Citrix Gateway Connector pour Exchange ActiveSync

XenMobile NetScaler Connector est maintenant nommé Citrix Gateway Connector pour Exchange ActiveSync. Pour plus de détails sur le portefeuille unifié de Citrix, consultez le guide des produits Citrix.

Ce connecteur pour Exchange ActiveSync fournit un service d’autorisation au niveau de l’appareil des clients ActiveSync à NetScaler qui fait office de proxy inverse pour le protocole Exchange ActiveSync. L’autorisation est contrôlée par une combinaison de stratégies que vous définissez dans Endpoint Management et par des règles définies localement par Citrix Gateway Connector pour Exchange ActiveSync.

Pour de plus amples informations, consultez la section ActiveSync Gateway.

Pour un diagramme d’architecture de référence détaillé, voir Architecture.

La version actuelle de Citrix Gateway Connector pour Exchange ActiveSync est la version 8.5.2.

Nouveautés dans la version 8.5.2

  • XenMobile NetScaler Connector est maintenant nommé Citrix Gateway Connector pour Exchange ActiveSync.

Les problèmes suivants ont été résolus dans cette version :

  • Si plusieurs critères sont utilisés dans la définition d’une règle de stratégie et si l’un des critères implique l’ID utilisateur, le problème suivant peut se produire. Si un utilisateur a plusieurs alias, les alias ne sont pas également vérifiés lors de l’application de la règle. [ CXM-55355 ][]

Nouveautés dans les versions précédentes

Remarque :

La section Nouveautés suivante fait référence à Citrix Gateway Connector pour Exchange ActiveSync sous son ancien nom XenMobile NetScaler Connector. Le nom a changé à partir de la version 8.5.2.

Nouveautés dans la version 8.5.1.11

  • Modification de la configuration système requise : la version actuelle de NetScaler Connector requiert Microsoft .NET Framework 4.5.

  • Prise en charge de Google Analytics : nous souhaitons savoir comment vous utilisez XenMobile NetScaler Connector afin de pouvoir nous concentrer sur l’amélioration du produit.

  • Prise en charge de TLS 1.1 et 1.2 : en raison de ses risques pour la sécurité, TLS 1.0 est abandonné par le PCI Council. La prise en charge de TLS 1.1 et 1.2 est ajoutée à XenMobile NetScaler Connector.

Surveillance de Citrix Gateway Connector pour Exchange ActiveSync

L’utilitaire de configuration Citrix Gateway Connector pour Exchange ActiveSync offre une journalisation détaillée que vous pouvez utiliser pour afficher tout le trafic transitant par le biais de votre serveur Exchange Server qui est autorisé ou bloqué par Secure Mobile Gateway.

Utilisez l’onglet Log pour afficher l’historique des demandes ActiveSync transmises à Citrix Gateway Connector pour Exchange ActiveSync pour autorisation.

De plus, pour vous assurer que le connecteur pour le service Web Exchange ActiveSync est en cours d’exécution, chargez l’adresse URL suivante dans un navigateur sur le serveur du connecteur https://<host:port>/services/ActiveSync/Version. Si l’adresse URL retourne la version du produit en tant que chaîne, le service Web est réactif.

Simulation de trafic ActiveSync avec le connecteur pour Exchange ActiveSync

Vous pouvez utiliser Citrix Gateway Connector pour Exchange ActiveSync pour simuler le trafic ActiveSync en conjonction avec vos stratégies. Dans l’outil de configuration du connecteur, cliquez sur l’onglet Simulator. Les résultats vous montrent comment vos stratégies s’appliquent aux règles que vous avez configurées.

Choix des filtres pour le connecteur pour Exchange ActiveSync

Les filtres Citrix Gateway Connector pour Exchange ActiveSync fonctionnent en analysant un appareil à la recherche d’une violation de stratégie ou de paramètre de propriété donné. Si l’appareil est conforme aux critères, l’appareil est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. Il s’agit d’une liste d’appareils qui répondent aux critères définis. Les filtres suivants sont disponibles pour le connecteur pour Exchange ActiveSync dans Endpoint Management. Les deux options pour chaque filtre sont Autoriser ou Refuser.

