Citrix Endpoint Management

Citrix Endpoint Management Connector pour Exchange ActiveSync

XenMobile Mail Manager est maintenant nommé Citrix Endpoint Management Connector pour Exchange ActiveSync. Pour plus de détails sur le portefeuille unifié de Citrix, consultez le guide des produits Citrix.

Le connecteur étend les fonctionnalités de Citrix Endpoint Management des façons suivantes :

  • Contrôle d’accès dynamique des appareils EAS (Exchange Active Sync). L’accès des appareils EAS aux services Exchange peut être automatiquement autorisé ou bloqué.
  • Capacité d’Citrix Endpoint Management à accéder aux informations de partenariat d’appareil EAS fournies par Exchange.
  • Capacité d’Citrix Endpoint Management à effacer un appareil mobile en fonction de l’état EAS.
  • Capacité d’Citrix Endpoint Management à accéder à des informations sur des appareils Blackberry, et à réaliser des opérations de contrôle telles que l’effacement (Wipe) et la réinitialisation du mot de passe (ResetPassword).

Pour effacer un appareil en fonction de l’état EAS, configurez une action automatisée avec un déclencheur ActiveSync. Consultez la section Actions automatisées.

Important :

À compter d’octobre 2022, les connecteurs Citrix Endpoint Management et NetScaler Gateway pour Exchange ActiveSync ne prendront plus en charge Exchange Online en raison des modifications d’authentification annoncées par Microsoft ici. Le connecteur Citrix Endpoint Management pour Exchange continuera de fonctionner avec Microsoft Exchange Server (déploiement local).

Nouveautés dans la version 10.1.10

Les problèmes suivants ont été résolus dans la version 10.1.10 :

  • Les clients qui rencontrent des problèmes réseau fréquents peuvent ne pas être en mesure de réaliser un instantané au cours des trois tentatives qui étaient précédemment fournies. Avec cette version, un administrateur peut configurer le nombre maximum de tentatives (1-10). Ce correctif permet à un instantané de subir plusieurs interruptions de communication sans abandonner complètement le processus d’instantané. [CXM-70837] Image de l’écran de configuration avec l’option Nbre max de tentatives d’instantanés
  • Dans les versions précédentes, le type d’instantané n’apparaissait pas dans la liste des configurations Exchange. Maintenant, le type d’instantané apparaît. [CXM-70846]
  • L’exception PSRemotingTransport signalée par PowerShell indique que la session vers Exchange n’est plus viable. L’état est ajouté par défaut à la liste Erreurs critiques dans le fichier de configuration. Ce faisant, lorsque l’exception PSRemotingTransport est détectée, la connexion est marquée comme une Erreur à des fins d’élimination ultérieure. La communication suivante utilise une connexion valide ou crée une connexion. [XMHELP-2184, CXM-70836]
  • Lorsqu’une modification de configuration est enregistrée, il est possible que les composants internes configurés précédemment n’aient pas tous été supprimés correctement avant de charger la nouvelle configuration. Ce problème peut conduire à un comportement imprévisible. Le comportement dépend de la modification spécifique et si la modification est en conflit avec la configuration précédente. Dans cette version, tous les composants internes sont supprimés avant de charger la nouvelle configuration. [XMHELP-2259, CXM-71388]

Nouveautés dans la version 10.1.9

Les problèmes suivants ont été résolus dans la version 10.1.9 :

  • Les modifications de configuration sont désormais gérées de manière plus cohérente. Lorsque le service détecte un changement de configuration, chaque sous-système interne est arrêté, ce qui signifie que tout traitement actif ou planifié est interrompu. Ensuite, la nouvelle configuration est chargée et les sous-systèmes sont redémarrés, ce qui signifie que tous les programmes et autres infrastructures internes sont rétablis avec de nouveaux paramètres. Ce problème corrige un problème connu dans la version 10.1.8. [CXM-47709, CXM-61330]
  • Lors d’une mise à niveau, la configuration de base de données existante n’était pas fusionnée dans le nouveau fichier de configuration. La configuration de base de données est maintenant fusionnée dans le fichier de configuration mis à niveau. [CXM-49326]
  • Dans les fichiers de diagnostic liés aux instantanés, les en-têtes de colonne étaient manquants. Les en-têtes sont restaurés. [CXM-62680]
  • Lors de la mise à niveau à partir d’une version précédente, la section par défaut du fichier de configuration était remplacée par la section analogue du fichier de configuration utilisé. Ce problème empêchait les ajouts ou les améliorations à la section par défaut d’être chargés par le service après la mise à niveau. À partir de cette version, la section par défaut reflète toujours la dernière configuration. [CXM-62681]
  • Les administrateurs ne peuvent plus accéder à certaines options en appuyant sur Maj lors de l’exécution de l’application. Ces options étaient auparavant disponibles avec l’autorisation Citrix. Certaines options sont désormais entièrement disponibles, telles que Autoriser la redirection, tandis que d’autres, telles que Détection de blocage et Correction de comptage, sont obsolètes. [CXM-62767]

    Tous les paramètres disponibles

Nouveautés dans les versions précédentes

La section suivante répertorie les nouvelles fonctionnalités et les problèmes résolus dans les versions antérieures du connecteur Citrix Endpoint Management pour Exchange ActiveSync.

Nouveautés dans la version 10.1.8

  • Il est possible qu’Exchange limite trop fréquemment l’envoi de commandes par le service de Citrix Endpoint Management Connector pour Exchange ActiveSync. Ce problème est un comportement courant dans les connexions à Office 365. Avec cette limitation, le service doit se mettre en pause pendant une période spécifiée avant d’envoyer la commande suivante. La console Configurer affiche désormais le temps de pause restant. [CXM-48044]
  • Lorsque des modifications sont apportées aux sections « Watchdog » et/ou « SpecialistsDefaults » du fichier de configuration (config.xml), les modifications ne sont pas reflétées dans le fichier de configuration après une mise à niveau. Avec cette version, les modifications sont fusionnées correctement dans le nouveau fichier de configuration. [CXM-52523]
  • Plus de détails ont été ajoutés aux analyses envoyées à Google Analytics, notamment concernant les instantanés. [CXM-56691]
  • La fonctionnalité de connectivité de test Exchange tentait d’initialiser la connexion une seule fois. Étant donné que les connexions Office 365 peuvent être limitées, il était possible qu’une connectivité de test semble échouer lors de la limitation. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync tente désormais d’initier une connexion jusqu’à trois fois. [CXM-58180]
  • Afin d’appliquer des stratégies sur Exchange, le connecteur Citrix Endpoint Management pour Exchange ActiveSync doit compiler une commande Set-CASMailbox qui inclut tous les appareils concernés pour chaque boîte aux lettres, dans deux listes : autoriser et bloquer. Si un appareil n’est pas inclus dans l’une ou l’autre des listes, Exchange revient à son état d’accès par défaut. Si cet état d’accès par défaut est différent de l’état souhaité pour un appareil, cet appareil n’est plus conforme. Par conséquent, un utilisateur peut perdre l’accès à son courrier électronique si l’état d’accès par défaut d’Exchange est bloqué alors qu’il devrait être autorisé. Ou bien, un utilisateur dont l’accès au courrier électronique devrait être bloqué peut se voir accorder l’accès. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync garantit désormais que tous les appareils avec un état souhaité valide sont inclus dans chaque commande Set-CasMailbox. [CXM-61251]

Le problème suivant est connu dans la version 10.1.8 :

Si un administrateur apporte une modification dans l’application Configurer qui modifie les données de configuration, alors que le service effectue des opérations de longue durée, telles qu’un instantané ou une évaluation des stratégies, le service peut entrer dans un état indéterminé. Un symptôme peut être que les modifications de stratégie ne sont pas traitées ou que les instantanés ne sont pas initiés. Pour rétablir l’état de fonctionnement du service, il doit être redémarré. Vous devrez peut-être utiliser le gestionnaire de services Windows pour mettre fin au processus avant de démarrer le service. [CXM-61330]

Nouveautés dans la version 10.1.7

  • XenMobile Mail Manager est maintenant nommé Citrix Endpoint Management Connector pour Exchange ActiveSync.
  • L’option Disable Pipelining dans la boîte de dialogue de configuration Exchange est désormais obsolète. Vous pouvez obtenir la même fonctionnalité en configurant plusieurs étapes pour chaque commande dans le fichier config.xml. [CXM-54593]

Les problèmes suivants ont été résolus dans la version 10.1.7 :

