Product Documentation

Regras de controle de acesso

Oct 06, 2016
O XenMobile Mail Manager fornece uma abordagem baseada em regras para configurar dinamicamente o controle de acesso a dispositivos Exchange ActiveSync. Uma regra de controle de acesso do XenMobile Mail Manager consiste em duas partes: uma expressão correspondente e um estado de acesso desejado (Permitir ou Bloquear). Uma regra pode ser avaliada em relação um determinado dispositivo Exchange ActiveSync para determinar se ela é aplicável ou corresponde ao dispositivo. Existem vários tipos de expressões correspondentes; por exemplo, uma regra pode corresponder a todos os dispositivos de um determinado Tipo de Dispositivo ou a um ID de dispositivo Exchange ActiveSync específico, ou a todos os dispositivos de um usuário específico e assim por diante.

Em qualquer momento durante a adição, remoção e reorganização das regras na lista de regras, clicar no botão Cancelar reverterá a lista de regras para o estado em que estava quando ela foi aberta pela primeira vez. A menos que você clique em Save, todas as alterações feitas nessa janela serão perdidas se você fechar a ferramenta Configure.

O XenMobile Mail Manager tem três tipos de regras: regras locais, regras de servidor XenMobile (também conhecidas como regras do XDM) e a regra de acesso padrão.

Regras locais. As regras locais têm a prioridade mais alta: se um dispositivo corresponde a uma regra local, a avaliação da regra é interrompida. Nem as regras do XenMobile nem a regra de acesso padrão serão consultadas. As regras locais são configuradas localmente no XenMobile Mail Manager na guia Configure/Access Rules/Local Rules. A correspondência de suporte é baseada na associação de um usuário em um determinado grupo do Active Directory. A correspondência de suporte é baseada em expressões regulares para os seguintes campos:

  • Active Sync Device ID
  • ActiveSync Device Type
  • Nome UPN
  • ActiveSync User Agent (normalmente a plataforma do dispositivo ou o cliente de email)

Desde que um instantâneo principal tenha sido concluído e localizado dispositivos, você deverá conseguir adicionar uma regra normal ou de expressão regular. Se um instantâneo principal não tiver sido concluído, você poderá adicionar somente regras de expressão regular.

Regras de servidor XenMobile. As regras do XenMobile são referências a um servidor XenMobile externo que fornece regras sobre dispositivos gerenciados. O servidor XenMobile pode ser configurado com suas próprias regras de alto nível que identificam os dispositivos que devem ser permitidos ou bloqueados com base nas propriedades conhecidas do XenMobile, como se o dispositivo tem jailbreak ou se o dispositivo contém aplicativos proibidos. O XenMobile avalia as regras de alto nível e produz um conjunto de IDs de Dispositivo ActiveSync permitidos ou bloqueados, que são então entregues ao XenMobile Mail Manager em seguida.

Regra de acesso padrão. A regra de acesso padrão é exclusiva, no sentido que ela potencialmente pode corresponder a cada dispositivo e sempre é avaliada por último. Essa regra é a regra genérica, o que significa que se um determinado dispositivo não corresponder a uma regra local ou do servidor XenMobile, o estado de acesso desejado do dispositivo será determinado pelo estado de acesso desejado da regra de acesso padrão.

  • Default Access – Allow. Qualquer dispositivo que não for correspondido por uma regra local ou do XenMoble será permitido.
  • Default Access – Block. Qualquer dispositivo que não for correspondido por uma regra local ou do XenMoble será bloqueado.
  • Default Access - Unchanged. Qualquer dispositivo que não é correspondido por uma regra local ou do XenMoble não terá o respectivo estado de acesso modificado de forma nenhuma pelo XenMobile Mail Manager. Se um dispositivo tiver sido colocado no modo Quarantine pelo Exchange, nenhuma ação será tomada; por exemplo, a única maneira de remover um dispositivo do modo Quarantine é ter uma regra Local ou o XDM explicitamente substituir a quarentena.

