Citrix Endpoint Management

Citrix Gatewayコネクタ:Exchange ActiveSync用

XenMobile NetScaler ConnectorはCitrix Gatewayコネクタ:Exchange ActiveSync用になりました。シトリックス統合製品ラインについて詳しくは、シトリックス製品名ガイドを参照してください。

Exchange ActiveSyncのコネクタでは、Exchange ActiveSyncプロトコルのリバースプロキシとして動作するCitrix Gatewayに、ActiveSyncクライアントのデバイスレベルの認証サービスを提供します。承認は、次の組み合わせで制御します:

  • Endpoint Managementで定義するポリシー
  • Citrix Gatewayコネクタ:Exchange ActiveSync用でローカルに定義された規則

詳しくは、ActiveSyncゲートウェイを参照してください。

詳細なリファレンスアーキテクチャ図については、「アーキテクチャ」を参照してください。

Citrix Gatewayコネクタ:Exchange ActiveSync用の現在のリリースは、バージョン8.5.3です。

コネクタをダウンロードするには、以下の手順を実行します:

  1. https://www.citrix.com/downloadsに移動します。
  2. [Citrix Endpoint Management(XenMobile)]>[XenMobile Server]>[Product Software]>[XenMobile Server 10]>[Server Components] に移動します。
  3. Citrix Gatewayコネクタタイルで [ファイルのダウンロード] をクリックします。

コネクタをインストールする方法については、「Citrix Gatewayコネクタ:Exchange ActiveSync用のインストール」を参照してください。

バージョン8.5.3の新機能

  • このリリースでは、ActiveSyncプロトコル16.0および16.1のサポートが追加されています。
  • Google Analyticsに送信される分析内容(特にスナップショット関連)にさらに詳細が追加されました。 [CXM-52261]

以前のバージョンの新機能

注:

以下の新機能セクションでは、「Citrix Gatewayコネクタ:Exchange ActiveSync用」を旧称のXenMobile NetScaler Connectorで呼びます。名前はバージョン8.5.2から変更されました。

バージョン8.5.2の新機能

  • XenMobile NetScaler ConnectorはCitrix Gatewayコネクタ:Exchange ActiveSync用になりました。

このリリースでは、以下の問題が解決されています。

  • ポリシー規則の定義に複数の基準が使用され、1つの基準にユーザーIDが含まれている場合、次の問題が発生する可能性があります:ユーザーに別名がある場合、ルール適用時に別名もチェックされません。 [CXM-55355]

バージョン8.5.1.11の新機能

  • システム要件の変更: 現在のバージョンのNetScaler Connectorでは、Microsoft .NET Framework 4.5が必要です。

  • Google Analyticsのサポート:製品の改善可能な箇所に集中できるように、私たちはユーザーの皆様がConnectorをどのように使用しているかについて知りたいと考えています。

  • TLS 1.1および1.2のサポート:セキュリティの弱化のため、PCI評議会はTLS 1.0を推奨しなくなりました。XenMobile NetScaler ConnectorにTLS 1.1および1.2のサポートが追加されました。

Citrix Gatewayコネクタ:Exchange ActiveSync用の監視

Citrix Gatewayコネクタ:Exchange ActiveSync用の構成ユーティリティで、詳細ログが提供されます。このログを使用すると、Secure Mobile Gatewayが許可または禁止するExchange Serverを通過するすべてのトラフィックを表示できます。

認証のためにCitrix Gatewayコネクタ:Exchange ActiveSync用に転送されるActiveSync要求の履歴を確認するには、[Log] タブを使用します。

また、Exchange ActiveSync用コネクタWebサービスが実行されていることを確認するには、XenMobile NetScaler Connectorサーバー上のWebブラウザーにURL(https://<host:port>/services/ActiveSync/Version)をロードします。このURLをロードした結果、製品バージョンが文字列で返される場合は、Webサービスが応答しています。

Exchange ActiveSync用コネクタでActiveSyncトラフィックをシミュレートするには

Citrix Gatewayコネクタ:Exchange ActiveSync用を使用して、ポリシーとActiveSyncトラフィックをシミュレートすることができます。コネクタ構成ユーティリティで、[Simulator] タブをクリックします。構成した規則にしたがってポリシーがどのように適用されるかが表示されます。

Exchange ActiveSync用コネクタのフィルターの選択

Citrix Gatewayコネクタ:Exchange ActiveSync用のフィルターは、指定のポリシー違反またはプロパティ設定についてデバイスを解析することにより機能します。デバイスが条件に合致すると、デバイスは[Device List]に置かれます。この[Device List]は、許可リストおよび禁止リストのどちらでもありません。これは、定義された条件に合ったデバイスの一覧です。Endpoint Management内のExchange ActiveSync用コネクタでは、次のフィルターを使用できます。各フィルターの2つのオプションは、[Allow] または [Deny] です。

