XenMobile Server : version actuelle

Citrix Gateway Connector pour Exchange ActiveSync

XenMobile Citrix ADC Connector est maintenant nommé Citrix Gateway Connector pour Exchange ActiveSync. Pour plus de détails sur le portefeuille unifié de Citrix, consultez le guide des produits Citrix.

Ce connecteur pour Exchange ActiveSync fournit un service d’autorisation au niveau de l’appareil des clients ActiveSync à Citrix ADC qui fait office de proxy inverse pour le protocole Exchange ActiveSync. L’autorisation est contrôlée par une combinaison de stratégies que vous définissez dans XenMobile et par des règles définies localement par Citrix Gateway Connector pour Exchange ActiveSync.

Pour de plus amples informations, consultez la section ActiveSync Gateway.

Pour un diagramme d’architecture de référence détaillé, voir Architecture.

La version actuelle de Citrix Gateway Connector pour Exchange ActiveSync est la version 8.5.2.

Important :

À compter d’octobre 2022, les connecteurs Endpoint Management et Citrix Gateway pour Exchange ActiveSync ne prend plus en charge Exchange Online en raison des modifications d’authentification annoncées par Microsoft ici. Endpoint Management Connector pour Exchange continuera de fonctionner avec Microsoft Exchange Server (déploiement local).

Nouveautés

Les sections suivantes répertorient les nouveautés des versions actuelles et antérieures de Citrix Gateway Connector pour Exchange ActiveSync, anciennement XenMobile Citrix ADC Connector.

Nouveautés dans la version 8.5.3

  • Cette version ajoute la prise en charge des protocoles ActiveSync 16.0 et 16.1.
  • Plus de détails ont été ajoutés aux analyses envoyées à Google Analytics, notamment concernant les instantanés. [CXM-52261]

Nouveautés dans la version 8.5.2

  • XenMobile Citrix ADC Connector est maintenant nommé Citrix Gateway Connector pour Exchange ActiveSync.

Les problèmes suivants ont été résolus dans cette version :

  • Si plusieurs critères sont utilisés dans la définition d’une règle de stratégie et si l’un des critères implique l’ID utilisateur, le problème suivant peut se produire. Si un utilisateur a plusieurs alias, les alias ne sont pas également vérifiés lors de l’application de la règle. [CXM-55355]

Remarque :

La section Nouveautés suivante fait référence à Citrix Gateway Connector pour Exchange ActiveSync sous son ancien nom XenMobile Citrix ADC Connector. Le nom a changé à partir de la version 8.5.2.

Nouveautés dans la version 8.5.1.11

  • Modification de la configuration système requise : la version actuelle de Citrix ADC Connector requiert Microsoft .NET Framework 4.5.

  • Prise en charge de Google Analytics : nous souhaitons savoir comment vous utilisez XenMobile Citrix ADC Connector afin de pouvoir nous concentrer sur l’amélioration du produit.

  • Prise en charge de TLS 1.1 et 1.2 : en raison de ses risques pour la sécurité, TLS 1.0 est abandonné par le PCI Council. La prise en charge de TLS 1.1 et 1.2 est ajoutée à XenMobile Citrix ADC Connector.

Surveillance de Citrix Gateway Connector pour Exchange ActiveSync

L’utilitaire de configuration Citrix Gateway Connector pour Exchange ActiveSync offre une journalisation détaillée que vous pouvez utiliser pour afficher tout le trafic transitant par le biais de votre serveur Exchange Server qui est autorisé ou bloqué par Secure Mobile Gateway.

Utilisez l’onglet Log pour afficher l’historique des demandes ActiveSync transmises à Citrix ADC Connector pour Exchange ActiveSync pour autorisation.

De plus, pour vous assurer que le service Web Citrix Gateway Connector pour Exchange ActiveSync est en cours d’exécution, vous pouvez charger l’adresse URL suivante dans un navigateur sur le serveur du connecteur https://<host:port>/services/ActiveSync/Version. Si l’adresse URL retourne la version du produit en tant que chaîne, le service Web est réactif.

Simulation de trafic ActiveSync avec Citrix Gateway Connector pour Exchange ActiveSync

Vous pouvez utiliser Citrix Gateway Connector pour Exchange ActiveSync pour simuler le trafic ActiveSync avec vos stratégies. Dans l’outil de configuration du connecteur, sélectionnez l’onglet Simulator. Les résultats vous montrent comment vos stratégies s’appliquent aux règles que vous avez configurées.

Choix des filtres pour Citrix Gateway Connector pour Exchange ActiveSync

Les filtres Citrix Gateway Connector pour Exchange ActiveSync analysent un appareil à la recherche d’une violation de stratégie ou d’un paramètre de propriété donné. Si l’appareil est conforme aux critères, l’appareil est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. Il s’agit d’une liste d’appareils qui répondent aux critères définis. Les filtres suivants sont disponibles pour le connecteur dans XenMobile. Les deux options pour chaque filtre sont Autoriser ou Refuser.

