XenMobile Server

Citrix Gatewayコネクタ:Exchange ActiveSync用

XenMobile Citrix ADC ConnectorはCitrix Gatewayコネクタ:Exchange ActiveSync用になりました。Citrix統合製品ラインについて詳しくは、Citrix製品名ガイドを参照してください。

Exchange ActiveSyncのコネクタでは、Exchange ActiveSyncプロトコルのリバースプロキシとして動作するCitrix ADCに、ActiveSyncクライアントのデバイスレベルの認証サービスを提供します。認証は、XenMobile内で定義されているポリシーの組み合わせと、Citrix Gatewayコネクタ:Exchange ActiveSync用によりローカルで定義されているルールによって制御されます。

詳細については、「ActiveSyncゲートウェイ」を参照してください。

詳細なリファレンスアーキテクチャ図については、「アーキテクチャ」を参照してください。

Citrix Gatewayコネクタ:Exchange ActiveSync用の現在のリリースは、バージョン8.5.2です。

重要:

2022年10月以降、Microsoft社がこちらで発表した認証の変更を考慮して、Exchange ActiveSyncのEndpoint ManagementおよびCitrix Gatewayコネクタは、Exchange Onlineをサポートしなくなります。ExchangeのEndpoint Managementコネクタは、引き続きMicrosoft Exchange Server(オンプレミス)で機能します。

新機能

以下のセクションでは、Citrix Gatewayコネクタ:Exchange ActiveSync用(旧称:XenMobile Citrix ADC Connector)の最新および以前のバージョンの新機能を示します。

バージョン8.5.3の新機能

  • このリリースでは、ActiveSyncプロトコル16.0および16.1のサポートが追加されています。
  • Google Analyticsに送信される分析内容(特にスナップショット関連)にさらに詳細が追加されました。[CXM-52261]

バージョン8.5.2の新機能

  • XenMobile Citrix ADC ConnectorはCitrix Gatewayコネクタ:Exchange ActiveSync用になりました。

このリリースでは、以下の問題が解決されています。

  • ポリシー規則の定義に複数の基準が使用され、条件の1つにユーザーIDが含まれている場合、次の問題が発生する可能性があります。ユーザーに別名がある場合、ルール適用時に別名もチェックされません。[CXM-55355]

注:

以下の新機能セクションでは、「Citrix Gatewayコネクタ:Exchange ActiveSync用」を旧称のXenMobile Citrix ADC Connectorで呼びます。名前はバージョン8.5.2から変更されました。

バージョン8.5.1.11の新機能

  • システム要件の変更: 現在のバージョンのCitrix ADC Connectorでは、Microsoft .NET Framework 4.5が必要です。

  • Google Analyticsのサポート: 製品の改善可能な箇所に集中できるように、私たちはユーザーの皆様がXenMobile Citrix ADC Connectorをどのように使用しているかについて知りたいと考えています。

  • TLS 1.1および1.2のサポート: セキュリティの弱化のため、TLS 1.0はPCI評議会の推奨でなくなりました。XenMobile Citrix ADC ConnectorにTLS 1.1および1.2のサポートが追加されました。

Citrix Gatewayコネクタ:Exchange ActiveSync用の監視

Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティでは、Secure Mobile Gatewayによって許可またはブロックされる、Exchange Server経由のすべてのトラフィックを表示するために使用できる詳細なログが提供されます。

認証のためにCitrix ADCによってCitrix Gatewayコネクタ:Exchange ActiveSync用に転送されるActiveSync要求の履歴を確認するには、[Log] タブを使用します。

また、Citrix Gatewayコネクタ:Exchange ActiveSync用Webサービスが実行されていることを確認するには、コネクタサーバー上のブラウザーにURL(https://<host:port>/services/ActiveSync/Version)をロードします。このURLをロードした結果、製品バージョンが文字列で返される場合は、Webサービスが応答しています。

Citrix Gatewayコネクタ:Exchange ActiveSync用でActiveSyncトラフィックをシミュレートするには

Citrix Gatewayコネクタ:Exchange ActiveSync用を使用して、ポリシーとActiveSyncトラフィックをシミュレートすることができます。コネクタ構成ユーティリティで、[Simulator] タブをクリックします。構成した規則にしたがってポリシーがどのように適用されるかが表示されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用のフィルタの選択

Citrix Gatewayコネクタ:Exchange ActiveSync用のフィルターは、指定のポリシー違反またはプロパティ設定についてデバイスを解析することにより機能します。デバイスが条件に合致すると、デバイスは[Device List]に置かれます。この[Device List]は、許可リストおよび禁止リストのどちらでもありません。これは、定義された条件に合ったデバイスの一覧です。XenMobile内では、Citrix Gatewayコネクタ:Exchange ActiveSync用で次のフィルターを使用できます。各フィルターの2つのオプションは、[Allow] または [Deny] です。

