Connecteur Endpoint Management pour Exchange ActiveSync

XenMobile Mail Manager est désormais un connecteur Endpoint Management pour Exchange ActiveSync. Pour plus de détails sur le portefeuille unifié Citrix, consultez le guide des produits Citrix.

Le connecteur étend les capacités de XenMobile® des manières suivantes :

• Contrôle d’accès dynamique pour les appareils Exchange ActiveSync (EAS). L’accès aux services Exchange peut être automatiquement autorisé ou bloqué pour les appareils EAS.
• La capacité de XenMobile à accéder aux informations de partenariat d’appareils EAS fournies par Exchange.
• La capacité de XenMobile à effacer un appareil mobile en fonction de l’état EAS.
• La capacité de XenMobile à accéder aux informations sur les appareils Blackberry et à effectuer des opérations de contrôle telles que Effacer et Réinitialiser le mot de passe.

Pour effacer un appareil en fonction de l’état EAS, configurez une action automatisée avec un déclencheur ActiveSync. Consultez Actions automatisées.

Pour télécharger le connecteur Endpoint Management pour Exchange ActiveSync :

1. Accédez à https://www.citrix.com/downloads.
2. Accédez à Citrix Endpoint Management™ (et Citrix XenMobile Server) > XenMobile Server (sur site) > Logiciel produit > XenMobile Server 10 > Composants du serveur.
3. Sur la vignette Connecteur Citrix Endpoint Management pour Exchange ActiveSync, cliquez sur Télécharger le fichier.

Important :

À compter d’octobre 2022, les connecteurs Endpoint Management et Citrix Gateway pour Exchange ActiveSync ne prendront plus en charge Exchange Online, compte tenu des modifications d’authentification annoncées par Microsoft ici. Le connecteur Endpoint Management pour Exchange continue de fonctionner avec Microsoft Exchange Server (sur site).

Nouveautés

Les sections suivantes répertorient les nouveautés du connecteur Endpoint Management pour Exchange ActiveSync, anciennement XenMobile Mail Manager.

Nouveautés de la version 10.1.10

Les problèmes suivants sont résolus dans la version 10.1.10 :

• Les clients qui rencontrent des problèmes réseau fréquents pourraient ne pas être en mesure de terminer un instantané dans les trois tentatives précédemment allouées. Avec cette version, un administrateur peut configurer le nombre maximal de tentatives (1-10). Ce correctif permet à un instantané de subir plusieurs interruptions de communication sans abandonner complètement le processus d’instantané. [CXM-70837]
• Dans les versions précédentes, le type d’instantané n’apparaissait pas dans la liste des configurations Exchange. Désormais, le type d’instantané apparaît. [CXM-70846]
• L’exception PSRemotingTransport signalée par PowerShell indique que la session vers Exchange n’est plus viable. Le statut est ajouté par défaut à la liste des erreurs critiques dans le fichier de configuration. Ce faisant, lorsque l’exception PSRemotingTransportException est détectée, la connexion est marquée comme étant en erreur pour être supprimée ultérieurement. La communication suivante utilise une connexion valide ou crée une connexion. [XMHELP-2184, CXM-70836]
• Lors de l’enregistrement d’une modification de configuration, il est possible que tous les composants internes précédemment configurés n’aient pas été correctement supprimés avant le chargement de la nouvelle configuration. Ce problème peut entraîner un comportement imprévisible. Le comportement dépend de la modification spécifique et si la modification était en conflit avec la configuration précédente. Dans cette version, tous les composants internes sont supprimés avant le chargement de la nouvelle configuration. [XMHELP-2259, CXM-71388]

Nouveautés des versions antérieures

La section suivante répertorie les fonctionnalités et les problèmes résolus dans les versions antérieures du connecteur Endpoint Management pour Exchange ActiveSync.

Nouveautés de la version 10.1.9

Les problèmes suivants sont résolus dans la version 10.1.9 :

• Les modifications de configuration sont désormais gérées de manière plus cohérente. Lorsque le service détecte une modification de configuration, chaque sous-système interne est arrêté, ce qui signifie que tout traitement actif ou planifié est interrompu. Ensuite, la nouvelle configuration est chargée et les sous-systèmes sont redémarrés, ce qui signifie que tous les plannings et autres infrastructures internes sont rétablis avec les nouveaux paramètres. Ce problème corrige un problème connu dans la version 10.1.8. [CXM-47709, CXM-61330]
• Lors d’une mise à niveau, la configuration de base de données existante n’était pas fusionnée dans le nouveau fichier de configuration. La configuration de base de données est désormais fusionnée dans le fichier de configuration mis à niveau. [CXM-49326]
• Dans les fichiers de diagnostic liés aux instantanés, les en-têtes de colonne étaient manquants. Les en-têtes sont restaurés. [CXM-62680]
• Lors de la mise à niveau à partir d’une version précédente, la section des valeurs par défaut du fichier de configuration était écrasée par la section analogue du fichier de configuration en cours d’utilisation. Ce problème empêchait l’ajout ou l’amélioration de la section des valeurs par défaut d’être chargée par le service après la mise à niveau. À partir de cette version, la section des valeurs par défaut reflète toujours la dernière configuration. [CXM-62681]

• Les administrateurs ne peuvent plus accéder à certaines options en appuyant sur Maj lors de l’exécution de l’application. Ces options étaient auparavant disponibles avec l’autorisation Citrix. Certaines options sont désormais entièrement disponibles, telles que Autoriser la redirection, et d’autres, telles que Détection de blocage et Correction du nombre, sont obsolètes. [CXM-62767]

  

Nouveautés de la version 10.1.8

Les problèmes suivants sont résolus dans la version 10.1.8 :

• Il est possible qu’Exchange ralentisse le connecteur Citrix Endpoint Management pour le service Exchange ActiveSync en raison d’une émission trop fréquente de commandes. Ceci est courant dans les connexions à Office 365. L’effet de la limitation nécessite que le service fasse une pause pendant une période spécifiée avant d’envoyer la commande suivante. La console de configuration affiche désormais le temps restant dans la pause. [CXM-48044]
• Lorsque des modifications sont apportées aux sections « Watchdog » ou « SpecialistsDefaults » du fichier de configuration (config.xml), les modifications ne sont pas reflétées dans le fichier de configuration après une mise à niveau. Avec cette version, les modifications sont correctement fusionnées dans le nouveau fichier de configuration. [CXM-52523]
• Plus de détails ont été ajoutés aux analyses envoyées à Google Analytics, en particulier concernant les instantanés. [CXM-56691]
• La fonctionnalité de test de connectivité Exchange tentait d’initialiser la connexion une seule fois. Étant donné que les connexions Office 365 peuvent être limitées, il était possible qu’un test de connectivité semble échouer en cas de limitation. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync tente désormais d’établir une connexion jusqu’à trois fois. [CXM-58180]
• Pour appliquer des stratégies sur Exchange, le connecteur Citrix Endpoint Management pour Exchange ActiveSync doit compiler une commande Set-CASMailbox qui inclut tous les appareils pertinents pour chaque boîte aux lettres, dans deux listes : autoriser et bloquer. Si un appareil n’est inclus dans aucune des listes, Exchange revient à son état d’accès par défaut. Si cet état d’accès par défaut est différent de l’état souhaité pour un appareil, cet appareil devient non conforme. Par conséquent, un utilisateur pourrait perdre l’accès à son e-mail si l’état d’accès par défaut d’Exchange est bloqué et qu’il devrait être autorisé. Ou, un utilisateur dont l’accès à l’e-mail devrait être bloqué pourrait se voir accorder l’accès. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync garantit désormais que tous les appareils avec un état souhaité valide sont inclus dans chaque commande Set-CasMailbox. [CXM-61251]

Le problème suivant est connu dans la version 10.1.8 :

• Si un administrateur apporte une modification dans l’application de configuration qui modifie les données de configuration, pendant que le service effectue des opérations de longue durée, telles qu’un instantané ou une évaluation de stratégie, le service peut entrer dans un état indéterminé. Un symptôme possible pourrait être que les modifications de stratégie ne sont pas traitées, ou que les instantanés ne sont pas initiés. Pour ramener le service à un état de fonctionnement, le service doit être redémarré. Vous devrez peut-être utiliser le gestionnaire de services Windows pour arrêter le processus de service avant de démarrer le service. [CXM-61330]

Nouveautés de la version 10.1.7

• XenMobile Mail Manager est désormais un connecteur Endpoint Management pour Exchange ActiveSync.
• Nous avons déprécié l’option Désactiver le pipeline dans la boîte de dialogue de configuration d’Exchange. Vous pouvez obtenir la même fonctionnalité en configurant plusieurs étapes pour chaque commande dans le fichier config.xml. [CXM-54593]

Les problèmes suivants sont résolus dans la version 10.1.7 :

• Dans la fenêtre Historique des instantanés, les messages d’erreur peuvent être affichés avec peu de contexte. Désormais, les messages d’erreur sont précédés du contexte de leur apparition. [CXM-49157]
• Le fichier XmmGoogleAnalytics .dll n’avait pas la version de fichier correspondante pour la version. [CXM-52518]
• Pour améliorer les diagnostics, nous avons récemment modifié le format de chaîne pour une liste d’ID d’appareil utilisée pour définir un état Autorisé/Bloqué de boîte aux lettres. Une spécification de trop nombreux appareils, cependant, dépassait la taille maximale de la chaîne. Désormais, nous utilisons une structure de données de tableau interne. Cette structure n’a pas de limite de taille et formate également les données de manière appropriée à des fins de diagnostic. [CXM-52610]
• Lorsque des stratégies d’appareil qui ne sont pas synchronisées avec Exchange sont détectées, leurs commandes peuvent inclure des appareils qui n’appartiennent pas à la boîte aux lettres pertinente. Le connecteur Endpoint Management pour Exchange ActiveSync garantit désormais que les commandes vers Exchange ne représentent que les appareils qui appartiennent à leurs boîtes aux lettres respectives. [CXM-54842]
• Dans certains environnements, un assembly Microsoft n’est pas disponible. L’assembly requis est désormais explicitement installé avec l’application. [CXM-55439]
• Si les noms distinctifs des appareils ou des boîtes aux lettres comportent des espaces entre le nom de l’attribut et le signe égal, et/ou des espaces après le signe égal et avant la valeur, le connecteur Endpoint Management pour Exchange ActiveSync pourrait ne pas faire correspondre correctement un appareil avec sa boîte aux lettres et inversement. Le résultat pourrait être que certains appareils et/ou boîtes aux lettres sont rejetés lors de la réconciliation des instantanés. [CXM-56088]

Remarque :

Les sections suivantes font référence au connecteur Endpoint Management pour Exchange ActiveSync sous son ancien nom de XenMobile Mail Manager. Le nom a changé à partir de la version 10.1.7.

