Exchange ActiveSync 用 Citrix Endpoint Management コネクタ
XenMobile Mail Manager は、Exchange ActiveSync 用 Citrix Endpoint Management コネクタになりました。Citrix の統合ポートフォリオの詳細については、Citrix 製品ガイドを参照してください。
-
このコネクタは、Citrix Endpoint Management の機能を以下の方法で拡張します。
- Exchange ActiveSync (EAS) デバイスの動的アクセス制御。EAS デバイスは、Exchange サービスへのアクセスを自動的に許可またはブロックできます。
- Citrix Endpoint Management が Exchange によって提供される EAS デバイスのパートナーシップ情報にアクセスする機能。
- Citrix Endpoint Management が EAS ステータスに基づいてモバイルデバイスをワイプする機能。
- Citrix Endpoint Management が Blackberry デバイスに関する情報にアクセスし、ワイプやパスワードのリセットなどの制御操作を実行する機能。
EAS ステータスに基づいてデバイスをワイプするには、ActiveSync トリガーを使用して自動アクションを構成します。自動アクションを参照してください。
-
重要:
-
2022 年 10 月以降、Citrix Endpoint Management および NetScaler Gateway の Exchange ActiveSync 用コネクタは、Microsoft がこちらで発表した認証変更により、Exchange Online をサポートしなくなりました。Exchange 用 Citrix Endpoint Management コネクタは、Microsoft Exchange Server (オンプレミス) で引き続き動作します。
-
バージョン 10.1.10 の新機能
バージョン 10.1.10 では、以下の問題が修正されています。
- 頻繁なネットワークの問題を経験するお客様は、以前提供されていた 3 回の試行内でスナップショットを完了できない場合があります。このリリースでは、管理者は最大試行回数 (1~10) を構成できます。この修正により、スナップショットは通信の中断を複数回発生させても、スナップショットプロセスを完全に放棄することなく続行できます。[CXM-70837]
- 以前のバージョンでは、スナップショットタイプが Exchange 構成のリストに表示されませんでした。今回のリリースでは、スナップショットタイプが表示されます。[CXM-70846]
- PowerShell によって報告される PSRemotingTransport 例外は、Exchange へのセッションがもはや有効ではないことを示します。このステータスは、デフォルトで構成ファイルの Critical Errors リストに追加されます。これにより、PSRemotingTransportException が検出された場合、接続は後で破棄するためにエラーとしてマークされます。次の通信では、有効な接続が使用されるか、新しい接続が作成されます。[XMHELP-2184, CXM-70836]
- 構成の変更が保存されたときに、以前に構成されたすべての内部コンポーネントが新しい構成をロードする前に適切に破棄されなかった可能性があります。この問題は、予測不能な動作につながる可能性があります。動作は、特定の変更と、その変更が以前の構成と競合したかどうかに依存します。このリリースでは、新しい構成をロードする前にすべての内部コンポーネントが破棄されます。[XMHELP-2259, CXM-71388]
バージョン 10.1.9 の新機能
-
バージョン 10.1.9 では、以下の問題が修正されています。
- 構成の変更がより一貫した方法で処理されるようになりました。サービスが構成の変更を検出すると、各内部サブシステムが停止されます。これは、アクティブまたはスケジュールされた処理が中断されることを意味します。次に、新しい構成がロードされ、サブシステムが再起動されます。これは、すべてのスケジュールおよびその他の内部インフラストラクチャが新しい設定で再確立されることを意味します。この問題は、バージョン 10.1.8 の既知の問題を修正します。[CXM-47709, CXM-61330]
- アップグレード中に、既存のデータベース構成が新しい構成ファイルにマージされませんでした。データベース構成は、アップグレードされた構成ファイルにマージされるようになりました。[CXM-49326]
- スナップショット関連の診断ファイルで、列ヘッダーが欠落していました。ヘッダーが復元されました。[CXM-62680]
- 以前のバージョンからアップグレードする際に、構成ファイルのデフォルトセクションが、使用中の構成ファイルの類似セクションによって上書きされていました。この問題により、アップグレード後にデフォルトセクションへの追加や改善がサービスによってロードされませんでした。このバージョン以降、デフォルトセクションは常に最新の構成を反映します。[CXM-62681]
-
管理者は、アプリケーションの実行中に Shift キーを押しても特定のオプションにアクセスできなくなりました。これらのオプションは以前、Citrix® の許可を得て利用可能でした。一部のオプション (例: リダイレクトの許可) は完全に利用可能になり、その他のオプション (例: ハング検出、カウント修正) は非推奨になりました。[CXM-62767]
以前のバージョンの新機能
-
以下のセクションでは、Citrix Endpoint Management の Exchange ActiveSync 用コネクタの以前のバージョンの新機能と修正された問題について説明します。
-
バージョン 10.1.8 の新機能
- Exchange が Exchange ActiveSync サービス用の Citrix Endpoint Management コネクタによるコマンドの発行頻度を制限する可能性があります。この問題は、Office 365 への接続でよく発生します。スロットリングの影響により、サービスは次のコマンドを送信する前に指定された期間一時停止する必要があります。Configure コンソールに、一時停止の残り時間が表示されるようになりました。[CXM-48044]
- 構成ファイル (config.xml) の「Watchdog」セクションおよび/または「SpecialistsDefaults」セクションに変更が加えられた場合、アップグレード後にその変更が構成ファイルに反映されません。このリリースでは、変更が新しい構成ファイルに正しくマージされます。[CXM-52523]
- Google Analytics に送信される分析に、特にスナップショットに関する詳細が追加されました。[CXM-56691]
- Exchange の接続テスト機能は、接続の初期化を一度だけ試行していました。Office 365 接続はスロットリングされる可能性があるため、スロットリングされた場合に接続テストが失敗したように見えることがありました。Citrix Endpoint Management の Exchange ActiveSync 用コネクタは、接続の開始を最大 3 回試行するようになりました。[CXM-58180]
-
Exchange でポリシーを適用するには、Citrix Endpoint Management の Exchange ActiveSync 用コネクタが、各メールボックスの関連するすべてのデバイスを、許可リストとブロックリストの 2 つのリストに含める
Set-CASMailboxコマンドをコンパイルする必要があります。デバイスがどちらのリストにも含まれていない場合、Exchange はデフォルトのアクセス状態にフォールバックします。そのデフォルトのアクセス状態がデバイスの目的の状態と異なる場合、そのデバイスはコンプライアンス違反になります。そのため、Exchange のデフォルトのアクセス状態がブロックされており、許可されるべきである場合、ユーザーはメールへのアクセスを失う可能性があります。または、メールへのアクセスがブロックされるべきユーザーがアクセスを許可される可能性があります。Citrix Endpoint Management の Exchange ActiveSync 用コネクタは、有効な目的の状態を持つすべてのデバイスが各Set-CasMailboxコマンドに含まれることを確認するようになりました。[CXM-61251] - バージョン 10.1.8 の既知の問題は以下のとおりです。
管理者が Configure アプリケーションで構成データを変更する際に、サービスがスナップショットやポリシー評価などの長時間操作を実行している場合、サービスが不定状態になる可能性があります。考えられる症状としては、ポリシーの変更が処理されない、またはスナップショットが開始されないなどがあります。サービスを動作状態に戻すには、サービスを再起動する必要があります。サービスを開始する前に、Windows サービスマネージャーを使用してサービスプロセスを終了する必要がある場合があります。[CXM-61330]
-
バージョン 10.1.7 の新機能
- XenMobile Mail Managerは、Citrix Endpoint Management connector for Exchange ActiveSyncになりました。
-
Exchange構成ダイアログボックスのDisable Pipeliningオプションは非推奨になりました。この機能は、config.xmlファイルで各コマンドに複数の手順を構成することで実現できます。[CXM-54593]
-
バージョン10.1.7で修正された問題は次のとおりです。
- スナップショット履歴ウィンドウで、エラーメッセージがほとんどコンテキストなしで表示される場合がありました。現在、エラーメッセージには発生した場所のコンテキストがプレフィックスとして付加されます。[CXM-49157]
- XmmGoogleAnalytics .dllには、リリースに対応するファイルバージョンがありませんでした。[CXM-52518]
