Citrix Gatewayコネクタ:Exchange ActiveSync用

XenMobile NetScaler ConnectorはExchange ActiveSync用のCitrix Gatewayコネクタになりました。シトリックス統合製品ラインについて詳しくは、シトリックス製品名ガイドを参照してください。

Exchange ActiveSyncのコネクタでは、Exchange ActiveSyncプロトコルのリバースプロキシとして動作するNetScalerに、ActiveSyncクライアントのデバイスレベルの認証サービスを提供します。認証は、Endpoint Management内で定義されているポリシーの組み合わせと、Citrix Gatewayコネクタ:Exchange ActiveSync用によりローカルで定義されているルールによって制御されます。

詳しくは、「ActiveSyncゲートウェイ」を参照してください。

詳細なリファレンスアーキテクチャ図については、「アーキテクチャ」を参照してください。

Citrix Gatewayコネクタ:Exchange ActiveSync用の現在のリリースは、バージョン8.5.3です。

TLSバージョンの廃止

Citrix Endpoint Managementサービスのセキュリティを向上させるため、2019年3月以降、Transport Layer Security(TLS)1.0および1.1を介した通信をブロックすることになりました。セキュリティが弱体化した結果、TLS 1.0はPCI評議会によって廃止され、サポートされなくなります。

これによるお客様への影響

古いバージョンのCitrix Gatewayコネクタ:Exchange ActiveSync用はTLS 1.0のみをサポートしています。Citrix Gatewayコネクタ:Exchange ActiveSync用ビルド8.5.0以前を使用している場合、ビルド8.5.1.11以降にアップグレードしてください。

このコネクタをダウンロードするには、Citrix.comのEndpoint Managementサーバーのサーバーコンポーネントセクションに移動します。

オンプレミスのCitrix Gateway(NetScaler Gateway)を使用する場合、ロードバランサーサービスでTLS 1.2を有効にします。詳しくは、「https://support.citrix.com/article/CTX247095」を参照してください。以下のビデオで、Citrix GatewayでTLS 1.2を有効にする方法を参照してください。

ビデオアイコン

バージョン8.5.3の新機能

  • このリリースでは、ActiveSyncプロトコル16.0および16.1のサポートが追加されています。
  • Google Analyticsに送信される分析内容(特にスナップショット関連)にさらに詳細が追加されました。 [CXM-52261]

以前のバージョンの新機能

注:

以下の新機能セクションでは、「Citrix Gatewayコネクタ:Exchange ActiveSync用」を旧称のXenMobile NetScaler Connectorで呼びます。名前はバージョン8.5.2から変更されました。

バージョン8.5.2の新機能

  • XenMobile NetScaler ConnectorはExchange ActiveSync用のCitrix Gatewayコネクタになりました。

このリリースでは、以下の問題が解決されています。

  • ポリシー規則の定義に複数の基準が使用され、条件の1つにユーザーIDが含まれている場合、次の問題が発生する可能性があります。ユーザーに別名がある場合、ルール適用時に別名もチェックされません。 [CXM-55355]

バージョン8.5.1.11の新機能

  • システム要件の変更: 現在のバージョンのNetScaler Connectorでは、Microsoft .NET Framework 4.5が必要です。

  • Google Analyticsのサポート: 製品の改善可能な箇所に集中できるように、私たちはユーザーの皆様がXenMobile NetScaler Connectorをどのように使用しているかについて知りたいと考えています。

  • TLS 1.1および1.2のサポート: セキュリティの弱化のため、TLS 1.0はPCI評議会の推奨でなくなりました。XenMobile NetScaler ConnectorにTLS 1.1および1.2のサポートが追加されました。

Citrix Gatewayコネクタ:Exchange ActiveSync用の監視

Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティでは、Secure Mobile Gatewayによって許可またはブロックされる、Exchange Server経由のすべてのトラフィックを表示するために使用できる詳細なログが提供されます。

認証のためにCitrix Gatewayコネクタ:Exchange ActiveSync用に転送されるActiveSync要求の履歴を確認するには、[Log] タブを使用します。

また、Exchange ActiveSync用コネクタWebサービスが実行されていることを確認するには、XenMobile NetScaler Connectorサーバー上のブラウザーにURL(https://<host:port>/services/ActiveSync/Version)をロードします。このURLをロードした結果、製品バージョンが文字列で返される場合は、Webサービスが応答しています。

Exchange ActiveSync用コネクタでActiveSyncトラフィックをシミュレートするには

Citrix Gatewayコネクタ:Exchange ActiveSync用を使用して、ポリシーとともにActiveSyncトラフィックがどのようになるかシミュレートすることができます。コネクタ構成ユーティリティで、[Simulator] タブをクリックします。構成した規則にしたがってポリシーがどのように適用されるかが表示されます。