Mise à jour de la version 10.1.6.20

Une mise à jour de la version 10.1.6 contient le correctif suivant dans la version 10.1.6.20 :

• Lorsque des stratégies d’appareil qui ne sont pas synchronisées avec Exchange sont détectées, leurs commandes peuvent inclure des appareils qui n’appartiennent pas à la boîte aux lettres pertinente. XenMobile Mail Manager garantit désormais que les commandes vers Exchange ne représentent que les appareils qui appartiennent à leurs boîtes aux lettres respectives. [CXM-54842]

Nouveautés de la version 10.1.6

La version 10.1.6 de XenMobile Mail Manager contient les problèmes résolus et les améliorations suivants :

• La fenêtre d’historique des instantanés entre parfois dans un état où elle ne se met plus à jour. Le mécanisme d’actualisation des fenêtres est amélioré pour une mise à jour plus fiable. [CXM-47983]
• Deux modes et chemins de code distincts étaient utilisés pour les instantanés partitionnés et non partitionnés. Étant donné que les instantanés non partitionnés sont équivalents aux instantanés partitionnés avec une configuration utilisant une seule partition « * », le mode d’instantané non partitionné est éliminé. Le mode d’instantané par défaut est désormais les instantanés partitionnés avec 36 partitions (0-9, A-Z). [CXM-49093]
• Dans la fenêtre Historique des instantanés, les messages d’erreur sont écrasés par les messages d’état. Désormais, XenMobile Mail Manager fournit deux champs distincts afin que les utilisateurs puissent afficher l’état et les erreurs simultanément. [CXM-51942]
• Lors de la connexion à Exchange Online (Office 365), les requêtes liées aux instantanés peuvent entraîner un jeu de données tronqué. Ce problème peut survenir lorsque XenMobile Mail Manager exécute un script multi-commandes en pipeline. La commande en amont ne peut pas transmettre les données assez rapidement à la commande en aval, qui termine alors le travail prématurément. Des données incomplètes en résultent. XenMobile Mail Manager peut désormais imiter le pipeline lui-même et attendre que la commande en amont soit terminée avant d’invoquer la commande en aval. Ce changement devrait entraîner le traitement et la capture de toutes les données. [CXM-52280]
• Si une erreur non résoluble se produit dans une commande de mise à jour de stratégie vers Exchange, la même commande est renvoyée à la file d’attente de travail à plusieurs reprises pendant une longue période. Cette situation a entraîné l’envoi de la commande à Exchange de nombreuses fois. Dans cette version de XenMobile Mail Manager, une commande qui entraîne une erreur n’est renvoyée à la file d’attente de travail qu’un nombre discret de fois. [CXM-52633]
• Si une mise à jour de stratégie pour une boîte aux lettres spécifique impliquait l’autorisation ou le blocage de tous les appareils : la commande Set-CASMailbox émise échouerait en raison de la conversion de la liste vide en une chaîne vide au lieu de NULL. Les données appropriées sont désormais envoyées. [CXM-53759]
• Lors du traitement d’un nouvel appareil, Exchange peut renvoyer l’état « DeviceDiscovery » pendant un certain temps (généralement 15 minutes). XenMobile Mail Manager ne gérait pas spécifiquement cet état. XenMobile Mail Manager gère désormais cet état. Dans l’onglet Moniteur de l’interface utilisateur, les utilisateurs peuvent filtrer les appareils dans cet état. [CXM-53840]
• XenMobile Mail Manager ne vérifiait pas la capacité d’écrire dans la base de données XenMobile Mail Manager. Par conséquent, si les autorisations étaient restreintes, le comportement ne pouvait pas être prédit. XenMobile Mail Manager capture et valide désormais les autorisations requises de la base de données. XenMobile Mail Manager indique des autorisations réduites lors du test de la connexion (message affiché) ou dans l’indicateur de base de données (survoler pour le message) en bas de la fenêtre de configuration principale. [CXM-54219]
• Selon la charge de travail actuelle, lorsqu’il est demandé, le service XenMobile Mail Manager pourrait ne pas s’arrêter rapidement. Par conséquent, le service semble être dans un état non réactif. Des améliorations permettent d’interrompre les tâches en cours, ce qui entraîne un arrêt plus gracieux. [CXM-54282]

Nouveautés de la version 10.1.5

La version 10.1.5 de XenMobile Mail Manager contient les problèmes résolus suivants :

• Lorsque Exchange applique une limitation à l’activité de XenMobile Mail Manager, il n’y a aucune indication (en dehors des journaux) que la limitation est en cours. Avec cette version, un utilisateur peut survoler l’instantané actif et un état de « limitation » apparaît. De plus, pendant que XenMobile Mail Manager est limité, le démarrage d’un instantané majeur est interdit jusqu’à ce qu’Exchange lève l’embargo de limitation. [CXM-49617]
• Si XenMobile Mail Manager est limité par Exchange pendant un instantané majeur : il est possible qu’un temps insuffisant soit autorisé à s’écouler avant d’exécuter la tentative suivante d’un instantané. Ce problème entraîne une limitation supplémentaire et un échec de l’instantané. XenMobile Mail Manager attend désormais un minimum du temps spécifié par Exchange entre les tentatives d’instantané. [CXM-49618]
• Lorsque les diagnostics sont activés, le fichier de commandes affiche des commandes Set-CasMailbox qui comportent des tirets manquants avant chaque nom de propriété. Ce problème ne se produit que dans le formatage du fichier de diagnostics et non dans la commande réelle vers Exchange. Le tiret manquant empêche un utilisateur de couper la commande et de la coller directement dans une invite PowerShell pour des tests ou une validation. Les tirets ont été ajoutés. [CXM-52520]
• Si une identité de boîte aux lettres est de la forme « nom de famille, prénom », Exchange ajoute une barre oblique inverse avant la virgule lors du renvoi de données d’une requête. Cette barre oblique inverse doit être supprimée lorsque XenMobile Mail Manager utilise l’identité pour interroger plus de données. [CXM-52635]

Limitations connues

Remarque : La limitation suivante est résolue dans la version 10.1.6.

XenMobile Mail Manager présente une limitation connue qui peut entraîner l’échec des commandes vers Exchange. Pour appliquer les modifications de stratégie à Exchange, une commande Set_CASMailbox est émise par XenMobile Mail Manager. Cette commande peut prendre deux listes d’appareils : une pour l’autorisation et une pour le blocage. La commande est appliquée aux appareils associés à une boîte aux lettres.

Ces listes sont limitées à 256 caractères chacune par l’API Microsoft. Si l’une de ces listes dépasse la limitation, la commande échoue dans son intégralité, empêchant l’application de toutes les stratégies pour les appareils de cette boîte aux lettres. L’erreur signalée, qui apparaîtra dans les journaux de XenMobile Mail Manager, ressemblerait à ce qui suit. L’exemple concerne la liste bloquée.

« Message : « Impossible de lier le paramètre « ActiveSyncBlockedDeviceIDs » à la cible. Exception lors de la définition de « ActiveSyncBlockedDeviceIDs » : « La longueur de la propriété est trop longue. La longueur maximale est de 256 et la longueur de la valeur fournie est… » »

La longueur des ID d’appareil peut varier, mais une bonne règle générale est qu’environ 10 appareils ou plus autorisés ou bloqués simultanément pourraient dépasser la limite. Bien qu’il soit rare d’avoir autant d’appareils associés à une boîte aux lettres spécifique, c’est une possibilité. Jusqu’à ce que XenMobile Mail Manager soit amélioré pour gérer un tel scénario, nous vous recommandons de limiter le nombre d’appareils associés à un utilisateur et à une boîte aux lettres à 10 ou moins. [CXM-52633]

Nouveautés de la version 10.1.4

La version 10.1.4 de XenMobile Mail Manager contient les problèmes résolus suivants :

• En raison de l’affaiblissement de sa sécurité, TLS 1.0 est déprécié par le Conseil PCI. La prise en charge de TLS 1.1 et 1.2 est ajoutée à XenMobile Mail Manager. [CXM-38573, CXM-32560]
• XenMobile Mail Manager inclut un nouveau fichier de diagnostic. Lorsque l’option Activer les diagnostics est sélectionnée dans la spécification Exchange, un nouveau fichier d’historique des instantanés est généré. À chaque tentative d’instantané, une ligne est ajoutée au fichier avec les résultats de l’instantané. [CXM-49631]
• Dans le fichier de diagnostic des commandes, la liste des appareils autorisés ou bloqués n’apparaissait pas pour la commande Set-CASMailbox. Au lieu de cela, le nom de la classe interne était affiché dans le fichier pour les arguments associés. XenMobile Mail Manager affiche désormais la liste des ID d’appareil sous forme de liste délimitée par des virgules. [CXM-50693]
• Lorsqu’une tentative d’acquisition d’une connexion à Exchange échoue en raison d’une mauvaise spécification : le message d’erreur est remplacé par un message incorrect : « Toutes les connexions sont utilisées ». Des messages plus descriptifs apparaissent désormais, tels que « Toutes les connexions sont inopérantes », « Le pool de connexions est vide », « Toutes les connexions sont limitées » et « Aucune connexion disponible ». [CXM-50783]
• Parfois, les commandes Autoriser/Bloquer/Effacer sont mises en file d’attente plusieurs fois dans le cache interne de XenMobile Mail Manager. Ce problème entraîne un délai dans l’envoi de la commande à Exchange. XenMobile Mail Manager ne met désormais en file d’attente qu’une seule instance de chaque commande. [CXM-51524]

Nouveautés de la version 10.1.3

• Prise en charge de Google Analytics : Nous voulons savoir comment vous utilisez XenMobile Mail Manager afin de pouvoir nous concentrer sur les améliorations à apporter au produit.
• Paramètre d’activation des diagnostics : Une case à cocher Activer les diagnostics apparaît dans la console de configuration, dans la boîte de dialogue Configuration.

