(s) règle(s) l’a/ont remplacée. Chaque fois qu’une règle remplacée est mise en surbrillance, soit parce qu’elle est la règle principale, soit parce qu’elle est la règle auxiliaire, un cercle noir apparaît à côté d’elle comme indication visuelle supplémentaire que la règle est inactive. Par exemple, avant de cliquer sur la règle, la boîte de dialogue apparaît comme suit :

Lorsque vous cliquez sur la règle de priorité la plus élevée, la boîte de dialogue apparaît comme suit :

Dans cet exemple, la règle d’expression régulière WorkMail.* est la règle principale (indiquée par la bordure pleine) et la règle normale workmailc633313818 est une règle auxiliaire (indiquée par la bordure en pointillés). Le point noir à côté de la règle auxiliaire est un indice visuel qui indique en outre que la règle est inactive (ne sera jamais évaluée) en raison de la règle d’expression régulière de priorité plus élevée qui la précède. Après avoir cliqué sur la règle remplacée, la boîte de dialogue apparaît comme suit :

Dans l’exemple précédent, la règle d’expression régulière WorkMail.* est la règle auxiliaire (indiquée par la bordure en pointillés) et la règle normale workmailc633313818 est une règle principale (indiquée par la bordure pleine). Pour cet exemple simple, il n’y a pas beaucoup de différence. Pour un exemple plus complexe, consultez l’exemple d’expression complexe plus loin dans cette rubrique. Dans un scénario avec de nombreuses règles définies, cliquer sur la règle remplacée permettrait d’identifier rapidement quelle(s) règle(s) l’a/ont remplacée.

Lorsqu’un conflit se produit, au moins deux règles sont soulignées, la règle principale et la ou les règles auxiliaires. Les règles en conflit sont indiquées par un point rouge. Les règles qui ne sont en conflit qu’entre elles ne sont possibles qu’avec deux règles d’expression régulière ou plus définies. Dans tous les autres scénarios de conflit, il n’y aura pas seulement un conflit, mais aussi un remplacement en jeu. Avant de cliquer sur l’une des règles dans un exemple simple, la boîte de dialogue apparaît comme suit :

En inspectant les deux règles d’expression régulière, il est évident que la première règle autorise tous les appareils avec un ID d’appareil qui contient “App” et que la seconde règle refuse tous les appareils avec un ID d’appareil qui contient Appl. De plus, même si la seconde règle refuse tous les appareils avec un ID d’appareil qui contient Appl, aucun appareil correspondant à ces critères ne sera jamais refusé en raison de la précédence plus élevée de la règle d’autorisation. Après avoir cliqué sur la première règle, la boîte de dialogue apparaît comme suit :

Dans le scénario précédent, la règle principale (règle d’expression régulière App.*) et la règle auxiliaire (règle d’expression régulière Appl.*) sont toutes deux mises en surbrillance en jaune. Il s’agit simplement d’un avertissement visuel pour vous alerter sur le fait que vous avez appliqué plus d’une règle d’expression régulière à un seul champ correspondant, ce qui peut signifier un problème de redondance ou quelque chose de plus grave.

Dans un scénario avec à la fois un conflit et un remplacement, la règle principale (règle d’expression régulière App.*) et la règle auxiliaire (règle d’expression régulière Appl.*) sont toutes deux mises en surbrillance en jaune. Il s’agit simplement d’un avertissement visuel pour vous alerter sur le fait que vous avez appliqué plus d’une règle d’expression régulière à un seul champ correspondant, ce qui peut signifier un problème de redondance ou quelque chose de plus grave.

Il est facile de voir dans l’exemple précédent que la première règle (règle d’expression régulière SAMSUNG.*) non seulement remplace la règle suivante (règle normale SAMSUNG-SM-G900A/101.40402), mais que les deux règles diffèrent dans leur accès (la principale spécifie Autoriser, l’auxiliaire spécifie Bloquer). La seconde règle (règle normale SAMSUNG-SM-G900A/101.40402) est affichée en texte plus clair pour indiquer qu’elle a été remplacée et est donc inactive.

