Endpoint Management向けExchange ActiveSyncコネクタ
XenMobile Mail Managerは、Endpoint Management向けExchange ActiveSyncコネクタになりました。Citrix統合ポートフォリオの詳細については、「Citrix製品ガイド」を参照してください。
このコネクタは、XenMobile®の機能を次の方法で拡張します。
- Exchange ActiveSync(EAS)デバイスの動的アクセスコントロール。EASデバイスは、Exchangeサービスへのアクセスを自動的に許可またはブロックできます。
- XenMobileがExchangeによって提供されるEASデバイスのパートナーシップ情報にアクセスする機能。
- XenMobileがEASステータスに基づいてモバイルデバイスをワイプする機能。
- XenMobileがBlackBerryデバイスに関する情報にアクセスし、ワイプやパスワードのリセットなどの制御操作を実行する機能。
EASステータスに基づいてデバイスをワイプするには、ActiveSyncトリガーを使用して自動アクションを構成します。「自動アクション」を参照してください。
Endpoint Management向けExchange ActiveSyncコネクタをダウンロードするには:
- https://www.citrix.com/downloadsにアクセスします。
- Citrix Endpoint Management™(およびCitrix XenMobile Server)> XenMobile Server(オンプレミス)> 製品ソフトウェア > XenMobile Server 10 > Server Componentsの順に移動します。
- Citrix Endpoint Management向けExchange ActiveSyncコネクタタイルで、Download Fileをクリックします。
重要:
2022年10月以降、Microsoftがこちらで発表した認証変更に伴い、Endpoint ManagementおよびCitrix Gateway向けExchange ActiveSyncコネクタはExchange Onlineをサポートしなくなります。Endpoint Management向けExchangeコネクタは、Microsoft Exchange Server(オンプレミス)で引き続き動作します。
新機能
以下のセクションでは、以前はXenMobile Mail Managerと呼ばれていたEndpoint Management向けExchange ActiveSyncコネクタの新機能について説明します。
バージョン10.1.10の新機能
バージョン10.1.10では、以下の問題が修正されています。
- 頻繁なネットワークの問題が発生するお客様は、以前に提供された3回の試行でスナップショットを完了できない場合があります。このリリースでは、管理者は最大試行回数(1~10)を構成できます。この修正により、スナップショットプロセスを完全に放棄することなく、通信の複数の切断が発生してもスナップショットを実行できます。[CXM-70837]
- 以前のバージョンでは、スナップショットの種類がExchange構成の一覧に表示されませんでした。今回のリリースでは、スナップショットの種類が表示されます。[CXM-70846]
- PowerShellによって報告されるPSRemotingTransport例外は、Exchangeへのセッションがもはや有効ではないことを示します。このステータスは、デフォルトで構成ファイルのCritical Errorsリストに追加されます。これにより、PSRemotingTransportExceptionが検出されると、接続は後で破棄するためにエラーとしてマークされます。次の通信では、有効な接続を使用するか、接続を作成します。[XMHELP-2184, CXM-70836]
- 構成の変更が保存されると、新しい構成をロードする前に、以前に構成されたすべての内部コンポーネントが適切に破棄されない可能性があります。この問題は、予測できない動作につながる可能性があります。動作は、特定の変更と、その変更が以前の構成と競合したかどうかに依存します。このリリースでは、新しい構成をロードする前にすべての内部コンポーネントが破棄されます。[XMHELP-2259, CXM-71388]
以前のバージョンの新機能
以下のセクションでは、Endpoint Management向けExchange ActiveSyncコネクタの以前のバージョンの機能と修正された問題について説明します。
バージョン10.1.9の新機能
バージョン10.1.9では、以下の問題が修正されています。
- 構成の変更がより一貫した方法で処理されるようになりました。サービスが構成の変更を検出すると、各内部サブシステムが停止します。これは、アクティブまたはスケジュールされた処理が中断されることを意味します。次に、新しい構成がロードされ、サブシステムが再起動されます。これは、すべてのスケジュールおよびその他の内部インフラストラクチャが新しい設定で再確立されることを意味します。この問題は、バージョン10.1.8の既知の問題を修正します。[CXM-47709, CXM-61330]
- アップグレード中に、既存のデータベース構成が新しい構成ファイルにマージされませんでした。データベース構成は、アップグレードされた構成ファイルにマージされるようになりました。[CXM-49326]
- スナップショット関連の診断ファイルで、列ヘッダーが欠落していました。ヘッダーが復元されました。[CXM-62680]
- 以前のバージョンからアップグレードすると、構成ファイルのデフォルトセクションが、使用中の構成ファイルの類似セクションによって上書きされていました。この問題により、アップグレード後にデフォルトセクションへの追加または改善がサービスによってロードされませんでした。このバージョン以降、デフォルトセクションは常に最新の構成を反映します。[CXM-62681]
-
管理者は、アプリケーションの実行中にShiftキーを押しても特定のオプションにアクセスできなくなりました。これらのオプションは以前はCitrixの許可を得て利用可能でした。Allow Redirectionなどの一部のオプションは完全に利用可能になり、Hang DetectionやCount Correctionなどの他のオプションは非推奨になりました。[CXM-62767]
バージョン10.1.8の新機能
バージョン10.1.8では、以下の問題が修正されています。
- ExchangeがCitrix Endpoint Management向けExchange ActiveSyncサービスによるコマンドの発行頻度を制限する(スロットリングする)可能性があります。これはOffice 365への接続でよく見られます。スロットリングの影響により、サービスは次のコマンドを送信する前に指定された期間一時停止する必要があります。Configureコンソールに、一時停止の残り時間が表示されるようになりました。[CXM-48044]
- 構成ファイル(config.xml)の「Watchdog」または「SpecialistsDefaults」セクションに変更を加えると、アップグレード後にその変更が構成ファイルに反映されません。このリリースでは、変更が新しい構成ファイルに正しくマージされます。[CXM-52523]
- Google Analyticsに送信される分析に、特にスナップショットに関する詳細が追加されました。[CXM-56691]
- Exchangeの接続テスト機能は、接続を1回だけ初期化しようとしました。Office 365接続はスロットリングされる可能性があるため、スロットリングされた場合に接続テストが失敗したように見える可能性がありました。Citrix Endpoint Management向けExchange ActiveSyncコネクタは、接続を最大3回試行するようになりました。[CXM-58180]
- Exchangeでポリシーを適用するには、Citrix Endpoint Management向けExchange ActiveSyncコネクタは、各メールボックスのすべての関連デバイスを、許可リストとブロックリストの2つのリストに含めるSet-CASMailboxコマンドをコンパイルする必要があります。デバイスがどちらのリストにも含まれていない場合、Exchangeはデフォルトのアクセス状態に戻ります。そのデフォルトのアクセス状態がデバイスの目的の状態と異なる場合、そのデバイスはコンプライアンス違反になります。その結果、Exchangeのデフォルトのアクセス状態がブロックされており、許可されるべきである場合に、ユーザーはメールへのアクセスを失う可能性があります。または、メールへのアクセスがブロックされるべきユーザーにアクセスが許可される可能性があります。Citrix Endpoint Management向けExchange ActiveSyncコネクタは、有効な目的の状態を持つすべてのデバイスが各Set-CasMailboxコマンドに含まれるようにします。[CXM-61251]
バージョン10.1.8で確認されている問題は次のとおりです。
管理者がConfigureアプリケーションで構成データを変更し、サービスがスナップショットやポリシー評価などの長時間かかる操作を実行している場合、サービスは不定状態になる可能性があります。考えられる症状としては、ポリシーの変更が処理されない、またはスナップショットが開始されないなどがあります。サービスを動作状態に戻すには、サービスを再起動する必要があります。サービスを開始する前に、Windowsサービスマネージャーを使用してサービスプロセスを終了する必要がある場合があります。[CXM-61330]
バージョン10.1.7の新機能
- XenMobile Mail Managerは、Endpoint Management向けExchange ActiveSyncコネクタになりました。
- Exchange構成ダイアログボックスのDisable Pipeliningオプションは非推奨になりました。config.xmlファイルで各コマンドに複数の手順を構成することで、同じ機能を実現できます。[CXM-54593]
バージョン10.1.7では、以下の問題が修正されています。
- スナップショット履歴ウィンドウで、エラーメッセージがほとんどコンテキストなしで表示されることがありました。今回のリリースでは、エラーメッセージが発生したコンテキストがプレフィックスとして付加されるようになりました。[CXM-49157]
- XmmGoogleAnalytics .dllには、リリースに対応するファイルバージョンがありませんでした。[CXM-52518]