  • Appareils anonymes : autorise ou refuse les appareils qui sont inscrits dans Endpoint Management, mais l’identité de l’utilisateur est inconnue. Par exemple, ceci peut être un utilisateur qui a été inscrit, mais le mot de passe Active Directory de l’utilisateur a expiré ou un utilisateur s’est inscrit avec des informations d’identification inconnues.
  • Échec de l’attestation Samsung KNOX : les appareils Samsung sont dotés de fonctionnalités de sécurité et de diagnostic. Ce filtre fournit la confirmation que l’appareil est configuré pour KNOX. Pour plus de détails, consultez l’article Endpoint Management sur Samsung KNOX.
  • Applications sur liste noire : autorise ou refuse les appareils en fonction de la liste des appareils définie par les stratégies de liste noire et la présence d’applications en liste noire.
  • Autorisations et refus implicite : crée une liste d’appareils de tous les appareils qui ne répondent pas à tous les critères de règle de filtre et les autorise ou les refuse en se basant sur cette liste. L’option Autorisation/refus implicite garantit que l’état du connecteur pour Exchange ActiveSync dans l’onglet Appareils est activé et affiche l’état du connecteur pour vos appareils. L’option Autorisation/refus implicite contrôle également tous les autres filtres du connecteur qui n’ont pas été sélectionnés. Par exemple, les Applications sur liste noire seront refusées (bloquées) par le connecteur, tandis que tous les autres filtres seront autorisés, car l’option Autorisation/refus implicite est définie sur Autoriser.
  • Appareils inactifs : crée une liste d’appareils des appareils qui n’ont pas communiqué avec Endpoint Management dans une période de temps spécifiée. Ces appareils sont considérés comme inactifs. Le filtre autorise ou refuse les appareils en conséquence.
  • Applications requises manquantes : lorsqu’un utilisateur s’inscrit, l’utilisateur reçoit une liste des applications requises qui doivent être installées. Le filtre des applications requises manquantes indique qu’une ou plusieurs applications ne sont plus présentes ; par exemple, l’utilisateur a supprimé une ou plusieurs applications.
  • Applications non suggérées : lorsqu’un utilisateur s’inscrit, l’utilisateur reçoit une liste des applications qu’il doit installer. Le filtre des applications non suggérées vérifie que l’appareil ne contient pas d’applications qui ne figurent pas dans cette liste.
  • Mot de passe non conforme : crée une liste d’appareils de tous les appareils qui ne disposent pas d’un code secret sur l’appareil.
  • Appareils non conformes : vous permet d’interdire ou d’autoriser des appareils qui répondent à vos critères de conformité informatiques internes. La conformité est un paramètre arbitraire défini par la propriété d’appareil nommée Non conforme, qui est un indicateur booléen qui peut être soit True soit False. (Vous pouvez créer cette propriété manuellement et définir sa valeur, ou vous pouvez utiliser les actions automatisées pour créer cette propriété sur un appareil si l’appareil correspond ou pas aux critères spécifiques.)
    • Non conforme = True. Si un appareil ne répond pas aux normes de conformité et aux définitions de stratégie définies par votre service informatique, l’appareil n’est pas conforme.
    • Non conforme = False. Si un appareil répond aux normes de conformité et aux définitions de stratégie définies par votre service informatique, l’appareil est conforme.
  • État révoqué : crée une liste d’appareils de tous les appareils révoqués et les autorise ou les refuse en fonction de l’état de révocation.
  • Android rootés/iOS jailbreakés. Crée une liste d’appareils de tous les appareils marqués comme rootés et les autorise ou les refuse en se basant sur leur état racine.
  • Appareils non gérés. Crée une liste de tous les appareils dans la base de données Endpoint Management. Mobile Application Gateway doit être déployé dans un mode Block.

Configuration d’une connexion à Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync communique avec Endpoint Management et d’autres fournisseurs de configuration à distance via les services Web sécurisés.

  1. Dans l’outil de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Dans la boîte de dialogue Config Providers, dans Name, entrez un nom d’utilisateur disposant des privilèges d’administration et qui est utilisé pour l’autorisation HTTP de base avec le serveur Endpoint Management.
  3. Dans Url, entrez l’adresse Web du service Endpoint Management GCS, généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui sera utilisé pour l’autorisation HTTP de base avec le serveur Endpoint Management.
  5. Dans Managing Host, entrez le nom du serveur du connecteur pour Exchange ActiveSync.
  6. Dans Baseline Interval, spécifiez une période de temps après laquelle un nouveau ruleset dynamique actualisé est extrait depuis Device Manager.
  7. Dans Delta interval, spécifiez une période de temps après laquelle une mise à jour de règles dynamiques est extraite.
  8. Dans Request Timeout, spécifiez l’intervalle d’expiration du délai de demande du serveur.
  9. Dans Config Provider, sélectionnez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  10. Dans Events Enabled, activez cette option si vous souhaitez que le connecteur pour Exchange ActiveSync informe Endpoint Management lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles du connecteur dans l’une de vos actions automatisées Endpoint Management.
  11. Cliquez sur Save, puis cliquez sur Test Connectivity pour tester la connectivité du fournisseur de configuration vers la passerelle. Si la connexion échoue, vérifiez que les paramètres du pare-feu local acceptent la connexion ou contactez votre administrateur.
  12. Si la connexion réussit, désactivez la case à cocher Disabled, puis cliquez sur Save.

