XenMobile Server

Exchange ActiveSync용 Citrix Gateway 커넥터

XenMobile Citrix ADC Connector는 이제 Exchange ActiveSync용 Citrix Gateway입니다. Citrix 통합 포트폴리오에 대한 자세한 내용은 Citrix 제품 가이드를 참조하십시오.

Exchange ActiveSync용 커넥터는 Exchange ActiveSync 프로토콜의 역방향 프록시 역할을 하는 Citrix ADC에 ActiveSync 클라이언트의 장치 수준 인증 서비스를 제공합니다. 인증은 XenMobile 내에서 정의된 정책의 조합과 Exchange ActiveSync용 Citrix Gateway 커넥터에서 로컬로 정의된 규칙으로 제어됩니다.

자세한 내용은 ActiveSync Gateway를 참조하십시오.

자세한 참조 아키텍처 다이어그램은 아키텍처를 참조하십시오.

Exchange ActiveSync용 Citrix Gateway 커넥터의 현재 릴리스는 버전 8.5.2입니다.

중요:

2022년 10월부터 Exchange ActiveSync용 Endpoint Management 및 Citrix Gateway 커넥터는 Microsoft가 여기에서 발표한 인증 변경사항에 따라 더 이상 Exchange Online을 지원하지 않습니다. Exchange용 Endpoint Management 커넥터는 Microsoft Exchange Server(온-프레미스)에서 계속 작동합니다.

새로운 항목

이후 섹션에는 이전의 XenMobile Citrix ADC Connector인 Exchange ActiveSync용 Citrix Gateway 커넥터의 현재 및 이전 버전에 대한 새로운 기능이 나열됩니다.

버전 8.5.3의 새로운 기능

  • 이 릴리스에는 ActiveSync 프로토콜 16.0 및 16.1에 대한 지원이 추가되었습니다.
  • Google Analytics로 전송되는 분석에 특히 스냅샷과 관련하여 더 많은 세부 정보가 추가되었습니다. [CXM-52261]

버전 8.5.2의 새로운 기능

  • XenMobile Citrix ADC Connector는 이제 Exchange ActiveSync용 Citrix Gateway입니다.

이 릴리스에서는 다음과 같은 문제가 수정되었습니다.

  • 둘 이상의 기준이 정책 규칙을 정의하는 데 사용되고 이러한 기준 중 하나에 사용자 ID가 포함된 경우 사용자에게 여러 별칭이 있으면 규칙을 적용 할 때 별칭이 확인되지 않는 문제가 발생할 수 있습니다. [CXM-55355]

참고:

다음의 새로운 기능 섹션에는 Exchange ActiveSync용 Citrix Gateway 커넥터가 이전 이름인 XenMobile Citrix ADC Connector로 나타납니다. 이 이름은 버전 8.5.2에서 변경되었습니다.

버전 8.5.1.11의 새로운 기능

  • 시스템 요구 사항 변경: Citrix ADC Connector의 현재 버전에는 Microsoft .NET Framework 4.5가 필요합니다.

  • Google Analytics 지원: XenMobile Citrix ADC Connector가 어떻게 사용되는지를 확인하여 제품의 개선 영역에 집중할 수 있습니다.

  • TLS 1.1 및 1.2에 대한 지원: PCI Council에서는 보안이 취약한 TLS 1.0의 사용을 중지하고 있습니다. XenMobile Citrix ADC Connector에는 TLS 1.1 및 1.2에 대한 지원이 추가되었습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 모니터링

Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티는 Exchange Server를 통과하면서 Secure Mobile Gateway에 의해 허용 또는 차단된 모든 트래픽을 볼 수 있는 자세한 로깅을 제공합니다.

로그 탭을 사용하면 권한 부여를 위해 Citrix ADC가 Exchange ActiveSync용 커넥터로 전달한 ActiveSync 요청의 기록을 볼 수 있습니다.

또한 Exchange ActiveSync용 Citrix Gateway 커넥터 웹 서비스가 실행 중인지 확인하려면 커넥터 서버의 브라우저에 URL https://<host:port>/services/ActiveSync/Version을 로드합니다. URL이 제품 버전을 문자열로 반환하면 웹 서비스가 응답하는 상태입니다.

Exchange ActiveSync용 Citrix Gateway 커넥터로 ActiveSync 트래픽을 시뮬레이션하려면

Exchange ActiveSync용 Citrix Gateway 커넥터를 사용하여 정책과 관련된 ActiveSync 트래픽을 시뮬레이션할 수 있습니다. 커넥터 구성 유틸리티에서 Simulator(시뮬레이터) 탭을 선택합니다. 결과에는 구성한 규칙에 따라 정책이 적용되는 방식이 표시됩니다.

Exchange ActiveSync용 Citrix Gateway 커넥터에 대한 필터 선택

Exchange ActiveSync용 Citrix Gateway 커넥터 필터는 장치의 정책 위반 또는 속성 설정을 분석하여 작동합니다. 장치가 조건을 충족하면 장치가 장치 목록에 배치됩니다. 이 장치 목록은 허용 목록이나 차단 목록이 아닙니다. 정의된 조건을 충족하는 장치의 목록입니다. XenMobile 내에서 커넥터에 사용 가능한 필터는 다음과 같습니다. 각 필터에는 Allow(허용) 또는 Deny(거부)의 두 옵션이 있습니다.