- 診断を改善するために、メールボックスの許可/ブロック状態を設定するために使用されるデバイスIDのリストの文字列形式を最近変更しました。しかし、あまりにも多くのデバイスを指定すると、最大文字列サイズを超えてしまいました。現在、内部配列データ構造を使用しています。この構造にはサイズ制限がなく、診断目的にも適切にデータをフォーマットします。[CXM-52610]
- Exchangeと同期していないデバイスポリシーが検出された場合、そのコマンドには関連するメールボックスに属さないデバイスが含まれる可能性があります。Endpoint Management向けExchange ActiveSyncコネクタは、Exchangeへのコマンドがそれぞれのメールボックスに属するデバイスのみを表すようにします。[CXM-54842]
- 一部の環境では、Microsoftアセンブリが利用できません。必要なアセンブリは、アプリケーションとともに明示的にインストールされるようになりました。[CXM-55439]
- デバイスまたはメールボックスの識別名に属性名と等号の間にスペースがある場合、および/または等号と値の後にスペースがある場合、Endpoint Management向けExchange ActiveSyncコネクタはデバイスをメールボックスと適切に照合できない可能性があります。その結果、スナップショットの調整中に一部のデバイスおよび/またはメールボックスが拒否される可能性があります。[CXM-56088]
注:
以下のセクションでは、Endpoint Management向けExchange ActiveSyncコネクタを以前の名称であるXenMobile Mail Managerで参照しています。名称はバージョン10.1.7で変更されました。
バージョン10.1.6.20での更新
バージョン10.1.6への更新には、バージョン10.1.6.20で以下の修正が含まれています。
- Exchangeと同期していないデバイスポリシーが検出された場合、そのコマンドには関連するメールボックスに属さないデバイスが含まれる可能性があります。XenMobile Mail Managerは、Exchangeへのコマンドがそれぞれのメールボックスに属するデバイスのみを表すようにします。[CXM-54842]
バージョン10.1.6の新機能
XenMobile Mail Managerバージョン10.1.6には、以下の修正された問題と機能強化が含まれています。
- スナップショット履歴ウィンドウが、更新されない状態になることがありました。ウィンドウの更新メカニズムが改善され、より確実に更新されるようになりました。[CXM-47983]
- パーティション化されたスナップショットと非パーティション化されたスナップショットには、2つの異なるモードとコードパスが使用されていました。非パーティション化されたスナップショットは、単一の「*」パーティションを使用する構成のパーティション化されたスナップショットと同等であるため、非パーティション化されたスナップショットモードは廃止されました。デフォルトのスナップショットモードは、36個のパーティション(0~9、A~Z)を持つパーティション化されたスナップショットになりました。[CXM-49093]
- スナップショット履歴ウィンドウで、エラーメッセージがステータスメッセージによって上書きされていました。XenMobile Mail Managerは、ユーザーがステータスとエラーを同時に表示できるように、2つの別々のフィールドを提供するようになりました。[CXM-51942]
- Exchange Online(Office 365)に接続する場合、スナップショット関連のクエリがデータセットの切り捨てにつながる可能性があります。この問題は、XenMobile Mail Managerがマルチコマンドパイプラインスクリプトを実行するときに発生する可能性があります。アップストリームコマンドがダウンストリームコマンドにデータを十分に速く渡すことができず、ダウンストリームコマンドが時期尚早に作業を完了してしまうためです。その結果、不完全なデータが発生します。XenMobile Mail Managerは、パイプライン自体を模倣し、アップストリームコマンドが完了するまで待ってからダウンストリームコマンドを呼び出すことができるようになりました。この変更により、すべてのデータが処理され、キャプチャされるはずです。[CXM-52280]
- Exchangeへのポリシー更新コマンドで解決できないエラーが発生した場合、同じコマンドが長期間にわたって繰り返しワークキューに戻されていました。この状況により、コマンドがExchangeに何度も送信されていました。このバージョンのXenMobile Mail Managerでは、エラーが発生したコマンドは、限られた回数だけワークキューに戻されます。[CXM-52633]
- 特定のメールボックスのポリシー更新に、すべてのデバイスの許可またはブロックが含まれる場合:空のリストがNULLではなく空の文字列に変換されたため、発行されたSet-CASMailboxコマンドが失敗していました。適切なデータが送信されるようになりました。[CXM-53759]
- 新しいデバイスを処理するとき、Exchangeはしばらくの間(通常15分間)状態を「DeviceDiscovery」として返すことがあります。XenMobile Mail Managerはこの状態を特別に処理していませんでした。XenMobile Mail Managerは現在この状態を処理します。UIのMonitorタブで、ユーザーはこの状態のデバイスをフィルタリングできます。[CXM-53840]
- XenMobile Mail Managerは、XenMobile Mail Managerデータベースへの書き込み権限をチェックしていませんでした。その結果、権限が制限されている場合、動作を予測できませんでした。XenMobile Mail Managerは、データベースから必要な権限をキャプチャして検証するようになりました。XenMobile Mail Managerは、接続テスト時(メッセージが表示される)またはメインのConfigureウィンドウの下部にあるデータベースインジケーター(メッセージを表示するためにホバー)で、権限が低下していることを示します。[CXM-54219]
- 現在のワークロードによっては、指示されたときにXenMobile Mail Managerサービスがすぐに停止しない場合があります。そのため、サービスが応答しない状態にあるように見えました。改善により、進行中のタスクが中断され、より正常なシャットダウンが可能になりました。[CXM-54282]
既知の制限事項
注:
以下の制限はバージョン 10.1.6 で解決されています。
XenMobile Mail Manager には、Exchange へのコマンドが失敗する原因となる既知の制限があります。Exchange にポリシー変更を適用するために、XenMobile Mail Manager は Set_CASMailbox コマンドを発行します。このコマンドは、許可するデバイスとブロックするデバイスの2つのリストを受け取ることができます。このコマンドは、メールボックスと連携しているデバイスに適用されます。
これらのリストは、Microsoft API によってそれぞれ256文字に制限されています。これらのリストのいずれかが制限を超えると、コマンド全体が失敗し、そのメールボックスのデバイスに対するすべてのポリシーが設定されなくなります。XenMobile Mail Manager のログに表示される報告されたエラーは、次のようになります。この例はブロックされたリストに関するものです。
“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”
デバイスIDの長さは様々ですが、約10台以上のデバイスが同時に許可またはブロックされると、制限を超える可能性があるという目安があります。特定のメールボックスにこれほど多くのデバイスが関連付けられていることは稀ですが、可能性としてはあり得ます。XenMobile Mail Manager がこのようなシナリオを処理できるように改善されるまで、ユーザーとメールボックスに関連付けられるデバイスの数を10以下に制限することをお勧めします。 [CXM-52633]
バージョン 10.1.4 の新機能
XenMobile Mail Manager バージョン 10.1.4 には、以下の修正された問題が含まれています。
- セキュリティの脆弱化のため、TLS 1.0 は PCI Council によって非推奨とされています。XenMobile Mail Manager に TLS 1.1 および 1.2 のサポートが追加されました。 [CXM-38573, CXM-32560]
- XenMobile Mail Manager に新しい診断ファイルが追加されました。Exchange の仕様で Enable Diagnostics が選択されている場合、新しいスナップショット履歴ファイルが生成されます。スナップショットの試行ごとに、スナップショットの結果がファイルに1行追加されます。 [CXM-49631]
- コマンド診断ファイルでは、Set-CASMailbox コマンドに対して許可またはブロックされたデバイスのリストが表示されませんでした。代わりに、関連する引数に対して内部クラス名がファイルに表示されていました。XenMobile Mail Manager は現在、デバイスIDのリストをコンマ区切りのリストとして表示します。 [CXM-50693]
- 不適切な仕様により Exchange への接続の取得が失敗した場合、エラーメッセージが誤ったメッセージ「All connections in use」で上書きされていました。現在では、「All connections are inoperable」、「Connection pool is empty」、「All connections are throttled」、「No available connections」などの、より詳細なメッセージが表示されます。 [CXM-50783]
- 許可/ブロック/ワイプコマンドが XenMobile Mail Manager の内部キャッシュに複数回キューイングされることがありました。この問題により、コマンドが Exchange に送信されるまでに遅延が発生していました。XenMobile Mail Manager は現在、各コマンドのインスタンスを1つだけキューイングします。 [CXM-51524]
バージョン 10.1.3 の新機能
- Google Analytics のサポート: XenMobile Mail Manager の利用状況を把握し、製品改善に注力できるようにします。