  • Dans la fenêtre de l’historique des instantanés, les messages d’erreur peuvent être affichés avec peu de contexte. À présent, les messages d’erreur sont précédés du contexte dans lequel les erreurs se sont produites. [CXM-49157]
  • Le fichier XmmGoogleAnalytics.dll ne possédait pas la version de fichier correspondante à la version commerciale. [CXM-52518]
  • Pour améliorer les diagnostics, nous avons récemment modifié le format de chaîne relatif à une liste d’ID d’appareils utilisés pour définir l’état Autorisé/Bloqué de la boîte aux lettres. Cependant, si un nombre trop important d’appareils est spécifié, la taille de chaîne maximale est dépassée. Nous utilisons maintenant une structure de données de tableau interne. Cette structure n’a pas de limite de taille et formate également les données de manière appropriée à des fins de diagnostic. [CXM-52610]
  • Lorsque des stratégies d’appareil qui ne sont pas synchronisées avec Exchange sont détectées, leurs commandes peuvent inclure des appareils n’appartenant pas à la boîte aux lettres appropriée. Citrix Endpoint Management Connector pour Exchange ActiveSync s’assure désormais que les commandes destinées à Exchange représentent uniquement les appareils appartenant à leurs boîtes aux lettres respectives. [CXM-54842]
  • Dans certains environnements, un assembly Microsoft n’est pas disponible. L’assembly requis est maintenant explicitement installé avec l’application. [CXM-55439]
  • Si les noms uniques d’appareils ou de boîtes aux lettres comportent des espaces entre le nom de l’attribut et le signe égal ou des espaces après le signe égal et avant la valeur, Citrix Endpoint Management Connector pour Exchange ActiveSync peut ne pas faire correspondre un appareil à sa boîte aux lettres, et inversement. Par conséquent, certains appareils et/ou boîtes aux lettres peuvent être rejeté(e)s lors du rapprochement des instantanés. [CXM-56088]

Remarque :

Les sections suivantes font référence à Citrix Endpoint Management Connector pour Exchange ActiveSync sous son ancien nom XenMobile Mail Manager. Le nom a changé à partir de la version 10.1.7.

Mise à jour dans la version 10.1.6.20

Une mise à jour vers 10.1.6 contient le correctif suivant dans la version 10.1.6.20 :

  • Lorsque des stratégies d’appareil qui ne sont pas synchronisées avec Exchange sont détectées, leurs commandes peuvent inclure des appareils n’appartenant pas à la boîte aux lettres appropriée. XenMobile Mail Manager s’assure désormais que les commandes destinées à Exchange représentent uniquement les appareils appartenant à leurs boîtes aux lettres respectives. [CXM-54842]

Nouveautés dans la version 10.1.6

XenMobile Mail Manager version 10.1.6 contient les améliorations et les problèmes résolus suivants :

  • La fenêtre d’historique des instantanés entre parfois dans un état où la fenêtre n’est plus mise à jour. Le mécanisme d’actualisation de Windows a été amélioré pour une mise à jour plus fiable. [CXM-47983]
  • Deux modes et chemins de code distincts étaient utilisés pour les instantanés partitionnés et non partitionnés. Étant donné que les instantanés non partitionnés sont équivalents aux instantanés partitionnés avec une configuration utilisant une seule partition “*”, le mode instantané non partitionné a été éliminé. Le mode instantané par défaut est désormais partitionné avec 36 partitions (0-9, A-Z). [CXM-49093]
  • Dans la fenêtre de l’historique des instantanés, les messages d’erreur sont écrasés par les messages d’état. Désormais, XenMobile Mail Manager fournit deux champs distincts pour que les utilisateurs puissent voir l’état et les erreurs simultanément. [CXM-51942]
  • Lors de la connexion à Exchange Online (Office 365), les requêtes liées aux images instantanées pouvaient entraîner des données tronquées. Ce problème peut se produire lorsque XenMobile Mail Manager exécute un script en pipeline à plusieurs commandes. La commande en amont ne peut pas transmettre les données assez rapidement à la commande en aval, qui termine alors le travail prématurément. En conséquence, les données sont incomplètes. XenMobile Mail Manager peut maintenant reproduire le pipeline lui-même et attendre que la commande en amont soit effectuée avant d’appeler la commande en aval. Ce changement devrait entraîner le traitement et la capture de toutes les données. [CXM-52280]
  • Si une erreur non résolue se produit dans une commande de mise à jour de stratégie vers Exchange, la même commande est renvoyée à la file d’attente de travail à plusieurs reprises pendant une longue période. Cette situation entraînait l’envoi de la commande à Exchange à plusieurs reprises. Dans cette version de XenMobile Mail Manager, une commande entraînant une erreur est renvoyée à la file d’attente uniquement un nombre discret de fois. [CXM-52633]
  • Si une mise à jour de stratégie pour une boîte aux lettres spécifique impliquait l’autorisation ou le blocage de tous les appareils : la commande Set-CASMailbox émise échouait car la liste vide était convertie en une chaîne vide au lieu de NULL. Désormais, les données correctes sont envoyées. [CXM-53759]
  • Lors du traitement d’un nouvel appareil, Exchange peut renvoyer l’état “DeviceDiscovery” pendant un certain temps (généralement 15 minutes). XenMobile Mail Manager ne traitait pas spécifiquement cet état. XenMobile Mail Manager gère maintenant cet état. Dans l’onglet Monitor de l’interface utilisateur, les utilisateurs peuvent filtrer les appareils dans cet état. [CXM-53840]
  • XenMobile Mail Manager ne vérifiait pas la possibilité d’écrire dans la base de données XenMobile Mail Manager. Par conséquent, si les autorisations étaient restreintes, le comportement était imprévisible. XenMobile Mail Manager capture et valide désormais les autorisations requises à partir de la base de données. XenMobile Mail Manager indique les autorisations restreintes lors du test de la connexion (message affiché) ou dans l’indicateur Base de données (survol du message) en bas de la fenêtre principale de configuration. [CXM-54219]
  • Selon la charge de travail en cours, lorsqu’il est dirigé vers XenMobile Mail Manager, le service peut ne pas s’arrêter rapidement. Par conséquent, le service semble être dans un état qui ne répond pas. Les améliorations permettent d’interrompre les tâches en cours, entraînant un arrêt plus rapide. [CXM-54282]

Nouveautés dans la version 10.1.5

XenMobile Mail Manager version 10.1.5 contient les problèmes résolus suivants :

  • Lorsque Exchange applique une limitation aux activités de XenMobile Mail Manager, rien n’indique (en dehors des journaux) que la limitation est en cours. Avec cette version, un utilisateur peut survoler l’instantané actif et un état de limitation apparaît. De plus, pendant que XenMobile Mail Manager est limité, le début d’un instantané majeur est interdit jusqu’à ce que Exchange mette fin à la limitation. [CXM-49617]
  • Si XenMobile Mail Manager est limité par Exchange au cours d’un instantané majeur : il est possible qu’un délai insuffisant s’écoule avant la prochaine tentative d’instantané. Ce problème entraîne une limitation supplémentaire et l’échec de l’instantané. XenMobile Mail Manager attend maintenant le délai minimum spécifié par Exchange entre les tentatives d’instantanés. [CXM-49618]
  • Lorsque les diagnostics sont activés, le fichier de commandes affiche les commandes Set-CasMailbox qui ne contiennent pas de tirets avant chaque nom de propriété. Ce problème se produit uniquement lors du formatage du fichier de diagnostics et non de la commande elle-même vers Exchange. L’absence de tiret empêche un utilisateur de couper la commande et de la coller directement dans une invite PowerShell de test ou de validation. Les tirets ont été ajoutés. [CXM-52520]
  • Si une identité de boîte aux lettres est au format lastname, firstname, Exchange ajoute une barre oblique inverse avant la virgule lors du renvoi de données à partir d’une requête. Cette barre oblique inverse doit être supprimée lorsque XenMobile Mail Manager utilise l’identité pour demander davantage de données. [CXM-52635]

Limitation connue

Remarque :

La limitation suivante est résolue dans la version 10.1.6.

XenMobile Mail Manager a une limitation connue qui peut entraîner l’échec des commandes Exchange. Pour appliquer des modifications de stratégie à Exchange, une commande Set_CASMailbox est émise par XenMobile Mail Manager. Cette commande peut utiliser deux listes d’appareils : une pour autoriser et une pour bloquer. La commande est appliquée aux appareils associés à une boîte aux lettres.

Ces listes sont limitées à 256 caractères chacune par l’API Microsoft. Si l’une de ces listes dépasse la limite, la commande échoue dans son intégralité, empêchant la définition des stratégies pour ces appareils de la boîte aux lettres. L’erreur signalée, qui apparait dans les journaux XenMobile Mail Manager, ressemble à ceci. L’exemple représente la liste bloquée.