- 診断を改善するため、メールボックスの許可/ブロック状態を設定するために使用されるデバイスIDのリストの文字列形式を最近変更しました。しかし、あまりにも多くのデバイスを指定すると、最大文字列サイズを超過しました。現在、内部配列データ構造を使用しています。この構造にはサイズ制限がなく、診断目的でデータを適切にフォーマットします。[CXM-52610]
- Exchangeと同期していないデバイスポリシーが検出された場合、そのコマンドには関連するメールボックスに属さないデバイスが含まれることがあります。Citrix Endpoint Management connector for Exchange ActiveSyncは、Exchangeへのコマンドがそれぞれのメールボックスに属するデバイスのみを表すようにします。[CXM-54842]
- 一部の環境では、Microsoftアセンブリが利用できません。必要なアセンブリは、アプリケーションとともに明示的にインストールされるようになりました。[CXM-55439]
- デバイスまたはメールボックスの識別名 (Distinguished Name) に、属性名と等号の間、または等号と値の間にスペースがある場合、Citrix Endpoint Management connector for Exchange ActiveSyncはデバイスをそのメールボックスと適切に照合できない、またはその逆の状況が発生する可能性があります。その結果、スナップショットの調整中に一部のデバイスやメールボックスが拒否される可能性があります。[CXM-56088]
注:
以下の新機能セクションでは、Citrix Endpoint Management connector for Exchange ActiveSyncを旧称のXenMobile Mail Managerとして参照しています。名称はバージョン10.1.7から変更されました。
バージョン10.1.6.20での更新
10.1.6への更新には、バージョン10.1.6.20で次の修正が含まれています。
-
Exchangeと同期していないデバイスポリシーが検出された場合、そのコマンドには関連するメールボックスに属さないデバイスが含まれることがあります。XenMobile® Mail Managerは、Exchangeへのコマンドがそれぞれのメールボックスに属するデバイスのみを表すようにします。[CXM-54842]
-
バージョン10.1.6の新機能
-
XenMobile Mail Managerバージョン10.1.6には、次の修正された問題と強化が含まれています。
- スナップショット履歴ウィンドウが、更新されない状態になることがありました。ウィンドウの更新メカニズムが改善され、より信頼性高く更新されるようになりました。[CXM-47983]
- パーティション分割されたスナップショットとパーティション分割されていないスナップショットには、2つの個別のモードとコードパスが使用されていました。パーティション分割されていないスナップショットは、単一の「*」パーティションを使用する構成のパーティション分割されたスナップショットと同等であるため、パーティション分割されていないスナップショットモードは廃止されました。デフォルトのスナップショットモードは、36個のパーティション(0~9、A~Z)を持つパーティション分割されたスナップショットになりました。[CXM-49093]
- スナップショット履歴ウィンドウで、エラーメッセージがステータスメッセージによって上書きされていました。現在、XenMobile Mail Managerは2つの個別のフィールドを提供し、ユーザーがステータスとエラーを同時に表示できるようにします。[CXM-51942]
- Exchange Online (Office 365) に接続する際、スナップショット関連のクエリが切り詰められたデータセットになることがありました。この問題は、XenMobile Mail Managerがマルチコマンドパイプラインスクリプトを実行する際に発生する可能性があります。アップストリームコマンドがダウンストリームコマンドにデータを十分に迅速に渡せず、ダウンストリームコマンドが時期尚早に作業を完了してしまうため、不完全なデータが発生します。XenMobile Mail Managerは、パイプライン自体を模倣し、アップストリームコマンドが完了するまで待機してからダウンストリームコマンドを呼び出すことができるようになりました。この変更により、すべてのデータが処理および取得されるはずです。[CXM-52280]
- Exchangeへのポリシー更新コマンドで解決不能なエラーが発生した場合、同じコマンドが長期間にわたって繰り返しワークキューに戻されていました。この状況により、コマンドがExchangeに何度も送信されていました。このバージョンのXenMobile Mail Managerでは、エラーが発生したコマンドは所定の回数のみワークキューに戻されます。[CXM-52633]
- 特定のメールボックスのポリシー更新にすべてのデバイスの許可またはブロックが含まれる場合、発行されたSet-CASMailboxコマンドは、空のリストがNULLではなく空の文字列に変換されるために失敗していました。現在、適切なデータが送信されます。[CXM-53759]
- 新しいデバイスを処理する際、Exchangeはしばらくの間(通常15分間)状態を「DeviceDiscovery」として返すことがあります。XenMobile Mail Managerはこの状態を特定して処理していませんでした。XenMobile Mail Managerは現在この状態を処理します。UIのモニタータブで、ユーザーはこの状態のデバイスをフィルタリングできます。[CXM-53840]
- XenMobile Mail Managerは、XenMobile Mail Managerデータベースへの書き込み機能をチェックしていませんでした。そのため、権限が制限されている場合、動作が予測できない可能性がありました。XenMobile Mail Managerは現在、データベースから必要な権限を取得および検証します。XenMobile Mail Managerは、接続テスト時(メッセージが表示される)またはメインの構成ウィンドウ下部にあるデータベースインジケーター(メッセージのホバー表示)のいずれかで、権限の削減を示します。[CXM-54219]
-
現在のワークロードによっては、指示された場合でもXenMobile Mail Managerサービスが迅速に停止しないことがあります。そのため、サービスが応答しない状態に見えることがあります。改善により、進行中のタスクが中断できるようになり、より正常なシャットダウンが可能になりました。[CXM-54282]
-
バージョン10.1.5の新機能
-
XenMobile Mail Managerバージョン10.1.5には、次の修正された問題が含まれています。
- ExchangeがXenMobile Mail Managerのアクティビティにスロットリングを適用している場合、スロットリングが発生していることを示す表示(ログ以外)がありませんでした。このリリースでは、ユーザーがアクティブなスナップショットにカーソルを合わせると、「スロットリング」状態が表示されます。また、XenMobile Mail Managerがスロットリングされている間は、Exchangeがスロットリングの停止を解除するまで、メジャースナップショットの開始が禁止されます。[CXM-49617]
- メジャースナップショット中にXenMobile Mail ManagerがExchangeによってスロットリングされている場合、次のスナップショット試行を実行する前に十分な時間が経過しない可能性があります。この問題により、さらなるスロットリングとスナップショットの失敗が発生します。XenMobile Mail Managerは現在、Exchangeがスナップショット試行間の待機を指定する最小時間だけ待機します。[CXM-49618]
- 診断が有効になっている場合、コマンドファイルには、各プロパティ名の前にハイフンが欠落しているSet-CasMailboxコマンドが表示されていました。この問題は、診断ファイルの書式設定のみで発生し、Exchangeへの実際のコマンドでは発生しませんでした。ハイフンの欠落により、ユーザーはコマンドを切り取ってPowerShellプロンプトに直接貼り付けてテストまたは検証を行うことができませんでした。ハイフンが追加されました。[CXM-52520]
-
メールボックスIDが
姓, 名の形式である場合、Exchangeはクエリからデータを返す際にコンマの前にバックスラッシュを追加します。XenMobile Mail ManagerがこのIDを使用して追加データをクエリする場合、このバックスラッシュを除去する必要があります。[CXM-52635] -
既知の制限事項
-
注:
以下の制限事項はバージョン10.1.6で解決済みです。
XenMobile Mail Managerには、Exchangeへのコマンドが失敗する原因となる既知の制限事項があります。Exchangeにポリシー変更を適用するために、XenMobile Mail ManagerによってSet_CASMailboxコマンドが発行されます。このコマンドは、2つのデバイスリスト(許可するリストとブロックするリスト)を受け取ることができます。このコマンドは、メールボックスと連携しているデバイスに適用されます。
- これらのリストは、Microsoft API によりそれぞれ 256 文字に制限されています。いずれかのリストがこの制限を超えると、コマンド全体が失敗し、そのメールボックスのデバイスに対するポリシーを設定できなくなります。XenMobile Mail Manager のログに表示されるエラーは、次のようになります。これはブロックリストの例です。
“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”
-
デバイス ID の長さは異なる場合がありますが、約 10 台以上のデバイスが同時に許可またはブロックされると、制限を超える可能性があるという目安があります。特定のメールボックスにこれほど多くのデバイスが関連付けられていることはまれですが、可能性はあります。Mail Manager がこのようなシナリオを処理できるように改善されるまで、ユーザーとメールボックスに関連付けられるデバイスの数を 10 台以下に制限することをお勧めします。[CXM-52633]