  • 匿名デバイス: XenMobileに登録されているが、ユーザーのIDが不明なデバイスが許可または拒否されます。たとえばこのユーザーは、登録されているがActive Directoryパスワードの有効期限が切れている、または不明な資格情報を使って登録されている場合があります。
  • Samsung KNOX構成証明に失敗しました: Samsungデバイスは、セキュリティと診断の機能を備えています。このフィルターは、デバイスがKNOX用に設定されているかどうかを確認します。詳しくは、「Samsung Knox」を参照してください。
  • 禁止アプリ: 禁止リストポリシーによって定義されたデバイスの一覧と禁止されたアプリの存在に基づいて、デバイスが許可または拒否されます。
  • 暗黙的な許可/拒否: そのほかのフィルタールール条件に合致しないすべてのデバイスの一覧が作成され、この一覧に基づいてデバイスが許可または拒否されます。[暗黙的な許可/拒否]オプションを使用すると、[デバイス]タブにあるCitrix Gatewayコネクタ:Exchange ActiveSync用の状態が確実に有効化され、デバイスのコネクタの状態が表示されます。また、[暗黙的な許可/拒否]オプションにより、選択されていないほかのすべてのコネクタのフィルターが制御されます。たとえば、[暗黙的な許可/拒否]オプションが [許可] に設定されているため、コネクタは禁止されたアプリは拒否しますが、他のすべてのフィルターを許可します。
  • 非アクティブデバイス: XenMobileとの通信が特定の期間に行われていないデバイスの一覧が作成されます。これらのデバイスは非アクティブと見なされます。これに従って、フィルターはデバイスを許可または拒否します。
  • 不足必須アプリ: ユーザーが登録すると、インストールする必要のある必須アプリの一覧がこのユーザーに送信されます。[不足必須アプリ]のフィルターは、ユーザーが1つまたは複数のアプリを削除するなどして、必須アプリのうち1つまたは複数のアプリが不足していることを示します。
  • 非推奨アプリ: ユーザーが登録すると、インストールする必要のあるアプリの一覧がこのユーザーに送信されます。[非推奨アプリ]のフィルターは、この一覧に含まれていないアプリがデバイスにインストールされていないかをチェックします。
  • 非準拠パスワード: デバイスでパスコードが設定されていないすべてのデバイスの一覧が作成されます。
  • コンプライアンス外デバイス: 独自の内部ITコンプライアンス条件に合致するデバイスが拒否または許可されます。コンプライアンスは、Out of Complianceという名前のデバイスプロパティによって定義される任意の設定であり、True または False のいずれかになるブール型のフラグです(このプロパティを手動で作成して値を設定するか、デバイスが特定の条件に合致する場合、または合致しない場合は、自動化された操作を使用してデバイス上でこのプロパティを作成できます)。
    • Out of Compliance = True。デバイスが、IT部門によって設定されたコンプライアンス基準およびポリシー定義に合致しない場合、デバイスはコンプライアンス違反になります。
    • Out of Compliance = False。デバイスが、IT部門によって設定されたコンプライアンス基準およびポリシー定義に合致する場合、デバイスはコンプライアンスに準拠しています。
  • 失効状態: 取り消されたすべてのデバイスの一覧が作成され、取り消された状態に基づいてデバイスが許可または拒否されます。
  • Root化済みAndroidデバイス/ジェイルブレイクされたiOSデバイス。ルートされていることを示すフラグが付けられたすべてのデバイスの一覧が作成され、ルートされた状態に基づいてデバイスが許可または拒否されます。
  • 非管理デバイス。XenMobileデータベース内のすべてのデバイスの一覧が作成されます。Mobile Application Gatewayは、ブロックモードで展開する必要があります。

Citrix Gatewayコネクタ:Exchange ActiveSync用への接続を構成するには

Citrix Gatewayコネクタ:Exchange ActiveSync用は、セキュアなWebサービスを通じてXenMobileおよびその他のリモート設定プロバイダーと通信します。