Sobre as avaliações de regra

Para cada dispositivo que o Exchange relata para o XenMobile Mail Manager, as regras são avaliadas em sequência, da prioridade mais alta para a mais baixa, desta forma:

  • Regras locais
  • Regra de acesso padrão
  • Regras de servidor XenMobile

Quando uma correspondência é encontrada, a avaliação é interrompida. Por exemplo, se uma regra local corresponder a um determinado dispositivo, ele não será avaliado em relação a qualquer das regras do servidor XenMobile ou à regra de acesso padrão. Isso é verdadeiro também em um determinado tipo de regra. Por exemplo, se houver mais de uma única correspondência para um determinado dispositivo na lista de regras locais, assim que a primeira correspondência for encontrada, a avaliação será interrompida.

O XenMobile Mail Manager reavalia o conjunto de regras definido no momento quando as propriedades de dispositivo são alteradas, quando dispositivos são adicionados ou removidos, ou quando as regras em si são alteradas. Os instantâneos principais detectam as alterações na propriedade de dispositivo e as remoções em intervalos configuráveis. Os instantâneos secundários detectam novos dispositivos em intervalos configuráveis.

O Exchange ActiveSync também apresenta regras que regem o acesso. É importante entender como essas regras funcionam no contexto do XenMobile Mail Manager. O Exchange pode ser configurado com três níveis de regras: isenções pessoais, regras de dispositivo e configurações de organização. O XenMobile Mail Manager automatiza o controle de acesso emitindo programaticamente as solicitações remotas do PowerShell para afetar as listas de isenções pessoais. Elas são listas de IDs de dispositivo Exchange ActiveSync permitidos ou bloqueados associados a uma determinada caixa de correio. Quando implantado, o XenMobile Mail Manager efetivamente assume o gerenciamento do recurso de listas de isenção no Exchange. Para obter detalhes, consulte este artigo da Microsoft.

Analisar é especialmente útil em situações nas quais várias regras foram definidas para o mesmo campo. Você pode solucionar problemas das relações entre as regras. Execute a análise da perspectiva dos campos de regra; por exemplo, as regras são analisadas em grupos com base no campo que está sendo correspondido, como ID de dispositivo ActiveSync, tipo de dispositivo ActiveSync, Usuário, Agente do Usuário e assim por diante.

Terminologia de regra:

  • Substituir uma regra. Uma substituição ocorre quando mais de uma única regra poderia ser aplicada ao mesmo dispositivo. Como as regras são avaliadas por prioridade na lista, as instâncias de regra de menor prioridade que podem ser aplicadas podem nunca ser avaliadas.
  • Regra conflitante. Um conflito ocorre quando mais de uma única regra poderia ser aplicada ao mesmo dispositivo, mas o acesso (Permitir/Bloquear) não é correspondente. Se as regras conflitantes não forem regras de expressão regular, um conflito sempre conotará implicitamente uma substituição
  • Regra suplementar. Um suplemento ocorre quando mais de uma regra é uma regra de expressão regular e, portanto, pode haver a necessidade de garantir que as duas (ou mais) expressões regulares também possam ser combinadas em uma única regra de expressão regular ou que não estejam duplicando a funcionalidade. Uma regra suplementar também pode entrar em conflito no respectivo acesso (Permitir/Bloquear).
  • Regra principal. A regra principal é a regra que foi clicada na caixa de diálogo. A regra é indicada visualmente por uma borda sólida que a contorna. A regra também terá uma ou duas setas verdes, apontando para cima ou para baixo. Se uma seta apontar para cima, ela indicará que existem regras auxiliares que precedem a regra principal. Se uma seta apontar para baixo, ela indicará que existem regras auxiliares que se seguem a regra principal. Somente uma única regra principal pode estar ativa em determinado momento.
  • Regra auxiliar. Uma regra auxiliar está relacionada de alguma forma à regra principal por meio de substituição, conflito ou uma relação suplementar. As regras são indicadas visualmente por uma borda tracejada que as contorna. Pode haver uma a muitas regras auxiliares para cada regra principal. Quando você clica em qualquer entrada sublinhada, a regra auxiliar ou as regras que são realçadas são sempre da perspectiva da regra principal. Por exemplo, a regra auxiliar será substituída pela regra principal e/ou a regra auxiliar entrará em conflito no respectivo acesso com a regra principal, e/ou a regra auxiliar suplementará a regra principal.