Après avoir cliqué sur la règle d’expression régulière, la boîte de dialogue apparaît comme suit :

La règle principale (règle d’expression régulière SAMSUNG.*) est suivie d’un point rouge pour indiquer que son état d’accès est en conflit avec une ou plusieurs règles auxiliaires. La règle auxiliaire (règle normale SAMSUNG-SM-G900A/101.40402) est suivie d’un point rouge pour indiquer que son état d’accès est en conflit avec la règle principale. Cette règle est également suivie d’un point noir pour indiquer qu’elle est remplacée et donc inactive.

Au moins deux règles seront soulignées : la règle principale et la ou les règles auxiliaires. Les règles qui ne font que se compléter n’impliqueront que des règles d’expression régulière. Lorsque les règles se complètent, elles sont indiquées par une superposition jaune. Avant de cliquer sur l’une ou l’autre des règles, dans un exemple simple, la boîte de dialogue apparaît comme suit :

Une inspection visuelle révèle facilement que les deux règles sont des règles d’expression régulière qui ont toutes deux été appliquées au champ d’ID de périphérique ActiveSync dans le connecteur Citrix Endpoint Management pour Exchange ActiveSync. Après avoir cliqué sur la première règle, la boîte de dialogue se présente comme suit :

La règle principale (règle d’expression régulière WorkMail.*) est mise en surbrillance avec une superposition jaune pour indiquer qu’il existe au moins une autre règle auxiliaire qui est une expression régulière. La règle auxiliaire (règle d’expression régulière SAMSUNG.*) est mise en surbrillance avec une superposition jaune pour indiquer qu’elle et la règle principale sont toutes deux des règles d’expression régulière appliquées au même champ dans le connecteur pour Exchange ActiveSync. Dans ce cas, ce champ est l’ID de périphérique ActiveSync. Les expressions régulières peuvent ou non se chevaucher. Il vous appartient de décider si vos expressions régulières sont correctement élaborées.

Exemple d’expression complexe

De nombreux remplacements, conflits ou compléments potentiels peuvent survenir, ce qui rend impossible de donner un exemple de tous les scénarios possibles. L’exemple suivant explique ce qu’il ne faut pas faire, tout en illustrant la pleine puissance de la construction visuelle d’analyse des règles. La plupart des éléments sont soulignés dans la figure suivante. De nombreux éléments s’affichent dans une police plus claire, ce qui indique que la règle en question a été remplacée d’une manière ou d’une autre par une règle de priorité plus élevée. Plusieurs règles d’expression régulière sont également incluses dans la liste, comme l’indique l’icône .

Comment analyser un remplacement

Pour voir quelle règle ou quelles règles ont remplacé une règle particulière, cliquez sur la règle.

Exemple 1 : Cet exemple examine pourquoi zentrain01@zenprise.com a été remplacé.

La règle principale (règle de groupe AD zenprise/TRAINING/ZenTraining B, dont zentrain01@zenprise.com est membre) présente les caractéristiques suivantes :

• Est mise en surbrillance en bleu et possède une bordure pleine.
• Possède une flèche verte pointant vers le haut (pour indiquer que les règles auxiliaires se trouvent toutes au-dessus d’elle).
• Est suivie à la fois d’un cercle rouge et d’un cercle noir pour indiquer respectivement qu’une ou plusieurs règles auxiliaires sont en conflit avec son accès et que la règle principale a été remplacée et est donc inactive.

Lorsque vous faites défiler vers le haut, vous voyez ce qui suit :

Dans ce cas, deux règles auxiliaires remplacent la règle principale : la règle d’expression régulière zen.* et la règle normale zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). Dans le cas de cette dernière règle auxiliaire, il s’est produit que la règle de groupe Active Directory ZenTraining A contient l’utilisateur zentrain01@zenprise.com, et la règle de groupe Active Directory ZenTraining B contient également l’utilisateur zentrain01@zenprise.com. Cependant, comme la règle auxiliaire a une priorité plus élevée que la règle principale, la règle principale a été remplacée. L’accès de la règle principale est Autoriser, et comme l’accès des deux règles auxiliaires est Bloquer, toutes sont suivies d’un cercle rouge pour indiquer davantage un conflit d’accès.