- 診断を有効にする設定: 構成ダイアログボックスの構成コンソールに、Enable Diagnostic チェックボックスが表示されます。
バージョン 10.1.3 で修正された問題
- スナップショット履歴ウィンドウで、スナップショットの現在の状態を示すツールチップが実際の状態を反映していませんでした。 [CXM-5570] XenMobile Mail Manager がコマンド診断ファイルに書き込めないことがありました。この場合、コマンド履歴が完全にログに記録されませんでした。 [CXM-49217]
- 接続でエラーが発生した場合、その接続が「エラー状態」としてマークされないことがありました。その結果、後続のコマンドがその接続を使用しようとして、別のエラーを引き起こす可能性がありました。 [CXM-49495]
- Exchange Server からのスロットリングが発生した場合、Check Health ルーチンで例外がスローされることがありました。その結果、エラーが発生した接続や期限切れの接続がパージされない可能性がありました。また、XenMobile Mail Manager はスロットリング時間が期限切れになるまで接続を作成しない可能性がありました。 [CXM-49794]
- Exchange の最大セッション数を超過した場合、XenMobile Mail Manager は「Device Capture Failed」という正確ではないエラーを報告していました。代わりに、XenMobile Mail Manager が通常 Exchange 通信に使用する2つのセッションが使用中であることを示すメッセージが表示されるべきです。 [CXM-49994]
バージョン 10.1.2 の新機能
- Exchange への接続の改善: XenMobile Mail Manager は PowerShell セッションを使用して Exchange と通信します。PowerShell セッションは、特に Office 365 を扱う場合、しばらくすると不安定になり、後続のコマンドの成功を妨げる可能性があります。XenMobile Mail Manager は接続の有効期限を設定できるようになりました。接続が有効期限に達すると、XenMobile Mail Manager は PowerShell セッションを正常にシャットダウンし、新しいセッションを作成します。これにより、PowerShell セッションが不安定になる可能性が低くなり、スナップショットの失敗の可能性が大幅に減少します。
- スナップショットワークフローの改善: 主要なスナップショットは、時間とプロセスを大量に消費する操作です。スナップショット中にエラーが発生した場合、XenMobile Mail Manager はスナップショットを完了するために複数回(最大3回)試行するようになりました。後続の試行は最初から開始されません。XenMobile Mail Manager は中断したところから続行します。この機能強化により、スナップショットの進行中に一時的なエラーを通過させることで、スナップショットの成功率が全体的に向上します。
- 診断機能の改善: スナップショット中にオプションで生成される3つの新しい診断ファイルにより、スナップショット操作のトラブルシューティングが容易になりました。これらのファイルは、PowerShell コマンドの問題、情報が不足しているメールボックス、およびメールボックスに関連付けられないデバイスを特定するのに役立ちます。管理者はこれらのファイルを使用して、Exchange 内で正しくない可能性のあるデータを特定できます。
- メモリ使用量の改善: XenMobile Mail Manager はメモリ使用においてより効率的になりました。管理者は、システムをクリーンな状態にするために、XenMobile Mail Manager を自動的に再起動するようにスケジュールできます。
- Microsoft .NET Framework 4.6 の前提条件: Microsoft .NET Framework の前提条件はバージョン 4.6 になりました。
修正された問題
- 資格情報のプロンプトエラー: Office 365 セッションの不安定性がこのエラーの原因となることがよくありました。「Exchange への接続の改善」機能強化により、この問題が解決されます。(XMHELP-293, XMHELP-311, XMHELP-801)
- メールボックスとデバイスのカウントの不正確さ: XenMobile Mail Manager には、メールボックスとデバイスの関連付けアルゴリズムが改善されました。「診断機能の改善」機能は、XenMobile Mail Manager がその責任範囲外と見なすメールボックスとデバイスの特定に役立ちます。(XMHELP-623)
- 許可/ブロック/ワイプコマンドが認識されない: XenMobile Mail Manager の許可/ブロック/ワイプコマンドが認識されないことがあるバグが修正されました。(XMHELP-489)
- メモリ管理: メモリ管理と軽減策が改善されました。(XMHELP-419)
アーキテクチャ
次の図は、Endpoint Management connector for Exchange ActiveSync の主要コンポーネントを示しています。詳細なリファレンスアーキテクチャ図については、「アーキテクチャ」を参照してください。
主要な3つのコンポーネントは次のとおりです。
- Exchange ActiveSync アクセス制御管理: XenMobile と通信して XenMobile から Exchange ActiveSync ポリシーを取得し、このポリシーをローカルで定義されたポリシーとマージして、Exchange へのアクセスを許可または拒否すべき Exchange ActiveSync デバイスを決定します。ローカルポリシーにより、Active Directory グループ、ユーザー、デバイスタイプ、またはデバイスユーザーエージェント(通常はモバイルプラットフォームのバージョン)によるアクセス制御を許可するようにポリシー規則を拡張できます。
- リモート PowerShell 管理: Exchange ActiveSync アクセス制御管理によってコンパイルされたポリシーを実行するためのリモート PowerShell コマンドのスケジュール設定と呼び出しを担当します。定期的に Exchange ActiveSync データベースのスナップショットを取得し、新規または変更された Exchange ActiveSync デバイスを検出します。
- モバイルサービスプロバイダー: XenMobile が Exchange ActiveSync のクエリ、Blackberry デバイスのクエリ、および ActiveSync および Blackberry デバイスに対するワイプなどの制御操作を発行できるように、Web サービスインターフェイスを提供します。
システム要件と前提条件
Endpoint Management connector for Exchange ActiveSync を使用するには、以下の最小システム要件が必要です。
- Windows Server 2016、Windows Server 2012 R2、または Windows Server 2008 R2 Service Pack 1。英語ベースのサーバーである必要があります。Windows Server 2008 R2 Service Pack 1 のサポートは2020年1月14日に終了し、Windows Server 2012 R2 のサポートは2023年10月10日に終了します。
- Microsoft SQL Server 2016 Service Pack 2 または SQL Server 2014 Service Pack 3。
- Microsoft .NET Framework 4.6。
- Blackberry Enterprise Service、バージョン 5(オプション)。
Microsoft Exchange Server の最小サポートバージョン:
- Microsoft Office 365
- Exchange Server 2016
- Exchange Server 2013(サポートは2023年4月11日に終了)
- Exchange Server 2010 Service Pack 3(サポートは2020年1月14日に終了)
前提条件
- Windows Management Framework がインストールされている必要があります。
- PowerShell V5、V4、および V3
- PowerShell 実行ポリシーは、Set-ExecutionPolicy RemoteSigned を介して RemoteSigned に設定されている必要があります。
-
Endpoint Management connector for Exchange ActiveSync を実行しているコンピューターとリモート Exchange Server の間で TCP ポート 80 が開いている必要があります。
-
デバイスのメールクライアント: すべてのメールクライアントがデバイスに対して常に同じ ActiveSync ID を返すわけではありません。Endpoint Management connector for Exchange ActiveSync は各デバイスに対して一意の ActiveSync ID を期待するため、各デバイスに対して常に同じ一意の ActiveSync ID を生成するメールクライアントのみがサポートされます。これらのメールクライアントは Citrix によってテストされ、エラーなしで動作しました。
- Samsung ネイティブメールクライアント
- iOS ネイティブメールクライアント
-
Exchange: Exchange を実行するオンプレミスコンピューターの要件は次のとおりです。
Exchange 構成 UI で指定された資格情報は、Exchange Server に接続でき、以下の Exchange 固有の PowerShell コマンドレットを実行するためのフルアクセス権が付与されている必要があります。
-
Exchange Server 2010 SP2 の場合:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Clear-ActiveSyncDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
-
Exchange Server 2013 および Exchange Server 2016 の場合:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-MobileDevice
- Get-MobileDeviceStatistics
