Citrix Endpoint Management

NetScaler Gateway Connector pour Exchange ActiveSync

XenMobile NetScaler Connector est maintenant nommé NetScaler Gateway Connector pour Exchange ActiveSync. Pour plus de détails sur le portefeuille unifié de Citrix, consultez le guide des produits Citrix.

Ce connecteur pour Exchange ActiveSync fournit un service d’autorisation au niveau de l’appareil des clients ActiveSync à NetScaler Gateway qui fait office de proxy inverse pour le protocole Exchange ActiveSync. Vous contrôlez l’autorisation au moyen d’une combinaison de :

  • Stratégies que vous définissez dans Citrix Endpoint Management
  • Règles définies localement par NetScaler Gateway Connector pour Exchange ActiveSync

Pour de plus amples informations, consultez la section ActiveSync Gateway.

Pour un diagramme d’architecture de référence détaillé, voir Architecture.

La version actuelle de NetScaler Gateway Connector pour Exchange ActiveSync est la version 8.5.3.

Pour télécharger le connecteur :

  1. Accédez à https://www.citrix.com/downloads.
  2. Accédez à Citrix Endpoint Management (et Citrix XenMobile Server) > XenMobile Server (local) > Logiciel produit > XenMobile Server 10 > Composants serveur.
  3. Sur la vignette NetScaler Gateway Connector, cliquez sur Télécharger le fichier.

Pour installer le connecteur, reportez-vous à la section Installation de NetScaler Gateway Connector pour Exchange ActiveSync.

Important :

À compter d’octobre 2022, les connecteurs Citrix Endpoint Management et NetScaler Gateway pour Exchange ActiveSync ne prendront plus en charge Exchange Online en raison des modifications d’authentification annoncées par Microsoft ici. Le connecteur Citrix Endpoint Management pour Exchange continuera de fonctionner avec Microsoft Exchange Server (déploiement local).

Nouveautés dans la version 8.5.3

  • Cette version ajoute la prise en charge des protocoles ActiveSync 16.0 et 16.1.
  • Plus de détails ont été ajoutés aux analyses envoyées à Google Analytics, notamment concernant les instantanés. [CXM-52261]

Nouveautés dans les versions précédentes

Remarque :

La section Nouveautés suivante fait référence à NetScaler Gateway Connector pour Exchange ActiveSync sous son ancien nom XenMobile NetScaler Connector. Le nom a changé à partir de la version 8.5.2.

Nouveautés dans la version 8.5.2

  • XenMobile NetScaler Connector est maintenant nommé NetScaler Gateway Connector pour Exchange ActiveSync.

Les problèmes suivants ont été résolus dans cette version :

  • Si plusieurs critères sont utilisés dans la définition d’une règle de stratégie et si un critère implique l’ID utilisateur, le problème suivant peut se produire. Si un utilisateur a plusieurs alias, les alias ne sont pas également vérifiés lors de l’application de la règle. [CXM-55355]

Nouveautés dans la version 8.5.1.11

  • Modification de la configuration système requise : la version actuelle de NetScaler Connector requiert Microsoft .NET Framework 4.5.

  • Prise en charge de Google Analytics : nous souhaitons savoir comment vous utilisez le connecteur afin de pouvoir nous concentrer sur l’amélioration du produit.

  • Prise en charge de TLS 1.1 et 1.2 : en raison de leur faible niveau de sécurité, TLS 1.0 et TLS 1.1 ont été déclarés obsolètes par le PCI Council. La prise en charge de TLS 1.2 est ajoutée à XenMobile NetScaler Connector.

Surveillance de NetScaler Gateway Connector pour Exchange ActiveSync

L’utilitaire de configuration de NetScaler Gateway Connector pour Exchange ActiveSync fournit une journalisation détaillée. Utilisez les journaux pour afficher tout le trafic passant par votre serveur Exchange Server que Secure Mobile Gateway autorise ou bloque.

Utilisez l’onglet Log pour afficher l’historique des demandes ActiveSync transmises à Citrix Gateway Connector pour Exchange ActiveSync pour autorisation.

De plus, pour vous assurer que le connecteur pour le service Web Exchange ActiveSync est en cours d’exécution, chargez l’adresse URL suivante dans un navigateur sur le serveur du connecteur https://<host:port>/services/ActiveSync/Version. Si l’adresse URL retourne la version du produit en tant que chaîne, le service Web est réactif.

Simulation de trafic ActiveSync avec le connecteur pour Exchange ActiveSync

Vous pouvez utiliser NetScaler Gateway Connector pour Exchange ActiveSync pour simuler le trafic ActiveSync avec vos stratégies. Dans l’outil de configuration du connecteur, cliquez sur l’onglet Simulator. Les résultats vous montrent comment vos stratégies s’appliquent aux règles que vous avez configurées.

Choix des filtres pour le connecteur pour Exchange ActiveSync

Les filtres NetScaler Gateway Connector pour Exchange ActiveSync analysent un appareil à la recherche d’une violation de stratégie ou d’un paramètre de propriété donné. Si l’appareil est conforme aux critères, l’appareil est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. Il s’agit d’une liste d’appareils qui répondent aux critères définis. Les filtres suivants sont disponibles pour le connecteur pour Exchange ActiveSync dans Citrix Endpoint Management. Les deux options pour chaque filtre sont Autoriser ou Refuser.

