XenMobile® Server

Exchange ActiveSync용 Citrix Gateway connector™

XenMobile Citrix ADC Connector는 이제 Exchange ActiveSync용 Citrix Gateway connector입니다. Citrix 통합 포트폴리오에 대한 자세한 내용은 Citrix 제품 가이드를 참조하십시오.

Exchange ActiveSync용 커넥터는 Exchange ActiveSync 프로토콜의 역방향 프록시 역할을 하는 Citrix ADC에 ActiveSync 클라이언트의 장치 수준 권한 부여 서비스를 제공합니다. 권한 부여는 XenMobile® 내에서 정의하는 정책과 Exchange ActiveSync용 Citrix Gateway connector가 로컬에서 정의하는 규칙의 조합으로 제어됩니다.

자세한 내용은 ActiveSync Gateway를 참조하십시오.

자세한 참조 아키텍처 다이어그램은 아키텍처를 참조하십시오.

Exchange ActiveSync용 Citrix Gateway connector의 현재 릴리스는 버전 8.5.2입니다.

중요:

2022년 10월부터 Endpoint Management 및 Exchange ActiveSync용 Citrix Gateway connector는 Microsoft에서 여기에서 발표한 인증 변경 사항으로 인해 Exchange Online을 더 이상 지원하지 않습니다. Exchange용 Endpoint Management connector는 Microsoft Exchange Server(온프레미스)에서 계속 작동합니다.

새로운 기능

다음 섹션에서는 이전 XenMobile Citrix ADC Connector였던 Exchange ActiveSync용 Citrix Gateway connector의 현재 버전 및 이전 버전에서 새로워진 기능을 나열합니다.

버전 8.5.3의 새로운 기능

  • 이 릴리스는 ActiveSync 프로토콜 16.0 및 16.1에 대한 지원을 추가합니다.
  • Google Analytics로 전송되는 분석에 특히 스냅샷과 관련하여 더 많은 세부 정보가 추가되었습니다. [CXM-52261]

버전 8.5.2의 새로운 기능

  • XenMobile Citrix ADC Connector는 이제 Exchange ActiveSync용 Citrix Gateway connector입니다.

이 릴리스에서 다음 문제가 해결되었습니다.

  • 정책 규칙을 정의할 때 두 개 이상의 기준이 사용되고 기준 중 하나가 사용자 ID와 관련된 경우 다음 문제가 발생할 수 있습니다. 사용자가 여러 별칭을 가지고 있는 경우 규칙을 적용할 때 해당 별칭도 확인되지 않습니다. [CXM-55355]

참고:

다음 새로운 기능 섹션에서는 Exchange ActiveSync용 Citrix Gateway connector를 이전 이름인 XenMobile Citrix ADC Connector로 지칭합니다. 이름은 버전 8.5.2부터 변경되었습니다.

버전 8.5.1.11의 새로운 기능

  • 시스템 요구 사항 변경: 현재 버전의 Citrix ADC Connector에는 Microsoft .NET Framework 4.5가 필요합니다.

  • Google Analytics 지원: XenMobile Citrix ADC Connector를 사용하는 방법을 파악하여 제품을 개선할 수 있는 부분에 집중하고자 합니다.

  • TLS 1.1 및 1.2 지원: 보안 약화로 인해 PCI Council에서 TLS 1.0을 더 이상 사용하지 않습니다. XenMobile Citrix ADC Connector에 TLS 1.1 및 1.2 지원이 추가되었습니다.

Exchange ActiveSync용 Citrix Gateway connector 모니터링

Exchange ActiveSync용 Citrix Gateway connector 구성 유틸리티는 Secure Mobile Gateway에 의해 허용되거나 차단되는 Exchange Server를 통과하는 모든 트래픽을 볼 수 있는 자세한 로깅을 제공합니다.

로그 탭을 사용하여 Citrix ADC가 권한 부여를 위해 Exchange ActiveSync용 커넥터로 전달한 ActiveSync 요청 기록을 볼 수 있습니다.

또한 Exchange ActiveSync 웹 서비스용 Citrix Gateway connector가 실행 중인지 확인하려면 커넥터 서버의 브라우저에 다음 URL https://<host:port>/services/ActiveSync/Version을 로드하십시오. URL이 제품 버전을 문자열로 반환하면 웹 서비스가 응답하는 것입니다.

Exchange ActiveSync용 Citrix Gateway connector로 ActiveSync 트래픽 시뮬레이션

Exchange ActiveSync용 Citrix Gateway connector를 사용하여 정책에 따라 ActiveSync 트래픽이 어떻게 보이는지 시뮬레이션할 수 있습니다. 커넥터 구성 유틸리티에서 시뮬레이터 탭을 선택합니다. 결과는 구성한 규칙에 따라 정책이 어떻게 적용되는지 보여줍니다.

Exchange ActiveSync용 Citrix Gateway connector 필터 선택

Exchange ActiveSync용 Citrix Gateway connector 필터는 특정 정책 위반 또는 속성 설정을 위해 장치를 분석하여 작동합니다. 장치가 기준을 충족하면 장치 목록에 배치됩니다. 이 장치 목록은 허용 목록도 차단 목록도 아닙니다. 정의된 기준을 충족하는 장치 목록입니다. XenMobile 내에서 커넥터에 사용할 수 있는 필터는 다음과 같습니다. 각 필터에 대한 두 가지 옵션은 허용 또는 거부입니다.