  • 익명 장치: XenMobile에 등록되었지만 사용자의 ID를 알 수 없는 장치를 허용 또는 거부합니다. 예를 들어 등록은 되었지만 사용자의 Active Directory 암호가 만료된 사용자 또는 알 수 없는 자격 증명으로 등록된 사용자일 수 있습니다.
  • Samsung KNOX 증명 실패: Samsung 장치에는 보안과 진단을 위한 기능이 있습니다. 이 필터는 장치가 KNOX에 대해 설정되었다는 확인을 제공합니다. 자세한 내용은 Samsung Knox를 참조하십시오.
  • 금지된 앱: 차단 목록 정책에 정의된 장치 목록 및 차단된 앱의 존재 여부를 기준으로 장치를 허용하거나 거부합니다.
  • 암시적 허용/거부: 다른 필터 규칙 조건을 충족하지 않는 모든 장치의 장치 목록을 만들고 해당 목록을 기반으로 허용 또는 거부합니다. 암시적 허용/거부 옵션을 사용하면 장치 탭에서 Exchange ActiveSync용 Citrix Gateway 커넥터 상태가 사용되고 장치의 커넥터 상태가 표시됩니다. 또한 암시적 허용/거부 옵션은 선택되지 않은 다른 모든 커넥터 필터도 제어합니다. 예를 들어 차단된 앱은 커넥터에 의해 거부되지만 암시적 허용/거부 옵션이 허용으로 설정되었기 때문에 다른 모든 필터는 허용됩니다.
  • 비활성 장치: 지정된 시간 동안 XenMobile과 통신하지 않은 장치의 장치 목록을 만듭니다. 이러한 장치는 비활성 상태로 간주됩니다. 필터는 그에 따라 장치를 허용 또는 거부합니다.
  • 누락된 필수 앱: 사용자가 등록하면 설치해야 하는 필수 앱 목록을 받게 됩니다. 누락된 필수 앱 필터는 예를 들어 사용자가 하나 이상의 앱을 삭제하여 하나 이상의 앱이 더 이상 없음을 나타냅니다.
  • 비추천 앱: 사용자가 등록하면 설치해야 하는 앱 목록을 받게 됩니다. 비추천 앱 필터는 해당 목록에 없는 앱이 장치에 있는지 확인합니다.
  • 규정을 준수하지 않는 암호: 장치에 암호가 없는 모든 장치의 장치 목록을 만듭니다.
  • 규정 위반 장치: 자체 내부 IT 규정 준수 조건을 충족하는 장치를 거부하거나 허용할 수 있습니다. 규정 준수는 규정 위반이라는 이름의 장치 속성(True 또는 False인 부울 플래그)으로 정의되는 임의의 설정입니다. 이 속성은 수동으로 만들어서 값을 설정하거나 장치가 특정 조건을 충족하거나 충족하지 않는 경우 자동화된 동작을 사용하여 장치에서 이 속성을 만들 수 있습니다.
    • 규정 위반 = True. 장치가 IT 부서에서 설정한 규정 표준 및 정책 정의를 충족하지 않는 경우 장치는 규정을 위반하는 것입니다.
    • 규정 위반 = False. 장치가 IT 부서에서 설정한 규정 표준 및 정책 정의를 충족하는 경우 장치는 규정을 준수하는 것입니다.
  • 해지된 상태: 모든 해지된 장치의 장치 목록을 만들고 해지된 상태를 기반으로 하여 허용 또는 거부합니다.
  • 루팅된 Android/탈옥 iOS 장치. 루팅된 것으로 플래그 지정된 모든 장치의 장치 목록을 만들고 루팅된 상태에 따라 허용 또는 거부합니다.
  • 관리되지 않는 장치. XenMobile 데이터베이스에 있는 모든 장치의 장치 목록을 만듭니다. 모바일 응용 프로그램 게이트웨이는 차단 모드에서 배포해야 합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터에 대한 연결을 구성하려면

Exchange ActiveSync용 Citrix Gateway 커넥터는 Secure Web 서비스를 통해 XenMobile 및 다른 원격 구성 공급자와 통신합니다.

  1. 커넥터 구성 유틸리티에서 Config Providers(구성 공급자) 탭을 클릭하고 Add(추가)를 클릭합니다.
  2. Config Providers(구성 공급자) 대화 상자의 Name(이름)에서 관리 권한이 있는 사용자 이름을 입력합니다. 이 이름은 XenMobile Server와의 기본 HTTP 인증에 사용됩니다.
  3. Url에서 XenMobile GCS의 웹 주소를 입력합니다(일반적으로 https://<FQDN>/<instanceName>/services/<MagConfigService> 형식). MagConfigService 이름은 대/소문자를 구분합니다.
  4. Password(암호)에서 XenMobile Server와의 기본 HTTP 인증에 사용되는 암호를 입력합니다.
  5. Managing Host(호스트 관리)에서 커넥터 서버 이름을 입력합니다.
  6. Baseline Interval(기준 간격)에서 새로 고친 동적 규칙 집합을 Device Manager에서 가져올 기간을 지정합니다.
  7. Delta interval(델타 간격)에서 동적 규칙의 업데이트를 가져올 기간을 지정합니다.
  8. Request Timeout(요청 시간 초과)에서 서버 요청 시간 초과 간격을 지정합니다.
  9. Config Provider(구성 공급자)에서 구성 공급자 서버 인스턴스가 정책 구성을 제공하는지 여부를 선택합니다.
  10. Events Enabled(이벤트 사용)에서는 장치가 차단되었을 때 커넥터가 XenMobile에 알리도록 하려면 이 옵션을 선택합니다. XenMobile 자동화된 동작에서 커넥터 규칙을 사용하는 경우 이 옵션이 필요합니다.
  11. Save(저장)를 클릭한 다음 Test Connectivity(연결 테스트)를 클릭하여 게이트웨이와 구성 공급자의 연결을 테스트합니다. 연결이 실패하면 로컬 방화벽 설정에서 연결이 허용되는지 확인하거나 관리자에게 문의하십시오.
  12. 연결이 성공하면 Disabled(사용 안 함) 확인란을 선택 취소한 다음 Save(저장)를 클릭합니다.

