Product Documentation

Règles de contrôle d'accès

Jul 25, 2016
XenMobile Mail Manager propose une approche basée sur des règles permettant de configurer dynamiquement le contrôle d'accès aux appareils Exchange ActiveSync. Une règle de contrôle d'accès à XenMobile Mail Manager se compose de deux parties : une expression correspondante et un état d'accès désiré (Autoriser ou Bloquer). Une règle doit être testée par rapport à un appareil ActiveSync Exchange donné pour déterminer si elle s'applique à l'appareil ou correspond à ce dernier. Il existe plusieurs types d'expressions correspondantes ; une règle peut, par exemple, correspondre à tous les appareils d'un type d'appareil donné ou à un ID d'appareil ActiveSync Exchange spécifique, ou encore à tous les appareils d'un utilisateur spécifique, etc.

À tout moment lors de l'ajout, la suppression et la réorganisation de règles dans la liste, si vous cliquez sur le bouton Cancel, l’état dans lequel se trouvait la liste lors de la première ouverture est rétabli. Si vous fermez l'outil de configuration sans cliquer sur Save, les modifications apportées sur cette fenêtre seront perdues.

XenMobile Mail Manager propose trois types de règles : les règles locales, les règles XDM, et la règle d'accès par défaut.

Local rules (Règles locales) : les règles locales ont la priorité la plus élevée : si un appareil est identifié par une règle locale, l'évaluation de la règle ne s'applique pas. Ni les règles XDM ni la règle d'accès par défaut ne seront consultées. Les règles locales se configurent localement sur XenMobile Mail Manager via l'onglet Configure/Access Rules/Local Rules. La prise en charge de correspondance se base sur l'appartenance des utilisateurs à un groupe Active Directory donné. La prise en charge de correspondance se base sur des expressions régulières pour les champs suivants :

  • Active Sync Device ID
  • ActiveSync Device Type
  • User Principal Name (UPN)
  • ActiveSync User Agent (généralement la plate-forme de l'appareil ou le client de messagerie)

Si un instantané principal a été effectué et qu'il a trouvé des appareils, vous pouvez ajouter une règle d'expressions normales ou régulières. Si aucun instantané principal n'a été effectué, vous pouvez uniquement ajouter des règles d'expressions régulières.

XDM rules (Règles XDM) : les règles XDM sont des références à un serveur XenMobile externe qui fournit des règles aux appareils gérés. Le serveur XenMobile peut être configuré avec ses propres règles de haut niveau qui identifient les appareils à autoriser ou à bloquer en fonction des propriétés connues par XenMobile, par exemple si l'appareil est jailbreaké ou s'il contient des applications interdites. XenMobile évalue les règles de haut niveau et génère un ensemble d'ID d'appareils ActiveSync autorisés ou bloqués, qui sont ensuite envoyés à XenMobile Mail Manager.

Default access rule (Règle d'accès par défaut) : la règle d'accès par défaut est unique car elle peut potentiellement s'appliquer à tous les appareils et elle est toujours évaluée en dernier. C'est la règle passe-partout, ce qui signifie que si un appareil donné ne correspond pas à une règle locale ou XDM, l'état d'accès souhaité de l'appareil est déterminé par l'état d'accès souhaité de la règle d'accès par défaut.

  • Default Access – Allow (Accès par défaut - Autoriser). Tout appareil ne correspondant pas à une règle locale ou XDM sera autorisé.
  • Default Access – Block (Accès par défaut - Bloquer). Tout appareil ne correspondant pas à une règle locale ou XDM sera bloqué.
  • Default Access - Unchanged (Accès par défaut - Inchangé). L'état d'accès de tout appareil non associé à une règle locale ou XDM ne pourra pas être modifié par XenMobile Mail Manager. Si un appareil a été placé en quarantaine par Exchange, aucune action n'est prise ; par exemple, la seule manière de retirer un appareil en quarantaine est de posséder une règle locale ou XDM qui outrepasse explicitement la quarantaine.