  • 匿名デバイス: Endpoint Managementに登録されているが、ユーザーのIDが不明なデバイスを許可または拒否します。たとえば、登録ユーザーのActive Directoryのパスワードの有効期限が切れた場合、または資格情報が不明な場合、このユーザーは未知のIDを持つとします。
  • Samsung Knox構成証明に失敗しました: Samsungデバイスは、セキュリティと診断の機能を備えています。このフィルターは、デバイスがKnox用に構成されているかどうかを確認します。詳しくは、Samsung Knoxに関するEndpoint Managementの記事を参照してください。
  • 禁止アプリ: ポリシーに含まれる禁止リストによって定義されたデバイスの一覧および禁止リスト内のアプリの存在に基づいて、デバイスが許可または拒否されます。
  • 暗黙的な許可/拒否: そのほかのフィルタールール条件に合致しないすべてのデバイスの一覧が作成され、この一覧に基づいてデバイスが許可または拒否されます。[Implicit Allow/Deny]オプションを使用すると、[Devices]タブにあるExchange ActiveSync用コネクタの状態が有効になり、デバイスのコネクタの状態が表示されます。また、[暗黙的な許可/拒否] オプションにより、選択されていないほかのすべてのコネクタのフィルターが制御されます。たとえば、コネクタは禁止リストに登録されているアプリを拒否します。ただし、[暗黙的な許可/拒否] オプションが [許可] に設定されているため、コネクタは他のすべてのフィルタを許可します。
  • 非アクティブデバイス:Endpoint Managementとの通信が特定の期間内に行われていないデバイスの一覧が作成されます。これらのデバイスは非アクティブと見なされます。これに従って、フィルターはデバイスを許可または拒否します。
  • 不足必須アプリ: ユーザーが登録すると、インストールする必要のある必須アプリの一覧がこのユーザーに送信されます。[不足必須アプリ]のフィルターは、ユーザーが1つまたは複数のアプリを削除するなどして、必須アプリのうち1つまたは複数のアプリが不足していることを示します。
  • 非推奨アプリ: ユーザーが登録すると、インストールする必要のあるアプリの一覧がこのユーザーに送信されます。[非推奨アプリ]のフィルターは、この一覧に含まれていないアプリがデバイスにインストールされていないかをチェックします。
  • 非準拠パスワード: デバイスでパスコードが設定されていないすべてのデバイスの一覧が作成されます。
  • コンプライアンス外デバイス: 独自の内部ITコンプライアンス条件に合致するデバイスが拒否または許可されます。コンプライアンスは、Out of Complianceという名前のデバイスプロパティによって定義される任意の設定であり、True または False のいずれかになるブール型のフラグです(このプロパティを手動で作成し、値を設定できます。または、デバイスが特定の条件を満たしているかどうかに基づいて、自動化された操作を使用して、デバイス上にこのプロパティを作成することもできます)。
    • Out of Compliance = True: デバイスが、IT部門によって設定されたコンプライアンス基準およびポリシー定義に合致しない場合、デバイスはコンプライアンス違反になります。
    • Out of Compliance = False: デバイスが、IT部門によって設定されたコンプライアンス基準およびポリシー定義に合致する場合、デバイスはコンプライアンスに準拠しています。
  • 失効状態: 取り消されたすべてのデバイスの一覧が作成され、取り消された状態に基づいてデバイスが許可または拒否されます。
  • Root化済みAndroidデバイス/ジェイルブレイクされたiOSデバイス: ルートされていることを示すフラグが付けられたすべてのデバイスの一覧が作成され、ルートされた状態に基づいてデバイスが許可または拒否されます。
  • 非管理デバイス: Endpoint Managementデータベース内のすべてのデバイスの一覧が作成されます。Mobile Application Gatewayは、ブロックモードで展開します。

Citrix Gatewayコネクタ:Exchange ActiveSync用への接続を構成するには

Citrix Gatewayコネクタ:Exchange ActiveSync用では、セキュリティで保護されたWebサービスを介してEndpoint Managementおよびそのほかのリモート構成プロバイダーとの通信が行われます。

  1. Exchange ActiveSync用コネクタ構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. [Config Providers] ダイアログボックスの [Name] に、Endpoint ManagementサーバーでのHTTP基本認証用の管理者権限を持つユーザー名を入力します。
  3. [Url] に、Endpoint Management GCSのWebアドレス(通常はhttps://<FQDN>/<instanceName>/services/<MagConfigService>という形式)を入力します。MagConfigServiceの名前は大文字と小文字が区別されます。
  4. [Password] に、Endpoint ManagementサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Managing Host] に、Exchange ActiveSync用コネクタのサーバー名を入力します。
  6. [Baseline Interval] で、新しく更新された動的規則のセットをEndpoint Managementから取得する期間を指定します。
  7. [Delta interval] で、動的規則の更新が取得される期間を指定します。
  8. [Request Timeout]で、サーバー要求のタイムアウト間隔を指定します。
  9. [Config Provider]で、構成プロバイダーのサーバーインスタンスによってポリシー構成を提供するかどうかを選択します。
  10. [Events Enabled] オプションについて、デバイスのブロック時にExchange ActiveSync用コネクタからEndpoint Managementに通知する場合はこのオプションを有効にします。Endpoint Managementの自動化された操作でコネクタの規則を使用する場合、このオプションが必須です。
  11. [Save]をクリックし、[Test Connectivity]をクリックして、ゲートウェイから構成プロバイダーへの接続をテストします。接続に失敗した場合、ローカルファイアウォールの設定が接続を許可していることをチェックするか、管理者に問い合わせてください。
  12. 接続が成功した場合、[Disabled]チェックボックスをオフにし、[Save]をクリックします。