  • Appareils anonymes : autorise ou refuse les appareils qui sont inscrits dans Citrix Endpoint Management, mais l’identité de l’utilisateur est inconnue. Par exemple, un utilisateur inscrit possède une identité inconnue si l’utilisateur possède un mot de passe Active Directory expiré ou des informations d’identification inconnues.
  • Applications sur liste noire : autorise ou refuse les appareils en fonction de la liste des appareils définie par les listes de blocage dans les stratégies et de la présence d’applications sur une liste de blocage.
  • Autorisations et refus implicite : crée une liste d’appareils de tous les appareils qui ne répondent pas à tous les critères de règle de filtre et les autorise ou les refuse en se basant sur cette liste. L’option Autorisation/refus implicite garantit que l’état du connecteur pour Exchange ActiveSync dans l’onglet Appareils est activé et affiche l’état du connecteur pour vos appareils. L’option Autorisation/refus implicite contrôle également tous les autres filtres du connecteur qui ne sont pas sélectionnés. Par exemple, le connecteur refuse les applications figurant sur la liste de blocage. Toutefois, le connecteur autorise tous les autres filtres car l’option Autorisation/refus implicite est définie sur Autoriser.
  • Appareils inactifs : crée une liste d’appareils des appareils qui n’ont pas communiqué avec Citrix Endpoint Management dans une période de temps spécifiée. Ces appareils sont considérés comme inactifs. Le filtre autorise ou refuse les appareils en conséquence.
  • Applications requises manquantes : lorsqu’un utilisateur s’inscrit, l’utilisateur reçoit une liste des applications requises qui doivent être installées. Le filtre des applications requises manquantes indique qu’une ou plusieurs applications ne sont plus présentes ; par exemple, l’utilisateur a supprimé une ou plusieurs applications.
  • Applications non suggérées : lorsqu’un utilisateur s’inscrit, l’utilisateur reçoit une liste des applications à installer. Le filtre des applications non suggérées vérifie que l’appareil ne contient pas d’applications qui ne figurent pas dans cette liste.
  • Mot de passe non conforme : crée une liste d’appareils de tous les appareils qui ne disposent pas d’un code secret sur l’appareil.
  • Appareils non conformes : vous permet d’interdire ou d’autoriser des appareils qui répondent à vos critères de conformité informatiques internes. La conformité est un paramètre arbitraire défini par la propriété d’appareil nommée Non conforme, qui est un indicateur booléen qui peut être soit True soit False. (Vous pouvez créer cette propriété manuellement et définir la valeur. Vous pouvez également utiliser des actions automatisées pour créer cette propriété sur un appareil, selon que celui-ci répond à des critères spécifiques.)
    • Non conforme = True : si un appareil ne répond pas aux normes de conformité et aux définitions de stratégie définies par votre service informatique, l’appareil n’est pas conforme.
    • Non conforme = False : si un appareil répond aux normes de conformité et aux définitions de stratégie définies par votre service informatique, l’appareil est conforme.
  • État révoqué : crée une liste d’appareils de tous les appareils révoqués et les autorise ou les refuse en fonction de l’état de révocation.
  • Android rootés/iOS jailbreakés : crée une liste d’appareils de tous les appareils marqués comme rootés et les autorise ou les refuse en se basant sur leur état racine.
  • Appareils non gérés : crée une liste de tous les appareils dans la base de données Citrix Endpoint Management. Déployez Mobile Application Gateway à l’aide d’un modèle restrictif (Block Mode).

Configuration d’une connexion à NetScaler Gateway Connector pour Exchange ActiveSync

NetScaler Gateway Connector pour Exchange ActiveSync communique avec Citrix Endpoint Management et d’autres fournisseurs de configuration à distance via les services Citrix Secure Web.

  1. Dans l’outil de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Dans la boîte de dialogue Config Providers, dans Name, entrez un nom d’utilisateur disposant des privilèges d’administration et qui est utilisé pour l’autorisation HTTP de base avec le serveur Citrix Endpoint Management.
  3. Dans Url, entrez l’adresse Web du service Citrix Endpoint Management GCS, généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe utilisé pour l’autorisation HTTP de base avec le serveur Citrix Endpoint Management.
  5. Dans Managing Host, entrez le nom du serveur du connecteur pour Exchange ActiveSync.
  6. Dans Baseline Interval, spécifiez une période de temps après laquelle un nouveau ruleset dynamique actualisé est extrait depuis Citrix Endpoint Management.
  7. Dans Delta interval, spécifiez une période de temps après laquelle une mise à jour de règles dynamiques est extraite.
  8. Dans Request Timeout, spécifiez l’intervalle d’expiration du délai de demande du serveur.
  9. Dans Config Provider, sélectionnez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  10. Dans Events Enabled, activez cette option si vous souhaitez que le connecteur pour Exchange ActiveSync informe Citrix Endpoint Management lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles du connecteur dans l’une de vos actions automatisées Citrix Endpoint Management.
  11. Cliquez sur Save, puis cliquez sur Test Connectivity pour tester la connectivité du fournisseur de configuration vers la passerelle. Si la connexion échoue, vérifiez que les paramètres du pare-feu local acceptent la connexion ou contactez votre administrateur.
  12. Si la connexion réussit, désactivez la case à cocher Disabled, puis cliquez sur Save.