-
バージョン 10.1.4 の新機能
-
XenMobile Mail Manager バージョン 10.1.4 には、以下の修正された問題があります。
- セキュリティの脆弱化のため、PCI Council は TLS 1.0 および TLS 1.1 のサポートを廃止しています。XenMobile Mail Manager には 1.2 のサポートが追加されました。[CXM-38573, CXM-32560]
- XenMobile Mail Manager には新しい診断ファイルが含まれています。Exchange の仕様で [診断を有効にする] が選択されている場合、新しいスナップショット履歴ファイルが生成されます。スナップショットの試行ごとに、スナップショットの結果がファイルに 1 行追加されます。[CXM-49631]
- コマンド診断ファイルでは、Set-CASMailbox コマンドに対して許可またはブロックされたデバイスのリストが表示されませんでした。代わりに、関連する引数に対して内部クラス名がファイルに表示されていました。XenMobile Mail Manager は、デバイス ID のリストをコンマ区切りのリストとして表示するようになりました。[CXM-50693]
- 不正な仕様が原因で Exchange への接続の取得に失敗した場合、「すべての接続が使用中です」という誤ったメッセージがエラーメッセージを上書きしていました。現在では、「すべての接続が動作不能です」、「接続プールが空です」、「すべての接続がスロットルされています」、「利用可能な接続がありません」など、より詳細なメッセージが表示されます。[CXM-50783]
-
Allow/Block/Wipe コマンドが XenMobile Mail Manager の内部キャッシュに複数回キューイングされることがあります。この問題により、コマンドが Exchange に送信されるのが遅延します。XenMobile Mail Manager は、各コマンドのインスタンスを 1 つだけキューイングするようになりました。[CXM-51524]
-
バージョン 10.1.3 の新機能
- Google Analytics のサポート: XenMobile Mail Manager の使用状況を把握し、製品を改善できる点に注力したいと考えています。
-
診断を有効にする設定: [構成] ダイアログボックスの構成コンソールに [診断を有効にする] チェックボックスが表示されます。
バージョン 10.1.3 で修正された問題
- **[スナップショット履歴]** ウィンドウで、スナップショットの現在の状態を示すツールヒントが実際の状態を反映していません。[CXM-5570]
- XenMobile Mail Manager がコマンド診断ファイルに書き込めない場合があります。この場合、コマンド履歴が完全にログに記録されません。[CXM-49217]
- 接続でエラーが発生した場合、その接続が「エラー状態」としてマークされないことがあります。その結果、後続のコマンドがその接続を使用しようとして、別のエラーを引き起こす可能性があります。[CXM-49495]
- Exchange Server からのスロットリングが発生した場合、Check Health ルーチンで例外がスローされることがあります。その結果、エラーが発生した接続や期限切れになった接続がパージされない可能性があります。また、XenMobile Mail Manager は、スロットリング時間が経過するまで接続を作成しない可能性があります。[CXM-49794]。
- Exchange の最大セッション数を超過した場合、XenMobile Mail Manager は「デバイスキャプチャに失敗しました」というエラーを報告しますが、これは正確なメッセージではありません。代わりに、XenMobile Mail Manager が通常 Exchange 通信に使用する 2 つのセッションが使用中であることを示すメッセージが表示されるべきです。[CXM-49994]
バージョン 10.1.2 の新機能
- **Exchange への接続の改善:** XenMobile Mail Manager は PowerShell セッションを使用して Exchange と通信します。PowerShell セッションは、特に Office 365 を扱う場合、しばらくすると不安定になり、後続のコマンドの成功を妨げる可能性があります。XenMobile Mail Manager は、接続の有効期限を設定できるようになりました。接続が有効期限に達すると、XenMobile Mail Manager は PowerShell セッションを正常にシャットダウンし、新しいセッションを作成します。これにより、PowerShell セッションが不安定になる可能性が低くなり、スナップショットの失敗の可能性が大幅に減少します。
- **スナップショットワークフローの改善:** メジャースナップショットは、時間と処理能力を要する操作です。スナップショット中にエラーが発生した場合、XenMobile Mail Manager はスナップショットを完了するために複数回(最大 3 回)試行するようになりました。後続の試行は最初から開始されません。XenMobile Mail Manager は中断したところから続行します。この機能強化により、スナップショットが進行中でも一時的なエラーを通過させることで、スナップショットの成功率が全体的に向上します。
- **診断機能の改善:** スナップショット操作のトラブルシューティングが、スナップショット中にオプションで生成される 3 つの新しい診断ファイルによって容易になりました。これらのファイルは、PowerShell コマンドの問題、情報が不足しているメールボックス、メールボックスに関連付けられないデバイスの特定に役立ちます。管理者はこれらのファイルを使用して、Exchange 内で正しくない可能性のあるデータを特定できます。
- **メモリ使用量の改善:** XenMobile Mail Manager は、メモリ使用においてより効率的になりました。管理者は、システムをクリーンな状態にするために、XenMobile Mail Manager を自動的に再起動するようにスケジュールできます。
- **Microsoft .NET Framework 4.6 の前提条件:** Microsoft .NET Framework の前提条件バージョンはバージョン 4.6 になりました。
修正された問題
- 資格情報のプロンプトエラー: Office 365 セッションの不安定性がこのエラーを頻繁に引き起こしていました。Exchange への接続の改善機能がこの問題に対処します。(XMHELP-293, XMHELP-311, XMHELP-801)
- メールボックスとデバイス数の不正確さ: XenMobile Mail Manager には、メールボックスとデバイスの関連付けアルゴリズムが改善されました。診断機能の改善は、XenMobile Mail Manager がその責任範囲外と見なすメールボックスとデバイスの特定に役立ちます。(XMHELP-623)
- Allow/Block/Wipe コマンドが認識されない: XenMobile Mail Manager の Allow/Block/Wipe コマンドが認識されない場合があるバグが修正されました。(XMHELP-489)
メモリ管理: メモリ管理と軽減策が改善されました。(XMHELP-419)
アーキテクチャ
- 次の図は、Exchange ActiveSync 用 Citrix Endpoint Management コネクタの主要コンポーネントを示しています。詳細なリファレンスアーキテクチャ図については、「[アーキテクチャ](/ja-jp/citrix-endpoint-management/about.html#architecture)」を参照してください。
- 
- 2 つの主要コンポーネントは次のとおりです。
- **Exchange ActiveSync アクセス制御管理:** Citrix Endpoint Management と通信して、Citrix Endpoint Management から Exchange ActiveSync ポリシーを取得し、このポリシーをローカルで定義されたポリシーとマージして、Exchange へのアクセスを許可または拒否すべき Exchange ActiveSync デバイスを決定します。ローカルポリシーにより、Active Directory グループ、ユーザー、デバイスタイプ、またはデバイスユーザーエージェント(通常はモバイルプラットフォームのバージョン)によるアクセス制御を許可するようにポリシー規則を拡張できます。
- **リモート PowerShell 管理:** Exchange ActiveSync アクセス制御管理によってコンパイルされたポリシーを実行するために、リモート PowerShell コマンドのスケジュール設定と呼び出しを担当します。新しいまたは変更された Exchange ActiveSync デバイスを検出するために、定期的に Exchange ActiveSync データベースのスナップショットを取得します。
システム要件と前提条件
- Exchange ActiveSync 用 Citrix Endpoint Management コネクタを使用するには、以下の最小システム要件が必要です。
- Windows Server 2016、Windows Server 2012 R2、または Windows Server 2008 R2 Service Pack 1。英語ベースのサーバーである必要があります。Windows Server 2008 R2 Service Pack 1 のサポートは 2020 年 1 月 14 日に終了し、Windows Server 2012 R2 のサポートは 2023 年 10 月 10 日に終了します。
- Microsoft SQL Server 2016 Service Pack 2、SQL Server 2014 Service Pack 3、または SQL Server 2012 Service Pack 4。
- Microsoft .NET Framework 4.6。
- Blackberry Enterprise Service、バージョン 5 (オプション)。