Lorsque vous ajoutez un nouveau fournisseur de configuration, le connecteur pour Exchange ActiveSync crée automatiquement une ou plusieurs stratégies associées au fournisseur. Ces stratégies sont définies par une définition de modèle contenue dans config\policyTemplates.xml de la section NewPolicyTemplate. Pour chaque élément Policy est défini dans cette section, une nouvelle stratégie est créée.

L’opérateur peut ajouter, supprimer ou modifier les éléments de stratégie si les conditions suivantes sont remplies : l’élément de stratégie est conforme à la définition du schéma et les chaînes de substitution standard (entre accolades) ne sont pas modifiées. Ajoutez ensuite de nouveaux groupes pour le fournisseur et mettez à jour la stratégie pour inclure les nouveaux groupes.

Pour importer une stratégie depuis Endpoint Management

  1. Dans l’outil de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Dans la boîte de dialogue Config Providers, dans Name, entrez un nom d’utilisateur qui sera utilisé pour l’autorisation HTTP de base avec le serveur Endpoint Management et disposant de privilèges d’administrateur.
  3. Dans Url, entrez l’adresse Web du service Endpoint Management Gateway Configuration Service (GCS), généralement au format https://<xdmHost>/xdm/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui est utilisé pour l’autorisation HTTP de base avec le serveur Endpoint Management.
  5. Cliquez sur Test Connectivity pour tester la connectivité du fournisseur de configuration vers la passerelle. Si la connexion échoue, vérifiez que vos paramètres locaux de pare-feu autorisent la connexion ou contactez votre administrateur.
  6. Lorsqu’une connexion est établie, désactivez la case à cocher Disabled, puis cliquez sur Save.
  7. Dans Managing Host, laissez la valeur par défaut du nom DNS de l’ordinateur hôte. Ce paramètre est utilisé pour coordonner les communications avec Endpoint Management lorsque plusieurs serveurs Forefront Threat Management Gateway (TMG) sont configurés dans un tableau.

    Lorsque vous enregistrez les paramètres, ouvrez le GCS.

Configuration du mode de stratégie de Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync peut être exécuté dans les six modes suivants :

  • Allow All. Ce mode de stratégie accorde l’accès à tout le trafic passant via le connecteur pour Exchange ActiveSync. Aucune autre règle de filtrage n’est utilisée.
  • Deny All. Ce mode de stratégie bloque l’accès à tout le trafic passant via le connecteur pour Exchange ActiveSync. Aucune autre règle de filtrage n’est utilisée.
  • Static Rules: Block Mode. Ce mode de stratégie exécute des règles statiques avec une instruction implicite de blocage ou de refus à la fin. Le connecteur pour Exchange ActiveSync bloque les appareils qui ne sont pas autorisés par d’autres règles de filtre.
  • Static Rules: Permit Mode. Ce mode de stratégie exécute des règles statiques avec une instruction implicite d’acceptation ou d’autorisation à la fin. Les appareils qui ne sont pas bloqués ou refusés par d’autres règles de filtre sont autorisés via le connecteur pour Exchange ActiveSync.
  • Static + ZDM Rules: Block Mode. Ce mode de stratégie exécute tout d’abord des règles statiques, suivies par des règles dynamiques depuis Endpoint Management avec une instruction implicite de blocage ou de refus à la fin. Les appareils sont autorisés ou refusés en se basant sur des filtres définis et des règles Device Manager. Tous les appareils qui ne correspondent pas à des filtres et des règles définis sont bloqués.
  • Static + ZDM Rules: Permit Mode. Ce mode de stratégie exécute tout d’abord des règles statiques, suivies par des règles dynamiques depuis Endpoint Management avec une instruction implicite d’acceptation ou d’autorisation à la fin. Les appareils sont autorisés ou refusés en se basant sur des filtres définis et des règles Endpoint Management. Tous les appareils qui ne correspondent pas à des filtres et des règles définis sont autorisés.

Le connecteur pour Exchange ActiveSync autorise ou bloque les règles dynamiques en se basant sur des ID ActiveSync uniques pour appareils mobiles iOS et Windows reçus d’Endpoint Management. Les appareils Android changent de comportement en fonction du fabricant et certains n’exposent pas directement d’ID unique ActiveSync. Pour compenser, Endpoint Management envoie les informations d’ID de l’utilisateur pour les appareils Android pour prendre une décision d’autorisation ou de blocage. Par conséquent, si un utilisateur possède un seul appareil Android, la fonctionnalité d’autorisation et de blocage fonctionne normalement. Si l’utilisateur possède plusieurs appareils Android, tous les appareils sont autorisés, car les appareils Android ne peuvent pas être différenciés. Vous pouvez configurer la passerelle pour bloquer de façon statique ces appareils par ActiveSyncID, s’ils sont connus. Vous pouvez également configurer la passerelle pour qu’elle effectue un blocage en fonction de l’agent utilisateur ou du type d’appareil.