構成プロバイダーを追加すると、Exchange ActiveSync用コネクタにより、このプロバイダーに関連付けられた1つまたは複数のポリシーが自動的に作成されます。NewPolicyTemplateセクションのconfig\policyTemplates.xmlに含まれるテンプレート定義によって、ポリシーが定義されます。このセクション内で定義される各ポリシー要素に対して、新しいポリシーが作成されます。

以下が当てはまる場合は、演算子を使用して、ポリシー要素を追加、削除、または変更できます:ポリシー要素がスキーマ定義に適合しており、標準の置換文字列(中かっこで囲まれている)が変更されていない場合。次に、プロバイダーの新しいグループを追加し、ポリシーを更新してこの新しいグループを含めます。

Endpoint Managementからポリシーをインポートするには

  1. Exchange ActiveSync用コネクタ構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. [Config Providers] ダイアログボックスの [Name] に、Endpoint ManagementサーバーでのHTTP基本認証用のユーザー名を入力します。このユーザーには管理特権が必要です。
  3. [Url] に、Endpoint Management Gateway Configuration Service(GCS)のWebアドレス(通常はhttps://<xdmHost>/xdm/services/<MagConfigService>という形式)を入力します。MagConfigServiceの名前は大文字と小文字が区別されます。
  4. [Password] に、Endpoint ManagementサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Test Connectivity]をクリックし、ゲートウェイから構成プロバイダーへの接続をテストします。接続に失敗した場合、ローカルファイアウォールの設定が接続を許可していることをチェックするか、管理者に問い合わせてください。
  6. 接続が成功した場合、[Disabled]チェックボックスをオフにし、[Save]をクリックします。
  7. [Managing Host]で、ローカルホストコンピューターのDNS名をデフォルトのままにします。1つのアレイ内でForefront Threat Management Gateway(TMG)を複数構成済みの場合、この設定を使用して、Endpoint Managementとの通信を調整します。

    設定を保存してから、GCSを開きます。

Citrix Gatewayコネクタ:Exchange ActiveSync用ポリシーモードの構成

Citrix Gatewayコネクタ:Exchange ActiveSync用は、次の6つのモードで実行できます:

  • Allow All: このポリシーモードでは、Exchange ActiveSync用コネクタを経由するすべてのトラフィックのアクセスが許可されます。そのほかのフィルター規則は使用されません。
  • Deny All: このポリシーモードでは、Exchange ActiveSync用コネクタを経由するすべてのトラフィックのアクセスがブロックされます。そのほかのフィルター規則は使用されません。
  • Static Rules: Block Mode:このポリシーモードでは、最後に暗黙的な拒否ステートメントまたはブロックステートメントを使って静的規則が実行されます。ほかのフィルター規則によって許可または許容されないデバイスは、Exchange ActiveSync用コネクタでブロックされます。
  • Static Rules: Permit Mode:このポリシーモードでは、最後に暗黙的な許容ステートメントまたは許可ステートメントを使って静的規則が実行されます。ほかのフィルター規則によってブロックまたは拒否されないデバイスは、Exchange ActiveSync用コネクタで許可されます。
  • Static + ZDM Rules: Block Mode。このポリシーモードでは、最初に静的規則が実行され、次に暗黙的な拒否ステートメントまたはブロックステートメントを使ってEndpoint Managementから動的規則が実行されます。デバイスは、定義済みのフィルターおよびEndpoint Managementの規則に基づいて許容または拒否されます。定義済みのフィルターおよび規則に一致しないデバイスはブロックされます。
  • Static + ZDM Rules: Permit Mode。このポリシーモードでは、最初に静的規則が実行され、次に暗黙的な許容ステートメントまたは許可ステートメントを使ってEndpoint Managementから動的規則が実行されます。デバイスは、定義済みのフィルターおよびEndpoint Managementの規則に基づいて許容または拒否されます。定義済みのフィルターおよび規則に一致しないデバイスは許可されます。