A aparição dos tipos de regras na caixa de diálogo Rule Analysis

Quando não existirem conflitos, substituições ou suplementos, a caixa de diálogo Rule Analysis não apresentará entradas sublinhadas. Clicar em qualquer um dos itens não terá impacto; por exemplo, os visuais normais de item selecionado ocorrerão.

A janela Análise de regras tem uma caixa de seleção que, quando selecionada, exibe somente as regras que são conflitos, substituições, redundâncias ou suplementos.

 


 

Quando ocorrer uma substituição, pelo menos duas regras serão sublinhadas: a regra principal e a regra ou as regras auxiliares. Pelo menos uma regra auxiliar será exibida em uma fonte mais fina para indicar que a regra foi substituída por uma regra de prioridade mais alta. Você pode clicar na regra substituída para descobrir qual regra ou regras a substituíram. Sempre que uma regra substituída tiver sido realçada como resultado de a regra ser a regra principal ou auxiliar, um círculo preto será exibido ao lado dela como uma indicação visual adicional de que a regra está inativa. Por exemplo, antes de clicar na regra, a caixa de diálogo é exibida da seguinte forma:

 


 

Quando você clica na regra de prioridade mais alta, a caixa de diálogo é exibida da seguinte forma:

 


 

Nesse exemplo, a regra de expressão regular WorkMail.* é a regra principal (indicada pela borda sólida) e a regra normal workmailc633313818 é uma regra auxiliar (indicada pela borda tracejada). O ponto preto ao lado da regra auxiliar é uma indicação visual adicional de que a regra está inativa (nunca será avaliada) devido à regra de expressão regular de prioridade mais alta que a precede. Depois de clicar na regra substituída, a caixa de diálogo é exibida da seguinte forma:

 


 

No exemplo anterior, a regra de expressão regular WorkMail.* é a regra auxiliar (indicada pela borda tracejada) e a regra normal workmailc633313818 é uma regra principal (indicada pela borda sólida). Nesse exemplo simples, não há muita diferença. Para um exemplo mais complicado, consulte o exemplo de expressão complexa mais adiante neste tópico. Em um cenário com muitas regras definidas, clicar na regra substituída rapidamente identifica qual regra ou regras a substituíram.

Quando ocorrer um conflito, pelo menos duas regras serão sublinhadas: a regra principal e a regra ou as regras auxiliares. As regras em conflito são indicadas por um ponto vermelho. Regras que só entram em conflito uma com a outra são possíveis somente com duas ou mais regras de expressão regular definidas. Em todos os outros cenários de conflito, não haverá somente um conflito, mas uma substituição envolvida. Antes de clicar em qualquer uma das regras em um exemplo simples, a caixa de diálogo é exibida da seguinte forma:

 


 

Quando se inspeciona as duas regras de expressão regular, fica evidente que a primeira regra permite todos os dispositivos com um ID de dispositivo que contém “App” e que a segunda regra nega todos os dispositivos com um ID de dispositivo que contém Appl. Além disso, mesmo que a segunda regra negue todos os dispositivos com um ID de dispositivo que contém Appl, nenhum dispositivo com esses critérios de correspondência jamais será negado, devido à precedência mais alta da regra permitir. Depois de clicar na primeira regra, a caixa de diálogo é exibida da seguinte forma:

 


 

No cenário anterior, tanto a regra principal (a regra de expressão regular App.*) quanto a regra auxiliar (a regra de expressão regular Appl.*) são realçadas em amarelo. Trata-se simplesmente de um aviso visual para alertar para o fato de que você aplicou mais de uma única regra de expressão regular a um único campo passível de correspondência, o que pode significar um problema de redundância ou algo mais sério.