À propos des évaluations de règles

Pour chaque appareil pour lequel Exchange remet des rapports à XenMobile Mail Manager, les règles sont évaluées dans l'ordre, de la priorité la plus élevée à la plus faible, comme suit :

  • Règles locales
  • Règle d'accès par défaut
  • Règles XDM

Lorsqu'une correspondance est trouvée, l'évaluation s’arrête. Par exemple, si un appareil correspond à une règle locale, l'appareil ne sera pas évalué par rapport aux règles XDM ou à la règle d'accès par défaut. Cela reste aussi vrai pour un type de règle donné. Par exemple, s'il existe plus d'une correspondance pour un appareil donné dans la liste des règles locales, l'évaluation s’arrête dès la première correspondance.

XenMobile Mail Manager réévalue l'ensemble des règles déjà définies lorsque les propriétés d'un appareil sont modifiées, lorsque des appareils sont ajoutés ou supprimés ou lorsque les règles sont modifiées. Les instantanés principaux détectent la suppression d'appareils ainsi que les modifications apportées à leurs propriétés à intervalles configurables. Les instantanés secondaires détectent les nouveaux appareils à intervalles configurables.

Exchange ActiveSync possède aussi des règles régissant l'accès. Il est important de bien comprendre la façon dont ces règles fonctionnent dans l'environnement XenMobile Mail Manager. Exchange peut être configuré avec trois niveaux de règles : les exemptions personnelles, les règles d'appareil et les paramètres d'organisation. XenMobile Mail Manager automatise le contrôle d'accès en envoyant des requêtes PowerShell à distance via un programme pour modifier la liste des exemptions personnelles. Il s'agit de listes d'ID d'appareils Exchange ActiveSync autorisés ou bloqués associés à une boîte aux lettres donnée. Lorsqu'il est déployé, XenMobile Mail Manager prend en charge la gestion des listes d'exemptions dans Exchange. Pour plus d'informations, consultez cet article Microsoft.

L'analyse est particulièrement utile dans les situations dans lesquelles plusieurs règles ont été définies pour le même champ. Vous pouvez résoudre les relations entre les règles. Vous pouvez effectuer des analyses depuis la perspective des champs de règle ; par exemple, les règles sont analysées par groupes en fonction du champ remplissant la condition, tel que ActiveSync device ID, ActiveSync device type, User, User Agent, et ainsi de suite.

Terminologie relative aux règles :

  • Règle absolue. Une substitution se produit lorsque plusieurs règles s'appliquent à un même appareil. Étant donné que les règles sont évaluées par priorité dans la liste, la ou les dernières instances de règle devant s'appliquer peuvent ne jamais être évaluées.
  • Règle conflictuelle. Un conflit survient quand plusieurs règles s'appliquent à un même appareil et que l'accès (Autoriser/Bloquer) ne correspond pas. Si les règles conflictuelles ne sont pas des expressions régulières, un conflit se traduit toujours implicitement par une substitution.
  • Règle complémentaire. Un complément a lieu lorsque plusieurs règles sont des expressions régulières et par conséquent, il peut s'avérer nécessaire de vérifier que les deux expressions régulières (ou plus) peuvent être combinées en une seule expression ou qu'il n'y ait pas duplication de fonctionnalités. Une règle complémentaire peut également causer des problèmes de conflit d'accès (Autoriser/Bloquer).
  • Règle principale. La règle principale est la règle sur laquelle l'utilisateur a cliqué dans la boîte de dialogue. La règle est indiquée visuellement par une bordure. La règle aura également une ou deux flèches vertes pointant vers le haut ou vers le bas. Si une flèche pointe vers le haut, cela indique qu'il existe des règles secondaires qui précèdent la règle principale. Si une flèche pointe vers le bas, cela indique qu'il existe des règles secondaires qui s'appliquent après la règle principale. Seule une règle principale peut être active à tout moment.
  • Règle secondaire. Une règle secondaire est liée d'une certaine manière à la règle principale que ce soit via une relation de remplacement, de conflit ou supplémentaire. Les règles sont indiquées visuellement par une bordure en pointillés. Pour chaque règle principale, il peut y avoir une ou plusieurs règles secondaires. Lorsque vous cliquez sur une entrée soulignée, la ou les règles secondaires sélectionnées le sont toujours du point de vue de la règle principale. Par exemple, la règle secondaire sera remplacée par la règle principale et/ou la règle secondaire entrera en conflit avec la règle principale et/ou la règle secondaire complétera la règle principale.