Problèmes résolus dans la version 10.1.3

• Dans la fenêtre Historique des instantanés, les info-bulles qui affichent l’état actuel de l’instantané ne reflètent pas l’état réel. [CXM-5570] Occasionnellement, XenMobile Mail Manager ne peut pas écrire dans le fichier de diagnostic des commandes. Lorsque cela se produit, l’historique des commandes n’est pas enregistré dans son intégralité. [CXM-49217]
• Lorsqu’une erreur se produit avec une connexion, celle-ci peut ne pas être marquée comme « en erreur ». Par conséquent, une commande ultérieure pourrait tenter d’utiliser la connexion et provoquer une autre erreur. [CXM-49495]
• Lorsque la limitation du serveur Exchange se produit, une exception peut être levée dans la routine de vérification de l’état. Par conséquent, les connexions qui ont rencontré une erreur ou qui ont expiré peuvent ne pas être purgées. De plus, XenMobile Mail Manager peut ne pas créer de connexions tant que le temps de limitation n’a pas expiré. [CXM-49794]
• Lorsque le nombre maximal de sessions pour Exchange est dépassé, XenMobile Mail Manager signale l’erreur « Échec de la capture de l’appareil », ce qui n’est pas un message précis. Au lieu de cela, le message devrait indiquer que les deux sessions que XenMobile Mail Manager utilise normalement pour la communication Exchange sont utilisées. [CXM-49994]

Nouveautés de la version 10.1.2

• Connexion améliorée à Exchange : XenMobile Mail Manager utilise des sessions PowerShell pour communiquer avec Exchange. Une session PowerShell, en particulier lorsqu’il s’agit d’Office 365, peut devenir instable après un certain temps, empêchant les commandes ultérieures de réussir. XenMobile Mail Manager peut désormais définir une période d’expiration pour les connexions. Lorsque la connexion atteint son délai d’expiration, XenMobile Mail Manager ferme gracieusement la session PowerShell et crée une session. Ce faisant, la session PowerShell est moins susceptible de devenir instable, ce qui réduit considérablement les risques d’échec d’un instantané.
• Flux de travail d’instantané amélioré : Les instantanés majeurs sont une opération longue et gourmande en processus. Si une erreur se produit lors d’un instantané, XenMobile Mail Manager tente désormais plusieurs fois (jusqu’à trois) de terminer un instantané. Les tentatives ultérieures ne commencent pas depuis le début. XenMobile Mail Manager continue là où il s’était arrêté. Cette amélioration augmente le taux de réussite des instantanés en général en permettant aux erreurs transitoires de passer pendant qu’un instantané est toujours en cours.
• Diagnostics améliorés : Le dépannage des opérations d’instantané est désormais plus facile grâce à trois nouveaux fichiers de diagnostic générés en option lors d’un instantané. Ces fichiers aident à identifier les problèmes de commande PowerShell, les boîtes aux lettres avec des informations manquantes et les appareils qui ne peuvent pas être liés à une boîte aux lettres. Un administrateur peut utiliser ces fichiers pour identifier les données qui pourraient ne pas être correctes dans Exchange.
• Utilisation améliorée de la mémoire : XenMobile Mail Manager est désormais plus efficace dans son utilisation de la mémoire. Les administrateurs peuvent planifier le redémarrage automatique de XenMobile Mail Manager pour offrir un système propre.
• Prérequis Microsoft .NET Framework 4.6 : Le prérequis pour Microsoft .NET Framework est désormais la version 4.6.

Problèmes résolus

• Erreur d’invite d’informations d’identification : L’instabilité de la session Office 365 était souvent à l’origine de cette erreur. L’amélioration de la connexion à Exchange résout le problème. (XMHELP-293, XMHELP-311, XMHELP-801)
• Inexactitudes du nombre de boîtes aux lettres et d’appareils : XenMobile Mail Manager dispose d’un algorithme d’association boîte aux lettres-appareil amélioré. La fonction de diagnostics améliorés aide à identifier les boîtes aux lettres et les appareils que XenMobile Mail Manager considère comme ne relevant pas de sa responsabilité. (XMHELP-623)
• Commandes Autoriser/Bloquer/Effacer non reconnues : Un bogue a été corrigé, où parfois, les commandes d’autorisation/blocage/effacement de XenMobile Mail Manager n’étaient pas reconnues. (XMHELP-489)
• Gestion de la mémoire : Meilleure gestion et atténuation de la mémoire. (XMHELP-419)

Architecture

La figure suivante présente les principaux composants du connecteur Endpoint Management pour Exchange ActiveSync. Pour un diagramme d’architecture de référence détaillé, consultez Architecture.

Les trois composants principaux sont :

• Gestion du contrôle d’accès Exchange ActiveSync : Communique avec XenMobile pour récupérer une stratégie Exchange ActiveSync de XenMobile, et fusionne cette stratégie avec toute stratégie définie localement pour déterminer les appareils Exchange ActiveSync qui doivent être autorisés ou refusés à accéder à Exchange. La stratégie locale permet d’étendre les règles de stratégie pour autoriser le contrôle d’accès par groupe Active Directory, utilisateur, type d’appareil ou agent utilisateur d’appareil (généralement la version de la plateforme mobile).
• Gestion PowerShell à distance : Responsable de la planification et de l’invocation des commandes PowerShell à distance pour appliquer la stratégie compilée par la gestion du contrôle d’accès Exchange ActiveSync. Prend périodiquement un instantané de la base de données Exchange ActiveSync pour détecter les appareils Exchange ActiveSync nouveaux ou modifiés.
• Fournisseur de services mobiles : Fournit une interface de service Web afin que XenMobile puisse interroger Exchange ActiveSync, interroger les appareils Blackberry et émettre des opérations de contrôle telles que l’effacement contre les appareils ActiveSync et Blackberry.

Configuration système requise et prérequis

La configuration système minimale requise pour utiliser le connecteur Endpoint Management pour Exchange ActiveSync est la suivante :

• Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Doit être un serveur basé sur l’anglais. La prise en charge de Windows Server 2008 R2 Service Pack 1 prend fin le 14 janvier 2020 et la prise en charge de Windows Server 2012 R2 prend fin le 10 octobre 2023.
• Microsoft SQL Server 2016 Service Pack 2 ou SQL Server 2014 Service Pack 3.
• Microsoft .NET Framework 4.6.
• Blackberry Enterprise Service, version 5 (facultatif).

Versions minimales prises en charge de Microsoft Exchange Server :

• Microsoft Office 365
• Exchange Server 2016
• Exchange Server 2013 (la prise en charge prend fin le 11 avril 2023)
• Exchange Server 2010 Service Pack 3 (la prise en charge prend fin le 14 janvier 2020)

Prérequis

• Windows Management Framework doit être installé.
  • PowerShell V5, V4 et V3
• La politique d’exécution PowerShell doit être définie sur RemoteSigned via Set-ExecutionPolicy RemoteSigned.

• Le port TCP 80 doit être ouvert entre l’ordinateur exécutant le connecteur Endpoint Management pour Exchange ActiveSync et le serveur Exchange distant.

• Clients de messagerie d’appareil : Tous les clients de messagerie ne renvoient pas systématiquement le même ID ActiveSync pour un appareil. Étant donné que le connecteur Endpoint Management pour Exchange ActiveSync s’attend à un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent systématiquement les mêmes ID ActiveSync uniques pour chaque appareil sont pris en charge. Ces clients de messagerie ont été testés par Citrix et fonctionnent sans erreur :

  • Client de messagerie natif Samsung
  • Client de messagerie natif iOS

• Exchange : Les exigences pour l’ordinateur local exécutant Exchange sont les suivantes :

  Les informations d’identification spécifiées dans l’interface utilisateur de configuration d’Exchange doivent pouvoir se connecter au serveur Exchange et disposer d’un accès complet pour exécuter les cmdlets PowerShell spécifiques à Exchange suivantes.

