XenMobile Mail Manager 10.x

XenMobile Mail Managerには、XenMobileの機能を拡張する以下の機能が備わっています。

  • Exchange ActiveSync(EAS)デバイスに対するダイナミックアクセス制御。EASデバイスのExchangeサービスに対するアクセスを自動的に許可または禁止できます。
  • Exchangeが提供するEASデバイスパートナーシップ情報にアクセスする、XenMobileの機能。
  • モバイルデバイスでEASワイプを実行するXenMobileの機能。
  • Blackberryデバイスに関する情報にアクセスしたり、ワイプやパスワードリセットなどの制御操作を実行したりするXenMobileの機能。

XenMobile Mail Managerをダウンロードするには、Citrix.comのXenMobile 10サーバーのサーバーコンポーネントセクションに移動します。

バージョン10.1.6の新機能

XenMobile Mail Managerバージョン10.1.6では、次の問題の修正と機能の強化が行われました。

  • [スナップショット履歴]ウィンドウが時々更新されなくなることがありました。このウィンドウの更新メカニズムが改善され、更新がより確実に行われるようになりました。[CXM-47983]
  • パーティション化済みのスナップショットとパーティション化されていないスナップショットに、別々のモードおよびコードパスが使用されていました。パーティション化されていないスナップショットは、単一の「*」パーティションを用いた構成でパーティション化したスナップショットと同じであったため、パーティション化なしのスナップショットモードは削除されました。デフォルトのスナップショットモードは、36個のパーティション(0~9、A~Z)でパーティション化されたスナップショットになりました。[CXM-49093]
  • [スナップショット履歴]ウィンドウで、エラーメッセージが状態メッセージにより上書きされていました。このバージョンより、状態とエラーを同時に確認できるよう、XenMobile Mail Managerに2つの別々のフィールドが表示されるようになりました。[CXM-51942]
  • Exchange Online(Office 365)に接続するときに、スナップショット関連のクエリによってデータセットの切り捨てが行われることがありました。この問題は、XenMobile Mail Managerで複数のコマンドをパイプラインでつないだスクリプトを実行すると発生していました。上流のコマンドから下流のコマンドへデータを渡す速度が十分ではなかったため、作業が途中で終了し、結果としてデータが不完全になっていました。このバージョンより、XenMobile Mail Managerでパイプラインそのものを再現できるようになったため、上流のコマンドが完了するまで待機してから、下流のコマンドが呼び出されるようになりました。この変更により、すべてのデータが処理され、記録されるようになります。[CXM-52280]
  • Exchangeに対するポリシー更新コマンドで解決不能なエラーが発生した場合、そのコマンドが長時間にわたって繰り返し作業キューへ返されていました。このため、Exchangeに何度も同じコマンドが送信されていました。このバージョンのXenMobile Mail Managerでは、エラーが生じたコマンドは、限られた回数だけ作業キューへ返されるようになりました。[CXM-52633]
  • 特定のメールボックスのポリシー更新で全デバイスの許可またはブロックを行った場合:空のリストがNULLではなく空の文字列に変換されていたため、発行した Set-CASMailbox コマンドが失敗していました。このバージョンより、適切なデータが送信されるようになりました。[CXM-53759]
  • 新しいデバイスを処理する場合、Exchangeでは一定時間(通常15分)にわたり、「DeviceDiscovery」という状態が返されることがあります。XenMobile Mail Managerでは、この状態を特に処理していませんでした。このバージョンより、XenMobile Mail Managerは、この状態を処理するようになりました。UIの[モニター]タブで、この状態にあるデバイスをフィルターできるようになりました。[CXM-53840]
  • XenMobile Mail Managerでは、XenMobile Mail Managerデータベースへの書き込みが可能かどうかのチェックを行っていませんでした。そのため、権限に制限があると、動作を予測できていませんでした。このバージョンより、XenMobile Mail Managerは、データベースで必要な権限を取得、検証するようになりました。XenMobile Mail Managerで、接続のテスト中(表示メッセージ)、またはメインの[構成]ウィンドウ下部のデータベースインジケーター(マウスカーソルを重ねるとメッセージを表示)に、権限が足りないことが示されるようになりました。[CXM-54219]
  • 実行中のワークロードによっては、XenMobile Mail Managerに命令を出してもサービスがすぐに止まらず、応答しなくなることがありました。改善により実施中のタスクを中断できるようになり、シャットダウンが正常に行われるようになりました。[CXM-54282]

バージョン10.1.5の新機能

XenMobile Mail Managerバージョン10.1.5では、次の問題が修正されています。

  • ExchangeがXenMobile Mail Managerのアクティビティを制限している場合でも、制限が行われていることがログ以外に示されていませんでした。このリリースでは、アクティブなスナップショットにマウスカーソルを重ねると、「制限中」状態が表示されるようになりました。また、XenMobile Mail Managerが制限を受けている場合、Exchangeで制限が解除されるまでメジャースナップショットを開始できなくなりました。[CXM-49617]
  • メジャースナップショット中にExchangeによりXenMobile Mail Managerが制限されている場合:十分な時間が経過する前に、次のスナップショットが試行されることがありました。この問題により、さらに制限が行われ、スナップショットは失敗していました。このバージョンより、XenMobile Mail Managerは、各スナップショット試行の間にExchangeで指定された最小時間だけ待機するようになりました。[CXM-49618]
  • 診断を有効にすると、コマンドファイルに、各プロパティ名の前にハイフンがついていない Set-CasMailbox コマンドが表示されていました。この問題は診断ファイルの書式内でのみ発生し、Exchangeへの実際のコマンドでは発生しません。ハイフンが不足しているため、コマンドを切り取って直接PowerShellプロンプトに貼り付けて、テストや検証を行うことができませんでした。このバージョンより、ハイフンが追加されました。[CXM-52520]
  • メールボックスIDの形式が「姓, 名」の場合、Exchangeでは、クエリのデータを返すときにコンマの前にバックスラッシュが追加されます。XenMobile Mail ManagerでこのIDを使用してさらにデータのクエリを行う場合、このバックスラッシュは削除する必要があります。[CXM-52635]

既知の制限事項

XenMobile Mail Managerには、Exchangeに対するコマンドの失敗の原因となる可能性がある既知の問題が存在しています。ポリシーの変更をExchangeに適用する場合、XenMobile Mail Managerにより Set_CASMailbox コマンドが発行されます。このコマンドでは、許可リストと禁止リストの2つのデバイスリストを取ることができます。コマンドは、メールボックスのパートナーに設定されているデバイスに適用されます。

これらの各リストの文字数は、MicrosoftのAPIにより256文字までに制限されています。どちらかのリストの文字数がこの制限を超えると、コマンド全体が失敗し、指定したメールボックスのデバイスにはいずれのポリシーも設定されません。エラーは次のような形で、XenMobile Mail Managerログに表示されます。禁止リストの場合の例を次に示します。

“メッセージ: ‘パラメーター ‘ActiveSyncBlockedDeviceIDs’ をターゲットにバインドできません。例外設定 “ActiveSyncBlockedDeviceIDs”:”プロパティが長すぎます。文字数の上限は256文字であり、指定された値の長さは…”

デバイスIDの長さはさまざまですが、大まかに言って、10台以上のデバイスを一度に許可または禁止しようとするとこの制限を超える可能性があります。あまり行われませんが、多数のデバイスを特定のメールボックスに関連付けることは可能です。XenMobile Mail Managerが改善されこのようなシナリオに対処できるようになるまでは、ユーザーおよびメールボックスに関連付けるデバイスの数は10台以下に制限することをお勧めします。

