XenMobile NetScaler Connector

XenMobile NetScaler Connectorでは、Exchange ActiveSyncプロトコルのリバースプロキシとして動作するNetScalerに、ActiveSyncクライアントのデバイスレベルの認証サービスを提供します。認証は、XenMobile内で定義されたポリシーの組み合わせと、XenMobile NetScaler Connectorによりローカルで定義されたルールによって制御されます。

詳細については、「ActiveSyncゲートウェイ」を参照してください。

詳細なリファレンスアーキテクチャ図については、「アーキテクチャ」を参照してください。

現在リリースされているXenMobile NetScaler Connectorは、バージョン8.5.1.11です。

現在のリリースでの新機能

  • システム要件の変更: 現在のバージョンのNetScaler Connectorでは、Microsoft .NET Framework 4.5が必要です。

  • Google Analyticsのサポート: 製品の改善可能な箇所に集中できるように、私たちはユーザーの皆様がXenMobile NetScaler Connectorをどのように使用しているかについて知りたいと考えています。

  • TLS 1.1および1.2のサポート: セキュリティの弱化のため、TLS 1.0はPCI評議会の推奨でなくなりました。XenMobile NetScaler ConnectorにTLS 1.1および1.2のサポートが追加されました。

XenMobile NetScaler Connectorの監視

XenMobile NetScaler Connector構成ユーティリティでは、Secure Mobile Gatewayによって許可またはブロックされる、Exchange Server経由のすべてのトラフィックを表示するために使用できる詳細なログ記録が提供されます。

認証のためにNetScalerによってXenMobile NetScaler Connectorに転送されるActiveSync要求の履歴を確認するには、[Log]タブを使用します。

また、XenMobile NetScaler Connector Webサービスが実行されていることを確認するには、XenMobile NetScaler Connectorサーバー上のブラウザーにURL(http://<host:port>/services/ActiveSync/Version)をロードします。このURLをロードした結果、製品バージョンが文字列で返される場合は、Webサービスが応答しています。

XenMobile NetScaler ConnectorでActiveSyncトラフィックをシミュレートするには

XenMobile NetScaler Connectorを使用して、ポリシーと共にActiveSyncトラフィックがどのようになるかシミュレートすることができます。XenMobile NetScaler Connector構成ユーティリティで、[Simulator]タブをクリックします。構成した規則にしたがってポリシーがどのように適用されるかが表示されます。

XenMobile NetScaler Connectorのフィルターの選択

XenMobile NetScaler Connectorのフィルターは、指定のポリシー違反またはプロパティ設定についてデバイスを解析することにより機能します。デバイスが条件に合致すると、デバイスは[Device List]に置かれます。この[Device List]は、許可一覧およびブロック一覧のどちらでもありません。これは、定義された条件に合ったデバイスの一覧です。XenMobile内では、XenMobile NetScaler Connectorで次のフィルターを使用できます。各フィルターの2つのオプションは、[許可] または [拒否] です。