Lorsque vous ajoutez un fournisseur de configuration, le connecteur pour Exchange ActiveSync crée automatiquement une ou plusieurs stratégies associées au fournisseur. Une définition de modèle contenue dans config\policyTemplates.xml dans la section NewPolicyTemplate définit les stratégies. Pour chaque élément Policy est défini dans cette section, une nouvelle stratégie est créée.

L’opérateur peut ajouter, supprimer ou modifier les éléments de stratégie si les conditions suivantes sont remplies : l’élément de stratégie est conforme à la définition du schéma et les chaînes de substitution standard (entre accolades) ne sont pas modifiées. Ajoutez ensuite de nouveaux groupes pour le fournisseur et mettez à jour la stratégie pour inclure les nouveaux groupes.

Pour importer une stratégie depuis Citrix Endpoint Management

  1. Dans l’outil de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Dans la boîte de dialogue Config Providers, dans Name, entrez un nom d’utilisateur pour l’autorisation HTTP de base avec Citrix Endpoint Management. L’utilisateur doit disposer des privilèges d’administrateur.
  3. Dans Url, entrez l’adresse Web du service Citrix Endpoint Management Gateway Configuration Service (GCS), généralement au format https://<xdmHost>/xdm/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui est utilisé pour l’autorisation HTTP de base avec le serveur Citrix Endpoint Management.
  5. Cliquez sur Test Connectivity pour tester la connectivité du fournisseur de configuration vers la passerelle. Si la connexion échoue, vérifiez que vos paramètres locaux de pare-feu autorisent la connexion ou contactez votre administrateur.
  6. Lorsqu’une connexion est établie, désactivez la case à cocher Disabled, puis cliquez sur Save.
  7. Dans Managing Host, laissez la valeur par défaut du nom DNS de l’ordinateur hôte. Ce paramètre est utilisé pour coordonner les communications avec Citrix Endpoint Management lorsque plusieurs serveurs Forefront Threat Management Gateway (TMG) sont configurés dans un tableau.

    Lorsque vous enregistrez les paramètres, ouvrez le GCS.

Configuration du mode de stratégie de NetScaler Gateway Connector pour Exchange ActiveSync

NetScaler Gateway Connector pour Exchange ActiveSync peut être exécuté dans les six modes suivants :

  • Allow All : ce mode de stratégie accorde l’accès à tout le trafic passant via le connecteur pour Exchange ActiveSync. Aucune autre règle de filtrage n’est utilisée.
  • Deny All: ce mode de stratégie bloque l’accès à tout le trafic passant via le connecteur pour Exchange ActiveSync. Aucune autre règle de filtrage n’est utilisée.
  • Static Rules: Block Mode : ce mode de stratégie exécute des règles statiques avec une instruction implicite de blocage ou de refus à la fin. Le connecteur pour Exchange ActiveSync bloque les appareils qui ne sont pas autorisés par d’autres règles de filtre.
  • Static Rules: Permit Mode : ce mode de stratégie exécute des règles statiques avec une instruction implicite d’acceptation ou d’autorisation à la fin. Les appareils qui ne sont pas bloqués ou refusés par d’autres règles de filtre sont autorisés via le connecteur pour Exchange ActiveSync.
  • Static + ZDM Rules: Block Mode. Ce mode de stratégie exécute tout d’abord des règles statiques, suivies par des règles dynamiques depuis Citrix Endpoint Management avec une instruction implicite de blocage ou de refus à la fin. Les appareils sont autorisés ou refusés en se basant sur des filtres définis et des règles Citrix Endpoint Management. Tous les appareils qui ne correspondent pas à des filtres et des règles définis sont bloqués.
  • Static + ZDM Rules: Permit Mode. Ce mode de stratégie exécute tout d’abord des règles statiques, suivies par des règles dynamiques depuis Citrix Endpoint Management avec une instruction implicite d’acceptation ou d’autorisation à la fin. Les appareils sont autorisés ou refusés en se basant sur des filtres définis et des règles Citrix Endpoint Management. Tous les appareils qui ne correspondent pas à des filtres et des règles définis sont autorisés.

Le connecteur pour Exchange ActiveSync autorise ou bloque les règles dynamiques en se basant sur des ID ActiveSync uniques pour appareils mobiles iOS et Windows reçus d’Citrix Endpoint Management. Les appareils Android changent de comportement en fonction du fabricant et certains n’exposent pas directement d’ID unique ActiveSync. Pour compenser, Citrix Endpoint Management envoie les informations d’ID de l’utilisateur pour les appareils Android pour prendre une décision d’autorisation ou de blocage. Par conséquent, si un utilisateur possède un seul appareil Android, la fonctionnalité d’autorisation et de blocage fonctionne normalement. Si l’utilisateur possède plusieurs appareils Android, tous les appareils sont autorisés, car les appareils Android ne peuvent pas être différenciés. Vous pouvez configurer la passerelle pour bloquer de façon statique ces appareils par ActiveSyncID, s’ils sont connus. Vous pouvez également configurer la passerelle pour qu’elle effectue un blocage en fonction de l’agent utilisateur ou du type d’appareil.