새 구성 공급자를 추가하면 Exchange ActiveSync용 Citrix Gateway 커넥터는 공급자와 연결된 하나 이상의 정책을 자동으로 생성합니다. 이러한 정책은 NewPolicyTemplate 섹션의 config\policyTemplates.xml에 포함된 템플릿 정의로 정의됩니다. 이 섹션 내에 정의된 각 정책 요소에 대해 새 정책이 생성됩니다.

운영자는 정책 요소가 스키마 정의를 준수하며 표준 대체 문자열(중괄호 안에 포함됨)을 수정하지 않는 범위에서 정책 요소를 추가, 제거 또는 수정할 수 있습니다. 그런 다음 공급자에 대한 새 그룹을 추가하고 새 그룹이 포함되도록 정책을 업데이트합니다.

XenMobile에서 정책을 가져오려면

  1. Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티에서 Config Providers(구성 공급자) 탭을 클릭하고 Add(추가)를 클릭합니다.
  2. Config Providers(구성 공급자) 대화 상자의 Name(이름)에서 XenMobile Server와의 기본 HTTP 인증에 사용되며 관리 권한이 있는 사용자 이름을 입력합니다.
  3. Url에서 XenMobile GCS(Gateway Configuration Service)의 웹 주소를 입력합니다(일반적으로 https://<xdmHost>/xdm/services/<MagConfigService> 형식). MagConfigService 이름은 대/소문자를 구분합니다.
  4. Password(암호)에서 XenMobile Server와의 기본 HTTP 인증에 사용되는 암호를 입력합니다.
  5. Test Connectivity(연결 테스트)를 클릭하여 게이트웨이와 구성 공급자의 연결을 테스트합니다. 연결이 실패하면 로컬 방화벽 설정에서 연결이 허용되는지 확인하거나 관리자에게 문의하십시오.
  6. 연결이 성공하면 Disabled(사용 안 함) 확인란을 선택 취소한 다음 Save(저장)를 클릭합니다.
  7. Managing Host(호스트 관리)에서 로컬 호스트 컴퓨터의 기본 DNS 이름을 그대로 둡니다. 이 설정은 다수의 Forefront TMG(Threat Management Gateway) 서버가 배열로 구성된 경우 XenMobile와의 통신을 조정하는 데 사용됩니다.

    설정을 저장한 후 GCS를 엽니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 정책 모드 구성

Exchange ActiveSync용 Citrix Gateway 커넥터는 다음 6개 모드에서 실행될 수 있습니다.

  • Allow All(모두 허용). 이 정책 모드는 커넥터를 통과하는 모든 트래픽에 대한 액세스를 허용합니다. 다른 필터링 규칙은 사용되지 않습니다.
  • Deny All(모두 거부). 이 정책 모드는 커넥터를 통과하는 모든 트래픽에 대한 액세스를 거부합니다. 다른 필터링 규칙은 사용되지 않습니다.
  • Static Rules: Block Mode(정적 규칙: 차단 모드). 이 정책 모드는 끝에 암시적 거부 또는 차단 문이 있는 정적 규칙을 실행합니다. 커넥터는 다른 필터 규칙을 통해 허용되지 않는 장치를 차단합니다.
  • Static Rules: Permit Mode(정적 규칙: 허용 모드). 이 정책 모드는 끝에 암시적 허용 문이 있는 정적 규칙을 실행합니다. 다른 필터 규칙을 통해 차단 또는 거부되지 않는 장치는 커넥터를 통해 허용됩니다.
  • Static + ZDM Rules: Block Mode(정적 + ZDM 규칙: 차단 모드). 이 정책 모드는 정적 규칙을 먼저 실행한 다음, 끝에 암시적 거부 또는 차단 문이 있는 XenMobile의 동적 규칙을 실행합니다. 장치는 정의된 필터 및 Device Manager 규칙에 기반하여 허용 또는 거부됩니다. 정의된 필터 및 규칙에 일치하지 않는 모든 장치는 차단됩니다.
  • Static + ZDM Rules: Permit Mode(정적 + ZDM 규칙: 허용 모드). 이 정책 모드는 정적 규칙을 먼저 실행한 다음, 끝에 암시적 허용 문이 있는 XenMobile의 동적 규칙을 실행합니다. 장치는 정의된 필터 및 XenMobile 규칙에 기반하여 허용 또는 거부됩니다. 정의된 필터 및 규칙에 일치하지 않는 모든 장치는 허용됩니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 프로세스는 XenMobile에서 수신된 iOS 및 Windows 기반 모바일 장치의 고유 ActiveSync ID를 기반으로 하여 동적 규칙에 대한 허용 또는 거부를 처리합니다. Android 장치의 동작은 제조사에 따라 다르며 일부는 고유 ActiveSync ID를 제공하지 않습니다. 이에 따라 XenMobile은 허용 또는 차단을 결정하기 위해 Android 장치의 사용자 ID 정보를 보냅니다. 그 결과 사용자에게 Android 장치가 하나인 경우에는 허용 및 차단이 정상적으로 작동합니다. 사용자에게 Android 장치가 여러 개인 경우에는 Android 장치를 구분할 수 없기 때문에 모든 장치가 허용됩니다. 알려진 장치의 경우 ActiveSyncID가 이러한 장치를 정적으로 차단하도록 게이트웨이를 구성할 수 있습니다. 또한 장치 유형 또는 사용자 에이전트에 따라 차단하도록 게이트웨이를 구성할 수도 있습니다.