- Microsoft Exchange Server の最小サポートバージョン:
- Microsoft Office 365
- Exchange Server 2016
- Exchange Server 2013 (サポート終了日: 2023年4月11日)
- Exchange Server 2010 Service Pack 3 (サポート終了日: 2020年1月14日)
前提条件
- Windows Management Frameworkがインストールされていること。
- PowerShell V5、V4、およびV3
- PowerShell実行ポリシーが`Set-ExecutionPolicy RemoteSigned`によって`RemoteSigned`に設定されていること。
- Exchange ActiveSync用コネクタを実行しているコンピューターとリモートのExchange Server間でTCPポート80が開いていること。
- **デバイスのメールクライアント:** すべてのメールクライアントがデバイスに対して常に同じActiveSync IDを返すわけではありません。Exchange ActiveSync用コネクタは各デバイスに対して一意のActiveSync IDを期待するため、各デバイスに対して常に同じ一意のActiveSync IDを生成するメールクライアントのみがサポートされます。Citrixによってテストされ、エラーなく動作したメールクライアントは次のとおりです。
- Samsungネイティブメールクライアント
- iOSネイティブメールクライアント
- **Exchange:** Exchangeを実行しているオンプレミスコンピューターの要件は次のとおりです。
- Exchange構成UIで指定された資格情報は、Exchange Serverに接続でき、以下のExchange固有のPowerShellコマンドレットを実行するためのフルアクセス権が付与されている必要があります。
- **Exchange Server 2010 SP2の場合:**
- `Get-CASMailbox`
- `Set-CASMailbox`
- `Get-Mailbox`
- `Get-ActiveSyncDevice`
- `Get-ActiveSyncDeviceStatistics`
- `Clear-ActiveSyncDevice`
- `Get-ExchangeServer`
- `Get-ManagementRole`
- `Get-ManagementRoleAssignment`
- **Exchange Server 2013およびExchange Server 2016の場合:**
- `Get-CASMailbox`
- `Set-CASMailbox`
- `Get-Mailbox`
- `Get-MobileDevice`
- `Get-MobileDeviceStatistics`
- `Clear-MobileDevice`
- `Get-ExchangeServer`
- `Get-ManagementRole`
- `Get-ManagementRoleAssignment`
- Exchange ActiveSync用コネクタがフォレスト全体を表示するように構成されている場合、`**Set-AdServerSettings -ViewEntireForest $true**`を実行する権限が付与されている必要があります。
- 提供された資格情報には、リモートシェルを介してExchange Serverに接続する権限が付与されている必要があります。デフォルトでは、Exchangeをインストールしたユーザーがこの権限を持っています。
- リモート接続を確立し、リモートコマンドを実行するには、資格情報がリモートマシン上の管理者であるユーザーに対応している必要があります。`Set-PSSessionConfiguration`を使用して管理要件を排除できますが、このコマンドの説明はこのドキュメントの範囲外です。詳細については、Microsoftの記事「[About Session Configurations](https://docs.microsoft.com/ja-jp/powershell/module/microsoft.powershell.core/about/about_session_configurations?view=powershell-7)」を参照してください。
- Exchange Serverは、HTTPを介したリモートPowerShellリクエストをサポートするように構成されている必要があります。通常、Exchange Serverで次のPowerShellコマンドを実行するだけで十分です: `WinRM QuickConfig`。
- Exchangeには多くのスロットリングポリシーがあります。そのポリシーの1つは、ユーザーごとに許可される同時PowerShell接続の数を制御します。Exchange 2010では、ユーザーに許可される同時接続のデフォルト数は18です。接続制限に達すると、Exchange ActiveSync用コネクタはExchange Serverに接続できません。PowerShellを介して許可される最大同時接続数を変更する方法がありますが、これはこのドキュメントの範囲外です。興味がある場合は、PowerShellによるリモート管理に関連するExchangeスロットリングポリシーを調べてください。
- ## Office 365 Exchangeの要件
- **権限:** Exchange構成UIで指定された資格情報は、Office 365に接続でき、以下のExchange固有のPowerShellコマンドレットを実行するためのフルアクセス権が付与されている必要があります。
- `Get-CASMailbox`
- `Set-CASMailbox`
- `Get-Mailbox`
- `Get-MobileDevice`
- `Get-MobileDeviceStatistics`
- `Clear-MobileDevice`
- `Get-ExchangeServer`
- `Get-ManagementRole`
- `Get-ManagementRoleAssignment`
- **特権:** 提供された資格情報には、リモートシェルを介してOffice 365サーバーに接続する権限が付与されている必要があります。デフォルトでは、Office 365オンライン管理者が必要な特権を持っています。
- **スロットリングポリシー:** Exchangeには多くのスロットリングポリシーがあります。そのポリシーの1つは、ユーザーごとに許可される同時PowerShell接続の数を制御します。Office 365では、ユーザーに許可される同時接続のデフォルト数は3です。接続制限に達すると、Exchange ActiveSync用コネクタはExchange Serverに接続できません。PowerShellを介して許可される最大同時接続数を変更する方法がありますが、これはこのドキュメントの範囲外です。興味がある場合は、PowerShellによるリモート管理に関連するExchangeスロットリングポリシーを調べてください。
インストールと構成
-
XmmSetup.msiファイルをクリックし、インストーラーの指示に従ってCitrix Endpoint Management connector for Exchange ActiveSyncをインストールします。
-
- セットアップウィザードの最後の画面で、[Configure utilityを起動する] を選択したままにします。または、[スタート] メニューからExchange ActiveSync用コネクタを開きます。
-
- 次のデータベースプロパティを構成します。
- [構成] > [データベース] タブを選択します。
- SQL Serverの名前を入力します (デフォルトは
localhost)。 - データベースはデフォルトの
**CitrixXmm**のままにします。
-
- SQLに使用する次の認証モードのいずれかを選択します。
- SQL: 有効なSQLユーザーのユーザー名とパスワードを入力します。
- Windows統合: このオプションを選択した場合、XenMobile Mail Manager Serviceのログオン資格情報を、SQL Serverにアクセスする権限を持つWindowsアカウントに変更する必要があります。これを行うには、[コントロールパネル] > [管理ツール] > [サービス] を開き、XenMobile Mail Manager Serviceのエントリを右クリックして、[ログオン] タブをクリックします。
- BlackBerryデータベース接続にもWindows統合が選択されている場合、ここで指定されたWindowsアカウントにもBlackBerryデータベースへのアクセス権が付与されている必要があります。
-
[接続のテスト] をクリックしてSQL Serverへの接続が可能であることを確認し、[保存] をクリックします。
-
サービスを再起動するよう促すメッセージが表示されます。[はい] をクリックします。
-
- 1つ以上のExchange Serverを構成します。
- 単一のExchange環境を管理している場合は、単一のサーバーのみを指定します。複数のExchange環境を管理している場合は、各Exchange環境に単一のExchange Serverを指定します。
- [Configure > Exchange] タブをクリックし、次に [Add] をクリックします。
-
Exchange Server環境のタイプとして、[On Premise] または [Office 365] を選択します。
- [On Premise] を選択した場合は、リモートPowerShellコマンドに使用するExchange Serverの名前を入力します。
- [要件] セクションで指定されているように、Exchange Serverに対する適切な権限を持つWindows IDのユーザー名を入力し、次にそのユーザーのパスワードを入力します。
- メジャースナップショットを実行するスケジュールを選択します。メジャースナップショットは、すべてのExchange ActiveSyncパートナーシップを検出します。