  • Appareils anonymes : autorise ou refuse les appareils qui sont inscrits dans XenMobile, mais l’identité de l’utilisateur est inconnue. Par exemple, ceci peut être un utilisateur qui a été inscrit, mais le mot de passe Active Directory de l’utilisateur a expiré ou un utilisateur s’est inscrit avec des informations d’identification inconnues.
  • Échec de l’attestation Samsung KNOX : les appareils Samsung sont dotés de fonctionnalités de sécurité et de diagnostic. Ce filtre fournit la confirmation que l’appareil est configuré pour KNOX. Pour de plus amples informations, consultez la section Samsung Knox.
  • Applications sur liste noire : autorise ou refuse les appareils en fonction de la liste des appareils définie par les stratégies de liste de blocage et la présence d’applications bloquées.
  • Autorisations et refus implicite : crée une liste d’appareils de tous les appareils qui ne répondent pas à tous les critères de règle de filtre et les autorise ou les refuse en se basant sur cette liste. L’option Autorisation/refus implicite garantit que l’état de Citrix Gateway Connector pour Exchange ActiveSync dans l’onglet Appareils est activé et affiche l’état du connecteur pour vos appareils. L’option Autorisation/refus implicite contrôle également tous les autres filtres du connecteur qui n’ont pas été sélectionnés. Par exemple, le connecteur refuse les applications bloquées tout en autorisant tous les autres filtres car l’option Autorisation/refus implicite est définie sur Autoriser.
  • Appareils inactifs : crée une liste d’appareils des appareils qui n’ont pas communiqué avec XenMobile dans une période de temps spécifiée. Ces appareils sont considérés comme inactifs. Le filtre autorise ou refuse les appareils en conséquence.
  • Applications requises manquantes : lorsqu’un utilisateur s’inscrit, l’utilisateur reçoit une liste des applications requises qui doivent être installées. Le filtre des applications requises manquantes indique qu’une ou plusieurs applications ne sont plus présentes ; par exemple, l’utilisateur a supprimé une ou plusieurs applications.
  • Applications non suggérées : lorsqu’un utilisateur s’inscrit, il reçoit une liste des applications à installer. Le filtre des applications non suggérées vérifie que l’appareil ne contient pas d’applications qui ne figurent pas dans cette liste.
  • Mot de passe non conforme : crée une liste d’appareils de tous les appareils qui ne disposent pas d’un code secret sur l’appareil.
  • Appareils non conformes : vous permet d’interdire ou d’autoriser des appareils qui répondent à vos critères de conformité informatiques internes. La conformité est un paramètre arbitraire défini par la propriété d’appareil nommée Non conforme, qui est un indicateur booléen qui peut être soit True soit False. (Vous pouvez créer cette propriété manuellement et définir sa valeur, ou vous pouvez utiliser les actions automatisées pour créer cette propriété sur un appareil si l’appareil correspond ou pas aux critères spécifiques.)
    • Non conforme = True. Si un appareil ne répond pas aux normes de conformité et aux définitions de stratégie définies par votre service informatique, l’appareil n’est pas conforme.
    • Non conforme = False. Si un appareil répond aux normes de conformité et aux définitions de stratégie définies par votre service informatique, l’appareil est conforme.
  • État révoqué : crée une liste d’appareils de tous les appareils révoqués et les autorise ou les refuse en fonction de l’état de révocation.
  • Android rootés/iOS jailbreakés. Crée une liste d’appareils de tous les appareils marqués comme rootés et les autorise ou les refuse en se basant sur leur état racine.
  • Appareils non gérés. Crée une liste d’appareils de tous les appareils dans la base de données XenMobile. Mobile Application Gateway doit être déployé dans un mode Block.

Configuration d’une connexion à Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync communique avec XenMobile et d’autres fournisseurs de configuration à distance via les services Web sécurisés.

  1. Dans l’outil de configuration du connecteur, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Dans la boîte de dialogue Config Providers, dans Name, entrez un nom d’utilisateur disposant des privilèges d’administration et qui est utilisé pour l’autorisation HTTP de base avec XenMobile Server.
  3. Dans Url, entrez l’adresse Web du service XenMobile GCS (Gateway Configuration Service), généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui est utilisé pour l’autorisation HTTP de base avec XenMobile Server.
  5. Dans Managing Host, entrez le nom du serveur du connecteur.
  6. Dans Baseline Interval, spécifiez une période de temps après laquelle un nouveau ruleset dynamique actualisé est extrait depuis Device Manager.
  7. Dans Delta interval, spécifiez une période de temps après laquelle une mise à jour de règles dynamiques est extraite.
  8. Dans Request Timeout, spécifiez l’intervalle d’expiration du délai de demande du serveur.
  9. Dans Config Provider, sélectionnez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  10. Dans Events Enabled, activez cette option si vous souhaitez que le connecteur informe XenMobile lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles du connecteur dans l’une de vos actions automatisées XenMobile.
  11. Cliquez sur Save, puis cliquez sur Test Connectivity pour tester la connectivité du fournisseur de configuration vers la passerelle. Si la connexion échoue, vérifiez que les paramètres du pare-feu local acceptent la connexion ou contactez votre administrateur.
  12. Si la connexion réussit, désactivez la case à cocher Disabled, puis cliquez sur Save.