- Clear-MobileDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
- Endpoint Management connector for Exchange ActiveSync がフォレスト全体を表示するように構成されている場合、Set-AdServerSettings -ViewEntireForest $true を実行する権限が付与されている必要があります。
- 提供された資格情報には、リモートシェルを介して Exchange Server に接続する権限が付与されている必要があります。デフォルトでは、Exchange をインストールしたユーザーがこの権限を持っています。
- リモート接続を確立し、リモートコマンドを実行するには、資格情報がリモートマシンの管理者であるユーザーに対応している必要があります。Set-PSSessionConfiguration を使用して管理要件を排除できますが、そのコマンドの説明はこのドキュメントの範囲外です。詳細については、Microsoft の記事「About Session Configurations」を参照してください。
- Exchange Server は、HTTP を介したリモート PowerShell 要求をサポートするように構成されている必要があります。通常、Exchange Server で次の PowerShell コマンドを実行するだけで十分です: WinRM QuickConfig。
- Exchange には多くのスロットリングポリシーがあります。ポリシーの1つは、ユーザーごとに許可される同時 PowerShell 接続の数を制御します。Exchange 2010 では、ユーザーに許可される同時接続のデフォルト数は18です。接続制限に達すると、Endpoint Management connector for Exchange ActiveSync は Exchange Server に接続できません。PowerShell を介して許可される同時接続の最大数を変更する方法がありますが、このドキュメントの範囲外です。興味がある場合は、PowerShell を使用したリモート管理に関連する Exchange スロットリングポリシーを調べてください。
-
Exchange Server 2010 SP2 の場合:
Office 365 Exchange の要件
-
権限: Exchange 構成 UI で指定された資格情報は、Office 365 に接続でき、以下の Exchange 固有の PowerShell コマンドレットを実行するためのフルアクセス権が付与されている必要があります。
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-MobileDevice
- Get-MobileDeviceStatistics
- Clear-MobileDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
- 特権: 提供された資格情報には、リモートシェルを介して Office 365 サーバーに接続する権限が付与されている必要があります。デフォルトでは、Office 365 オンライン管理者が必要な特権を持っています。
- スロットリングポリシー: Exchange には多くのスロットリングポリシーがあります。ポリシーの1つは、ユーザーごとに許可される同時 PowerShell 接続の数を制御します。Office 365 では、ユーザーに許可される同時接続のデフォルト数は3です。接続制限に達すると、Endpoint Management connector for Exchange ActiveSync は Exchange Server に接続できません。PowerShell を介して許可される同時接続の最大数を変更する方法がありますが、このドキュメントの範囲外です。興味がある場合は、PowerShell を使用したリモート管理に関連する Exchange スロットリングポリシーを調べてください。
インストールと構成
-
XmmSetup.msi ファイルをクリックし、インストーラーの指示に従って Endpoint Management connector for Exchange ActiveSync をインストールします。
-
セットアップウィザードの最後の画面で、[Configure utility を起動] を選択したままにします。または、[スタート] メニューから Endpoint Management connector for Exchange ActiveSync を開きます。
-
次のデータベースプロパティを設定します。
- [Configure] > [Database] タブを選択します。
- SQL Server の名前を入力します (デフォルトは localhost)。
- データベースはデフォルトの CitrixXmm のままにします。
-
SQL に使用する次の認証モードのいずれかを選択します。
- SQL: 有効な SQL ユーザーのユーザー名とパスワードを入力します。
- Windows Integrated: このオプションを選択した場合、Endpoint Management connector for Exchange ActiveSync Service のログオン資格情報を、SQL Server へのアクセス権を持つ Windows アカウントに変更する必要があります。これを行うには、[コントロールパネル] > [管理ツール] > [サービス] を開き、Endpoint Management connector for Exchange ActiveSync Service エントリを右クリックして、[ログオン] タブをクリックします。
BlackBerry データベース接続にも Windows Integrated が選択されている場合、ここで指定された Windows アカウントにも BlackBerry データベースへのアクセス権を付与する必要があります。
-
[接続テスト] をクリックして SQL Server への接続が可能であることを確認し、[保存] をクリックします。
-
サービスを再起動するよう促すメッセージが表示されます。[はい] をクリックします。
-
1 つ以上の Exchange Server を設定します。
- 単一の Exchange 環境を管理している場合は、単一のサーバーのみを指定します。複数の Exchange 環境を管理している場合は、各 Exchange 環境に単一の Exchange Server を指定します。
- [Configure] > [Exchange] タブをクリックし、[追加] をクリックします。
-
Exchange Server 環境のタイプとして、[オンプレミス] または [Office 365] を選択します。
- [オンプレミス] を選択した場合は、Remote PowerShell コマンドに使用する Exchange Server の名前を入力します。
- 要件セクションで指定されているように、Exchange Server 上で適切な権限を持つ Windows ID のユーザー名を入力し、そのユーザーのパスワードを入力します。
- メジャースナップショットを実行するスケジュールを選択します。メジャースナップショットは、すべての Exchange ActiveSync パートナーシップを検出します。
- マイナースナップショットを実行するスケジュールを選択します。マイナースナップショットは、新しく作成された Exchange ActiveSync パートナーシップを検出します。
- スナップショットタイプとして、[ディープ] または [シャロー] を選択します。シャロースナップショットは通常はるかに高速で、Endpoint Management connector for Exchange ActiveSync のすべての Exchange ActiveSync アクセス制御機能を実行するのに十分です。ディープスナップショットは時間がかかる場合があり、ActiveSync 用にモバイルサービスプロバイダーが有効になっている場合にのみ必要です。このオプションにより、XenMobile は管理対象外のデバイスを照会できます。
- デフォルトアクセスとして、[許可]、[ブロック]、または [変更なし] を選択します。この設定は、明示的な XenMobile またはローカルルールによって識別されたデバイス以外のすべてのデバイスの処理方法を制御します。[許可] を選択すると、そのようなすべてのデバイスへの ActiveSync アクセスが許可されます。[ブロック] を選択すると、アクセスが拒否されます。[変更なし] を選択すると、変更は行われません。
- ActiveSync コマンドモードとして、[PowerShell] または [シミュレーション] を選択します。
- PowerShell モードでは、Endpoint Management connector for Exchange ActiveSync は PowerShell コマンドを発行して、目的のアクセス制御を実行します。シミュレーションモードでは、Endpoint Management connector for Exchange ActiveSync は PowerShell コマンドを発行しませんが、意図されたコマンドと意図された結果をデータベースにログ記録します。シミュレーションモードでは、ユーザーは [監視] タブを使用して、PowerShell モードが有効になっていた場合に何が起こったかを確認できます。
- [接続の有効期限] で、接続の有効期間を時間と分で設定します。接続が指定された期間に達すると、その接続は期限切れとしてマークされ、二度と使用されなくなります。期限切れの接続が使用されなくなると、Endpoint Management connector for Exchange ActiveSync は接続を正常にシャットダウンします。接続が再度必要になったときに、利用可能な接続がない場合は、新しい接続が初期化されます。何も指定されていない場合、デフォルトの 30 分が使用されます。
- [フォレスト全体を表示] を選択して、Endpoint Management connector for Exchange ActiveSync が Exchange 環境内の Active Directory フォレスト全体を表示するように設定します。