  • 익명 장치: XenMobile에 등록되었지만 사용자 ID를 알 수 없는 장치를 허용하거나 거부합니다. 예를 들어, 등록되었지만 Active Directory 암호가 만료되었거나 알 수 없는 자격 증명으로 등록한 사용자일 수 있습니다.
  • Samsung KNOX 증명 실패: Samsung 장치에는 보안 및 진단 기능이 있습니다. 이 필터는 장치가 KNOX용으로 설정되었는지 확인합니다. 자세한 내용은 Samsung Knox를 참조하십시오.
  • 금지된 앱: 차단 목록 정책 및 차단된 앱의 존재에 의해 정의된 장치 목록을 기반으로 장치를 허용하거나 거부합니다.
  • 암시적 허용/거부: 다른 필터 규칙 기준을 충족하지 않는 모든 장치의 장치 목록을 생성하고 해당 목록을 기반으로 허용하거나 거부합니다. 암시적 허용/거부 옵션은 장치 탭에서 Exchange ActiveSync용 Citrix Gateway connector 상태가 활성화되고 장치에 대한 커넥터 상태를 표시하도록 합니다. 암시적 허용/거부 옵션은 선택되지 않은 다른 모든 커넥터 필터도 제어합니다. 예를 들어, 암시적 허용/거부 옵션이 허용으로 설정되어 있기 때문에 커넥터는 차단된 앱을 거부하지만 다른 모든 필터는 허용합니다.
  • 비활성 장치: 지정된 시간 내에 XenMobile과 통신하지 않은 장치의 장치 목록을 생성합니다. 이러한 장치는 비활성으로 간주됩니다. 필터는 그에 따라 장치를 허용하거나 거부합니다.
  • 누락된 필수 앱: 사용자가 등록할 때 설치해야 하는 필수 앱 목록을 받습니다. 누락된 필수 앱 필터는 하나 이상의 앱이 더 이상 존재하지 않음을 나타냅니다. 예를 들어, 사용자가 하나 이상의 앱을 삭제한 경우입니다.
  • 권장되지 않는 앱: 사용자가 등록할 때 설치해야 하는 앱 목록을 받습니다. 권장되지 않는 앱 필터는 해당 목록에 없는 앱에 대해 장치를 확인합니다.
  • 비준수 암호: 장치에 암호가 없는 모든 장치의 장치 목록을 생성합니다.
  • 비준수 장치: 자체 내부 IT 규정 준수 기준을 충족하는 장치를 거부하거나 허용할 수 있습니다. 규정 준수는 True 또는 False일 수 있는 부울 플래그인 Out of Compliance라는 장치 속성으로 정의되는 임의 설정입니다. (이 속성을 수동으로 생성하고 값을 설정하거나, 장치가 특정 기준을 충족하거나 충족하지 않는 경우 자동화된 작업을 사용하여 장치에 이 속성을 생성할 수 있습니다.)
    • 비준수 = True. 장치가 IT 부서에서 설정한 규정 준수 표준 및 정책 정의를 충족하지 않으면 장치는 비준수 상태입니다.
    • 비준수 = False. 장치가 IT 부서에서 설정한 규정 준수 표준 및 정책 정의를 충족하면 장치는 준수 상태입니다.
  • 해지 상태: 해지된 모든 장치의 장치 목록을 생성하고 해지 상태를 기반으로 허용하거나 거부합니다.
  • 루팅된 Android/탈옥된 iOS 장치. 루팅된 것으로 플래그 지정된 모든 장치의 장치 목록을 생성하고 루팅된 상태를 기반으로 허용하거나 거부합니다.
  • 관리되지 않는 장치. XenMobile 데이터베이스에 있는 모든 장치의 장치 목록을 생성합니다. 모바일 애플리케이션 게이트웨이는 차단 모드로 배포되어야 합니다.

Exchange ActiveSync용 Citrix Gateway connector에 대한 연결 구성

Exchange ActiveSync용 Citrix Gateway connector는 보안 웹 서비스를 통해 XenMobile 및 기타 원격 구성 공급자와 통신합니다.

  1. 커넥터 구성 유틸리티에서 구성 공급자(Config Providers) 탭을 클릭한 다음 추가(Add)를 클릭합니다.
  2. 구성 공급자(Config Providers) 대화 상자의 이름(Name)에 관리자 권한이 있고 XenMobile Server와의 기본 HTTP 권한 부여에 사용되는 사용자 이름을 입력합니다.
  3. URL에 XenMobile GCS의 웹 주소를 https://<FQDN>/<instanceName>/services/<MagConfigService> 형식으로 입력합니다. MagConfigService 이름은 대소문자를 구분합니다.
  4. 암호(Password)에 XenMobile Server와의 기본 HTTP 권한 부여에 사용되는 암호를 입력합니다.
  5. 관리 호스트(Managing Host)에 커넥터 서버 이름을 입력합니다.
  6. 기준 간격(Baseline Interval)에서 Device Manager에서 새로 고쳐진 동적 규칙 집합을 가져올 시간 간격을 지정합니다.
  7. 델타 간격(Delta interval)에서 동적 규칙 업데이트를 가져올 시간 간격을 지정합니다.
  8. 요청 시간 초과(Request Timeout)에서 서버 요청 시간 초과 간격을 지정합니다.
  9. 구성 공급자(Config Provider)에서 구성 공급자 서버 인스턴스가 정책 구성을 제공하는지 여부를 선택합니다.
  10. 이벤트 사용(Events Enabled)에서 커넥터가 장치가 차단될 때 XenMobile에 알리도록 하려면 이 옵션을 활성화합니다. 이 옵션은 XenMobile 자동화된 작업에서 커넥터 규칙을 사용하는 경우 필요합니다.
  11. 저장(Save)을 클릭한 다음 연결 테스트(Test Connectivity)를 클릭하여 게이트웨이-구성 공급자 연결을 테스트합니다. 연결에 실패하면 로컬 방화벽 설정이 연결을 허용하는지 확인하거나 관리자에게 문의하십시오.
  12. 연결에 성공하면 비활성화됨(Disabled) 확인란의 선택을 취소한 다음 저장(Save)을 클릭합니다.