- マイナースナップショットを実行するスケジュールを選択します。マイナースナップショットは、新しく作成されたExchange ActiveSyncパートナーシップを検出します。
- スナップショットタイプとして、[Deep] または [Shallow] を選択します。シャロースナップショットは通常はるかに高速で、Exchange ActiveSync用コネクタのすべてのExchange ActiveSyncアクセス制御機能を実行するのに十分です。
- デフォルトアクセスとして、[Allow]、[Block]、または [Unchanged] を選択します。この設定は、明示的なCitrix Endpoint Managementまたはローカルルールによって識別されたデバイス以外のすべてのデバイスがどのように扱われるかを制御します。[Allow] を選択すると、そのようなすべてのデバイスへのActiveSyncアクセスが許可されます。[Block] を選択すると、アクセスが拒否されます。[Unchanged] を選択すると、変更は行われません。
- ActiveSyncコマンドモードとして、[PowerShell] または [Simulation] を選択します。
- [PowerShell] モードでは、Exchange ActiveSync用コネクタは、目的のアクセス制御を実行するためにPowerShellコマンドを発行します。シミュレーションモードでは、Exchange ActiveSync用コネクタはPowerShellコマンドを発行しませんが、意図されたコマンドと意図された結果をデータベースにログ記録します。シミュレーションモードでは、ユーザーは [Monitor] タブを使用して、PowerShellモードが有効になっていた場合に何が起こったかを確認できます。
- [Connection Expiration] で、接続の有効期間を時間と分で設定します。接続が指定された期間に達すると、その接続は期限切れとしてマークされ、二度と使用されなくなります。期限切れの接続が使用されなくなると、Exchange ActiveSync用コネクタは接続を正常にシャットダウンします。接続が再度必要になったときに、利用可能な接続がない場合は、新しい接続が初期化されます。何も指定されていない場合、デフォルトの30分が使用されます。
- [View Entire Forest] を選択して、Exchange ActiveSync用コネクタがExchange環境内のActive Directoryフォレスト全体を表示するように構成します。
- 認証プロトコルとして、[Kerberos] または [Basic] を選択します。Exchange ActiveSync用コネクタは、オンプレミス展開で基本認証をサポートしています。これにより、コネクタサーバーがExchangeサーバーが存在するドメインのメンバーではない場合でも、コネクタを使用できます。
- [Test Connectivity] をクリックしてExchange Serverへの接続が可能であることを確認し、次に [Save] をクリックします。
- サービスを再起動するよう促すメッセージが表示されます。[はい] をクリックします。
-
アクセスルールを構成します。[Configure > Access Rules] タブを選択し、[Citrix Endpoint Management Rules] タブをクリックし、次に [Add] をクリックします。
-
[Citrix Endpoint Management server Service Properties] ページで、URL文字列をCitrix Endpoint Managementサーバーを指すように変更します。たとえば、インスタンス名が
zdmの場合は、https://<XdmHostName>/zdm/services/MagConfigServiceと入力します。この例では、XdmHostNameをCitrix Endpoint ManagementサーバーのIPアドレスまたはDNSアドレスに置き換えます。
- サーバーの認証済みユーザーを入力します。
- ユーザーのパスワードを入力します。
- [Baseline Interval]、[Delta Interval]、および [Timeout] の値はデフォルトのままにします。
- [Test Connectivity] をクリックしてサーバーへの接続を確認し、次に [OK] をクリックします。
[Disabled] チェックボックスが選択されている場合、Citrix Endpoint ManagementメールサービスはCitrix Endpoint Managementからポリシーを収集しません。
-
[Local Rules] タブをクリックします。
-
- ActiveSyncデバイスID、デバイスタイプ、ADグループ、ユーザー、またはデバイスのUserAgentに基づいてローカルルールを追加できます。リストから適切なタイプを選択します。
- テキストボックスにテキストまたはテキストフラグメントを入力します。必要に応じて、クエリボタンをクリックして、フラグメントに一致するエンティティを表示します。
グループ以外のすべてのタイプでは、システムはスナップショットで見つかったデバイスに依存します。したがって、開始したばかりでスナップショットが完了していない場合、エンティティは利用できません。
- テキスト値を選択し、[Allow] または [Deny] をクリックして、右側の [Rule List] ペインに追加します。ルールリストの順序を変更したり、[Rule List] ペインの右側にあるボタンを使用してルールを削除したりできます。特定のユーザーとデバイスの場合、ルールは表示されている順序で評価され、上位のルール(上部に近いルール)が一致すると、それ以降のルールは効果がなくなるため、順序は重要です。たとえば、すべてのiPadデバイスを許可するルールがあり、その後にユーザーMattをブロックするルールがある場合でも、iPadルールはMattルールよりも実質的な優先度が高いため、MattのiPadは引き続き許可されます。
-
ルールリスト内のルールの分析を実行して、潜在的なオーバーライド、競合、または補足的な構成を見つけるには、[Analyze] をクリックし、次に [Save] をクリックします。
-
- Active Directoryグループで動作するローカルルールを構築する場合は、[Configure LDAP] をクリックし、次にLDAP接続プロパティを構成します。
-
任意で、BlackBerry Enterprise Server (BES) のインスタンスを1つ以上構成します。[追加] をクリックし、BES SQL Serverのサーバー名を入力します。
-
-
BES管理データベースのデータベース名を入力します。
-
[認証] モードを選択します。Windows統合認証を選択した場合、Exchange ActiveSyncサービス用コネクタのユーザーアカウントが、BES SQL Serverへの接続に使用されるアカウントになります。コネクタデータベース接続にもWindows統合認証を選択した場合、ここで指定されたWindowsアカウントには、コネクタデータベースへのアクセスも許可されている必要があります。
-
[SQL認証] を選択した場合は、ユーザー名とパスワードを入力します。
-
[同期スケジュール] を設定します。これは、BES SQL Serverに接続し、デバイスの更新を確認するために使用されるスケジュールです。
-
[接続テスト] をクリックして、SQL Serverへの接続を確認します。Windows統合認証を選択した場合、このテストは現在ログインしているユーザーを使用し、コネクタサービスユーザーは使用しないため、SQL認証を正確にテストするものではありません。
-
Citrix Endpoint ManagementからBlackBerryデバイスのリモートワイプおよびパスワードリセットをサポートするには、[有効] チェックボックスを選択します。
-
-
-
BESの完全修飾ドメイン名 (FQDN) を入力します。
-
管理Webサービスに使用されるBESポートを入力します。
-
BESサービスに必要な完全修飾ユーザーとパスワードを入力します。
-
[接続テスト] をクリックしてBESへの接続をテストし、[保存] をクリックします。
ActiveSync IDによるメールポリシーの適用
企業のメールポリシーにより、特定のデバイスが企業メールの使用を承認されていない場合があります。このポリシーに従うため、従業員がそのようなデバイスから企業メールにアクセスできないようにする必要があります。Citrix Endpoint Managementコネクタ for Exchange ActiveSyncとCitrix Endpoint Managementは連携して、このようなメールポリシーを適用します。Citrix Endpoint Managementは企業メールアクセスに関するポリシーを設定します。未承認のデバイスがCitrix Endpoint Managementに登録されると、Exchange ActiveSync用コネクタがポリシーを適用します。
デバイス上のメールクライアントは、デバイスを識別するために使用されるデバイスID(ActiveSync IDとも呼ばれます)を使用して、自身をExchange Server(またはOffice 365)に通知します。Citrix Secure Hubは同様の識別子を取得し、デバイスが登録されるとCitrix Endpoint Managementにその識別子を送信します。2つのデバイスIDを比較することで、Exchange ActiveSync用コネクタは特定のデバイスが企業メールアクセスを持つべきかどうかを判断できます。次の図はこの概念を示しています。
Citrix Endpoint ManagementがExchange ActiveSync用コネクタに、デバイスがExchangeに公開するIDとは異なるActiveSync IDを送信した場合、コネクタはExchangeにそのデバイスをどうすべきかを指示できません。
ActiveSync IDの一致は、ほとんどのプラットフォームで確実に機能します。ただし、Citrixは一部のAndroid実装において、デバイスからのActiveSync IDがメールクライアントがExchangeに通知するIDと異なることを確認しています。この問題を軽減するには、次の操作を実行できます。