  1. コネクタの構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. [Config Providers] ダイアログボックスの [Name] に、XenMobile ServerでのHTTP基本認証に使用する、管理者権限を持つユーザー名を入力します。
  3. [Url] に、XenMobile GCSのWebアドレス(通常はhttps://<FQDN>/<instanceName>/services/<MagConfigService>という形式)を入力します。MagConfigServiceの名前は大文字と小文字が区別されます。
  4. [Password]に、XenMobile ServerでのHTTP基本認証に使用するパスワードを入力します。
  5. [Managing Host] に、コネクタのサーバー名を入力します。
  6. [Baseline Interval]で、新しく更新された動的規則のセットがDevice Managerから取得される期間を指定します。
  7. [Delta interval]で、動的規則の更新が取得される期間を指定します。
  8. [Request Timeout]で、サーバー要求のタイムアウト間隔を指定します。
  9. [Config Provider]で、構成プロバイダーのサーバーインスタンスによってポリシー構成を提供するかどうかを選択します。
  10. [Events Enabled]で、デバイスがブロックされたときにコネクタからXenMobileに通知する場合はこのオプションを有効にします。XenMobileの自動化された操作でコネクタ規則を使用する場合、このオプションが必要です。
  11. [Save]をクリックし、[Test Connectivity]をクリックして、ゲートウェイから構成プロバイダーへの接続をテストします。接続に失敗した場合、ローカルファイアウォールの設定が接続を許可していることをチェックするか、管理者に問い合わせてください。
  12. 接続が成功した場合、[Disabled]チェックボックスをオフにし、[Save]をクリックします。

新しい設定プロバイダーを追加すると、Citrix Gatewayコネクタ:Exchange ActiveSync用によって、プロバイダーに関連付けられた1つ以上のポリシーが自動的に作成されます。これらのポリシーは、config\policyTemplates.xmlのNewPolicyTemplateセクションに含まれているテンプレート定義によって定義されます。このセクション内で定義される各ポリシー要素に対して、新しいポリシーが作成されます。

以下が当てはまる場合は、演算子を使用して、ポリシー要素を追加、削除、または変更できます:ポリシー要素がスキーマ定義に適合しており、標準の置換文字列(中かっこで囲まれている)が変更されていない場合。次に、プロバイダーの新しいグループを追加し、ポリシーを更新してこの新しいグループを含めます。

XenMobileからポリシーをインポートするには

  1. Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. [構成プロバイダー] ダイアログボックスの [名前] に、XenMobile ServerでのHTTP基本認証に使用する、管理者権限を持つユーザー名を入力します。
  3. [Url] に、XenMobile Gateway Configuration Service(GCS)のWebアドレス(通常はhttps://<xdmHost>/xdm/services/<MagConfigService>という形式)を入力します。MagConfigServiceの名前は大文字と小文字が区別されます。
  4. [Password]に、XenMobile ServerでのHTTP基本認証に使用するパスワードを入力します。
  5. [Test Connectivity]をクリックし、ゲートウェイから構成プロバイダーへの接続をテストします。接続に失敗した場合、ローカルファイアウォールの設定が接続を許可していることをチェックするか、管理者に問い合わせてください。
  6. 接続が成功した場合、[Disabled]チェックボックスをオフにし、[Save]をクリックします。
  7. [Managing Host]で、ローカルホストコンピューターのDNS名をデフォルトのままにします。1つのアレイ内で複数のForefront Threat Management Gateway(TMG)が構成されている場合、この設定を使用して、XenMobileとの通信を調整します。

    設定を保存してから、GCSを開きます。

Citrix Gatewayコネクタ:Exchange ActiveSync用ポリシーモードの構成

Citrix Gatewayコネクタ:Exchange ActiveSync用は、次の6つのモードで実行できます:

  • Allow All。このポリシーモードでは、コネクタを経由するすべてのトラフィックのアクセスが許可されます。そのほかのフィルター規則は使用されません。
  • Deny All。このポリシーモードでは、コネクタを経由するすべてのトラフィックのアクセスがブロックされます。そのほかのフィルター規則は使用されません。
  • Static Rules: Block Mode。このポリシーモードでは、最後に暗黙的な拒否ステートメントまたはブロックステートメントを使って静的規則が実行されます。ほかのフィルター規則によって許可または許容されないデバイスは、コネクタでブロックされます。
  • Static Rules: Permit Mode。このポリシーモードでは、最後に暗黙的な許容ステートメントまたは許可ステートメントを使って静的規則が実行されます。ほかのフィルター規則によってブロックまたは拒否されないデバイスは、コネクタで許可されます。
  • Static + ZDM Rules: Block Mode。このポリシーモードでは、最初に静的規則が実行され、最後に暗黙的な拒否ステートメントまたはブロックステートメントを使ってXenMobileから動的規則が実行されます。デバイスは、定義済みのフィルターおよびDevice Managerの規則に基づいて許容または拒否されます。定義済みのフィルターおよび規則に一致しないデバイスはブロックされます。
  • Static + ZDM Rules: Permit Mode。このポリシーモードでは、最初に静的規則が実行され、最後に暗黙的な許容ステートメントまたは許可ステートメントを使ってXenMobileから動的規則が実行されます。デバイスは、定義済みのフィルターおよびXenMobileの規則に基づいて許容または拒否されます。定義済みのフィルターおよび規則に一致しないデバイスは許可されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用の処理によって、XenMobileから受け取ったiOSモバイルデバイスおよびWindowsベースのモバイルデバイス用の一意のActiveSync IDに基づいて、動的規則が許容またはブロックされます。Androidデバイスの場合、製造元によって動作が異なり、一部のAndroidデバイスでは、一意のActiveSync IDが直ちに提供されません。代わりに、XenMobileによりAndroidデバイスのユーザーID情報が送信され、許容するかブロックするかを決定します。その結果、ユーザーが1台のAndroidデバイスしか持っていない場合でも、許容およびブロック機能が正常に動作します。ユーザーが複数のAndroidデバイスを持っている場合は、Androidデバイスを区別できないため、すべてのデバイスが許可されます。これらのデバイスが既知の場合は、ActiveSyncIDで静的にブロックするようにゲートウェイを構成できます。また、デバイスの種類またはユーザーエージェントに基づいてブロックするようにゲートウェイを構成することもできます。