새 구성 공급자를 추가하면 Exchange ActiveSync용 Citrix Gateway connector는 공급자와 연결된 하나 이상의 정책을 자동으로 생성합니다. 이러한 정책은 NewPolicyTemplate 섹션의 config\policyTemplates.xml에 포함된 템플릿 정의에 의해 정의됩니다. 이 섹션 내에 정의된 각 정책 요소에 대해 새 정책이 생성됩니다.

다음이 참인 경우 운영자는 정책 요소를 추가, 제거 또는 수정할 수 있습니다. 정책 요소가 스키마 정의를 준수하고 표준 대체 문자열(중괄호로 묶인)이 수정되지 않은 경우입니다. 다음으로, 공급자에 대한 새 그룹을 추가하고 새 그룹을 포함하도록 정책을 업데이트합니다.

XenMobile에서 정책 가져오기

  1. Exchange ActiveSync 구성 유틸리티용 Citrix Gateway connector에서 구성 공급자(Config Providers) 탭을 클릭한 다음 추가(Add)를 클릭합니다.
  2. 구성 공급자(Config Providers) 대화 상자의 이름(Name)에 XenMobile Server와의 기본 HTTP 권한 부여에 사용되며 관리자 권한이 있는 사용자 이름을 입력합니다.
  3. URL에 XenMobile Gateway Configuration Service(GCS)의 웹 주소를 https://<xdmHost>/xdm/services/<MagConfigService> 형식으로 입력합니다. MagConfigService 이름은 대소문자를 구분합니다.
  4. 암호(Password)에 XenMobile Server와의 기본 HTTP 권한 부여에 사용되는 암호를 입력합니다.
  5. 연결 테스트(Test Connectivity)를 클릭하여 게이트웨이-구성 공급자 연결을 테스트합니다. 연결에 실패하면 로컬 방화벽 설정이 연결을 허용하는지 확인하거나 관리자에게 문의하십시오.
  6. 연결에 성공하면 비활성화됨(Disabled) 확인란의 선택을 취소한 다음 저장(Save)을 클릭합니다.
  7. 관리 호스트(Managing Host)에서 로컬 호스트 컴퓨터의 기본 DNS 이름을 그대로 둡니다. 이 설정은 여러 Forefront Threat Management Gateway(TMG) 서버가 배열로 구성될 때 XenMobile과의 통신을 조정하는 데 사용됩니다.

    설정을 저장한 후 GCS를 엽니다.

Exchange ActiveSync용 Citrix Gateway connector 정책 모드 구성

Exchange ActiveSync용 Citrix Gateway connector는 다음 6가지 모드로 실행될 수 있습니다.

  • 모두 허용(Allow All). 이 정책 모드는 커넥터를 통과하는 모든 트래픽에 대한 액세스를 허용합니다. 다른 필터링 규칙은 사용되지 않습니다.
  • 모두 거부(Deny All). 이 정책 모드는 커넥터를 통과하는 모든 트래픽에 대한 액세스를 차단합니다. 다른 필터링 규칙은 사용되지 않습니다.
  • 정적 규칙: 차단 모드(Static Rules: Block Mode). 이 정책 모드는 끝에 암시적 거부 또는 차단 문과 함께 정적 규칙을 실행합니다. 커넥터는 다른 필터 규칙을 통해 허용되거나 승인되지 않은 장치를 차단합니다.
  • 정적 규칙: 허용 모드(Static Rules: Permit Mode). 이 정책 모드는 끝에 암시적 허용 또는 허용 문과 함께 정적 규칙을 실행합니다. 다른 필터 규칙을 통해 차단되거나 거부되지 않은 장치는 커넥터를 통해 허용됩니다.
  • 정적 + ZDM 규칙: 차단 모드(Static + ZDM Rules: Block Mode). 이 정책 모드는 먼저 정적 규칙을 실행한 다음, 끝에 암시적 거부 또는 차단 문과 함께 XenMobile의 동적 규칙을 실행합니다. 장치는 정의된 필터 및 Device Manager 규칙을 기반으로 허용되거나 거부됩니다. 정의된 필터 및 규칙과 일치하지 않는 모든 장치는 차단됩니다.
  • 정적 + ZDM 규칙: 허용 모드(Static + ZDM Rules: Permit Mode). 이 정책 모드는 먼저 정적 규칙을 실행한 다음, 끝에 암시적 허용 또는 허용 문과 함께 XenMobile의 동적 규칙을 실행합니다. 장치는 정의된 필터 및 XenMobile 규칙을 기반으로 허용되거나 거부됩니다. 정의된 필터 및 규칙과 일치하지 않는 모든 장치는 허용됩니다.