- 認証プロトコルとして、[Kerberos] または [Basic] を選択します。Endpoint Management connector for Exchange ActiveSync は、オンプレミス展開の基本認証をサポートしています。これにより、Endpoint Management connector for Exchange ActiveSync サーバーが Exchange サーバーが存在するドメインのメンバーではない場合でも、Endpoint Management connector for Exchange ActiveSync を使用できます。
- [接続テスト] をクリックして Exchange Server への接続が可能であることを確認し、[保存] をクリックします。
- サービスを再起動するよう促すメッセージが表示されます。[はい] をクリックします。
-
アクセスルールを設定します。[Configure] > [Access Rules] タブを選択し、[XMS Rules] タブをクリックして、[追加] をクリックします。
-
[XenMobile server Service Properties] ページで、URL 文字列を XenMobile Server を指すように変更します。たとえば、インスタンス名が zdm の場合、
https://<XdmHostName>/zdm/services/MagConfigServiceと入力します。この例では、XdmHostName を XenMobile Server の IP アドレスまたは DNS アドレスに置き換えます。
- サーバーの認証済みユーザーを入力します。
- ユーザーのパスワードを入力します。
- [ベースライン間隔]、[デルタ間隔]、および [タイムアウト] の値はデフォルトのままにします。
- [接続テスト] をクリックしてサーバーへの接続を確認し、[OK] をクリックします。
[無効] チェックボックスが選択されている場合、XenMobile Mail Service は XenMobile からポリシーを収集しません。
-
[ローカルルール] タブをクリックします。
- ActiveSync デバイス ID、デバイスタイプ、AD グループ、ユーザー、またはデバイスの UserAgent に基づいてローカルルールを追加できます。リストから適切なタイプを選択します。
- テキストボックスにテキストまたはテキストフラグメントを入力します。必要に応じて、クエリボタンをクリックして、フラグメントに一致するエンティティを表示します。
グループ以外のすべてのタイプでは、システムはスナップショットで見つかったデバイスに依存します。したがって、開始したばかりでスナップショットが完了していない場合、エンティティは利用できません。
- テキスト値を選択し、[許可] または [拒否] をクリックして、右側の [ルールリスト] ペインに追加します。[ルールリスト] ペインの右側にあるボタンを使用して、ルールの順序を変更したり、削除したりできます。特定のユーザーとデバイスの場合、ルールは表示されている順序で評価され、上位のルール (上部に近いルール) に一致すると、それ以降のルールは効果がなくなるため、順序は重要です。たとえば、すべての iPad デバイスを許可するルールがあり、その後にユーザー Matt をブロックするルールがある場合でも、iPad ルールが Matt ルールよりも実質的な優先順位が高いため、Matt の iPad は引き続き許可されます。
- ルールリスト内のルールの分析を実行して、潜在的なオーバーライド、競合、または補足的な構成を見つけるには、[分析] をクリックし、[保存] をクリックします。
-
Active Directory グループに対して動作するローカルルールを作成する場合は、[LDAP の設定] をクリックし、LDAP 接続プロパティを設定します。
-
モバイルサービスプロバイダーを設定します。
モバイルサービスプロバイダーはオプションです。この設定は、XenMobile が管理対象外のデバイスを照会するためにモバイルサービスプロバイダーインターフェイスを使用するように設定されている場合にのみ必要です。
- [Configure] > [MSP] タブをクリックします。
- モバイルサービスプロバイダーサービスに対して、サービストランスポートタイプを HTTP または HTTPS に設定します。
- モバイルサービスプロバイダーサービスに対して、サービスポート (通常は 80 または 443) を設定します。ポート 443 を使用する場合、そのポートには IIS でバインドされた SSL 証明書が必要です。
- [承認グループ] または [ユーザー] を設定します。これにより、XenMobile からモバイルサービスプロバイダーサービスに接続できるユーザーまたはユーザーのセットが設定されます。
- ActiveSync クエリが有効になっているかどうかを設定します。XenMobile Server で ActiveSync クエリが有効になっている場合、1 つ以上の Exchange Server のスナップショットタイプを [ディープ] に設定する必要があります。この設定は、スナップショットの取得に大きなパフォーマンスコストを伴う可能性があります。
- デフォルトでは、正規表現 WorxMail.* に一致する ActiveSync デバイスは XenMobile に送信されません。この動作を変更するには、必要に応じて [ActiveSync のフィルター] フィールドを変更します。 空白の場合、すべてのデバイスが XenMobile に転送されます。
- [保存] をクリックします。
-
オプションで、1 つ以上の BlackBerry Enterprise Server (BES) インスタンスを設定します。[追加] をクリックし、BES SQL Server のサーバー名を入力します。
- BES 管理データベースのデータベース名を入力します。
- [認証] モードを選択します。Windows Integrated 認証を選択した場合、Endpoint Management connector for Exchange ActiveSync サービスのユーザーアカウントが BES SQL Server への接続に使用されるアカウントになります。Endpoint Management connector for Exchange ActiveSync データベース接続にも Windows Integrated を選択した場合、ここで指定された Windows アカウントにも Endpoint Management connector for Exchange ActiveSync データベースへのアクセス権を付与する必要があります。
- [SQL 認証] を選択した場合は、ユーザー名とパスワードを入力します。
- [同期スケジュール] を設定します。これは、BES SQL Server に接続し、デバイスの更新を確認するために使用されるスケジュールです。
- [接続テスト] をクリックして SQL Server への接続を確認します。Windows Integrated を選択した場合、このテストは現在ログオンしているユーザーを使用し、Endpoint Management connector for Exchange ActiveSync サービスユーザーは使用しないため、SQL 認証を正確にテストするものではありません。
- XenMobile から BlackBerry デバイスのリモートワイプとパスワードリセットをサポートするには、[有効] チェックボックスを選択します。
- BES の完全修飾ドメイン名 (FQDN) を入力します。
- 管理 Web サービスに使用される BES ポートを入力します。
- BES サービスで必要な完全修飾ユーザーとパスワードを入力します。
- [接続テスト] をクリックして BES への接続をテストします。
- [保存] をクリックします。
ActiveSync ID を使用したメールポリシーの適用
企業メールポリシーでは、特定のデバイスが企業メールの使用に承認されていない場合があります。このポリシーに従うために、従業員がそのようなデバイスから企業メールにアクセスできないようにする必要があります。Endpoint Management connector for Exchange ActiveSync と XenMobile は連携して、このようなメールポリシーを適用します。XenMobile は企業メールアクセスのポリシーを設定し、承認されていないデバイスが XenMobile に登録されると、Endpoint Management connector for Exchange ActiveSync がポリシーを適用します。
デバイス上のメールクライアントは、デバイスを識別するために使用される ActiveSync ID とも呼ばれるデバイス ID を使用して、Exchange Server (または Office 365) に自身をアドバタイズします。Secure Hub は同様の識別子を取得し、デバイスが登録されると XenMobile にその識別子を送信します。2 つのデバイス ID を比較することで、Endpoint Management connector for Exchange ActiveSync は特定のデバイスが企業メールアクセスを持つべきかどうかを判断できます。次の図はこの概念を示しています。
XenMobileがEndpoint Management connector for Exchange ActiveSyncに、デバイスがExchangeに公開するIDとは異なるActiveSync IDを送信した場合、Endpoint Management connector for Exchange ActiveSyncは、そのデバイスに対して何をすべきかをExchangeに指示できません。
ActiveSync IDの一致はほとんどのプラットフォームで確実に機能します。しかし、Citrixは一部のAndroid実装において、デバイスからのActiveSync IDがメールクライアントがExchangeに通知するIDと異なることを発見しました。この問題を軽減するには、次の操作を実行できます。
- Samsung SAFEプラットフォームでは、XenMobileからデバイスのActiveSync構成をプッシュします。
企業メールアクセスポリシーが適切に適用されることを保証するために、防御的なセキュリティ体制を採用し、Endpoint Management connector for Exchange ActiveSyncを構成して、静的ポリシーをデフォルトで拒否に設定することでメールをブロックできます。これは、従業員がAndroidデバイスでメールクライアントを構成し、ActiveSync ID検出が適切に機能しない場合、従業員は企業メールアクセスを拒否されることを意味します。
アクセス制御ルール