  • 匿名デバイス: XenMobileに登録されているが、ユーザーのIDが不明なデバイスが許可または拒否されます。たとえばこのユーザーは、登録されているがActive Directoryパスワードの有効期限が切れている、または不明な資格情報を使って登録されている場合があります。
  • Samsung KNOX構成証明に失敗しました: Samsungデバイスは、セキュリティと診断の機能を備えています。このフィルターは、デバイスがKNOX用に設定されているかどうかを確認します。詳細については、「Samsung KNOX」のXenMobile Serviceに関する記事を参照してください。
  • 禁止アプリ: ブラックリストポリシーによって定義されたデバイスの一覧およびブラックリスト内のアプリの存在に基づいて、デバイスが許可または拒否されます。
  • 暗黙的な許可/拒否: そのほかのフィルタールール条件に合致しないすべてのデバイスの一覧が作成され、この一覧に基づいてデバイスが許可または拒否されます。[Implicit Allow/Deny]オプションを使用すると、[Devices]タブにあるXenMobile NetScaler Connectorの状態が確実に有効化され、デバイスのXenMobile NetScaler Connectorの状態が表示されます。また、[Implicit Allow/Deny]オプションにより、選択されていないほかのすべてのXenMobile NetScaler Connectorフィルターが制御されます。たとえば、[Blacklists Apps]は、XenMobile NetScaler Connectorによって拒否(ブロック)されます。その一方で、[暗黙的な許可/拒否]オプションが [許可] に設定されているので、ほかのすべてのフィルターは許可されます。
  • 非アクティブデバイス: XenMobileとの通信が特定の期間に行われていないデバイスの一覧が作成されます。これらのデバイスは非アクティブだと見なされます。これに従って、フィルターはデバイスを許可または拒否します。
  • 不足必須アプリ: ユーザーが登録すると、インストールする必要のある必須アプリの一覧がこのユーザーに送信されます。[不足必須アプリ]のフィルターは、ユーザーが1つまたは複数のアプリを削除するなどして、必須アプリのうち1つまたは複数のアプリが不足していることを示します。
  • 非推奨アプリ: ユーザーが登録すると、インストールする必要のあるアプリの一覧がこのユーザーに送信されます。[非推奨アプリ]のフィルターは、この一覧に含まれていないアプリがデバイスにインストールされていないかをチェックします。
  • 非準拠パスワード: デバイスでパスコードが設定されていないすべてのデバイスの一覧が作成されます。
  • コンプライアンス外デバイス: 独自の内部ITコンプライアンス条件に合致するデバイスが拒否または許可されます。コンプライアンスは、Out of Complianceという名前のデバイスプロパティによって定義される任意の設定であり、True または False のいずれかになるブール型のフラグです(このプロパティを手動で作成して値を設定するか、デバイスが特定の条件に合致する場合、または合致しない場合は、自動化された操作を使用してデバイス上でこのプロパティを作成できます)。
    • Out of Compliance = True。デバイスが、IT部門によって設定されたコンプライアンス基準およびポリシー定義に合致しない場合、デバイスはコンプライアンス違反になります。
    • Out of Compliance = False。デバイスが、IT部門によって設定されたコンプライアンス基準およびポリシー定義に合致する場合、デバイスはコンプライアンスに準拠しています。
  • 失効状態: 取り消されたすべてのデバイスの一覧が作成され、取り消された状態に基づいてデバイスが許可または拒否されます。
  • Root化済みAndroidデバイス/ジェイルブレイクされたiOS デバイス。ルートされていることを示すフラグが付けられたすべてのデバイスの一覧が作成され、ルートされた状態に基づいてデバイスが許可または拒否されます。
  • Unmanaged Devices。XenMobileデータベース内のすべてのデバイスの一覧が作成されます。Mobile Application Gatewayは、ブロックモードで展開する必要があります。

XenMobile NetScaler Connectorへの接続を構成するには

XenMobile NetScaler Connectorでは、セキュリティで保護されたWebサービスを介してXenMobileおよびそのほかのリモート構成プロバイダーとの通信が行われます。

  1. XenMobile NetScaler Connector構成ユーティリティで、[Config Providers]タブをクリックし、[Add]をクリックします。
  2. [Config Providers] ダイアログボックスの [名前] に、XenMobileサーバーでのHTTP基本認証に使用する、管理者権限を持つユーザー名を入力します。
  3. [Url] に、XenMobile GCSのWebアドレス(通常はhttps://<FQDN>/<instanceName>/services/<MagConfigService>という形式)を入力します。MagConfigService の名前は大文字と小文字が区別されます。
  4. [Password]に、XenMobileサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Managing Host]に、XenMobile NetScaler Connectorのサーバー名を入力します。
  6. [Baseline Interval]で、新しく更新された動的規則のセットがDevice Managerから取得される期間を指定します。
  7. [Delta interval]で、動的規則の更新が取得される期間を指定します。
  8. [Request Timeout]で、サーバー要求のタイムアウト間隔を指定します。
  9. [Config Provider]で、構成プロバイダーのサーバーインスタンスによってポリシー構成を提供するかどうかを選択します。
  10. [Events Enabled]で、デバイスがブロックされたときにXenMobile NetScaler ConnectorからXenMobileに通知する場合はこのオプションを有効にします。XenMobileの自動化された操作でXenMobile NetScaler Connectorの規則を使用する場合、このオプションが必要です。
  11. [Save]をクリックし、[Test Connectivity]をクリックして、ゲートウェイから構成プロバイダーへの接続をテストします。接続に失敗した場合、ローカルファイアウォールの設定が接続を許可していることをチェックするか、管理者に問い合わせてください。
  12. 接続が成功した場合、[Disabled]チェックボックスをオフにし、[Save]をクリックします。

新しい構成プロバイダーを追加すると、XenMobile NetScaler Connectorにより、このプロバイダーに関連付けられた1つまたは複数のポリシーが自動的に作成されます。これらのポリシーは、config\policyTemplates.xmlのNewPolicyTemplateセクションに含まれているテンプレート定義によって定義されます。このセクション内で定義される各ポリシー要素に対して、新しいポリシーが作成されます。