Exchange ActiveSync용 Citrix Gateway connector 프로세스는 XenMobile에서 수신한 iOS 및 Windows 기반 모바일 장치의 고유 ActiveSync ID를 기반으로 동적 규칙에 대한 허용 또는 차단을 수행합니다. Android 장치는 제조업체에 따라 동작이 다르며 일부는 고유 ActiveSync ID를 쉽게 노출하지 않습니다. 이를 보완하기 위해 XenMobile은 Android 장치에 대한 사용자 ID 정보를 전송하여 허용 또는 차단 결정을 내립니다. 결과적으로 사용자가 Android 장치를 하나만 가지고 있는 경우 허용 및 차단이 정상적으로 작동합니다. 사용자가 여러 Android 장치를 가지고 있는 경우 Android 장치를 구별할 수 없으므로 모든 장치가 허용됩니다. 알려진 경우 ActiveSyncID로 이러한 장치를 정적으로 차단하도록 게이트웨이를 구성할 수 있습니다. 또한 장치 유형 또는 사용자 에이전트를 기반으로 차단하도록 게이트웨이를 구성할 수도 있습니다.

정책 모드를 지정하려면 SMG Controller Configuration 유틸리티에서 다음을 수행하십시오.

  1. 경로 필터(Path Filters) 탭을 클릭한 다음 추가(Add)를 클릭합니다.
  2. 경로 속성(Path Properties) 대화 상자에서 정책(Policy) 목록에서 정책 모드를 선택한 다음 저장(Save)을 클릭합니다.

구성 유틸리티의 정책 탭에서 규칙을 검토할 수 있습니다. 규칙은 Citrix Gateway connector for Exchange ActiveSync에서 위에서 아래로 처리됩니다. 허용 정책은 녹색 확인 표시로 표시됩니다. 거부 정책은 빨간색 원에 선이 그어진 형태로 표시됩니다. 화면을 새로 고치고 가장 최신 규칙을 보려면 새로 고침을 클릭합니다. config.xml 파일에서 규칙 순서를 수정할 수도 있습니다.

규칙을 테스트하려면 시뮬레이터 탭을 클릭합니다. 필드에 값을 지정합니다. 이 값은 로그에서도 얻을 수 있습니다. 허용 또는 차단을 지정하는 결과 메시지가 나타납니다.

정적 규칙 구성

ActiveSync 연결 HTTP 요청의 ISAPI 필터링이 읽는 값을 사용하여 정적 규칙을 입력합니다. 정적 규칙을 통해 Citrix Gateway connector for Exchange ActiveSync는 다음 기준에 따라 트래픽을 허용하거나 차단할 수 있습니다.

  • 사용자: Citrix Gateway connector for Exchange ActiveSync는 장치 등록 중에 캡처된 권한 있는 사용자 값 및 이름 구조를 사용합니다. 이는 LDAP를 통해 Active Directory에 연결된 XenMobile을 실행하는 서버에서 참조하는 domain\username으로 일반적으로 발견됩니다. 커넥터 구성 유틸리티 내의 로그 탭에는 커넥터를 통해 전달되는 값이 표시됩니다. 값 구조를 확인해야 하거나 다른 경우 값이 전달됩니다.
  • 장치 ID (ActiveSyncID): 연결된 장치의 ActiveSyncID로도 알려져 있습니다. 이 값은 일반적으로 XenMobile 콘솔의 특정 장치 속성 페이지에서 찾을 수 있습니다. 이 값은 커넥터 구성 유틸리티의 로그 탭에서도 확인할 수 있습니다.
  • 장치 유형: 커넥터는 장치가 iPhone, iPad 또는 다른 장치 유형인지 확인할 수 있으며 해당 기준에 따라 허용하거나 차단할 수 있습니다. 다른 값과 마찬가지로 커넥터 구성 유틸리티는 ActiveSync 연결에 대해 처리되는 모든 연결된 장치 유형을 표시할 수 있습니다.
  • 사용자 에이전트: 사용되는 ActiveSync 클라이언트에 대한 정보가 포함됩니다. 일반적으로 지정된 값은 모바일 장치 플랫폼의 특정 운영 체제 빌드 및 버전에 해당합니다.

서버에서 실행되는 커넥터 구성 유틸리티는 항상 정적 규칙을 관리합니다.

  1. SMG 컨트롤러 구성 유틸리티에서 정적 규칙 탭을 클릭한 다음 추가를 클릭합니다.
  2. 정적 규칙 속성 대화 상자에서 기준으로 사용할 값을 지정합니다. 예를 들어, 사용자 이름(예: AllowedUser)을 입력하여 액세스를 허용할 사용자를 입력한 다음 비활성화됨 확인란을 선택 취소할 수 있습니다.
  3. 저장을 클릭합니다.

    정적 규칙이 이제 적용됩니다. 또한 정규식을 사용하여 값을 정의할 수 있지만, config.xml 파일에서 규칙 처리 모드를 활성화해야 합니다.