Pour spécifier le mode de stratégie, dans l’outil SMG Controller Configuration, procédez comme suit :

  1. Cliquez sur l’onglet Path Filters, puis cliquez sur Add.
  2. Dans la boîte de dialogue Path Properties, sélectionnez un mode de stratégie à partir de la liste Policy, puis cliquez sur Save.

Vous pouvez vérifier les règles sur l’onglet Policies de l’outil de configuration. Les règles sont traitées de haut en bas sur le connecteur pour Exchange ActiveSync. Les stratégies autorisées sont affichées avec une coche verte. Les stratégies refusées s’affichent un cercle rouge traversé d’une ligne. Pour actualiser l’écran et afficher les règles mises à jour le plus récemment, cliquez sur Refresh. Vous pouvez également modifier l’ordre des règles dans le fichier config.xml.

Pour tester les règles, cliquez sur l’onglet Simulator. Spécifiez des valeurs dans les champs. Vous pouvez obtenir les valeurs à partir des journaux. Un message de résultat spécifie Allow ou Block.

Pour configurer des règles statiques

Entrez des règles statiques avec les valeurs qui sont lues par le filtrage ISAPI des lectures de demandes HTTP de connexion ActiveSync. Les règles statiques permettent au connecteur pour Exchange ActiveSync d’autoriser ou de bloquer le trafic en fonction des critères suivants :

  • User : le connecteur pour Exchange ActiveSync utilise la valeur de l’utilisateur autorisé et la structure de nom qui a été capturée lors de l’inscription de l’appareil. Cette structure est couramment détectée en tant que domain\username comme référencé par le serveur qui exécute Citrix Endpoint Management connecté à Active Directory via LDAP. L’onglet Log de l’outil de configuration du connecteur affiche les valeurs qui sont transmises via le connecteur. Les valeurs sont transmises si le connecteur doit déterminer la structure des valeurs ou si la structure diffère.
  • DeviceID (ActiveSynciD) : également appelée ActiveSyncID de l’appareil connecté. Cette valeur est généralement présente sur la page de propriétés spécifiques de l’appareil dans la console Citrix Endpoint Management. Cette valeur peut également être vue depuis l’onglet Log de l’outil de configuration du connecteur pour Exchange ActiveSync.
  • DeviceType : le connecteur pour Exchange ActiveSync peut déterminer si un appareil est un iPhone, un iPad ou tout autre type d’appareil et peut l’autoriser ou le bloquer en fonction de ces critères. Comme avec d’autres valeurs, l’outil de configuration du connecteur peut révéler tous les types d’appareils connectés en cours de traitement pour la connexion ActiveSync.
  • UserAgent : contient des informations sur le client ActiveSync utilisé. Dans la plupart des cas, la valeur spécifiée correspond à une version spécifique d’un système d’exploitation et à la version de plate-forme de l’appareil mobile.

L’outil de configuration du connecteur pour Exchange ActiveSync en cours d’exécution sur le serveur gère toujours les règles statiques.

  1. Dans l’utilitaire SMG Controller Configuration, cliquez sur l’onglet Static Rules, puis cliquez sur Add.
  2. Dans la boîte de dialogue Static Rule Properties, spécifiez les valeurs que vous voulez utiliser en tant que critères. Par exemple, vous pouvez entrer un utilisateur pour autoriser l’accès en entrant le nom d’utilisateur (par exemple, AllowedUser), puis désactiver la case à cocher Disabled.
  3. Cliquez sur Enregistrer.

    La règle statique est maintenant effective. Vous pouvez également utiliser des expressions régulières pour définir des valeurs, mais vous devez activer le mode de traitement de la règle dans le fichier config.xml.

Pour configurer les règles dynamiques

Les stratégies et les propriétés d’appareils dans Citrix Endpoint Management définissent les règles dynamiques et peuvent déclencher un filtre de connecteur pour Exchange ActiveSync dynamique. Les déclencheurs sont basés sur la présence d’une violation de stratégie ou d’un paramètre de propriété. Les filtres de connecteur pour Exchange ActiveSync analysent un appareil à la recherche d’une violation de stratégie ou d’un paramètre de propriété donné. Si l’appareil est conforme aux critères, l’appareil est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. Il s’agit d’une liste d’appareils qui satisfait au critère défini. Les options de configuration suivantes vous permettent de définir si vous souhaitez autoriser ou refuser les appareils dans la liste d’appareils en utilisant le connecteur pour Exchange ActiveSync.

Remarque :

Utilisez la console Citrix Endpoint Management pour configurer les règles dynamiques.

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur ActiveSync Gateway. La page ActiveSync Gateway s’affiche.