정책 모드를 지정하려면 SMG Controller Configuration 유틸리티에서 다음을 수행합니다.

  1. Path Filters(경로 필터) 탭을 클릭하고 Add(추가)를 클릭합니다.
  2. Path Properties(경로 속성) 대화 상자의 Policy(정책) 목록에서 정책 모드를 선택한 다음 Save(저장)를 클릭합니다.

구성 유틸리티의 Policies(정책) 탭에서 규칙을 검토할 수 있습니다. 규칙은 Exchange ActiveSync용 Citrix Gateway 커넥터에서 하향식으로 처리됩니다. 허용 정책에는 녹색 확인 표시가 나타납니다. 거부 정책은 선이 그어진 빨간색 원으로 표시됩니다. 화면을 새로 고쳐 최근 업데이트된 규칙을 보려면 Refresh(새로 고침)를 클릭합니다. config.xml 파일에서 규칙 순서를 수정할 수도 있습니다.

규칙을 테스트하려면 Simulator(시뮬레이터) 탭을 클릭합니다. 필드에 값을 지정합니다. 로그에서 가져올 수도 있습니다. Allow(허용) 또는 Block(차단)을 지정하는 결과 메시지가 나타납니다.

정적 규칙을 구성하려면

ActiveSync 연결 HTTP 요청의 ISAPI 필터링이 읽는 값이 포함된 정적 규칙을 입력합니다. 정적 규칙을 사용하면 Exchange ActiveSync용 Citrix Gateway 커넥터가 다음 조건에 따라 트래픽을 허용하거나 차단할 수 있습니다.

  • User: Exchange ActiveSync용 Citrix Gateway 커넥터는 장치 등록 도중 캡처된 권한 부여된 사용자 값 및 이름 구조를 사용합니다. 이러한 구조는 일반적으로 LDAP를 통해 Active Directory에 연결된 XenMobile이 실행되는 서버가 참조하는 도메인\사용자 이름으로 발견됩니다. 커넥터 구성 유틸리티 내의 Log(로그) 탭에 커넥터를 통해 전달되는 값이 표시됩니다. 값 구조를 구분해야 하거나 값 구조가 다른 경우 값이 전달됩니다.
  • Deviceid (ActiveSyncID): 연결된 장치의 ActiveSyncID라고도 합니다. 이 값은 일반적으로 XenMobile 콘솔의 특정 장치 속성 페이지 내에서 볼 수 있습니다. 또한 이 값은 커넥터 구성 유틸리티의 로그 탭에서 숨겨질 수도 있습니다.
  • DeviceType: 커넥터는 장치가 iPhone, iPad 또는 기타 장치 유형 중 무엇인지 판별하고 이 조건에 따라 허용 또는 차단할 수 있습니다. 다른 값과 마찬가지로 커넥터 구성 유틸리티는 ActiveSync 연결을 처리 중인 모든 연결된 장치 유형을 표시할 수 있습니다.
  • UserAgent: 사용되는 ActiveSync 클라이언트에 대한 정보가 포함됩니다. 대개의 경우 지정된 값은 모바일 장치 플랫폼의 특정 운영 체제 빌드 및 버전에 해당합니다.

서버에서 실행되는 커넥터 구성 유틸리티는 항상 정적 규칙을 관리합니다.

  1. SMG Controller 구성 유틸리티에서 Static Rules(정적 규칙) 탭을 클릭한 다음 Add(추가)를 클릭합니다.
  2. Static Rule Properties(정적 규칙 속성) 대화 상자에서 조건으로 사용할 값을 지정합니다. 예를 들어 사용자 이름(예: AllowedUser)을 입력한 다음 Disabled(사용 안 함) 확인란을 선택 취소하여 액세스를 허용할 사용자를 입력할 수 있습니다.
  3. 저장을 클릭합니다.

    이제 정적 규칙이 적용됩니다. 또한 정규식을 사용하여 값을 정의할 수 있지만 config.xml 파일에서 규칙 처리 모드를 사용하도록 설정해야 합니다.

동적 규칙을 구성하려면

XenMobile의 장치 정책 및 속성은 동적 규칙을 정의하며 동적 Exchange ActiveSync용 Citrix Gateway 커넥터 필터를 트리거할 수 있습니다. 이러한 필터는 정책 위반 또는 속성 설정의 존재 유무에 따라 트리거됩니다. 커넥터 필터는 장치의 정책 위반 또는 속성 설정을 분석하여 작동합니다. 장치가 조건을 충족하면 장치가 장치 목록에 배치됩니다. 이 장치 목록은 허용 목록이나 차단 목록이 아닙니다. 정의된 조건을 충족하는 장치의 목록입니다. 다음 구성 옵션을 사용하면 장치 목록의 장치를 커넥터를 사용하여 허용하거나 거부할지 여부를 정의할 수 있습니다.