Pour spécifier le mode de stratégie, dans l’outil SMG Controller Configuration, procédez comme suit :

  1. Cliquez sur l’onglet Path Filters, puis cliquez sur Add.
  2. Dans la boîte de dialogue Path Properties, sélectionnez un mode de stratégie à partir de la liste Policy, puis cliquez sur Save.

Vous pouvez vérifier les règles sur l’onglet Policies de l’utilitaire de configuration. Les règles sont traitées de haut en bas sur le connecteur pour Exchange ActiveSync. Les stratégies autorisées sont affichées avec une coche verte. Les stratégies refusées s’affichent un cercle rouge traversé d’une ligne. Pour actualiser l’écran et afficher les règles mises à jour le plus récemment, cliquez sur Refresh. Vous pouvez également modifier l’ordre des règles dans le fichier config.xml.

Pour tester les règles, cliquez sur l’onglet Simulator. Spécifiez des valeurs dans les champs. Elles peuvent également être obtenues à partir des journaux. Un message de résultat apparaît spécifiant Allow ou Block.

Pour configurer des règles statiques

Entrez des règles statiques avec les valeurs qui sont lues par le filtrage ISAPI des lectures de demandes HTTP de connexion ActiveSync. Les règles statiques permettent au connecteur pour Exchange ActiveSync d’autoriser ou de bloquer le trafic en fonction des critères suivants :

  • Utilisateur. Le connecteur pour Exchange ActiveSync utilise la valeur de l’utilisateur autorisé et la structure de nom qui a été capturée lors de l’inscription de l’appareil. Ceci est couramment détecté en tant que domaine\nomutilisateur comme référencé par le serveur qui exécute Endpoint Management connecté à Active Directory via LDAP. L’onglet Log de l’outil de configuration du connecteur affiche les valeurs qui sont transmises via le connecteur. Les valeurs sont transmises si la structure de valeur doit être déterminée ou est différente.
  • Deviceid (ActiveSyncID). Également appelée ActiveSyncID de l’appareil connecté. Cette valeur est généralement présente dans la page de propriétés spécifiques de l’appareil dans la console Endpoint Management. Cette valeur peut également être vue depuis l’onglet Log de l’outil de configuration du connecteur pour Exchange ActiveSync.
  • DeviceType. Le connecteur pour Exchange ActiveSync peut déterminer si un appareil est un iPhone, un iPad ou tout autre type d’appareil et peut l’autoriser ou le bloquer en fonction de ces critères. Comme avec d’autres valeurs, l’utilitaire de configuration du connecteur peut révéler tous les types d’appareils connectés en cours de traitement pour la connexion ActiveSync.
  • UserAgent. Contient des informations sur le client ActiveSync utilisé. Dans la plupart des cas, la valeur spécifiée correspond à une version spécifique d’un système d’exploitation et à la version de plate-forme de l’appareil mobile.

L’outil de configuration du connecteur pour Exchange ActiveSync en cours d’exécution sur le serveur gère toujours les règles statiques.

  1. Dans l’utilitaire SMG Controller Configuration, cliquez sur l’onglet Static Rules, puis cliquez sur Add.
  2. Dans la boîte de dialogue Static Rule Properties, spécifiez les valeurs que vous voulez utiliser en tant que critères. Par exemple, vous pouvez entrer un utilisateur pour autoriser l’accès en entrant le nom d’utilisateur (par exemple, AllowedUser), puis désactiver la case à cocher Disabled.
  3. Cliquez sur Enregistrer.

    La règle statique est maintenant effective. Par ailleurs, vous pouvez utiliser des expressions régulières pour définir des valeurs, mais vous devez activer le mode de traitement de la règle dans le fichier config.xml.

Pour configurer les règles dynamiques

Les stratégies et les propriétés d’appareils dans Endpoint Management définissent les règles dynamiques et peuvent déclencher un filtre de connecteur pour Exchange ActiveSync dynamique. Les déclencheurs sont basés sur la présence d’une violation de stratégie ou d’un paramètre de propriété. Les filtres de connecteur pour Exchange ActiveSync analysent un appareil à la recherche d’une violation de stratégie ou d’un paramètre de propriété donné. Si l’appareil est conforme aux critères, l’appareil est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. Il s’agit d’une liste d’appareils qui satisfait au critère défini. Les options de configuration suivantes vous permettent de définir si vous souhaitez autoriser ou refuser les appareils dans la liste d’appareils en utilisant le connecteur pour Exchange ActiveSync.

Remarque :

Vous devez utiliser la console Endpoint Management pour configurer les règles dynamiques.

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur ActiveSync Gateway. La page ActiveSync Gateway s’affiche.

  3. Dans Activer la ou les règles suivantes, sélectionnez une ou plusieurs règles à activer.

  4. Dans Android uniquement, dans Envoyer les utilisateurs de domaine Android vers ActiveSync Gateway, cliquez sur Oui pour vous assurer qu’Endpoint Management envoie les informations de l’appareil Android à Secure Mobile Gateway.