  3. Dans Activer la ou les règles suivantes, sélectionnez une ou plusieurs règles à activer.

  4. Dans Android uniquement, dans Envoyer les utilisateurs de domaine Android vers ActiveSync Gateway, cliquez sur Oui pour vous assurer qu’Citrix Endpoint Management envoie les informations de l’appareil Android à Secure Mobile Gateway.

    Lorsque cette option est activée, Citrix Endpoint Management envoie les informations de l’appareil Android au connecteur si Citrix Endpoint Management ne dispose pas de l’identificateur ActiveSync de l’utilisateur de l’appareil.

Pour configurer des stratégies personnalisées en modifiant le fichier XML du connecteur pour Exchange ActiveSync

Vous pouvez afficher les stratégies de base dans la configuration par défaut sur l’onglet Policies de l’outil de configuration du connecteur pour Exchange ActiveSync. Si vous souhaitez créer des stratégies personnalisées, vous pouvez modifier le fichier de configuration XML du connecteur NetScaler Gateway pour Exchange ActiveSync (config\config.xml).

  1. Recherchez la section PolicyList dans le fichier, puis ajoutez un nouvel élément Policy.
  2. Si un nouveau groupe est également requis, tel qu’un groupe statique ou un groupe pour prendre en charge un autre GCP, ajoutez le nouvel élément Group à la section GroupList.
  3. Si vous le souhaitez, vous pouvez modifier l’ordre des groupes dans une stratégie existante en réorganisant les éléments GroupRef.

Configuration du fichier XML du connecteur pour Exchange ActiveSync

Le connecteur pour Exchange ActiveSync utilise un fichier de configuration XML pour déterminer les actions du connecteur. Entre autres entrées, le fichier spécifie les fichiers du groupe et les actions associées que le filtre effectue lors de l’évaluation des requêtes HTTP. Par défaut, le fichier est appelé config.xml et est situé à l’emplacement suivant : ..\Program Files\Citrix\XenMobile NetScaler Connector\config.

Nœuds GroupRef

Les nœuds GroupRef définissent les noms des groupes logiques. Les valeurs par défaut sont AllowGroup et DenyGroup.

Remarque :

L’ordre des nœuds GroupRef tels qu’ils apparaissent dans le nœud GroupRefList est significatif.

La valeur de l’ID d’un nœud GroupRef identifie un conteneur logique ou une collection de membres qui sont utilisés pour la mise en correspondance des comptes d’utilisateurs ou d’appareils spécifiques. Les attributs d’action spécifient la façon dont le filtre traite un membre qui correspond à une règle dans la collection. Par exemple, un compte d’utilisateur ou un appareil qui correspond à une règle dans l’ensemble AllowGroup sera « pass. » « pass » signifie qu’il est autorisé à accéder à Exchange CAS. Un compte d’utilisateur ou un appareil qui correspond à une règle dans l’ensemble DenyGroup est « rejected. » « rejected » signifie qu’il n’est pas autorisé à accéder à Exchange CAS.

Lorsqu’un compte utilisateur/appareil particulier ou une combinaison des deux répond aux règles dans les deux groupes, une convention de priorité est utilisée pour diriger le résultat de la requête. La priorité est incorporée dans l’ordre des nœuds GroupRef dans le fichier config.xml de haut en bas. Les nœuds GroupRef sont classés par ordre de priorité. Les règles pour une condition donnée dans le groupe Allow seront toujours prioritaires sur les règles de la même condition du groupe Deny.

Nœuds de groupe

Le fichier config.xml définit également les nœuds Groupe. Ces nœuds fournissent une liaison entre les conteneurs logiques AllowGroup et DenyGroup vers les fichiers XML externes. Les entrées stockées dans les fichiers externes forment la base des règles de filtre.

Remarque :

Dans cette version, seuls les fichiers XML externes sont pris en charge.

L’installation par défaut implémente deux fichiers XML de configuration : allow.xml et deny.xml.

Configuration de NetScaler Gateway Connector pour Exchange ActiveSync

Vous pouvez configurer NetScaler Gateway Connector pour Exchange ActiveSync pour bloquer ou autoriser les demandes ActiveSync de manière sélective en vous basant sur les propriétés suivantes : Active Sync Service ID, Device type, User Agent (système d’exploitation de l’appareil), Authorized user et ActiveSync Command.

La configuration par défaut prend en charge une combinaison de groupes statiques et dynamiques. Vous pouvez gérer les groupes statiques à l’aide de l’utilitaire de configuration SMG Controller. Les groupes statiques peuvent être composés de catégories d’appareils connues, telles que les appareils utilisant un agent utilisateur donné.

Une source externe appelée fournisseur de configuration de passerelle gère les groupes dynamiques. Le connecteur pour Exchange ActiveSync connecte les groupes régulièrement. Citrix Endpoint Management peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers le connecteur pour Exchange ActiveSync.

Une source externe appelée fournisseur de configuration de passerelle gère les groupes dynamiques. Le connecteur pour Exchange ActiveSync collecte régulièrement les groupes dynamiques. Citrix Endpoint Management peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers le connecteur.