Exchange ActiveSync用コネクタのフィルターの選択

Citrix Gatewayコネクタ:Exchange ActiveSync用のフィルターは、指定のポリシー違反またはプロパティ設定についてデバイスを解析することにより機能します。デバイスが条件に合致すると、デバイスは[Device List]に置かれます。この[Device List]は、許可一覧およびブロック一覧のどちらでもありません。これは、定義された条件に合ったデバイスの一覧です。Endpoint Management内のExchange ActiveSync用コネクタでは、次のフィルターを使用できます。各フィルターの2つのオプションは、[許可] または [拒否] です。

  • 匿名デバイス: Endpoint Managementに登録されているが、ユーザーのIDが不明なデバイスを許可または拒否します。たとえばこのユーザーは、登録されているがActive Directoryパスワードの有効期限が切れている、または不明な資格情報を使って登録されている場合があります。
  • Samsung Knox構成証明に失敗しました: Samsungデバイスは、セキュリティと診断の機能を備えています。このフィルターは、デバイスがKnox用に設定されているかどうかを確認します。詳しくは、Samsung Knoxに関するEndpoint Managementの記事を参照してください。
  • 禁止アプリ: ブラックリストポリシーによって定義されたデバイスの一覧およびブラックリスト内のアプリの存在に基づいて、デバイスが許可または拒否されます。
  • 暗黙的な許可/拒否: そのほかのフィルタールール条件に合致しないすべてのデバイスの一覧が作成され、この一覧に基づいてデバイスが許可または拒否されます。[Implicit Allow/Deny]オプションを使用すると、[Devices]タブにあるExchange ActiveSync用コネクタの状態が有効になり、デバイスのコネクタの状態が表示されます。また、[Implicit Allow/Deny]オプションにより、選択されていないほかのすべてのコネクタフィルターが制御されます。たとえば、[Blacklists Apps]は、コネクタによって拒否(ブロック)されます。その一方で、[Implicit Allow/Deny]オプションが [Allow] に設定されているので、ほかのすべてのフィルターは許可されます。
  • 非アクティブデバイス: Endpoint Managementとの通信が特定の期間内に行われていないデバイスの一覧が作成されます。これらのデバイスは非アクティブだと見なされます。これに従って、フィルターはデバイスを許可または拒否します。
  • 不足必須アプリ: ユーザーが登録すると、インストールする必要のある必須アプリの一覧がこのユーザーに送信されます。[不足必須アプリ]のフィルターは、ユーザーが1つまたは複数のアプリを削除するなどして、必須アプリのうち1つまたは複数のアプリが不足していることを示します。
  • 非推奨アプリ: ユーザーが登録すると、インストールする必要のあるアプリの一覧がこのユーザーに送信されます。[非推奨アプリ]のフィルターは、この一覧に含まれていないアプリがデバイスにインストールされていないかをチェックします。
  • 非準拠パスワード: デバイスでパスコードが設定されていないすべてのデバイスの一覧が作成されます。
  • コンプライアンス外デバイス: 独自の内部ITコンプライアンス条件に合致するデバイスが拒否または許可されます。コンプライアンスは、Out of Complianceという名前のデバイスプロパティによって定義される任意の設定であり、True または False のいずれかになるブール型のフラグです(このプロパティを手動で作成して値を設定するか、デバイスが特定の条件に合致する場合、または合致しない場合は、自動化された操作を使用してデバイス上でこのプロパティを作成できます)。
    • Out of Compliance = True。デバイスが、IT部門によって設定されたコンプライアンス基準およびポリシー定義に合致しない場合、デバイスはコンプライアンス違反になります。
    • Out of Compliance = False。デバイスが、IT部門によって設定されたコンプライアンス基準およびポリシー定義に合致する場合、デバイスはコンプライアンスに準拠しています。
  • 失効状態: 取り消されたすべてのデバイスの一覧が作成され、取り消された状態に基づいてデバイスが許可または拒否されます。
  • Root化済みAndroidデバイス/ジェイルブレイクされたiOSデバイス。ルートされていることを示すフラグが付けられたすべてのデバイスの一覧が作成され、ルートされた状態に基づいてデバイスが許可または拒否されます。
  • Unmanaged Devices。Endpoint Managementデータベース内のすべてのデバイスの一覧が作成されます。Mobile Application Gatewayは、ブロックモードで展開する必要があります。

Citrix Gatewayコネクタ:Exchange ActiveSync用への接続を構成するには

Citrix Gatewayコネクタ:Exchange ActiveSync用では、セキュリティで保護されたWebサービスを介してEndpoint Managementおよびそのほかのリモート構成プロバイダーとの通信が行われます。