  • Pour Exchange Server 2010 SP2 :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Pour Exchange Server 2013 et Exchange Server 2016 :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Si le connecteur Endpoint Management pour Exchange ActiveSync est configuré pour afficher l’intégralité de la forêt, l’autorisation doit avoir été accordée pour exécuter : Set-AdServerSettings -ViewEntireForest $true
  • Les informations d’identification fournies doivent avoir été autorisées à se connecter au serveur Exchange via le Shell distant. Par défaut, l’utilisateur qui a installé Exchange dispose de ce droit.
  • Pour établir une connexion à distance et exécuter des commandes à distance, les informations d’identification doivent correspondre à un utilisateur administrateur sur la machine distante. Vous pouvez utiliser Set-PSSessionConfiguration pour éliminer l’exigence administrative, mais la discussion de cette commande dépasse le cadre de ce document. Pour plus d’informations, consultez l’article de Microsoft About Session Configurations.
  • Le serveur Exchange doit être configuré pour prendre en charge les requêtes PowerShell à distance via HTTP. Généralement, un administrateur exécutant la commande PowerShell suivante sur le serveur Exchange est tout ce qui est requis : WinRM QuickConfig.
  • Exchange dispose de nombreuses stratégies de limitation. L’une de ces stratégies contrôle le nombre de connexions PowerShell simultanées autorisées par utilisateur. Le nombre par défaut de connexions simultanées autorisées pour un utilisateur est de 18 sur Exchange 2010. Lorsque la limite de connexion est atteinte, le connecteur Endpoint Management pour Exchange ActiveSync ne peut pas se connecter au serveur Exchange. Il existe des moyens de modifier le nombre maximal de connexions simultanées autorisées via PowerShell qui dépassent le cadre de cette documentation. Si vous êtes intéressé, examinez les stratégies de limitation d’Exchange en relation avec la gestion à distance avec PowerShell.

Exigences pour Office 365 Exchange

• Autorisations : Les informations d’identification spécifiées dans l’interface utilisateur de configuration d’Exchange doivent pouvoir se connecter à Office 365 et disposer d’un accès complet pour exécuter les cmdlets PowerShell spécifiques à Exchange suivantes :
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-MobileDevice
  • Get-MobileDeviceStatistics
  • Clear-MobileDevice
  • Get-ExchangeServer
  • Get-ManagementRole
  • Get-ManagementRoleAssignment
• Privilèges : Les informations d’identification fournies doivent avoir été autorisées à se connecter au serveur Office 365 via le Shell distant. Par défaut, l’administrateur en ligne d’Office 365 dispose des privilèges requis.
• Stratégies de limitation : Exchange dispose de nombreuses stratégies de limitation. L’une de ces stratégies contrôle le nombre de connexions PowerShell simultanées autorisées par utilisateur. Le nombre par défaut de connexions simultanées autorisées pour un utilisateur est de trois sur Office 365. Lorsque la limite de connexion est atteinte, le connecteur Endpoint Management pour Exchange ActiveSync ne peut pas se connecter au serveur Exchange. Il existe des moyens de modifier le nombre maximal de connexions simultanées autorisées via PowerShell qui dépassent le cadre de cette documentation. Si vous êtes intéressé, examinez les stratégies de limitation d’Exchange en relation avec la gestion à distance avec PowerShell.

Installer et configurer

1. Cliquez sur le fichier XmmSetup.msi, puis suivez les invites de l’installateur pour installer le connecteur Endpoint Management pour Exchange ActiveSync.

2. Laissez Lancer l’utilitaire de configuration sélectionné dans le dernier écran de l’assistant d’installation. Ou, à partir du menu Démarrer, ouvrez le connecteur Endpoint Management pour Exchange ActiveSync.

3. Configurez les propriétés de base de données suivantes :

   • Sélectionnez l’onglet Configurer > Base de données.
   • Saisissez le nom du serveur SQL (par défaut, localhost).
   • Conservez la base de données par défaut CitrixXmm.

4. Sélectionnez l’un des modes d’authentification suivants utilisés pour SQL :

   • SQL : Saisissez le nom d’utilisateur et le mot de passe d’un utilisateur SQL valide.
   • Windows intégrée : Si vous sélectionnez cette option, les informations d’identification de connexion du service Connecteur Endpoint Management pour Exchange ActiveSync doivent être modifiées pour un compte Windows disposant des autorisations d’accès au serveur SQL. Pour ce faire, ouvrez le Panneau de configuration > Outils d’administration > Services, cliquez avec le bouton droit sur l’entrée du service Connecteur Endpoint Management pour Exchange ActiveSync, puis cliquez sur l’onglet Connexion.

   Si l’authentification Windows intégrée est également choisie pour la connexion à la base de données BlackBerry, le compte Windows spécifié ici doit également avoir accès à la base de données BlackBerry.

5. Cliquez sur Tester la connectivité pour vérifier qu’une connexion peut être établie avec le serveur SQL, puis cliquez sur Enregistrer.

6. Un message vous invite à redémarrer le service. Cliquez sur Oui.

   

7. Configurez un ou plusieurs serveurs Exchange :

   • Si vous gérez un seul environnement Exchange, spécifiez un seul serveur. Si vous gérez plusieurs environnements Exchange, spécifiez un seul serveur Exchange pour chaque environnement Exchange.
   • Cliquez sur l’onglet Configurer > Exchange, puis cliquez sur Ajouter.

   

8. Sélectionnez le type d’environnement de serveur Exchange : Sur site ou Office 365.

   • Si vous sélectionnez Sur site, saisissez le nom du serveur Exchange à utiliser pour les commandes PowerShell à distance.
   • Saisissez le nom d’utilisateur d’une identité Windows disposant des droits appropriés sur le serveur Exchange, comme spécifié dans la section Configuration requise, puis saisissez le mot de passe de l’utilisateur.
   • Sélectionnez la planification pour l’exécution des instantanés majeurs. Un instantané majeur détecte chaque partenariat Exchange ActiveSync.
   • Sélectionnez la planification pour l’exécution des instantanés mineurs. Un instantané mineur détecte les partenariats Exchange ActiveSync nouvellement créés.
   • Sélectionnez le type d’instantané : Profond ou Superficiel. Les instantanés superficiels sont généralement beaucoup plus rapides et suffisent à exécuter toutes les fonctions de contrôle d’accès Exchange ActiveSync du connecteur Endpoint Management pour Exchange ActiveSync. Les instantanés profonds peuvent prendre plus de temps et ne sont nécessaires que si le fournisseur de services mobiles est activé pour ActiveSync. Cette option permet à XenMobile d’interroger les appareils non gérés.
   • Sélectionnez l’accès par défaut : Autoriser, Bloquer ou Inchangé. Ce paramètre contrôle la manière dont tous les appareils, autres que ceux identifiés par des règles XenMobile ou locales explicites, sont traités. Si vous sélectionnez Autoriser, l’accès ActiveSync à tous ces appareils est autorisé. Si vous sélectionnez Bloquer, l’accès est refusé. Si vous sélectionnez Inchangé, aucune modification n’est apportée.
   • Sélectionnez le mode de commande ActiveSync : PowerShell ou Simulation.
   • En mode PowerShell, le connecteur Endpoint Management pour Exchange ActiveSync émet des commandes PowerShell pour appliquer le contrôle d’accès souhaité. En mode Simulation, le connecteur Endpoint Management pour Exchange ActiveSync n’émet pas de commandes PowerShell, mais enregistre la commande prévue et les résultats attendus dans la base de données. En mode Simulation, l’utilisateur peut ensuite utiliser l’onglet Surveiller pour voir ce qui se serait passé si le mode PowerShell avait été activé.
   • Dans Expiration de la connexion, définissez les heures et les minutes de la durée de vie d’une connexion. Lorsqu’une connexion atteint l’âge spécifié, elle est marquée comme expirée, de sorte qu’elle n’est plus jamais utilisée. Lorsque la connexion expirée n’est plus utilisée, le connecteur Endpoint Management pour Exchange ActiveSync ferme la connexion en douceur. Lorsqu’une connexion est à nouveau nécessaire, une nouvelle connexion est initialisée si aucune n’est disponible. Si aucune n’est spécifiée, la valeur par défaut de 30 minutes est utilisée.
   • Sélectionnez Afficher la forêt entière pour configurer le connecteur Endpoint Management pour Exchange ActiveSync afin d’afficher l’intégralité de la forêt Active Directory dans l’environnement Exchange.
   • Sélectionnez le protocole d’authentification : Kerberos ou De base. Le connecteur Endpoint Management pour Exchange ActiveSync prend en charge l’authentification de base pour les déploiements sur site. Cela permet d’utiliser le connecteur Endpoint Management pour Exchange ActiveSync lorsque le serveur du connecteur Endpoint Management pour Exchange ActiveSync n’est pas membre du domaine dans lequel réside le serveur Exchange.
   • Cliquez sur Tester la connectivité pour vérifier qu’une connexion peut être établie avec le serveur Exchange, puis cliquez sur Enregistrer.
   • Un message vous invite à redémarrer le service. Cliquez sur Oui.

9. Configurez les règles d’accès : Sélectionnez l’onglet Configurer > Règles d’accès, cliquez sur l’onglet Règles XMS, puis cliquez sur Ajouter.

   

10. Sur la page Propriétés du service du serveur XenMobile, modifiez la chaîne d’URL pour qu’elle pointe vers le serveur XenMobile. Par exemple, si le nom de l’instance est zdm, saisissez https://<XdmHostName>/zdm/services/MagConfigService. Dans l’exemple, remplacez XdmHostName par l’adresse IP ou DNS du serveur XenMobile.

    

    • Saisissez un utilisateur autorisé du serveur.
    • Saisissez le mot de passe de l’utilisateur.
    • Conservez les valeurs par défaut pour les valeurs Intervalle de référence, Intervalle delta et Délai d’expiration.
    • Cliquez sur Tester la connectivité pour vérifier la connexion au serveur, puis cliquez sur OK.

    Si la case à cocher Désactivé est sélectionnée, le service de messagerie XenMobile ne collecte pas les stratégies de XenMobile.

11. Cliquez sur l’onglet Règles locales.

    

    • Vous pouvez ajouter des règles locales basées sur l’ID d’appareil ActiveSync, le type d’appareil, le groupe AD, l’utilisateur ou l’agent utilisateur de l’appareil. Dans la liste, sélectionnez le type approprié.
    • Saisissez du texte ou des fragments de texte dans la zone de texte. Vous pouvez éventuellement cliquer sur le bouton de requête pour afficher les entités qui correspondent au fragment.