- Androidプラットフォームでは、Citrix Secure Mailの使用を推奨します。
企業メールアクセスポリシーが適切に適用されることを保証するために、防御的なセキュリティ体制を採用できます。Citrix Endpoint Managementコネクタ for Exchange ActiveSyncを構成して、静的ポリシーをデフォルトで[拒否] に設定することでメールをブロックします。これは、従業員がAndroidデバイスで別のメールクライアントを構成し、ActiveSync ID検出が機能しない場合、企業メールがその従業員へのアクセスを拒否することを意味します。
アクセス制御ルール
Citrix Endpoint Management connector for Exchange ActiveSync は、Exchange ActiveSync デバイスのアクセス制御を動的に構成するためのルールベースのアプローチを提供します。コネクタのアクセス制御ルールは、照合式と目的のアクセス状態 (許可またはブロック) の2つの部分で構成されます。ルールは、特定の Exchange ActiveSync デバイスに対して評価され、そのルールがデバイスに適用されるか、またはデバイスと一致するかを判断します。照合式には複数の種類があります。たとえば、特定のデバイスタイプのすべてのデバイス、特定の Exchange ActiveSync デバイス ID、特定のユーザーのすべてのデバイスなどにルールを一致させることができます。
ルールリスト内のルールの追加、削除、再配置のどの時点でも、[キャンセル] ボタンをクリックすると、ルールリストは最初に開いたときの状態に戻ります。[保存] をクリックしない限り、このウィンドウで行われた変更は、Configure ツールを閉じると失われます。
Citrix Endpoint Management connector for Exchange ActiveSync には、ローカルルール、Citrix Endpoint Management サーバールール (XDM ルールとも呼ばれます)、およびデフォルトアクセスルールの3種類のルールがあります。
ローカルルール: ローカルルールは最も高い優先順位を持ちます。デバイスがローカルルールに一致した場合、ルール評価は停止します。Citrix Endpoint Management サーバールールもデフォルトアクセスルールも参照されません。ローカルルールは、[構成] > [アクセスルール] > [ローカルルール] タブを介して、Exchange ActiveSync 用コネクタにローカルで構成されます。照合のサポートは、特定の Active Directory グループ内のユーザーのメンバーシップに基づいています。照合のサポートは、次のフィールドの正規表現に基づいています。
- Active Sync デバイス ID
- ActiveSync デバイスタイプ
- ユーザープリンシパル名 (UPN)
- ActiveSync ユーザーエージェント (通常はデバイスプラットフォームまたは電子メールクライアント)
メジャースナップショットが完了し、デバイスが検出されている限り、通常ルールまたは正規表現ルールのいずれかを追加できます。メジャースナップショットが完了していない場合は、正規表現ルールのみを追加できます。
Citrix Endpoint Management サーバールール: Citrix Endpoint Management サーバールールは、管理対象デバイスに関するルールを提供する外部の Citrix Endpoint Management サーバーへの参照です。Citrix Endpoint Management サーバーは、デバイスがジェイルブレイクされているか、禁止されたアプリがあるかなど、Citrix Endpoint Management に認識されているプロパティに基づいて、許可またはブロックするデバイスを識別する独自の高レベルルールで構成できます。Citrix Endpoint Management は高レベルルールを評価し、許可またはブロックされた ActiveSync デバイス ID のセットを生成し、それらは XenMobile Mail Manager に配信されます。
デフォルトアクセスルール: デフォルトアクセスルールは、すべてのデバイスに一致する可能性があり、常に最後に評価されるという点でユニークです。このルールはキャッチオールルールであり、特定のデバイスがローカルルールまたは Citrix Endpoint Management サーバールールに一致しない場合、デバイスの目的のアクセス状態はデフォルトアクセスルールの目的のアクセス状態によって決定されます。
- デフォルトアクセス – 許可: ローカルルールまたは Citrix Endpoint Management サーバールールのいずれにも一致しないデバイスはすべて許可されます。
- デフォルトアクセス – ブロック: ローカルルールまたは Citrix Endpoint Management サーバールールのいずれにも一致しないデバイスはすべてブロックされます。
- デフォルトアクセス - 変更なし: ローカルルールまたは Citrix Endpoint Management サーバールールのいずれにも一致しないデバイスは、Exchange ActiveSync 用コネクタによってアクセス状態が変更されることはありません。デバイスが Exchange によって検疫モードに置かれている場合、アクションは実行されません。たとえば、検疫モードからデバイスを削除する唯一の方法は、明示的なローカルルールまたは XDM ルールで検疫を上書きすることです。
ルール評価について
- Exchange が Exchange ActiveSync 用コネクタに報告する各デバイスについて、ルールは優先順位の高い順から低い順に次のように評価されます。
- ローカルルール
- Citrix Endpoint Management サーバールール
- デフォルトアクセスルール
一致が見つかると、評価は停止します。たとえば、ローカルルールが特定のデバイスに一致した場合、そのデバイスは Citrix Endpoint Management サーバールールまたはデフォルトアクセスルールのいずれに対しても評価されません。これは、特定のルールタイプ内でも同様です。たとえば、ローカルルールリストで特定のデバイスに対して複数のマッチがある場合、最初の一致が満たされた時点で評価は停止します。
Exchange ActiveSync 用コネクタは、デバイスのプロパティが変更されたとき、デバイスが追加または削除されたとき、またはルール自体が変更されたときに、現在定義されているルールセットを再評価します。メジャースナップショットは、構成可能な間隔でデバイスのプロパティの変更と削除を検出します。マイナースナップショットは、構成可能な間隔で新しいデバイスを検出します。
Exchange ActiveSync にもアクセスを管理するルールがあります。Exchange ActiveSync 用コネクタのコンテキストでこれらのルールがどのように機能するかを理解することが重要です。Exchange は、個人免除、デバイスルール、組織設定の3つのレベルのルールで構成できます。Exchange ActiveSync 用コネクタは、リモート PowerShell リクエストをプログラムで発行して個人免除リストに影響を与えることにより、アクセス制御を自動化します。これらは、特定のメールボックスに関連付けられた、許可またはブロックされた Exchange ActiveSync デバイス ID のリストです。展開されると、Exchange ActiveSync 用コネクタは、Exchange 内の免除リスト機能の管理を効果的に引き継ぎます。Microsoft の記事「Exchange と Configuration Manager を使用したデバイス管理」を参照してください。
同じフィールドに対して複数のルールが定義されている状況では、分析が役立ちます。ルール間の関係をトラブルシューティングできます。ルールフィールドの観点から分析を行います。たとえば、ルールは、ActiveSync デバイス ID、ActiveSync デバイスタイプ、ユーザー、ユーザーエージェントなど、照合されているフィールドに基づいてグループで分析されます。
ルール用語
- 上書きルール: 上書きは、複数のルールが同じデバイスに適用できる場合に発生します。ルールはリスト内の優先順位によって評価されるため、後で適用される可能性のあるルールインスタンスは評価されない場合があります。
- 競合ルール: 競合は、複数のルールが同じデバイスに適用できるが、アクセス (許可/ブロック) が一致しない場合に発生します。競合するルールが正規表現ルールでない場合、競合は常に暗黙的に上書きを意味します。
- 補足ルール: 補足は、複数のルールが正規表現ルールである場合に発生し、その結果、2つ (またはそれ以上) の正規表現を単一の正規表現ルールに結合できるか、または機能が重複していないことを確認する必要がある場合があります。補足ルールは、そのアクセス (許可/ブロック) において競合する可能性もあります。
- プライマリルール: プライマリルールは、ダイアログボックス内でクリックされたルールです。ルールは、それを囲む実線の境界線によって視覚的に示されます。ルールには、上または下を指す1つまたは2つの緑色の矢印も表示されます。矢印が上を指している場合、それはプライマリルールに先行する補助ルールがあることを示します。矢印が下を指している場合、これはプライマリルールの後に来る補助ルールがあることを示します。一度にアクティブにできるプライマリルールは1つだけです。
- 補助ルール: 補助ルールは、上書き、競合、または補足関係のいずれかを通じて、プライマリルールに何らかの形で関連しています。ルールは、それらを囲む破線の境界線によって視覚的に示されます。各プライマリルールには、1つから多数の補助ルールが存在できます。下線が引かれたエントリをクリックすると、強調表示される補助ルールは常にプライマリルールの観点からのものです。たとえば、補助ルールはプライマリルールによって上書きされるか、補助ルールはそのアクセスにおいてプライマリルールと競合するか、または補助ルールはプライマリルールを補足します。
ルール分析ダイアログボックスでのルールの種類の表示