  1. Exchange ActiveSync用コネクタ構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. [Config Providers] ダイアログボックスの [Name] に、Endpoint ManagementサーバーでのHTTP基本認証用の管理者権限を持つユーザー名を入力します。
  3. [Url] に、Endpoint Management GCSのWebアドレス(通常はhttps://<FQDN>/<instanceName>/services/<MagConfigService>という形式)を入力します。MagConfigService の名前は大文字と小文字が区別されます。
  4. [Password] に、Endpoint Management WebサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Managing Host] に、Exchange ActiveSync用コネクタのサーバー名を入力します。
  6. [Baseline Interval]で、新しく更新された動的規則のセットがDevice Managerから取得される期間を指定します。
  7. [Delta interval]で、動的規則の更新が取得される期間を指定します。
  8. [Request Timeout]で、サーバー要求のタイムアウト間隔を指定します。
  9. [Config Provider]で、構成プロバイダーのサーバーインスタンスによってポリシー構成を提供するかどうかを選択します。
  10. [Events Enabled] オプションについて、デバイスのブロック時にExchange ActiveSync用コネクタからEndpoint Managementに通知する場合はこのオプションを有効にします。Endpoint Managementの自動化された操作でコネクタの規則を使用する場合、このオプションが必須です。
  11. [Save]をクリックし、[Test Connectivity]をクリックして、ゲートウェイから構成プロバイダーへの接続をテストします。接続に失敗した場合、ローカルファイアウォールの設定が接続を許可していることをチェックするか、管理者に問い合わせてください。
  12. 接続が成功した場合、[Disabled]チェックボックスをオフにし、[Save]をクリックします。

新しい構成プロバイダーを追加すると、Exchange ActiveSync用コネクタにより、このプロバイダーに関連付けられた1つまたは複数のポリシーが自動的に作成されます。これらのポリシーは、config\policyTemplates.xmlのNewPolicyTemplateセクションに含まれているテンプレート定義によって定義されます。このセクション内で定義される各ポリシー要素に対して、新しいポリシーが作成されます。

以下が当てはまる場合は、演算子を使用して、ポリシー要素を追加、削除、または変更できます。ポリシー要素がスキーマ定義に適合しており、標準の置換文字列(中かっこで囲まれている)が変更されていない場合。次に、プロバイダーの新しいグループを追加し、ポリシーを更新してこの新しいグループを含めます。

Endpoint Managementからポリシーをインポートするには

  1. Exchange ActiveSync用コネクタ構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. [Config Providers] ダイアログボックスの [Name] に、Endpoint ManagementサーバーでのHTTP基本認証に使用する、管理者権限を持つユーザー名を入力します。
  3. [Url] に、Endpoint Management Gateway Configuration Service(GCS)のWebアドレス(通常はhttps://<xdmHost>/xdm/services/<MagConfigService>という形式)を入力します。MagConfigServiceの名前は大文字と小文字が区別されます。
  4. [Password] に、Endpoint ManagementサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Test Connectivity]をクリックし、ゲートウェイから構成プロバイダーへの接続をテストします。接続に失敗した場合、ローカルファイアウォールの設定が接続を許可していることをチェックするか、管理者に問い合わせてください。
  6. 接続が成功した場合、[Disabled]チェックボックスをオフにし、[Save]をクリックします。
  7. [Managing Host]で、ローカルホストコンピューターのDNS名をデフォルトのままにします。1つのアレイ内でForefront Threat Management Gateway(TMG)を複数構成済みの場合、この設定を使用して、Endpoint Managementとの通信を調整します。

    設定を保存してから、GCSを開きます。

Citrix Gatewayコネクタ:Exchange ActiveSync用ポリシーモードの構成

Citrix Gatewayコネクタ:Exchange ActiveSync用は、次の6つのモードで実行できます。

  • Allow All。このポリシーモードでは、Exchange ActiveSync用コネクタを経由するすべてのトラフィックのアクセスが許可されます。そのほかのフィルター規則は使用されません。
  • Deny All。このポリシーモードでは、Exchange ActiveSync用コネクタを経由するすべてのトラフィックのアクセスがブロックされます。そのほかのフィルター規則は使用されません。
  • Static Rules: Block Mode。このポリシーモードでは、最後に暗黙的な拒否ステートメントまたはブロックステートメントを使って静的規則が実行されます。ほかのフィルター規則によって許可または許容されないデバイスは、Exchange ActiveSync用コネクタでブロックされます。
  • Static Rules: Permit Mode。このポリシーモードでは、最後に暗黙的な許容ステートメントまたは許可ステートメントを使って静的規則が実行されます。ほかのフィルター規則によってブロックまたは拒否されないデバイスは、Exchange ActiveSync用コネクタで許可されます。
  • Static + ZDM Rules: Block Mode。このポリシーモードでは、最初に静的規則が実行され、次に暗黙的な拒否ステートメントまたはブロックステートメントを使ってEndpoint Managementから動的規則が実行されます。デバイスは、定義済みのフィルターおよびDevice Managerの規則に基づいて許容または拒否されます。定義済みのフィルターおよび規則に一致しないデバイスはブロックされます。
  • Static + ZDM Rules: Permit Mode。このポリシーモードでは、最初に静的規則が実行され、次に暗黙的な許容ステートメントまたは許可ステートメントを使ってEndpoint Managementから動的規則が実行されます。デバイスは、定義済みのフィルターおよびEndpoint Managementの規則に基づいて許容または拒否されます。定義済みのフィルターおよび規則に一致しないデバイスは許可されます。