以下が当てはまる場合は、演算子を使用して、ポリシー要素を追加、削除、または変更できます。ポリシー要素がスキーマ定義に適合しており、標準の置換文字列(中かっこで囲まれている)が変更されていない場合。次に、プロバイダーの新しいグループを追加し、ポリシーを更新してこの新しいグループを含めます。

XenMobileからポリシーをインポートするには

  1. XenMobile NetScaler構成ユーティリティで、[Config Providers]タブをクリックし、[Add]をクリックします。
  2. [Config Providers]ダイアログボックスの[Name]に、XenMobileサーバーでのHTTP基本認証に使用する、管理者権限を持つユーザー名を入力します。
  3. [Url] に、XenMobile Gateway Configuration Service(GCS)のWebアドレス(通常はhttps://<xdmHost>/xdm/services/<MagConfigService>という形式)を入力します。MagConfigServiceの名前は大文字と小文字が区別されます。
  4. [Password] に、XenMobileサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Test Connectivity]をクリックし、ゲートウェイから構成プロバイダーへの接続をテストします。接続に失敗した場合、ローカルファイアウォールの設定が接続を許可していることをチェックするか、管理者に問い合わせてください。
  6. 接続が成功した場合、[Disabled]チェックボックスをオフにし、[Save]をクリックします。
  7. [Managing Host]で、ローカルホストコンピューターのDNS名をデフォルトのままにします。1つのアレイ内で複数のForefront Threat Management Gateway(TMG)が構成されている場合、この設定を使用して、XenMobileとの通信を調整します。

    設定を保存してから、GCSを開きます。

XenMobile NetScaler Connectorのポリシーモードの構成

XenMobile NetScaler Connectorは、次の6つのモードで実行できます。

  • Allow All。このポリシーモードでは、XenMobile NetScaler Connectorを経由するすべてのトラフィックのアクセスが許可されます。そのほかのフィルター規則は使用されません。
  • Deny All。このポリシーモードでは、XenMobile NetScaler Connectorを経由するすべてのトラフィックのアクセスがブロックされます。そのほかのフィルター規則は使用されません。
  • Static Rules: Block Mode。このポリシーモードでは、最後に暗黙的な拒否ステートメントまたはブロックステートメントを使って静的規則が実行されます。ほかのフィルター規則によって許可または許容されないデバイスは、XenMobile NetScaler Connectorでブロックされます。
  • Static Rules: Permit Mode。このポリシーモードでは、最後に暗黙的な許容ステートメントまたは許可ステートメントを使って静的規則が実行されます。ほかのフィルター規則によってブロックまたは拒否されないデバイスは、XenMobile NetScaler Connectorで許可されます。
  • Static + ZDM Rules: Block Mode。このポリシーモードでは、最初に静的規則が実行され、最後に暗黙的な拒否ステートメントまたはブロックステートメントを使ってXenMobileから動的規則が実行されます。デバイスは、定義済みのフィルターおよびDevice Managerの規則に基づいて許容または拒否されます。定義済みのフィルターおよび規則に一致しないデバイスはブロックされます。
  • Static + ZDM Rules: Permit Mode。このポリシーモードでは、最初に静的規則が実行され、最後に暗黙的な許容ステートメントまたは許可ステートメントを使ってXenMobileから動的規則が実行されます。デバイスは、定義済みのフィルターおよびXenMobileの規則に基づいて許容または拒否されます。定義済みのフィルターおよび規則に一致しないデバイスは許可されます。

XenMobile NetScaler Connectorの処理によって、XenMobileから受け取ったiOSモバイルデバイスおよびWindowsベースのモバイルデバイス用の一意のActiveSync IDに基づいて、動的規則が許容またはブロックされます。Androidデバイスの場合、製造元によって動作が異なり、一部のAndroidデバイスでは、一意のActiveSync IDが直ちに提供されません。代わりに、XenMobileによりAndroidデバイスのユーザーID情報が送信され、許容するかブロックするかを決定します。その結果、ユーザーが1台のAndroidデバイスしか持っていない場合でも、許容およびブロック機能が正常に動作します。ユーザーが複数のAndroidデバイスを持っている場合は、Androidデバイスを区別できないため、すべてのデバイスが許可されます。これらのデバイスが既知の場合は、ActiveSyncIDで静的にブロックするようにゲートウェイを構成できます。また、デバイスの種類またはユーザーエージェントに基づいてブロックするようにゲートウェイを構成することもできます。

ポリシーモードを指定するには、SMG Controller Configurationユーティリティで次の操作を実行します。

  1. [Path Filters]タブをクリックし、[Add]をクリックします。
  2. [パスプロパティ] ダイアログボックスの [ポリシー] リストからポリシーモードを選択し、[保存] をクリックします。