Endpoint Management connector for Exchange ActiveSyncは、Exchange ActiveSyncデバイスのアクセス制御を動的に構成するためのルールベースのアプローチを提供します。Endpoint Management connector for Exchange ActiveSyncのアクセス制御ルールは、マッチング式と目的のアクセス状態(許可またはブロック)の2つの部分で構成されます。ルールは、特定のExchange ActiveSyncデバイスに対して評価され、そのルールがデバイスに適用されるか、またはデバイスと一致するかを判断します。マッチング式には複数の種類があります。たとえば、特定のデバイスタイプ、特定のExchange ActiveSyncデバイスID、または特定のユーザーのすべてのデバイスなどに一致するルールがあります。
ルールリスト内のルールの追加、削除、再配置のどの時点でも、[キャンセル] ボタンをクリックすると、ルールリストは最初に開いたときの状態に戻ります。[保存] をクリックしない限り、このウィンドウで行われた変更は、構成ツールを閉じると失われます。
Endpoint Management connector for Exchange ActiveSyncには、ローカルルール、XenMobile Serverルール(XDMルールとも呼ばれる)、およびデフォルトアクセスルールの3種類のルールがあります。
ローカルルール: ローカルルールは最も高い優先順位を持ちます。デバイスがローカルルールに一致した場合、ルール評価は停止します。XenMobile Serverルールもデフォルトアクセスルールも参照されません。ローカルルールは、[構成] > [アクセスルール] > [ローカルルール] タブを介してEndpoint Management connector for Exchange ActiveSyncにローカルで構成されます。マッチングは、特定のActive Directoryグループ内のユーザーのメンバーシップに基づいています。マッチングは、以下のフィールドの正規表現に基づいています。
- ActiveSyncデバイスID
- ActiveSyncデバイスタイプ
- ユーザープリンシパル名 (UPN)
- ActiveSyncユーザーエージェント(通常はデバイスプラットフォームまたはメールクライアント)
メジャースナップショットが完了し、デバイスが検出されている限り、通常ルールまたは正規表現ルールのいずれかを追加できます。メジャースナップショットが完了していない場合は、正規表現ルールのみを追加できます。
XenMobile Serverルール: XenMobile Serverルールは、管理対象デバイスに関するルールを提供する外部XenMobile Serverへの参照です。XenMobile Serverは、デバイスがジェイルブレイクされているか、禁止されたアプリが含まれているかなど、XenMobileに既知のプロパティに基づいて許可またはブロックされるデバイスを識別する独自の高レベルルールで構成できます。XenMobileは高レベルルールを評価し、許可またはブロックされたActiveSyncデバイスIDのセットを生成し、それがEndpoint Management connector for Exchange ActiveSyncに配信されます。
デフォルトアクセスルール: デフォルトアクセスルールは、すべてのデバイスに一致する可能性があり、常に最後に評価されるという点でユニークです。このルールはキャッチオールルールであり、特定のデバイスがローカルルールまたはXenMobile Serverルールに一致しない場合、デバイスの目的のアクセス状態はデフォルトアクセスルールの目的のアクセス状態によって決定されることを意味します。
- デフォルトアクセス – 許可: ローカルルールまたはXenMobile Serverルールのいずれにも一致しないデバイスはすべて許可されます。
- デフォルトアクセス – ブロック: ローカルルールまたはXenMobile Serverルールのいずれにも一致しないデバイスはすべてブロックされます。
- デフォルトアクセス – 変更なし: ローカルルールまたはXenMobile Serverルールのいずれにも一致しないデバイスは、Endpoint Management connector for Exchange ActiveSyncによってアクセス状態が変更されることはありません。デバイスがExchangeによって検疫モードに置かれている場合、アクションは実行されません。たとえば、検疫モードからデバイスを削除する唯一の方法は、明示的なローカルルールまたはXDMルールで検疫を上書きすることです。
ルール評価について
ExchangeがEndpoint Management connector for Exchange ActiveSyncに報告する各デバイスについて、ルールは優先順位の高いものから低いものへと次のように順次評価されます。
- ローカルルール
- XenMobile Serverルール
- デフォルトアクセスルール
一致が見つかると、評価は停止します。たとえば、ローカルルールが特定のデバイスに一致した場合、そのデバイスはXenMobile Serverルールやデフォルトアクセスルールのいずれに対しても評価されません。これは、特定のルールタイプ内でも同様です。たとえば、ローカルルールリスト内の特定のデバイスに対して複数のマッチがある場合、最初の一致が検出された時点で評価は停止します。
Endpoint Management connector for Exchange ActiveSyncは、デバイスのプロパティが変更されたとき、デバイスが追加または削除されたとき、またはルール自体が変更されたときに、現在定義されているルールセットを再評価します。メジャースナップショットは、構成可能な間隔でデバイスのプロパティの変更と削除を検出します。マイナースナップショットは、構成可能な間隔で新しいデバイスを検出します。
Exchange ActiveSyncにもアクセスを管理するルールがあります。これらのルールがEndpoint Management connector for Exchange ActiveSyncのコンテキストでどのように機能するかを理解することが重要です。Exchangeは、個人免除、デバイスルール、組織設定の3つのレベルのルールで構成できます。Endpoint Management connector for Exchange ActiveSyncは、リモートPowerShellリクエストをプログラムで発行して個人免除リストに影響を与えることにより、アクセス制御を自動化します。これらは、特定のメールボックスに関連付けられた、許可またはブロックされたExchange ActiveSyncデバイスIDのリストです。展開されると、Endpoint Management connector for Exchange ActiveSyncは、Exchange内の免除リスト機能の管理を効果的に引き継ぎます。詳細については、Microsoftの記事「Controlling Device Access」を参照してください。
分析は、同じフィールドに対して複数のルールが定義されている状況で役立ちます。ルール間の関係をトラブルシューティングできます。ルールフィールドの観点から分析を実行します。たとえば、ActiveSyncデバイスID、ActiveSyncデバイスタイプ、ユーザー、ユーザーエージェントなど、一致するフィールドに基づいてルールがグループで分析されます。
ルール用語
- 上書きルール: 上書きは、複数のルールが同じデバイスに適用できる場合に発生します。ルールはリスト内の優先順位によって評価されるため、適用される可能性のある後続のルールインスタンスは評価されない場合があります。
- 競合ルール: 競合は、複数のルールが同じデバイスに適用される可能性があるが、アクセス(許可/ブロック)が一致しない場合に発生します。競合するルールが正規表現ルールでない場合、競合は常に暗黙的に上書きを意味します。
- 補足ルール: 補足は、複数のルールが正規表現ルールであり、2つ(またはそれ以上)の正規表現を単一の正規表現ルールに結合できるか、または機能が重複していないことを確認する必要がある場合に発生します。補足ルールは、そのアクセス(許可/ブロック)において競合する可能性もあります。
- プライマリルール: プライマリルールは、ダイアログボックス内でクリックされたルールです。ルールは、それを囲む実線の境界線によって視覚的に示されます。ルールには、上または下を指す1つまたは2つの緑色の矢印も表示されます。矢印が上を指している場合、それはプライマリルールに先行する補助ルールがあることを示します。矢印が下を指している場合、それはプライマリルールの後に来る補助ルールがあることを示します。一度にアクティブにできるプライマリルールは1つだけです。
- 補助ルール: 補助ルールは、上書き、競合、または補足関係のいずれかを通じて、プライマリルールに何らかの形で関連しています。ルールは、それらを囲む破線の境界線によって視覚的に示されます。各プライマリルールには、1つから多数の補助ルールが存在できます。下線が引かれたエントリをクリックすると、強調表示される補助ルールは常にプライマリルールの観点からのものです。たとえば、補助ルールはプライマリルールによって上書きされ、および/または補助ルールはそのアクセスにおいてプライマリルールと競合し、および/または補助ルールはプライマリルールを補足します。
ルール分析ダイアログボックスでのルールタイプの表示方法
競合、上書き、または補足がない場合、ルール分析ダイアログボックスには下線付きのエントリはありません。いずれかの項目をクリックしても影響はありません。たとえば、通常の選択された項目の視覚表示が行われます。
ルール分析ウィンドウにはチェックボックスがあり、選択すると、競合、上書き、冗長性、または補足であるルールのみが表示されます。
上書きが発生すると、少なくとも2つのルール(プライマリルールと補助ルール)に下線が引かれます。少なくとも1つの補助ルールは、より薄いフォントで表示され、そのルールがより高い優先順位のルールによって上書きされたことを示します。上書きされたルールをクリックすると、どのルールがそのルールを上書きしたかを確認できます。上書きされたルールがプライマリルールまたは補助ルールであるために強調表示された場合、その横に黒い丸が表示され、そのルールが非アクティブであることをさらに視覚的に示します。たとえば、ルールをクリックする前は、ダイアログボックスは次のように表示されます。
最も優先順位の高いルールをクリックすると、ダイアログボックスは次のように表示されます。