Une stratégie est une liste ordonnée de groupes dans laquelle chaque groupe est associé à une action (autoriser ou bloquer) et une liste des membres du groupe. Une stratégie peut contenir n’importe quel nombre de groupes. L’ordre du groupe dans une stratégie est important car lorsqu’une correspondance est localisée, l’action du groupe est prise, et les autres groupes ne sont pas évalués.

Un membre définit une façon de faire correspondre les propriétés d’une demande. Il peut correspondre à une seule propriété, telle que l’ID d’appareil ou plusieurs propriétés, telles que le type d’appareil et l’agent utilisateur.

Choix d’un modèle de sécurité pour NetScaler Gateway Connector pour Exchange ActiveSync

L’établissement d’un modèle de sécurité est nécessaire au succès d’un déploiement d’appareils mobiles pour les organisations de toutes tailles. Il est courant d’utiliser un contrôle de réseau protégé ou en quarantaine pour autoriser l’accès à un utilisateur, un ordinateur ou un appareil par défaut. Cette pratique n’est pas toujours idéale. Chaque organisation qui gère la sécurité informatique peut avoir une approche légèrement différente ou adaptée à la sécurité pour les appareils mobiles.

La même logique s’applique à la sécurité des appareils mobiles. Un modèle permissif est un choix inadapté étant donné le grand nombre de types et d’appareils mobiles, d’appareils mobiles par utilisateur et de plates-formes de systèmes d’exploitation et d’applications disponibles. Dans la plupart des organisations, le modèle restrictif sera le choix le plus logique.

Les scénarios de configuration que Citrix autorise pour l’intégration du connecteur pour Exchange ActiveSync avec Citrix Endpoint Management sont les suivants :

Modèle permissif (Permit Mode)

Le modèle de sécurité permissif fonctionne sur le principe que l’accès est autorisé par défaut. Un blocage et une restriction seront appliqués uniquement via des règles et un filtrage. Le modèle de sécurité permissif est adapté aux organisations dans lesquelles la sécurité n’est pas une préoccupation principale pour les appareils mobiles. Le modèle applique uniquement des contrôles restrictifs pour refuser l’accès lorsque cela est approprié (lorsqu’une règle de stratégie a échoué).

Modèle restrictif (Block Mode)

Le modèle de sécurité restrictif est basé sur le principe que l’accès n’est pas autorisé par défaut. Tout le contenu transitant par le point de vérification est filtré et inspecté, et l’accès est refusé, sauf si les règles autorisant l’accès sont satisfaites. Le modèle de sécurité restrictif est adapté aux organisations qui possèdent des mesures de sécurité relativement strictes pour les appareils mobiles. Le mode accorde seulement l’accès (à des fins d’utilisation et aux fonctionnalités) aux services réseau lorsque toutes les règles autorisant l’accès sont observées.

Gestion de NetScaler Gateway Connector pour Exchange ActiveSync

Vous pouvez utiliser NetScaler Gateway Connector pour Exchange ActiveSync pour créer des règles de contrôle d’accès. Les règles autorisent ou bloquent l’accès aux demandes de connexion ActiveSync des appareils gérés. L’accès dépend de l’état de l’appareil, des listes d’autorisation ou de blocage et d’autres critères de conformité.

À l’aide de l’outil de configuration du connecteur pour Exchange ActiveSync, vous pouvez créer des règles dynamiques et statiques qui appliquent des stratégies de messagerie d’entreprise. Ces règles et stratégies vous permettent de bloquer les utilisateurs qui enfreignent les normes de conformité. Vous pouvez également configurer le cryptage des pièces jointes aux e-mails, de sorte que toutes les pièces jointes qui sont transmises par le biais de Exchange Server vers les appareils gérés sont cryptées. Seuls les utilisateurs autorisés disposant d’appareils gérés peuvent afficher les pièces jointes cryptées.

Pour désinstaller XNC

  1. Exécutez XncInstaller.exe avec un compte d’administrateur.
  2. Suivez les instructions à l’écran pour procéder à la désinstallation.

Installation, mise à niveau ou désinstallation du connecteur pour Exchange ActiveSync

  1. Exécutez XncInstaller.exe avec un compte administrateur pour installer le connecteur pour Exchange ActiveSync ou autoriser la mise à niveau ou la suppression d’un connecteur existant.
  2. Suivez les instructions à l’écran pour procéder à l’installation, la mise à niveau ou la désinstallation.

Après avoir installé le connecteur pour Exchange ActiveSync, vous devez redémarrer manuellement le service de configuration et le service de notification d’Citrix Endpoint Management.

Installation de NetScaler Gateway Connector pour Exchange ActiveSync

Vous pouvez installer le connecteur pour Exchange ActiveSync sur son propre serveur ou sur le serveur sur lequel vous avez installé Citrix Endpoint Management.

Vous pouvez envisager d’installer le connecteur pour Exchange ActiveSync sur son propre serveur (distinct d’Citrix Endpoint Management) pour les raisons suivantes :

  • Votre serveur Citrix Endpoint Management est hébergé à distance dans le cloud (emplacement physique)
  • Vous ne souhaitez pas que le connecteur pour Exchange ActiveSync soit affecté par les redémarrages du serveur Citrix Endpoint Management (disponibilité)
  • Vous souhaitez que les ressources système d’un serveur soient entièrement dédiées au connecteur pour Exchange ActiveSync (performances).