“Message:’Cannot bind parameter ’ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”

Les longueurs d’ID d’appareil peuvent varier, mais un bon principe à suivre est qu’environ 10 appareils Autorisés ou Bloqués simultanément peuvent dépasser la limite. Bien qu’il soit rare que de nombreux appareils soient associés à une boîte aux lettres spécifique, c’est un scénario possible. Tant que XenMobile Mail Manager n’est pas amélioré pour gérer un tel scénario, nous vous recommandons de limiter le nombre d’appareils associés à un utilisateur et à une boîte aux lettres à 10 ou moins. [CXM-52633]

Nouveautés dans la version 10.1.4

XenMobile Mail Manager version 10.1.4 contient les problèmes résolus suivants :

  • En raison de leur faible niveau de sécurité, TLS 1.0 et TLS 1.1 ont été déclarés obsolètes par le PCI Council. La prise en charge de TLS 1.2 est ajoutée à XenMobile Mail Manager. [CXM-38573, CXM-32560]
  • XenMobile Mail Manager inclut un nouveau fichier de diagnostic. Lorsque l’option Enable Diagnostics est sélectionnée dans la spécification Exchange, un nouveau fichier d’historique des instantanés est généré. À chaque tentative d’instantané, une ligne est ajoutée au fichier avec les résultats de l’instantané. [CXM-49631]
  • Dans le fichier de diagnostic Commands, la liste des appareils autorisés ou bloqués n’apparaît pas pour la commande Set-CASMailbox. Au lieu de cela, le nom de classe interne était affiché dans le fichier pour les arguments associés. XenMobile Mail Manager affiche désormais la liste des appareils sous forme de liste délimitée par des virgules. [CXM-50693]
  • Lorsqu’une tentative d’acquisition d’une connexion à Exchange échoue en raison d’une spécification incorrecte : Le message d’erreur est remplacé par un message incorrect : « All connections in use ». Des messages plus descriptifs apparaissent maintenant, tels que “All connections are inoperable”, “Connection pool is empty”, “All connections are throttled” et “No available connections”. [CXM-50783]
  • Dans certains cas, les commandes Autoriser/Bloquer/Effacer sont mises en file d’attente plusieurs fois dans le cache interne de XenMobile Mail Manager. Ce problème provoque un retard dans la commande envoyée à Exchange. XenMobile Mail Manager ne met en file d’attente qu’une seule instance de chaque commande. [CXM-51524]

Nouveautés dans la version 10.1.3

  • Prise en charge de Google Analytics : nous souhaitons savoir comment vous utilisez XenMobile Mail Manager afin de pouvoir nous concentrer sur l’amélioration du produit.
  • Paramètre d’activation des diagnostics : une case à cocher Enable Diagnostic s’affiche dans la console Configure de la boîte de dialogue Configuration.

    Console Mail Manager

Problèmes résolus dans la version 10.1.3

  • Dans la fenêtre Snapshot History, les infobulles qui montrent l’état actuel de l’instantané ne reflètent pas l’état actuel. [CXM-5570] Parfois, XenMobile Mail Manager ne peut pas écrire dans le fichier de diagnostic Commands. Lorsque cela se produit, l’historique des commandes n’est pas consigné dans son intégralité. [CXM-49217]
  • Lorsqu’une erreur se produit avec une connexion, la connexion peut ne pas être marquée comme “erronée” (errored). Par conséquent, une commande ultérieure peut tenter d’utiliser la connexion et provoquer une autre erreur. [CXM-49495]
  • Lors d’une limitation en provenance du serveur Exchange, une exception peut être envoyée dans la routine Check Health. Par conséquent, les connexions ayant rencontré une erreur ou ayant expiré risquent de ne pas être purgées. En outre, XenMobile Mail Manager peut ne pas créer de connexions jusqu’à ce que le délai de limitation expire. [CXM-49794].
  • Lorsque le nombre maximal de sessions pour Exchange est dépassé, XenMobile Mail Manager signale l’erreur “Device Capture Failed”, qui n’est pas un message exact. Au lieu de cela, le message doit indiquer que les deux sessions que XenMobile Mail Manager utilise normalement pour la communication Exchange sont en cours d’utilisation. [CXM-49994]

Nouveautés dans la version 10.1.2

  • Connexion améliorée à Exchange : XenMobile Mail Manager utilise des sessions PowerShell pour communiquer avec Exchange. Une session PowerShell, en particulier avec Office 365, peut devenir instable après un certain temps, empêchant les commandes suivantes de réussir. XenMobile Mail Manager peut maintenant définir une période d’expiration pour les connexions. Lorsque la connexion atteint son heure d’expiration, XenMobile Mail Manager arrête la session PowerShell et crée une session. Ce faisant, la session PowerShell est moins susceptible de devenir instable, ce qui réduit considérablement les risques d’échec d’un instantané.
  • Flux de travail instantané amélioré : les instantanés importants représentent une opération longue et fastidieuse. Si une erreur se produit pendant un instantané, XenMobile Mail Manager tente désormais à plusieurs reprises (jusqu’à trois) d’effectuer une capture instantanée. Les tentatives suivantes ne commencent pas depuis le début. XenMobile Mail Manager continue là où il s’est arrêté. Ce changement améliore le taux de réussite des instantanés en général en permettant aux erreurs transitoires de passer pendant qu’un instantané est encore en cours.
  • Amélioration des diagnostics : le dépannage des opérations de capture d’instantané est maintenant plus facile avec trois nouveaux fichiers de diagnostic pouvant être générés au cours d’un instantané. Ces fichiers permettent d’identifier les problèmes de commande PowerShell, les boîtes aux lettres avec informations manquantes et les appareils qui ne peuvent pas être associés à une boîte aux lettres. Un administrateur peut utiliser ces fichiers pour identifier les données qui peuvent ne pas être correctes dans Exchange.
  • Amélioration de l’utilisation de la mémoire : XenMobile Mail Manager utilise désormais plus efficacement la mémoire. Les administrateurs peuvent planifier le redémarrage automatique de XenMobile Mail Manager pour fournir une version nettoyée du système.
  • Microsoft .NET Framework 4.6 : la version requise de Microsoft .NET Framework est maintenant la version 4.6.

Problèmes résolus

  • Erreur d’invite d’informations d’identification : l’instabilité de session Office 365 a souvent causé cette erreur. L’amélioration de la connexion à Exchange résout le problème. (XMHELP-293, XMHELP-311, XMHELP-801)
  • La boîte aux lettres et le nombre d’appareils sont inexacts : l’algorithme d’association de boîte aux lettres de XenMobile Mail Manager a été amélioré. La fonction d’amélioration des diagnostics facilite l’identification des boîtes aux lettres et des appareils que XenMobile Mail Manager considère comme n’étant pas sous sa responsabilité. (XMHELP-623)
  • Les commandes Autoriser / Bloquer / Effacer ne sont pas reconnues : correction d’un bogue avec lequel les commandes Autoriser / Bloquer / Effacer de XenMobile Mail Manager ne sont pas reconnues. (XMHELP-489)
  • Gestion de la mémoire : meilleure gestion de la mémoire. (XMHELP-419)

Architecture

Le diagramme suivant présente les principaux composants du connecteur Citrix Endpoint Management pour Exchange ActiveSync. Pour un diagramme d’architecture de référence détaillé, voir Architecture.

Architecture d’Citrix Endpoint Management Connector pour Exchange ActiveSync

Les deux principaux éléments sont les suivants :

  • Exchange ActiveSync Access Control Management : communique avec Citrix Endpoint Management pour récupérer une stratégie Exchange ActiveSync depuis Citrix Endpoint Management, puis fusionne cette stratégie avec toutes les stratégies définies localement pour déterminer les appareils Exchange ActiveSync ayant le droit ou non d’accéder à Exchange. Les stratégies locales permettent d’étendre les règles de stratégie pour autoriser le contrôle d’accès par un groupe Active Directory, utilisateur, type d’appareil ou agent utilisateur de l’appareil (généralement la version de la plate-forme mobile).
  • Remote PowerShell Management : ce composant est responsable de la planification et de l’appel des commandes PowerShell à distance afin d’appliquer la stratégie compilée par la gestion du contrôle d’accès à Exchange ActiveSync. Il crée régulièrement un instantané de la base de données Exchange ActiveSync pour détecter de nouveaux périphériques ou des périphériques modifiés Exchange ActiveSync.

Configuration système requise et conditions préalables

La configuration système minimale suivante est nécessaire pour utiliser Citrix Endpoint Management Connector pour Exchange ActiveSync :

  • Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Doit être un serveur en anglais. Le support pour Windows Server 2008 R2 Service Pack 1 prend fin le 14 janvier 2020 et le support pour Windows Server 2012 R2 prend fin le 10 octobre 2023.
  • Microsoft SQL Server 2016 Service Pack 2, SQL Server 2014 Service Pack 3 ou SQL Server 2012 Service Pack 4.
  • Microsoft .NET Framework 4.6.
  • Blackberry Enterprise Service, version 5 (facultatif).

Versions minimales prises en charge de Microsoft Exchange Server :

  • Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013 (le support prend fin le 11 avril 2023)
  • Exchange Server 2010 Service Pack 3 (la prise en charge prend fin le 14 janvier 2020)

Logiciels requis

  • Windows Management Framework doit être installé.
    • PowerShell V5, V4 et V3
  • La stratégie d’exécution de PowerShell doit être paramétrée sur RemoteSigned via Set-ExecutionPolicy RemoteSigned.
  • Le port TCP 80 doit être ouvert entre l’ordinateur exécutant le connecteur pour Exchange ActiveSync et le serveur Exchange distant.