Lorsque vous ajoutez un nouveau fournisseur de configuration, Citrix Gateway Connector pour Exchange ActiveSync crée automatiquement une ou plusieurs stratégies associées au fournisseur. Ces stratégies sont définies par une définition de modèle contenue dans config\policyTemplates.xml de la section NewPolicyTemplate. Pour chaque élément Policy est défini dans cette section, une nouvelle stratégie est créée.

L’opérateur peut ajouter, supprimer ou modifier les éléments de stratégie si les conditions suivantes sont remplies : l’élément de stratégie est conforme à la définition du schéma et les chaînes de substitution standard (entre accolades) ne sont pas modifiées. Ajoutez ensuite de nouveaux groupes pour le fournisseur et mettez à jour la stratégie pour inclure les nouveaux groupes.

Pour importer une stratégie depuis XenMobile

  1. Dans l’outil de configuration Citrix Gateway Connector pour Exchange ActiveSync, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Dans la boîte de dialogue Config Providers, dans Name, entrez un nom d’utilisateur qui est utilisé pour l’autorisation HTTP de base avec XenMobile Server et disposant de privilèges d’administrateur.
  3. Dans Url, entrez l’adresse Web du service XenMobile GCS (Gateway Configuration Service), généralement au format https://<xdmHost>/xdm/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui est utilisé pour l’autorisation HTTP de base avec XenMobile Server.
  5. Cliquez sur Test Connectivity pour tester la connectivité du fournisseur de configuration vers la passerelle. Si la connexion échoue, vérifiez que vos paramètres locaux de pare-feu autorisent la connexion ou contactez votre administrateur.
  6. Lorsqu’une connexion est établie, désactivez la case à cocher Disabled, puis cliquez sur Save.
  7. Dans Managing Host, laissez la valeur par défaut du nom DNS de l’ordinateur hôte. Ce paramètre est utilisé pour coordonner les communications avec XenMobile lorsque plusieurs serveurs Forefront Threat Management Gateway (TMG) sont configurés dans un tableau.

    Lorsque vous enregistrez les paramètres, ouvrez le GCS.

Configuration du mode de stratégie de Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync peut être exécuté dans les six modes suivants :

  • Allow All. Ce mode de stratégie accorde l’accès à tout le trafic passant via le connecteur. Aucune autre règle de filtrage n’est utilisée.
  • Deny All. Ce mode de stratégie bloque l’accès à tout le trafic passant via le connecteur. Aucune autre règle de filtrage n’est utilisée.
  • Static Rules: Block Mode. Ce mode de stratégie exécute des règles statiques avec une instruction implicite de blocage ou de refus à la fin. Le connecteur bloque les appareils qui ne sont pas autorisés par d’autres règles de filtre.
  • Static Rules: Permit Mode. Ce mode de stratégie exécute des règles statiques avec une instruction implicite d’acceptation ou d’autorisation à la fin. Les appareils qui ne sont pas bloqués ou refusés par d’autres règles de filtre sont autorisés via le connecteur.
  • Static + ZDM Rules: Block Mode. Ce mode de stratégie exécute tout d’abord des règles statiques, suivies par des règles dynamiques depuis XenMobile avec une instruction implicite de blocage ou de refus à la fin. Les appareils sont autorisés ou refusés en se basant sur des filtres définis et des règles Device Manager. Tous les appareils qui ne correspondent pas à des filtres et des règles définis sont bloqués.
  • Static + ZDM Rules: Permit Mode. Ce mode de stratégie exécute tout d’abord des règles statiques, suivies par des règles dynamiques depuis XenMobile avec une instruction implicite d’acceptation ou d’autorisation à la fin. Les appareils sont autorisés ou refusés en se basant sur des filtres définis et des règles XenMobile. Tous les appareils qui ne correspondent pas à des filtres et des règles définis sont autorisés.