참고:

동적 규칙을 구성하려면 XenMobile 콘솔을 사용해야 합니다.

  1. XenMobile 콘솔에서 오른쪽 맨 위의 기어 아이콘을 클릭합니다. 설정 페이지가 나타납니다.

  2. 서버 아래에서 ActiveSync Gateway를 클릭합니다. ActiveSync Gateway 페이지가 나타납니다.

  3. Activate the following rules(다음 규칙 활성화)에서 활성화하려는 하나 이상의 규칙을 선택합니다.

  4. Android만의 Android 도메인 사용자를 ActiveSync Gateway로 보내기에서 를 클릭하여 XenMobile이 Android 장치 정보를 Secure Mobile Gateway로 보냅니다.

    이 옵션을 사용하도록 설정하면 XenMobile에 Android 장치 사용자에 대한 ActiveSync 식별자가 없는 경우 XenMobile이 Android 장치 정보를 Exchange ActiveSync용 Citrix Gateway 커넥터로 보냅니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 XML 파일을 편집하여 사용자 지정 정책을 구성하려면

Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티 Policies(정책) 탭의 기본 구성에서 기본 정책을 볼 수 있습니다. 사용자 지정 정책을 만들려면 Exchange ActiveSync용 Citrix Gateway 커넥터 XML 구성 파일(config\config.xml)을 편집할 수 있습니다.

  1. 파일에서 PolicyList 섹션을 찾은 다음 새 정책 요소를 추가합니다.
  2. 다른 정적 그룹이나 다른 GCP를 지원하기 위한 그룹과 같은 새 그룹도 필요한 경우 GroupList 섹션에 새 그룹 요소를 추가합니다.
  3. 필요한 경우 GroupRef 요소를 재정렬하여 기존 정책 내의 그룹 순서를 변경할 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 XML 파일 구성

Exchange ActiveSync용 Citrix Gateway 커넥터는 XML 구성 파일을 사용하여 커넥터 동작을 설명합니다. 이 파일은 다른 항목 중 그룹 파일과 HTTP 요청을 평가할 때 필터가 수행할 관련 동작을 지정합니다. 기본적으로 파일의 이름은 config.xml이며 ..\Program Files\Citrix\XenMobile Citrix ADC Connector\config 위치에서 찾을 수 있습니다.

GroupRef 노드

GroupRef 노드는 논리적 그룹 이름을 정의합니다. 기본값은 AllowGroup 및 DenyGroup입니다.

참고:

GroupRefList 노드에 나타나는 GroupRef 노드의 순서는 중요한 의미를 갖습니다.

GroupRef 노드의 ID 값은 특정 사용자 계정 또는 장치를 찾는 데 사용되는 구성원의 논리적 컨테이너 또는 컬렉션을 식별합니다. 작업 특성은 컬렉션의 규칙에 일치하는 구성원을 어떤 방식으로 필터링하는지를 지정합니다. 예를 들어 AllowGroup 집합의 규칙과 일치하는 사용자 계정 또는 장치는 “통과”됩니다. 통과란 Exchange CAS에 대한 액세스가 허용되는 것을 의미합니다. DenyGroup 집합의 규칙과 일치하는 사용자 계정 또는 장치는 “거부”됩니다. 거부란 Exchange CAS에 대한 액세스가 허용되지 않는 것을 의미합니다.

특정 사용자 계정/장치 또는 조합이 두 그룹 모두의 규칙을 충족할 경우에는 우선권 규칙이 사용되어 요청의 결과가 도출됩니다. 우선권은 config.xml 파일에서 위에서 아래로 GroupRef 노드의 순서를 따릅니다. GroupRef 노드는 우선 순위에 따라 순위가 매겨집니다. 허용 그룹의 특정 조건에 대한 규칙은 거부 그룹의 동일 조건에 대한 규칙보다 항상 더 높은 우선 순위를 가집니다.

그룹 노드

config.xml에서는 그룹 노드도 정의합니다. 이러한 노드는 논리적 컨테이너 AllowGroup 및 DenyGroup을 외부 XML 파일에 연결합니다. 외부 파일에 저장된 항목이 필터 규칙의 기본을 구성합니다.

참고:

이 릴리스에서는 외부 XML 파일만 지원됩니다.

기본 설치는 구성에서 두 개의 XML 파일인 allow.xml 및 deny.xml을 구현합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 구성

속성 Active Sync 서비스 ID, 장치 유형, 사용자 에이전트(장치 운영 체제), 인증된 사용자ActiveSync 명령을 기반으로 ActiveSync 요청을 선택적으로 차단 또는 허용하도록 Exchange ActiveSync용 Citrix Gateway 커넥터를 구성할 수 있습니다.

기본 구성은 정적 및 동적 그룹의 조합을 지원합니다. SMG Controller Configuration 유틸리티를 사용하여 정적 그룹을 유지합니다. 정적 그룹은 지정된 사용자 에이전트를 사용하는 모든 장치와 같이 알려진 장치 범주로 구성될 수 있습니다.