ポリシーモードを指定するには、SMG Controller Configurationユーティリティで次の操作を実行します。

  1. [Path Filters]タブをクリックし、[Add]をクリックします。
  2. [Path Properties] ダイアログボックスの [Policy] リストからポリシーモードを選択し、[Save] をクリックします。

[Policies] タブで規則を確認できます。この規則は、Citrix Gatewayコネクタ:Exchange ActiveSync用で上から順に処理されます。[Allow] が設定されたポリシーは緑のチェックマークで示されます。[Deny]が設定されたポリシーは中央に線が入った赤い丸で示されます。画面を更新して、最近更新された規則を表示するには、[Refresh]をクリックします。config.xmlファイル内の規則の順序を変更することもできます。

規則をテストするには、[Simulator] タブをクリックします。フィールドに値を指定します。これらの値をログから取得することもできます。[Allow]または[Block]が指定された結果メッセージが表示されます。

静的規則を構成するには

ActiveSync接続のHTTP要求のISAPIフィルターによって読み取られる値を使用して静的規則を入力します。静的規則を使用すると、Citrix Gatewayコネクタ:Exchange ActiveSync用で次の条件に基づいてトラフィックを許可またはブロックすることができます。

  • User: Citrix Gatewayコネクタ:Exchange ActiveSync用は、承認されたユーザー値と、デバイスの登録時に取得された名前構造が使用されます。これは通常、LDAP経由でActive Directoryに接続されたXenMobileを実行しているサーバーによって参照されるdomain\usernameに示されています。コネクタ構成ユーティリティ内の [ログ] タブには、コネクタを経由して渡される値が表示されます。値の構造を決定する必要がある場合、または値の構造が異なる場合に、値が渡されます。
  • Deviceid (ActiveSyncID): 接続されたデバイスのActiveSyncIDとも呼ばれます。この値は、通常、XenMobile コンソールの特定のデバイスプロパティページ内にあります。また、コネクタ構成ユーティリティの[Log]タブから、この値を確認できます。
  • DeviceType: コネクタでは、デバイスがiPhone、iPad、またはそのほかの種類のデバイスかどうかを特定し、その条件に基づいてデバイスを許可またはブロックできます。ほかの値の場合と同じように、コネクタ構成ユーティリティを使用して、ActiveSync接続のために処理中の接続済みデバイスの種類をすべて表示できます。
  • UserAgent: 使用するActiveSyncクライアントの情報が含まれます。通常、指定された値は、モバイルデバイスプラットフォームのオペレーティングシステムの特定のビルドおよびバージョンに対応します。

サーバーで実行中のコネクタ構成ユーティリティによって、静的規則は常に管理されます。

  1. SMG Controller Configurationユーティリティで、[Static Rules]タブをクリックし、[Add]をクリックします。
  2. [Static Rule Properties]ダイアログボックスで、条件として使用する値を指定します。たとえば、ユーザー名(たとえば、「AllowedUser」)を入力して、アクセスを許可するユーザーを指定し、[Disabled] チェックボックスをオフにします。
  3. [保存] をクリックします。

    これで、静的規則が有効になりました。また、正規表現を使用して値を定義できますが、config.xmlファイルで規則処理モードを有効化する必要があります。

動的な規則を構成するには

XenMobileのデバイスポリシーおよびプロパティは動的な規則を定義し、Citrix Gatewayコネクタ:Exchange ActiveSync用の動的フィルターをトリガーできます。トリガーは、ポリシー違反またはプロパティ設定の有無に基づいています。コネクタのフィルターは、指定のポリシー違反またはプロパティ設定についてデバイスを解析することにより機能します。デバイスが条件に合致すると、デバイスは[Device List]に置かれます。この[Device List]は、許可リストおよび禁止リストのどちらでもありません。これは、定義した条件に合致するデバイスの一覧です。次の構成オプションでは、コネクタを使用して[Device List]のデバイスを許可または拒否するかどうかを定義できます。