Le processus Citrix Gateway Connector pour Exchange ActiveSync autorise ou bloque les règles dynamiques en se basant sur des ID ActiveSync uniques pour appareils mobiles iOS et Windows reçus de XenMobile. Les appareils Android changent de comportement en fonction du fabricant et certains n’exposent pas directement d’ID unique ActiveSync. Pour compenser, XenMobile envoie les informations d’ID de l’utilisateur pour les appareils Android pour effectuer une décision d’autorisation ou de blocage. Par conséquent, si un utilisateur possède un seul appareil Android, la fonctionnalité d’autorisation et de blocage fonctionne normalement. Si l’utilisateur possède plusieurs appareils Android, tous les appareils sont autorisés, car les appareils Android ne peuvent pas être différenciés. Vous pouvez configurer la passerelle pour bloquer de façon statique ces appareils par ActiveSyncID, s’ils sont connus. Vous pouvez également configurer la passerelle pour qu’elle effectue un blocage en fonction de l’agent utilisateur ou du type d’appareil.

Pour spécifier le mode de stratégie, dans l’outil SMG Controller Configuration, procédez comme suit :

  1. Cliquez sur l’onglet Path Filters, puis cliquez sur Add.
  2. Dans la boîte de dialogue Path Properties, sélectionnez un mode de stratégie à partir de la liste Policy, puis cliquez sur Save.

Vous pouvez vérifier les règles sur l’onglet Policies de l’outil de configuration. Les règles sont traitées de haut en bas sur Citrix Gateway Connector pour Exchange ActiveSync. Les stratégies autorisées sont affichées avec une coche verte. Les stratégies refusées s’affichent un cercle rouge traversé d’une ligne. Pour actualiser l’écran et afficher les règles mises à jour le plus récemment, cliquez sur Refresh. Vous pouvez également modifier l’ordre des règles dans le fichier config.xml.

Pour tester les règles, cliquez sur l’onglet Simulator. Spécifiez des valeurs dans les champs. Elles peuvent également être obtenues à partir des journaux. Un message de résultat apparaît spécifiant Allow ou Block.

Pour configurer des règles statiques

Entrez des règles statiques avec les valeurs qui sont lues par le filtrage ISAPI des lectures de demandes HTTP de connexion ActiveSync. Les règles statiques permettent à Citrix Gateway Connector pour Exchange ActiveSync d’autoriser ou de bloquer le trafic en fonction des critères suivants :

  • User : Citrix Gateway Connector pour Exchange ActiveSync utilise la valeur de l’utilisateur autorisé et la structure de nom qui a été capturée lors de l’inscription de l’appareil. Ceci est couramment détecté en tant que domaine\nomutilisateur comme référencé par le serveur qui exécute XenMobile connecté à Active Directory via LDAP. L’onglet Log de l’outil de configuration du connecteur affiche les valeurs qui sont transmises via le connecteur. Les valeurs sont transmises si la structure de valeur doit être déterminée ou est différente.
  • DeviceID (ActiveSynciD) : également appelée ActiveSyncID de l’appareil connecté. Cette valeur est généralement présente dans la page de propriétés spécifiques de l’appareil dans la console XenMobile. Cette valeur peut également être vue depuis l’onglet Log de l’outil de configuration du connecteur.
  • DeviceType : le connecteur peut déterminer si un appareil est un iPhone, un iPad ou tout autre type d’appareil et peut l’autoriser ou le bloquer en fonction de ces critères. Comme avec d’autres valeurs, l’outil de configuration du connecteur peut révéler tous les types d’appareils connectés en cours de traitement pour la connexion ActiveSync.
  • UserAgent : contient des informations sur le client ActiveSync utilisé. Dans la plupart des cas, la valeur spécifiée correspond à une version spécifique d’un système d’exploitation et à la version de plate-forme de l’appareil mobile.

L’outil de configuration du connecteur en cours d’exécution sur le serveur gère toujours les règles statiques.

  1. Dans l’utilitaire SMG Controller Configuration, cliquez sur l’onglet Static Rules, puis cliquez sur Add.
  2. Dans la boîte de dialogue Static Rule Properties, spécifiez les valeurs que vous voulez utiliser en tant que critères. Par exemple, vous pouvez entrer un utilisateur pour autoriser l’accès en entrant le nom d’utilisateur (par exemple, AllowedUser), puis désactiver la case à cocher Disabled.
  3. Cliquez sur Enregistrer.

    La règle statique est maintenant effective. Vous pouvez également utiliser des expressions régulières pour définir des valeurs, mais vous devez activer le mode de traitement de la règle dans le fichier config.xml.

Pour configurer les règles dynamiques

Les stratégies et les propriétés d’appareils dans XenMobile définissent les règles dynamiques et peuvent déclencher un filtre Citrix Gateway Connector pour Exchange ActiveSync dynamique. Les déclencheurs sont basés sur la présence d’une violation de stratégie ou d’un paramètre de propriété. Les filtres du connecteur analysent un appareil à la recherche d’une violation de stratégie ou d’un paramètre de propriété donné. Si l’appareil est conforme aux critères, l’appareil est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. Il s’agit d’une liste d’appareils qui satisfait au critère défini. Les options de configuration suivantes vous permettent de définir si vous souhaitez autoriser ou refuser les appareils dans la liste d’appareils en utilisant le connecteur.