    Lorsque cette option est activée, Endpoint Management envoie les informations de l’appareil Android au connecteur pour Exchange ActiveSync lorsqu’Endpoint Management ne dispose pas de l’identificateur ActiveSync de l’utilisateur de l’appareil Android.

Pour configurer des stratégies personnalisées en modifiant le fichier XML du connecteur pour Exchange ActiveSync

Vous pouvez afficher les stratégies de base dans la configuration par défaut sur l’onglet Policies de l’outil de configuration du connecteur pour Exchange ActiveSync. Si vous souhaitez créer des stratégies personnalisées, vous pouvez modifier le fichier de configuration XML du connecteur pour Exchange ActiveSync (config\config.xml).

  1. Recherchez la section PolicyList dans le fichier, puis ajoutez un nouvel élément Policy.
  2. Si un nouveau groupe est également requis, tel qu’un groupe statique ou un groupe pour prendre en charge un autre GCP, ajoutez le nouvel élément Group à la section GroupList.
  3. Si vous le souhaitez, vous pouvez modifier l’ordre des groupes dans une stratégie existante en réorganisant les éléments GroupRef.

Configuration du fichier XML du connecteur pour Exchange ActiveSync

Le connecteur pour Exchange ActiveSync utilise un fichier de configuration XML pour déterminer les actions du connecteur. Entre autres entrées, le fichier spécifie les fichiers du groupe et les actions associées que le filtre effectue lors de l’évaluation des requêtes HTTP. Par défaut, le fichier est appelé config.xml et est situé à l’emplacement suivant : ..\Program Files\Citrix\XenMobile NetScaler Connector\config.

Nœuds GroupRef

Les nœuds GroupRef définissent les noms des groupes logiques. Les valeurs par défaut sont AllowGroup et DenyGroup.

Remarque :

L’ordre des nœuds GroupRef tels qu’ils apparaissent dans le nœud GroupRefList est significatif.

La valeur de l’ID d’un nœud GroupRef identifie un conteneur logique ou une collection de membres qui sont utilisés pour la mise en correspondance des comptes d’utilisateurs ou d’appareils spécifiques. Les attributs d’action spécifient la façon dont le filtre traite un membre qui correspond à une règle dans la collection. Par exemple, un compte d’utilisateur ou un appareil qui correspond à une règle dans l’ensemble AllowGroup sera « pass. » « pass » signifie qu’il est autorisé à accéder à Exchange CAS. Un compte d’utilisateur ou un appareil qui correspond à une règle dans l’ensemble DenyGroup est « rejected. » « rejected » signifie qu’il n’est pas autorisé à accéder à Exchange CAS.

Lorsqu’un compte utilisateur/appareil particulier ou une combinaison des deux répond aux règles dans les deux groupes, une convention de priorité est utilisée pour diriger le résultat de la requête. La priorité est incorporée dans l’ordre des nœuds GroupRef dans le fichier config.xml de haut en bas. Les nœuds GroupRef sont classés par ordre de priorité. Les règles pour une condition donnée dans le groupe Allow seront toujours prioritaires sur les règles de la même condition du groupe Deny.

Nœuds de groupe

De plus, le fichier config.xml définit les nœuds Groupe. Ces nœuds fournissent une liaison entre les conteneurs logiques AllowGroup et DenyGroup vers les fichiers XML externes. Les entrées stockées dans les fichiers externes forment la base des règles de filtre.

Remarque :

Dans cette version, seuls les fichiers XML externes sont pris en charge.

L’installation par défaut implémente deux fichiers XML de configuration : allow.xml et deny.xml.

Configuration de Citrix Gateway Connector pour Exchange ActiveSync

Vous pouvez configurer Citrix Gateway Connector pour Exchange ActiveSync pour bloquer ou autoriser les demandes ActiveSync de manière sélective en vous basant sur les propriétés suivantes : Active Sync Service ID, Device type, User Agent (système d’exploitation de l’appareil), Authorized user et ActiveSync Command.

La configuration par défaut prend en charge une combinaison de groupes statiques et dynamiques. Vous pouvez gérer les groupes statiques à l’aide de l’utilitaire de configuration SMG Controller. Les groupes statiques peuvent être composés de catégories d’appareils connues, telles que les appareils utilisant un agent utilisateur donné.

Une source externe appelée fournisseur de configuration de passerelle gère les groupes dynamiques. Le connecteur pour Exchange ActiveSync connecte les groupes régulièrement. Endpoint Management peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers le connecteur pour Exchange ActiveSync.

Les groupes dynamiques sont gérés par une source externe appelée Gateway Configuration Provider et sont régulièrement collectés par le connecteur pour Exchange ActiveSync. Endpoint Management peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers le connecteur.