    Pour tous les types autres que Groupe, le système s’appuie sur les appareils trouvés dans un instantané. Par conséquent, si vous débutez et n’avez pas terminé d’instantané, aucune entité n’est disponible.

    • Sélectionnez une valeur de texte, puis cliquez sur Autoriser ou Refuser pour l’ajouter au volet Liste des règles sur le côté droit. Vous pouvez modifier l’ordre des règles ou les supprimer à l’aide des boutons situés à droite du volet Liste des règles. L’ordre est important car, pour un utilisateur et un appareil donnés, les règles sont évaluées dans l’ordre affiché et une correspondance sur une règle supérieure (plus proche du haut) annule l’effet des règles suivantes. Par exemple, si vous avez une règle autorisant tous les appareils iPad et une règle ultérieure bloquant l’utilisateur Matt, l’iPad de Matt sera toujours autorisé car la règle iPad a une priorité effective plus élevée que la règle Matt.
    • Pour effectuer une analyse des règles de la liste des règles afin de trouver d’éventuels remplacements, conflits ou constructions supplémentaires, cliquez sur Analyser puis sur Enregistrer.

12. Si vous souhaitez créer des règles locales qui opèrent sur des groupes Active Directory, cliquez sur Configurer LDAP puis configurez les propriétés de connexion LDAP.

    

13. Configurez le fournisseur de services mobiles.

    Le fournisseur de services mobiles est facultatif. Ce paramètre n’est nécessaire que si XenMobile est également configuré pour utiliser l’interface du fournisseur de services mobiles afin d’interroger les appareils non gérés.

    • Cliquez sur l’onglet Configurer > MSP.

    

    • Définissez le type de transport de service sur HTTP ou HTTPS pour le service du fournisseur de services mobiles.
    • Définissez le port de service (généralement 80 ou 443) pour le service du fournisseur de services mobiles. Si vous utilisez le port 443, le port nécessite un certificat SSL lié à celui-ci dans IIS.
    • Définissez le Groupe d’autorisation ou l’Utilisateur. Cela définit l’utilisateur ou l’ensemble d’utilisateurs qui pourront se connecter au service du fournisseur de services mobiles depuis XenMobile.
    • Définissez si les requêtes ActiveSync sont activées ou non. Si les requêtes ActiveSync sont activées pour le serveur XenMobile, le type d’instantané pour un ou plusieurs serveurs Exchange doit être défini sur Profond. Ce paramètre peut entraîner des coûts de performance importants pour la prise d’instantanés.
    • Par défaut, les appareils ActiveSync qui correspondent à l’expression régulière WorxMail.* ne seront pas envoyés à XenMobile. Pour modifier ce comportement, modifiez le champ Filtrer ActiveSync si nécessaire. Un champ vide signifie que tous les appareils sont transférés à XenMobile.
    • Cliquez sur Enregistrer.

14. Vous pouvez éventuellement configurer une ou plusieurs instances de BlackBerry Enterprise Server (BES) : Cliquez sur Ajouter puis saisissez le nom du serveur SQL BES

    

    • Saisissez le nom de la base de données de gestion BES.
    • Sélectionnez le mode d’authentification. Si vous sélectionnez l’authentification Windows intégrée, le compte d’utilisateur du service Connecteur Endpoint Management pour Exchange ActiveSync est le compte utilisé pour se connecter au serveur SQL BES. Si vous choisissez également l’authentification Windows intégrée pour la connexion à la base de données du connecteur Endpoint Management pour Exchange ActiveSync, le compte Windows spécifié ici doit également avoir accès à la base de données du connecteur Endpoint Management pour Exchange ActiveSync.
    • Si vous sélectionnez l’authentification SQL, saisissez le nom d’utilisateur et le mot de passe.
    • Définissez la planification de synchronisation. Il s’agit de la planification utilisée pour se connecter au serveur SQL BES et vérifier les mises à jour des appareils.
    • Cliquez sur Tester la connectivité pour vérifier la connectivité au serveur SQL. Si vous sélectionnez l’authentification Windows intégrée, ce test utilise l’utilisateur actuellement connecté et non l’utilisateur du service Connecteur Endpoint Management pour Exchange ActiveSync, et ne teste donc pas avec précision l’authentification SQL.
    • Pour prendre en charge l’effacement à distance et la réinitialisation du mot de passe (ResetPassword) des appareils BlackBerry depuis XenMobile, cochez la case Activé.
    • Saisissez le nom de domaine complet (FQDN) du BES.
    • Saisissez le port BES utilisé pour le service web d’administration.
    • Saisissez l’utilisateur et le mot de passe entièrement qualifiés requis par le service BES.
    • Cliquez sur Tester la connectivité pour tester la connexion au BES.
    • Cliquez sur Enregistrer.

Appliquer les stratégies de messagerie avec les ID ActiveSync

Votre stratégie de messagerie d’entreprise peut stipuler que certains appareils ne sont pas approuvés pour l’utilisation de la messagerie d’entreprise. Pour respecter cette stratégie, vous devez vous assurer que les employés ne peuvent pas accéder à la messagerie d’entreprise à partir de ces appareils. Le connecteur Endpoint Management pour Exchange ActiveSync et XenMobile collaborent pour appliquer une telle stratégie de messagerie. XenMobile définit la stratégie d’accès à la messagerie d’entreprise et, lorsqu’un appareil non approuvé s’inscrit auprès de XenMobile, le connecteur Endpoint Management pour Exchange ActiveSync applique la stratégie.

Le client de messagerie sur un appareil s’annonce au serveur Exchange (ou Office 365) à l’aide de l’ID d’appareil, également appelé ID ActiveSync, qui est utilisé pour identifier l’appareil. Secure Hub obtient un identifiant similaire et l’envoie à XenMobile lorsque l’appareil est inscrit. En comparant les deux ID d’appareil, le connecteur Endpoint Management pour Exchange ActiveSync peut déterminer si un appareil spécifique doit avoir accès à la messagerie d’entreprise. La figure suivante illustre ce concept :

Si XenMobile envoie au connecteur Endpoint Management pour Exchange ActiveSync un ID ActiveSync différent de l’ID que l’appareil publie à Exchange, le connecteur Endpoint Management pour Exchange ActiveSync ne peut pas indiquer à Exchange ce qu’il doit faire avec l’appareil.

La correspondance des ID ActiveSync fonctionne de manière fiable sur la plupart des plateformes. Cependant, Citrix a constaté que sur certaines implémentations Android, l’ID ActiveSync de l’appareil est différent de l’ID que le client de messagerie annonce à Exchange. Pour atténuer ce problème, vous pouvez effectuer les opérations suivantes :

• Sur la plateforme Samsung SAFE, poussez la configuration ActiveSync de l’appareil depuis XenMobile.

Pour garantir que votre politique d’accès aux e-mails d’entreprise est correctement appliquée, vous pouvez adopter une posture de sécurité défensive et configurer le connecteur Endpoint Management pour Exchange ActiveSync afin de bloquer les e-mails en définissant la politique statique sur Refuser par défaut. Cela signifie que si un employé configure un client de messagerie sur un appareil Android et si la détection de l’ID ActiveSync ne fonctionne pas correctement, l’accès aux e-mails d’entreprise est refusé à l’employé.

Règles de contrôle d’accès

Le connecteur Endpoint Management pour Exchange ActiveSync fournit une approche basée sur des règles pour configurer dynamiquement le contrôle d’accès pour les appareils Exchange ActiveSync. Une règle de contrôle d’accès du connecteur Endpoint Management pour Exchange ActiveSync se compose de deux parties : une expression de correspondance et un état d’accès souhaité (Autoriser ou Bloquer). Une règle peut être évaluée par rapport à un appareil Exchange ActiveSync donné pour déterminer si la règle s’applique à l’appareil ou correspond à celui-ci. Il existe plusieurs types d’expressions de correspondance ; par exemple, une règle peut correspondre à tous les appareils d’un type d’appareil donné, ou à un ID d’appareil Exchange ActiveSync spécifique, ou à tous les appareils d’un utilisateur spécifique, et ainsi de suite.

À tout moment lors de l’ajout, de la suppression et du réarrangement des règles dans la liste des règles, cliquer sur le bouton Annuler rétablit la liste des règles à l’état dans lequel elle se trouvait lors de sa première ouverture. À moins que vous ne cliquiez sur Enregistrer, toutes les modifications apportées à cette fenêtre sont perdues si vous fermez l’outil de configuration.

Le connecteur Endpoint Management pour Exchange ActiveSync comporte trois types de règles : les règles locales, les règles du serveur XenMobile (également appelées règles XDM) et la règle d’accès par défaut.

Règles locales : Les règles locales ont la priorité la plus élevée : Si un appareil correspond à une règle locale, l’évaluation de la règle s’arrête. Ni les règles du serveur XenMobile ni les règles d’accès par défaut ne seront consultées. Les règles locales sont configurées localement pour le connecteur Endpoint Management pour Exchange ActiveSync via l’onglet Configurer > Règles d’accès > Règles locales. La correspondance de support est basée sur l’appartenance d’un utilisateur à un groupe Active Directory donné. La correspondance de support est basée sur des expressions régulières pour les champs suivants :

• ID d’appareil ActiveSync
• Type d’appareil ActiveSync
• Nom d’utilisateur principal (UPN)
• Agent utilisateur ActiveSync (généralement la plateforme de l’appareil ou le client de messagerie)

Tant qu’un instantané majeur est terminé et a trouvé des appareils, vous devriez pouvoir ajouter une règle normale ou une règle d’expression régulière. Si un instantané majeur n’est pas terminé, vous ne pouvez ajouter que des règles d’expression régulière.