Exchange ActiveSync用コネクタにより、Endpoint Managementから受け取ったiOSモバイルデバイスおよびWindowsベースのモバイルデバイス用の一意のActiveSync IDに応じて、動的規則に基づいて許可または禁止が処理されます。Androidデバイスの場合、製造元によって動作が異なり、一部のAndroidデバイスでは、一意のActiveSync IDが直ちに提供されません。代わりに、Endpoint ManagementによりAndroidデバイスのユーザーID情報が送信され、許容するかブロックするかを決定します。その結果、ユーザーが1台のAndroidデバイスしか持っていない場合でも、許容およびブロック機能が正常に動作します。ユーザーが複数のAndroidデバイスを持っている場合は、Androidデバイスを区別できないため、すべてのデバイスが許可されます。これらのデバイスが既知の場合は、ActiveSyncIDで静的にブロックするようにゲートウェイを構成できます。また、デバイスの種類またはユーザーエージェントに基づいてブロックするようにゲートウェイを構成することもできます。

ポリシーモードを指定するには、SMG Controller Configurationユーティリティで次の操作を実行します。

  1. [Path Filters]タブをクリックし、[Add]をクリックします。
  2. [Path Properties] ダイアログボックスの [Policy] リストからポリシーモードを選択し、[Save] をクリックします。

[Policies] タブで規則を確認できます。規則は、Exchange ActiveSync用コネクタで最上位から順に処理されます。[Allow] が設定されたポリシーは緑のチェックマークで示されます。[Deny]が設定されたポリシーは中央に線が入った赤い丸で示されます。画面を更新して、最近更新された規則を表示するには、[Refresh]をクリックします。config.xmlファイル内の規則の順序を変更することもできます。

規則をテストするには、[Simulator] タブをクリックします。フィールドに値を指定します。ログから値を取得できます。[Allow]または[Block]が結果メッセージに示されます。

静的規則を構成するには

ActiveSync接続のHTTP要求のISAPIフィルターによって読み取られる値を使用して静的規則を入力します。静的規則を使用すると、Exchange ActiveSync用コネクタで次の条件に基づいてトラフィックを許可またはブロックすることができます。

  • User: Exchange ActiveSync用コネクタでは、承認されたユーザー値と、デバイスの登録時に取得された名前構造が使用されます。この構造は通常、LDAP経由でActive Directoryに接続されたEndpoint Managementを実行しているサーバーによって参照されるdomain\username形式です。コネクタ構成ユーティリティの [ログ] タブには、コネクタを経由して渡される値が表示されます。この値は、コネクタが値の構造を決定する必要がある場合、または構造が異なる場合に、渡されます。
  • DeviceID(ActiveSyncID): 接続されたデバイスのActiveSyncIDとも呼ばれます。この値は、通常、Endpoint Managementコンソールの特定のデバイスプロパティページ内にあります。また、Exchange ActiveSync用コネクタ構成ユーティリティの [Log] タブから、この値を確認できます。
  • DeviceType: Exchange ActiveSync用コネクタでは、デバイスがiPhone、iPad、またはそのほかの種類のデバイスかどうかを特定し、その条件に基づいてデバイスを許可またはブロックできます。ほかの値の場合と同じように、コネクタ構成ユーティリティを使用して、ActiveSync接続のために処理中の接続済みデバイスの種類をすべて表示できます。
  • UserAgent: 使用するActiveSyncクライアントの情報が含まれます。通常、指定された値は、モバイルデバイスプラットフォームのオペレーティングシステムの特定のビルドおよびバージョンに対応します。

サーバーで実行中のExchange ActiveSync用コネクタ構成ユーティリティによって、静的規則は常に管理されます。

  1. SMG Controller Configurationユーティリティで、[Static Rules]タブをクリックし、[Add]をクリックします。
  2. [Static Rule Properties]ダイアログボックスで、条件として使用する値を指定します。たとえば、ユーザー名(たとえば、「AllowedUser」)を入力して、アクセスを許可するユーザーを指定し、[Disabled] チェックボックスをオフにします。
  3. [保存] をクリックします。

    これで、静的規則が有効になりました。また、正規表現を使用して値を定義できますが、config.xmlファイルで規則処理モードを有効化する必要があります。

動的な規則を構成するには

Endpoint Managementのデバイスポリシーおよびプロパティは動的な規則を定義し、Exchange ActiveSync用コネクタの動的フィルターをトリガーできます。トリガーは、ポリシー違反またはプロパティ設定の有無に基づいています。Exchange ActiveSync用コネクタのフィルターは、指定のポリシー違反またはプロパティ設定についてデバイスを解析することにより機能します。デバイスが条件に合致すると、デバイスは[Device List]に置かれます。この[Device List]は、許可リストおよび禁止リストのどちらでもありません。これは、定義した条件に合致するデバイスの一覧です。次の構成オプションでは、Exchange ActiveSync用コネクタを使用して[Device List]のデバイスを許可または拒否するかどうかを定義できます。

注:

動的規則を構成するには、Endpoint Managementコンソールを使用してください。

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [ActiveSyncゲートウェイ] をクリックします。[ActiveSyncゲートウェイ]ページが開きます。