注:

動的規則を構成するには、XenMobileコンソールを使用する必要があります。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [ActiveSyncゲートウェイ] をクリックします。[ActiveSyncゲートウェイ] ページが開きます。

  3. [次の規則をアクティブ化] で、有効にするルールを1つまたは複数オンにします。

  4. [Androidのみ]の [AndroidドメインユーザーをActiveSyncゲートウェイに送信][はい] をクリックし、XenMobileによってAndroidデバイスの情報がSecure Mobile Gatewayに送信されるようにします。

    このオプションを有効にすると、AndroidデバイスユーザーのActiveSync識別子がXenMobileにない場合でも、XenMobileによってAndroidデバイスの情報がCitrix Gatewayコネクタ:Exchange ActiveSync用に送信されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用のXMLファイルを編集してカスタムポリシーを構成するには

Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティの [Policies] タブで、デフォルトの構成の基本ポリシーを確認できます。カスタムポリシーを作成する場合、コネクタのXML構成ファイル(config\config.xml)を編集できます。

  1. ファイル内の PolicyList セクションに移動し、新しい Policy 要素を追加します。
  2. 別の静的グループや別のGCPをサポートするグループなどの新しいグループも必要な場合は、新しい Group 要素を GroupList セクションに追加します。
  3. 必要に応じて、GroupRef要素を並べ替えることにより、既存のポリシー内のグループの順序を変更できます。

Citrix Gatewayコネクタ:Exchange ActiveSync用のXMLファイルの構成

Citrix Gatewayコネクタ:Exchange ActiveSync用では、XML構成ファイルを使用して、コネクタのアクションが指示されます。このファイルにより、ほかのエントリと同様に、グループファイルと、HTTP要求を評価するときにフィルターにより実行される関連アクションが指定されます。デフォルトでは、このファイルにはconfig.xmlという名前が付けられ、次の場所に配置されます:..\Program Files\Citrix\XenMobile Citrix ADC Connector\config\

GroupRefノード

GroupRefノードにより、論理的なグループ名が定義されます。デフォルトでは、AllowGroupとDenyGroupです。

注:

GroupRefListノードに表示されるGroupRefノードの順序は重要です。

GroupRefノードのID値により、特定のユーザーアカウントまたはデバイスを一致させるために使用するメンバーの論理的なコンテナまたはコレクションが特定されます。アクションの属性により、コレクション内の規則に一致するメンバーをフィルターで処理する方法が指定されます。たとえば、AllowGroupセット内の規則に一致するユーザーアカウントまたはデバイスは「合格」します。合格すると、Exchange CASへのアクセスが許可されます。DenyGroupセット内の規則に一致するユーザーアカウントまたはデバイスは「拒否」されます。拒否されると、Exchange CASへのアクセスが許可されません。

特定のユーザーアカウント/デバイスまたはその組み合わせが両方のグループの規則に一致する場合、優先する規則を使用して要求の結果が指定されます。優先順位は、config.xmlファイルのGroupRefノードの最上位から最下位へと至る順序で表されています。GroupRefノードは優先度によりランク付けされています。許可グループの特定条件の規則は、拒否グループの同じ条件の規則よりも常に優先されます。

グループノード

さらに、config.xmlにより、グループノードが定義されます。これらのノードによって、論理的なコンテナ、つまりAllowGroupおよびDenyGroupが外部XMLファイルとリンクされます。外部ファイルに格納されたエントリは、フィルター規則の基礎を形成します。

注:

このリリースでは、外部XMLファイルのみがサポートされています。

デフォルトのインストールでは、構成に2つのXMLファイル(allow.xmlとdeny.xml)が実装されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用の構成

[Active Sync Service ID][Device type][User Agent](デバイスのオペレーティングシステム)、[Authorized user][ActiveSync Command] といったプロパティに基づいて、ActiveSync要求を選択的に禁止または許可するようにCitrix Gatewayコネクタ:Exchange ActiveSync用を構成できます。

デフォルトの構成では、静的グループと動的グループの組み合わせがサポートされています。静的グループは、SMG Controller Configurationユーティリティを使用して保守します。静的グループは、特定のユーザーエージェントを使用するすべてのデバイスなど、デバイスの既知のカテゴリで構成される場合があります。

動的グループは、ゲートウェイ構成プロバイダーと呼ばれる外部ソースによって保守されます。グループはCitrix Gatewayコネクタ:Exchange ActiveSync用によって定期的に接続されます。XenMobileを使用して、許可されたデバイスとユーザーおよびブロックされたデバイスとユーザーのグループをコネクタにエクスポートできます。