バージョン10.1.4の新機能

XenMobile Mail Managerバージョン10.1.4では、次の問題が修正されています。

  • セキュリティの弱化のため、TLS 1.0はPCI評議会の推奨でなくなりました。XenMobile Mail ManagerにTLS 1.1および1.2のサポートが追加されました。[CXM-38573、CXM-32560]
  • XenMobile Mail Managerに新しい診断ファイルが追加されました。Exchangeの仕様で [診断を有効にする] を選択すると、新しいスナップショット履歴ファイルが生成されます。スナップショットを試行するたびに、スナップショットの結果を含む行がファイルに追加されます。[CXM-49631]
  • コマンド診断ファイルで、Set-CASMailboxコマンドで許可された、またはブロックされたデバイスの一覧が表示されませんでした。代わりに、関連する引数のファイルに内部クラス名が表示されていました。XenMobile Mail Managerで、deviceIDの一覧がコンマ区切り一覧として表示されるようになりました。[CXM-50693]
  • 不適切な仕様のためにExchangeへの接続の確立が失敗した場合:エラーメッセージが、「すべての接続が使用中です」という不適切なメッセージで上書きされます。「すべての接続が動作不能」、「接続プールが空です」、「すべての接続が抑制されている」、「使用可能な接続がありません」などのよりわかりやすいメッセージが表示されるようになりました。[CXM-50783]
  • 一部のケースで、XenMobile Mail Managerの内部キャッシュに、Allow、Block、またはWipeコマンドが複数回キューイングされることがあります。この問題により、Exchangeに送信されるコマンドの遅延が発生します。XenMobile Mail Managerは、各コマンドで1つのインスタンスのみをキューイングするようになりました。[CXM-51524]

バージョン10.1.3の新機能

  • Google Analyticsのサポート: 製品の改善可能な箇所に集中できるように、私たちはユーザーの皆様がXenMobile Mail Managerをどのように使用しているかについて知りたいと考えています。
  • 診断を有効にするための設定: [診断を有効にする] チェックボックスが、[設定] ダイアログボックスの設定コンソールに表示されます。

Mail Managerコンソールのイメージ

Version 10.1.3で解決された問題

  • [スナップショット履歴] ウィンドウで、スナップショットの現在の状態を示すツールチップに実際の状態が反映されません。[CXM-5570] XenMobile Mail Managerがコマンド診断ファイルに書き込めないことがありました。これが発生すると、コマンド履歴全体が記録されません。[CXM-49217]
  • 接続でエラーが発生した場合に、接続が「エラー」とマークされないことがあります。その結果、後続のコマンドが接続を使用しようとして、別のエラーを引き起こす可能性があります。[CXM-49495]
  • Exchange Serverからの調整が発生すると、ヘルスチェックルーチンで例外がスローされる場合があります。その結果、エラーが発生した、または期限切れになった接続が削除されないことがあります。また、XenMobile Mail Managerは調整時間の期限が切れるまで接続を作成しないことがあります。[CXM-49794]。
  • Exchangeの最大セッション数を超えた場合にXenMobile Mail Managerから「デバイスのキャプチャに失敗した」というエラーが報告されますが、このメッセージは正確でありません。このメッセージではなく、XenMobile Mail Managerが通常Exchange通信に使用する2つのセッションが使用中であることを示すメッセージを表示する必要があります。[CXM-49994]

バージョン10.1.2の新機能

  • Exchangeとの接続の改善: XenMobile Mail ManagerはPowerShellセッションを使用してExchangeと通信します。PowerShellセッション(特にOffice 365を扱う場合)は、しばらくすると不安定になり、その後のコマンドが正常に機能しなくなる可能性があります。XenMobile Mail Managerで接続の有効期限を設定できるようになりました。接続が有効期限に達すると、XenMobile Mail ManagerはPowerShellセッションを即時シャットダウンしてセッションを作成します。これにより、PowerShellセッションが不安定になる可能性が低くなり、スナップショットの失敗の可能性が大幅に減少します。
  • スナップショットのワークフローの改善: 大半のスナップショットは、プロセスを集中的に使用する時間のかかる操作です。スナップショット中にエラーが発生した場合に、XenMobile Mail Managerがスナップショットの完了を複数回(最大3回)試行するようになりました。その後の試行では最初からは開始されません。中断した場所から続行します。この機能拡張により、スナップショットの進行中に一時的なエラーが発生するのを許容することで、スナップショットの成功率が向上します。
  • 診断の改善: スナップショット中に3つの新しい診断ファイルが生成されるようになり(オプション)、スナップショット操作のトラブルシューティングが簡単になりました。これらのファイルは、PowerShellコマンドの問題、情報が欠落しているメールボックス、およびメールボックスに関連付けできないデバイスを識別するのに役立ちます。管理者はこれらのファイルを使用して、Exchange内の不適切なデータを識別できます。
  • メモリ使用率の向上: XenMobile Mail Managerのメモリ使用効率が向上しました。管理者は、XenMobile Mail Managerを自動的に再起動し、システムにクリーンスレートが提供されるようにスケジュールできます。
  • Microsoft .NET Framework 4.6の前提条件: Microsoft .NET Frameworkの前提条件がバージョン4.6になりました。

解決された問題

  • 資格情報の要求エラー:Office 365のセッションが不安定なために、このエラーが発生することがよくありました。Exchangeへの接続を改善する機能強化により、この問題に対応しています。(XMHELP-293、XMHELP-311、XMHELP-801)
  • メールボックスとデバイスの数が不正確:XenMobile Mail Managerで、メールボックスとデバイスの関連付けアルゴリズムが改善されました。診断機能の改善により、XenMobile Mail Managerが責任範囲外と判断したメールボックスとデバイスを識別できるようになりました。(XMHELP-623)
  • Allow、Block、Wipeコマンドが認識されない:XenMobile Mail ManagerのAllow、Block、Wipeコマンドが認識されないことがあるバグが修正されました。(XMHELP-489)
  • メモリ管理:メモリ管理とメモリ緩和が改善されました。(XMHELP-419)

アーキテクチャ

次の図に、XenMobile Mail Managerの主要コンポーネントを示します。詳細なリファレンスアーキテクチャ図については、「アーキテクチャ」を参照してください。

XenMobile Mail Managerアーキテクチャの図

次の3つの主要コンポーネントがあります。

  • Exchange ActiveSyncアクセス制御管理: XenMobileと通信して、XenMobileからExchange ActiveSyncポリシーを取得します。さらに、このポリシーをローカルに定義されているポリシーと統合して、Exchangeへのアクセスを許可または拒否するExchange ActiveSyncデバイスを決定します。ローカルポリシーにより、Active Directoryのグループ、ユーザー、デバイスの種類、またはデバイスのユーザーエージェント(一般的にはモバイルプラットフォームのバージョン)によってアクセス制御できるように、ポリシー規則を拡張できます。
  • リモートPowerShell管理: リモートのPowerShellコマンドのスケジュール設定と呼び出しを処理して、Exchange ActiveSyncアクセス制御管理によって作成されたポリシーを有効にします。定期的にExchange ActiveSyncデータベースのスナップショットを取得し、新規の、または変更されたExchange ActiveSyncデバイスを検出します。
  • モバイルサービスプロバイダー: XenMobileでExchange ActiveSyncデバイスやBlackBerryデバイスに対してクエリを実行したり、Wipeなどの制御操作を発行したりできるように、Webサービスインターフェイスを提供します。