Em um cenário com um conflito e uma substituição, tanto a regra principal (a regra de expressão regular App.*) quanto a regra auxiliar (a regra de expressão regular Appl.*) são realçadas em amarelo. Trata-se simplesmente de um aviso visual para alertar para o fato de que você aplicou mais de uma única regra de expressão regular a um único campo passível de correspondência, o que pode significar um problema de redundância ou algo mais sério.

 


 

É fácil ver, no exemplo anterior, que a primeira regra (a regra de expressão regular SAMSUNG.*) não somente substitui a regra seguinte (a regra normal SAMSUNG-SM-G900A/101.40402), mas as duas regras diferem no respectivo acesso (a principal especifica Permitir, a auxiliar especifica Bloquear). A segunda regra (a regra normal SAMSUNG-SM-G900A/101.40402) é exibida em um texto mais fino para indicar que ela foi substituída e, portanto, está inativa.

Depois de clicar na regra de expressão regular, a caixa de diálogo é exibida da seguinte forma:

 


 

A regra principal (a regra de expressão regular SAMSUNG.*) é seguida por um ponto vermelho para indicar que o estado de acesso dela entra em conflito com uma ou mais regras auxiliares. A regra auxiliar (a regra normal SAMSUNG-SM-G900A/101.40402) é seguida por um ponto vermelho para indicar que o estado de acesso dela entra em conflito com a regra principal, bem como por um ponto preto, como uma indicação adicional de que ela foi substituída e, portanto, está inativa.

Pelo menos duas regras serão sublinhadas: a regra principal e a regra ou as regras auxiliares. As regras que somente suplementam uma à outra envolverão apenas regras de expressão regular. Quando regras suplementam uma à outra, elas são indicadas por uma sobreposição amarela. Antes de clicar em qualquer uma das regras em um exemplo simples, a caixa de diálogo é exibida da seguinte forma:

 


 

A inspeção visual facilmente revela que ambas as regras são regras de expressão regular que foram aplicadas ao campo de ID de dispositivo ActiveSync no XenMobile Mail Manager. Depois de clicar na primeira regra, a caixa de diálogo tem a seguinte aparência:

 


 

A regra principal (a regra de expressão regular WorxMail.*) é realçada com uma sobreposição amarela para indicar que existe pelo menos uma regra auxiliar adicional que é uma expressão regular. A regra auxiliar (a regra de expressão regular SAMSUNG.*) é realçada com uma sobreposição amarela para indicar que ela e a regra principal são regras de expressão regular aplicadas ao mesmo campo no XenMobile Mail Manager; nesse caso, o campo de ID de dispositivo ActiveSync. As expressões regulares podem ou não se sobrepor. Cabe a você decidir se as expressões regulares foram devidamente trabalhadas.

Exemplo de uma expressão complexa

Muitas substituições, conflitos ou suplementos possíveis podem ocorrer, tornando impossível oferecer um exemplo de todos os cenários possíveis. O exemplo a seguir discute o que não fazer, servindo também para ilustrar todo o poder da construção visual de análise de regra. A maioria dos itens estão sublinhados na figura a seguir. Muitos dos itens são exibidos em uma fonte mais fina, o que indica que a regra em questão foi substituída por uma regra de prioridade mais alta de alguma maneira. Muitas regras de expressão regular também estão incluídas na lista, conforme indicado pelo ícone .

 


 

Como analisar uma substituição

Para ver qual regra ou regras substituíram uma regra específica, clique nela.

Exemplo 1: esse exemplo examina por que zentrain01@zenprise.com foi substituída.