Règles du serveur XenMobile : Les règles du serveur XenMobile sont des références à un serveur XenMobile externe qui fournit des règles concernant les appareils gérés. Le serveur XenMobile peut être configuré avec ses propres règles de haut niveau qui identifient les appareils à autoriser ou à bloquer en fonction des propriétés connues de XenMobile, telles que le fait que l’appareil soit jailbreaké ou qu’il contienne des applications interdites. XenMobile évalue les règles de haut niveau et produit un ensemble d’ID d’appareil ActiveSync autorisés ou bloqués, qui sont ensuite livrés au connecteur Endpoint Management pour Exchange ActiveSync.

Règle d’accès par défaut : La règle d’accès par défaut est unique en ce sens qu’elle peut potentiellement correspondre à chaque appareil et est toujours évaluée en dernier. Cette règle est la règle de rattrapage, ce qui signifie que si un appareil donné ne correspond pas à une règle locale ou à une règle du serveur XenMobile, l’état d’accès souhaité de l’appareil est déterminé par l’état d’accès souhaité de la règle d’accès par défaut.

• Accès par défaut – Autoriser : Tout appareil qui ne correspond pas à une règle locale ou à une règle du serveur XenMobile sera autorisé.
• Accès par défaut – Bloquer : Tout appareil qui ne correspond pas à une règle locale ou à une règle du serveur XenMobile sera bloqué.
• Accès par défaut – Non modifié : Tout appareil qui ne correspond pas à une règle locale ou à une règle du serveur XenMobile ne verra pas son état d’accès modifié de quelque manière que ce soit par le connecteur Endpoint Management pour Exchange ActiveSync. Si un appareil a été placé en mode Quarantaine par Exchange, aucune action n’est entreprise. Par exemple, la seule façon de retirer un appareil du mode Quarantaine est d’avoir une règle locale ou XDM explicite qui annule la quarantaine.

À propos des évaluations de règles

Pour chaque appareil qu’Exchange signale au connecteur Endpoint Management pour Exchange ActiveSync, les règles sont évaluées en séquence, de la priorité la plus élevée à la plus basse, comme suit :

• Règles locales
• Règles du serveur XenMobile
• Règle d’accès par défaut

Lorsqu’une correspondance est trouvée, l’évaluation s’arrête. Par exemple, si une règle locale correspond à un appareil donné, l’appareil ne sera pas évalué par rapport aux règles du serveur XenMobile ou à la règle d’accès par défaut. Cela est également vrai au sein d’un type de règle donné. Par exemple, s’il y a plus d’une correspondance pour un appareil donné dans la liste des règles locales, lorsque la première correspondance est rencontrée, l’évaluation s’arrête.

Le connecteur Endpoint Management pour Exchange ActiveSync réévalue l’ensemble de règles actuellement défini lorsque les propriétés de l’appareil changent, ou lorsque des appareils sont ajoutés ou supprimés, ou lorsque les règles elles-mêmes changent. Les instantanés majeurs détectent les modifications et les suppressions de propriétés d’appareil à des intervalles configurables. Les instantanés mineurs détectent les nouveaux appareils à des intervalles configurables.

Exchange ActiveSync a également des règles régissant l’accès. Il est important de comprendre comment ces règles fonctionnent dans le contexte du connecteur Endpoint Management pour Exchange ActiveSync. Exchange peut être configuré avec trois niveaux de règles : exemptions personnelles, règles d’appareil et paramètres d’organisation. Le connecteur Endpoint Management pour Exchange ActiveSync automatise le contrôle d’accès en émettant programmatiquement des requêtes Remote PowerShell pour affecter les listes d’exemptions personnelles. Ce sont des listes d’ID d’appareil Exchange ActiveSync autorisés ou bloqués associés à une boîte aux lettres donnée. Lorsqu’il est déployé, le connecteur Endpoint Management pour Exchange ActiveSync prend effectivement en charge la gestion de la fonctionnalité de listes d’exemptions au sein d’Exchange. Pour plus de détails, consultez l’article de Microsoft, Contrôle de l’accès aux appareils.

L’analyse est utile dans les situations où plusieurs règles pour le même champ ont été définies. Vous pouvez dépanner les relations entre les règles. Vous effectuez l’analyse du point de vue des champs de règle. Par exemple, les règles sont analysées en groupes en fonction du champ qui est mis en correspondance, tels que l’ID d’appareil ActiveSync, le type d’appareil ActiveSync, l’utilisateur, l’agent utilisateur.

Terminologie des règles

• Règle de remplacement : Un remplacement se produit lorsqu’il y a plus d’une règle qui peut s’appliquer au même appareil. Étant donné que les règles sont évaluées par priorité dans la liste, les instances de règles ultérieures qui pourraient s’appliquer pourraient ne jamais être évaluées.
• Règle en conflit : Un conflit se produit lorsqu’il y a plus d’une règle qui peut s’appliquer au même appareil, mais que l’accès (Autoriser/Bloquer) ne correspond pas. Si les règles en conflit ne sont pas des règles d’expression régulière, un conflit implique toujours implicitement un remplacement.
• Règle supplémentaire : Un supplément se produit lorsque plus d’une règle est une règle d’expression régulière et qu’il peut donc être nécessaire de s’assurer que les deux (ou plusieurs) expressions régulières peuvent être combinées en une seule règle d’expression régulière, ou qu’elles ne dupliquent pas la fonctionnalité. Une règle supplémentaire peut également entrer en conflit dans son accès (Autoriser/Bloquer).
• Règle principale : La règle principale est la règle sur laquelle on a cliqué dans la boîte de dialogue. La règle est indiquée visuellement par une ligne de bordure solide qui l’entoure. La règle aura également une ou deux flèches vertes pointant vers le haut ou vers le bas. Si une flèche pointe vers le haut, elle indique qu’il existe des règles auxiliaires qui précèdent la règle principale. Si une flèche pointe vers le bas, cela indique qu’il existe des règles auxiliaires qui suivent la règle principale. Une seule règle principale peut être active à la fois.
• Règle auxiliaire : Une règle auxiliaire est liée d’une manière ou d’une autre à la règle principale, soit par remplacement, conflit ou relation supplémentaire. Les règles sont indiquées visuellement par une bordure en pointillés qui les entoure. Pour chaque règle principale, il peut y avoir une à plusieurs règles auxiliaires. Lorsque vous cliquez sur une entrée soulignée, la ou les règles auxiliaires mises en évidence sont toujours du point de vue de la règle principale. Par exemple, la règle auxiliaire est remplacée par la règle principale, et/ou la règle auxiliaire entrera en conflit dans son accès avec la règle principale, et/ou la règle auxiliaire complétera la règle principale.

Comment les types de règles apparaissent dans la boîte de dialogue d’analyse des règles

Lorsqu’il n’y a pas de conflits, de remplacements ou de suppléments, la boîte de dialogue d’analyse des règles n’a pas d’entrées soulignées. Cliquer sur l’un des éléments n’a aucun impact ; par exemple, les visuels d’éléments sélectionnés normaux apparaissent.

La fenêtre d’analyse des règles comporte une case à cocher qui, lorsqu’elle est sélectionnée, affiche uniquement les règles qui sont des conflits, des remplacements, des redondances ou des suppléments.

Lorsqu’un remplacement se produit, au moins deux règles seront soulignées : la règle principale et la ou les règles auxiliaires. Au moins une règle auxiliaire apparaît dans une police plus claire pour indiquer que la règle a été remplacée par une règle de priorité plus élevée. Vous pouvez cliquer sur la règle remplacée pour savoir quelle(s) règle(s) l’a/ont remplacée. Chaque fois qu’une règle remplacée a été mise en évidence, soit parce que la règle est la règle principale ou auxiliaire, un cercle noir apparaît à côté d’elle comme une indication visuelle supplémentaire que la règle est inactive. Par exemple, avant de cliquer sur la règle, la boîte de dialogue apparaît comme suit :

Lorsque vous cliquez sur la règle de priorité la plus élevée, la boîte de dialogue apparaît comme suit :

Dans cet exemple, la règle d’expression régulière WorkMail.* est la règle principale (indiquée par la bordure solide) et la règle normale workmailc633313818 est une règle auxiliaire (indiquée par la bordure en pointillés). Le point noir à côté de la règle auxiliaire est un indice visuel qui indique en outre que la règle est inactive (ne sera jamais évaluée) en raison de la règle d’expression régulière de priorité plus élevée qui la précède. Après avoir cliqué sur la règle remplacée, la boîte de dialogue apparaît comme suit :

Dans l’exemple précédent, la règle d’expression régulière WorkMail.* est la règle auxiliaire (indiquée par la bordure en pointillés) et la règle normale workmailc633313818 est une règle principale (indiquée par la bordure solide). Pour cet exemple simple, il n’y a pas beaucoup de différence. Pour un exemple plus complexe, consultez l’exemple d’expression complexe plus loin dans cette rubrique. Dans un scénario avec de nombreuses règles définies, cliquer sur la règle remplacée permettrait d’identifier rapidement quelle(s) règle(s) l’avait/avaient remplacée.

Lorsqu’un conflit se produit, au moins deux règles seront soulignées : la règle principale et la ou les règles auxiliaires. Les règles en conflit sont indiquées par un point rouge. Les règles qui ne sont en conflit qu’entre elles ne sont possibles qu’avec deux règles d’expression régulière ou plus définies. Dans tous les autres scénarios de conflit, il n’y aura pas seulement un conflit, mais aussi un remplacement en jeu. Avant de cliquer sur l’une des règles dans un exemple simple, la boîte de dialogue apparaît comme suit :

En inspectant les deux règles d’expression régulière, il est évident que la première règle autorise tous les appareils dont l’ID d’appareil contient « App » et que la seconde règle refuse tous les appareils dont l’ID d’appareil contient « Appl ». De plus, même si la seconde règle refuse tous les appareils dont l’ID d’appareil contient « Appl », aucun appareil correspondant aux critères ne sera jamais refusé en raison de la précédence plus élevée de la règle d’autorisation. Après avoir cliqué sur la première règle, la boîte de dialogue apparaît comme suit :

Dans le scénario précédent, la règle principale (règle d’expression régulière App.*) et la règle auxiliaire (règle d’expression régulière Appl.*) sont toutes deux mises en évidence en jaune. Il s’agit simplement d’un avertissement visuel pour vous alerter sur le fait que vous avez appliqué plus d’une règle d’expression régulière à un seul champ de correspondance, ce qui peut signifier un problème de redondance ou quelque chose de plus grave.