システム要件および前提条件

XenMobile Mail Managerを使用するには、以下のシステム環境が必要です。

  • Windows Server 2012 R2、Windows Server 2008 R2(英語ベースのサーバーであることが必須)
  • Microsoft SQL Server 2016、SQL Server 2014、SQL Server 2012、SQL Server 2012 Express LocalDB、またはSQL ServerExpress 2008
  • Microsoft .NET Framework 4.6
  • Blackberry Enterprise Service, version 5(オプション)

Microsoft Exchange Serverのサポートされる最小バージョン:

  • Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013
  • Exchange Server 2010 SP2

前提条件

  • Windows Management Frameworkがインストールされていること。
    • PowerShell V5、V4、V3
  • PowerShell実行ポリシーがSet-ExecutionPolicy RemoteSignedによってRemoteSignedに設定されていること。
  • XenMobile Mail Managerを実行しているコンピューターとリモートのExchange Serverの間で、TCPポート80が開いていること。

デバイスのメールクライアント:すべてのメールクライアントが、デバイスに関して一貫して同じActiveSync IDを返すわけではありません。XenMobile Mail Managerは、各デバイスに対して一意のActiveSync IDを前提とするため、デバイスごとに一意の同じActiveSync IDを一貫して生成するメールクライアントのみをサポートします。以下のメールクライアントはテスト済みで、エラーなく実行できます。

  • HTCのネイティブメールクライアント
  • Samsungのネイティブメールクライアント
  • iOSのネイティブメールクライアント
  • TouchDown for Smartphones

Exchange:Exchangeを実行しているオンプレミスコンピューターの要件は以下のとおりです:

Exchangeの構成UIで指定される資格情報を使用してExchange Serverに接続でき、次のExchange固有のPowerShellコマンドレットを実行するためのフルアクセスが付与される必要があります。

  • Exchange Server 2010 SP2の場合:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Exchange Server 2013およびExchange Server 2016の場合:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get MobileDevice
    • Get MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • XenMobile Mail Managerがフォレスト全体を表示するように構成されている場合は、Set-AdServerSettings -ViewEntireForest $true を実行するための権限が付与されている必要があります。
  • 指定された資格情報には、リモートシェルを介して、Exchange Serverに接続する権限が与えられている必要があります。デフォルトでは、Exchangeをインストールしたユーザーがこの権限を持ちます。
  • Microsoft TechNetサポート技術情報「about_Remote_Requirements」によれば、リモート接続を確立してリモートコマンドを実行するには、資格情報がリモートマシンの管理者であるユーザーに対応している必要があります。Set-PSSessionConfigurationを使用して管理要件を排除できますが、このコマンドの説明はこのドキュメントの範囲外です。詳細については、ブログ記事「You Don’t Have to Be An Administrator to Run Remote PowerShell Commands」を参照してください。
  • Exchange Serverは、HTTPを介してリモートPowerShell要求をサポートするように構成されている必要があります。通常、Exchange Serverで次のPowerShellコマンドを実行する管理者にとって必要なのは、WinRM QuickConfigだけです。
  • Exchangeには多くの調整ポリシーがあります。調整ポリシーのいずれかによって、各ユーザーに対して許可されるPowerShellの同時接続数が制御されます。Exchange 2010の場合、1人のユーザーに許可されている同時接続数のデフォルトは18です。接続数の上限に達すると、XenMobile Mail ManagerはExchange Serverに接続できなくなります。PowerShellの同時接続数の上限を変更する方法はいくつかありますが、このドキュメントでは扱いません。関心がある場合は、PowerShellによるリモート管理に関連する、Exchangeの調整ポリシーについて調べてください。

Office 365 Exchangeの要件

  • 権限: Exchangeの構成UIで指定される資格情報を使用してOffice 365に接続でき、次のExchange固有のPowerShellコマンドレットを実行するためのフルアクセスが付与される必要があります:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get MobileDevice
    • Get MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 特権: 指定された資格情報には、リモートシェルを介して、Office 365サーバーに接続する権限が与えられている必要があります。デフォルトでは、Office 365のオンライン管理者には、必要な権限が備えられています。
  • 調整ポリシー: Exchangeには多くの調整ポリシーがあります。調整ポリシーのいずれかによって、各ユーザーに対して許可されるPowerShellの同時接続数が制御されます。Office 365の場合、1人のユーザーに許可されている同時接続数のデフォルトは3です。接続数の上限に達すると、XenMobile Mail ManagerはExchange Serverに接続できなくなります。PowerShellの同時接続数の上限を変更する方法はいくつかありますが、このドキュメントでは扱いません。関心がある場合は、PowerShellによるリモート管理に関連する、Exchangeの調整ポリシーについて調べてください。

インストールと構成

  1. XmmSetup.msiファイルをクリックして、インストーラーのプロンプトに従い、XenMobile Mail Managerをインストールします。

    Mail Managerのセットアップ画面のイメージ

  2. セットアップウィザードの最後の画面で、[構成ユーティリティの起動] をオンのままにしておきます。または、[スタート] メニューから、XenMobile Mail Managerを開きます。

    Mail Managerのセットアップ画面のイメージ

  3. 次のデータベースプロパティを構成します。

    • [構成]>[データベース] タブを選択します。
    • SQL Serverの名前(デフォルトはlocalhost)を入力します。
    • データベースはデフォルトのCitrixXmmのままにします。
  4. SQLに使用される次のいずれかの認証モードを選択します。

    • SQL: 有効なSQLユーザーのユーザー名とパスワードを入力します。
    • Windows統合: このオプションを選択した場合、XenMobile Mail Managerサービスのログオン資格情報を、SQL Serverにアクセスするための権限を持つWindowsアカウントに変更する必要があります。これを行うには、[コントロールパネル]、[管理ツール]、[サービス] の順に選択し、XenMobile Mail Managerサービスエントリを右クリックし、[ログオン] タブをクリックします。

    BlackBerryデータベース接続に対しても[Windows統合]を選択している場合は、ここで指定されているWindowsアカウントにBlackBerryデータベースへのアクセスも付与する必要があります。

  5. [Test Connectivity]をクリックしてSQL Serverに接続できることを確認し、[Save]をクリックします。

  6. サービスの再起動を求めるメッセージが表示されます。[Yes] をクリックします。

    Mail Managerのセットアップ画面のイメージ

  7. 1つまたは複数のExchange Serverを構成します。

    • 単一のExchange環境を管理している場合は、サーバーを1つのみ指定します。複数のExchange環境を管理している場合は、Exchange環境ごとに1つのExchange Serverを指定する必要があります。
    • [構成]>[Exchange] タブをクリックし、[追加] をクリックします。