Exemple 2 : Cet exemple montre pourquoi le périphérique avec un ID de périphérique ActiveSync de 069026593E0C4AEAB8DE7DD589ACED33 a été remplacé :

La règle principale (règle d’ID d’appareil normale 069026593E0C4AEAB8DE7DD589ACED33) présente les caractéristiques suivantes :

• Est mise en surbrillance en bleu et possède une bordure pleine.
• Possède une flèche verte pointant vers le haut (pour indiquer que la règle auxiliaire se trouve au-dessus d’elle).
• Est suivie d’un cercle noir pour indiquer qu’une règle auxiliaire a remplacé la règle principale et est donc inactive.

Dans ce cas, une seule règle auxiliaire remplace la règle principale : la règle d’ID d’appareil ActiveSync à expression régulière est 3E.*. Étant donné que l’expression régulière 3E.* correspondrait à 069026593E0C4AEAB8DE7DD589ACED33, la règle principale ne sera jamais évaluée.

Comment analyser un complément et un conflit

Dans ce cas, la règle principale est la règle de type d’appareil ActiveSync à expression régulière touch.*. Les caractéristiques sont les suivantes :

• Est indiquée par une bordure pleine avec une superposition jaune comme avertissement qu’il y a plus d’une règle d’expression régulière opérant sur un champ de règle particulier, dans ce cas le type d’appareil ActiveSync.
• Deux flèches pointent respectivement vers le haut et vers le bas, indiquant qu’il existe au moins une règle auxiliaire de priorité plus élevée et au moins une règle auxiliaire de priorité plus faible.
• Le cercle rouge à côté indique qu’au moins une règle auxiliaire a son accès défini sur Autoriser, ce qui est en conflit avec l’accès de la règle principale défini sur Bloquer
• Il existe deux règles auxiliaires : la règle de type d’appareil ActiveSync à expression régulière SAM.* et la règle de type d’appareil ActiveSync à expression régulière Andro.*.
• Les deux règles auxiliaires sont bordées de tirets pour indiquer qu’elles sont auxiliaires.
• Les deux règles auxiliaires sont superposées en jaune pour indiquer qu’elles sont également appliquées au champ de règle du type d’appareil ActiveSync.
• Vous devez vous assurer dans de tels scénarios que leurs règles d’expression régulière ne sont pas redondantes.

Comment analyser davantage les règles

Cet exemple explore comment les relations entre les règles sont toujours du point de vue de la règle principale. L’exemple précédent a montré le comportement d’un clic sur la règle d’expression régulière appliquée au champ de règle du type d’appareil avec une valeur de touch.*. Cliquer sur la règle auxiliaire Andro.* affiche un ensemble différent de règles auxiliaires mises en surbrillance.

L’exemple montre une règle remplacée qui est incluse dans la relation de règle. Cette règle est la règle de type d’appareil ActiveSync normale Android, qui est remplacée (indiquée par la police éclaircie et le cercle noir à côté) et est également en conflit dans son accès avec la règle principale de type d’appareil ActiveSync à expression régulière Andro.*. Cette règle était auparavant une règle auxiliaire avant d’être cliquée. Dans l’exemple précédent, la règle de type d’appareil ActiveSync normale Android n’était pas affichée comme règle auxiliaire car, du point de vue de la règle alors principale (la règle de type d’appareil ActiveSync à expression régulière touch.*), elle n’y était pas liée.

Pour configurer une règle locale d’expression normale

1. Cliquez sur l’onglet Règles d’accès.

   

2. Dans la liste ID d’appareil, sélectionnez le champ pour lequel vous souhaitez créer une règle locale.

3. Cliquez sur l’icône de la loupe pour afficher toutes les correspondances uniques pour le champ choisi. Dans cet exemple, le champ Type d’appareil a été choisi et les choix sont affichés dans la zone de liste suivante :

   

4. Cliquez sur l’un des éléments de la zone de liste des résultats, puis cliquez sur l’une des options suivantes :

   • Autoriser signifie qu’Exchange sera configuré pour autoriser le trafic ActiveSync pour tous les appareils correspondants.
   • Refuser signifie qu’Exchange sera configuré pour refuser le trafic ActiveSync pour tous les appareils correspondants.