 


 

A regra principal (regra AD-group zenprise/treinamento/ZenTraining B, da qual zentrain01@zenprise.com é um membro) apresenta as seguintes características:

  • Está realçada em azul e tem uma borda sólida.
  • Tem uma seta verde apontando para cima (para indicar que a regra ou as regras auxiliares todas se encontram acima dela).
  • É seguida por um círculo vermelho e um círculo preto para indicar, respectivamente, que um ou mais regras auxiliares entram em conflito com o respectivo acesso e que a regra principal foi substituída e, portanto, está inativa.

Quando você rola para cima, vê o seguinte:

 


 

Nesse caso, há duas regras auxiliares que substituem a regra principal: a regra de expressão regular zen.* e a regra normal zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). No caso da última regra auxiliar, o que ocorreu é que a regra de Grupo do Active Directory ZenTraining A contém o usuário zentrain01@zenprise.com e a regra de Grupo do Active Directory ZenTraining B também contém o usuário zentrain01@zenprise.com. No entanto, como a regra auxiliar tem uma precedência mais alta do que a regra principal, a regra principal foi substituída. O acesso da regra principal é Permitir e, como o acesso da regra auxiliar é Bloquear, todas são seguidas por um círculo vermelho como indicação adicional de um conflito de acesso.

Exemplo 2: esse exemplo mostra por que o dispositivo com um ID de dispositivo ActiveSync 069026593E0C4AEAB8DE7DD589ACED33 foi substituído:

 


 

A regra principal (regra de ID de dispositivo normal 069026593E0C4AEAB8DE7DD589ACED33) apresenta as seguintes características:

  • Está realçada em azul e tem uma borda sólida.
  • Tem uma seta verde apontando para cima (para indicar que a regra auxiliar se encontra acima dela).
  • É seguida por um círculo preto para indicar que uma regra auxiliar substituiu a regra principal e, portanto, está inativa.

 


 

Nesse caso, uma única regra auxiliar substitui a regra principal: a regra de ID de dispositivo ActiveSync de expressão regular governar 3E.*. Como a expressão regular 3E.*corresponderia a 069026593E0C4AEAB8DE7DD589ACED33, a regra principal nunca será avaliada.

Como analisar um suplemento e um conflito

Neste caso, a regra principal é a regra de tipo de dispositivo ActiveSync de expressão regular touch.*. As características são as seguintes:

  • É indicada por uma borda sólida com uma sobreposição amarela, como um aviso de que há mais de uma única regra de expressão regular em funcionamento em relação a um campo de regra específico; nesse caso, o tipo de dispositivo ActiveSync.
  • Duas setas apontam respectivamente para cima e para baixo, indicando que há pelo menos uma regra auxiliar com prioridade mais alta e pelo menos uma regra auxiliar com prioridade mais baixa.
  • O círculo vermelho ao lado dela indica que pelo menos uma regra auxiliar tem o respectivo acesso definido como Permitir, o que entra em conflito com o acesso Bloquear da regra principal
  • Existem duas regras auxiliares: a regra de tipo de dispositivo ActiveSync de expressão regular SAM.* e a regra de tipo de dispositivo ActiveSync de expressão regular Andro.*
  • Ambas as regras auxiliares têm bordas tracejadas para indicar que são auxiliares.
  • Ambas as regras auxiliares têm uma sobreposição amarela para indicar que são aplicadas de forma suplementar ao campo de regra do tipo de dispositivo ActiveSync.
  • Em tais cenários, você deve garantir que as respectivas regras de expressão regular não sejam redundantes.

 


 

Como analisar ainda mais as regras

Este exemplo explora como as relações entre regras sempre existem na perspectiva da regra principal. O exemplo anterior mostrou como um clique na regra de expressão regular se aplica ao campo de regra do tipo de dispositivo com um valor de touch.* Clicar na regra auxiliar Andro.* mostra um conjunto diferente de regras auxiliares realçadas.