La charge d’UC que le connecteur pour Exchange ActiveSync place sur un serveur dépend du nombre d’appareils gérés. Une recommandation générale consiste à provisionner un noyau d’UC supplémentaire si le connecteur est déployé sur le même serveur qu’Citrix Endpoint Management. Pour un grand nombre d’appareils (plus de 50 000), il se peut que vous deviez provisionner des noyaux supplémentaires si vous ne disposez pas d’un environnement en cluster. L’encombrement mémoire du connecteur n’est pas assez important pour justifier plus de mémoire.

Configuration système requise pour NetScaler Gateway Connector pour Exchange ActiveSync

NetScaler Gateway Connector pour Exchange ActiveSync communique avec NetScaler Gateway sur un pont SSL configuré sur le boîtier NetScaler Gateway. La passerelle permet au boîtier d’acheminer tout le trafic sécurisé directement vers Citrix Endpoint Management. Le connecteur pour Exchange ActiveSync requiert la configuration système minimale suivante :

Composant Exigences
Ordinateur et processeur 733 MHz Pentium III 733 MHz ou processeur supérieur. 2.0 GHz Pentium III ou processeur supérieur (recommandé)
Citrix Gateway Appliance Citrix Gateway avec version du logiciel 10
Memory 1 GB
Disque dur Partition locale au format NTFS avec 150 Mo d’espace disque dur disponible
Système d’exploitation Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Doit être un serveur en anglais. Le support pour Windows Server 2008 R2 Service Pack 1 prend fin le 14 janvier 2020 et le support pour Windows Server 2012 R2 prend fin le 10 octobre 2023.
Autres périphériques Carte réseau compatible avec le système d’exploitation hôte pour les communications avec le réseau interne.
Microsoft .NET Framework La version 8.5.1.11 requiert Microsoft .NET Framework 4.5.
Affichage Moniteur VGA ou de plus haute résolution

L’ordinateur hôte pour le connecteur pour Exchange ActiveSync requiert l’espace disque disponible suivant :

  • Application : 10 -15 Mo (100 Mo recommandés)
  • Logging. 1 Go (20 Go recommandés)

Pour plus d’informations sur les plates-formes prises en charge pour le connecteur pour Exchange ActiveSync, consultez Systèmes d’exploitation d’appareils pris en charge.

Clients de messagerie d’appareil

Les clients de messagerie ne renvoient pas tous le même ID ActiveSync pour un appareil. Étant donné que le connecteur pour Exchange ActiveSync s’attend à un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent toujours le même ID ActiveSync unique pour chaque appareil sont pris en charge. Citrix a testé ces clients de messagerie et aucune erreur n’a été détectée :

  • Client de messagerie natif Samsung
  • Client de messagerie natif iOS

Déploiement de NetScaler Gateway Connector pour Exchange ActiveSync

NetScaler Gateway Connector pour Exchange ActiveSync vous permet d’utiliser NetScaler Gateway pour servir de proxy et équilibrer la charge des communications du serveur Citrix Endpoint Management avec les appareils gérés Citrix Endpoint Management. Le connecteur pour Exchange ActiveSync communique régulièrement avec Citrix Endpoint Management pour synchroniser les stratégies. Le connecteur pour Exchange ActiveSync et Citrix Endpoint Management peuvent être en cluster, ensemble ou indépendamment.

Composants du connecteur pour Exchange ActiveSync

  • Connecteur pour Exchange ActiveSync : ce service offre une interface de service Web REST que NetScaler Gateway peut invoquer pour déterminer si une demande ActiveSync provenant d’un appareil est autorisée.
  • Service de configuration Citrix Endpoint Management : ce service communique avec Citrix Endpoint Management pour synchroniser les modifications de stratégie d’Citrix Endpoint Management avec le connecteur pour Exchange ActiveSync.
  • Service de notification Citrix Endpoint Management : ce service envoie des notifications d’accès non autorisé à Citrix Endpoint Management. De cette façon, Citrix Endpoint Management peut prendre les mesures appropriées, envoyer à l’utilisateur une notification expliquant pourquoi l’appareil a été bloqué par exemple.
  • Outil de configuration du connecteur pour Exchange ActiveSync : cette application permet à l’administrateur de configurer et de surveiller le connecteur.

Configuration d’adresses d’écoute pour NetScaler Gateway Connector pour Exchange ActiveSync

Pour que NetScaler Gateway Connector pour Exchange ActiveSync reçoive des demandes de NetScaler Gateway pour autoriser le trafic ActiveSync, procédez comme suit. Indiquez le port sur lequel le connecteur pour Exchange ActiveSync écoute les appels de service Web NetScaler Gateway.

  1. Dans le menu Démarrer, sélectionnez l’outil de configuration du connecteur pour Exchange ActiveSync.
  2. Cliquez sur l’onglet Web Service, puis entrez les adresses d’écoute pour le service Web du connecteur. Vous pouvez sélectionner le protocole HTTP et/ou HTTPS. Si le connecteur pour Exchange ActiveSync est co-résident avec Citrix Endpoint Management (installé sur le même serveur), sélectionnez les valeurs de port qui ne sont pas en conflit avec Citrix Endpoint Management.
  3. Une fois les valeurs configurées, cliquez sur Save, puis sur Start Service pour démarrer le service Web.