   Dans cet exemple, tous les appareils dont le type d’appareil est SamsungSPhl720 se voient refuser l’accès.

Pour ajouter une expression régulière

Les règles locales d’expression régulière peuvent être distinguées par l’icône qui apparaît à côté d’elles - . Pour ajouter une règle d’expression régulière, vous pouvez soit créer une règle d’expression régulière à partir d’une valeur existante de la liste des résultats pour un champ donné (à condition qu’un instantané majeur ait été effectué), soit simplement saisir l’expression régulière souhaitée.

Pour créer une expression régulière à partir d’une valeur de champ existante

1. Cliquez sur l’onglet Règles d’accès.

   

2. Dans la liste ID d’appareil, sélectionnez le champ pour lequel vous souhaitez créer une règle locale d’expression régulière.

3. Cliquez sur l’icône en forme de loupe pour afficher toutes les correspondances uniques pour le champ choisi. Dans cet exemple, le champ Type d’appareil a été choisi et les options sont affichées dans la zone de liste suivante :

   

4. Cliquez sur l’un des éléments de la liste des résultats. Dans cet exemple, SAMSUNGSPHL720 a été sélectionné et apparaît dans la zone de texte à côté de Type d’appareil.

   

5. Pour autoriser tous les types d’appareils dont la valeur de type d’appareil contient “Samsung”, ajoutez une règle d’expression régulière en suivant ces étapes :

   1. Cliquez dans la zone de texte de l’élément sélectionné.

   2. Modifiez le texte de SAMSUNGSPHL720 en SAMSUNG.*.

   3. Assurez-vous que la case à cocher de l’expression régulière est sélectionnée.

   4. Cliquez sur Autoriser.

   

Pour créer une règle d’accès

1. Cliquez sur l’onglet Règles locales.

2. Pour saisir l’expression régulière, vous devez utiliser à la fois la liste ID d’appareil et la zone de texte de l’élément sélectionné.

   

3. Sélectionnez le champ sur lequel vous souhaitez faire correspondre. Cet exemple utilise Type d’appareil.
4. Saisissez l’expression régulière. Cet exemple utilise samsung.*

5. Assurez-vous que la case à cocher de l’expression régulière est sélectionnée, puis cliquez sur Autoriser ou Refuser. Dans cet exemple, le choix est défini sur Autoriser. Le résultat final est le suivant :

   

Pour rechercher des appareils

En sélectionnant la case à cocher de l’expression régulière, vous pouvez effectuer des recherches d’appareils spécifiques qui correspondent à l’expression donnée. Cette fonctionnalité n’est disponible que si un instantané majeur a été effectué avec succès. Vous pouvez utiliser cette fonctionnalité même si vous n’avez pas l’intention d’utiliser des règles d’expression régulière. Par exemple, supposons que vous souhaitiez trouver tous les appareils qui contiennent le texte workmail dans leur ID d’appareil ActiveSync. Pour ce faire, suivez cette procédure.

1. Cliquez sur l’onglet Règles d’accès.

2. Assurez-vous que le sélecteur de champ de correspondance d’appareil est défini sur ID d’appareil (par défaut).

   

3. Cliquez dans la zone de texte de l’élément sélectionné (comme illustré en bleu dans la figure précédente), puis saisissez workmail.*.

4. Assurez-vous que la case à cocher de l’expression régulière est sélectionnée, puis cliquez sur l’icône de la loupe pour afficher les correspondances comme illustré dans la figure suivante.

   

Pour ajouter un utilisateur, un appareil ou un type d’appareil individuel à une règle statique

Vous pouvez ajouter des règles statiques basées sur l’utilisateur, l’ID d’appareil ou le type d’appareil sous l’onglet Appareils ActiveSync.

1. Cliquez sur l’onglet Appareils ActiveSync.

2. Dans la liste, cliquez avec le bouton droit sur un utilisateur, un appareil ou un type d’appareil et sélectionnez si vous souhaitez autoriser ou refuser votre sélection.