Clients de messagerie d’appareil : les clients de messagerie ne renvoient pas tous le même ID ActiveSync pour un appareil. Étant donné que le connecteur pour Exchange ActiveSync s’attend à un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent toujours le même ID ActiveSync unique pour chaque appareil sont pris en charge. Ces clients de messagerie ont été testés par Citrix et aucune erreur n’a été détectée :

  • Client de messagerie natif Samsung
  • Client de messagerie natif iOS

Exchange : la configuration requise pour l’ordinateur local exécutant Exchange est la suivante :

Les informations d’identification spécifiées dans l’interface utilisateur de la console Exchange Configuration doivent être en mesure de se connecter au serveur Exchange Server et bénéficier d’un accès complet pour exécuter les applets de commande PowerShell spécifiques à Exchange suivantes :

  • Pour Exchange Server 2010 SP2 :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Pour Exchange Server 2013 et Exchange Server 2016 :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Si le connecteur pour Exchange ActiveSync est configuré pour afficher l’ensemble de la forêt, l’autorisation doit avoir été accordée pour exécuter : Set-AdServerSettings -ViewEntireForest $true
  • Les informations d’identification fournies doivent avoir été autorisées à se connecter au serveur Exchange Server via le Shell distant. Par défaut, l’utilisateur qui a installé Exchange possède ce droit.
  • Afin d’établir une connexion à distance et exécuter les commandes distantes, les informations d’identification doivent correspondre à un utilisateur qui est un administrateur sur l’appareil distant. Vous pouvez utiliser Set-PSSessionConfiguration pour éliminer les exigences administratives, mais cette commande n’entre pas dans le cadre de ce document. Pour plus d’informations, consultez l’article Microsoft À propos des configurations de session.
  • Le serveur Exchange doit être configuré pour prendre en charge les requêtes PowerShell distantes via HTTP. En règle générale, un administrateur exécutant la commande PowerShell suivante sur le serveur Exchange est la seule exigence requise : WinRM QuickConfig.
  • Exchange possède de nombreuses stratégies de limitation. L’une de ces stratégies contrôle combien de connexions PowerShell simultanées sont autorisées par utilisateur. Par défaut, le nombre de connexions simultanées autorisées pour un utilisateur est de 18 sur Exchange 2010. Lorsque la limite de connexion est atteinte, le connecteur pour Exchange ActiveSync ne peut pas se connecter au serveur Exchange. Il existe plusieurs méthodes pour changer le nombre maximal de connexions simultanées autorisées via PowerShell qui ne sont pas couvertes dans cette documentation. Si vous êtes intéressé, renseignez-vous au sujet des stratégies de limitation d’Exchange relatives à la gestion à distance avec PowerShell.

Configuration requise pour Office 365 Exchange

  • Autorisations : les informations d’identification spécifiées dans l’interface utilisateur de la console Exchange Configuration doivent être en mesure de se connecter à Office 365 et bénéficier d’un accès complet pour exécuter les applets de commande PowerShell spécifiques à Exchange suivantes :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Privilèges : les informations d’identification fournies doit avoir été autorisées à se connecter au serveur Office 365 via le Shell distant. Par défaut, l’administrateur d’Office 365 Online possède les privilèges requis.
  • Stratégies de limitation : Exchange possède de nombreuses stratégies de limitation. L’une de ces stratégies contrôle combien de connexions PowerShell simultanées sont autorisées par utilisateur. Par défaut, le nombre de connexions simultanées autorisées pour un utilisateur est de trois sur Office 365. Lorsque la limite de connexion est atteinte, le connecteur pour Exchange ActiveSync ne peut pas se connecter au serveur Exchange. Il existe plusieurs méthodes pour changer le nombre maximal de connexions simultanées autorisées via PowerShell qui ne sont pas couvertes dans cette documentation. Si vous êtes intéressé, renseignez-vous au sujet des stratégies de limitation d’Exchange relatives à la gestion à distance avec PowerShell.

Installer et configurer

  1. Cliquez sur le fichier XmmSetup.msi puis suivez les instructions de l’assistant pour installer Citrix Endpoint Management Connector pour Exchange ActiveSync.

  2. Laissez l’option Launch the Configure utility sélectionnée dans le dernier écran de l’assistant. Vous pouvez également ouvrir le connecteur pour Exchange ActiveSync à partir du menu Démarrer.

  3. Configurez les propriétés de base de données suivantes :

    • Sélectionnez l’onglet Configure > Database.
    • Entrez le nom du serveur SQL (localhost par défaut).
    • Conservez la base de données par défaut CitrixXmm.
  4. Sélectionnez l’un des modes d’authentification suivants utilisés pour SQL :

    • SQL : entrez le nom d’utilisateur et le mot de passe d’un utilisateur SQL valide.
    • Windows Integrated : si vous sélectionnez cette option, les informations d’identification d’ouverture de session du service XenMobile Mail Manager doivent être modifiées par un compte Windows disposant des autorisations nécessaires pour accéder au serveur SQL. Pour ce faire, ouvrez le Panneau de configuration > Outils d’administration > Services, cliquez avec le bouton droit de la souris sur l’entrée du service XenMobile Mail Manager, puis sélectionnez l’onglet Log On (Connexion).

    Si Windows Integrated est également choisi pour la connexion à la base de données BlackBerry, le compte Windows spécifié ici doit également pouvoir accéder à la base de données BlackBerry.

  5. Cliquez sur Test Connectivity pour vérifier qu’une connexion peut être établie avec le serveur SQL, puis cliquez sur Save.

  6. Un message vous invite à redémarrer le service. Cliquez sur Oui.

    Écran d’installation du connecteur pour Exchange ActiveSync

  7. Configurez un ou plusieurs serveurs Exchange :

    • Si vous ne gérez qu’un seul environnement Exchange, spécifiez un seul serveur. Si vous gérez plusieurs environnements Exchange, spécifiez un seul serveur Exchange pour chaque environnement Exchange.
    • Cliquez sur l’onglet Configure > Exchange, puis cliquez sur Add.

    Onglet Configure Exchange

  8. Sélectionnez le type d’environnement de serveur Exchange, soit On Premise soit Office 365.

    • Si vous sélectionnez On Premise, entrez le nom du serveur Exchange qui sera utilisé pour les commandes PowerShell à distance.
    • Entrez le nom d’utilisateur d’une identité Windows disposant des droits appropriés sur le serveur Exchange comme indiqué dans la section Configuration requise et entrez le mot de passe de l’utilisateur.
    • Sélectionnez la planification d’exécution de captures d’instantanés principaux. Un instantané principal détecte tous les partenariats Exchange ActiveSync.
    • Sélectionnez la planification d’exécution des captures d’instantanés secondaires. Un instantané secondaire détecte les partenariats Exchange ActiveSync nouvellement créés.
    • Sélectionnez le type d’instantané : Deep ou Shallow. Les instantanés superficiels sont généralement plus rapides et suffisent pour exécuter toutes les fonctions de contrôle d’accès Exchange ActiveSync du connecteur pour Exchange ActiveSync.
    • Sélectionnez les paramètres d’accès par défaut : Allow, Block ou Unchanged. Ce paramètre contrôle la façon dont sont traités tous les appareils autres que ceux identifiés explicitement par des règles locales ou Citrix Endpoint Management. Si vous sélectionnez Allow, l’accès à ActiveSync à tous ces appareils est autorisé. Si vous sélectionnez Block, l’accès est refusé. Si vous sélectionnez Unchanged, aucune modification n’est effectuée.
    • Sélectionnez le mode de commande ActiveSync : PowerShell ou Simulation.
    • En mode PowerShell,le connecteur pour Exchange ActiveSync émet des commandes PowerShell afin d’appliquer le contrôle d’accès souhaité. En mode Simulation, le connecteur pour Exchange ActiveSync n’émet pas de commandes PowerShell, mais consigne la commande prévue et les résultats escomptés dans la base de données. En mode Simulation, l’utilisateur peut alors utiliser l’onglet Monitor pour voir ce qui serait arrivé si le mode PowerShell était activé.
    • Dans Connection Expiration, définissez les heures et les minutes pour la durée de vie d’une connexion. Lorsqu’une connexion atteint la durée spécifiée, elle est marquée comme expirée et n’est pas réutilisée. Lorsque la connexion expirée n’est plus utilisée, le connecteur pour Exchange ActiveSync l’arrête. Lorsqu’une connexion est de nouveau nécessaire, une nouvelle connexion est initialisée si aucune n’est disponible. Si aucune valeur n’est spécifiée, la valeur par défaut de 30 minutes est utilisée.
    • Sélectionnez View Entire Forest pour configurer le connecteur pour Exchange ActiveSync de manière à ce qu’il affiche la forêt Active Directory entière dans l’environnement Exchange.
    • Sélectionnez le protocole d’authentification : Kerberos ou Basic. Le connecteur pour Exchange ActiveSync prend en charge l’authentification de base pour les déploiements locaux. Cela permet d’utiliser le connecteur lorsque le serveur du connecteur n’est pas membre du domaine dans lequel réside le serveur Exchange.
    • Cliquez sur Test Connectivity pour vérifier qu’une connexion peut être établie avec le serveur Exchange, puis cliquez sur Save.
    • Un message vous invite à redémarrer le service. Cliquez sur Oui.
  9. Configurer les règles d’accès : sélectionnez l’onglet Configure > Access Rules et cliquez sur l’onglet Citrix Endpoint Management Rules, puis sur Add.

    règles d’accès

  10. Sur la page Citrix Endpoint Management Server Service Properties, modifiez la chaîne d’URL pour qu’elle pointe vers le serveur Citrix Endpoint Management. Par exemple, si le nom de l’instance est zdm, entrez https://<XdmHostName>/zdm/services/MagConfigService. Dans l’exemple, remplacez XdmHostName par l’adresse IP ou DNS du serveur Citrix Endpoint Management.