동적 규칙 구성

XenMobile의 장치 정책 및 속성은 동적 규칙을 정의하며 Exchange ActiveSync 필터에 대한 동적 Citrix Gateway 커넥터를 트리거할 수 있습니다. 트리거는 정책 위반 또는 속성 설정의 존재 여부를 기반으로 합니다. 커넥터 필터는 지정된 정책 위반 또는 속성 설정에 대해 장치를 분석하여 작동합니다. 장치가 기준을 충족하면 장치 목록에 배치됩니다. 이 장치 목록은 허용 목록 또는 차단 목록이 아닙니다. 이는 정의된 기준을 충족하는 장치 목록입니다. 다음 구성 옵션을 통해 커넥터를 사용하여 장치 목록의 장치를 허용하거나 거부할지 여부를 정의할 수 있습니다.

참고:

동적 규칙을 구성하려면 XenMobile 콘솔을 사용해야 합니다.

  1. XenMobile 콘솔에서 오른쪽 상단 모서리에 있는 톱니바퀴 아이콘을 클릭합니다. 설정 페이지가 나타납니다.

  2. 서버 아래에서 ActiveSync Gateway를 클릭합니다. ActiveSync Gateway 페이지가 나타납니다.

  3. 다음 규칙 활성화에서 활성화할 규칙을 하나 이상 선택합니다.

  4. Android 전용에서 Android 도메인 사용자를 ActiveSync Gateway로 보내기에서 를 클릭하여 XenMobile이 Android 장치 정보를 Secure Mobile Gateway로 보내도록 합니다.

    이 옵션을 활성화하면 XenMobile에 Android 장치 사용자에 대한 ActiveSync 식별자가 없는 경우 XenMobile은 Android 장치 정보를 Citrix Gateway connector for Exchange ActiveSync로 보냅니다.

Exchange ActiveSync XML 파일용 Citrix Gateway 커넥터를 편집하여 사용자 지정 정책 구성

Exchange ActiveSync 구성 유틸리티용 Citrix Gateway 커넥터의 정책 탭에서 기본 구성의 기본 정책을 볼 수 있습니다. 사용자 지정 정책을 생성하려면 커넥터 XML 구성 파일(config\config.xml)을 편집할 수 있습니다.

  1. 파일에서 PolicyList 섹션을 찾은 다음 새 Policy 요소를 추가합니다.
  2. 다른 정적 그룹 또는 다른 GCP를 지원하는 그룹과 같이 새 그룹도 필요한 경우 새 Group 요소를 GroupList 섹션에 추가합니다.
  3. 선택적으로 GroupRef 요소를 재정렬하여 기존 정책 내에서 그룹 순서를 변경할 수 있습니다.

Exchange ActiveSync XML 파일용 Citrix Gateway 커넥터 구성

Citrix Gateway connector for Exchange ActiveSync는 XML 구성 파일을 사용하여 커넥터의 동작을 지시합니다. 다른 항목 중에서 이 파일은 HTTP 요청을 평가할 때 필터가 수행하는 그룹 파일 및 관련 작업을 지정합니다. 기본적으로 파일 이름은 config.xml이며 다음 위치에서 찾을 수 있습니다. ..\Program Files\Citrix\XenMobile Citrix ADC Connector\config.

GroupRef 노드

GroupRef 노드는 논리적 그룹 이름을 정의합니다. 기본값은 AllowGroup 및 DenyGroup입니다.

참고:

GroupRefList 노드에 나타나는 GroupRef 노드의 순서는 중요합니다.

GroupRef 노드의 ID 값은 특정 사용자 계정 또는 장치를 일치시키는 데 사용되는 논리적 컨테이너 또는 멤버 컬렉션을 식별합니다. 작업 특성은 컬렉션의 규칙과 일치하는 멤버를 필터가 처리하는 방법을 지정합니다. 예를 들어, AllowGroup 세트의 규칙과 일치하는 사용자 계정 또는 장치는 “통과”합니다. 통과한다는 것은 Exchange CAS에 액세스할 수 있도록 허용됨을 의미합니다. DenyGroup 세트의 규칙과 일치하는 사용자 계정 또는 장치는 “거부”됩니다. 거부된다는 것은 Exchange CAS에 액세스할 수 없음을 의미합니다.

특정 사용자 계정/장치 또는 조합이 두 그룹의 규칙을 모두 충족할 때, 요청의 결과를 지시하기 위해 우선순위 규칙이 사용됩니다. 우선순위는 config.xml 파일의 GroupRef 노드 순서(위에서 아래로)에 구현됩니다. GroupRef 노드는 우선순위 순서로 순위가 매겨집니다. 허용 그룹의 특정 조건에 대한 규칙은 항상 거부 그룹의 동일한 조건에 대한 규칙보다 우선합니다.

그룹 노드

또한 config.xml은 그룹 노드를 정의합니다. 이 노드는 논리적 컨테이너인 AllowGroup 및 DenyGroup을 외부 XML 파일에 연결합니다. 외부 파일에 저장된 항목은 필터 규칙의 기반을 형성합니다.

참고:

이 릴리스에서는 외부 XML 파일만 지원됩니다.

기본 설치는 구성에서 allow.xml 및 deny.xml이라는 두 개의 XML 파일을 구현합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 구성

다음 속성인 Active Sync 서비스 ID, 장치 유형, 사용자 에이전트(장치 운영 체제), 권한 있는 사용자ActiveSync 명령을 기반으로 ActiveSync 요청을 선택적으로 차단하거나 허용하도록 Exchange ActiveSync용 Citrix Gateway 커넥터를 구성할 수 있습니다.