[Policies]タブで規則を確認できます。規則は、XenMobile NetScaler Connectorで最上位から順に処理されます。[Allow]が設定されたポリシーは緑のチェックマークで示されます。[Deny]が設定されたポリシーは中央に線が入った赤い丸で示されます。画面を更新して、最近更新された規則を表示するには、[Refresh]をクリックします。config.xmlファイル内の規則の順序を変更することもできます。

規則をテストするには、[Simulator]タブをクリックします。フィールドに値を指定します。これらの値をログから取得することもできます。[Allow]または[Block]が指定された結果メッセージが表示されます。

静的規則を構成するには

ActiveSync接続のHTTP要求のISAPIフィルターによって読み取られる値を使用して静的規則を入力します。静的規則を使用すると、XenMobile NetScaler Connectorで次の条件に基づいてトラフィックを許可またはブロックすることができます。

  • User。XenMobile NetScaler Connectorでは、承認されたユーザー値と、デバイスの登録時に取得された名前構造が使用されます。これは通常、LDAP経由でActive Directoryに接続されたXenMobileを実行しているサーバーによって参照されるdomain\usernameに示されています。XenMobile NetScaler Connector構成ユーティリティ内の [ログ] タブには、XenMobile NetScaler Connectorを経由して渡される値が表示されます。値の構造を決定する必要がある場合、または値の構造が異なる場合に、値が渡されます。
  • Deviceid (ActiveSyncID)。接続されたデバイスのActiveSyncIDとも呼ばれます。この値は、通常、XenMobile コンソールの特定のデバイスプロパティページ内にあります。また、XenMobile NetScaler Connector構成ユーティリティの[Log]タブから、この値を確認できます。
  • DeviceType。XenMobile NetScaler Connectorでは、デバイスがiPhone、iPad、またはそのほかの種類のデバイスかどうかを特定し、その条件に基づいてデバイスを許可またはブロックできます。ほかの値の場合と同じように、XenMobile NetScaler Connector構成ユーティリティを使用して、ActiveSync接続のために処理中の接続済みデバイスの種類をすべて表示できます。
  • UserAgent。使用するActiveSyncクライアントの情報が含まれます。ほとんどの場合、指定された値は、モバイルデバイスプラットフォームのオペレーティングシステムの特定のビルドおよびバージョンに対応します。

サーバーで実行中のXenMobile NetScaler Connector構成ユーティリティによって、静的規則は常に管理されます。

  1. SMG Controller Configurationユーティリティで、[Static Rules]タブをクリックし、[Add]をクリックします。
  2. [Static Rule Properties]ダイアログボックスで、条件として使用する値を指定します。たとえば、ユーザー名(たとえば、「AllowedUser」)を入力して、アクセスを許可するユーザーを指定し、[Disabled] チェックボックスをオフにします。
  3. [保存] をクリックします。

    これで、静的規則が有効になりました。また、正規表現を使用して値を定義できますが、config.xmlファイルで規則処理モードを有効化する必要があります。

動的な規則を構成するには

Device Managerのデバイスポリシーおよびプロパティは動的な規則を定義し、XenMobile NetScaler Connectorの動的フィルターをトリガーできます。トリガーは、ポリシー違反またはプロパティ設定の有無に基づいています。XenMobile NetScaler Connectorのフィルターは、指定のポリシー違反またはプロパティ設定についてデバイスを解析することにより機能します。デバイスが条件に合致すると、デバイスは[Device List]に置かれます。この[Device List]は、許可一覧およびブロック一覧のどちらでもありません。これは、定義した条件に合致するデバイスの一覧です。次の構成オプションでは、XenMobile NetScaler Connectorを使用して[Device List]のデバイスを許可または拒否するかどうかを定義できます。

注:

動的規則を構成するには、XenMobileコンソールを使用する必要があります。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [ActiveSyncゲートウェイ] をクリックします。[ActiveSyncゲートウェイ] ページが開きます。

  3. [Activate the following rules]で、有効にするルールを1つまたは複数オンにします。

  4. [Androidのみ]の [AndroidドメインユーザーをActiveSyncゲートウェイに送信][はい] をクリックし、XenMobileによってAndroidデバイスの情報がSecure Mobile Gatewayに送信されるようにします。

    このオプションを有効にすると、AndroidデバイスユーザーのActiveSync識別子がXenMobileにない場合でも、XenMobileによってAndroidデバイスの情報がXenMobile NetScaler Connectorに送信されます。