Configuration de stratégies de contrôle d’accès à l’appareil dans NetScaler Gateway Connector pour Exchange ActiveSync

Pour configurer la stratégie de contrôle d’accès que vous souhaitez appliquer à vos appareils gérés, effectuez les opérations suivantes :

  1. Dans l’outil de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Path Filters.
  2. Sélectionnez la première ligne, Microsoft-Server-ActiveSync is for ActiveSync, puis cliquez sur Edit.
  3. À partir de la liste Policy, sélectionnez la stratégie désirée. Pour une stratégie qui comprend des stratégies Citrix Endpoint Management, sélectionnez Static + ZDM: Permit Mode ou Static + ZDM: Block Mode. Ces stratégies combinent des règles locales (ou statiques) avec les règles d’Citrix Endpoint Management. Permit Mode signifie que tous les appareils non identifiés de manière explicite par les règles sont autorisés à accéder à ActiveSync. Block Mode signifie que de tels appareils sont bloqués.
  4. Après avoir défini les stratégies, cliquez sur Save.

Pour configurer la communication avec Citrix Endpoint Management

Spécifiez le nom et les propriétés du serveur Citrix Endpoint Management que vous souhaitez utiliser avec NetScaler Gateway Connector pour Exchange ActiveSync et NetScaler Gateway.

Remarque :

Cette tâche suppose qu’Citrix Endpoint Management soit déjà installé ou configuré. L’outil de configuration Exchange ActiveSync utilise le terme Config Provider pour Citrix Endpoint Management.

  1. Dans l’outil de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Entrez le nom et l’URL du serveur Citrix Endpoint Management que vous utilisez pour ce déploiement. Si vous disposez de plusieurs serveurs Citrix Endpoint Management déployés dans un déploiement multi-locataire, ce nom doit être unique pour chaque instance de serveur.
  3. Dans Url, entrez l’adresse Web du service Citrix Endpoint Management GCP (GlobalConfig Provider), généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe utilisé pour l’autorisation HTTP de base avec le serveur Web Citrix Endpoint Management.
  5. Dans Managing Host, entrez le nom du serveur sur lequel vous avez installé le connecteur pour Exchange ActiveSync.
  6. Dans Intervalle de ligne de base, spécifiez une période de temps après laquelle un nouveau ruleset dynamique actualisé est extrait depuis Citrix Endpoint Management.
  7. Dans Request Timeout, spécifiez l’intervalle d’expiration du délai de demande du serveur.
  8. Dans Config Provider, sélectionnez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  9. Dans Events Enabled, activez cette option si vous souhaitez que Secure Mobile Gateway informe Citrix Endpoint Management lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles Secure Mobile Gateway dans l’une des actions automatisées d’Citrix Endpoint Management.
  10. Une fois que le serveur est configuré, cliquez sur Test Connectivity pour tester la connexion à Citrix Endpoint Management.
  11. Lorsque la connexion est établie, cliquez sur Save.

Déploiement de NetScaler Gateway Connector pour Exchange ActiveSync pour la redondance et la capacité à monter en charge

Pour étendre votre déploiement de NetScaler Gateway Connector pour Exchange ActiveSync et Citrix Endpoint Management, vous pouvez installer des instances du connecteur sur plusieurs serveurs Windows. Toutes les instances de connecteur pointent vers la même instance Citrix Endpoint Management. Vous pouvez ensuite utiliser NetScaler Gateway pour équilibrer la charge des serveurs.

Il existe deux modes de configuration du connecteur pour Exchange ActiveSync :

  • En mode non partagé, chaque instance du connecteur pour Exchange ActiveSync communique avec un serveur Citrix Endpoint Management et conserve sa propre copie privée de la stratégie résultante. Par exemple, pour un cluster de serveurs Citrix Endpoint Management, vous pouvez exécuter une instance de connecteur sur chaque serveur Citrix Endpoint Management. Le connecteur obtient ensuite des stratégies à partir de l’instance locale Citrix Endpoint Management.
  • En mode partagé, un connecteur pour le nœud Exchange ActiveSync est désigné comme le nœud principal. Le connecteur communique avec Citrix Endpoint Management. La configuration résultante est partagée entre les autres nœuds soit par un partage réseau Windows soit par une réplication Windows (ou tierce).

La totalité de la configuration du connecteur pour Exchange ActiveSync se trouve dans un dossier unique (composé de plusieurs fichiers XML). Le processus du connecteur détecte les modifications apportées à tout fichier dans ce dossier et recharge automatiquement la configuration. Il n’y a pas de basculement du nœud principal en mode partagé. Toutefois, le système peut tolérer le fait que le serveur principal soit arrêté pendant quelques minutes (par exemple, pour redémarrer). La dernière configuration correcte connue est mise en cache dans le processus du connecteur.

NetScaler Gateway Connector pour Exchange ActiveSync