기본 구성은 정적 및 동적 그룹의 조합을 지원합니다. SMG 컨트롤러 구성 유틸리티를 사용하여 정적 그룹을 유지 관리합니다. 정적 그룹은 특정 사용자 에이전트를 사용하는 모든 장치와 같이 알려진 장치 범주로 구성될 수 있습니다.

Gateway 구성 공급자라고 하는 외부 소스가 동적 그룹을 유지 관리합니다. Citrix Gateway connector for Exchange ActiveSync는 주기적으로 그룹을 연결합니다. XenMobile은 허용 및 차단된 장치 및 사용자 그룹을 커넥터로 내보낼 수 있습니다.

동적 그룹은 Gateway 구성 공급자라고 하는 외부 소스에 의해 유지 관리되며 Citrix Gateway connector for Exchange ActiveSync에 의해 주기적으로 수집됩니다. XenMobile은 허용 및 차단된 장치 및 사용자 그룹을 커넥터로 내보낼 수 있습니다.

정책은 각 그룹에 관련 작업(허용 또는 차단)과 그룹 멤버 목록이 있는 정렬된 그룹 목록입니다. 정책에는 원하는 수의 그룹이 있을 수 있습니다. 정책 내 그룹 순서는 일치하는 항목이 발견되면 해당 그룹의 작업이 수행되고 후속 그룹은 평가되지 않으므로 중요합니다.

멤버는 요청의 속성을 일치시키는 방법을 정의합니다. 장치 ID와 같은 단일 속성 또는 장치 유형 및 사용자 에이전트와 같은 여러 속성을 일치시킬 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터의 보안 모델 선택

보안 모델을 수립하는 것은 모든 규모의 조직에서 성공적인 모바일 장치 배포에 필수적입니다. 기본적으로 사용자, 컴퓨터 또는 장치에 대한 액세스를 허용하기 위해 보호되거나 격리된 네트워크 제어를 사용하는 것이 일반적입니다. 이 방법이 항상 이상적인 것은 아닙니다. IT 보안을 관리하는 모든 조직은 모바일 장치 보안에 대해 약간 다르거나 맞춤화된 접근 방식을 가질 수 있습니다.

동일한 논리가 모바일 장치 보안에도 적용됩니다. 수많은 모바일 장치 및 유형, 사용자당 모바일 장치, 사용 가능한 운영 체제 플랫폼 및 앱으로 인해 허용 모델을 사용하는 것은 약한 선택입니다. 대부분의 조직에서는 제한 모델이 가장 논리적인 선택입니다.

Citrix가 Exchange ActiveSync용 Citrix Gateway 커넥터와 XenMobile을 통합하기 위해 허용하는 구성 시나리오는 다음과 같습니다.

허용 모델 (허용 모드)

허용 보안 모델은 모든 것이 기본적으로 허용되거나 액세스 권한이 부여된다는 전제하에 작동합니다. 규칙 및 필터링을 통해서만 무언가가 차단되고 제한이 적용됩니다. 허용 보안 모델은 모바일 장치에 대한 보안 우려가 비교적 느슨한 조직에 적합합니다. 이 모델은 적절한 경우(정책 규칙이 실패할 때) 액세스를 거부하기 위해 제한적인 제어만 적용합니다.

제한적 모델 (차단 모드)

제한적 보안 모델은 기본적으로 아무것도 허용되거나 액세스 권한이 부여되지 않는다는 전제에 기반합니다. 보안 검사 지점을 통과하는 모든 것은 필터링되고 검사되며, 액세스를 허용하는 규칙이 통과되지 않으면 액세스가 거부됩니다. 제한적 보안 모델은 모바일 장치에 대한 비교적 엄격한 보안 기준을 가진 조직에 적합합니다. 이 모드는 액세스를 허용하는 모든 규칙이 통과될 때만 네트워크 서비스 사용 및 기능에 대한 액세스를 허용합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 관리

Exchange ActiveSync용 Citrix Gateway 커넥터를 사용하여 액세스 제어 규칙을 구축할 수 있습니다. 이 규칙은 관리되는 장치에서 ActiveSync 연결 요청에 대한 액세스를 허용하거나 차단합니다. 액세스는 장치 상태, 앱 허용 또는 차단 목록 및 기타 규정 준수 조건에 따라 결정됩니다.

Exchange ActiveSync 구성 유틸리티용 Citrix Gateway 커넥터를 사용하면 기업 이메일 정책을 적용하는 동적 및 정적 규칙을 구축하여 규정 준수 표준을 위반하는 사용자를 차단할 수 있습니다. 또한 이메일 첨부 파일 암호화를 설정하여 Exchange Server를 통해 관리되는 장치로 전달되는 모든 첨부 파일이 암호화되며, 승인된 사용자만 관리되는 장치에서 볼 수 있도록 할 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 제거

  1. 관리자 계정으로 XncInstaller.exe를 실행합니다.
  2. 화면의 지시에 따라 제거를 완료합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 설치, 업그레이드 또는 제거

  1. 관리자 계정으로 XncInstaller.exe를 실행하여 커넥터를 설치하거나 기존 커넥터의 업그레이드 또는 제거를 허용합니다.
  2. 화면의 지시에 따라 설치, 업그레이드 또는 제거를 완료합니다.