XenMobile NetScaler ConnectorのXMLファイルを編集してカスタムポリシーを構成するには

XenMobile NetScaler Connector構成ユーティリティの[Policies]タブで、デフォルトの構成の基本ポリシーを確認できます。カスタムポリシーを作成する場合、XenMobile NetScaler ConnectorのXML構成ファイル(config\config.xml)を編集できます。

  1. ファイル内の PolicyList セクションに移動し、新しい Policy 要素を追加します。
  2. 別の静的グループや別のGCPをサポートするグループなどの新しいグループも必要な場合は、新しい Group 要素を GroupList セクションに追加します。
  3. 必要に応じて、GroupRef要素を並べ替えることにより、既存のポリシー内のグループの順序を変更できます。

XenMobile NetScaler Connector XMLファイルの構成

XenMobile NetScaler Connectorでは、XML構成ファイルを使用して、XenMobile NetScaler Connectorのアクションが指示されます。このファイルにより、ほかのエントリと同様に、グループファイルと、HTTP要求を評価するときにフィルターにより実行される関連アクションが指定されます。デフォルトでは、このファイルにはconfig.xmlという名前が付けられ、次の場所に配置されます:..\Program Files\Citrix\XenMobile NetScaler Connector\config\

GroupRefノード

GroupRefノードにより、論理的なグループ名が定義されます。デフォルトでは、AllowGroupとDenyGroupです。

注:

GroupRefListノードに表示されるGroupRefノードの順序は重要です。

GroupRefノードのID値により、特定のユーザーアカウントまたはデバイスを一致させるために使用するメンバーの論理的なコンテナーまたはコレクションが特定されます。アクションの属性により、コレクション内の規則に一致するメンバーをフィルターで処理する方法が指定されます。たとえば、AllowGroupセット内の規則に一致するユーザーアカウントまたはデバイスは「合格」します。合格すると、Exchange CASへのアクセスが許可されます。DenyGroupセット内の規則に一致するユーザーアカウントまたはデバイスは「拒否」されます。拒否されると、Exchange CASへのアクセスが許可されません。

特定のユーザーアカウント/デバイスまたはその組み合わせが両方のグループの規則に一致する場合、優先する規則を使用して要求の結果が指定されます。優先順位は、config.xmlファイルのGroupRefノードの最上位から最下位へと至る順序で表されています。GroupRefノードは優先度によりランク付けされています。許可グループの特定条件の規則は、拒否グループの同じ条件の規則よりも常に優先されます。

グループノード

さらに、config.xmlにより、グループノードが定義されます。これらのノードによって、論理的なコンテナー、つまりAllowGroupおよびDenyGroupが外部XMLファイルとリンクされます。外部ファイルに格納されたエントリは、フィルター規則の基礎を形成します。

注:

このリリースでは、外部XMLファイルのみがサポートされています。

デフォルトのインストールでは、構成に2つのXMLファイル(allow.xmlとdeny.xml)が実装されます。

XenMobile NetScaler Connectorの構成

[Active Sync Service ID][Device type][User Agent](デバイスのオペレーティングシステム)、[Authorized user][ActiveSync Command]といったプロパティに基づいて、ActiveSync要求を選択的にブロックまたは許可するようにXenMobile NetScaler Connectorを構成できます。

デフォルトの構成では、静的グループと動的グループの組み合わせがサポートされています。静的グループは、SMG Controller Configurationユーティリティを使用して保守します。静的グループは、特定のユーザーエージェントを使用するすべてのデバイスなど、デバイスの既知のカテゴリで構成される場合があります。

動的グループは、ゲートウェイ構成プロバイダーと呼ばれる外部ソースによって保守されます。グループはXenMobile NetScaler Connectorによって定期的に接続されます。XenMobileを使用して、許可されたデバイスとユーザーおよびブロックされたデバイスとユーザーのグループをXenMobile NetScaler Connectorにエクスポートできます。

動的グループは、ゲートウェイ構成プロバイダーと呼ばれる外部ソースによって保守され、XenMobile NetScaler Connectorによって定期的に収集されます。XenMobileを使用して、許可されたデバイスとユーザーおよびブロックされたデバイスとユーザーのグループをXenMobile NetScaler Connectorにエクスポートできます。

ポリシーとは、アクション(許可またはブロック)が関連付けられた各グループの順序指定された一覧と、グループメンバーの一覧のことです。ポリシーには、任意の数のグループを含めることができます。ポリシー内のグループの順序は重要です。これは、1つの一致が見つかると、グループのアクションが実行され、以降のグループは評価されないからです。