    Mail Managerのセットアップ画面のイメージ

  8. Exchange Server環境の種類として[On Premise]または[Office 365]を選択します。

    Mail Managerのセットアップ画面のイメージ

    • [オンプレミス] を選択した場合は、リモートPowerShellコマンドで使用するExchange Serverの名前を入力します。
    • 要件セクションに指定された、Exchange Serverに対する適切な権限を持つWindows IDのユーザー名を入力し、その後そのユーザーのパスワードを入力します。
    • メジャースナップショットを実行するスケジュールを選択します。メジャースナップショットにより、すべてのExchange ActiveSyncパートナーシップが検出されます。
    • マイナースナップショットを実行するスケジュールを選択します。マイナースナップショットにより、新しく作成されたExchange ActiveSyncパートナーシップが検出されます。
    • スナップショットの種類として、[Deep]または[Shallow]を選択します。通常、簡易スナップショットははるかに高速で、XenMobile Mail ManagerのExchange ActiveSyncアクセス制御機能をすべて実行するには十分です。詳細スナップショットは、処理にかかる時間が長くなることがあり、モバイルサービスプロバイダーがActiveSyncに対して有効にされている場合にのみ必要です。このオプションを使用すると、XenMobileは非管理デバイスを照会できます。
    • [Default Access]で、[Allow][Block]、または[Unchanged]を選択します。この設定により、明示的なXenMobileまたはローカル規則で特定されたものを除くすべてのデバイスの処理方法が制御されます。[許可] を選択すると、そのようなすべてのデバイスへのActiveSyncアクセスが許可されます。「ブロック」 を選択すると、アクセスは拒否されます。[変更なし] を選択すると、変更は行われません。
    • [ActiveSync Command Mode]で、[PowerShell]または[Simulation]を選択します。
    • [PowerShell] モードでは、XenMobile Mail ManagerはPowerShellコマンドを発行し、必要なアクセス制御を有効にします。[シミュレーション]モードでは、XenMobile Mail ManagerはPowerShellコマンドを発行しませんが、想定しているコマンドと結果をデータベースに記録します。[Simulation]モードでは、PowerShellモードを有効にした場合の結果を[Monitor]タブを使って確認できます。
    • [接続の有効期限] で、接続の有効期間を分単位で設定します。接続が指定された経過時間に達すると、その接続は期限切れとマークされ、接続が再度使用されることはありません。期限切れの接続が使用されなくなると、XenMobile Mail Managerは接続を即時シャットダウンします。再接続が必要な場合は、使用可能なものがなければ、新しい接続が初期化されます。何も指定しないと、デフォルトの30分が使用されます。
    • Exchange環境でActive Directoryフォレスト全体を表示するようにXenMobile Mail Managerを構成するには、[View Entire Forest]を選択します。
    • 認証プロトコルとして [Kerberos] または [基本] を選択します。XenMobile Mail Managerは、オンプレミス展開でBasic認証をサポートします。これにより、XenMobile Mail ManagerサーバーがExchange Serverが存在するドメインのメンバーでなくても、XenMobile Mail Managerを使用できるようになります。
    • [Test Connectivity]をクリックしてExchange Serverに接続できることを確認し、[Save]をクリックします。
    • サービスの再起動を求めるメッセージが表示されます。[Yes] をクリックします。
  9. アクセス規則を構成します:[構成]>[アクセス規則] の順にタブを選択し、[XMSルール]タブをクリックして、[追加] をクリックします。

    Mail Managerコンソールのイメージ

  10. [XenMobileサーバーサービスのプロパティ] ページで、XenMobileサーバーを指すようにURL文字列を変更します。たとえば、インスタンス名がzdmの場合は、http://<XdmHostName>/zdm/services/MagConfigServiceと入力します。この例では、XdmHostNameをXenMobileサーバーのIPアドレスまたはDNSアドレスに置き換えます。

    Mail Managerコンソールのイメージ

    • サーバーで認証されているユーザーを入力します。
    • そのユーザーのパスワードを入力します。
    • [基準間隔][デルタ間隔]、および[タイムアウト] の値をデフォルト値のままにします。
    • [接続のテスト] をクリックして、サーバーへの接続を確認し、[OK] をクリックします。

    [無効] チェックボックスがオンの場合は、XenMobile MailサービスでXenMobileからポリシーが収集されません。

  11. [Local Rules]タブをクリックします。

    Mail Managerコンソールのイメージ

    • [ActiveSync Device ID]、[Device Type]、[AD Group]、[User]、またはデバイスの[UserAgent]に基づいてローカル規則を追加できます。一覧で、適切な種類を選択します。
    • テキストボックスにテキストまたはテキストフラグメントを入力します。必要に応じて、クエリボタンをクリックしてフラグメントに一致するエンティティを表示します。

    [グループ]以外のすべての種類の場合、システムはスナップショットで見つかったデバイスに依存します。したがって、操作を開始したばかりでスナップショットが完了していない場合は、エンティティが使用できません。

    • テキスト値を選択し、[Allow]または[Deny]をクリックして右側の[Rule List]ペインに追加します。[Rule List]ペインの右側にあるボタンを使用して、規則の順序を変更したり、規則を削除したりすることができます。順序は重要です。なぜなら、指定したユーザーおよびデバイスに対して規則が表示順に評価され、上位の規則(より上部に近い規則)に一致すると以降の規則が無効になるためです。たとえば、すべてのiPadデバイスを許可する規則とユーザー「Matt」をブロックする下位の規則がある場合、MattのiPadは許可されます。この理由は、「iPad」規則の効果の優先度が「Matt」規則よりも高いからです。
    • 規則一覧内の規則の分析を実行して、上書き、競合、または補足構造の可能性を検出する場合は、[分析][保存] の順にクリックします。
  12. Active Directoryのグループに対して使用するローカル規則を作成する場合は、[Configure LDAP]をクリックし、LDAP接続プロパティを構成します。

    Mail Managerコンソールのイメージ

  13. Mobile Service Providerを構成します。

    モバイルサービスプロバイダーはオプションです。この設定は、モバイルサービスプロバイダーインターフェイスを使用して非管理対象デバイスを照会するようにXenMobileが構成されている場合にのみ必要です。

    • [構成]>[MSP] の順にタブをクリックします。

    Mail Managerコンソールのイメージ

    • Mobile Service Providerサービスのサービストランスポートの種類([HTTP]または[HTTPS])を設定します。
    • モバイルサービスプロバイダーサービスのサービスポート(通常、80または443)を設定します。ポート443を使用する場合は、IISのこのポートにバインドされたSSL証明書が必要です。
    • [承認グループ] または [ユーザー] を設定します。これにより、XenMobileからMobile Service Providerサービスに接続できるユーザーまたは一連のユーザーが設定されます。
    • ActiveSyncクエリを有効または無効に設定します。XenMobileサーバーでActiveSyncクエリが有効の場合は、Exchange Server(1つまたは複数)のスナップショットの種類を [詳細] に設定する必要があります。この設定により、スナップショットの取得に相当なパフォーマンスコストがかかる場合があります。
    • デフォルトでは、正規表現「Secure Mail.*」に一致するActiveSyncデバイスは、XenMobileに送信されません。この動作を変更するには、必要に応じて [ActiveSyncのフィルター] フィールドを変更します。 空白は、すべてのデバイスがXenMobileに転送されることを意味します。
    • [保存] をクリックします。
  14. 必要に応じて、BlackBerry Enterprise Server(BES)のインスタンスを1つ以上構成します:[追加] をクリックし、BES SQL Serverのサーバー名を入力します

    Mail Managerコンソールのイメージ

    • BES管理データベースのデータベース名を入力します。
    • [認証] モードを選択します。[Windows Integrated authentication]を選択する場合、XenMobile Mail Managerサービスのユーザーアカウントが、BES SQL Serverへの接続に使用するアカウントになります。XenMobile Mail Managerデータベース接続に対しても[Windows Integrated]を選択している場合は、ここで指定したWindowsアカウントにXenMobile Mail Managerデータベースへのアクセスも付与する必要があります。
    • [SQL authentication]を選択する場合は、ユーザー名とパスワードを入力します。
    • [Sync Schedule]を設定します。これは、BES SQL Serverへの接続とデバイス更新のチェックに使用するスケジュールです。
    • [接続のテスト] をクリックして、SQL Serverへの接続を確認します。[Windows Integrated]を選択している場合、このテストでは、XenMobile Mail Managerサービスのユーザーではなく、現在ログオンしているユーザーが使用されるため、SQL認証が正確にテストされません。
    • XenMobileからのBlackBerryデバイスのリモートワイプやResetPasswordをサポートする場合は、[有効] チェックボックスをオンにします。
    • BESの完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)を入力します。
    • 管理者Webサービスで使用するBESポートを入力します。
    • BESサービスに必要な完全修飾ユーザー名とパスワードを入力します。
    • [Test Connectivity]をクリックして、BESへの接続をテストします。
    • [保存] をクリックします。