-
競合、上書き、または補足がない場合、ルール分析ダイアログボックスには下線付きのエントリはありません。いずれかの項目をクリックしても影響はありません。たとえば、通常の選択された項目の視覚表示が行われます。
-
ルール分析ウィンドウにはチェックボックスがあり、これを選択すると、競合、上書き、冗長、または補足であるルールのみが表示されます。
-
上書きが発生した場合、少なくとも2つのルールに下線が引かれます。プライマリルールと補助ルールです。少なくとも1つの補助ルールは、そのルールがより優先度の高いルールによって上書きされたことを示すために、より薄いフォントで表示されます。上書きされたルールをクリックすると、どのルールがそのルールを上書きしたかを確認できます。ルールがプライマリルールまたは補助ルールであるために上書きされたルールが強調表示されるたびに、そのルールが非アクティブであることをさらに視覚的に示す黒い丸がその横に表示されます。たとえば、ルールをクリックする前は、ダイアログボックスは次のように表示されます。
最も優先度の高いルールをクリックすると、ダイアログボックスは次のように表示されます。
この例では、正規表現ルール WorkMail.* がプライマリルールであり(実線の境界線で示されます)、通常のルール workmailc633313818 が補助ルールです(破線の境界線で示されます)。補助ルールの横にある黒い点は、先行するより優先度の高い正規表現ルールのため、そのルールが非アクティブである(決して評価されない)ことをさらに示す視覚的な合図です。上書きされたルールをクリックすると、ダイアログボックスは次のように表示されます。
前の例では、正規表現ルール WorkMail.* が補助ルールであり(破線の境界線で示されます)、通常のルール workmailc633313818 がプライマリルールです(実線の境界線で示されます)。この単純な例では、大きな違いはありません。より複雑な例については、このトピックの後半にある複雑な式の例を参照してください。多数のルールが定義されているシナリオでは、上書きされたルールをクリックすると、どのルールがそれを上書きしたかをすばやく特定できます。
競合が発生した場合、少なくとも2つのルールに下線が引かれ、プライマリルールと補助ルールが表示されます。競合するルールは赤い点で示されます。互いにのみ競合するルールは、2つ以上の正規表現ルールが定義されている場合にのみ可能です。他のすべての競合シナリオでは、競合だけでなく、上書きも発生します。単純な例でいずれかのルールをクリックする前は、ダイアログボックスは次のように表示されます。
2つの正規表現ルールを検査すると、最初のルールは「App」を含むデバイスIDを持つすべてのデバイスを許可し、2番目のルールは Appl を含むデバイスIDを持つすべてのデバイスを拒否することが明らかです。また、2番目のルールが Appl を含むデバイスIDを持つすべてのデバイスを拒否するにもかかわらず、許可ルールの優先度が高いため、その一致基準を持つデバイスが拒否されることはありません。最初のルールをクリックすると、ダイアログボックスは次のように表示されます。
前のシナリオでは、プライマリルール(正規表現ルール App.*)と補助ルール(正規表現ルール Appl.*)の両方が黄色で強調表示されています。これは、単一の一致可能なフィールドに複数の正規表現ルールを適用したことを警告する単なる視覚的な警告であり、冗長性の問題やより深刻な問題を示している可能性があります。
競合と上書きの両方があるシナリオでは、プライマリルール(正規表現ルール App.*)と補助ルール(正規表現ルール Appl.*)の両方が黄色で強調表示されます。これは、単一の一致可能なフィールドに複数の正規表現ルールを適用したことを警告する単なる視覚的な警告であり、冗長性の問題やより深刻な問題を示している可能性があります。
前の例では、最初のルール(正規表現ルール SAMSUNG.*)が次のルール(通常のルール SAMSUNG-SM-G900A/101.40402)を上書きするだけでなく、2つのルールがアクセスにおいて異なること(プライマリは許可を指定し、補助はブロックを指定する)が容易にわかります。2番目のルール(通常のルール SAMSUNG-SM-G900A/101.40402)は、上書きされて非アクティブであることを示すために、より薄いテキストで表示されます。
正規表現ルールをクリックすると、ダイアログボックスは次のように表示されます。
プライマリルール(正規表現ルール SAMSUNG.*)には赤い点が付いており、そのアクセス状態が1つ以上の補助ルールと競合していることを示しています。補助ルール(通常ルール SAMSUNG-SM-G900A/101.40402)には赤い点が付いており、そのアクセス状態がプライマリルールと競合していることを示しています。そのルールには黒い点も付いており、上書きされているため非アクティブであることを示しています。
少なくとも2つのルール、すなわちプライマリルールと補助ルール(複数可)には下線が引かれます。互いに補完し合うルールには、正規表現ルールのみが関係します。ルールが互いに補完し合う場合、それらは黄色のオーバーレイで示されます。いずれかのルールをクリックする前、簡単な例では、ダイアログボックスは次のようになります。
目視検査により、両方のルールが正規表現ルールであり、Exchange ActiveSync用Citrix Endpoint ManagementコネクタのActiveSyncデバイスIDフィールドに両方とも適用されていることが容易に判明します。最初のルールをクリックした後、ダイアログボックスは次のようになります。
プライマリルール(正規表現ルール WorkMail.*)は黄色のオーバーレイで強調表示され、正規表現である少なくとももう1つの補助ルールが存在することを示しています。補助ルール(正規表現ルール SAMSUNG.*)は黄色のオーバーレイで強調表示され、それとプライマリルールの両方がExchange ActiveSync用コネクタ内の同じフィールドに適用されている正規表現ルールであることを示しています。この場合、そのフィールドはActiveSyncデバイスIDです。正規表現は重複する場合としない場合があります。あなたの正規表現が適切に作成されているかどうかは、あなたが判断する必要があります。
複雑な式の例
多くの潜在的な上書き、競合、または補完が発生する可能性があり、すべての可能なシナリオの例を挙げることは不可能です。次の例では、避けるべきことについて説明するとともに、ルール分析の視覚的構造の全機能を示す役割も果たします。次の図では、ほとんどの項目に下線が引かれています。多くの項目が薄いフォントで表示されますが、これは該当するルールが何らかの方法でより優先度の高いルールによって上書きされていることを示しています。いくつかの正規表現ルールもリストに含まれており、
アイコンで示されています。
上書きの分析方法
特定のルールを上書きしたルールを確認するには、そのルールをクリックします。
例 1: この例では、zentrain01@zenprise.com が上書きされた理由を検証します。
プライマリルール(zentrain01@zenprise.com がメンバーであるADグループルール zenprise/TRAINING/ZenTraining B)は、次の特性を持っています。
- 青色で強調表示され、実線の境界線があります。
- 上向きの緑色の矢印があります(補助ルールがすべてその上にあることを示します)。
- 赤い丸と黒い丸の両方が付いており、それぞれ1つ以上の補助ルールがそのアクセスと競合していること、およびプライマリルールが上書きされて非アクティブになっていることを示します。
上にスクロールすると、次のものが表示されます。
この場合、プライマリルールを上書きする2つの補助ルールがあります。正規表現ルール zen.* と、通常ルール zentrain01@zenprise.com(zenprise/TRAINING/ZenTraining A の)です。後者の補助ルールの場合、Active Directoryグループルール ZenTraining A にユーザー zentrain01@zenprise.com が含まれており、Active Directoryグループルール ZenTraining B にもユーザー zentrain01@zenprise.com が含まれているという状況が発生しています。しかし、補助ルールがプライマリルールよりも高い優先順位を持っているため、プライマリルールは上書きされています。プライマリルールのアクセスは許可(Allow)であり、両方の補助ルールのアクセスがブロック(Block)であるため、アクセス競合をさらに示すためにすべてに赤い丸が付いています。
例 2: この例では、ActiveSyncデバイスIDが 069026593E0C4AEAB8DE7DD589ACED33 のデバイスが上書きされた理由を示します。
プライマリルール(通常のデバイスIDルール 069026593E0C4AEAB8DE7DD589ACED33)には、以下の特徴があります。
- 青色で強調表示され、実線の境界線があります。
- 上向きの緑色の矢印があります(補助ルールがその上にあることを示します)。
- プライマリルールを上書きし、それによって非アクティブになっている補助ルールを示す黒い円が続きます。
この場合、単一の補助ルールがプライマリルールを上書きします。正規表現ActiveSyncデバイスIDルールは 3E.* です。正規表現 3E.* が 069026593E0C4AEAB8DE7DD589ACED33 に一致するため、プライマリルールは評価されません。
補足と競合の分析
この場合、プライマリルールは正規表現ActiveSyncデバイスタイプルール touch.* です。特徴は以下のとおりです。
- 特定のルールフィールド(この場合はActiveSyncデバイスタイプ)に対して複数の正規表現ルールが動作していることを警告する、黄色のオーバーレイが付いた実線の境界線で示されます。
- それぞれ上向きと下向きの2つの矢印があり、優先度の高い補助ルールが少なくとも1つと、優先度の低い補助ルールが少なくとも1つ存在することを示します。
- その隣の赤い円は、少なくとも1つの補助ルールがアクセスを Allow に設定しており、プライマリルールのアクセスである Block と競合していることを示します。