メンバーにより、要求のプロパティに一致する方法が定義されます。デバイスIDなどの単一のプロパティ、またはデバイスの種類およびユーザーエージェントなどの複数のプロパティに一致することが可能です。

XenMobile NetScaler Connectorのセキュリティモデルの選択

あらゆる規模の組織にとって、モバイルデバイスを適切に展開するには、セキュリティモデルの確立が不可欠です。保護または隔離されたネットワーク制御を使用して、ユーザー、コンピューター、またはデバイスへのアクセスをデフォルトで許可することは一般的ですが、これは必ずしも望ましい方法ではありません。ITセキュリティを管理する各組織では、モバイルデバイスのセキュリティに対して多少異なったアプローチまたは組織に合わせたアプローチをとっている場合があります。

モバイルデバイスのセキュリティについても、同じことが言えます。多くのモバイルデバイスおよびその種類、ユーザーごとのモバイルデバイス数、利用できるオペレーティングシステムプラットフォームおよびアプリケーションを考慮すると、許可モデルの使用はお勧めできません。多くの組織では、制限モデルの使用が最適な選択となります。

XenMobile NetScaler ConnectorとXenMobileの統合で許可される構成シナリオは次のとおりです。

許可モデル([Permit Mode])

許可セキュリティモデルは、デフォルトでアクセスがすべて許可または付与されているという前提で動作します。規則およびフィルターの使用時のみ、ブロックされたり、制限が適用されたりします。許可セキュリティモデルは、モバイルデバイスに対するセキュリティ上の懸念が比較的少ない組織に適しています。このモデルでは、アクセスを拒否するのが適切な場合(ポリシー規則が失敗した場合)にのみ、制限コントロールが適用されます。

制限モデル([Block Mode])

制限セキュリティモデルは、デフォルトでアクセスが許可または付与されていないという前提に基づきます。セキュリティチェックポイントを通過するすべてのデータがフィルターおよび検査され、アクセスを許可する規則をパスしない限り、アクセスが拒否されます。制限セキュリティモデルは、モバイルデバイスに対するセキュリティ上の条件が比較的に厳しい組織に適しています。このモードでは、アクセスを許可するすべての規則をパスした場合にのみ、ネットワークサービスの使用と機能へのアクセスが許可されます。

XenMobile NetScaler Connectorの管理

XenMobile NetScaler Connectorを使用して、アクセス制御規則を作成できます。この規則は、管理対象デバイスからのActiveSync接続要求へのアクセスを許可またはブロックします。アクセスは、デバイスのステータス、アプリのブラックリストまたはホワイトリスト、およびその他のコンプライアンス設定状況に基づきます。

XenMobile NetScaler Connector構成ユーティリティを使用して、社内のメールポリシーを適用する動的および静的規則を作成し、コンプライアンス基準に違反しているユーザーをブロックすることができます。また、Exchange Serverを経由して管理対象デバイスに送信されるすべての添付ファイルを暗号化して、管理対象デバイスで権限のあるユーザーのみが添付ファイルを表示できるようにメールの添付ファイル暗号化をセットアップすることができます。

XNCをアンインストールするには

  1. 管理者アカウントでXncInstaller.exeを実行します。
  2. 画面の指示に従って、アンインストールを完了します。

XenMobile NetScaler Connectorをインストール、アップグレード、またはアンインストールするには

  1. 管理者アカウントでXncInstaller.exeを実行して、XenMobile NetScaler Connectorをインストールするか、既存のXenMobile NetScaler Connectorをアップグレードまたは削除できます。
  2. 画面の指示に従って、インストール、アップグレード、またはアンインストールを完了します。

XenMobile NetScaler Connectorをインストールした後、XenMobileの構成サービスおよび通知サービスを手動で再起動する必要があります。

XenMobile NetScaler Connectorのインストール

XenMobile NetScaler Connectorは、専用のサーバーまたはXenMobileをインストールしたサーバーにインストールできます。

次の場合は、XenMobile NetScaler Connectorを専用のサーバー(XenMobileとは別のサーバー)にインストールすることを検討してください。

  • XenMobileサーバーがクラウドにリモートでホストされている場合(物理的な場所)。
  • XenMobile NetScaler Connectorが、XenMobileサーバーの再起動の影響を受けないようにする場合(可用性)。
  • サーバーのすべてのシステムリソースをXenMobile NetScaler Connector用に使用する場合(パフォーマンス)。

XenMobile NetScaler Connectorがサーバーに与えるCPU負荷は、管理対象デバイスの数によって異なります。一般的な目安として、XenMobile NetScaler ConnectorをXenMobileと同じサーバーに展開する場合は、CPUコアを1つ追加してプロビジョニングします。多数のデバイス(50,000個以上)がある場合に、クラスター環境がないときは、追加のコアが必要になることがあります。XenMobile NetScaler Connectorのメモリサイズは、追加メモリを保証するのに十分ではありません。