ActiveSync IDによるメールポリシーの適用

企業のメールポリシーによっては、特定のデバイスで企業メールを使用することが認められない場合があります。このポリシーに従うには、そのようなデバイスから従業員が企業メールにアクセスできないようにする必要があります。XenMobile Mail ManagerおよびXenMobileを連携させ、そのようなメールポリシーを適用することができます。XenMobileで企業メールアクセスのポリシーを設定し、未承認のデバイスがXenMobileに登録されたときにXenMobile Mail Managerでポリシーを適用します。

デバイス上のメールクライアントはデバイスIDを使用してExchange Server(またはOffice 365)にクライアントの存在を通知します。このIDはActiveSync IDとしても知られており、デバイスを識別するために使用されます。Secure Hubでは同様の識別子を取得し、デバイスが登録されるとXenMobileにこの識別子を送信します。XenMobile Mail Managerで2つのデバイスIDを比較することによって、特定のデバイスに企業メールへのアクセスを許可するかどうかが判定されます。次の図は、この概念を示しています。

ActiveSync IDワークフローの検出の図

デバイスがExchangeに公開したIDと異なるActiveSync IDがXenMobileからXenMobile Mail Managerに送信されると、XenMobile Mail ManagerからExchangeに対してそのデバイスに対する処理を指示できません。

ほとんどのプラットフォームで、ActiveSync IDは確実に一致します。ただし、一部のAndroidの実装では、デバイスが送信するActiveSync IDとメールクライアントがExchangeに通知するIDが異なることが判明しています。この問題を緩和するため、次のことを実行できます。

  • Samsung SAFEプラットフォームでは、デバイスのActiveSync構成をXenMobileからプッシュします。
  • ほかのすべてのAndroidプラットフォームでは、XenMobileからTouchdownアプリとTouchdown ActiveSync構成の両方をXenMobileからプッシュします。

ただし、これにより従業員がAndroidデバイスにTouchdown以外のメールクライアントをインストールできなくなるわけではありません。企業メールアクセスポリシーの適切な適用を保証するために、セキュリティについて防御的なスタンスをとり、静的なポリシーを[Deny by default]に設定することでXenMobile Mail Managerでメールを禁止するように構成することができます。これは、従業員がAndroidデバイスにTouchDown以外のメールクライアントを構成し、ActiveSync IDの検出が適切に動作しない場合は、従業員は企業メールへのアクセスを拒否されるということを意味します。

アクセス制御規則

XenMobile Mail Managerでは、Exchange ActiveSyncデバイスのアクセス制御を動的に構成するための、規則に基づく手法が提供されます。XenMobile Mail Managerのアクセス制御規則は、一致式と目的のアクセス状態(許可またはブロック)の2つで構成されます。特定のExchange ActiveSyncデバイスに対して規則を評価して、その規則がデバイスに適用されるかどうか、またはデバイスと一致するかどうかを判別できます。一致式にはいくつかの種類があります。たとえば、規則は、特定のデバイスの種類のすべてのデバイス、特定のExchange ActiveSyncデバイスID、特定のユーザーのすべてのデバイスと一致するなどの条件を指定できます。

規則一覧の規則を追加、削除、および並べ替えているときに [キャンセル] をクリックすると、規則一覧が最初に開いたときの状態に戻ります。[Save]をクリックしない限り、構成ツールを閉じるとこのウィンドウに対して加えた変更が失われます。

XenMobile Mail Managerには、ローカル規則、XenMobileサーバー規則(XDM規則とも呼ばれます)、およびデフォルトのアクセス規則の3種類の規則があります。

ローカル規則: ローカル規則が最も優先されます:デバイスがローカル規則と一致すると、規則の評価は停止します。XenMobileサーバー規則とデフォルトのアクセス規則は参照されません。ローカル規則は、[構成]>[アクセス規則]>[ローカル規則] タブから、XenMobile Mail Managerに対してローカルに構成します。サポート一致は、特定のActive Directoryグループ内のユーザーのメンバーシップに基づきます。サポート一致は、次のフィールドの正規表現に基づいています:

  • Active SyncデバイスID
  • ActiveSyncデバイスの種類
  • ユーザープリンシパル名(User Principal Name:UPN)
  • ActiveSyncユーザーエージェント(通常、デバイスプラットフォームまたはメールクライアント)

メジャースナップショットが完了し、デバイスが検出されている限り、通常の規則または正規表現の規則のいずれかを追加できます。メジャースナップショットが完了していない場合、正規表現の規則のみを追加できます。

XenMobile Server規則: 管理対象デバイスに関する規則を提供する外部XenMobileサーバーへの参照です。XenMobileサーバーは、デバイスがジェイルブレイク済みかどうかや、デバイスに禁止アプリケーションが含まれているかどうかなど、XenMobileが認識しているプロパティに基づいてデバイスが許可されるか、ブロックされるかを識別する独自の高レベルの規則を使用して構成できます。XenMobileでは、高レベルの規則が評価され、許可またはブロックする一連のActiveSyncデバイスIDが生成されて、これらがXenMobile Mail Managerに配信されます。

デフォルトのアクセス規則: デフォルトのアクセス規則は、すべてのデバイスと一致する可能性があり、常に最後に評価されるという点で独特です。この規則は、あらゆる状況に対応できる規則です。つまり、特定のデバイスがローカル規則とXenMobile Server規則のいずれにも一致しない場合は、デフォルトのアクセス規則での目的のアクセス状態によってデバイスにおける目的のアクセス状態が決まります。

  • デフォルトのアクセス – 許可: ローカル規則とXenMoble Server規則のいずれにも一致しないすべてのデバイスが許可されます。
  • デフォルトのアクセス – ブロック: ローカル規則とXenMoble Server規則のいずれにも一致しないすべてのデバイスがブロックされます。
  • デフォルトのアクセス – 変更なし: ローカル規則とXenMoble Server規則のいずれにも一致しないすべてのデバイスのアクセス状態は、XenMobile Mail Managerによって変更されません。ExchangeによってデバイスがQuarantineモードになっている場合、アクションは実行されません。たとえば、Quarantineモードからデバイスを削除する方法は、ローカル規則またはXDM規則で隔離を明示的に上書きすることのみです。

規則の評価について

ExchangeからXenMobile Mail Managerに報告されるデバイスごとに、次のように優先度の高い順に規則が評価されます。

  • ローカル規則
  • XenMobileサーバー規則
  • デフォルトのアクセス規則

一致が検出されると、評価は停止します。たとえば、ローカル規則が特定のデバイスと一致すると、そのデバイスはXenMobileサーバー規則またはデフォルトのアクセス規則に対して評価されません。このことは、特定の種類の規則内でも当てはまります。たとえば、ローカル規則一覧で、特定のデバイスに対して複数の一致がある場合、最初の一致が見つかるとすぐに評価は停止します。

デバイスプロパティが変更されたとき、デバイスが追加または削除されたとき、または規則自体が変更されたときは、現在定義されている一連の規則がXenMobile Mail Managerによって再評価されます。メジャースナップショットにより、構成可能な間隔でデバイスのプロパティ変更または削除が確認されます。マイナースナップショットにより、構成可能な間隔で新しいデバイスが確認されます。