Exchange ActiveSync用コネクタにより、Endpoint Managementから受け取ったiOSモバイルデバイスおよびWindowsベースのモバイルデバイス用の一意のActiveSync IDに応じて、動的規則に基づいて許可または禁止が処理されます。Androidデバイスの場合、製造元によって動作が異なり、一部のAndroidデバイスでは、一意のActiveSync IDが直ちに提供されません。代わりに、Endpoint ManagementによりAndroidデバイスのユーザーID情報が送信され、許容するかブロックするかを決定します。その結果、ユーザーが1台のAndroidデバイスしか持っていない場合でも、許容およびブロック機能が正常に動作します。ユーザーが複数のAndroidデバイスを持っている場合は、Androidデバイスを区別できないため、すべてのデバイスが許可されます。これらのデバイスが既知の場合は、ActiveSyncIDで静的にブロックするようにゲートウェイを構成できます。また、デバイスの種類またはユーザーエージェントに基づいてブロックするようにゲートウェイを構成することもできます。

ポリシーモードを指定するには、SMG Controller Configurationユーティリティで次の操作を実行します。

  1. [Path Filters]タブをクリックし、[Add]をクリックします。
  2. [パスプロパティ] ダイアログボックスの [ポリシー] リストからポリシーモードを選択し、[保存] をクリックします。

[Policies]タブで規則を確認できます。規則は、Exchange ActiveSync用コネクタで最上位から順に処理されます。[Allow]が設定されたポリシーは緑のチェックマークで示されます。[Deny]が設定されたポリシーは中央に線が入った赤い丸で示されます。画面を更新して、最近更新された規則を表示するには、[Refresh]をクリックします。config.xmlファイル内の規則の順序を変更することもできます。

規則をテストするには、[Simulator]タブをクリックします。フィールドに値を指定します。これらの値をログから取得することもできます。[Allow]または[Block]が指定された結果メッセージが表示されます。

静的規則を構成するには

ActiveSync接続のHTTP要求のISAPIフィルターによって読み取られる値を使用して静的規則を入力します。静的規則を使用すると、Exchange ActiveSync用コネクタで次の条件に基づいてトラフィックを許可またはブロックすることができます。

  • User。Exchange ActiveSync用コネクタでは、承認されたユーザー値と、デバイスの登録時に取得された名前構造が使用されます。これは通常、LDAP経由でActive Directoryに接続されたEndpoint Managementを実行しているサーバーによって参照されるdomain\username形式です。コネクタ構成ユーティリティ内の [ログ] タブには、コネクタを経由して渡される値が表示されます。値の構造を決定する必要がある場合、または値の構造が異なる場合に、値が渡されます。
  • Deviceid (ActiveSyncID)。接続されたデバイスのActiveSyncIDとも呼ばれます。この値は、通常、Endpoint Managementコンソールの特定のデバイスプロパティページ内にあります。また、Exchange ActiveSync用コネクタ構成ユーティリティの[Log]タブから、この値を確認できます。
  • DeviceType。Exchange ActiveSync用コネクタでは、デバイスがiPhone、iPad、またはそのほかの種類のデバイスかどうかを特定し、その条件に基づいてデバイスを許可またはブロックできます。ほかの値の場合と同じように、コネクタ構成ユーティリティを使用して、ActiveSync接続のために処理中の接続済みデバイスの種類をすべて表示できます。
  • UserAgent。使用するActiveSyncクライアントの情報が含まれます。ほとんどの場合、指定された値は、モバイルデバイスプラットフォームのオペレーティングシステムの特定のビルドおよびバージョンに対応します。

サーバーで実行中のExchange ActiveSync用コネクタ構成ユーティリティによって、静的規則は常に管理されます。

  1. SMG Controller Configurationユーティリティで、[Static Rules]タブをクリックし、[Add]をクリックします。
  2. [Static Rule Properties]ダイアログボックスで、条件として使用する値を指定します。たとえば、ユーザー名(たとえば、「AllowedUser」)を入力して、アクセスを許可するユーザーを指定し、[Disabled] チェックボックスをオフにします。
  3. [Save] をクリックします。

    これで、静的規則が有効になりました。また、正規表現を使用して値を定義できますが、config.xmlファイルで規則処理モードを有効化する必要があります。

動的な規則を構成するには

Endpoint Managementのデバイスポリシーおよびプロパティは動的な規則を定義し、Exchange ActiveSync用コネクタの動的フィルターをトリガーできます。トリガーは、ポリシー違反またはプロパティ設定の有無に基づいています。Exchange ActiveSync用コネクタのフィルターは、指定のポリシー違反またはプロパティ設定についてデバイスを解析することにより機能します。デバイスが条件に合致すると、デバイスは[Device List]に置かれます。この[Device List]は、許可一覧およびブロック一覧のどちらでもありません。これは、定義した条件に合致するデバイスの一覧です。次の構成オプションでは、Exchange ActiveSync用コネクタを使用して[Device List]のデバイスを許可または拒否するかどうかを定義できます。