Apparence des types de règles dans la boîte de dialogue d'analyse des règles

Lorsqu'il n'y a aucun conflit, remplacement, ou complément, il n'y a pas d'entrées soulignées dans la boite de dialogue Rule Analysis. Par exemple, cliquer sur des éléments n'a pas d'impact, les éléments normaux sélectionnés seront mis en évidence.



Lorsqu'une substitution se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Au moins une règle secondaire s'affichera dans une police plus claire pour indiquer que la règle a été remplacée par une règle de priorité plus élevée. Vous pouvez cliquer sur les règles remplacées pour déterminer la ou les règles qui ont remplacé la règle. Lorsqu'une règle remplacée a été soulignée que ce soit parce que la règle est une règle principale ou secondaire, un cercle noir apparaît à côté en guise d'indication visuelle signifiant que la règle est inactive. Par exemple, avant de cliquer sur la règle, la boîte de dialogue se présente comme suit :



Lorsque vous cliquez sur la règle prioritaire, la boîte de dialogue se présente comme suit :



Dans cet exemple, la règle d'expression régulière WorkMail.* est la règle principale (indiquée par une bordure pleine) et la règle normale workmailc633313818 est une règle secondaire (indiquée par une bordure en pointillés). Le point noir à côté de la règle secondaire est une indication visuelle qui signifie que la règle est inactive (ne sera jamais évaluée) en raison de la règle d'expression régulière prioritaire. Après avoir cliqué sur la règle remplacée, la boîte de dialogue se présente comme suit :



Dans l'exemple précédent, la règle d'expression régulière WorkMail.* est la règle secondaire (indiquée par une bordure en pointillés) et la règle normale workmailc633313818 est une règle principale (indiquée par une bordure pleine). Pour cet exemple simple, il n'y a pas grande différence. Pour un exemple plus compliqué, consultez l'exemple d'expression complexe plus en avant dans cette rubrique. Dans un scénario avec de nombreuses règles définies, cliquer sur la règle remplacée permet d'identifier rapidement par quelles règles elle a été remplacée.

Lorsqu'un conflit se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Les règles en conflit sont indiquées par un point rouge. Le cas de règles qui entrent seulement en conflit avec une autre règle est uniquement possible avec deux ou plusieurs règles d'expressions régulières définies. Dans tous les autres cas de conflit, il y aura non seulement un conflit, mais aussi un remplacement. Avant de cliquer sur des règles dans un exemple simple, la boîte de dialogue se présente comme suit :



En inspectant les deux règles d'expressions régulières, il est évident que la première règle autorise tous les appareils avec un ID d'appareil contenant « App » et que la deuxième règle refuse tous les appareils avec un ID d'appareil contenant « Appl ». En outre, même si la deuxième règle refuse tous les appareils avec un ID d'appareil contenant « Appl », aucun appareil correspondant à ces critères ne verra son accès refusé en raison de la priorité plus élevée de la règle l'y autorisant. Après avoir cliqué sur la première règle, la boîte de dialogue se présente comme suit :



Dans le cas précédent, la règle principale (règle d'expression régulière App.*) et la règle secondaire (règle d'expression régulière Appl.*) sont toutes deux affichées en jaune. Il s'agit simplement d'une indication visuelle vous alertant du fait que vous avez appliqué plus d'une règle d'expression régulière à un même champ de correspondance, ce qui peut entraîner un problème de redondance ou quelque chose de plus sérieux.

Dans un cas regroupant un conflit et un remplacement, la règle principale (règle d'expression régulière App.*) et la règle secondaire (règle d'expression régulière Appl.*) sont surlignées en jaune. Il s'agit simplement d'une indication visuelle vous alertant du fait que vous avez appliqué plus d'une règle d'expression régulière à un même champ de correspondance, ce qui peut entraîner un problème de redondance ou quelque chose de plus sérieux.