Une stratégie est une liste ordonnée de groupes dans laquelle chaque groupe est associé à une action (autoriser ou bloquer) et une liste des membres du groupe. Une stratégie peut contenir n’importe quel nombre de groupes. L’ordre du groupe dans une stratégie est important car lorsqu’une correspondance est localisée, l’action du groupe est prise, et les autres groupes ne sont pas évalués.

Un membre définit une façon de faire correspondre les propriétés d’une demande. Il peut correspondre à une seule propriété, telle que l’ID d’appareil ou plusieurs propriétés, telles que le type d’appareil et l’agent utilisateur.

Choix d’un modèle de sécurité pour Citrix Gateway Connector pour Exchange ActiveSync

L’établissement d’un modèle de sécurité est nécessaire au succès d’un déploiement d’appareils mobiles pour les organisations de toutes tailles. Il est courant d’utiliser un contrôle de réseau protégé ou en quarantaine pour autoriser l’accès à un utilisateur, un ordinateur ou un appareil par défaut. Cette pratique n’est pas toujours idéale. Chaque organisation qui gère la sécurité informatique peut avoir une approche légèrement différente ou adaptée à la sécurité pour les appareils mobiles.

La même logique s’applique à la sécurité des appareils mobiles. Un modèle permissif est un choix inadapté étant donné le grand nombre de types et d’appareils mobiles, d’appareils mobiles par utilisateur et de plates-formes de systèmes d’exploitation et d’applications disponibles. Dans la plupart des organisations, le modèle restrictif sera le choix le plus logique.

Les scénarios de configuration que Citrix autorise pour l’intégration du connecteur pour Exchange ActiveSync avec Endpoint Management sont les suivants :

Modèle permissif (Permit Mode)

Le modèle de sécurité permissif fonctionne sur le principe que l’accès est autorisé par défaut. Un blocage et une restriction seront appliqués uniquement via des règles et un filtrage. Le modèle de sécurité permissif est adapté aux organisations dans lesquelles la sécurité n’est pas une préoccupation principale pour les appareils mobiles. Le modèle applique uniquement des contrôles restrictifs pour refuser l’accès lorsque cela est approprié (lorsqu’une règle de stratégie a échoué).

Modèle restrictif (Block Mode)

Le modèle de sécurité restrictif est basé sur le principe que l’accès n’est pas autorisé par défaut. Tout le contenu transitant par le point de vérification est filtré et inspecté, et l’accès est refusé, sauf si les règles autorisant l’accès sont satisfaites. Le modèle de sécurité restrictif est adapté aux organisations qui possèdent des mesures de sécurité relativement strictes pour les appareils mobiles. Le mode accorde seulement l’accès (à des fins d’utilisation et aux fonctionnalités) aux services réseau lorsque toutes les règles autorisant l’accès sont observées.

Gestion de Citrix Gateway Connector pour Exchange ActiveSync

Vous pouvez utiliser Citrix Gateway Connector pour Exchange ActiveSync pour créer des règles de contrôle d’accès. Les règles autorisent ou bloquent l’accès aux demandes de connexion ActiveSync des appareils gérés. L’accès dépend de l’état de l’appareil, des listes noires ou des listes blanches des applications et d’autres critères de conformité.

À l’aide de l’outil de configuration du connecteur pour Exchange ActiveSync, vous pouvez créer des règles dynamiques et statiques qui appliquent des stratégies de messagerie d’entreprise, ce qui vous permet de bloquer les utilisateurs qui ne respectent pas ces règles. Vous pouvez également configurer le cryptage des pièces jointes aux e-mails, de sorte que toutes les pièces jointes qui sont transmises par le biais de votre serveur Exchange vers les appareils gérés sont cryptées et uniquement disponibles sur les appareils gérés par des utilisateurs autorisés.

Pour désinstaller XNC

  1. Exécutez XncInstaller.exe avec un compte d’administrateur.
  2. Suivez les instructions à l’écran pour procéder à la désinstallation.

Installation, mise à niveau ou désinstallation du connecteur pour Exchange ActiveSync

  1. Exécutez XncInstaller.exe avec un compte administrateur pour installer le connecteur pour Exchange ActiveSync ou autoriser la mise à niveau ou la suppression d’un connecteur existant.
  2. Suivez les instructions à l’écran pour procéder à l’installation, la mise à niveau ou la désinstallation.

Après avoir installé le connecteur pour Exchange ActiveSync, vous devez redémarrer manuellement le service de configuration et le service de notification d’Endpoint Management.

Installation de Citrix Gateway Connector pour Exchange ActiveSync

Vous pouvez installer le connecteur pour Exchange ActiveSync sur son propre serveur ou sur le serveur sur lequel vous avez installé Endpoint Management.