Remarque :

Vous devez utiliser la console XenMobile pour configurer les règles dynamiques.

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur ActiveSync Gateway. La page ActiveSync Gateway s’affiche.

  3. Dans Activer la ou les règles suivantes, sélectionnez une ou plusieurs règles à activer.

  4. Dans Android uniquement, dans Envoyer les utilisateurs de domaine Android vers ActiveSync Gateway, cliquez sur Oui pour vous assurer que XenMobile envoie les informations de l’appareil Android à Secure Mobile Gateway.

    Lorsque cette option est activée, XenMobile envoie les informations de l’appareil Android à Citrix Gateway Connector pour Exchange ActiveSync lorsqu’il ne dispose pas de l’identificateur ActiveSync de l’utilisateur de l’appareil Android.

Pour configurer des stratégies personnalisées en modifiant le fichier XML de Citrix Gateway Connector pour Exchange ActiveSync

Vous pouvez afficher les stratégies de base dans la configuration par défaut sur l’onglet Policies de l’outil de configuration Citrix Gateway Connector pour Exchange ActiveSync. Si vous souhaitez créer des stratégies personnalisées, vous pouvez modifier le fichier de configuration XML du connecteur (config\config.xml).

  1. Recherchez la section PolicyList dans le fichier, puis ajoutez un nouvel élément Policy.
  2. Si un nouveau groupe est également requis, tel qu’un groupe statique ou un groupe pour prendre en charge un autre GCP, ajoutez le nouvel élément Group à la section GroupList.
  3. Si vous le souhaitez, vous pouvez modifier l’ordre des groupes dans une stratégie existante en réorganisant les éléments GroupRef.

Configuration du fichier XML de Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync utilise un fichier de configuration XML pour déterminer les actions du connecteur. Entre autres entrées, le fichier spécifie les fichiers du groupe et les actions associées que le filtre effectue lors de l’évaluation des requêtes HTTP. Par défaut, le fichier est appelé config.xml et est situé à l’emplacement suivant : ..\Program Files\Citrix\XenMobile Citrix ADC Connector\config.

Nœuds GroupRef

Les nœuds GroupRef définissent les noms des groupes logiques. Les valeurs par défaut sont AllowGroup et DenyGroup.

Remarque :

L’ordre des nœuds GroupRef tels qu’ils apparaissent dans le nœud GroupRefList est significatif.

La valeur de l’ID d’un nœud GroupRef identifie un conteneur logique ou une collection de membres qui sont utilisés pour la mise en correspondance des comptes d’utilisateurs ou d’appareils spécifiques. Les attributs d’action spécifient la façon dont le filtre traite un membre qui correspond à une règle dans la collection. Par exemple, un compte d’utilisateur ou un appareil qui correspond à une règle dans l’ensemble AllowGroup sera « pass. » « pass » signifie qu’il est autorisé à accéder à Exchange CAS. Un compte d’utilisateur ou un appareil qui correspond à une règle dans l’ensemble DenyGroup est « rejected. » « rejected » signifie qu’il n’est pas autorisé à accéder à Exchange CAS.

Lorsqu’un compte utilisateur/appareil particulier ou une combinaison des deux répond aux règles dans les deux groupes, une convention de priorité est utilisée pour diriger le résultat de la requête. La priorité est incorporée dans l’ordre des nœuds GroupRef dans le fichier config.xml de haut en bas. Les nœuds GroupRef sont classés par ordre de priorité. Les règles pour une condition donnée dans le groupe Allow seront toujours prioritaires sur les règles de la même condition du groupe Deny.

Nœuds de groupe

De plus, le fichier config.xml définit les nœuds Groupe. Ces nœuds fournissent une liaison entre les conteneurs logiques AllowGroup et DenyGroup vers les fichiers XML externes. Les entrées stockées dans les fichiers externes forment la base des règles de filtre.

Remarque :

Dans cette version, seuls les fichiers XML externes sont pris en charge.

L’installation par défaut implémente deux fichiers XML de configuration : allow.xml et deny.xml.

Configuration de Citrix Gateway Connector pour Exchange ActiveSync

Vous pouvez configurer Citrix Gateway Connector pour Exchange ActiveSync pour bloquer ou autoriser les demandes ActiveSync de manière sélective en vous basant sur les propriétés suivantes : Active Sync Service ID, Device type, User Agent (système d’exploitation de l’appareil), Authorized user et ActiveSync Command.

La configuration par défaut prend en charge une combinaison de groupes statiques et dynamiques. Vous pouvez gérer les groupes statiques à l’aide de l’utilitaire de configuration SMG Controller. Les groupes statiques peuvent être composés de catégories d’appareils connues, telles que les appareils utilisant un agent utilisateur donné.