  3. [次の規則をアクティブ化] で、有効にするルールを1つまたは複数オンにします。

  4. [Androidのみ]の [AndroidドメインユーザーをActiveSyncゲートウェイに送信][はい] をクリックし、Endpoint ManagementからAndroidデバイスの情報がSecure Mobile Gatewayに送信されるようにします。

    このオプションを有効にすると、デバイスユーザーのActiveSync識別子がEndpoint Managementにない場合でも、Endpoint ManagementからAndroidデバイスの情報がコネクタに送信されます。

Exchange ActiveSync用コネクタのXMLファイルを編集してカスタムポリシーを構成するには

Exchange ActiveSync用コネクタ構成ユーティリティの [Policies] タブで、デフォルトの構成の基本ポリシーを確認できます。カスタムポリシーを作成する場合、Citrix Gatewayコネクタ:Exchange ActiveSync用のXML構成ファイル(config\config.xml)を編集できます。

  1. ファイル内の PolicyList セクションに移動し、新しい Policy 要素を追加します。
  2. 別の静的グループや別のGCPをサポートするグループなどの新しいグループも必要な場合は、新しい Group 要素を GroupList セクションに追加します。
  3. 必要に応じて、GroupRef要素を並べ替えることにより、既存のポリシー内のグループの順序を変更できます。

Exchange ActiveSync用コネクタのXMLファイルの構成

Exchange ActiveSync用コネクタは、XML構成ファイルを使用してコネクタの動作を指示します。このファイルにより、ほかのエントリと同様に、グループファイルと、HTTP要求を評価するときにフィルターにより実行される関連アクションが指定されます。デフォルトでは、このファイルにはconfig.xmlという名前が付けられ、次の場所に配置されます:..\Program Files\Citrix\XenMobile NetScaler Connector\config\

GroupRefノード

GroupRefノードにより、論理的なグループ名が定義されます。デフォルトでは、AllowGroupとDenyGroupです。

注:

GroupRefListノードに表示されるGroupRefノードの順序は重要です。

GroupRefノードのID値により、特定のユーザーアカウントまたはデバイスを一致させるために使用するメンバーの論理的なコンテナまたはコレクションが特定されます。アクションの属性により、コレクション内の規則に一致するメンバーをフィルターで処理する方法が指定されます。たとえば、AllowGroupセット内の規則に一致するユーザーアカウントまたはデバイスは「合格」に設定されます。合格すると、Exchange CASへのアクセスが許可されます。DenyGroupセット内の規則に一致するユーザーアカウントまたはデバイスは「拒否」されます。拒否されると、Exchange CASへのアクセスが許可されません。

特定のユーザーアカウント/デバイスまたはその組み合わせが両方のグループの規則に一致する場合、優先する規則を使用して要求の結果が指定されます。優先順位は、config.xmlファイルのGroupRefノードの最上位から最下位へと至る順序で表されています。GroupRefノードは優先度によりランク付けされています。許可グループの特定条件の規則は、拒否グループの同じ条件の規則よりも常に優先されます。

グループノード

さらに、config.xmlにより、グループノードが定義されます。これらのノードによって、論理的なコンテナ、つまりAllowGroupおよびDenyGroupが外部XMLファイルとリンクされます。外部ファイルに格納されたエントリは、フィルター規則の基礎を形成します。

注:

このリリースでは、外部XMLファイルのみがサポートされています。

デフォルトのインストールでは、構成に2つのXMLファイル(allow.xmlとdeny.xml)が実装されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用の構成

[Active Sync Service ID][Device type][User Agent](デバイスのオペレーティングシステム)、[Authorized user][ActiveSync Command] といったプロパティに基づいて、ActiveSync要求を選択的に禁止または許可するようにCitrix Gatewayコネクタ:Exchange ActiveSync用を構成できます。

デフォルトの構成では、静的グループと動的グループの組み合わせがサポートされています。静的グループは、SMG Controller Configurationユーティリティを使用して保守します。静的グループは、特定のユーザーエージェントを使用するすべてのデバイスなど、デバイスの既知のカテゴリで構成される場合があります。

動的グループは、ゲートウェイ構成プロバイダーと呼ばれる外部ソースによって保守されます。Exchange ActiveSync用コネクタは、定期的にグループを接続します。Endpoint Managementを使用して、許可されたデバイスとユーザーおよびブロックされたデバイスとユーザーのグループをExchange ActiveSync用コネクタにエクスポートできます。

動的グループは、ゲートウェイ構成プロバイダーと呼ばれる外部ソースによって保守されます。Exchange ActiveSync用コネクタは、定期的に動的グループを収集します。Endpoint Managementを使用して、許可されたデバイスとユーザーおよびブロックされたデバイスとユーザーのグループをコネクタにエクスポートできます。