커넥터를 설치한 후에는 XenMobile 구성 서비스 및 알림 서비스를 수동으로 다시 시작해야 합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 설치

Exchange ActiveSync용 Citrix Gateway 커넥터는 별도의 Windows Server에 설치합니다.

커넥터가 서버에 가하는 CPU 부하는 관리되는 장치 수에 따라 달라집니다. 많은 수의 장치(50,000개 이상)의 경우, 클러스터링된 환경이 없는 경우 둘 이상의 코어를 프로비저닝해야 할 수 있습니다. 커넥터의 메모리 사용량은 더 많은 메모리를 할당할 만큼 중요하지 않습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 시스템 요구 사항

Exchange ActiveSync용 Citrix Gateway 커넥터는 Citrix ADC 어플라이언스에 구성된 SSL 브리지를 통해 Citrix ADC와 통신합니다. 이 브리지를 통해 어플라이언스는 모든 보안 트래픽을 XenMobile로 직접 브리지할 수 있습니다. 커넥터에는 다음 최소 시스템 구성이 필요합니다.

구성 요소 요구 사항
컴퓨터 및 프로세서 733MHz Pentium III 733MHz 이상 프로세서. 2.0GHz Pentium III 이상 프로세서(권장)
Citrix ADC 소프트웨어 버전 10이 설치된 Citrix ADC 어플라이언스
메모리 1GB
하드 디스크 150MB의 사용 가능한 하드 디스크 공간이 있는 NTFS 형식의 로컬 파티션
운영 체제 Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2008 R2 서비스 팩 1. 영어 기반 서버여야 합니다. Windows Server 2008 R2 서비스 팩 1 지원은 2020년 1월 14일에 종료되며, Windows Server 2012 R2 지원은 2023년 10월 10일에 종료됩니다.
기타 장치 내부 네트워크 통신을 위한 호스트 운영 체제와 호환되는 네트워크 어댑터
Microsoft .NET Framework 버전 8.5.1.11에는 Microsoft .NET Framework 4.5가 필요합니다.
디스플레이 VGA 또는 고해상도 모니터

Exchange ActiveSync용 Citrix Gateway 커넥터의 호스트 컴퓨터에는 다음 최소 사용 가능한 하드 디스크 공간이 필요합니다.

  • 애플리케이션: 10–15MB (100MB 권장)
  • 로깅: 1GB (20GB 권장)

Exchange ActiveSync용 Citrix Gateway 커넥터의 플랫폼 지원에 대한 자세한 내용은 지원되는 장치 운영 체제를 참조하십시오.

장치 이메일 클라이언트

모든 이메일 클라이언트가 장치에 대해 일관되게 동일한 ActiveSync ID를 반환하는 것은 아닙니다. Exchange ActiveSync용 Citrix Gateway 커넥터는 각 장치에 대해 고유한 ActiveSync ID를 기대하므로, 다음이 적용됩니다. 각 장치에 대해 일관되게 동일하고 고유한 ActiveSync ID를 생성하는 이메일 클라이언트만 지원됩니다. Citrix는 이러한 이메일 클라이언트를 테스트했으며, 클라이언트는 오류 없이 작동했습니다.

  • Samsung 기본 이메일 클라이언트
  • iOS 기본 이메일 클라이언트

Exchange ActiveSync용 Citrix Gateway 커넥터 배포

Exchange ActiveSync용 Citrix Gateway 커넥터는 Citrix ADC를 사용하여 XenMobile Server와 XenMobile 관리 장치 간의 통신을 프록시하고 로드 밸런싱할 수 있도록 합니다. 커넥터는 정책을 동기화하기 위해 XenMobile과 주기적으로 통신합니다. 커넥터와 XenMobile은 함께 또는 독립적으로 클러스터링될 수 있으며, Citrix ADC에 의해 로드 밸런싱될 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 구성 요소

  • Exchange ActiveSync용 Citrix Gateway 커넥터 서비스: 이 서비스는 Citrix ADC가 장치로부터의 ActiveSync 요청이 승인되었는지 여부를 결정하기 위해 호출할 수 있는 REST 웹 서비스 인터페이스를 제공합니다.
  • XenMobile 구성 서비스: 이 서비스는 XenMobile과 통신하여 XenMobile 정책 변경 사항을 커넥터와 동기화합니다.
  • XenMobile 알림 서비스: 이 서비스는 승인되지 않은 장치 액세스에 대한 알림을 XenMobile로 보냅니다. 이러한 방식으로 XenMobile은 장치가 차단된 이유를 사용자에게 알리는 등 적절한 조치를 취할 수 있습니다.
  • Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티: 이 애플리케이션은 관리자가 커넥터를 구성하고 모니터링할 수 있도록 합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터의 수신 주소 설정

Exchange ActiveSync용 Citrix Gateway 커넥터가 ActiveSync 트래픽을 승인하기 위해 Citrix ADC로부터 요청을 수신하려면 다음을 수행하십시오. 커넥터가 Citrix ADC 웹 서비스 호출을 수신하는 포트를 지정하십시오.