    Console Mail Manager

    • Entrez un utilisateur autorisé sur le serveur.
    • Entrez le mot de passe de l’utilisateur.
    • Conservez les valeurs par défaut Baseline Interval, Delta Interval, et Timeout values.
    • Cliquez sur Test Connectivity pour tester la connexion au serveur, puis cliquez sur OK.

    Si la case Disabled est cochée, Citrix Endpoint Management Mail Service ne collecte pas de stratégie depuis Citrix Endpoint Management.

  11. Cliquez sur l’onglet Local Rules.

    Onglet Règles locales

    • Vous pouvez ajouter des règles locales basées sur ActiveSync Device ID, Device Type, AD Group, User ou UserAgent. Sélectionnez le type approprié dans la liste.
    • Tapez le texte ou les fragments de texte dans la zone de texte. Si vous le souhaitez, cliquez sur le bouton de requête pour afficher les entités qui correspondent au fragment.

    Pour tous les types autres que Group, le système s’appuie sur les appareils qui ont été localisés dans un instantané. Par conséquent, si vous démarrez et que vous n’avez pas réalisé d’instantané, aucune entité n’est disponible.

    • Sélectionnez une valeur de texte, puis cliquez sur Allow ou Deny pour l’ajouter à la Rule List sur le côté droit. Vous pouvez modifier l’ordre des règles ou les supprimer en utilisant les boutons situés à droite du panneau de Rule List. L’ordre est important car pour un utilisateur et un appareil donné, les règles sont évaluées dans l’ordre indiqué. Dans le cas d’une correspondance à une règle de niveau élevé (près du haut de la liste), les règles se trouvant plus bas dans la liste n’ont pas d’effet. Par exemple, si vous possédez une règle qui autorise tous les iPad, et une règle suivante bloquant l’utilisateur « Matt », l’iPad de Matt sera autorisé car la règle « iPad » possède une priorité plus élevée que la règle « Matt ».
    • Pour effectuer une analyse des règles dans la liste de règles afin de rechercher des remplacements, des conflits ou des constructions supplémentaires potentielles, cliquez sur Analyze, puis sur Save.
  12. Si vous souhaitez créer des règles locales qui fonctionnent sur des groupes Active Directory, cliquez sur Configure LDAP, puis configurez les propriétés de connexion LDAP.

    Configuration du LDAP

  13. Vous pouvez également configurer une ou plusieurs instances de BlackBerry Enterprise Server (BES) : cliquez sur Add, puis entrez le nom du serveur BES SQL Server.

    Serveur BES SQL

    • Tapez le nom de la base de données de gestion BES.

    • Sélectionnez le mode Authentication. Si vous sélectionnez l’authentification intégrée Windows, le compte utilisateur du service du connecteur pour Exchange ActiveSync est le compte utilisé pour se connecter au serveur BES SQL. Si vous choisissez Windows Integrated pour la connexion à la base de données du connecteur, le compte Windows spécifié ici doit également pouvoir accéder à la base de données du connecteur.

    • Si vous sélectionnez SQL authentication, entrez le nom d’utilisateur et le mot de passe.

    • Définissez Sync Schedule. Il s’agit du calendrier utilisé pour se connecter au serveur BES SQL et rechercher toute mise à jour d’appareil.

    • Cliquez sur Test Connectivity pour vérifier la connectivité avec le serveur SQL. Si Windows Integrated est sélectionné, ce test utilise l’utilisateur actuellement connecté et non l’utilisateur du service du connecteur et par conséquent ne teste pas correctement l’authentification SQL.

    • Pour prendre en charge l’effacement à distance (Wipe) et la réinitialisation du mot de passe (ResetPassword) d’appareils BlackBerry depuis Citrix Endpoint Management, sélectionnez la case Enabled.

    • Entrez le nom de domaine complet BES.

    • Entrez le port BES utilisé pour le service Web d’administration.

    • Entrez le nom d’utilisateur complet et le mot de passe requis par le service BES.

    • Cliquez sur Test Connectivity pour tester la connexion au serveur BES, puis cliquez sur Save.

Appliquer les stratégies de messagerie avec des ID ActiveSync

Votre stratégie de messagerie d’entreprise peut refuser l’accès à la messagerie d’entreprise à certains appareils. Pour vous conformer à cette stratégie, vous devez vous assurer que les employés ne peuvent pas accéder à la messagerie d’entreprise à partir de tels appareils. Citrix Endpoint Management Connector pour Exchange ActiveSync et Citrix Endpoint Management fonctionnent ensemble pour appliquer une telle stratégie de messagerie. Citrix Endpoint Management configure la stratégie de l’accès à la messagerie d’entreprise. Lorsqu’un appareil non approuvé s’inscrit auprès d’Citrix Endpoint Management, le connecteur pour Exchange ActiveSync applique la stratégie.

Le client de messagerie sur un appareil se fait connaître d’Exchange Server (ou Office 365) à l’aide de l’D d’appareil, également appelé ID ActiveSync, qui est utilisé pour identifier l’appareil. Citrix Secure Hub obtient un identificateur similaire et envoie l’identificateur à Citrix Endpoint Management lorsque l’appareil est inscrit. En comparant les ID des deux appareils, Endpoint Management Connector pour Exchange ActiveSync peut déterminer si un appareil spécifique est autorisé à accéder à la messagerie d’entreprise. La figure suivante illustre ce concept :

Détecter le workflow d’ID ActiveSync

Si Citrix Endpoint Management envoie au connecteur pour Exchange ActiveSync un ID ActiveSync différent de l’ID publié auprès d’Exchange par l’appareil, le connecteur ne peut pas indiquer à Exchange l’action à exécuter avec l’appareil.

La correspondance des ID ActiveSync fonctionne de manière fiable sur la plupart des plates-formes. Cependant, Citrix a constaté que sur certaines implémentations Android, l’ID ActiveSync de l’appareil est différent de l’ID publié par le client de messagerie auprès d’Exchange. Pour pallier ce problème, vous pouvez effectuer les tâches suivantes :

  • Sur les plates-formes Android, Citrix vous recommande d’utiliser Citrix Secure Mail.

Pour garantir que votre stratégie d’accès à la messagerie d’entreprise est appliquée correctement, vous pouvez adopter une approche de sécurité défensive. Configurez Citrix Endpoint Management Connector pour Exchange ActiveSync de manière à bloquer les e-mails en définissant la stratégie statique sur Deny par défaut. Cela signifie que si un employé configure un autre client de messagerie sur un appareil Android et que la détection de l’ID ActiveSync ne fonctionne pas, l’employé se voit refuser l’accès à la messagerie d’entreprise.

Règles de contrôle d’accès

Citrix Endpoint Management Connector pour Exchange ActiveSync propose une approche basée sur des règles permettant de configurer dynamiquement le contrôle d’accès aux appareils Exchange ActiveSync. Une règle de contrôle d’accès au connecteur se compose de deux parties : une expression correspondante et un état d’accès souhaité (Autoriser ou Bloquer). Une règle doit être testée par rapport à un appareil ActiveSync Exchange donné pour déterminer si elle s’applique à l’appareil ou correspond à ce dernier. Il existe plusieurs types d’expressions correspondantes ; une règle peut, par exemple, correspondre à tous les appareils d’un type d’appareil donné ou à un ID d’appareil ActiveSync Exchange spécifique, ou encore à tous les appareils d’un utilisateur spécifique, etc.

À tout moment lors de l’ajout, la suppression et la réorganisation de règles dans la liste, si vous cliquez sur le bouton Cancel, l’état dans lequel se trouvait la liste lors de la première ouverture est rétabli. Si vous fermez l’outil de configuration sans cliquer sur Save, les modifications apportées sur cette fenêtre seront perdues.

Citrix Endpoint Management Connector pour Exchange ActiveSync propose trois types de règles : les règles locales, les règles du serveur Citrix Endpoint Management (aussi appelées règles XDM), et la règle d’accès par défaut.

Local rules (Règles locales) : les règles locales ont la priorité la plus élevée : si un appareil est identifié par une règle locale, l’évaluation de la règle ne s’applique pas. Ni les règles du serveur Citrix Endpoint Management ni la règle d’accès par défaut ne seront consultées. Les règles locales se configurent localement sur le connecteur pour Exchange ActiveSync via l’onglet Configure > Access Rules > Local Rules. La prise en charge de correspondance se base sur l’appartenance des utilisateurs à un groupe Active Directory donné. La prise en charge de correspondance se base sur des expressions régulières pour les champs suivants :

  • Active Sync Device ID
  • ActiveSync Device Type
  • User Principal Name (UPN)
  • ActiveSync User Agent (généralement la plate-forme de l’appareil ou le client de messagerie)

Si un instantané principal a été effectué et qu’il a trouvé des appareils, vous pouvez ajouter une règle d’expressions normales ou régulières. Si aucun instantané principal n’a été effectué, vous pouvez uniquement ajouter des règles d’expressions régulières.