Dans un scénario présentant à la fois un conflit et un remplacement, la règle principale (règle d’expression régulière App.*) et la règle auxiliaire (règle d’expression régulière Appl.*) sont toutes deux mises en surbrillance en jaune. Il s’agit simplement d’un avertissement visuel pour vous signaler que vous avez appliqué plus d’une règle d’expression régulière à un seul champ correspondant, ce qui peut indiquer un problème de redondance ou quelque chose de plus grave.

Il est facile de constater dans l’exemple précédent que la première règle (règle d’expression régulière SAMSUNG.*) non seulement remplace la règle suivante (règle normale SAMSUNG-SM-G900A/101.40402), mais que les deux règles diffèrent dans leur accès (la principale spécifie Autoriser, l’auxiliaire spécifie Bloquer). La deuxième règle (règle normale SAMSUNG-SM-G900A/101.40402) est affichée en texte plus clair pour indiquer qu’elle a été remplacée et est donc inactive.

Après avoir cliqué sur la règle d’expression régulière, la boîte de dialogue s’affiche comme suit :

La règle principale (règle d’expression régulière SAMSUNG.*) est suivie d’un point rouge pour indiquer que son état d’accès est en conflit avec une ou plusieurs règles auxiliaires. La règle auxiliaire (règle normale SAMSUNG-SM-G900A/101.40402) est suivie d’un point rouge pour indiquer que son état d’accès est en conflit avec la règle principale. Cette règle est également suivie d’un point noir pour indiquer qu’elle est remplacée et donc inactive.

Au moins deux règles seront soulignées : la règle principale et la ou les règles auxiliaires. Les règles qui ne font que se compléter n’impliqueront que des règles d’expression régulière. Lorsque les règles se complètent, elles sont indiquées par un surlignage jaune. Avant de cliquer sur l’une ou l’autre des règles, dans un exemple simple, la boîte de dialogue s’affiche comme suit :

Une inspection visuelle révèle facilement que les deux règles sont des règles d’expression régulière qui ont toutes deux été appliquées au champ d’ID de périphérique ActiveSync dans le connecteur Endpoint Management pour Exchange ActiveSync. Après avoir cliqué sur la première règle, la boîte de dialogue s’affiche comme suit :

La règle principale (règle d’expression régulière WorkMail.*) est mise en surbrillance avec un surlignage jaune pour indiquer qu’il existe au moins une autre règle auxiliaire qui est une expression régulière. La règle auxiliaire (règle d’expression régulière SAMSUNG.*) est mise en surbrillance avec un surlignage jaune pour indiquer qu’elle et la règle principale sont toutes deux des règles d’expression régulière appliquées au même champ dans le connecteur Endpoint Management pour Exchange ActiveSync. Dans ce cas, ce champ est l’ID de périphérique ActiveSync. Les expressions régulières peuvent ou non se chevaucher. Il vous appartient de décider si vos expressions régulières sont correctement élaborées.

Exemple d’expression complexe

De nombreux remplacements, conflits ou compléments potentiels peuvent survenir, ce qui rend impossible de donner un exemple de tous les scénarios possibles. L’exemple suivant explique ce qu’il ne faut pas faire, tout en servant à illustrer toute la puissance de la construction visuelle d’analyse des règles. La plupart des éléments sont soulignés dans la figure suivante. De nombreux éléments sont affichés dans une police plus claire, ce qui indique que la règle en question a été remplacée d’une manière ou d’une autre par une règle de priorité plus élevée. Diverses règles d’expression régulière sont également incluses dans la liste, comme l’indique l’icône .

Comment analyser un remplacement

Pour voir quelle règle ou quelles règles ont remplacé une règle particulière, cliquez sur la règle.

Exemple 1 : Cet exemple examine pourquoi zentrain01@zenprise.com a été remplacé.

La règle principale (règle de groupe AD zenprise/TRAINING/ZenTraining B, dont zentrain01@zenprise.com est membre) présente les caractéristiques suivantes :

• Est mise en surbrillance en bleu et a une bordure pleine.
• Possède une flèche verte pointant vers le haut (pour indiquer que la ou les règles auxiliaires se trouvent toutes au-dessus).
• Est suivie à la fois d’un cercle rouge et d’un cercle noir pour indiquer respectivement qu’une ou plusieurs règles auxiliaires sont en conflit avec son accès et que la règle principale a été remplacée et est donc inactive.

Lorsque vous faites défiler vers le haut, vous voyez ce qui suit :

Dans ce cas, deux règles auxiliaires remplacent la règle principale : la règle d’expression régulière zen.* et la règle normale zentrain01@zenprise.com (du groupe zenprise/TRAINING/ZenTraining A). Dans le cas de cette dernière règle auxiliaire, il s’est produit que la règle de groupe Active Directory ZenTraining A contient l’utilisateur zentrain01@zenprise.com, et la règle de groupe Active Directory ZenTraining B contient également l’utilisateur zentrain01@zenprise.com. Cependant, comme la règle auxiliaire a une priorité plus élevée que la règle principale, la règle principale a été remplacée. L’accès de la règle principale est Autoriser, et comme l’accès des deux règles auxiliaires est Bloquer, toutes sont suivies d’un cercle rouge pour indiquer un conflit d’accès.

Exemple 2 : Cet exemple montre pourquoi le périphérique avec un ID de périphérique ActiveSync de 069026593E0C4AEAB8DE7DD589ACED33 a été remplacé :

La règle principale (règle d’ID de périphérique normale 069026593E0C4AEAB8DE7DD589ACED33) présente les caractéristiques suivantes :

• Est mise en surbrillance en bleu et a une bordure pleine.
• Possède une flèche verte pointant vers le haut (pour indiquer que la règle auxiliaire se trouve au-dessus).
• Est suivie d’un cercle noir pour indiquer qu’une règle auxiliaire a remplacé la règle principale et est donc inactive.

Dans ce cas, une seule règle auxiliaire remplace la règle principale : la règle d’ID de périphérique ActiveSync d’expression régulière est 3E.*. Étant donné que l’expression régulière 3E.* correspondrait à 069026593E0C4AEAB8DE7DD589ACED33, la règle principale ne sera jamais évaluée.

Comment analyser un complément et un conflit

Dans ce cas, la règle principale est la règle d’expression régulière de type de périphérique ActiveSync touch.*. Les caractéristiques sont les suivantes :

• Est indiquée par une bordure pleine avec un surlignage jaune comme avertissement qu’il y a plus d’une règle d’expression régulière agissant sur un champ de règle particulier, dans ce cas le type de périphérique ActiveSync.
• Deux flèches pointent respectivement vers le haut et vers le bas, indiquant qu’il existe au moins une règle auxiliaire de priorité plus élevée et au moins une règle auxiliaire de priorité plus faible.
• Le cercle rouge à côté indique qu’au moins une règle auxiliaire a son accès défini sur Autoriser, ce qui est en conflit avec l’accès Bloquer de la règle principale.
• Il existe deux règles auxiliaires : la règle d’expression régulière de type de périphérique ActiveSync SAM.* et la règle d’expression régulière de type de périphérique ActiveSync Andro.*.
• Les deux règles auxiliaires sont bordées de tirets pour indiquer qu’elles sont auxiliaires.
• Les deux règles auxiliaires sont surlignées en jaune pour indiquer qu’elles sont également appliquées au champ de règle du type de périphérique ActiveSync.

• Vous devez vous assurer dans de tels scénarios que leurs règles d’expression régulière ne sont pas redondantes.

  

Comment analyser davantage les règles

Cet exemple explore comment les relations entre les règles sont toujours du point de vue de la règle principale. L’exemple précédent a montré comment un clic sur la règle d’expression régulière appliquée au champ de règle du type de périphérique avec une valeur de touch.*. Cliquer sur la règle auxiliaire Andro.* montre qu’un ensemble différent de règles auxiliaires est mis en surbrillance.

L’exemple montre une règle remplacée qui est incluse dans la relation de règles. Cette règle est la règle normale de type de périphérique ActiveSync Android, qui est remplacée (indiquée par la police éclaircie et le cercle noir à côté) et est également en conflit dans son accès avec la règle principale d’expression régulière de type de périphérique ActiveSync Andro.*. Cette règle était auparavant une règle auxiliaire avant d’être cliquée. Dans l’exemple précédent, la règle normale de type de périphérique ActiveSync Android n’était pas affichée comme une règle auxiliaire car, du point de vue de la règle alors principale (la règle d’expression régulière de type de périphérique ActiveSync touch.*), elle n’y était pas liée.

Pour configurer une règle locale d’expression normale

1. Cliquez sur l’onglet Règles d’accès.

1. Dans la liste ID de l’appareil, sélectionnez le champ pour lequel vous souhaitez créer une règle locale.

2. Cliquez sur l’icône en forme de loupe pour afficher toutes les correspondances uniques pour le champ choisi. Dans cet exemple, le champ Type d’appareil a été choisi et les options sont affichées ci-dessous dans la zone de liste.