Exchange ActiveSyncにも、アクセスを管理する規則があります。XenMobile Mail Managerのコンテキストでこれらの規則がどのように機能するかを理解することが重要です。Exchangeは、個人の適用除外、デバイスの規則、組織の設定という3つのレベルの規則で構成できます。XenMobile Mail Managerでは、リモートPowerShell要求をプログラムで発行して個人の適用除外一覧に反映させることで、アクセス制御を自動化します。これらは、特定のメールボックスに関連する、許可またはブロックするExchange ActiveSyncデバイスIDの一覧です。展開すると、XenMobile Mail ManagerはExchange内の適用除外一覧の管理機能を効果的に引き継ぎます。詳細については、このMicrosoftの技術文書を参照してください。

分析は、同じフィールドに対して複数の規則が定義されている場合に特に便利です。規則間の関係をトラブルシューティングできます。規則フィールドの観点から分析を実行します。たとえば、ActiveSyncデバイスID、ActiveSyncデバイスの種類、ユーザー、ユーザーエージェントなどの照合されるフィールドに基づくグループで規則が分析されます。

規則の用語

  • 上書き規則: 同じデバイスに複数の規則が適用される可能性がある場合に上書きが発生します。一覧の優先度の順序で規則が評価されるので、優先度の低い、適用される可能性がある規則のインスタンスが評価されない場合があります。
  • 競合規則: 同じデバイスに複数の規則が適用される可能性があり、アクセス(許可/ブロック)が一致しない場合に競合が発生します。競合規則が正規表現の規則でない場合、競合には常に暗黙的に上書きの意味も含まれます。
  • 補足規則: 正規表現の規則が複数あるので、2つ(またはそれ以上)の正規表現を1つの正規表現の規則に結合できるか、またはそれらの機能が重複していないようにする必要がある場合に補足が発生します。補足規則もアクセス(許可/ブロック)で競合する場合があります。
  • プライマリ規則: プライマリ規則は、ダイアログボックス内でクリックされた規則です。この規則は、実線の罫線で囲まれて示されます。この規則には、上方向または下方向を指す1つまたは2つの緑色の矢印も示されます。矢印が上方向を指している場合は、プライマリ規則よりも優先される補助規則があることを示しています。矢印が下方向を指している場合は、プライマリ規則よりも優先度の低い補助規則があることを示しています。アクティブにできるプライマリ規則は、常に1つのみです。
  • 補助規則: 補助規則は、上書き、競合、または補足の関係のいずれかで、プライマリ規則と何らかの関係を持ちます。この規則は、破線の罫線で囲まれて示されます。各プライマリ規則に対して、1対多の補助規則を指定できます。下線付きのエントリをクリックしたときに強調表示される補助規則は、常にプライマリ規則の観点から示されます。たとえば、補助規則がプライマリ規則によって上書きされたり、プライマリ規則とアクセスで競合したり、プライマリ規則を補足したりします。

[規則分析]ダイアログボックスに表示する規則の種類の外観

競合、上書き、または補足がない場合、[Rule Analysis]ダイアログボックスに下線付きのエントリは表示されません。どのアイテムをクリックしても影響はありません。通常の選択済みアイテムの表示になります。

[Rule Analysis]ウィンドウにあるチェックボックスを選択すると、競合、上書き、重複、または補足構造であるルールのみが表示されます。

Mail Managerコンソールのイメージ

上書きが発生した場合、2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。1つ以上の補助規則が淡色のフォントで表示され、より優先度の高い規則によって上書きされたことが示されます。上書きされた規則をクリックして、その規則を上書きした規則を確認できます。規則がプライマリ規則または補助規則であることの結果として上書きされた規則が強調表示されている場合は常に、その規則が非アクティブであることを示す追加表示として、その規則の横に黒の円が表示されます。たとえば、規則をクリックする前は、次のようにダイアログボックスが表示されます。

Mail Managerコンソールのイメージ

最も優先度の高い規則をクリックすると、ダイアログボックスの表示は次のようになります。

Mail Managerコンソールのイメージ

この例では、正規表現の規則WorkMail.*がプライマリ規則(実線の罫線で表示)で、通常の規則workmailc633313818が補助規則(破線の罫線で表示)です。補助規則の横の黒点は、より優先度の高い正規表現の規則が優先されるので、その規則が非アクティブである(評価されない)ことを示す追加表示です。上書きされる規則をクリックすると、ダイアログボックスの表示は次のようになります。

Mail Managerコンソールのイメージ

上記の例では、正規表現の規則WorkMail.*が補助規則(破線の罫線で表示)で、通常の規則workmailc633313818がプライマリ規則(実線の罫線で表示)です。このシンプルな例では、大きな違いはありません。より複雑な例については、このトピックで後述する複雑な式の例を参照してください。多くの規則が定義されたシナリオでは、上書きされる規則をクリックすると、その規則を上書きした規則がすばやく識別されます。

競合が発生した場合、2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。競合している規則は赤色の点で示されます。相互に競合のみが発生している規則は、2つ以上の正規表現の規則が定義されている場合に限り発生します。ほかのすべての競合のシナリオでは、競合のみではなく、上書きも発生します。シンプルな例で説明すると、いずれかの規則をクリックする前は、次のようにダイアログボックスが表示されます:

Mail Managerコンソールのイメージ

2つの正規表現の規則を確認すると、最初の規則で「App」がデバイスIDに含まれるすべてのデバイスを許可し、2つ目の規則で「Appl」がデバイスIDに含まれるすべてのデバイスを拒否することがわかります。さらに、2つ目の規則で「Appl」がデバイスIDに含まれるすべてのデバイスが拒否されますが、許可する規則の優先度の方が高いので、その一致条件のデバイスは決して拒否されません。最初の規則をクリックすると、ダイアログボックスの表示は次のようになります:

Mail Managerコンソールのイメージ

前述のシナリオでは、プライマリ規則(正規表現の規則App.*)と補助規則(正規表現の規則Appl.*)の両方が黄色で強調表示されます。これは、複数の正規表現の規則を単一の一致可能なフィールドに適用したことについての単純な警告の表示です。この警告は、冗長性の問題や、より深刻な問題を示す場合があります。

競合と上書きの両方を含むシナリオでは、プライマリ規則(正規表現の規則App.*)と補助規則(正規表現の規則Appl.*)の両方が黄色で強調表示されます。これは、複数の正規表現の規則を単一の一致可能なフィールドに適用したことについての単純な警告の表示です。この警告は、冗長性の問題や、より深刻な問題を示す場合があります。

Mail Managerコンソールのイメージ

上記の例では、最初の規則(正規表現の規則SAMSUNG.*)が次の規則(通常の規則SAMSUNG-SM-G900A/101.40402)を上書きするだけでなく、2つの規則のアクセスが異なる(プライマリ規則では許可を指定し、補助規則ではブロックを指定)ことも容易に確認できます。2つ目の規則(通常の規則SAMSUNG-SM-G900A/101.40402)は淡色のテキストで表示され、上書きされて非アクティブであることが示されます。

正規表現の規則をクリックすると、ダイアログボックスの表示は次のようになります。

Mail Managerコンソールのイメージ

プライマリ規則(正規表現の規則SAMSUNG.*)の末尾には赤色の点が付けられて、アクセス状態が1つまたは複数の補助規則と競合していることが示されます。補助規則(通常の規則SAMSUNG-SM-G900A/101.40402)の末尾には赤色の点が付けられて、アクセス状態がプライマリ規則と競合していることが示されます。この規則の末尾には黒色の点が付けられて、上書きされたために非アクティブであることが示されます。