Il est facile de voir dans l'exemple précédent que la première règle (règle d'expression régulière SAMSUNG.*) ne remplace pas seulement la règle suivante (règle normale SAMSUNG-SM-G900A/101.40402), mais que l'accès des deux règles est différent (la règle principale indique Autoriser, la règle secondaire indique Bloquer). La deuxième règle (règle normale SAMSUNG-SM-G900A/101.40402) est affichée dans une police plus claire pour indiquer qu'elle a été remplacée et qu'elle n'est donc pas active.

Après avoir cliqué sur la règle d'expression régulière, la boîte de dialogue se présente comme suit :



La règle principale (règle d'expression régulière SAMSUNG.*) est suivie d'un point rouge indiquant qu'elle entre en conflit avec une ou plusieurs règles secondaires. La règle secondaire (règle normale SAMSUNG-SM-G900A/101.40402) est suivie d'un point rouge indiquant qu'elle entre en conflit avec la règle principale, ainsi que d'un point noir indiquant qu'elle a été remplacée et n'est donc pas active.

Au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Les règles qui se complètent uniquement entre elles n'impliquent que des règles d'expressions régulières. Lorsque des règles se complètent entre elles, elles sont surlignées en jaune. Avant de cliquer sur des règles dans un exemple simple, la boîte de dialogue se présente comme suit :



L'inspection visuelle révèle facilement que les deux règles sont des règles d'expressions régulières qui s'appliquent toutes les deux au champ ActiveSync device ID dans XenMobile Mail Manager. Après avoir cliqué sur la première règle, la boîte de dialogue se présente comme suit :



La règle principale (règle d'expression régulière WorxMail.*) est surlignée en jaune pour indiquer qu'il existe au moins une autre règle secondaire qui est une expression régulière. La règle secondaire (règle d'expression régulière SAMSUNG.*) est surlignée en jaune pour indiquer que celle-ci et la règle principale sont des règles d'expressions régulières qui s'appliquent à un même champ dans XenMobile Mail Manager ; dans ce cas, le champ ActiveSync device ID. Les expressions régulières peuvent ou non se chevaucher. C'est à vous de décider si vos expressions régulières sont correctement conçues.

Exemple d'expression complexe

De nombreux remplacements, conflits ou compléments sont susceptibles de se produire, c'est pourquoi il est impossible de fournir des exemples couvrant tous les scénarios envisageables. L'exemple suivant explique ce qu'il ne faut pas faire, et sert aussi à illustrer toute la portée de la présentation visuelle de l'analyse des règles. La plupart des éléments sont soulignés dans la figure ci-après. Plusieurs des éléments s'affichent dans une police plus claire, ce qui indique que la règle en question a été remplacée par une règle dont la priorité est plus élevée. Un certain nombre de règles d'expressions régulières sont incluses dans la liste, comme l'indique l'icône .



Comment analyser un remplacement

Pour afficher la ou les règles qui ont remplacé une règle particulière, cliquez sur cette dernière.

Exemple 1 : cet exemple explique pourquoi zentrain01@zenprise.com a été remplacée.



La règle principale (règle de groupe AD zenprise/TRAINING/ZenTraining B, dont zentrain01@zenprise.com est un membre) présente les caractéristiques suivantes :

  • Est surlignée en bleu et encadrée par une bordure pleine.
  • A une flèche verte pointant vers le haut (pour indiquer que la règle secondaire ou l'ensemble des règles se trouvent au-dessus).
  • Est suivie d'un cercle rouge et d'un cercle noir pour indiquer respectivement qu'une ou plusieurs règles secondaires sont en conflit et que la règle principale a été remplacée et n'est donc pas active.

Si vous faites défiler vers le haut, vous pouvez voir ce qui suit :



Dans ce cas, il existe deux règles secondaires qui remplacent la règle principale : la règle d'expression régulière zen.* et la règle normale zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). Dans le cas de la dernière règle secondaire, la règle de groupe Active Directory ZenTraining A contient l'utilisateur zentrain01@zenprise.com et la règle de groupe Active Directory ZenTraining B contient aussi l'utilisateur zentrain01@zenprise.com. Toutefois, étant donné que la règle secondaire a une priorité plus élevée que la règle principale, la règle principale a été remplacée. L'accès à la règle principale est Autoriser. Et comme l'accès des deux règles secondaires est Bloquer, toutes sont suivies d'un cercle rouge indiquant un conflit d'accès.