Règles du serveur Citrix Endpoint Management : les règles du serveur Citrix Endpoint Management sont des références à un serveur Citrix Endpoint Management externe qui fournit des règles aux appareils gérés. Le serveur Citrix Endpoint Management peut être configuré avec ses propres règles de haut niveau qui identifient les appareils à autoriser ou à bloquer en fonction des propriétés connues par Citrix Endpoint Management, par exemple si l’appareil est jailbreaké ou s’il contient des applications interdites. Citrix Endpoint Management évalue les règles de haut niveau et génère un ensemble d’ID d’appareils ActiveSync autorisés ou bloqués, qui sont ensuite envoyés à XenMobile Mail Manager.

Default access rule (Règle d’accès par défaut) : la règle d’accès par défaut est unique car elle peut potentiellement s’appliquer à tous les appareils et elle est toujours évaluée en dernier. C’est la règle passe-partout, ce qui signifie que si un appareil donné ne correspond pas à une règle locale ou du serveur Citrix Endpoint Management, l’état d’accès souhaité de l’appareil est déterminé par l’état d’accès souhaité de la règle d’accès par défaut.

  • Default Access – Allow (Accès par défaut - Autoriser) : tout appareil ne correspondant pas à une règle locale ou de Citrix Endpoint Management Server sera autorisé.
  • Default Access – Block (Accès par défaut - Bloquer) : tout appareil ne correspondant pas à une règle locale ou de Citrix Endpoint Management Server sera bloqué.
  • Default Access - Unchanged (Accès par défaut - Inchangé) : l’état d’accès de tout appareil non associé à une règle locale ou du serveur Citrix Endpoint Management ne pourra pas être modifié par Citrix Endpoint Management Connector pour Exchange ActiveSync. Si un appareil a été placé en quarantaine par Exchange, aucune action n’est prise ; par exemple, la seule manière de retirer un appareil en quarantaine est de posséder une règle locale ou XDM qui outrepasse explicitement la quarantaine.

À propos des évaluations de règles

Pour chaque appareil pour lequel Exchange remet des rapports au connecteur pour Exchange ActiveSync, les règles sont évaluées dans l’ordre, de la priorité la plus élevée à la plus faible, comme suit :

  • Règles locales
  • Règles du serveur Citrix Endpoint Management
  • Règle d’accès par défaut

Lorsqu’une correspondance est trouvée, l’évaluation s’arrête. Par exemple, si un appareil correspond à une règle locale, l’appareil ne sera pas évalué par rapport aux règles du serveur Citrix Endpoint Management ou à la règle d’accès par défaut. Cela reste aussi vrai pour un type de règle donné. Par exemple, s’il existe plus d’une correspondance pour un appareil donné dans la liste des règles locales, l’évaluation s’arrête dès la première correspondance.

Le connecteur pour Exchange ActiveSync réévalue l’ensemble des règles déjà définies lorsque les propriétés d’un appareil sont modifiées, lorsque des appareils sont ajoutés ou supprimés ou lorsque les règles sont modifiées. Les instantanés principaux détectent la suppression d’appareils ainsi que les modifications apportées à leurs propriétés à intervalles configurables. Les instantanés secondaires détectent les nouveaux appareils à intervalles configurables.

Exchange ActiveSync possède aussi des règles régissant l’accès. Il est important de bien comprendre le fonctionnement de ces règles dans l’environnement du connecteur pour Exchange ActiveSync. Exchange peut être configuré avec trois niveaux de règles : les exemptions personnelles, les règles d’appareil et les paramètres d’organisation. Le connecteur pour Exchange ActiveSync automatise le contrôle d’accès en envoyant des requêtes PowerShell à distance via un programme pour modifier la liste des exemptions personnelles. Il s’agit de listes d’ID d’appareils Exchange ActiveSync autorisés ou bloqués associés à une boîte aux lettres donnée. Lorsqu’il est déployé, le connecteur pour Exchange ActiveSync prend en charge la gestion des listes d’exemptions dans Exchange. Consultez l’article Microsoft, Gestion des appareils avec Exchange et Configuration Manager.

L’analyse est particulièrement utile dans les situations dans lesquelles plusieurs règles ont été définies pour le même champ. Vous pouvez résoudre les relations entre les règles. Vous pouvez effectuer des analyses depuis la perspective des champs de règle ; par exemple, les règles sont analysées par groupes en fonction du champ remplissant la condition, tel que ActiveSync device ID, ActiveSync device type, User, User Agent, et ainsi de suite.

Terminologie relative aux règles

  • Règle absolue : une substitution se produit lorsque plusieurs règles s’appliquent à un même appareil. Étant donné que les règles sont évaluées par priorité dans la liste, la ou les dernières instances de règle devant s’appliquer peuvent ne jamais être évaluées.
  • Règle conflictuelle : un conflit survient quand plusieurs règles s’appliquent à un même appareil et que l’accès (Autoriser/Bloquer) ne correspond pas. Si les règles conflictuelles ne sont pas des expressions régulières, un conflit se traduit toujours implicitement par une substitution.
  • Règle complémentaire : un complément a lieu lorsque plusieurs règles sont des expressions régulières et par conséquent, il peut s’avérer nécessaire de vérifier que les deux expressions régulières (ou plus) peuvent être combinées en une seule expression ou qu’il n’y ait pas duplication de fonctionnalités. Une règle complémentaire peut également causer des problèmes de conflit d’accès (Autoriser/Bloquer).
  • Règle principale : la règle principale est la règle sur laquelle l’utilisateur a cliqué dans la boîte de dialogue. La règle est indiquée visuellement par une bordure. La règle aura également une ou deux flèches vertes pointant vers le haut ou vers le bas. Si une flèche pointe vers le haut, cela indique qu’il existe des règles secondaires qui précèdent la règle principale. Si une flèche pointe vers le bas, cela indique qu’il existe des règles secondaires qui s’appliquent après la règle principale. Seule une règle principale peut être active à tout moment.
  • Règle secondaire : une règle secondaire est liée d’une certaine manière à la règle principale que ce soit via une relation de remplacement, de conflit ou supplémentaire. Les règles sont indiquées visuellement par une bordure en pointillés. Pour chaque règle principale, il peut y avoir une ou plusieurs règles secondaires. Lorsque vous cliquez sur une entrée soulignée, la ou les règles secondaires sélectionnées le sont toujours du point de vue de la règle principale. Par exemple, la règle secondaire est remplacée par la règle principale ou la règle secondaire entrera en conflit avec la règle principale ou la règle secondaire complétera la règle principale.

Apparence des types de règles dans la boîte de dialogue d’analyse des règles

Lorsqu’il n’y a aucun conflit, remplacement, ou complément, il n’y a pas d’entrées soulignées dans la boite de dialogue Rule Analysis. Par exemple, cliquer sur des éléments n’a pas d’impact, les éléments normaux sélectionnés sont mis en évidence.

La fenêtre Rule Analysis contient une case qui, lorsqu’elle est sélectionnée, affiche uniquement les conflits, remplacements, redondances ou compléments.

Analyse des règles

Lorsqu’une substitution se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Au moins une règle secondaire s’affiche dans une police plus claire pour indiquer que la règle a été remplacée par une règle de priorité plus élevée. Vous pouvez cliquer sur les règles remplacées pour déterminer la ou les règles qui ont remplacé la règle. Lorsqu’une règle remplacée a été soulignée que ce soit parce que la règle est une règle principale ou secondaire, un cercle noir apparaît à côté en guise d’indication visuelle signifiant que la règle est inactive. Par exemple, avant que vous cliquiez sur la règle, la boîte de dialogue se présente comme suit :

Remplacer

Lorsque vous cliquez sur la règle prioritaire, la boîte de dialogue se présente comme suit :

Boîte de dialogue de règle prioritaire

Dans cet exemple, la règle d’expression régulière WorkMail.* est la règle principale (indiquée par une bordure pleine) et la règle normale workmailc633313818 est une règle secondaire (indiquée par une bordure en pointillés). Le point noir à côté de la règle secondaire est une indication visuelle qui signifie que la règle est inactive (ne sera jamais évaluée) en raison de la règle d’expression régulière prioritaire. Une fois que vous avez cliqué sur la règle remplacée, la boîte de dialogue se présente comme suit :

Boîte de dialogue de règle remplacée

Dans l’exemple précédent, la règle d’expression régulière WorkMail.* est la règle secondaire (indiquée par une bordure en pointillés) et la règle normale workmailc633313818 est une règle principale (indiquée par une bordure pleine). Pour cet exemple simple, il n’y a pas grande différence. Pour un exemple plus compliqué, consultez l’exemple d’expression complexe plus en avant dans cette rubrique. Dans un scénario avec de nombreuses règles définies, cliquer sur la règle remplacée permet d’identifier rapidement par quelles règles elle a été remplacée.