Vous pouvez envisager d’installer le connecteur pour Exchange ActiveSync sur son propre serveur (distinct d’Endpoint Management) pour les raisons suivantes :

  • Votre serveur Endpoint Management est hébergé à distance dans le cloud (emplacement physique).
  • Vous ne souhaitez pas que le connecteur pour Exchange ActiveSync soit affecté par les redémarrages du serveur Endpoint Management (disponibilité).
  • Vous souhaitez que les ressources système d’un serveur soient entièrement dédiées au connecteur pour Exchange ActiveSync (performances).

La charge d’UC que le connecteur pour Exchange ActiveSync place sur un serveur dépend du nombre d’appareils gérés. Une recommandation générale consiste à provisionner un noyau d’UC supplémentaire si le connecteur est déployé sur le même serveur qu’Endpoint Management. Pour un grand nombre d’appareils (plus de 50 000), il se peut que vous deviez provisionner des noyaux supplémentaires si vous ne disposez pas d’un environnement en cluster. L’encombrement mémoire du connecteur n’est pas assez important pour justifier plus de mémoire.

Configuration système requise pour Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync communique avec NetScaler sur un pont SSL configuré sur le boîtier NetScaler. La passerelle permet au boîtier d’acheminer tout le trafic sécurisé directement vers Endpoint Management. Le connecteur pour Exchange ActiveSync requiert la configuration système minimale suivante :

Composant Exigences
Ordinateur et processeur 733 MHz Pentium III 733 MHz ou processeur supérieur. 2.0 GHz Pentium III ou processeur supérieur (recommandé)
NetScaler Boîtier NetScaler avec version du logiciel 10
Mémoire 1 Go
Disque dur Partition locale au format NTFS avec 150 Mo d’espace disque dur disponible
Système d’exploitation Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008 SP2, Microsoft Windows Server 2012 R2
Autres périphériques Carte réseau compatible avec le système d’exploitation hôte pour les communications avec le réseau interne.
Microsoft .NET Framework La version 8.5.1.11 requiert Microsoft .NET Framework 4.5.
Afficher Moniteur VGA ou de plus haute résolution

L’ordinateur hôte pour le connecteur pour Exchange ActiveSync requiert l’espace disque disponible suivant :

  • Application. 10 -15 Mo (100 Mo recommandés)
  • Logging. 1 Go (20 Go recommandés)

Pour plus d’informations sur les plates-formes prises en charge pour le connecteur pour Exchange ActiveSync, consultez Systèmes d’exploitation d’appareils pris en charge.

Clients de messagerie d’appareil

Les clients de messagerie ne renvoient pas tous le même ID ActiveSync pour un appareil. Étant donné que le connecteur pour Exchange ActiveSync s’attend à un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent toujours le même ID ActiveSync unique pour chaque appareil sont pris en charge. Citrix a testé ces clients de messagerie et aucune erreur n’a été détectée :

  • Client de messagerie natif HTC
  • Client de messagerie natif Samsung
  • Client de messagerie natif iOS
  • TouchDown

Déploiement de Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync vous permet d’utiliser NetScaler pour servir de proxy et équilibrer la charge des communications du serveur Endpoint Management avec les appareils gérés Endpoint Management. Le connecteur pour Exchange ActiveSync communique régulièrement avec Endpoint Management pour synchroniser les stratégies. Le connecteur pour Exchange ActiveSync et Endpoint Management peuvent être en cluster, ensemble ou indépendamment, et leur charge peut être équilibrée par NetScaler.

Composants du connecteur pour Exchange ActiveSync

  • Service du connecteur pour Exchange ActiveSync : ce service offre une interface de service Web REST pouvant être invoquée par NetScaler pour déterminer si une demande ActiveSync provenant d’un appareil est autorisée.
  • Service de configuration Endpoint Management : ce service communique avec Endpoint Management pour synchroniser les modifications de stratégie d’Endpoint Management avec le connecteur pour Exchange ActiveSync.
  • Service de notification Endpoint Management : ce service envoie des notifications d’accès non autorisé à Endpoint Management. De cette façon, Endpoint Management peut prendre les mesures appropriées, envoyer à l’utilisateur une notification expliquant pourquoi l’appareil a été bloqué par exemple.
  • Outil de configuration du connecteur pour Exchange ActiveSync : cette application permet à l’administrateur de configurer et de surveiller le connecteur.

Configuration d’adresses d’écoute pour Citrix Gateway Connector pour Exchange ActiveSync

Pour que Citrix Gateway Connector pour Exchange ActiveSync reçoive des demandes de NetScaler pour autoriser le trafic ActiveSync, procédez comme suit. Indiquez le port sur lequel le connecteur pour Exchange ActiveSync écoute les appels de service Web NetScaler.