Exemple 2 : cet exemple illustre la raison pour laquelle l'appareil avec l'ID d'appareil ActiveSync 069026593E0C4AEAB8DE7DD589ACED33 a été remplacé :



La règle principale (règle d'ID d'appareil normale 069026593E0C4AEAB8DE7DD589ACED33) présente les caractéristiques suivantes :

  • Est surlignée en bleu et encadrée par une bordure pleine.
  • A une flèche verte pointant vers le haut (pour indiquer que la règle secondaire doit se trouver au-dessus).
  • Est suivie par un cercle noir indiquant qu'une règle secondaire a remplacé la règle principale et que la règle est par conséquent inactive.



Dans ce cas, une seule règle secondaire remplace la règle principale : la règle d'expression régulière d'ID d'appareil ActiveSync 3E.* Comme l'expression régulière 3E.* correspond à 069026593E0C4AEAB8DE7DD589ACED33, la règle ne sera jamais évaluée.

Comment analyser un supplément et un conflit

Dans ce cas, la règle principale est la règle d'expression régulière ActiveSync Device Type touch.* Les caractéristiques sont les suivantes :

  • Est signalée par une bordure pleine et surlignée en jaune indiquant qu'il y a plus d'une seule règle d'expression régulière appelant le même champ de règle, dans ce cas, ActiveSync device type.
  • Deux flèches pointant vers le haut et vers le bas, ce qui indique qu'il existe au moins une règle secondaire avec une priorité plus élevée et au moins une règle secondaire avec une priorité inférieure.
  • Le cercle rouge à côté indique qu’au moins une règle secondaire a son accès défini sur Autoriser ce qui entre en conflit avec l'accès de la règle principale qui est défini sur Bloquer.
  • Il existe deux règles secondaires : la règle d'expression régulière ActiveSync Device Type SAM.*et la règle d'expression régulière ActiveSync Device Type Andro.*
  • Les deux règles secondaires sont encadrées par des pointillés pour indiquer qu'elles sont secondaires.
  • Les règles secondaires sont surlignées en jaune pour indiquer qu'elles s'appliquent en complément du champ de la règle ActiveSync Device Type.
  • Vous devez vous assurer dans de tels scénarios que leurs règles d'expressions régulières ne sont pas redondantes.



Comment améliorer l'analyse des règles

Cet exemple explique pourquoi les relations entre les règles sont toujours abordées du point de vue de la règle principale. L'exemple précédent a montré comment un clic sur la règle d'expression régulière s'appliquait au champ de règle Device Type avec la valeur touch.* En cliquant sur la règle secondaire Andro.* vous mettrez en avant un autre ensemble de règles secondaires.



Cet exemple présente une règle remplacée qui est inclue dans la relation de règle. Cette règle est la règle Android ActiveSync Device Type normale, qui est remplacée (indiquée par une police plus claire et un cercle noir à côté) et qui entre également en conflit avec la règle d'expression régulière principale ActiveSync Device Type Andro.* ; avant d'avoir été cliquée, cette règle était une règle secondaire. Dans l'exemple précédent, la règle Android ActiveSync Device Type normale n'était pas affichée en tant que règle secondaire, car du point de vue de la règle principale (règle d'expression régulière ActiveSync Device Type touch.*), elle n'était pas liée.

Pour configurer une règle locale d'expression normale

  1. Cliquez sur l'onglet Access Rules.

  2. Dans la listeDevice ID, sélectionnez le champ pour lequel vous souhaitez créer une règle locale.
  3. Cliquez sur l'icône de la loupe pour afficher tous les résultats uniques pour le champ sélectionné. Dans cet exemple, le champ Device Type a été choisi et les choix sont affichés ci-dessous dans la zone de liste.