Lorsqu’un conflit se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Les règles en conflit sont indiquées par un point rouge. Le cas de règles qui entrent seulement en conflit avec une autre règle est uniquement possible avec deux ou plusieurs règles d’expressions régulières définies. Dans tous les autres cas de conflit, il y aura non seulement un conflit, mais aussi un remplacement. Avant que vous cliquiez sur des règles dans un exemple simple, la boîte de dialogue se présente comme suit :

Analyse des règles

En inspectant les deux règles d’expressions régulières, il est évident que la première règle autorise tous les appareils avec un ID d’appareil contenant « App » et que la deuxième règle refuse tous les appareils avec un ID d’appareil contenant Appl. En outre, même si la deuxième règle refuse tous les appareils avec un ID d’appareil contenant Appl, aucun appareil correspondant à ces critères ne verra son accès refusé en raison de la priorité plus élevée de la règle l’y autorisant. Une fois que vous avez cliqué sur la première règle, la boîte de dialogue se présente comme suit :

Analyse des règles

Dans le cas précédent, la règle principale (règle d’expression régulière App.*) et la règle secondaire (règle d’expression régulière Appl.*) sont toutes deux affichées en jaune. Il s’agit simplement d’une indication visuelle vous alertant du fait que vous avez appliqué plus d’une règle d’expression régulière à un même champ de correspondance, ce qui peut entraîner un problème de redondance ou quelque chose de plus sérieux.

Dans un cas regroupant un conflit et un remplacement, la règle principale (règle d’expression régulière App.*) et la règle secondaire (règle d’expression régulière Appl.*) sont surlignées en jaune. Il s’agit simplement d’une indication visuelle vous alertant du fait que vous avez appliqué plus d’une règle d’expression régulière à un même champ de correspondance, ce qui peut entraîner un problème de redondance ou quelque chose de plus sérieux.

Scénario de conflit et de remplacement

Il est facile de voir dans l’exemple précédent que la première règle (règle d’expression régulière SAMSUNG.*) ne remplace pas seulement la règle suivante (règle normale SAMSUNG-SM-G900A/101.40402), mais que l’accès des deux règles est différent (la règle principale indique Autoriser, la règle secondaire indique Bloquer). La deuxième règle (règle normale SAMSUNG-SM-G900A/101.40402) est affichée dans une police plus claire pour indiquer qu’elle a été remplacée et qu’elle n’est donc pas active.

Une fois que vous avez cliqué sur la règle d’expression régulière, la boîte de dialogue se présente comme suit :

Boîte de dialogue de la règle d’expression régulière

La règle principale (règle d’expression régulière SAMSUNG.*) est suivie d’un point rouge indiquant qu’elle entre en conflit avec une ou plusieurs règles secondaires. La règle secondaire (règle normale SAMSUNG-SM-G900A/101.40402) est suivie d’un point rouge pour indiquer que son état d’accès est en conflit avec la règle principale. Cette règle est également suivie d’un point noir pour indiquer qu’elle est substituée et donc inactive.

Au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Les règles qui se complètent uniquement entre elles n’impliquent que des règles d’expressions régulières. Lorsque des règles se complètent entre elles, elles sont surlignées en jaune. Avant que vous cliquiez sur des règles dans un exemple simple, la boîte de dialogue se présente comme suit :

Règles complémentaires

L’inspection visuelle révèle facilement que les deux règles sont des règles d’expressions régulières qui s’appliquent toutes les deux au champ ActiveSync device ID dans Citrix Endpoint Management Connector pour Exchange ActiveSync. Une fois que vous avez cliqué sur la première règle, la boîte de dialogue se présente comme suit :

Analyse des règles

La règle principale (règle d’expression régulière WorkMail.*) est surlignée en jaune pour indiquer qu’il existe au moins une autre règle secondaire qui est une expression régulière. La règle secondaire (règle d’expression régulière SAMSUNG.*) est surlignée en jaune pour indiquer que celle-ci et la règle principale sont des règles d’expressions régulières qui s’appliquent à un même champ dans le connecteur pour Exchange ActiveSync. Dans ce cas, ce champ est ActiveSync device ID. Les expressions régulières peuvent ou non se chevaucher. C’est à vous de décider si vos expressions régulières sont correctement conçues.

Exemple d’expression complexe

De nombreux remplacements, conflits ou compléments sont susceptibles de se produire, c’est pourquoi il est impossible de fournir des exemples couvrant tous les scénarios envisageables. L’exemple suivant explique ce qu’il ne faut pas faire, et sert aussi à illustrer toute la portée de la présentation visuelle de l’analyse des règles. La plupart des éléments sont soulignés dans la figure ci-après. Plusieurs des éléments s’affichent dans une police plus claire, ce qui indique que la règle en question a été remplacée par une règle dont la priorité est plus élevée. Un certain nombre de règles d’expressions régulières sont incluses dans la liste, comme l’indique l’icône Icône.

Console Mail Manager

Comment analyser un remplacement

Pour afficher la ou les règles qui ont remplacé une règle particulière, cliquez sur cette dernière.

Exemple 1 : cet exemple explique pourquoi zentrain01@zenprise.com a été remplacée.

Règles d’accès

La règle principale (règle de groupe AD zenprise/TRAINING/ZenTraining B, dont zentrain01@zenprise.com est un membre) présente les caractéristiques suivantes :

  • Est surlignée en bleu et encadrée par une bordure pleine.
  • A une flèche verte pointant vers le haut (pour indiquer que la règle secondaire ou l’ensemble des règles se trouvent au-dessus).
  • Est suivie d’un cercle rouge et d’un cercle noir pour indiquer respectivement qu’une ou plusieurs règles secondaires sont en conflit et que la règle principale a été remplacée et n’est donc pas active.

Si vous faites défiler vers le haut, vous pouvez voir ce qui suit :

Analyse des règles

Dans ce cas, il existe deux règles secondaires qui remplacent la règle principale : la règle d’expression régulière zen.* et la règle normale zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). Dans le cas de la dernière règle secondaire, la règle de groupe Active Directory ZenTraining A contient l’utilisateur zentrain01@zenprise.com et la règle de groupe Active Directory ZenTraining B contient aussi l’utilisateur zentrain01@zenprise.com. Toutefois, étant donné que la règle secondaire a une priorité plus élevée que la règle principale, la règle principale a été remplacée. L’accès à la règle principale est Autoriser. Et comme l’accès des deux règles secondaires est Bloquer, toutes sont suivies d’un cercle rouge indiquant un conflit d’accès.

Exemple 2 : cet exemple illustre la raison pour laquelle l’appareil avec l’ID d’appareil ActiveSync 069026593E0C4AEAB8DE7DD589ACED33 a été remplacé :

Règle remplacée

La règle principale (règle d’ID d’appareil normale 069026593E0C4AEAB8DE7DD589ACED33) présente les caractéristiques suivantes :

  • Est surlignée en bleu et encadrée par une bordure pleine.
  • A une flèche verte pointant vers le haut (pour indiquer que la règle secondaire doit se trouver au-dessus).
  • Est suivie par un cercle noir indiquant qu’une règle secondaire a remplacé la règle principale et que la règle est par conséquent inactive.

Règle secondaire

Dans ce cas, une seule règle secondaire remplace la règle principale : la règle d’expression régulière d’ID d’appareil ActiveSync est 3E.*. Comme l’expression régulière 3E.* correspond à 069026593E0C4AEAB8DE7DD589ACED33, la règle ne sera jamais évaluée.

Comment analyser un supplément et un conflit

Dans ce cas, la règle principale est la règle d’expression régulière de type d’appareil ActiveSync touch.* Les caractéristiques sont les suivantes :

  • Est signalée par une bordure pleine et surlignée en jaune indiquant qu’il y a plus d’une seule règle d’expression régulière appelant le même champ de règle, dans ce cas, ActiveSync device type.
  • Deux flèches pointant vers le haut et vers le bas, ce qui indique qu’il existe au moins une règle secondaire avec une priorité plus élevée et au moins une règle secondaire avec une priorité inférieure.
  • Le cercle rouge à côté indique qu’au moins une règle secondaire a son accès défini sur Allow, ce qui entre en conflit avec l’accès de la règle principale qui est défini sur Block
  • Il existe deux règles secondaires : la règle d’expression régulière ActiveSync Device Type SAM.* et la règle d’expression régulière ActiveSync Device Type Andro.*.
  • Les deux règles secondaires sont encadrées par des pointillés pour indiquer qu’elles sont secondaires.
  • Les règles secondaires sont surlignées en jaune pour indiquer qu’elles s’appliquent aussi au champ de la règle ActiveSync Device Type.
  • Vous devez vous assurer dans de tels scénarios que leurs règles d’expressions régulières ne sont pas redondantes.

Scénarios de règles

Comment améliorer l’analyse des règles

Cet exemple explique pourquoi les relations entre les règles sont toujours abordées du point de vue de la règle principale. L’exemple précédent a montré comment un clic sur la règle d’expression régulière s’appliquait au champ de règle de type de périphérique avec une valeur de touch.*. Un clic sur la règle secondaire Andro.* montre un ensemble différent de règles secondaires mises en évidence.