Une source externe appelée fournisseur de configuration de passerelle gère les groupes dynamiques. Citrix Gateway Connector pour Exchange ActiveSync connecte les groupes régulièrement. XenMobile peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers le connecteur.

Les groupes dynamiques sont gérés par une source externe appelée Gateway Configuration Provider et sont régulièrement collectés par Citrix Gateway Connector pour Exchange ActiveSync. XenMobile peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers le connecteur.

Une stratégie est une liste ordonnée de groupes dans laquelle chaque groupe est associé à une action (autoriser ou bloquer) et une liste des membres du groupe. Une stratégie peut contenir n’importe quel nombre de groupes. L’ordre du groupe dans une stratégie est important car lorsqu’une correspondance est localisée, l’action du groupe est prise, et les autres groupes ne sont pas évalués.

Un membre définit une façon de faire correspondre les propriétés d’une demande. Il peut correspondre à une seule propriété, telle que l’ID d’appareil ou plusieurs propriétés, telles que le type d’appareil et l’agent utilisateur.

Choix d’un modèle de sécurité pour Citrix Gateway Connector pour Exchange ActiveSync

L’établissement d’un modèle de sécurité est nécessaire au succès d’un déploiement d’appareils mobiles pour les organisations de toutes tailles. Il est courant d’utiliser un contrôle de réseau protégé ou en quarantaine pour autoriser l’accès à un utilisateur, un ordinateur ou un appareil par défaut. Cette pratique n’est pas toujours idéale. Chaque organisation qui gère la sécurité informatique peut avoir une approche légèrement différente ou adaptée à la sécurité pour les appareils mobiles.

La même logique s’applique à la sécurité des appareils mobiles. Un modèle permissif est un choix inadapté étant donné le grand nombre de types et d’appareils mobiles, d’appareils mobiles par utilisateur et de plates-formes de systèmes d’exploitation et d’applications disponibles. Dans la plupart des organisations, le modèle restrictif sera le choix le plus logique.

Les scénarios de configuration que Citrix autorise pour l’intégration de Citrix Gateway Connector pour Exchange ActiveSync avec XenMobile sont les suivants :

Modèle permissif (Permit Mode)

Le modèle de sécurité permissif fonctionne sur le principe que l’accès est autorisé par défaut. Un blocage et une restriction seront appliqués uniquement via des règles et un filtrage. Le modèle de sécurité permissif est adapté aux organisations dans lesquelles la sécurité n’est pas une préoccupation principale pour les appareils mobiles. Le modèle applique uniquement des contrôles restrictifs pour refuser l’accès lorsque cela est approprié (lorsqu’une règle de stratégie a échoué).

Modèle restrictif (Block Mode)

Le modèle de sécurité restrictif est basé sur le principe que l’accès n’est pas autorisé par défaut. Tout le contenu transitant par le point de vérification est filtré et inspecté, et l’accès est refusé, sauf si les règles autorisant l’accès sont satisfaites. Le modèle de sécurité restrictif est adapté aux organisations qui possèdent des mesures de sécurité relativement strictes pour les appareils mobiles. Le mode accorde seulement l’accès (à des fins d’utilisation et aux fonctionnalités) aux services réseau lorsque toutes les règles autorisant l’accès sont observées.

Gestion de Citrix Gateway Connector pour Exchange ActiveSync

Vous pouvez utiliser Citrix Gateway Connector pour Exchange ActiveSync pour créer des règles de contrôle d’accès. Les règles autorisent ou bloquent l’accès aux demandes de connexion ActiveSync des appareils gérés. L’accès dépend de l’état de l’appareil, des listes d’autorisation ou de blocage et d’autres critères de conformité.

À l’aide de l’outil de configuration Citrix Gateway Connector pour Exchange ActiveSync, vous pouvez créer des règles dynamiques et statiques qui appliquent des stratégies de messagerie d’entreprise, ce qui vous permet de bloquer les utilisateurs qui ne respectent pas ces règles. Vous pouvez également configurer le cryptage des pièces jointes aux e-mails, de sorte que toutes les pièces jointes qui sont transmises par le biais de votre serveur Exchange vers les appareils gérés sont cryptées et uniquement disponibles sur les appareils gérés par des utilisateurs autorisés.

Désinstallation de Citrix Gateway Connector pour Exchange ActiveSync

  1. Exécutez XncInstaller.exe avec un compte d’administrateur.
  2. Suivez les instructions à l’écran pour procéder à la désinstallation.

Installation, mise à niveau ou désinstallation de Citrix Gateway Connector pour Exchange ActiveSync

  1. Exécutez XncInstaller.exe avec un compte administrateur pour installer le connecteur ou autoriser la mise à niveau ou la suppression d’un connecteur existant.
  2. Suivez les instructions à l’écran pour procéder à l’installation, la mise à niveau ou la désinstallation.