この例では、正規表現ルール WorkMail.* がプライマリルール(実線で示される)であり、通常ルール workmailc633313818 が補助ルール(破線で示される)です。補助ルールの横にある黒い点は、先行するより高い優先順位の正規表現ルールにより、そのルールが非アクティブ(評価されることはない)であることをさらに示す視覚的な手がかりです。上書きされたルールをクリックすると、ダイアログボックスは次のように表示されます。
上記の例では、正規表現ルール WorkMail.* が補助ルール(破線で示される)であり、通常ルール workmailc633313818 がプライマリルール(実線で示される)です。この単純な例では、大きな違いはありません。より複雑な例については、このトピックの後半にある複雑な式の例を参照してください。多くのルールが定義されているシナリオでは、上書きされたルールをクリックすると、どのルールがそれを上書きしたかを迅速に特定できます。
競合が発生すると、少なくとも2つのルール(プライマリルールと補助ルール)に下線が引かれます。競合するルールは赤い点で示されます。互いにのみ競合するルールは、2つ以上の正規表現ルールが定義されている場合にのみ可能です。他のすべての競合シナリオでは、競合だけでなく、上書きも発生します。単純な例でいずれかのルールをクリックする前は、ダイアログボックスは次のように表示されます。
2つの正規表現ルールを検査すると、最初のルールは「App」を含むデバイスIDを持つすべてのデバイスを許可し、2番目のルールは「Appl」を含むデバイスIDを持つすべてのデバイスを拒否することが明らかです。さらに、2番目のルールが「Appl」を含むデバイスIDを持つすべてのデバイスを拒否するにもかかわらず、許可ルールの優先順位が高いため、その条件に一致するデバイスが拒否されることはありません。最初のルールをクリックすると、ダイアログボックスは次のように表示されます。
上記のシナリオでは、プライマリルール(正規表現ルール App.*)と補助ルール(正規表現ルール Appl.*)の両方が黄色で強調表示されています。これは、単一の一致可能なフィールドに複数の正規表現ルールを適用したことを警告する単なる視覚的な警告であり、冗長性の問題またはより深刻な問題を意味する可能性があります。
競合と上書きの両方が発生するシナリオでは、プライマリールール(正規表現ルール App.*)と補助ルール(正規表現ルール Appl.*)の両方が黄色で強調表示されます。これは、単一の一致可能なフィールドに複数の正規表現ルールを適用したことを警告する視覚的なものであり、冗長性の問題、またはより深刻な問題を示している可能性があります。
前の例では、最初のルール(正規表現ルール SAMSUNG.*)が次のルール(通常ルール SAMSUNG-SM-G900A/101.40402)を上書きするだけでなく、2つのルールのアクセス(プライマリは許可、補助はブロック)が異なることが容易にわかります。2番目のルール(通常ルール SAMSUNG-SM-G900A/101.40402)は、上書きされて非アクティブであることを示すために、薄いテキストで表示されます。
正規表現ルールをクリックすると、ダイアログボックスは次のように表示されます。
プライマリールール(正規表現ルール SAMSUNG.*)には赤い点が続き、そのアクセス状態が1つ以上の補助ルールと競合していることを示します。補助ルール(通常ルール SAMSUNG-SM-G900A/101.40402)には赤い点が続き、そのアクセス状態がプライマリールールと競合していることを示します。このルールには黒い点も続き、上書きされて非アクティブであることを示します。
少なくとも2つのルール、つまりプライマリールールと補助ルールが下線で示されます。互いに補完し合うだけのルールは、正規表現ルールのみが関係します。ルールが互いに補完し合う場合、それらは黄色のオーバーレイで示されます。いずれかのルールをクリックする前の簡単な例では、ダイアログボックスは次のように表示されます。
視覚的な検査により、両方のルールが正規表現ルールであり、Endpoint Management connector for Exchange ActiveSync のActiveSyncデバイスIDフィールドに適用されていることが容易に明らかになります。最初のルールをクリックすると、ダイアログボックスは次のように表示されます。
プライマリールール(正規表現ルール WorkMail.*)は、少なくとももう1つの正規表現である補助ルールが存在することを示すために、黄色のオーバーレイで強調表示されます。補助ルール(正規表現ルール SAMSUNG.*)は、それとプライマリールールの両方がEndpoint Management connector for Exchange ActiveSync 内の同じフィールドに適用されている正規表現ルールであることを示すために、黄色のオーバーレイで強調表示されます。この場合、そのフィールドはActiveSyncデバイスIDです。正規表現は重複する場合としない場合があります。正規表現が適切に作成されているかどうかを判断するのはあなた次第です。
複雑な式の例
多くの潜在的な上書き、競合、または補完が発生する可能性があるため、すべての可能なシナリオの例を挙げることは不可能です。次の例では、すべきでないことについて説明するとともに、ルール分析の視覚的構成の全能力を示す役割も果たします。以下の図では、ほとんどの項目に下線が引かれています。多くの項目が薄いフォントで表示され、該当するルールが何らかの形でより高い優先度のルールによって上書きされたことを示しています。さまざまな正規表現ルールも、
アイコンで示されているように、リストに含まれています。
上書きの分析
特定のルールを上書きしたルールを確認するには、そのルールをクリックします。
例 1: この例では、zentrain01@zenprise.com が上書きされた理由を調べます。
プライマリールール(zentrain01@zenprise.com がメンバーであるADグループルール zenprise/TRAINING/ZenTraining B)には、次の特性があります。
- 青色で強調表示され、実線で囲まれています
- 上向きの緑色の矢印があります(補助ルールがすべてその上にあることを示すため)
- 赤い丸と黒い丸の両方が続き、それぞれ1つ以上の補助ルールがそのアクセスと競合していること、およびプライマリールールが上書きされ、したがって非アクティブであることを示します
上にスクロールすると、次のように表示されます。
この場合、プライマリールールを上書きする2つの補助ルールがあります。正規表現ルール zen.* と通常ルール zentrain01@zenprise.com(zenprise/TRAINING/ZenTraining A の)です。後者の補助ルールの場合、Active Directoryグループルール ZenTraining A にユーザー zentrain01@zenprise.com が含まれており、Active Directoryグループルール ZenTraining B にもユーザー zentrain01@zenprise.com が含まれています。ただし、補助ルールがプライマリールールよりも高い優先順位を持つため、プライマリールールは上書きされています。プライマリールールのアクセスは許可であり、補助ルールのアクセスは両方ともブロックであるため、すべてに赤い丸が続き、アクセス競合をさらに示します。
例 2: この例では、ActiveSyncデバイスIDが 069026593E0C4AEAB8DE7DD589ACED33 のデバイスが上書きされた理由を示します。
プライマリールール(通常のデバイスIDルール 069026593E0C4AEAB8DE7DD589ACED33)には、次の特性があります。
- 青色で強調表示され、実線で囲まれています
- 上向きの緑色の矢印があります(補助ルールがその上にあることを示すため)
- 黒い丸が続き、補助ルールがプライマリールールを上書きし、したがって非アクティブであることを示します
この場合、単一の補助ルールがプライマリールールを上書きします。正規表現ActiveSyncデバイスIDルールは 3E.* です。正規表現 3E.* が 069026593E0C4AEAB8DE7DD589ACED33 に一致するため、プライマリールールは評価されません。
補完と競合の分析
この場合、プライマリールールは正規表現ActiveSyncデバイスタイプルール touch.* です。特性は次のとおりです。
- 黄色のオーバーレイが付いた実線で示され、特定のルールフィールド(この場合はActiveSyncデバイスタイプ)に対して複数の正規表現ルールが動作していることへの警告となります
- それぞれ上向きと下向きの2つの矢印があり、優先度の高い補助ルールが少なくとも1つと、優先度の低い補助ルールが少なくとも1つ存在することを示します
- その隣の赤い丸は、少なくとも1つの補助ルールがアクセスを許可に設定しており、それがプライマリールールのブロックアクセスと競合していることを示します
- 2つの補助ルールがあります。正規表現ActiveSyncデバイスタイプルール
SAM.*と正規表現ActiveSyncデバイスタイプルールAndro.*です - 両方の補助ルールは破線で囲まれており、それらが補助であることを示します
- 両方の補助ルールは黄色でオーバーレイされており、それらもActiveSyncデバイスタイプのルールフィールドに適用されていることを示します
- このようなシナリオでは、正規表現ルールが冗長でないことを確認する必要があります
ルールのさらなる分析
この例では、ルール間の関係が常にプライマリールールの視点からどのように行われるかを探ります。前の例では、値が touch.* のデバイスタイプのルールフィールドに適用された正規表現ルールをクリックする方法を示しました。補助ルール Andro.* をクリックすると、異なる一連の補助ルールが強調表示されます。
この例では、ルール関係に含まれる上書きされたルールを示します。このルールは通常のActiveSyncデバイスタイプルール Android であり、上書きされており(薄いフォントとその隣の黒い丸で示されます)、プライマリールールである正規表現ActiveSyncデバイスタイプルール Andro.* とそのアクセスが競合しています。そのルールは、クリックされる前は補助ルールでした。前の例では、通常のActiveSyncデバイスタイプルール Android は、その時点でのプライマリールール(正規表現ActiveSyncデバイスタイプルール touch.*)の視点からは関連していなかったため、補助ルールとして表示されませんでした。
通常の式ローカルルールの構成
- アクセスルールタブをクリックします
-
「デバイスID」リストで、ローカルルールを作成するフィールドを選択します。
-
虫眼鏡アイコンをクリックして、選択したフィールドの一意の一致をすべて表示します。この例では、「デバイスの種類」フィールドが選択されており、選択肢は下のリストボックスに表示されます。