2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。相互に補足のみが発生している規則には、正規表現の規則のみが定義されています。相互に補足が発生している規則は、黄色のオーバーレイで示されます。シンプルな例で説明すると、いずれかの規則をクリックする前は、次のようにダイアログボックスが表示されます。

Mail Managerコンソールのイメージ

目視で確認すると、両方の規則が正規表現の規則で、両方ともXenMobile Mail Managerの[ActiveSync device ID]フィールドに適用されていることが容易にわかります。最初の規則をクリックすると、ダイアログボックスの表示は次のようになります。

Mail Managerコンソールのイメージ

プライマリ規則(正規表現の規則WorkMail.*)が黄色のオーバーレイで強調表示され、正規表現の補助規則がほかに1つ以上存在することが示されます。補助規則(正規表現の規則SAMSUNG.*)が黄色のオーバーレイで強調表示され、この規則とプライマリ規則の両方が、XenMobile Mail Manager内の同じフィールドに適用されている正規表現の規則であることが示されます。この場合、そのフィールドはActiveSyncデバイスIDです。正規表現は重複する場合としない場合があります。正規表現が適切に作成されているかどうかの判断は、ユーザーに委ねられます。

複雑な式の例

発生する可能性のある上書き、競合、または補足は多くあるので、発生する可能性のあるシナリオの例をすべて示すことはできません。次の例では、すべきでないことについて説明し、ルール分析の完全な視覚的構造を示します。次の図では、ほとんどのアイテムに下線が付けられています。多くのアイテムが淡色のフォントで表示され、問題となる規則が、何らかの方法でより優先度の高い規則によって上書きされていることが示されています。同様に、アイコンのイメージアイコンで示される多数の正規表現の規則も一覧に含まれています。

Mail Managerコンソールのイメージ

上書きの分析方法

特定の規則を上書きした規則を確認するには、その規則をクリックします。

例1: この例では、zentrain01@zenprise.comが上書きされた理由を調べます。

Mail Managerコンソールのイメージ

プライマリ規則(zentrain01@zenprise.comがメンバーとして属するADグループ規則zenprise/TRAINING/ZenTraining B)には、次の特性があります:

  • 青色で強調表示され、実線の罫線で囲まれている。
  • 上方向を指す緑色の矢印が付けられている(すべての補助規則がこの規則より上に表示されていることを示します)。
  • 末尾に、1つまたは複数の補助規則とアクセスが競合していることを示す赤色の点と、プライマリ規則が上書きされて非アクティブであることを示す黒点が付けられている。

上方向にスクロールすると、次が表示されます。

Mail Managerコンソールのイメージ

この場合、プライマリ規則を上書きする2つの補助規則があります:正規表現の規則zen.*と通常の規則zentrain01@zenprise.comzenprise/TRAINING/ZenTraining Aの規則)です。後者の補助規則の場合、Active Directoryグループ規則ZenTraining Aにユーザーzentrain01@zenprise.comが含まれる一方、Active Directoryグループ規則ZenTraining Bにもユーザーzentrain01@zenprise.comが含まれることになります。ただし、補助規則の優先度がプライマリ規則の優先度よりも高いので、プライマリ規則は上書きされています。プライマリ規則のアクセスが許可で、両方の補助規則のアクセスがブロックであるので、これらすべての末尾に赤色の点が付けられて、アクセスが競合していることも示されています。

例2: 次の例は、ActiveSyncデバイスIDが069026593E0C4AEAB8DE7DD589ACED33であるデバイスが上書きされた理由を示しています:

Mail Managerコンソールのイメージ

このプライマリ規則(通常のデバイスIDの規則069026593E0C4AEAB8DE7DD589ACED33)には、次の特性があります。

  • 青色で強調表示され、実線の罫線で囲まれている。
  • 上方向を指す緑色の矢印が付けられている(補助規則がこの規則より上に表示されていることを示します)。
  • 末尾に、補助規則がそのプライマリ規則を上書きして、非アクティブであることを示す黒色の円が付けられている。

Mail Managerコンソールのイメージ

この場合、単一の補助規則(正規表現のActiveSyncデバイスIDの規則3E.*)がプライマリ規則を上書きします:正規表現3E.*069026593E0C4AEAB8DE7DD589ACED33に一致するため、プライマリ規則は評価されません。

補足および競合の分析方法

この場合、プライマリ規則は正規表現のActiveSyncデバイスの種類の規則touch.*です。特性は次のとおりです:

  • 実線の罫線で囲まれ、特定の規則フィールド(この場合は、ActiveSyncデバイスの種類)に対して複数の正規表現の規則が使用されているという警告として、黄色のオーバーレイが適用されている。
  • 上方向および下方向をそれぞれ指す2つの矢印が付けられ、より優先度の高い1つ以上の補助規則とより優先度の低い1つ以上の補助規則が存在することが示されている。
  • 横に赤色の円が付けられ、1つ以上の補助規則のアクセスが許可に設定されて、プライマリ規則のアクセス状態のブロックと競合することが示されている。
  • 2つの補助規則:正規表現のActiveSyncデバイスの種類の規則SAM.*と正規表現のActiveSyncデバイスの種類の規則Andro.*が存在する。
  • 両方の補助規則が破線の罫線で囲まれ、補助規則であることが示されている。
  • 両方の補助規則に黄色のオーバーレイが適用され、ActiveSyncデバイスの種類の規則フィールドにこれらが適用されていることが示されている。
  • このようなシナリオでは、正規表現の規則が冗長でないようにする必要がある。

Mail Managerコンソールのイメージ

規則の高度な分析方法

次の例では、規則の関係が常にプライマリ規則の観点から示されるしくみを確認します。上記の例では、値がtouch.*のデバイスの種類の規則フィールドに適用される正規表現規則をクリックする方法を示しました。補助規則Andro.*をクリックすると、さまざまな一連の補助規則が強調表示されます。

Mail Managerコンソールのイメージ

この例では、規則の関係に含まれる上書きされた規則が示されています。この規則は、通常のActiveSyncデバイスの種類の規則Androidです。この規則は上書きされている(淡色のフォントで示され、横に黒点が付けられています)と同時に、プライマリ規則(正規表現のActiveSyncデバイスの種類の規則Andro.*)のアクセスと競合しています。この規則は、クリックされる前は補助規則でした。前述の例では、その時点でのプライマリ規則(正規表現のActiveSyncデバイスの種類の規則touch.*)の観点からは関係しなかったため、通常のActiveSyncデバイスの種類の規則Androidは補助規則として表示されていませんでした。

通常の式のローカル規則を構成するには

  1. [アクセス規則] タブをクリックします。

    Mail Managerコンソールのイメージ

  2. [Device ID]一覧で、ローカル規則を作成するフィールドを選択します。

  3. 虫眼鏡アイコンをクリックして、選択したフィールドに固有の一致をすべて表示します。この例では、[Device Type]フィールドが選択され、下のリストボックスに選択肢が表示されています。

    Mail Managerコンソールのイメージ

  4. 表示されたリストボックスでいずれかのアイテムをクリックして、次のいずれかのオプションをクリックします。

    • Allow:すべての一致するデバイスに対して、ActiveSyncトラフィックを許可するようにExchangeが構成されます。
    • Deny:すべての一致するデバイスに対して、ActiveSyncトラフィックを拒否するようにExchangeが構成されます。