ポリシーとは、アクション(許可またはブロック)が関連付けられた各グループの順序指定された一覧と、グループメンバーの一覧のことです。ポリシーには、任意の数のグループを含めることができます。ポリシー内のグループの順序は重要です。これは、1つの一致が見つかると、グループのアクションが実行され、以降のグループは評価されないからです。

メンバーにより、要求のプロパティに一致する方法が定義されます。デバイスIDなどの単一のプロパティ、またはデバイスの種類およびユーザーエージェントなどの複数のプロパティに一致することが可能です。

Citrix Gatewayコネクタ:Exchange ActiveSync用のセキュリティモデルの選択

あらゆる規模の組織にとって、モバイルデバイスを適切に展開するには、セキュリティモデルの確立が不可欠です。保護または隔離されたネットワーク制御を使用して、ユーザー、コンピューター、またはデバイスへのアクセスをデフォルトで許可することは一般的ですが、これは必ずしも望ましい方法ではありません。ITセキュリティを管理する各組織では、モバイルデバイスのセキュリティに対して多少異なったアプローチまたは組織に合わせたアプローチをとっている場合があります。

モバイルデバイスのセキュリティについても、同じことが言えます。多くのモバイルデバイスおよびその種類、ユーザーごとのモバイルデバイス数、利用できるオペレーティングシステムプラットフォームおよびアプリを考慮すると、許可モデルの使用はお勧めできません。多くの組織では、制限モデルの使用が最適な選択です。

Exchange ActiveSync用コネクタとEndpoint Managementの統合で利用できる構成シナリオは次のとおりです:

許可モデル([Permit Mode])

許可セキュリティモデルは、デフォルトでアクセスがすべて許可または付与されているという前提で動作します。規則およびフィルターの使用時のみ、ブロックされたり、制限が適用されたりします。許可セキュリティモデルは、モバイルデバイスに対するセキュリティ上の懸念が比較的少ない組織に適しています。このモデルでは、アクセスを拒否するのが適切な場合(ポリシー規則が失敗した場合)にのみ、制限コントロールが適用されます。

制限モデル([Block Mode])

制限セキュリティモデルは、デフォルトでアクセスが許可または付与されていないという前提に基づきます。セキュリティチェックポイントを通過するすべてのデータがフィルターおよび検査され、アクセスを許可する規則をパスしない限り、アクセスが拒否されます。制限セキュリティモデルは、モバイルデバイスに対するセキュリティ上の条件が比較的に厳しい組織に適しています。このモードでは、アクセスを許可するすべての規則をパスした場合にのみ、ネットワークサービスの使用と機能へのアクセスが許可されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用の管理

Citrix Gatewayコネクタ:Exchange ActiveSync用を使用してアクセス制御規則を作成できます。この規則は、管理対象デバイスからのActiveSync接続要求へのアクセスを許可またはブロックします。アクセスは、デバイスのステータス、アプリの許可リストまたは禁止リスト、およびその他のコンプライアンス設定状況に基づきます。

Exchange ActiveSync用コネクタ構成ユーティリティを使用して、社内のメールポリシーを適用する動的および静的規則を作成できます。これらの規則とポリシーで、コンプライアンス基準に違反しているユーザーをブロックすることができます。また、Exchange Serverを経由して管理対象デバイスに送信されるすべての添付ファイルを暗号化するようにセットアップできます。管理対象デバイスで権限のあるユーザーのみが暗号化された添付ファイルを表示できます。

XNCをアンインストールするには

  1. 管理者アカウントでXncInstaller.exeを実行します。
  2. 画面の指示に従って、アンインストールを完了します。

Exchange ActiveSync用コネクタをインストール、アップグレード、またはアンインストールするには

  1. 管理者アカウントでXncInstaller.exeを実行して、Exchange ActiveSync用コネクタをインストールするか、既存のコネクタをアップグレードまたは削除できます。
  2. 画面の指示に従って、インストール、アップグレード、またはアンインストールを完了します。

Exchange ActiveSync用コネクタをインストールした後、Endpoint Managementの構成サービスおよび通知サービスを手動で再起動する必要があります。

Citrix Gatewayコネクタ:Exchange ActiveSync用のインストール

Exchange ActiveSync用コネクタは、専用のサーバーまたはEndpoint Managementをインストールしたサーバーにインストールできます。

次の場合は、Exchange ActiveSync用コネクタを専用のサーバー(Endpoint Managementとは別のサーバー)にインストールすることを検討してください:

  • Endpoint Managementサーバーがクラウドにリモートでホストされている場合(物理的な場所)
  • Exchange ActiveSync用コネクタが、Endpoint Managementサーバーの再起動の影響を受けないようにする場合(可用性)
  • サーバーのすべてのシステムリソースをExchange ActiveSync用コネクタ用に使用する場合(パフォーマンス)

Exchange ActiveSync用コネクタがサーバーに与えるCPU負荷は、管理対象デバイスの数によって異なります。コネクタをEndpoint Managementと同じサーバーに展開する場合は、CPUコアを1つ追加してプロビジョニングすることをお勧めします。多数のデバイス(50,000個以上)がある場合に、クラスター環境がないときは、追加のコアが必要になることがあります。コネクタのメモリサイズは、追加メモリを保証するのに十分ではありません。