注:

動的規則を構成するには、Endpoint Managementコンソールを使用する必要があります。

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [ActiveSyncゲートウェイ] をクリックします。[ActiveSyncゲートウェイ] ページが開きます。

  3. [Activate the following rules]で、有効にするルールを1つまたは複数オンにします。

  4. [Androidのみ]の [AndroidドメインユーザーをActiveSyncゲートウェイに送信][はい] をクリックし、Endpoint ManagementからAndroidデバイスの情報がSecure Mobile Gatewayに送信されるようにします。

    このオプションを有効にすると、AndroidデバイスユーザーのActiveSync識別子がEndpoint Managementにない場合でも、Endpoint ManagementからAndroidデバイスの情報がExchange ActiveSync用コネクタに送信されます。

Exchange ActiveSync用コネクタのXMLファイルを編集してカスタムポリシーを構成するには

Exchange ActiveSync用コネクタ構成ユーティリティの [Policies] タブで、デフォルトの構成の基本ポリシーを確認できます。カスタムポリシーを作成する場合、Citrix Gatewayコネクタ:Exchange ActiveSync用のXML構成ファイル(config\config.xml)を編集できます。

  1. ファイル内の PolicyList セクションに移動し、新しい Policy 要素を追加します。
  2. 別の静的グループや別のGCPをサポートするグループなどの新しいグループも必要な場合は、新しい Group 要素を GroupList セクションに追加します。
  3. 必要に応じて、GroupRef要素を並べ替えることにより、既存のポリシー内のグループの順序を変更できます。

Exchange ActiveSync用コネクタのXMLファイルの構成

Exchange ActiveSync用コネクタは、XML構成ファイルを使用してコネクタの動作を指示します。このファイルにより、ほかのエントリと同様に、グループファイルと、HTTP要求を評価するときにフィルターにより実行される関連アクションが指定されます。デフォルトでは、このファイルにはconfig.xmlという名前が付けられ、次の場所に配置されます:..\Program Files\Citrix\XenMobile NetScaler Connector\config\

GroupRefノード

GroupRefノードにより、論理的なグループ名が定義されます。デフォルトでは、AllowGroupとDenyGroupです。

注:

GroupRefListノードに表示されるGroupRefノードの順序は重要です。

GroupRefノードのID値により、特定のユーザーアカウントまたはデバイスを一致させるために使用するメンバーの論理的なコンテナまたはコレクションが特定されます。アクションの属性により、コレクション内の規則に一致するメンバーをフィルターで処理する方法が指定されます。たとえば、AllowGroupセット内の規則に一致するユーザーアカウントまたはデバイスは「合格」します。合格すると、Exchange CASへのアクセスが許可されます。DenyGroupセット内の規則に一致するユーザーアカウントまたはデバイスは「拒否」されます。拒否されると、Exchange CASへのアクセスが許可されません。

特定のユーザーアカウント/デバイスまたはその組み合わせが両方のグループの規則に一致する場合、優先する規則を使用して要求の結果が指定されます。優先順位は、config.xmlファイルのGroupRefノードの最上位から最下位へと至る順序で表されています。GroupRefノードは優先度によりランク付けされています。許可グループの特定条件の規則は、拒否グループの同じ条件の規則よりも常に優先されます。

グループノード

さらに、config.xmlにより、グループノードが定義されます。これらのノードによって、論理的なコンテナ、つまりAllowGroupおよびDenyGroupが外部XMLファイルとリンクされます。外部ファイルに格納されたエントリは、フィルター規則の基礎を形成します。

注:

このリリースでは、外部XMLファイルのみがサポートされています。

デフォルトのインストールでは、構成に2つのXMLファイル(allow.xmlとdeny.xml)が実装されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用の構成

[Active Sync Service ID][Device type][User Agent](デバイスのオペレーティングシステム)、[Authorized user][ActiveSync Command] といったプロパティに基づいて、ActiveSync要求を選択的にブロックまたは許可するようにCitrix Gatewayコネクタ:Exchange ActiveSync用を構成できます。

デフォルトの構成では、静的グループと動的グループの組み合わせがサポートされています。静的グループは、SMG Controller Configurationユーティリティを使用して保守します。静的グループは、特定のユーザーエージェントを使用するすべてのデバイスなど、デバイスの既知のカテゴリで構成される場合があります。

動的グループは、ゲートウェイ構成プロバイダーと呼ばれる外部ソースによって保守されます。Exchange ActiveSync用コネクタは、定期的にグループを接続します。Endpoint Managementを使用して、許可されたデバイスとユーザーおよびブロックされたデバイスとユーザーのグループをExchange ActiveSync用コネクタにエクスポートできます。