動的グループは、ゲートウェイ構成プロバイダーと呼ばれる外部ソースによって保守され、Citrix Gatewayコネクタ:Exchange ActiveSync用によって定期的に収集されます。XenMobileを使用して、許可されたデバイスとユーザーおよびブロックされたデバイスとユーザーのグループをコネクタにエクスポートできます。

ポリシーとは、アクション(許可またはブロック)が関連付けられた各グループの順序指定された一覧と、グループメンバーの一覧のことです。ポリシーには、任意の数のグループを含めることができます。ポリシー内のグループの順序は重要です。これは、1つの一致が見つかると、グループのアクションが実行され、以降のグループは評価されないからです。

メンバーにより、要求のプロパティに一致する方法が定義されます。デバイスIDなどの単一のプロパティ、またはデバイスの種類およびユーザーエージェントなどの複数のプロパティに一致することが可能です。

Citrix Gatewayコネクタ:Exchange ActiveSync用のセキュリティモデルの選択

あらゆる規模の組織にとって、モバイルデバイスを適切に展開するには、セキュリティモデルの確立が不可欠です。保護または隔離されたネットワーク制御を使用して、ユーザー、コンピューター、またはデバイスへのアクセスをデフォルトで許可することは一般的ですが、これは必ずしも望ましい方法ではありません。ITセキュリティを管理する各組織では、モバイルデバイスのセキュリティに対して多少異なったアプローチまたは組織に合わせたアプローチをとっている場合があります。

モバイルデバイスのセキュリティについても、同じことが言えます。多くのモバイルデバイスおよびその種類、ユーザーごとのモバイルデバイス数、利用できるオペレーティングシステムプラットフォームおよびアプリを考慮すると、許可モデルの使用はお勧めできません。多くの組織では、制限モデルの使用が最適な選択です。

Citrix Gatewayコネクタ:Exchange ActiveSync用とXenMobileの統合で許可される構成シナリオは次のとおりです。

許可モデル([Permit Mode])

許可セキュリティモデルは、デフォルトでアクセスがすべて許可または付与されているという前提で動作します。規則およびフィルターの使用時のみ、ブロックされたり、制限が適用されたりします。許可セキュリティモデルは、モバイルデバイスに対するセキュリティ上の懸念が比較的少ない組織に適しています。このモデルでは、アクセスを拒否するのが適切な場合(ポリシー規則が失敗した場合)にのみ、制限コントロールが適用されます。

制限モデル([Block Mode])

制限セキュリティモデルは、デフォルトでアクセスが許可または付与されていないという前提に基づきます。セキュリティチェックポイントを通過するすべてのデータがフィルターおよび検査され、アクセスを許可する規則をパスしない限り、アクセスが拒否されます。制限セキュリティモデルは、モバイルデバイスに対するセキュリティ上の条件が比較的に厳しい組織に適しています。このモードでは、アクセスを許可するすべての規則をパスした場合にのみ、ネットワークサービスの使用と機能へのアクセスが許可されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用の管理

Citrix Gatewayコネクタ:Exchange ActiveSync用を使用してアクセス制御規則を作成できます。この規則は、管理対象デバイスからのActiveSync接続要求へのアクセスを許可またはブロックします。アクセスは、デバイスのステータス、アプリの許可リストまたは禁止リスト、およびその他のコンプライアンス設定状況に基づきます。

Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティを使用して、社内のメールポリシーを適用する動的および静的規則を作成し、コンプライアンス基準に違反しているユーザーをブロックすることができます。また、Exchange Serverを経由して管理対象デバイスに送信されるすべての添付ファイルを暗号化して、管理対象デバイスで権限のあるユーザーのみが添付ファイルを表示できるようにメールの添付ファイル暗号化をセットアップすることができます。

Citrix Gatewayコネクタ:Exchange ActiveSync用をアンインストールするには

  1. 管理者アカウントでXncInstaller.exeを実行します。
  2. 画面の指示に従って、アンインストールを完了します。

Citrix Gatewayコネクタ:Exchange ActiveSync用をインストール、アップグレード、またはアンインストールするには

  1. 管理者アカウントでXncInstaller.exeを実行してコネクタをインストールするか、既存のコネクタをアップグレードまたは削除できます。
  2. 画面の指示に従って、インストール、アップグレード、またはアンインストールを完了します。

コネクタをインストールした後、XenMobileの構成サービスおよび通知サービスを手動で再起動する必要があります。

Citrix Gatewayコネクタ:Exchange ActiveSync用のインストール

Citrix Gatewayコネクタ:Exchange ActiveSync用を専用のWindows Serverにインストールします。

コネクタがサーバーに与えるCPU負荷は、管理対象デバイスの数によって異なります。多数のデバイス(50,000個以上)がある場合に、クラスター環境がないときは、追加のコアが必要になることがあります。コネクタのメモリサイズは、追加メモリを保証するのに十分ではありません。