Citrix Gatewayコネクタ:Exchange ActiveSync用のシステム要件

Citrix Gatewayコネクタ:Exchange ActiveSync用では、Citrix Gatewayアプライアンスで構成されたSSLブリッジを介してCitrix Gatewayとの通信が行われます。SSLブリッジを使用すると、アプライアンスですべてのセキュアなトラフィックをEndpoint Managementに直接ブリッジすることができます。Exchange ActiveSync用コネクタには、次の最小システム構成が必要です:

コンポーネント 条件
コンピューターとプロセッサ Pentium III 733MHz以上のプロセッサ。Pentium III 2.0GHz以上のプロセッサ(推奨)
Citrix Gateway ソフトウェアバージョン10を備えたCitrix Gatewayアプライアンス
メモリ 1GB
ハード ディスク 150MBのハードディスクスペースがある、NTFSでフォーマットしたローカルパーティション
オペレーティングシステム Windows Server 2016、Windows Server 2012 R2またはWindows Server 2008 R2 Service Pack 1。英語ベースのサーバーが必要です。Windows Server 2008 R2 Service Pack 1のサポートは、2020年1月14日に終了します。
そのほかのデバイス ホストオペレーティングシステムと互換性があるネットワークアダプター(内部ネットワークとの通信用)
Microsoft .NET Framework。 バージョン8.5.1.11では、Microsoft .NET Framework 4.5が必要です。
表示 VGA以上の解像度のモニター

Exchange ActiveSync用コネクタのホストコンピューターには、次の最小ハードディスクスペースが必要です:

  • アプリケーション: 10~15MB(推奨値は100MB)
  • ログ: 1GB(推奨値は20GB)

Exchange ActiveSync用コネクタのプラットフォームのサポートについて詳しくは、「サポートされるデバイスオペレーティングシステム」を参照してください。

デバイスのメールクライアント

すべてのメールクライアントが、デバイスに関して一貫して同じActiveSync IDを返すわけではありません。Exchange ActiveSync用コネクタは、各デバイスに対して一意のActiveSync IDを前提とするため、デバイスごとに一意の同じActiveSync IDを一貫して生成するメールクライアントのみをサポートします。以下のメールクライアントはテスト済みで、エラーなく実行できます。

  • HTCのネイティブメールクライアント
  • Samsungのネイティブメールクライアント
  • iOSのネイティブメールクライアント

Citrix Gatewayコネクタ:Exchange ActiveSync用の展開

Citrix Gatewayコネクタ:Exchange ActiveSync用は、Citrix Gatewayを使用して、Endpoint Managementサーバーによる管理対象デバイスとEndpoint Management間の通信をプロキシ接続したり、負荷分散したりできます。Exchange ActiveSync用コネクタとEndpoint Management間では通信が定期的に行われ、ポリシーが同期されます。Exchange ActiveSync用コネクタとEndpoint Managementをまとめて、または別々にクラスター化できます。

Exchange ActiveSync用コネクタのコンポーネント

  • Exchange ActiveSync用コネクタサービス:このサービスでは、Citrix Gatewayが呼び出せるREST Webサービスのインターフェイスが提供され、デバイスからのActiveSync要求が承認されるかどうかが決定されます。
  • Endpoint Management構成サービス: このサービスでは、Endpoint Managementとの通信が行われ、Endpoint Managementポリシーの変更がExchange ActiveSync用コネクタと同期されます。
  • Endpoint Management通知サービス: このサービスでは、Endpoint Managementへの承認されていないデバイスのアクセスが通知されます。これによりEndpoint Managementでは、デバイスがブロックされた理由をユーザーに通知するなどの適切な処置を施すことができます。
  • Exchange ActiveSync用コネクタ構成ユーティリティ: このアプリケーションを使用すると、管理者はExchange ActiveSync用コネクタを構成して監視することができます。

Citrix Gatewayコネクタ:Exchange ActiveSync用のリッスンアドレスをセットアップするには

Citrix Gatewayコネクタ:Exchange ActiveSync用がCitrix Gatewayから要求を受信してActiveSyncトラフィックを承認できるようにするには、次の手順を実行します。Exchange ActiveSync用コネクタがCitrix Gateway Webサービス呼び出しをリッスンするポートを指定します。

  1. [スタート] メニューからExchange ActiveSync用コネクタ構成ユーティリティを選択します。
  2. [Web Service] タブをクリックし、コネクタWebサービスのリッスンアドレスを入力します。HTTPHTTPS のいずれかまたは両方を選択できます。Exchange ActiveSync用コネクタがEndpoint Managementと共存している場合(同じサーバーにインストールされている場合)、Endpoint Managementと競合しないポート値を選択します。
  3. この値を構成した後、[Save]をクリックして、[Start Service]をクリックし、Webサービスを起動します。