   

3. Cliquez sur l’un des éléments de la zone de liste des résultats, puis cliquez sur l’une des options suivantes :

   • Autoriser signifie qu’Exchange sera configuré pour autoriser le trafic ActiveSync pour tous les appareils correspondants.
   • Refuser signifie qu’Exchange sera configuré pour refuser le trafic ActiveSync pour tous les appareils correspondants.

   Dans cet exemple, tous les appareils dont le type d’appareil est SamsungSPhl720 se voient refuser l’accès.

   

Pour ajouter une expression régulière

Les règles locales d’expression régulière peuvent être distinguées par l’icône qui apparaît à côté d’elles : .

Pour ajouter une règle d’expression régulière, vous pouvez soit créer une règle d’expression régulière à partir d’une valeur existante de la liste des résultats pour un champ donné (à condition qu’un instantané majeur ait été effectué), soit simplement saisir l’expression régulière souhaitée.

Pour créer une expression régulière à partir d’une valeur de champ existante

1. Cliquez sur l’onglet Règles d’accès.

   

2. Dans la liste ID de l’appareil, sélectionnez le champ pour lequel vous souhaitez créer une règle locale d’expression régulière.

3. Cliquez sur l’icône en forme de loupe pour afficher toutes les correspondances uniques pour le champ choisi. Dans cet exemple, le champ Type d’appareil a été choisi et les options sont affichées ci-dessous dans la zone de liste.

   

4. Cliquez sur l’un des éléments de la liste des résultats. Dans cet exemple, SAMSUNGSPHL720 a été sélectionné et apparaît dans la zone de texte à côté de Type d’appareil.

   

5. Pour autoriser tous les types d’appareils dont la valeur de type d’appareil contient « Samsung », ajoutez une règle d’expression régulière en suivant ces étapes :

   1. Cliquez dans la zone de texte de l’élément sélectionné.

   2. Remplacez le texte de SAMSUNGSPHL720 par SAMSUNG.*.

   3. Assurez-vous que la case à cocher de l’expression régulière est sélectionnée.

   4. Cliquez sur Autoriser.

   

Pour créer une règle d’accès

1. Cliquez sur l’onglet Règles locales.

2. Pour saisir l’expression régulière, vous devez utiliser à la fois la liste ID de l’appareil et la zone de texte de l’élément sélectionné.

   

3. Sélectionnez le champ sur lequel vous souhaitez faire correspondre. Cet exemple utilise le type d’appareil.
4. Saisissez l’expression régulière. Cet exemple utilise samsung.*

5. Assurez-vous que la case à cocher de l’expression régulière est sélectionnée, puis cliquez sur Autoriser ou Refuser. Dans cet exemple, le choix est Autoriser. Le résultat final est le suivant :

   

Pour trouver des appareils

En sélectionnant la case à cocher de l’expression régulière, vous pouvez effectuer des recherches d’appareils spécifiques qui correspondent à l’expression donnée. Cette fonctionnalité n’est disponible que si un instantané majeur a été effectué avec succès. Vous pouvez utiliser cette fonctionnalité même si vous n’avez pas l’intention d’utiliser des règles d’expression régulière. Par exemple, supposons que vous souhaitiez trouver tous les appareils dont l’ID d’appareil ActiveSync contient le texte « workmail ». Pour ce faire, suivez cette procédure.

1. Cliquez sur l’onglet Règles d’accès.

2. Assurez-vous que le sélecteur de champ de correspondance d’appareil est défini sur ID d’appareil (par défaut).

   

3. Cliquez dans la zone de texte de l’élément sélectionné (comme indiqué en bleu dans la figure précédente), puis saisissez workmail.*.

4. Assurez-vous que la case à cocher de l’expression régulière est sélectionnée, puis cliquez sur l’icône en forme de loupe pour afficher les correspondances, comme indiqué dans la figure suivante.

   

Pour ajouter un utilisateur, un appareil ou un type d’appareil individuel à une règle statique

Vous pouvez ajouter des règles statiques basées sur l’utilisateur, l’ID de l’appareil ou le type d’appareil dans l’onglet Appareils ActiveSync.

1. Cliquez sur l’onglet Appareils ActiveSync.

2. Dans la liste, cliquez avec le bouton droit sur un utilisateur, un appareil ou un type d’appareil et sélectionnez si vous souhaitez autoriser ou refuser votre sélection.

   L’image suivante montre l’option Autoriser/Refuser lorsque user1 est sélectionné.

   

Surveillance des appareils

L’onglet Surveiller du connecteur Endpoint Management pour Exchange ActiveSync vous permet de parcourir les appareils Exchange ActiveSync et BlackBerry qui ont été détectés, ainsi que l’historique des commandes PowerShell automatisées qui ont été émises. L’onglet Surveiller comporte les trois onglets suivants :

• Appareils ActiveSync :
  • Vous pouvez exporter les partenariats d’appareils ActiveSync affichés en cliquant sur le bouton Exporter.
  • Vous pouvez ajouter des règles locales (statiques) en cliquant avec le bouton droit sur les colonnes Utilisateur, ID d’appareil ou Type et en sélectionnant le type de règle d’autorisation ou de blocage approprié.
  • Pour réduire une ligne développée, Ctrl+cliquez sur la ligne développée.
• Appareils BlackBerry
• Historique d’automatisation

L’onglet Configurer affiche l’historique de tous les instantanés. L’historique des instantanés indique quand l’instantané a été pris, combien de temps il a fallu, combien d’appareils ont été détectés et les erreurs éventuelles :

• Dans l’onglet Exchange, cliquez sur l’icône d’informations pour le serveur Exchange souhaité.
• Sous l’onglet MSP, cliquez sur l’icône d’informations pour le serveur BlackBerry souhaité.

Dépannage et diagnostics

Le connecteur Endpoint Management pour Exchange ActiveSync enregistre les erreurs et d’autres informations opérationnelles dans son fichier journal : Dossier d’installation\log\XmmWindowsService.log. Le connecteur Endpoint Management pour Exchange ActiveSync enregistre également les événements importants dans le journal d’événements Windows.

Pour modifier le niveau de journalisation

Le connecteur Endpoint Management pour Exchange ActiveSync inclut les niveaux de journalisation suivants : Erreur, Info, Avertissement, Débogage et Trace.

Remarque :

Chaque niveau successif génère plus de détails (plus de données). Par exemple, le niveau Erreur fournit le moins de détails, tandis que le niveau Trace fournit le plus de détails.

Pour modifier le niveau de journalisation, procédez comme suit :

1. Dans C:\Program Files\Citrix\Citrix Endpoint Management connector, ouvrez le fichier nlog.config.

2. Dans la section <rules>, modifiez le paramètre minilevel pour le niveau de journalisation que vous préférez. Par exemple :

       <rules>
   
       <logger name="*" writeTo="file" minlevel="Debug" />
   
       </rules>
   <!--NeedCopy-->
   

3. Enregistrez le fichier.

   Les modifications prennent effet immédiatement. Vous n’avez pas besoin de redémarrer le connecteur pour Exchange ActiveSync.

Erreurs courantes

La liste suivante inclut les erreurs courantes :

• Le service du connecteur Endpoint Management pour Exchange ActiveSync ne démarre pas

  Vérifiez le fichier journal et le journal d’événements Windows pour les erreurs. Les causes typiques sont les suivantes :

  • Le connecteur Endpoint Management pour le service Exchange ActiveSync ne peut pas accéder au serveur SQL. Cela peut être dû aux problèmes suivants :

    • Le service SQL Server n’est pas en cours d’exécution.
    • Échec de l’authentification.

    Si l’authentification intégrée Windows est configurée, le compte d’utilisateur du service du connecteur Endpoint Management pour Exchange ActiveSync doit être une connexion SQL autorisée. Le compte du service du connecteur Endpoint Management pour Exchange ActiveSync est par défaut Système local, mais peut être modifié pour tout compte disposant de privilèges d’administrateur local. Si l’authentification SQL est configurée, la connexion SQL doit être correctement configurée dans SQL.

  • Le port configuré pour le fournisseur de services mobiles (MSP) n’est pas disponible. Un port d’écoute doit être sélectionné qui n’est pas utilisé par un autre processus sur le système.

• XenMobile ne peut pas se connecter au MSP

  Vérifiez que le port de service MSP et le transport sont correctement configurés dans l’onglet Configurer > MSP de la console du connecteur Endpoint Management pour Exchange ActiveSync. Vérifiez que le groupe ou l’utilisateur d’autorisation est correctement défini.

  Si HTTPS est configuré, un certificat de serveur SSL valide doit être installé. Si IIS est installé, le gestionnaire IIS peut être utilisé pour installer le certificat. Si IIS n’est pas installé, consultez Comment configurer un port avec un certificat SSL pour plus de détails sur l’installation des certificats.

  Le connecteur Endpoint Management pour Exchange ActiveSync contient un programme utilitaire pour tester la connectivité au service MSP. Exécutez le programme Dossier d’installation\MspTestServiceClient.exe et définissez l’URL et les informations d’identification sur une URL et des informations d’identification configurées dans XenMobile, puis cliquez sur Tester la connectivité. Cela simule les requêtes de service web émises par XenMobile Server. Si HTTPS est configuré, vous devez spécifier le nom d’hôte réel du serveur (le nom spécifié dans le certificat SSL).

  Lorsque vous utilisez Tester la connectivité, assurez-vous d’avoir au moins un enregistrement ActiveSyncDevice, sinon le test pourrait échouer.

  

Outils de dépannage

Un ensemble d’utilitaires PowerShell pour le dépannage est disponible dans le dossier Support\PowerShell.

Un outil de dépannage effectue une analyse approfondie des boîtes aux lettres et des appareils des utilisateurs, détectant les conditions d’erreur et les zones de défaillance potentielles, ainsi qu’une analyse RBAC approfondie des utilisateurs. Il peut enregistrer la sortie brute de toutes les cmdlets dans un fichier texte.