Citrix Gatewayコネクタ:Exchange ActiveSync用のシステム要件

Citrix Gatewayコネクタ:Exchange ActiveSync用では、Citrix ADCアプライアンスで構成されたSSLブリッジを介してCitrix ADCとの通信が行われます。SSLブリッジを使用すると、アプライアンスですべてのセキュアなトラフィックをXenMobileに直接ブリッジすることができます。コネクタの最小構成要件は、以下のとおりです:

コンポーネント 条件
コンピューターとプロセッサ Pentium III 733MHz以上のプロセッサ。Pentium III 2.0GHz以上のプロセッサ(推奨)
Citrix ADC ソフトウェアバージョン10を備えたCitrix ADCアプライアンス
メモリ 1GB
ハード ディスク 150MBのハードディスクスペースがある、NTFSでフォーマットしたローカルパーティション
オペレーティングシステム Windows Server 2016、Windows Server 2012 R2またはWindows Server 2008 R2 Service Pack 1。英語ベースのサーバーが必要です。Windows Server 2008 R2 Service Pack 1のサポートは2020年1月14日に終了し、Windows Server 2012 R2のサポートは2023年10月10日に終了します。
そのほかのデバイス ホストオペレーティングシステムと互換性があるネットワークアダプター(内部ネットワークとの通信用)
Microsoft .NET Framework。 バージョン8.5.1.11では、Microsoft .NET Framework 4.5が必要です。
ディスプレイ VGA以上の解像度のモニター

Citrix Gatewayコネクタ:Exchange ActiveSync用のホストコンピューターには、次の最小ハードディスクスペースが必要です:

  • アプリケーション: 10~15MB(推奨値は100MB)
  • ログ: 1GB(推奨値は20GB)

Citrix Gatewayコネクタ:Exchange ActiveSync用のプラットフォームのサポートについて詳しくは、「サポートされるデバイスオペレーティングシステム」を参照してください。

デバイスのメールクライアント

すべてのメールクライアントが、デバイスに関して一貫して同じActiveSync IDを返すわけではありません。Citrix Gatewayコネクタ:Exchange ActiveSync用は、各デバイスに対して一意のActiveSync IDを前提とするため、デバイスごとに一意の同じActiveSync IDを一貫して生成するメールクライアントのみをサポートします。以下のメールクライアントはテスト済みで、エラーなく実行できます:

  • Samsungのネイティブメールクライアント
  • iOSのネイティブメールクライアント

Citrix Gatewayコネクタ:Exchange ActiveSync用の展開

Citrix Gatewayコネクタ:Exchange ActiveSync用では、Citrix ADCを使用して、XenMobileによる管理対象デバイスとXenMobile Server間の通信をプロキシ接続したり、負荷分散したりできます。コネクタとXenMobile間の通信は定期的に行われ、ポリシーが同期されます。コネクタとXenMobileをまとめて、または別々にクラスター化したり、Citrix ADCによって負荷を分散したりできます。

Citrix Gatewayコネクタ:Exchange ActiveSync用のコンポーネント

  • Citrix Gatewayコネクタ:Exchange ActiveSync用サービス: このサービスでは、Citrix ADCによって呼び出されるREST Webサービスのインターフェイスが提供され、デバイスからのActiveSync要求が承認されるかどうかが決定されます。
  • XenMobile構成サービス: このサービスでは、XenMobileとの通信が行われ、XenMobileポリシーの変更がコネクタと同期されます。
  • XenMobile通知サービス: このサービスでは、XenMobileへの承認されていないデバイスのアクセスが通知されます。これによりXenMobileでは、デバイスがブロックされた理由をユーザーに通知するなどの適切な処置を施すことができます。
  • Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティ: このアプリケーションにより、管理者はコネクタを構成および監視できます。

Citrix Gatewayコネクタ:Exchange ActiveSync用のリッスンアドレスをセットアップするには

Citrix Gatewayコネクタ:Exchange ActiveSync用がCitrix ADCから要求を受信してActiveSyncトラフィックを承認できるようにするには、次の手順を実行します。コネクタがCitrix ADC Webサービス呼び出しをリッスンするポートを指定します。

  1. [スタート] ボタンをクリックして、Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティを選択します。
  2. [Web Service] タブをクリックし、コネクタWebサービスのリッスンアドレスを入力します。HTTPHTTPS のいずれかまたは両方を選択できます。コネクタがXenMobileと共存している場合(同じサーバーにインストールされている場合)、XenMobileと競合しないポート値を選択します。
  3. この値を構成した後、[Save]をクリックして、[Start Service]をクリックし、Webサービスを起動します。