Citrix Gatewayコネクタ:Exchange ActiveSync用でデバイスのアクセス制御ポリシーを構成するには

管理対象デバイスに適用するアクセス制御ポリシーを構成するには、次の操作を実行します。

  1. Exchange ActiveSync用コネクタ構成ユーティリティで、[Path Filters] タブをクリックします。
  2. 最初の行の[Microsoft-Server-ActiveSync is for ActiveSync]を選択し、[Edit]をクリックします。
  3. [Policy]の一覧から、目的のポリシーを選択します。Endpoint Managementポリシーが含まれるポリシーの場合、[Static + ZDM: Permit Mode]または[Static + ZDM: Block Mode]を選択します。これらのポリシーでは、ローカルの(つまり静的)規則とEndpoint Managementの規則が組み合わされます。[Permit Mode]では、規則によって明示的に特定されないすべてのデバイスがActiveSyncへのアクセスを許可されます。[Block Mode]では、そのようなデバイスがブロックされます。
  4. ポリシーを設定したら、[Save]をクリックします。

Endpoint Managementとの通信を構成するには

Citrix Gatewayコネクタ:Exchange ActiveSync用およびCitrix Gatewayで使用するEndpoint Managementサーバーの名前およびプロパティを指定します。

注:

このタスクでは、Endpoint Managementがインストールされていて、構成済みであることを前提としています。Exchange ActiveSync構成ユーティリティでは、Endpoint Management用の構成プロバイダーという用語が使用されます。

  1. Exchange ActiveSync用コネクタ構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. この展開で使用するEndpoint Managementサーバーの名前およびURLを入力します。マルチテナント展開で複数のEndpoint Managementサーバーがある場合は、この名前は各サーバーインスタンスで固有である必要があります。
  3. [Url] に、Endpoint Management GlobalConfig Provider(GCP)のWebアドレス(通常はhttps://<FQDN>/<instanceName>/services/<MagConfigService>という形式)を入力します。MagConfigServiceの名前は大文字と小文字が区別されます。
  4. [Password] に、Endpoint Management WebサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Managing Host] に、Exchange ActiveSync用コネクタをインストールしたサーバーの名前を入力します。
  6. [Baseline Interval] で、新しく更新された動的規則のセットをEndpoint Managementから取得する期間を指定します。
  7. [Request Timeout]で、サーバー要求のタイムアウト間隔を指定します。
  8. [Config Provider]で、構成プロバイダーのサーバーインスタンスによってポリシー構成を提供するかどうかを選択します。
  9. [Events Enabled] オプションについて、デバイスのブロック時にSecure Mobile GatewayからEndpoint Managementに通知する場合はこのオプションを有効にします。Endpoint Managementの自動化された操作でSecure Mobile Gatewayの規則を使用する場合、このオプションが必要です。
  10. サーバーを構成したら、[Test Connectivity] をクリックして、Endpoint Managementへの接続をチェックします。
  11. 接続が確立したら、[Save]をクリックします。

冗長性およびスケーラビリティのためのCitrix Gatewayコネクタ:Exchange ActiveSync用の展開

Citrix Gatewayコネクタ:Exchange ActiveSync用およびEndpoint Management展開のスケーラビリティを向上させるには、Exchange ActiveSync用コネクタのインスタンスを複数のWindowsサーバーにインストールします。すべてのコネクタインスタンスが同じEndpoint Managementインスタンスを指します。次に、Citrix Gatewayを使用してサーバーの負荷分散を行います。

Exchange ActiveSync用コネクタの構成には次の2つのモードがあります。

  • 非共有モードでは、Exchange ActiveSync用コネクタの各インスタンスがEndpoint Managementサーバーと通信し、結果として生成されるポリシーの独自のプライベートコピーを保持します。たとえば、Endpoint Managementサーバーのクラスターでは、各Endpoint Managementサーバーでコネクタインスタンスを実行できます。すると、コネクタは、ローカルのEndpoint Managementインスタンスからポリシーを取得します。
  • 共有モードでは、Exchange ActiveSync用コネクタの1つのノードがプライマリノードに指定されます。コネクタは、Endpoint Managementと通信します。Windowsネットワーク共有またはWindows(または、サードパーティの)レプリケーションによって、結果として生成される構成がほかのノード間で共有されます。

Exchange ActiveSync用コネクタの構成全体は、単一のフォルダー(数個のXMLファイルから構成されます)にあります。コネクタの処理によって、このフォルダー内のファイルに加えられた変更が検出され、構成が自動的に再ロードされます。共有モードのプライマリノードに対するフェイルオーバーはありません。ただし、システムは、プライマリサーバーの数分間のダウン(再起動など)を許容できます。前回正常起動時の構成は、コネクタプロセスにキャッシュされます。

Citrix Gatewayコネクタ:Exchange ActiveSync用