Analyse des règles

Cet exemple présente une règle remplacée qui est inclue dans la relation de règle. Cette règle est la règle normale ActiveSync Device Type Android, qui est remplacée (indiquée par une police plus claire et un cercle noir à côté) et qui entre également en conflit avec la règle d’expression régulière principale ActiveSync Device Type Andro.*. Cette règle était auparavant une règle secondaire avant d’être sélectionnée. Dans l’exemple précédent, la règle normale ActiveSync Device Type Android n’était pas affichée en tant que règle secondaire, car du point de vue de la règle principale (règle d’expression régulière ActiveSync Device Type touch.*), elle n’était pas liée.

Pour configurer une règle locale d’expression normale

  1. Cliquez sur l’onglet Access Rules.

    Onglet Règle d’accès

  2. Dans la liste Device ID, sélectionnez le champ pour lequel vous souhaitez créer une règle locale.

  3. Cliquez sur l’icône de la loupe pour afficher tous les résultats uniques pour le champ sélectionné. Dans cet exemple, le champ Device Type a été choisi et les choix sont affichés ci-dessous dans la zone de liste.

    Correspondances uniques

  4. Cliquez sur un des éléments dans la liste des résultats et cliquez sur l’une des options suivantes :

    • Allow signifie qu’Exchange sera configuré pour permettre le trafic ActiveSync pour tous les appareils correspondant.
    • Deny signifie que Exchange sera configuré de manière à refuser le trafic ActiveSync de tous les appareils correspondant.

    Dans cet exemple, les appareils dont le type est SamsungSPhl720 se voient refuser l’accès.

    Exemple de Samsung

Pour ajouter une expression régulière

Les règles locales d’expressions régulières peuvent être différenciées par l’icône qui s’affiche à leur côté - une icône. Pour ajouter une règle d’expression régulière, vous pouvez créer une règle d’expression régulière à partir d’une valeur existante dans la liste des résultats pour un champ donné (si un instantané principal a été effectué), ou vous pouvez simplement saisir l’expression régulière que vous souhaitez.

Pour créer une expression régulière à partir d’une valeur de champ existant

  1. Cliquez sur l’onglet Access Rules.

    Onglet Règle d’accès

  2. Dans la liste Device ID, sélectionnez le champ pour lequel vous souhaitez créer une règle d’expression régulière locale.

  3. Cliquez sur l’icône de la loupe pour afficher tous les résultats uniques pour le champ sélectionné. Dans cet exemple, le champ Device Type a été choisi et les choix sont affichés ci-dessous dans la zone de liste.

    Choix de type d’appareil

  4. Cliquez sur un des éléments dans la liste des résultats. Dans cet exemple, SAMSUNGSPHL720 a été sélectionné et s’affiche dans la zone de texte adjacente à Device Type.

    analyse des règles

  5. Pour autoriser tous les types d’appareils qui ont « Samsung » dans leur valeur Device Type, ajoutez une règle d’expression régulière en suivant les étapes suivantes :

    a. Cliquez dans la zone de texte de l’élément sélectionné.

    b. Remplacez le texte SAMSUNGSPHL720 par SAMSUNG.*.

    c. Vérifiez que la case regular expression est cochée.

    d. Cliquez sur Allow.

    Message Allow

Pour créer une règle d’accès

  1. Cliquez sur l’onglet Local Rules.
  2. Pour entrer l’expression régulière, vous devez utiliser la liste Device ID et la zone de texte de l’élément sélectionné.

    règle d’accès

  3. Sélectionnez le champ que vous voulez mettre en correspondance. Cet exemple utilise Device Type.
  4. Entrez l’expression régulière. Cet exemple utilise samsung.*
  5. Assurez-vous que la case regular expression est cochée et cliquez sur Allow ou Deny. Dans cet exemple, le choix est Allow. Le résultat final est le suivant :

    règles d’accès

Pour rechercher des appareils

En cochant la case « regular expression », vous pouvez rechercher des appareils correspondant à l’expression donnée. Cette fonction est uniquement disponible si un instantané principal a été effectué. Vous pouvez utiliser cette fonction, même si vous ne prévoyez pas d’utiliser des règles d’expressions régulières. Imaginons que vous souhaitiez rechercher tous les appareils contenant workmail dans l’ID d’appareil ActiveSync. Pour ce faire, suivez cette procédure.

  1. Cliquez sur l’onglet Access Rules.
  2. Assurez-vous que le sélecteur de champ d’appareil est défini sur Device ID (valeur par défaut).

    Règles d’accès

  3. Cliquez sur la zone de texte de l’élément sélectionné (comme illustré en bleu dans la figure précédente) puis tapez workmail.*.
  4. Vérifiez que la case d’expression régulière est cochée et cliquez sur l’icône de la loupe pour afficher les correspondances comme illustré dans la figure suivante.

    case d’expression régulière

Pour ajouter un seul utilisateur, appareil ou type d’appareil à une règle statique

Vous pouvez ajouter des règles statiques basées sur l’utilisateur, l’ID d’appareil ou le type d’appareil sur l’onglet ActiveSync Devices.

  1. Cliquez sur l’onglet ActiveSync Devices.

  2. Dans la liste, cliquez avec le bouton droit sur un utilisateur, un appareil ou un type d’appareil et choisissez si vous souhaitez autoriser ou refuser votre sélection.

    L’image suivante montre l’option Allow/Deny lorsque user1 est sélectionné.

    Option Allow-Deny

Surveillance des appareils

L’onglet Monitor de Citrix Endpoint Management Connector pour Exchange ActiveSync permet de visualiser les appareils Exchange ActiveSync et BlackBerry qui ont été détectés et l’historique des commandes PowerShell automatisées qui ont été émises. L’onglet Monitor inclut les trois onglets suivants :

  • Appareils ActiveSync :
    • Vous pouvez exporter les partenariats d’appareils ActiveSync affichés en cliquant sur le bouton Export.
    • Vous pouvez ajouter des règles locales (statiques) en cliquant avec le bouton droit sur les colonnes User, Device IDType et en choisissant la règle d’autorisation ou de blocage appropriée.
    • Pour réduire une ligne développée, faites un Ctrl-clic sur la ligne développée.
  • Appareils BlackBerry
  • Historique d’automatisation

L’onglet Configure affiche l’historique de tous les instantanés. L’historique d’instantané affiche le moment où l’instantané a été capturé, la durée nécessaire à la capture, le nombre d’appareils détectés et toutes les erreurs qui se sont produites :

  • Sur l’onglet Exchange, cliquez sur l’icône d’information pour le serveur Exchange Server désiré.

Dépannage et diagnostics

Citrix Endpoint Management Connector pour Exchange ActiveSync consigne les erreurs et d’autres informations opérationnelles dans son fichier journal : dossier d’installation\log\XmmWindowsService.log. Le connecteur pour Exchange ActiveSync consigne également les événements importants dans le journal d’événements Windows.

Modifier le niveau de journalisation

Le connecteur Citrix Endpoint Management pour Exchange ActiveSync inclut les niveaux de journalisation suivants : Error, Info, Warn, Debug et Trace.

Remarque :

Chaque niveau successif génère plus de détails (plus de données). Par exemple, le niveau Error fournit le moins de détails, tandis que le niveau Trace fournit le plus de détails.

Pour modifier le niveau de journalisation, procédez comme suit :

  1. Dans C:\Program Files\Citrix\Citrix Citrix Endpoint Management connector, ouvrez le fichier nlog.config.
  2. Dans la section <rules>, remplacez le paramètre minilevel par le niveau de journalisation souhaitée. Par exemple :

        <rules >
    
        <logger name="*" writeTo="file" minlevel="Debug" />
    
        </rules>
    <!--NeedCopy-->
    
  3. Enregistrez le fichier.

    Les modifications prennent effet immédiatement. Vous n’avez pas besoin de redémarrer le connecteur pour Exchange ActiveSync.

Erreurs fréquentes

La liste suivante contient des erreurs courantes :

  • Le connecteur pour le service Exchange ActiveSync ne démarre pas

    En cas d’erreurs, consultez le fichier journal et le journal des événements Windows. Les raisons habituelles sont les suivantes :

    • Le connecteur pour le service Exchange ActiveSync ne peut pas accéder au serveur SQL. Cela peut être dû aux problèmes suivants :

      • Le service SQL Server n’est pas exécuté.
      • Échec de l’authentification.

      Si l’authentification Windows Integrated n’est pas configurée, le compte utilisateur du connecteur pour Exchange ActiveSync doit être une ouverture de session SQL autorisée. Le compte du connecteur pour le service Exchange ActiveSync est par défaut le compte système local, mais il peut être remplacé par un autre compte disposant des privilèges d’administrateur local. Si l’authentification SQL est configurée, l’ouverture de session SQL doit être correctement configurée dans SQL.

Outils de résolution des problèmes

Des utilitaires PowerShell destinés au dépannage sont disponibles dans le dossier Support\PowerShell.

Un outil de dépannage effectue une analyse approfondie des boîtes aux lettres et appareils des utilisateurs, détecte les conditions d’erreur et les zones de défaillance potentielles, et réalise également une analyse approfondie des RBAC (contrôle d’accès basé sur un rôle) des utilisateurs. Il peut enregistrer une sortie brute de toutes les applets de commande sur un fichier texte.