Après avoir installé le connecteur, vous devez redémarrer manuellement le service de configuration et le service de notification de XenMobile.

Installation de Citrix Gateway Connector pour Exchange ActiveSync

Vous installez Citrix Gateway Connector pour Exchange ActiveSync sur son propre serveur Windows.

La charge d’UC que le connecteur place sur un serveur dépend du nombre d’appareils gérés. Pour un grand nombre d’appareils (plus de 50 000), il se peut que vous deviez provisionner plus d’un noyau si vous ne disposez pas d’un environnement en cluster. L’encombrement mémoire du connecteur n’est pas assez important pour justifier plus de mémoire.

Configuration système requise pour Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync communique avec Citrix ADC sur un pont SSL configuré sur l’appliance Citrix ADC. La passerelle permet à l’appliance d’acheminer tout le trafic sécurisé directement vers XenMobile. Le connecteur requiert la configuration système minimale suivante :

Composant Exigences
Ordinateur et processeur 733 MHz Pentium III 733 MHz ou processeur supérieur. 2.0 GHz Pentium III ou processeur supérieur (recommandé)
Citrix ADC Appliance Citrix ADC avec version du logiciel 10
Memory 1 GB
Disque dur Partition locale au format NTFS avec 150 Mo d’espace disque dur disponible
Système d’exploitation Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Doit être un serveur en anglais. Le support pour Windows Server 2008 R2 Service Pack 1 prend fin le 14 janvier 2020 et le support pour Windows Server 2012 R2 prend fin le 10 octobre 2023.
Autres périphériques Carte réseau compatible avec le système d’exploitation hôte pour les communications avec le réseau interne.
Microsoft .NET Framework La version 8.5.1.11 requiert Microsoft .NET Framework 4.5.
Affichage Moniteur VGA ou de plus haute résolution

L’ordinateur hôte pour Citrix Gateway Connector pour Exchange ActiveSync requiert l’espace disque disponible suivant :

  • Application : 10 -15 Mo (100 Mo recommandés)
  • Logging. 1 Go (20 Go recommandés)

Pour de plus amples informations sur les plates-formes prises en charge pour Citrix Gateway Connector pour Exchange ActiveSync, consultez Systèmes d’exploitation d’appareils pris en charge.

Clients de messagerie d’appareil

Les clients de messagerie ne renvoient pas tous le même ID ActiveSync pour un appareil. Étant donné que Citrix Gateway Connector pour Exchange ActiveSync s’attend à un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent toujours les mêmes ID ActiveSync uniques pour chaque appareil sont pris en charge. Citrix a testé ces clients de messagerie et aucune erreur n’a été détectée :

  • Client de messagerie natif Samsung
  • Client de messagerie natif iOS

Déploiement de Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync vous permet d’utiliser Citrix ADC pour servir de proxy et équilibrer la charge des communications du XenMobile Server avec les appareils gérés XenMobile. Le connecteur communique périodiquement avec XenMobile pour synchroniser les stratégies. Le connecteur et XenMobile peuvent être en cluster, ensemble ou indépendamment, et leur charge peut être équilibrée par Citrix ADC.

Composants de Citrix Gateway Connector pour Exchange ActiveSync

  • Service Citrix Gateway Connector pour Exchange ActiveSync : ce service offre une interface de service Web REST pouvant être invoquée par Citrix ADC pour déterminer si une demande ActiveSync provenant d’un appareil est autorisée.
  • Service de configuration XenMobile : ce service communique avec XenMobile pour synchroniser les modifications apportées aux stratégies XenMobile avec le connecteur.
  • Service de notification XenMobile : ce service envoie des notifications d’accès non autorisé à XenMobile. De cette façon, XenMobile peut prendre les mesures appropriées, envoyer à l’utilisateur une notification expliquant pourquoi l’appareil a été bloqué par exemple.
  • Outil de configuration de Citrix Gateway Connector pour Exchange ActiveSync : cette application permet à l’administrateur de configurer et de surveiller le connecteur.

Configuration d’adresses d’écoute pour Citrix Gateway Connector pour Exchange ActiveSync

Pour que Citrix Gateway Connector pour Exchange ActiveSync reçoive des demandes de Citrix ADC pour autoriser le trafic ActiveSync, procédez comme suit. Indiquez le port sur lequel le connecteur écoute les appels de service Citrix ADC.

  1. Dans le menu Démarrer, sélectionnez l’outil de configuration Citrix Gateway Connector pour Exchange ActiveSync.
  2. Cliquez sur l’onglet Web Service, puis entrez les adresses d’écoute pour le service Web du connecteur. Vous pouvez sélectionner le protocole HTTP et/ou HTTPS. Si le connecteur est co-résident avec XenMobile (installé sur le même serveur), sélectionnez les valeurs de port qui ne sont pas en conflit avec XenMobile.
  3. Une fois les valeurs configurées, cliquez sur Save, puis sur Start Service pour démarrer le service Web.