동적 그룹은 Gateway Configuration Provider라고 하는 외부 소스에 의해 유지됩니다. Exchange ActiveSync용 Citrix Gateway 커넥터는 주기적으로 그룹을 연결합니다. XenMobile은 허용 및 차단된 장치 그룹과 사용자 그룹을 커넥터로 내보낼 수 있습니다.

동적 그룹은 Gateway Configuration Provider라고 하는 외부 소스에 의해 유지되며 Exchange ActiveSync용 Citrix Gateway 커넥터가 주기적으로 수집합니다. XenMobile은 허용 및 차단된 장치 그룹과 사용자 그룹을 커넥터로 내보낼 수 있습니다.

정책은 각 그룹마다 연관된 작업(허용 또는 차단)과 그룹 구성원 목록이 있는 순서 지정된 그룹 목록입니다. 정책에 포함될 수 있는 그룹의 수에는 제한이 없습니다. 일치 항목이 발견될 때 그룹의 작업이 수행되며 이후 그룹은 평가되지 않기 때문에 정책 내의 그룹 순서는 중요합니다.

구성원은 요청의 속성을 일치시키는 방법을 정의합니다. 장치 ID와 같은 단일 속성에 일치시키거나 장치 유형 및 사용자 에이전트와 같은 여러 속성에 일치시킬 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터에 대한 보안 모델 선택

규모에 상관없이 모든 조직에게 있어 보안 모델의 확립은 성공적 모바일 장치 배포를 위해 매우 중요합니다. 사용자, 컴퓨터 또는 장치에 대한 액세스를 기본적으로 허용하는 보호 또는 격리된 네트워크 제어를 사용하는 경우가 많습니다. 하지만 이 방식이 항상 좋은 방법은 아닙니다. IT 보안을 관리하는 조직은 모두 모바일 장치의 보안에 대해 조금씩 다른 방법이나 맞춤형 방법을 사용할 수 있습니다.

모바일 장치 보안에는 동일한 논리가 적용됩니다. 모바일 장치의 수와 유형, 사용자당 모바일 장치의 수, 사용 가능한 운영 체제 플랫폼과 앱의 수가 매우 많기 때문에 허용 모델의 사용은 취약한 선택입니다. 대개의 조직에서는 제한 모델이 더 논리적인 선택입니다.

Citrix에서 Exchange ActiveSync용 Citrix Gateway 커넥터를 XenMobile과 통합할 때 허용하는 구성 시나리오는 다음과 같습니다.

허용 모델(허용 모드)

허용 보안 모델은 기본적으로 모든 것이 허용되거나 액세스 권한이 부여된다는 전제 하에 작동합니다. 규칙 및 필터링을 통해서만 무언가 차단되고 제한이 적용됩니다. 허용 보안 모델은 모바일 장치에 대한 보안 우려가 비교적 느슨한 조직에 적합합니다. 이 모델은 해당하는 경우(정책 규칙이 실패한 경우) 액세스를 거부하는 제한적인 제어만 적용합니다.

제한 모델(차단 모드)

제한 보안 모델은 기본적으로 어떤 것도 허용되지 않거나 액세스 권한이 부여되지 않는 전제 하에 작동합니다. 보안 검사점을 통과하는 모든 항목이 필터링 및 검사되며 액세스를 허용하는 규칙을 통과하지 못하면 액세스가 거부됩니다. 제한 보안 모델은 모바일 장치에 대한 보안 기준이 비교적 엄격한 조직에 적합합니다. 이 모드에서는 액세스 허용을 위한 모든 규칙을 통과한 경우 네트워크 서비스의 기능 및 사용에 대한 액세스를 허용합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 관리

Exchange ActiveSync용 Citrix Gateway 커넥터를 사용하여 액세스 제어 규칙을 작성할 수 있습니다. 액세스 제어 규칙은 관리되는 장치의 ActiveSync 연결 요청에 대한 액세스를 허용하거나 차단합니다. 액세스는 장치 상태, 앱 허용 또는 차단 목록 및 기타 규정 준수 조건에 따라 허용되거나 차단됩니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티를 사용하면 회사 전자 메일 정책을 적용하여 규정 표준을 위반하는 사용자를 차단할 수 있는 동적 및 정적 규칙을 만들 수 있습니다. 또한 전자 메일 첨부 파일 암호화를 설정하여, Exchange Server를 통과하여 관리되는 장치로 전송되는 모든 첨부 파일을 암호화하고 권한 있는 사용자만 관리되는 장치에서 이를 볼 수 있도록 할 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터를 제거하려면

  1. 관리자 계정으로 XncInstaller.exe를 실행합니다.
  2. 화면 지침에 따라 제거를 완료합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터를 설치, 업그레이드 또는 제거하려면

  1. 관리자 계정으로 XncInstaller.exe를 실행하여 커넥터를 설치하거나 기존 커넥터의 업그레이드 또는 제거를 허용합니다.
  2. 화면 지침에 따라 설치, 업그레이드 또는 제거를 완료합니다.

커넥터를 설치한 후에는 XenMobile 구성 서비스 및 알림 서비스를 수동으로 다시 시작해야 합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 설치

Exchange ActiveSync용 Citrix Gateway 커넥터를 자체 Windows Server에 설치합니다.