動的グループは、ゲートウェイ構成プロバイダーと呼ばれる外部ソースによって保守され、Exchange ActiveSync用コネクタによって定期的に収集されます。Endpoint Managementを使用して、許可されたデバイスとユーザーおよびブロックされたデバイスとユーザーのグループをコネクタにエクスポートできます。

ポリシーとは、アクション(許可またはブロック)が関連付けられた各グループの順序指定された一覧と、グループメンバーの一覧のことです。ポリシーには、任意の数のグループを含めることができます。ポリシー内のグループの順序は重要です。これは、1つの一致が見つかると、グループのアクションが実行され、以降のグループは評価されないからです。

メンバーにより、要求のプロパティに一致する方法が定義されます。デバイスIDなどの単一のプロパティ、またはデバイスの種類およびユーザーエージェントなどの複数のプロパティに一致することが可能です。

Citrix Gatewayコネクタ:Exchange ActiveSync用のセキュリティモデルの選択

あらゆる規模の組織にとって、モバイルデバイスを適切に展開するには、セキュリティモデルの確立が不可欠です。保護または隔離されたネットワーク制御を使用して、ユーザー、コンピューター、またはデバイスへのアクセスをデフォルトで許可することは一般的ですが、これは必ずしも望ましい方法ではありません。ITセキュリティを管理する各組織では、モバイルデバイスのセキュリティに対して多少異なったアプローチまたは組織に合わせたアプローチをとっている場合があります。

モバイルデバイスのセキュリティについても、同じことが言えます。多くのモバイルデバイスおよびその種類、ユーザーごとのモバイルデバイス数、利用できるオペレーティングシステムプラットフォームおよびアプリを考慮すると、許可モデルの使用はお勧めできません。多くの組織では、制限モデルの使用が最適な選択となります。

Exchange ActiveSync用コネクタとEndpoint Managementの統合で利用できる構成シナリオは次のとおりです:

許可モデル([Permit Mode])

許可セキュリティモデルは、デフォルトでアクセスがすべて許可または付与されているという前提で動作します。規則およびフィルターの使用時のみ、ブロックされたり、制限が適用されたりします。許可セキュリティモデルは、モバイルデバイスに対するセキュリティ上の懸念が比較的少ない組織に適しています。このモデルでは、アクセスを拒否するのが適切な場合(ポリシー規則が失敗した場合)にのみ、制限コントロールが適用されます。

制限モデル([Block Mode])

制限セキュリティモデルは、デフォルトでアクセスが許可または付与されていないという前提に基づきます。セキュリティチェックポイントを通過するすべてのデータがフィルターおよび検査され、アクセスを許可する規則をパスしない限り、アクセスが拒否されます。制限セキュリティモデルは、モバイルデバイスに対するセキュリティ上の条件が比較的に厳しい組織に適しています。このモードでは、アクセスを許可するすべての規則をパスした場合にのみ、ネットワークサービスの使用と機能へのアクセスが許可されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用の管理

Citrix Gatewayコネクタ:Exchange ActiveSync用を使用してアクセス制御規則を作成できます。この規則は、管理対象デバイスからのActiveSync接続要求へのアクセスを許可またはブロックします。アクセスは、デバイスのステータス、アプリのブラックリストまたはホワイトリスト、およびその他のコンプライアンス設定状況に基づきます。

Exchange ActiveSync用コネクタ構成ユーティリティを使用して、社内のメールポリシーを適用する動的および静的規則を作成し、コンプライアンス基準に違反しているユーザーをブロックすることができます。また、Exchange Serverを経由して管理対象デバイスに送信されるすべての添付ファイルを暗号化して、管理対象デバイスで権限のあるユーザーのみが添付ファイルを表示できるようにメールの添付ファイル暗号化をセットアップすることができます。

XNCをアンインストールするには

  1. 管理者アカウントでXncInstaller.exeを実行します。
  2. 画面の指示に従って、アンインストールを完了します。

Exchange ActiveSync用コネクタをインストール、アップグレード、またはアンインストールするには

  1. 管理者アカウントでXncInstaller.exeを実行して、Exchange ActiveSync用コネクタをインストールするか、既存のコネクタをアップグレードまたは削除できます。
  2. 画面の指示に従って、インストール、アップグレード、またはアンインストールを完了します。

Exchange ActiveSync用コネクタをインストールした後、Endpoint Managementの構成サービスおよび通知サービスを手動で再起動する必要があります。

Citrix Gatewayコネクタ:Exchange ActiveSync用のインストール

Exchange ActiveSync用コネクタは、専用のサーバーまたはEndpoint Managementをインストールしたサーバーにインストールできます。

次の場合は、Exchange ActiveSync用コネクタを専用のサーバー(Endpoint Managementとは別のサーバー)にインストールすることを検討してください:

  • Endpoint Managementサーバーがクラウドにリモートでホストされている場合(物理的な場所)。
  • Exchange ActiveSync用コネクタが、Endpoint Managementサーバーの再起動の影響を受けないようにする場合(可用性)。
  • サーバーのすべてのシステムリソースをExchange ActiveSync用コネクタ用に使用する場合(パフォーマンス)。