Configuration de stratégies de contrôle d’accès à l’appareil dans Citrix Gateway Connector pour Exchange ActiveSync

Pour configurer la stratégie de contrôle d’accès que vous souhaitez appliquer à vos appareils gérés, effectuez les opérations suivantes :

  1. Dans l’outil de configuration Citrix Gateway Connector pour Exchange ActiveSync, cliquez sur l’onglet Path Filters.
  2. Sélectionnez la première ligne, Microsoft-Server-ActiveSync is for ActiveSync, puis cliquez sur Edit.
  3. À partir de la liste Policy, sélectionnez la stratégie désirée. Pour une stratégie qui comprend des stratégies XenMobile, sélectionnez Static + ZDM: Permit Mode ou Static + ZDM: Block Mode. Ces stratégies combinent des règles locales (ou statiques) avec les règles de XenMobile. Permit Mode signifie que tous les appareils non identifiés de manière explicite par les règles sont autorisés à accéder à ActiveSync. Block Mode signifie que de tels appareils sont bloqués.
  4. Après avoir défini les stratégies, cliquez sur Save.

Pour configurer les communications avec XenMobile

Spécifiez le nom et les propriétés du XenMobile Server (également appelé fournisseur de configuration) que vous souhaitez utiliser avec Citrix Gateway Connector pour Exchange ActiveSync et Citrix ADC.

Remarque :

Cette tâche suppose que vous avez déjà installé et configuré XenMobile.

  1. Dans l’outil de configuration Citrix Gateway Connector pour Exchange ActiveSync, cliquez sur l’onglet Config Providers, puis cliquez sur Add.
  2. Entrez le nom et l’URL de XenMobile Server que vous utilisez pour ce déploiement. Si vous disposez de plusieurs serveurs XenMobile déployés dans un déploiement multi-locataire, ce nom doit être unique pour chaque instance de serveur. Par exemple, pour le champ Nom, vous pouvez entrer XMS.
  3. Dans Url, entrez l’adresse Web du service XenMobile GCS (Gateway Configuration Service), généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Password, saisissez le mot de passe qui est utilisé pour l’autorisation HTTP de base avec le serveur Web XenMobile.
  5. Dans Managing Host, entrez le nom du serveur sur lequel vous avez installé Citrix Gateway Connector pour Exchange ActiveSync.
  6. Dans Baseline Interval, spécifiez une période de temps après laquelle un nouveau ruleset dynamique actualisé est extrait depuis XenMobile.
  7. Dans Request Timeout, spécifiez l’intervalle d’expiration du délai de demande du serveur.
  8. Dans Config Provider, sélectionnez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  9. Dans Events Enabled, activez cette option si vous souhaitez que Secure Mobile Gateway informe XenMobile lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles Secure Mobile Gateway dans l’une des actions automatisées de votre Device Manager.
  10. Une fois que le serveur est configuré, cliquez sur Test Connectivity pour tester la connexion à XenMobile.
  11. Lorsque la connexion est établie, cliquez sur Save.

Déploiement de Citrix Gateway Connector pour Exchange ActiveSync pour la redondance et la capacité à monter en charge

Si vous voulez étendre votre déploiement Citrix Gateway Connector pour Exchange ActiveSync et XenMobile, vous pouvez installer des instances du connecteur sur plusieurs serveurs Windows, et les faire pointer vers la même instance de XenMobile, puis utiliser Citrix ADC pour équilibrer la charge des serveurs.

Il existe deux modes de configuration de Citrix Gateway Connector pour Exchange ActiveSync :

  • En mode non partagé, chaque instance de Citrix Gateway Connector pour Exchange ActiveSync communique avec un XenMobile Server et conserve sa propre copie privée de la stratégie résultante. Par exemple, si vous possédez un cluster de XenMobile Server, vous pouvez exécuter une instance du connecteur sur chaque XenMobile Server et le connecteur obtiendra des stratégies depuis l’instance locale de XenMobile.
  • En mode partagé, un nœud du connecteur est désigné comme nœud principal et il communique avec XenMobile. La configuration résultante est partagée entre les autres nœuds soit par un partage réseau Windows soit par une réplication Windows (ou tierce).

La totalité de la configuration du connecteur se trouve dans un dossier unique (composé de plusieurs fichiers XML). Le processus du connecteur détecte les modifications apportées à tout fichier dans ce dossier et recharge automatiquement la configuration. Il n’y a pas de basculement du nœud principal en mode partagé. Toutefois, le système peut tolérer le fait que le serveur principal soit arrêté pendant quelques minutes (par exemple, pour redémarrer), car la dernière configuration correcte connue est mise en cache dans le processus du connecteur.

Citrix Gateway Connector pour Exchange ActiveSync