- 2つの補助ルールがあります。正規表現ActiveSyncデバイスタイプルール
SAM.*と正規表現ActiveSyncデバイスタイプルールAndro.*です。 - 両方の補助ルールは、補助であることを示す破線で囲まれています。
- 両方の補助ルールは、ActiveSyncデバイスタイプのルールフィールドにも適用されていることを示す黄色でオーバーレイされています。
- このようなシナリオでは、正規表現ルールが冗長でないことを確認する必要があります。
ルールの詳細分析
この例では、ルール間の関係が常にプライマリルールの視点からどのように見られるかを探ります。前の例では、値が touch.* のデバイスタイプのルールフィールドに適用された正規表現ルールをクリックするとどうなるかを示しました。補助ルール Andro.* をクリックすると、異なる一連の補助ルールが強調表示されます。
この例では、ルール関係に含まれる上書きされたルールを示します。このルールは通常のActiveSyncデバイスタイプルール Android であり、上書きされており(薄くなったフォントとその隣の黒い円で示されます)、プライマリルールの正規表現ActiveSyncデバイスタイプルール Andro.* とそのアクセスにおいて競合しています。このルールは、クリックされる前は補助ルールでした。前の例では、通常のActiveSyncデバイスタイプルール Android は補助ルールとして表示されませんでした。なぜなら、当時のプライマリルール(正規表現ActiveSyncデバイスタイプルール touch.*)の視点からは、それとは関連していなかったからです。
通常の式ローカルルールの構成
-
[アクセスルール] タブをクリックします。
-
[デバイスID] リストで、ローカルルールを作成するフィールドを選択します。
-
虫眼鏡アイコンをクリックして、選択したフィールドの一意の一致をすべて表示します。この例では、[デバイスタイプ] フィールドが選択されており、選択肢は以下のリストボックスに表示されています。
-
結果リストボックスのいずれかの項目をクリックし、以下のいずれかのオプションをクリックします。
- [許可] は、Exchangeがすべての一致するデバイスに対してActiveSyncトラフィックを許可するように構成されることを意味します。
- [拒否] は、Exchangeがすべての一致するデバイスに対してActiveSyncトラフィックを拒否するように構成されることを意味します。
この例では、デバイスタイプが
SamsungSPhl720のすべてのデバイスがアクセスを拒否されます。
正規表現の追加
正規表現のローカルルールは、その横に表示されるアイコン - - で区別できます。正規表現ルールを追加するには、指定されたフィールドの結果リストから既存の値を使用して正規表現ルールを作成するか(メジャースナップショットが完了している場合)、または目的の正規表現を直接入力します。
既存のフィールド値からの正規表現の作成
- [アクセスルール] タブをクリックします。
-
[デバイスID] リストで、正規表現ローカルルールを作成するフィールドを選択します。
-
虫眼鏡アイコンをクリックして、選択したフィールドの一意の一致をすべて表示します。この例では、[デバイスタイプ] フィールドが選択されており、選択肢は次のリストボックスに表示されます。
- 結果リストのいずれかの項目をクリックします。この例では、SAMSUNGSPHL720 が選択され、[デバイスタイプ] の横のテキストボックスに表示されます。
-
デバイスタイプ値に「Samsung」を含むすべてのデバイスタイプを許可するには、以下の手順に従って正規表現ルールを追加します。
-
選択した項目テキストボックス内をクリックします。
-
テキストを SAMSUNGSPHL720 から SAMSUNG.* に変更します。
-
正規表現チェックボックスが選択されていることを確認します。
-
[許可] をクリックします。
-
アクセスルールの作成
- [ローカルルール] タブをクリックします。
-
正規表現を入力するには、[デバイスID] リストと選択した項目テキストボックスの両方を使用する必要があります。
- 照合するフィールドを選択します。この例では、デバイスの種類を使用します。
- 正規表現を入力します。この例では、
samsung.*を使用します。 -
正規表現チェックボックスが選択されていることを確認し、許可または拒否をクリックします。この例では、許可が選択されています。最終結果は次のとおりです。
デバイスの検索
正規表現チェックボックスを選択すると、指定された表現に一致する特定のデバイスを検索できます。この機能は、メジャーなスナップショットが正常に完了した場合にのみ利用可能です。正規表現ルールを使用する予定がない場合でも、この機能を使用できます。たとえば、ActiveSyncデバイスIDにworkmailというテキストが含まれるすべてのデバイスを検索したいとします。これを行うには、次の手順に従います。
- アクセスルールタブをクリックします。
-
デバイス一致フィールドセレクターがデバイスID(デフォルト)に設定されていることを確認します。
- 選択された項目テキストボックス内(前の図で青色で示されている部分)をクリックし、
workmail.*と入力します。 -
正規表現チェックボックスが選択されていることを確認し、虫眼鏡アイコンをクリックして、次の図に示すように一致する項目を表示します。
静的ルールへの個々のユーザー、デバイス、またはデバイスタイプの追加
ActiveSyncデバイスタブで、ユーザー、デバイスID、またはデバイスの種類に基づいて静的ルールを追加できます。
-
ActiveSyncデバイスタブをクリックします。
-
リストで、ユーザー、デバイス、またはデバイスの種類を右クリックし、選択を許可するか拒否するかを選択します。
次の画像は、user1が選択されたときの[許可/拒否]オプションを示しています。
デバイスの監視
Exchange ActiveSync用Citrix Endpoint Managementコネクタの監視タブでは、検出されたExchange ActiveSyncおよびBlackBerryデバイスと、発行された自動PowerShellコマンドの履歴を参照できます。監視タブには、次の3つのタブがあります。
-
ActiveSyncデバイス:
- エクスポートボタンをクリックして、表示されているActiveSyncデバイスのパートナーシップをエクスポートできます。
- ユーザー、デバイスID、または種類の列を右クリックし、適切な許可またはブロックルールタイプを選択することで、ローカル(静的)ルールを追加できます。
- 展開された行を折りたたむには、展開された行をCtrlキーを押しながらクリックします。
- BlackBerryデバイス
- 自動化履歴
構成タブには、すべてのスナップショットの履歴が表示されます。スナップショット履歴には、スナップショットがいつ実行されたか、かかった時間、検出されたデバイスの数、および発生したエラーが表示されます。
- Exchangeタブで、目的のExchange Serverの[情報]アイコンをクリックします。
トラブルシューティングと診断
Citrix Endpoint Management connector for Exchange ActiveSync は、エラーやその他の運用情報をログファイル (*インストールフォルダー*\log\XmmWindowsService.log) に記録します。Exchange ActiveSync 用コネクタは、重要なイベントを Windows イベントログにも記録します。
ログレベルの変更
Citrix Endpoint Management connector for Exchange ActiveSync には、次のログレベルが含まれています: Error、Info、Warn、Debug、および Trace。
注:
各レベルは、その前のレベルよりも詳細な情報 (より多くのデータ) を生成します。たとえば、Error レベルは最も詳細度が低く、Trace レベルは最も詳細度が高くなります。
ログレベルを変更するには、次の手順を実行します。
-
C:\Program Files\Citrix\CitrixCitrix Endpoint Management connector で、nlog.config ファイルを開きます。 -
<rules>セクションで、*minilevel*パラメーターを希望のログレベルに変更します。例:<rules > <logger name="*" writeTo="file" minlevel="Debug" /> </rules> <!--NeedCopy--> -
ファイルを保存します。
変更はすぐに有効になります。Exchange ActiveSync 用コネクタを再起動する必要はありません。
一般的なエラー
次のリストには、一般的なエラーが含まれています。
-
Exchange ActiveSync サービス用コネクタが起動しない
エラーについては、ログファイルと Windows イベントログを確認してください。一般的な原因は次のとおりです。
-
Exchange ActiveSync サービス用コネクタが SQL Server にアクセスできない。これは、次の問題が原因である可能性があります。
- SQL Server サービスが実行されていない。
- 認証の失敗。
Windows 統合認証が構成されている場合、Exchange ActiveSync サービス用コネクタのユーザーアカウントは、許可された SQL ログオンである必要があります。Exchange ActiveSync サービス用コネクタのアカウントはデフォルトで Local System ですが、ローカル管理者権限を持つ任意のアカウントに変更できます。SQL 認証が構成されている場合、SQL ログオンは SQL で適切に構成されている必要があります。
-
トラブルシューティングツール
トラブルシューティング用の PowerShell ユーティリティのセットは、Support\PowerShell フォルダーにあります。
トラブルシューティングツールは、ユーザーのメールボックスとデバイスの詳細な分析を実行し、エラー状態と潜在的な障害領域を検出し、ユーザーの詳細な RBAC 分析を行います。すべてのコマンドレットの生出力をテキストファイルに保存できます。