Citrix Gatewayコネクタ:Exchange ActiveSync用でデバイスのアクセス制御ポリシーを構成するには

管理対象デバイスに適用するアクセス制御ポリシーを構成するには、次の操作を実行します。

  1. Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティで [Path Filters] タブをクリックします。
  2. 最初の行の[Microsoft-Server-ActiveSync is for ActiveSync]を選択し、[Edit]をクリックします。
  3. [Policy]の一覧から、目的のポリシーを選択します。XenMobileポリシーが含まれるポリシーの場合、[Static + ZDM: Permit Mode]または[Static + ZDM: Block Mode] を選択します。これらのポリシーでは、ローカル(または、静的)規則とXenMobileの規則が組み合わされます。[Permit Mode]では、規則によって明示的に特定されないすべてのデバイスがActiveSyncへのアクセスを許可されます。[Block Mode]では、そのようなデバイスがブロックされます。
  4. ポリシーを設定したら、[Save]をクリックします。

XenMobileとの通信を構成するには

Citrix Gatewayコネクタ:Exchange ActiveSync用およびCitrix ADCで使用するXenMobile Server(構成プロバイダーともいいます)の名前およびプロパティを指定します。

注:

このタスクでは、XenMobileがインストールされていて、構成済みであることを前提としています。

  1. Citrix Gatewayコネクタ:Exchange ActiveSync用構成ユーティリティで、[Config Providers] タブをクリックし、[Add] をクリックします。
  2. この展開で使用するXenMobile Serverの名前およびURLを入力します。マルチテナント展開で複数のXenMobile Serverがある場合は、この名前は各サーバーインスタンスで固有である必要があります。たとえば、[Name] に「XMS」を入力します。
  3. [Url] に、XenMobile GlobalConfig Provider(GCP)のWebアドレス(通常はhttps://<FQDN>/<instanceName>/services/<MagConfigService>という形式)を入力します。MagConfigServiceの名前は大文字と小文字が区別されます。
  4. [Password] に、XenMobile WebサーバーでのHTTP基本認証に使用するパスワードを入力します。
  5. [Managing Host] に、Citrix Gatewayコネクタ:Exchange ActiveSync用をインストールしたサーバー名を入力します。
  6. [Baseline Interval] で、新しく更新された動的規則のセットがXenMobileから取得される期間を指定します。
  7. [Request Timeout]で、サーバー要求のタイムアウト間隔を指定します。
  8. [Config Provider]で、構成プロバイダーのサーバーインスタンスによってポリシー構成を提供するかどうかを選択します。
  9. [Events Enabled] で、デバイスがブロックされたときにSecure Mobile GatewayからXenMobileに通知する場合はこのオプションを有効にします。Device Managerの自動化された操作でSecure Mobile Gatewayの規則を使用する場合、このオプションが必要です。
  10. サーバーを構成したら、[Test Connectivity] をクリックして、XenMobileへの接続をチェックします。
  11. 接続が確立したら、[Save]をクリックします。

冗長性およびスケーラビリティのためのCitrix Gatewayコネクタ:Exchange ActiveSync用の展開

Citrix Gatewayコネクタ:Exchange ActiveSync用およびXenMobile展開のスケーラビリティを向上させるには、コネクタのインスタンスを複数のWindowsサーバーにインストールして同じXenMobileインスタンスを参照させ、Citrix ADCを使用してこれらのサーバーの負荷を分散します。

Citrix Gatewayコネクタ:Exchange ActiveSync用の構成には、次の2種類のモードがあります:

  • 非共有モードでは、Citrix Gatewayコネクタ:Exchange ActiveSync用の各インスタンスがXenMobile Serverと通信し、結果として生成されるポリシーの独自のプライベートコピーを保持します。たとえば、XenMobile Serverのクラスターがある場合、コネクタインスタンスを各XenMobile Serverで実行すると、コネクタにより、ローカルXenMobileからポリシーが取得されます。
  • 共有モードでは、コネクタの1つのノードがプライマリノードに指定され、このノードとXenMobileとの通信が行われます。Windowsネットワーク共有またはWindows(または、サードパーティの)レプリケーションによって、結果として生成される構成がほかのノード間で共有されます。

コネクタの構成全体は、単一のフォルダー(数個のXMLファイルから構成されます)にあります。コネクタの処理によって、このフォルダー内のファイルに加えられた変更が検出され、構成が自動的に再ロードされます。共有モードのプライマリノードに対するフェイルオーバーはありません。ただし、システムでは、前回の正常な構成がコネクタの処理にキャッシュされるため、プライマリサーバーが数分間停止(たとえば、再起動のために)しても許容されます。

Citrix Gatewayコネクタ:Exchange ActiveSync用