XenMobile NetScaler Connectorのシステム要件

XenMobile NetScaler Connectorでは、NetScalerアプライアンスで構成されたSSLブリッジを介してNetScalerとの通信が行われます。SSLブリッジを使用すると、アプライアンスですべてのセキュアなトラフィックをXenMobileに直接ブリッジすることができます。XenMobile NetScaler Connectorには、次の最小システム構成が必要です。

コンポーネント 条件
コンピューターとプロセッサ Pentium III 733 MHz以上のプロセッサ。Pentium III 2.0 GHz以上のプロセッサ(推奨)
NetScaler ソフトウェアバージョン10を備えたNetScalerアプライアンス
メモリ 1 GB
ハード ディスク 150MBのハードディスクスペースがある、NTFSでフォーマットしたローカルパーティション
オペレーティングシステム Microsoft Windows Server 2008 R2、Microsoft Windows Server 2008 SP2、Microsoft Windows Server 2012 R2
そのほかのデバイス ホストオペレーティングシステムと互換性があるネットワークアダプター(内部ネットワークとの通信用)
Microsoft .NET Framework。 バージョン8.5.1.11では、Microsoft .NET Framework 4.5が必要です。
表示 VGA以上の解像度のモニター

XenMobile NetScaler Connectorのホストコンピューターには、次の最小ハードディスクスペースが必要です。

  • アプリケーション: 10~15 MB(推奨値は100 MB)
  • ログ: 1GB(推奨値は20GB)

XenMobile NetScaler Connectorのプラットフォームのサポートについて詳しくは、「サポートされるデバイスオペレーティングシステム」を参照してください。

デバイスのメールクライアント

すべてのメールクライアントが、デバイスに関して一貫して同じActiveSync IDを返すわけではありません。XenMobile NetScaler Connectorは、各デバイスに対して一意のActiveSync IDを前提とするため、デバイスごとに一意の同じActiveSync IDを一貫して生成するメールクライアントのみをサポートします。以下のメールクライアントはテスト済みで、エラーなく実行できます。

  • HTCのネイティブメールクライアント
  • Samsungのネイティブメールクライアント
  • iOSのネイティブメールクライアント
  • TouchDown

XenMobile NetScaler Connectorの展開

XenMobile NetScaler Connectorでは、NetScalerを使用して、XenMobileによる管理対象デバイスとXenMobile間の通信をプロキシ接続したり、負荷分散したりできます。XenMobile NetScaler ConnectorとXenMobile間の通信は定期的に行われ、ポリシーが同期されます。XenMobile NetScaler ConnectorとXenMobileをまとめて、または別々にクラスター化したり、NetScalerによって負荷を分散したりできます。

XenMobile NetScaler Connectorのコンポーネント

  • XenMobile NetScaler Connectorサービス: このサービスでは、NetScalerによって呼び出されるREST Webサービスのインターフェイスが提供され、デバイスからのActiveSync要求が承認されるかどうかが決定されます。
  • XenMobile構成サービス: このサービスでは、Device Managerとの通信が行われ、Device Managerポリシーの変更がXenMobile NetScaler Connectorと同期されます。
  • XenMobile通知サービス: このサービスでは、Device Managerへの承認されていないデバイスのアクセスが通知されます。これによりDevice Managerでは、デバイスがブロックされた理由をユーザーに通知するなどの適切な処置を施すことができます。
  • XenMobile NetScaler構成ユーティリティ: このアプリケーションを使用すると、管理者はXenMobile NetScaler Connectorを構成して監視することができます。

XenMobile NetScaler Connectorのリッスンアドレスをセットアップするには

XenMobile NetScaler ConnectorがNetScalerから要求を受信してActiveSyncトラフィックを承認できるようにするには、次の手順を実行します。XenMobile NetScaler ConnectorがNetScaler Webサービス呼び出しをリッスンするポートを指定します。

  1. [スタート] メニューのXenMobile NetScaler構成ユーティリティを選択します。
  2. [Web Service]タブをクリックし、XenMobile NetScaler Connector Webサービスのリッスンアドレスを入力します。HTTPHTTPS のいずれかまたは両方を選択できます。XenMobile NetScaler ConnectorがXenMobileと共存している場合(同じサーバーにインストールされている場合)、XenMobileと競合しないポート値を選択します。
  3. この値を構成した後、[Save]をクリックして、[Start Service]をクリックし、Webサービスを起動します。