Exchange ActiveSync用コネクタがサーバーに与えるCPU負荷は、管理対象デバイスの数によって異なります。コネクタをEndpoint Managementと同じサーバーに展開する場合は、CPUコアを1つ追加してプロビジョニングすることをお勧めします。多数のデバイス(50,000個以上)がある場合に、クラスター環境がないときは、追加のコアが必要になることがあります。コネクタのメモリサイズは、追加メモリを保証するのに十分ではありません。

Citrix Gatewayコネクタ:Exchange ActiveSync用のシステム要件

Citrix Gatewayコネクタ:Exchange ActiveSync用では、NetScalerアプライアンスで構成されたSSLブリッジを介してNetScalerとの通信が行われます。SSLブリッジを使用すると、アプライアンスですべてのセキュアなトラフィックをEndpoint Managementに直接ブリッジすることができます。Exchange ActiveSync用コネクタには、次の最小システム構成が必要です:

コンポーネント 条件
コンピューターとプロセッサ Pentium III 733MHz以上のプロセッサ。Pentium III 2.0GHz以上のプロセッサ(推奨)
NetScaler ソフトウェアバージョン10を備えたNetScalerアプライアンス
メモリ 1GB
ハード ディスク 150MBのハードディスクスペースがある、NTFSでフォーマットしたローカルパーティション
オペレーティングシステム Windows Server 2016、Windows Server 2012 R2またはWindows Server 2008 R2 Service Pack 1。英語ベースのサーバーが必要です。Windows Server 2008 R2 Service Pack 1のサポートは、2020年1月14日に終了します。
そのほかのデバイス ホストオペレーティングシステムと互換性があるネットワークアダプター(内部ネットワークとの通信用)
Microsoft .NET Framework。 バージョン8.5.1.11では、Microsoft .NET Framework 4.5が必要です。
表示 VGA以上の解像度のモニター

Exchange ActiveSync用コネクタのホストコンピューターには、次の最小ハードディスクスペースが必要です:

  • アプリケーション: 10~15MB(推奨値は100MB)
  • ログ: 1GB(推奨値は20GB)

Exchange ActiveSync用コネクタのプラットフォームのサポートについて詳しくは、「サポートされるデバイスオペレーティングシステム」を参照してください。

デバイスのメールクライアント

すべてのメールクライアントが、デバイスに関して一貫して同じActiveSync IDを返すわけではありません。Exchange ActiveSync用コネクタは、各デバイスに対して一意のActiveSync IDを前提とするため、デバイスごとに一意の同じActiveSync IDを一貫して生成するメールクライアントのみをサポートします。以下のメールクライアントはテスト済みで、エラーなく実行できます。

  • HTCのネイティブメールクライアント
  • Samsungのネイティブメールクライアント
  • iOSのネイティブメールクライアント

Citrix Gatewayコネクタ:Exchange ActiveSync用の展開

Citrix Gatewayコネクタ:Exchange ActiveSync用は、NetScalerを使用して、Endpoint Managementによる管理対象デバイスとEndpoint Management間の通信をプロキシ接続したり、負荷分散したりできます。Exchange ActiveSync用コネクタとEndpoint Management間では通信が定期的に行われ、ポリシーが同期されます。Exchange ActiveSync用コネクタとEndpoint Managementをまとめて、または別々にクラスター化したり、NetScalerによって負荷を分散したりできます。

Exchange ActiveSync用コネクタのコンポーネント

  • Exchange ActiveSync用コネクタサービス: このサービスでは、NetScalerによって呼び出されるREST Webサービスのインターフェイスが提供され、デバイスからのActiveSync要求が承認されるかどうかが決定されます。
  • Endpoint Management構成サービス: このサービスでは、Endpoint Managementとの通信が行われ、Endpoint Managementポリシーの変更がExchange ActiveSync用コネクタと同期されます。
  • Endpoint Management通知サービス: このサービスでは、Endpoint Managementへの承認されていないデバイスのアクセスが通知されます。これによりEndpoint Managementでは、デバイスがブロックされた理由をユーザーに通知するなどの適切な処置を施すことができます。
  • Exchange ActiveSync用コネクタ構成ユーティリティ: このアプリケーションを使用すると、管理者はExchange ActiveSync用コネクタを構成して監視することができます。

Citrix Gatewayコネクタ:Exchange ActiveSync用のリッスンアドレスをセットアップするには

Citrix Gatewayコネクタ:Exchange ActiveSync用がNetScalerから要求を受信してActiveSyncトラフィックを承認できるようにするには、次の手順を実行します。Exchange ActiveSync用コネクタがNetScaler Webサービス呼び出しをリッスンするポートを指定します。