  4. Cliquez sur un des éléments dans la liste des résultats et cliquez sur l'une des options suivantes :
    • Allow signifie qu’Exchange sera configuré pour permettre le trafic ActiveSync pour tous les appareils correspondant.
    • Deny signifie que Exchange sera configuré de manière à refuser le trafic ActiveSync de tous les appareils correspondant.

    Dans cet exemple, les appareils dont le type est TouchDown se voient refuser l’accès.



Pour ajouter une expression régulière

Les règles locales d'expressions régulières peuvent être différenciées par l'icône qui s'affiche à leur côté - . Pour ajouter une règle d'expression régulière, vous pouvez créer une règle d'expression régulière à partir d'une valeur existante dans la liste des résultats pour un champ donné (si un instantané principal a été effectué), ou vous pouvez simplement saisir l'expression régulière que vous souhaitez.

Pour créer une expression régulière à partir d'une valeur de champ existant

  1. Cliquez sur l'onglet Access Rules.

  2. Dans la listeDevice ID, sélectionnez le champ pour lequel vous souhaitez créer une règle d'expression régulière locale.
  3. Cliquez sur l'icône de la loupe pour afficher tous les résultats uniques pour le champ sélectionné. Dans cet exemple, le champ Device Type a été choisi et les choix sont affichés ci-dessous dans la zone de liste.

  4. Cliquez sur un des éléments dans la liste des résultats. Dans cet exemple, SAMSUNGSPHL720 a été sélectionné et s'affiche dans la zone de texte adjacente à Device Type.

  5. Pour autoriser tous les types d'appareils qui ont « Samsung » dans leur valeur Device Type, ajoutez une règle d'expression régulière en suivant les étapes suivantes :
    1. Cliquez dans la zone de texte de l'élément sélectionné.
    2. Modifiez le texte SAMSUNGSPHL720 par SAMSUNG.*
    3. Vérifiez que la case regular expression est cochée.
    4. Cliquez sur Allow.


Pour créer une règle d'accès

  1. Cliquez sur l'onglet Local Rules.
  2. Pour entrer l'expression régulière, vous devez utiliser la liste Device ID et la zone de texte de l'élément sélectionné.

  3. Sélectionnez le champ que vous voulez mettre en correspondance. Cet exemple utilise Device Type.
  4. Entrez l'expression régulière. Cet exemple utilisesamsung.*
  5. Assurez-vous que la case regular expression est cochée et cliquez sur Allow ou Deny. Dans cet exemple, le choix est Allow si bien que le résultat final est le suivant :

Pour rechercher des appareils

En cochant la case « regular expression », vous pouvez rechercher des appareils correspondant à l'expression donnée. Cette fonction est uniquement disponible si un instantané principal a été effectué. Vous pouvez utiliser cette fonction, même si vous ne prévoyez pas d'utiliser des règles d'expressions régulières. Imaginons que vous souhaitiez rechercher tous les appareils contenant « workmail » dans l'ID d'appareil ActiveSync. Pour ce faire, suivez cette procédure.

  1. Cliquez sur l'onglet Access Rules.
  2. Assurez-vous que le sélecteur de champ d'appareil est défini sur Device ID (valeur par défaut).

  3. Cliquez sur la zone de texte de l'élément sélectionné (comme illustré en bleu dans la figure précédente) puis tapezworkmail.*.
  4. Vérifiez que la case regular expression est cochée et cliquez sur l'icône de la loupe pour afficher les correspondances comme illustré dans la figure suivante.

Pour ajouter un seul utilisateur, appareil ou type d'appareil à une règle statique

Vous pouvez ajouter des règles statiques basées sur l'utilisateur, l'ID d'appareil ou le type d'appareil sur l'onglet ActiveSync Devices.
  1. Cliquez sur l'onglet ActiveSync Devices.
  2. Dans la liste, cliquez avec le bouton droit sur un utilisateur, un appareil ou un type d'appareil et choisissez si vous souhaitez autoriser ou refuser votre sélection.

    L'image suivante montre l'option Allow/Deny lorsque user1 est sélectionné.


    Ajouter un utilisateur à une règle statique.