    この例では、デバイスの種類がTouchDownであるすべてのデバイスのアクセスが拒否されます。

    Mail Managerコンソールのイメージ

正規表現を追加するには

正規表現のローカル規則は、横に表示されるアイコン(アイコンのイメージ)で識別できます。正規表現の規則を追加するには、特定のフィールドの結果一覧にある既存の値から正規表現の規則を作成(メジャースナップショットが完了している場合)するか、または必要な正規表現をそのまま入力します。

既存のフィールド値から正規表現を作成するには

  1. [Access Rules]タブをクリックします。

    Mail Managerコンソールのイメージ

  2. [Device ID]一覧で、正規表現のローカル規則を作成するフィールドを選択します。

  3. 虫眼鏡アイコンをクリックして、選択したフィールドに固有の一致をすべて表示します。この例では、[Device Type]フィールドが選択され、下のリストボックスに選択肢が表示されています。

    Mail Managerコンソールのイメージ

  4. 結果一覧でいずれかのアイテムをクリックします。この例では、SAMSUNGSPHL720が選択され、それが[デバイスの種類] に隣接するテキストボックスに表示されています。

    Mail Managerコンソールのイメージ

  5. デバイスの種類の値に「Samsung」が含まれるすべてのデバイスの種類を許可するには、次の手順に従って正規表現の規則を追加します。

    1. 選択済みアイテムのテキストボックス内をクリックします。

    2. SAMSUNGSPHL720からSAMSUNG.*にテキストを変更します。

    3. [正規表現]チェックボックスをオンにします。

    4. [Allow]をクリックします。

    Mail Managerコンソールのイメージ

アクセス規則を作成するには

  1. [Local Rules]タブをクリックします。
  2. 正規表現を入力するには、[Device ID]一覧と選択済みアイテムのテキストボックスの両方を使用する必要があります。

    Mail Managerコンソールのイメージ

  3. 照合するフィールドを選択します。この例では[Device Type]を使用します。
  4. 正規表現を入力します。この例では次の文字列を使用します: samsung.*
  5. [正規表現]チェックボックスをオンにして、[許可] または [拒否] をクリックします。この例では、[許可] が選択されています。最終的な結果は次のとおりです。

    Mail Managerコンソールのイメージ

デバイスを検出するには

[regular expression]チェックボックスをオンにして、特定の式に一致する特定のデバイスの検索を実行できます。この機能は、メジャースナップショットが正常に完了している場合にのみ利用できます。正規表現の規則を使用しない場合でも、この機能を使用できます。たとえば、ActiveSyncデバイスIDにテキスト「workmail」が含まれるすべてのデバイスを検出するとします。これを行うには、以下の手順に従います。

  1. [Access Rules]タブをクリックします。
  2. デバイスの照合フィールドセレクターが[Device ID](デフォルト)に設定されていることを確認します。

    Mail Managerコンソールのイメージ

  3. 選択済みアイテムのテキストボックス内(上記の図に青色で示されています)をクリックし、「workmail.*」と入力します。
  4. [正規表現]チェックボックスをオンにして、虫眼鏡アイコンをクリックし、次の図に示すように一致を表示します。

    Mail Managerコンソールのイメージ

個々のユーザー、デバイス、またはデバイスの種類を静的規則に追加するには

[ActiveSync Devices]タブで、ユーザー、デバイスID、またはデバイスの種類に基づく静的規則を追加できます。

  1. [ActiveSync Devices]タブをクリックします。

  2. 一覧で、ユーザー、デバイス、またはデバイスの種類を右クリックして、選択内容を許可するか、または拒否するかを選択します。

    次の図は、user1を選択したときの許可/拒否オプションを示しています。

    Mail Managerコンソールのイメージ

デバイス監視

XenMobile Mail Managerの[Monitor]タブでは、検出されたExchange ActiveSyncデバイスおよびBlackBerryデバイスと、これまで自動で発行されたPowerShellコマンドの履歴を参照できます。[Monitor]タブには、次の3つのタブがあります。

  • ActiveSync Devices
    • [Export]をクリックして、表示されているActiveSyncデバイスパートナーシップをエクスポートできます。
    • [User][Device ID]、または[Type]列を右クリックし、許可またはブロックから適切な規則の種類を選択して、ローカル(静的)規則を追加できます。
    • 展開した行を折りたたむには、Ctrlキーを押しながらその行をクリックします。
  • Blackberry Devices
  • Automation History

[Configure]タブにはすべてのスナップショットの履歴が表示されます。スナップショットの履歴には、スナップショットの作成時刻、作成にかかった時間、検出されたデバイス数、発生したすべてのエラーが表示されます。

  • [Exchange]タブで、目的のExchange Serverの情報アイコンをクリックします。
  • [MSP]タブで、目的のBlackBerry Serverの情報アイコンをクリックします。

トラブルシューティングおよび診断

XenMobile Mail Managerでは、エラーなどの動作情報が以下のログファイルに記録されます:Install Folder\log\XmmWindowsService.log また、Windowsイベントログに、重要なイベントが記録されます。

一般的なエラー

一般的なエラーを以下に示します。

  • XenMobile Mail Managerサービスが起動しない

    ログファイルとWindowsイベントログでエラーを確認します。一般的な原因は次のとおりです。

    • XenMobile Mail ManagerサービスがSQL Serverにアクセスできない。これは、次の問題が原因である可能性があります。

      • SQL Serverサービスが実行されていない。
      • 認証に失敗した。

      [Windows Integrated authentication]が構成されている場合、XenMobile Mail Managerサービスのユーザーアカウントは、許可されたSQLログオンである必要があります。XenMobile Mail Managerサービスのアカウントは、デフォルトではローカルシステムですが、ローカルの管理者権限を持つ任意のアカウントに変更できます。[SQL authentication]が構成されている場合、SQLログオンがSQLで適切に構成されている必要があります。

    • Mobile Service Provider(MSP)に対して構成されたポートが使用できない。システムのほかのプロセスで使用されていないリッスンポートを選択する必要があります。

  • XenMobileがMSPに接続できない

    XenMobile Mail Managerコンソールの [Configure]の[MSP] タブで、MSPサービスポートとトランスポートが適切に構成されていることを確認します。承認グループまたはユーザーが適切に設定されていることを確認します。

    HTTPSが構成されている場合は、有効なSSLサーバー証明書がインストールされている必要があります。IISがインストールされている場合は、証明書のインストールにIISマネージャーを使用できます。IISがインストールされていない場合、http://msdn.microsoft.com/en-us/library/ms733791.aspxで証明書のインストールの詳細を参照してください。

    XenMobile Mail Managerには、MSPサービスへの接続をテストするためのユーティリティプログラムが含まれています。InstallFolder\MspTestServiceClient.exeプログラムを実行して、URLと資格情報をXenMobileで構成されるURLと資格情報に設定して、[接続のテスト] をクリックします。これにより、XenMobile Serviceが発行するWebサービス要求がシミュレートされます。HTTPSを構成済みの場合は、サーバーの実際のホスト名(SSL証明書で指定された名前)を指定する必要があります。

    [接続のテスト] をクリックするときは、少なくとも1つActiveSyncDeviceレコードがあることを確認してください。レコードがないとテストが失敗する可能性があります。

    Mail Managerコンソールのイメージ

トラブルシューティングツール

Support\PowerShellフォルダーに、トラブルシューティング用のPowerShellユーティリティ一式が用意されています。

トラブルシューティングツールは、ユーザーのメールボックスやデバイスを詳細に分析してエラー条件や障害が発生しやすい領域を検出し、また、ユーザーの詳細RBAC分析を行います。すべてのコマンドレットの未加工の出力をテキストファイルに保存することができます。