커넥터가 서버에 가하는 CPU 부하는 관리되는 장치 수에 따라 다릅니다. 장치 수가 많은 경우(50,000개 초과) 클러스터링 환경이 아니라면 둘 이상의 코어를 프로비전해야 할 수 있습니다. 커넥터의 메모리 사용량은 추가 메모리가 필요할 정도로 높지 않습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 시스템 요구 사항

Exchange ActiveSync용 Citrix Gateway 커넥터는 Citrix ADC 장비에 구성된 SSL 브리지를 통해 Citrix ADC와 통신합니다. 이 SSL 브리지는 장비가 모든 보안 트래픽을 XenMobile에 직접 연결할 수 있도록 해줍니다. 커넥터에는 다음의 최소 시스템 구성이 필요합니다.

구성 요소 요구 사항
컴퓨터 및 프로세서 733MHz Pentium III 733MHz 이상 프로세서. 2.0GHz Pentium III 이상 프로세서(권장)
Citrix ADC 소프트웨어 버전 10 Citrix ADC 장비
메모리 1 GB
하드 디스크 150MB의 사용 가능한 하드 디스크 공간이 있으며 NTFS로 포맷된 로컬 파티션
운영 체제 Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2008 R2 서비스 팩 1. 영어 기반 서버여야 합니다. Windows Server 2008 R2 서비스 팩 1에 대한 지원은 2020년 1월 14일에 종료되며, Windows Server 2012 R2에 대한 지원은 2023년 10월 10일에 종료됩니다.
기타 장치 내부 네트워크와 통신하기 위해 호스트 운영 체제와 호환되는 네트워크 어댑터
Microsoft .NET Framework 버전 8.5.1.11에는 Microsoft .NET Framework 4.5가 필요합니다.
디스플레이 VGA 또는 고해상도 모니터

Exchange ActiveSync용 Citrix Gateway 커넥터의 호스트 컴퓨터에는 다음의 최소 사용 가능한 하드 디스크 공간이 필요합니다.

  • 응용 프로그램: 10MB~15MB(100MB 권장)
  • 로깅: 1GB(20GB 권장)

Exchange ActiveSync용 Citrix Gateway 커넥터의 플랫폼 지원에 대한 자세한 내용은 지원되는 장치 운영 체제를 참조하십시오.

장치 전자 메일 클라이언트

일부 전자 메일 클라이언트는 한 장치에 대해 동일한 ActiveSync ID를 일관되게 반환하지 않습니다. Exchange ActiveSync용 Citrix Gateway 커넥터에서는 각 장치에 고유한 ActiveSync ID를 사용하도록 요구하므로 각 장치에 대해 동일한 고유 ActiveSync ID를 일관되게 생성하는 전자 메일 클라이언트만 지원됩니다. 다음과 같은 전자 메일 클라이언트는 Citrix의 테스트에서 오류 없이 실행되는 것으로 확인되었습니다.

  • Samsung 기본 전자 메일 클라이언트
  • iOS 기본 전자 메일 클라이언트

Exchange ActiveSync용 Citrix Gateway 커넥터 배포

Exchange ActiveSync용 Citrix Gateway 커넥터를 사용하면 Citrix ADC를 통해 XenMobile Server와 XenMobile 관리되는 장치의 통신을 프록시 및 부하 분산할 수 있습니다. 커넥터는 주기적으로 XenMobile과 통신하여 정책을 동기화합니다. 커넥터 및 XenMobile은 함께 또는 독립적으로 클러스터링될 수 있으며 Citrix ADC로 부하 분산될 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 구성 요소

  • Exchange ActiveSync용 Citrix Gateway 커넥터 서비스: 이 서비스는 장치로부터의 ActiveSync 요청이 인증되었는지 확인하기 위해 Citrix ADC가 호출할 수 있는 REST 웹 서비스 인터페이스를 제공합니다.
  • XenMobile 구성 서비스: 이 서비스는 XenMobile과 통신하여 XenMobile 정책 변경 내용을 커넥터와 동기화합니다.
  • XenMobile 알림 서비스: 이 서비스는 권한이 없는 장치 액세스의 알림을 XenMobile에 보냅니다. 이렇게 하면 XenMobile이 장치가 차단된 이유를 사용자에게 알리는 등의 적절한 조치를 취할 수 있습니다.
  • Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티: 관리자는 이 응용 프로그램을 사용하여 커넥터를 구성하고 모니터링할 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터에 대한 수신 주소를 설정하려면

Exchange ActiveSync용 Citrix Gateway 커넥터에서 Citrix ADC의 ActiveSync 트래픽 승인 요청을 수신할 수 있도록 하려면 다음을 수행합니다. 커넥터가 Citrix ADC 웹 서비스 호출을 수신하는 포트를 지정합니다.

  1. Start(시작) 메뉴에서 Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티를 선택합니다.
  2. Web Service(웹 서비스) 탭을 클릭한 다음 커넥터 웹 서비스의 수신 주소를 입력합니다. HTTP 또는 HTTPS 또는 둘 다를 선택할 수 있습니다. 커넥터와 XenMobile이 동일한 서버에 함께 설치된 경우에는 XenMobile과 충돌하지 않는 포트 값을 선택하십시오.
  3. 값이 구성되면 Save(저장)를 클릭한 다음 Start Service(서비스 시작)를 클릭하여 웹 서비스를 시작합니다.

Exchange ActiveSync용 Citrix Gateway 커넥터에서 장치 액세스 제어 정책을 구성하려면

관리되는 장치에 적용할 액세스 제어 정책을 구성하려면 다음을 수행하십시오.