  1. Dans le menu Démarrer, sélectionnez l’outil de configuration du connecteur pour Exchange ActiveSync.
  2. Cliquez sur l’onglet Web Service, puis entrez les adresses d’écoute pour le service Web du connecteur. Vous pouvez sélectionner le protocole HTTP et/ou HTTPS. Si le connecteur pour Exchange ActiveSync est co-résident avec Endpoint Management (installé sur le même serveur), sélectionnez les valeurs de port qui ne sont pas en conflit avec Endpoint Management.
  3. Une fois les valeurs configurées, cliquez sur Save, puis sur Start Service pour démarrer le service Web.

Configuration de stratégies de contrôle d’accès à l’appareil dans Citrix Gateway Connector pour Exchange ActiveSync

Pour configurer la stratégie de contrôle d’accès que vous souhaitez appliquer à vos appareils gérés, effectuez les opérations suivantes :

  1. Dans l’outil de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Path Filters.
  2. Sélectionner la première ligne, Microsoft-Server-ActiveSync is for ActiveSync, puis cliquez sur Edit.
  3. À partir de la liste Policy, sélectionnez la stratégie désirée. Pour une stratégie qui comprend des stratégies Endpoint Management, sélectionnez Static + ZDM: Permit Mode ou Static + ZDM: Block Mode. Ces stratégies combinent des règles locales (ou statiques) avec les règles d’Endpoint Management. Permit Mode signifie que tous les appareils non identifiés de manière explicite par les règles sont autorisés à accéder à ActiveSync. Block Mode signifie que de tels appareils sont bloqués.
  4. Après avoir défini les stratégies, cliquez sur Save.

Pour configurer la communication avec Endpoint Management

Spécifiez le nom et les propriétés du serveur Endpoint Management (également appelé fournisseur de configuration) que vous souhaitez utiliser avec Citrix Gateway Connector pour Exchange ActiveSync et NetScaler.

Remarque : cette tâche suppose qu’Endpoint Management soit déjà installé ou configuré.

  1. Dans l’outil de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Entrez le nom et l’URL du serveur Endpoint Management que vous utilisez pour ce déploiement. Si vous disposez de plusieurs serveurs Endpoint Management déployés dans un déploiement multi-locataire, ce nom doit être unique pour chaque instance de serveur. Par exemple, pour le champ Name, vous pouvez entrer CEM.
  3. Dans Url, entrez l’adresse Web du service Endpoint Management GCP (GlobalConfig Provider), généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui sera utilisé pour l’autorisation HTTP de base avec le serveur Web Endpoint Management.
  5. Dans Managing Host, entrez le nom du serveur sur lequel vous avez installé le connecteur pour Exchange ActiveSync.
  6. Dans Baseline Interval, spécifiez une période de temps après laquelle un nouveau ruleset dynamique actualisé est extrait depuis Endpoint Management.
  7. Dans Request Timeout, spécifiez l’intervalle d’expiration du délai de demande du serveur.
  8. Dans Config Provider, sélectionnez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  9. Dans Events Enabled, activez cette option si vous souhaitez que Secure Mobile Gateway informe Endpoint Management lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles Secure Mobile Gateway dans l’une des actions automatisées d’Endpoint Management.
  10. Une fois que le serveur est configuré, cliquez sur Test Connectivity pour tester la connexion à Endpoint Management.
  11. Lorsque la connexion est établie, cliquez sur Save.

Déploiement de Citrix Gateway Connector pour Exchange ActiveSync pour la redondance et la capacité à monter en charge

Si vous voulez étendre votre déploiement du connecteur Citrix Gateway pour Exchange ActiveSync et Endpoint Management, vous pouvez installer des instances du connecteur sur plusieurs serveurs Windows, et les faire pointer vers la même instance d’Endpoint Management. Vous pouvez ensuite utiliser NetScaler pour équilibrer la charge des serveurs.

Il existe deux modes de configuration du connecteur pour Exchange ActiveSync :

  • En mode non partagé, chaque instance du connecteur pour Exchange ActiveSync communique avec un serveur Endpoint Management et conserve sa propre copie privée de la stratégie résultante. Par exemple, si vous possédez un cluster de serveurs Endpoint Management, vous pouvez exécuter une instance de connecteur sur chaque serveur Endpoint Management et le connecteur obtiendra des stratégies depuis l’instance locale d’Endpoint Management.
  • En mode partagé, un connecteur pour le nœud Exchange ActiveSync est désigné comme le nœud principal. Le connecteur communique avec Endpoint Management. La configuration résultante est partagée entre les autres nœuds soit par un partage réseau Windows soit par une réplication Windows (ou tierce).

La totalité de la configuration du connecteur pour Exchange ActiveSync se trouve dans un dossier unique (composé de plusieurs fichiers XML). Le processus du connecteur détecte les modifications apportées à tout fichier dans ce dossier et recharge automatiquement la configuration. Il n’y a pas de basculement du nœud principal en mode partagé. Toutefois, le système peut tolérer le fait que le serveur principal soit arrêté pendant quelques minutes (par exemple, pour redémarrer), car la dernière configuration correcte connue est mise en cache dans le processus du connecteur.