   L’image suivante montre l’option Autoriser/Refuser lorsque user1 est sélectionné.

   

Surveillance des appareils

L’onglet Surveillance dans le connecteur Citrix Endpoint Management pour Exchange ActiveSync vous permet de parcourir les appareils Exchange ActiveSync et BlackBerry qui ont été détectés ainsi que l’historique des commandes PowerShell automatisées qui ont été émises. L’onglet Surveillance comporte les trois onglets suivants :

• Appareils ActiveSync :
  • Vous pouvez exporter les partenariats d’appareils ActiveSync affichés en cliquant sur le bouton Exporter.
  • Vous pouvez ajouter des règles locales (statiques) en cliquant avec le bouton droit sur les colonnes Utilisateur, ID d’appareil ou Type et en sélectionnant le type de règle d’autorisation ou de blocage approprié.
  • Pour réduire une ligne développée, Ctrl-cliquez sur la ligne développée.
• Appareils BlackBerry
• Historique d’automatisation

L’onglet Configurer affiche l’historique de tous les instantanés. L’historique des instantanés indique quand l’instantané a été effectué, combien de temps il a fallu, combien d’appareils ont été détectés et toutes les erreurs qui se sont produites :

• Sous l’onglet Exchange, cliquez sur l’icône Info pour le serveur Exchange souhaité.

Dépannage et diagnostics

Le connecteur Citrix Endpoint Management pour Exchange ActiveSync enregistre les erreurs et d’autres informations opérationnelles dans son fichier journal : Dossier d’installation\log\XmmWindowsService.log. Le connecteur pour Exchange ActiveSync enregistre également les événements importants dans le journal d’événements Windows.

Pour modifier le niveau de journalisation

Le connecteur Citrix Endpoint Management pour Exchange ActiveSync inclut les niveaux de journalisation suivants : Erreur, Info, Avertissement, Débogage et Trace.

Remarque :

Chaque niveau successif génère plus de détails (plus de données). Par exemple, le niveau Erreur fournit le moins de détails, tandis que le niveau Trace fournit le plus de détails.

Pour modifier le niveau de journalisation, procédez comme suit :

1. Dans le connecteur Citrix Endpoint Management C:\Program Files\Citrix\Citrix, ouvrez le fichier nlog.config.

2. Dans la section <rules>, modifiez le paramètre minilevel pour le niveau de journalisation que vous préférez. Par exemple :

       <rules >
   
       <logger name="*" writeTo="file" minlevel="Debug" />
   
       </rules>
   <!--NeedCopy-->
   

3. Enregistrez le fichier.

   Les modifications prennent effet immédiatement. Vous n’avez pas besoin de redémarrer le connecteur pour Exchange ActiveSync.

Erreurs courantes

La liste suivante inclut les erreurs courantes :

• Le connecteur pour le service Exchange ActiveSync ne démarre pas

  Vérifiez le fichier journal et le journal d’événements Windows pour les erreurs. Les causes typiques sont les suivantes :

  • Le connecteur pour le service Exchange ActiveSync ne peut pas accéder au serveur SQL. Cela peut être dû aux problèmes suivants :

    • Le service SQL Server n’est pas en cours d’exécution.
    • Échec de l’authentification.

    Si l’authentification intégrée Windows est configurée, le compte d’utilisateur du connecteur pour le service Exchange ActiveSync doit être une connexion SQL autorisée. Le compte du connecteur pour le service Exchange ActiveSync est par défaut Système local, mais peut être modifié pour tout compte disposant de privilèges d’administrateur local. Si l’authentification SQL est configurée, la connexion SQL doit être correctement configurée dans SQL.

Outils de dépannage

Un ensemble d’utilitaires PowerShell pour le dépannage est disponible dans le dossier Support\PowerShell.

Un outil de dépannage effectue une analyse approfondie des boîtes aux lettres et des appareils des utilisateurs, détectant les conditions d’erreur et les zones de défaillance potentielles, ainsi qu’une analyse RBAC approfondie des utilisateurs. Il peut enregistrer une sortie brute de toutes les cmdlets dans un fichier texte.