  1. Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티에서 Path Filters(경로 필터) 탭을 클릭합니다.
  2. 첫 번째 행인 Microsoft-Server-ActiveSync is for ActiveSync(Microsoft-Server-ActiveSync가 ActiveSync용)를 선택한 다음 Edit(편집)를 클릭합니다.
  3. Policy(정책) 목록에서 원하는 정책을 선택합니다. XenMobile 정책을 포함하는 정책의 경우 Static + ZDM: Permit Mode(정적 + ZDM: 허용 모드) 또는 Static + ZDM: Block Mode(정적 + ZDM: 차단 모드)를 선택합니다. 이러한 정책은 로컬 또는 정적 규칙을 XenMobile의 규칙과 결합합니다. Permit Mode(허용 모드)는 규칙에 의해 명시적으로 식별되지 않는 모든 장치가 ActiveSync에 액세스할 수 있도록 허용됨을 의미합니다. Block Mode(차단 모드)는 이러한 장치가 차단됨을 의미합니다.
  4. 정책을 설정한 후 Save(저장)를 클릭합니다.

XenMobile과의 통신을 구성하려면

Exchange ActiveSync용 Citrix Gateway 커넥터 및 Citrix ADC와 함께 사용할 XenMobile Server(구성 공급자라고도 함)의 이름과 속성을 지정합니다.

참고:

이 작업에서는 이미 XenMobile을 설치 및 구성한 것으로 간주합니다.

  1. Exchange ActiveSync용 Citrix Gateway 커넥터 구성 유틸리티에서 Config Providers(구성 공급자) 탭을 클릭하고 Add(추가)를 클릭합니다.
  2. 이 배포에서 사용 중인 XenMobile Server의 이름과 URL을 입력합니다. 다중 테넌트 배포에서 여러 XenMobile Server를 배포한 경우 이 이름은 각 서버 인스턴스에 대해 고유해야 합니다. 예를 들어 Name(이름)XMS를 입력할 수 있습니다.
  3. Url에서 XenMobile GCP(GlobalConfig Provider)의 웹 주소를 입력합니다(일반적으로 https://<FQDN>/<instanceName>/services/<MagConfigService> 형식). MagConfigService 이름은 대/소문자를 구분합니다.
  4. Password(암호)에서 XenMobile 웹 서버와의 기본 HTTP 인증에 사용될 암호를 입력합니다.
  5. Managing Host(관리 호스트)에서 Exchange ActiveSync용 Citrix Gateway 커넥터를 설치한 서버 이름을 입력합니다.
  6. Baseline Interval(기준 간격)에서 새로 고친 동적 규칙 집합을 XenMobile에서 가져올 기간을 지정합니다.
  7. Request Timeout(요청 시간 초과)에서 서버 요청 시간 초과 간격을 지정합니다.
  8. Config Provider(구성 공급자)에서 구성 공급자 서버 인스턴스가 정책 구성을 제공하는지 여부를 선택합니다.
  9. Events Enabled(이벤트 사용)에서는 장치가 차단되었을 때 Secure Mobile Gateway가 XenMobile에 알리도록 하려면 이 옵션을 선택합니다. Device Manager 자동화된 동작에서 Secure Mobile Gateway 규칙을 사용하는 경우 이 옵션이 필요합니다.
  10. 서버를 구성한 후 Test Connectivity(연결 테스트)를 클릭하여 XenMobile 연결을 테스트합니다.
  11. 연결이 되면 Save(저장)를 클릭합니다.

중복성 및 확장성을 위한 Exchange ActiveSync용 Citrix Gateway 커넥터 배포

Exchange ActiveSync용 Citrix Gateway 커넥터 및 XenMobile 배포를 확장하려면 모두 동일한 XenMobile 인스턴스를 가리키는 커넥터 인스턴스를 여러 Windows 서버에 설치한 다음 Citrix ADC를 사용하여 서버의 부하를 분산할 수 있습니다.

Exchange ActiveSync용 Citrix Gateway 커넥터 구성에는 두 가지 모드가 있습니다.

  • 비공유 모드에서는 각 Exchange ActiveSync용 Citrix Gateway 커넥터 인스턴스가 XenMobile Server와 통신하며 결과 정책의 자체 사본을 유지합니다. 예를 들어 XenMobile Server의 클러스터가 있는 경우 커넥터 인스턴스를 각 XenMobile Server에서 실행할 수 있으며 커넥터는 로컬 XenMobile 인스턴스에서 정책을 가져옵니다.
  • 공유 모드에서는 하나의 커넥터 노드가 주 노드로 지정되며 이 노드가 XenMobile과 통신합니다. 결과 구성은 Windows 네트워크 공유 또는 Windows(또는 타사) 복제에 의해 다른 노드 간에 공유됩니다.

전체 커넥터 구성은 하나의 폴더(몇 개의 XML 파일로 구성됨)에 있습니다. 커넥터 프로세스는 이 폴더에 있는 모든 파일의 변경 내용을 감지하여 자동으로 구성을 다시 로드합니다. 공유 모드에서는 주 노드에 대한 장애 조치(failover)가 없습니다. 하지만 마지막으로 알려진 정상 구성이 커넥터 프로세스에 캐시되기 때문에 시스템은 주 서버 중지를 몇 분 동안(예를 들어 다시 시작할 때까지) 허용합니다.