-
結果リストボックスのいずれかの項目をクリックし、次のいずれかのオプションをクリックします。
- 許可は、一致するすべてのデバイスに対してActiveSyncトラフィックを許可するようにExchangeが構成されることを意味します。
- 拒否は、一致するすべてのデバイスに対してActiveSyncトラフィックを拒否するようにExchangeが構成されることを意味します。
この例では、デバイスの種類がSamsungSPhl720であるすべてのデバイスはアクセスを拒否されます。
正規表現の追加
正規表現のローカルルールは、その横に表示されるアイコン - - で区別できます。
正規表現ルールを追加するには、特定のフィールドの結果リストから既存の値に基づいて正規表現ルールを作成するか(メジャースナップショットが完了している場合)、または目的の正規表現を直接入力します。
既存のフィールド値からの正規表現の作成
-
「アクセスルール」タブをクリックします。
-
「デバイスID」リストで、正規表現のローカルルールを作成するフィールドを選択します。
-
虫眼鏡アイコンをクリックして、選択したフィールドの一意の一致をすべて表示します。この例では、「デバイスの種類」フィールドが選択されており、選択肢は下のリストボックスに表示されます。
-
結果リストのいずれかの項目をクリックします。この例では、「SAMSUNGSPHL720」が選択され、「デバイスの種類」の横のテキストボックスに表示されます。
-
デバイスの種類値に「Samsung」を含むすべてのデバイスの種類を許可するには、次の手順に従って正規表現ルールを追加します。
-
選択した項目テキストボックス内をクリックします。
-
テキストを「SAMSUNGSPHL720」から「SAMSUNG.*」に変更します。
-
正規表現チェックボックスが選択されていることを確認します。
-
「許可」をクリックします。
-
アクセスルールの作成
- 「ローカルルール」タブをクリックします。
-
正規表現を入力するには、デバイスIDリストと選択した項目テキストボックスの両方を使用する必要があります。
- 照合するフィールドを選択します。この例では、デバイスの種類を使用します。
- 正規表現を入力します。この例では
samsung.*を使用します。 -
正規表現チェックボックスが選択されていることを確認し、「許可」または「拒否」をクリックします。この例では、「許可」を選択します。最終結果は次のとおりです。
デバイスの検索
正規表現チェックボックスを選択すると、指定された表現に一致する特定のデバイスを検索できます。この機能は、メジャースナップショットが正常に完了した場合にのみ利用可能です。正規表現ルールを使用する予定がない場合でも、この機能を使用できます。たとえば、ActiveSyncデバイスIDに「workmail」というテキストを含むすべてのデバイスを検索したいとします。これを行うには、次の手順に従います。
- 「アクセスルール」タブをクリックします。
-
デバイス一致フィールドセレクターがデバイスID(デフォルト)に設定されていることを確認します。
- 選択した項目テキストボックス内(前の図で青色で示されている部分)をクリックし、「
workmail.*」と入力します。 -
正規表現チェックボックスが選択されていることを確認し、虫眼鏡アイコンをクリックして、次の図に示すように一致を表示します。
静的ルールへの個々のユーザー、デバイス、またはデバイスの種類の追加
「ActiveSyncデバイス」タブで、ユーザー、デバイスID、またはデバイスの種類に基づいて静的ルールを追加できます。
-
「ActiveSyncデバイス」タブをクリックします。
-
リストで、ユーザー、デバイス、またはデバイスの種類を右クリックし、選択内容を許可するか拒否するかを選択します。
次の画像は、user1 が選択されたときの [許可/拒否] オプションを示しています。
デバイスの監視
Endpoint Management connector for Exchange ActiveSync の [監視] タブでは、検出された Exchange ActiveSync および BlackBerry デバイスと、発行された自動 PowerShell コマンドの履歴を参照できます。[監視] タブには、次の 3 つのタブがあります。
-
ActiveSync デバイス:
- [エクスポート] ボタンをクリックすると、表示されている ActiveSync デバイスのパートナーシップをエクスポートできます。
- [ユーザー]、[デバイス ID]、または [種類] の列を右クリックし、適切な許可またはブロックのルールタイプを選択することで、ローカル (静的) ルールを追加できます。
- 展開された行を折りたたむには、展開された行を Ctrl キーを押しながらクリックします。
- BlackBerry デバイス
- 自動化履歴
[構成] タブには、すべてのスナップショットの履歴が表示されます。スナップショット履歴には、スナップショットがいつ実行されたか、かかった時間、検出されたデバイスの数、および発生したエラーが表示されます。
- [Exchange] タブで、目的の Exchange Server の情報アイコンをクリックします。
- [MSP] タブで、目的の BlackBerry Server の情報アイコンをクリックします。
トラブルシューティングと診断
Endpoint Management connector for Exchange ActiveSync は、エラーやその他の運用情報をログファイル (Install Folder\log\XmmWindowsService.log) に記録します。Endpoint Management connector for Exchange ActiveSync は、重要なイベントも Windows イベントログに記録します。
ログレベルの変更
Endpoint Management connector for Exchange ActiveSync には、次のログレベルが含まれています: Error、Info、Warn、Debug、および Trace。
注:
各レベルは、次のレベルに進むにつれて詳細度が増します (データ量が増加します)。たとえば、Error レベルは最も詳細度が低く、Trace レベルは最も詳細度が高くなります。
ログレベルを変更するには、次の手順を実行します。
- C:\Program Files\Citrix\Citrix Endpoint Management connector で、nlog.config ファイルを開きます。
-
<rules>セクションで、minilevel パラメーターを希望のログレベルに変更します。例:<rules> <logger name="*" writeTo="file" minlevel="Debug" /> </rules> <!--NeedCopy--> -
ファイルを保存します。
変更はすぐに有効になります。Exchange ActiveSync 用コネクタを再起動する必要はありません。
一般的なエラー
次のリストには、一般的なエラーが含まれています。
-
Endpoint Management connector for Exchange ActiveSync サービスが起動しない
ログファイルと Windows イベントログでエラーを確認します。一般的な原因は次のとおりです。
-
Endpoint Management connector for Exchange ActiveSync サービスが SQL Server にアクセスできない。これは、次の問題が原因である可能性があります。
- SQL Server サービスが実行されていない。
- 認証の失敗。
Windows 統合認証が構成されている場合、Endpoint Management connector for Exchange ActiveSync サービスのユーザーアカウントは、許可された SQL ログオンである必要があります。Endpoint Management connector for Exchange ActiveSync サービスのアカウントはデフォルトで Local System ですが、ローカル管理者権限を持つ任意のアカウントに変更できます。SQL 認証が構成されている場合、SQL ログオンは SQL で適切に構成されている必要があります。
-
モバイルサービスプロバイダー (MSP) 用に構成されたポートが利用できない。システム上の他のプロセスで使用されていないリスニングポートを選択する必要があります。
-
-
XenMobile が MSP に接続できない
Endpoint Management connector for Exchange ActiveSync コンソールの [構成] > [MSP] タブで、MSP サービスポートとトランスポートが適切に構成されていることを確認します。承認グループまたはユーザーが適切に設定されていることを確認します。
HTTPS が構成されている場合、有効な SSL サーバー証明書がインストールされている必要があります。IIS がインストールされている場合は、IIS マネージャーを使用して証明書をインストールできます。IIS がインストールされていない場合は、証明書のインストールに関する詳細について、「SSL 証明書を使用してポートを構成する方法」を参照してください。
Endpoint Management connector for Exchange ActiveSync には、MSP サービスへの接続をテストするためのユーティリティプログラムが含まれています。InstallFolder\MspTestServiceClient.exe プログラムを実行し、URL と資格情報を XenMobile で構成されている URL と資格情報に設定してから、[接続のテスト] をクリックします。これにより、XenMobile Server が発行する Web サービス要求がシミュレートされます。HTTPS が構成されている場合、サーバーの実際のホスト名 (SSL 証明書で指定された名前) を指定する必要があります。
[接続のテスト] を使用する場合は、少なくとも 1 つの ActiveSyncDevice レコードがあることを確認してください。そうしないと、テストが失敗する可能性があります。
トラブルシューティングツール
トラブルシューティング用の PowerShell ユーティリティのセットは、Support\PowerShell フォルダーにあります。
トラブルシューティングツールは、ユーザーのメールボックスとデバイスの詳細な分析を実行し、エラー状態と潜在的な障害領域を検出し、ユーザーの詳細な RBAC 分析を実行します。すべてのコマンドレットの生出力をテキストファイルに保存できます。