  1. 시작 메뉴에서 Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티를 선택합니다.
  2. 웹 서비스 탭을 클릭한 다음 커넥터 웹 서비스의 수신 주소를 입력합니다. HTTP 또는 HTTPS 또는 둘 다를 선택할 수 있습니다. 커넥터가 XenMobile과 함께 상주하는 경우(동일한 서버에 설치된 경우), XenMobile과 충돌하지 않는 포트 값을 선택하십시오.
  3. 값이 구성되면 저장을 클릭한 다음 서비스 시작을 클릭하여 웹 서비스를 시작합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터에서 장치 액세스 제어 정책 구성

관리되는 장치에 적용할 액세스 제어 정책을 구성하려면 다음을 수행하십시오.

  1. Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티에서 경로 필터 탭을 클릭합니다.
  2. 첫 번째 행인 Microsoft-Server-ActiveSync는 ActiveSync용입니다.를 선택한 다음 편집을 클릭합니다.
  3. 정책 목록에서 원하는 정책을 선택합니다. XenMobile 정책을 포함하는 정책의 경우 정적 + ZDM: 허용 모드 또는 정적 + ZDM: 차단 모드를 선택합니다. 이러한 정책은 로컬(또는 정적) 규칙과 XenMobile의 규칙을 결합합니다. 허용 모드는 규칙에 의해 명시적으로 식별되지 않은 모든 장치가 ActiveSync에 액세스할 수 있음을 의미합니다. 차단 모드는 해당 장치가 차단됨을 의미합니다.
  4. 정책을 설정한 후 저장을 클릭합니다.

XenMobile과의 통신 구성

Exchange ActiveSync용 Citrix Gateway 커넥터 및 Citrix ADC와 함께 사용할 XenMobile Server(구성 공급자라고도 함)의 이름과 속성을 지정하십시오.

참고:

이 작업은 XenMobile을 이미 설치하고 구성했다고 가정합니다.

  1. Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티에서 구성 공급자 탭을 클릭한 다음 추가를 클릭합니다.
  2. 이 배포에서 사용 중인 XenMobile Server의 이름과 URL을 입력합니다. 다중 테넌트 배포에 여러 XenMobile Server가 배포된 경우, 이 이름은 각 서버 인스턴스에 대해 고유해야 합니다. 예를 들어, 이름XMS를 입력할 수 있습니다.
  3. URL에 XenMobile GlobalConfig Provider(GCP)의 웹 주소를 입력합니다. 일반적으로 https://<FQDN>/<instanceName>/services/<MagConfigService> 형식입니다. MagConfigService 이름은 대소문자를 구분합니다.
  4. 암호에 XenMobile 웹 서버와의 기본 HTTP 인증에 사용되는 암호를 입력합니다.
  5. 관리 호스트에 Exchange ActiveSync용 Citrix Gateway 커넥터를 설치한 서버 이름을 입력합니다.
  6. 기준 간격에 XenMobile에서 새로 고쳐진 동적 규칙 집합을 가져오는 기간을 지정합니다.
  7. 요청 시간 초과에 서버 요청 시간 초과 간격을 지정합니다.
  8. 구성 공급자에서 구성 공급자 서버 인스턴스가 정책 구성을 제공하는지 여부를 선택합니다.
  9. 이벤트 사용에서 장치가 차단될 때 Secure Mobile Gateway가 XenMobile에 알리도록 하려면 이 옵션을 활성화합니다. Device Manager 자동화된 작업에서 Secure Mobile Gateway 규칙을 사용하는 경우 이 옵션이 필요합니다.
  10. 서버를 구성한 후 연결 테스트를 클릭하여 XenMobile에 대한 연결을 테스트합니다.
  11. 연결이 설정되면 저장을 클릭합니다.

이중화 및 확장성을 위한 Exchange ActiveSync용 Citrix Gateway 커넥터 배포

Exchange ActiveSync용 Citrix Gateway 커넥터 및 XenMobile 배포를 확장하려면 여러 Windows Server에 커넥터 인스턴스를 설치하고 모두 동일한 XenMobile 인스턴스를 가리키도록 한 다음 Citrix ADC를 사용하여 서버의 로드 밸런싱을 수행할 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 구성에는 두 가지 모드가 있습니다.

  • 비공유 모드에서는 각 Exchange ActiveSync용 Citrix Gateway 커넥터 인스턴스가 XenMobile Server와 통신하고 결과 정책의 자체 비공개 복사본을 유지합니다. 예를 들어, XenMobile Server 클러스터가 있는 경우 각 XenMobile Server에서 커넥터 인스턴스를 실행할 수 있으며 커넥터는 로컬 XenMobile 인스턴스에서 정책을 가져옵니다.
  • 공유 모드에서는 하나의 커넥터 노드가 기본 노드로 선택되어 XenMobile과 통신합니다. 결과 구성은 Windows 네트워크 공유 또는 Windows(또는 타사) 복제를 통해 다른 노드와 공유됩니다.

전체 커넥터 구성은 단일 폴더(몇 개의 XML 파일로 구성됨)에 있습니다. 커넥터 프로세스는 이 폴더의 파일 변경 사항을 감지하고 구성을 자동으로 다시 로드합니다. 공유 모드에서는 기본 노드에 대한 페일오버가 없습니다. 그러나 마지막으로 알려진 올바른 구성이 커넥터 프로세스에 캐시되어 있으므로 시스템은 기본 서버가 몇 분 동안 다운되는 것을 허용할 수 있습니다(예: 다시 시작하기 위해).