XenMobile NetScaler Connectorでデバイスのアクセス制御ポリシーを構成するには

管理対象デバイスに適用するアクセス制御ポリシーを構成するには、次の操作を実行します。

  1. XenMobile NetScaler構成ユーティリティで、[Path Filters]タブをクリックします。
  2. 最初の行の[Microsoft-Server-ActiveSync is for ActiveSync]を選択し、[Edit]をクリックします。
  3. [Policy]の一覧から、目的のポリシーを選択します。XenMobileポリシーが含まれるポリシーの場合、[Static + ZDM: Permit Mode]または[Static + ZDM: Block Mode] を選択します。これらのポリシーでは、ローカル(または、静的)規則とXenMobileの規則が組み合わされます。[Permit Mode]では、規則によって明示的に特定されないすべてのデバイスがActiveSyncへのアクセスを許可されます。[Block Mode]では、そのようなデバイスがブロックされます。
  4. ポリシーを設定したら、[Save]をクリックします。

XenMobileとの通信を構成するには

XenMobile NetScaler ConnectorおよびNetScalerで使用するXenMobileサーバー(構成プロバイダーともいいます)の名前およびプロパティを指定します。

注: このタスクでは、XenMobileがインストールされていて、構成済みであることを前提としています。

  1. XenMobile NetScaler Connector構成ユーティリティで、[Config Providers]タブをクリックし、[Add]をクリックします。
  2. この展開で使用するXenMobileサーバーの名前およびURLを入力します。マルチテナント展開で複数のXenMobile Serverがある場合は、この名前は各サーバーインスタンスで固有である必要があります。たとえば、[Name] に「XMS」を入力します。
  3. [Url] に、XenMobile GlobalConfig Provider(GCP)のWebアドレス(通常はhttps://<FQDN>/<instanceName>/services/<MagConfigService>という形式)を入力します。MagConfigService の名前は大文字と小文字が区別されます。
  4. [Password]に、XenMobile WebサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Managing Host]に、XenMobile NetScaler Connectorをインストールしたサーバーの名前を入力します。
  6. [Baseline Interval] で、新しく更新された動的規則のセットがXenMobileから取得される期間を指定します。
  7. [Request Timeout]で、サーバー要求のタイムアウト間隔を指定します。
  8. [Config Provider]で、構成プロバイダーのサーバーインスタンスによってポリシー構成を提供するかどうかを選択します。
  9. [Events Enabled]で、デバイスがブロックされたときにSecure Mobile GatewayからXenMobileに通知する場合はこのオプションを有効にします。Device Managerの自動化された操作でSecure Mobile Gatewayの規則を使用する場合、このオプションが必要です。
  10. サーバーを構成したら、[Test Connectivity] をクリックして、XenMobileへの接続をチェックします。
  11. 接続が確立したら、[Save]をクリックします。

冗長性およびスケーラビリティのためのXenMobile NetScaler Connectorの展開

XenMobile NetScaler ConnectorおよびXenMobile展開のスケーラビリティを向上させるには、XenMobile NetScaler Connectorのインスタンスを複数のWindowsサーバーにインストールして同じXenMobileインスタンスを参照させ、NetScalerを使用してこれらのサーバーの負荷を分散します。

XenMobile NetScaler Connectorの構成には次の2つのモードがあります。

  • 非共有モードでは、XenMobile NetScaler Connectorの各インスタンスがXenMobile Serverと通信し、結果として生成されるポリシーの独自のプライベートコピーを保持します。たとえば、XenMobileサーバーのクラスターがある場合、XenMobile NetScaler Connectorインスタンスを各XenMobileサーバーで実行すると、XenMobile NetScaler Connectorにより、ローカルXenMobileからポリシーが取得されます。
  • 共有モードでは、XenMobile NetScaler Connectorの1つのノードがプライマリノードに指定され、このノードとXenMobileとの通信が行われます。Windowsネットワーク共有またはWindows(または、サードパーティの)レプリケーションによって、結果として生成される構成がほかのノード間で共有されます。

XenMobile NetScaler Connectorの構成全体は、単一のフォルダー(数個のXMLファイルから構成されます)にあります。XenMobile NetScaler Connectorの処理によって、このフォルダー内のファイルに加えられた変更が検出され、構成が自動的に再ロードされます。共有モードのプライマリノードに対するフェイルオーバーはありません。ただし、システムでは、前回の正常な構成がXenMobile NetScaler Connectorの処理にキャッシュされるため、プライマリサーバーが数分間停止(たとえば、再起動のために)しても許容されます。