  1. [スタート] メニューからExchange ActiveSync用コネクタ構成ユーティリティを選択します。
  2. [Web Service] タブをクリックし、コネクタWebサービスのリッスンアドレスを入力します。HTTPHTTPS のいずれかまたは両方を選択できます。Exchange ActiveSync用コネクタがEndpoint Managementと共存している場合(同じサーバーにインストールされている場合)、Endpoint Managementと競合しないポート値を選択します。
  3. この値を構成した後、[Save]をクリックして、[Start Service]をクリックし、Webサービスを起動します。

Citrix Gatewayコネクタ:Exchange ActiveSync用でデバイスのアクセス制御ポリシーを構成するには

管理対象デバイスに適用するアクセス制御ポリシーを構成するには、次の操作を実行します。

  1. Exchange ActiveSync用コネクタ構成ユーティリティで、[Path Filters] タブをクリックします。
  2. 最初の行の[Microsoft-Server-ActiveSync is for ActiveSync]を選択し、[Edit]をクリックします。
  3. [Policy]の一覧から、目的のポリシーを選択します。Endpoint Managementポリシーが含まれるポリシーの場合、[Static + ZDM: Permit Mode]または[Static + ZDM: Block Mode]を選択します。これらのポリシーでは、ローカルの(つまり静的)規則とEndpoint Managementの規則が組み合わされます。[Permit Mode]では、規則によって明示的に特定されないすべてのデバイスがActiveSyncへのアクセスを許可されます。[Block Mode]では、そのようなデバイスがブロックされます。
  4. ポリシーを設定したら、[Save]をクリックします。

Endpoint Managementとの通信を構成するには

Citrix Gatewayコネクタ:Exchange ActiveSync用およびNetScalerで使用するEndpoint Managementサーバー(構成プロバイダーともいいます)の名前およびプロパティを指定します。

注:

このタスクでは、Endpoint Managementがインストールされていて、構成済みであることを前提としています。

  1. Exchange ActiveSync用コネクタ構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. この展開で使用するEndpoint Managementサーバーの名前およびURLを入力します。マルチテナント展開で複数のEndpoint Managementサーバーがある場合は、この名前は各サーバーインスタンスで固有である必要があります。たとえば、[Name] に「CEM」と入力し、
  3. [Url] に、Endpoint Management GlobalConfig Provider(GCP)のWebアドレス(通常はhttps://<FQDN>/<instanceName>/services/<MagConfigService>という形式)を入力します。MagConfigService の名前は大文字と小文字が区別されます。
  4. [Password] に、Endpoint Management WebサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Managing Host] に、Exchange ActiveSync用コネクタをインストールしたサーバーの名前を入力します。
  6. [Baseline Interval] で、新しく更新された動的規則のセットをEndpoint Managementから取得する期間を指定します。
  7. [Request Timeout]で、サーバー要求のタイムアウト間隔を指定します。
  8. [Config Provider]で、構成プロバイダーのサーバーインスタンスによってポリシー構成を提供するかどうかを選択します。
  9. [Events Enabled] オプションについて、デバイスのブロック時にSecure Mobile GatewayからEndpoint Managementに通知する場合はこのオプションを有効にします。Endpoint Managementの自動化された操作でSecure Mobile Gatewayの規則を使用する場合、このオプションが必要です。
  10. サーバーを構成したら、[Test Connectivity] をクリックして、Endpoint Managementへの接続をチェックします。
  11. 接続が確立したら、[Save]をクリックします。

冗長性およびスケーラビリティのためのCitrix Gatewayコネクタ:Exchange ActiveSync用の展開

Citrix Gatewayコネクタ:Exchange ActiveSync用およびEndpoint Management展開のスケーラビリティを向上させるには、Exchange ActiveSync用コネクタのインスタンスを複数のWindowsサーバーにインストールして同じEndpoint Managementインスタンスを参照させ、NetScalerを使用してこれらのサーバーの負荷を分散します。

Exchange ActiveSync用コネクタの構成には次の2つのモードがあります。

  • 非共有モードでは、Exchange ActiveSync用コネクタの各インスタンスがEndpoint Managementサーバーと通信し、結果として生成されるポリシーの独自のプライベートコピーを保持します。たとえば、Endpoint Managementサーバーのクラスターがある場合、コネクタインスタンスを各Endpoint Managementサーバーで実行すると、コネクタが、ローカルのEndpoint Managementからポリシーを取得します。
  • 共有モードでは、Exchange ActiveSync用コネクタの1つのノードがプライマリノードに指定されます。コネクタは、Endpoint Managementと通信します。Windowsネットワーク共有またはWindows(または、サードパーティの)レプリケーションによって、結果として生成される構成がほかのノード間で共有されます。

Exchange ActiveSync用コネクタの構成全体は、単一のフォルダー(数個のXMLファイルから構成されます)にあります。コネクタの処理によって、このフォルダー内のファイルに加えられた変更が検出され、構成が自動的に再ロードされます。共有モードのプライマリノードに対するフェイルオーバーはありません。ただし、システムでは、前回の正常な構成がコネクタの処理にキャッシュされるため、プライマリサーバーが数分間停止(たとえば、再起動のために)しても許容されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用