 


 

O exemplo mostra uma regra substituída que está incluída na relação de regra. Essa regra é a regra normal de tipo de dispositivo ActiveSync Android, que é substituída (indicada pela fonte fina e o círculo preto ao lado dela) e também entra em conflito no respectivo acesso com a regra de tipo de dispositivo ActiveSync de expressão regular da regra principal Andro.*; essa regra era, anteriormente, uma regra auxiliar antes de ser clicada. No exemplo anterior, a regra normal de tipo de dispositivo ActiveSync Android não era exibida como uma regra auxiliar pois, na perspectiva da regra principal naquele momento (a regra de tipo de dispositivo ActiveSync de expressão regular touch.*), a regra não era relacionada a ela.

Para configurar uma regra local de expressão normal

  1. Clique na guia Access Rules
     

  2. Na lista Device ID, selecione o campo para o qual você deseja criar uma Regra Local.
  3. Clique no ícone de lupa para exibir todas as correspondências exclusivas do campo escolhido. Neste exemplo, o campo Device Type foi escolhido e as opções são mostradas abaixo, na caixa de lista. 
     

  4. Clique em um dos itens na caixa de lista de resultados e, em seguida, clique em uma das seguintes opções:
    • Allow significa que o Exchange será configurado para permitir o tráfego do ActiveSync para todos os dispositivos correspondentes.
    • Deny significa que o Exchange será configurado para negar o tráfego do ActiveSync para todos os dispositivos correspondentes.

    Nesse exemplo, todos os dispositivos que têm um tipo de dispositivo TouchDown têm o acesso negado.


     

Para adicionar uma expressão regular

As regras locais de expressão regular podem ser distinguidas pelo ícone que é exibido ao lado delas - . Para adicionar uma regra de expressão regular, você pode criar uma regra de expressão regular com base em um valor existente na lista de resultados de um determinado campo (desde que um instantâneo principal tenha sido concluído) ou pode simplesmente digitar a expressão regular que desejar.

Para criar uma expressão regular com base em um valor de campo existente

  1. Clique na guia Access Rules.

  2. Na lista Device ID, selecione o campo para o qual você deseja criar uma Regra Local de expressão regular.
  3. Clique no ícone de lupa para exibir todas as correspondências exclusivas do campo escolhido. Neste exemplo, o campo Device Type foi escolhido e as opções são mostradas abaixo, na caixa de lista.

  4. Clique em um dos itens na lista de resultados. Nesse exemplo, SAMSUNGSPHL720 foi selecionado e é exibido na caixa de texto adjacente a Device Type
     

  5. Para permitir todos os tipos de dispositivo que têm “Samsung” no respectivo valor de tipo de dispositivo, adicione uma regra de expressão regular seguindo estas etapas:
    1. Clique na caixa de texto do item selecionado.
    2. Altere o texto de SAMSUNGSPHL720 para SAMSUNG.*
    3. Verifique se a caixa de seleção regular expression está marcada.
    4. Clique em Allow.

     

Para criar uma regra de acesso

  1. Clique na guia Local Rules.
  2. Para inserir a expressão regular, você precisa usar a lista Device ID e a caixa de texto do item selecionado.

  3. Selecione o campo em relação ao qual você deseja corresponder. Esse exemplo usa Device Type.
  4. Digite a expressão regular. Esse exemplo usa samsung.*
  5. Verifique se a caixa de seleção regular expression está marcada e clique em Allow ou Deny. Nesse exemplo, a escolha é Allow, para que o resultado final seja o seguinte:
     

Para encontrar dispositivos

Ao marcar a caixa de seleção de expressão regular, você pode executar pesquisas para dispositivos específicos que correspondem à expressão específica. Esse recurso estará disponível somente se um instantâneo principal tiver sido concluído com êxito. Você pode usar esse recurso mesmo que não haja nenhum planejamento para usar regras de expressão regular. Por exemplo, suponha que você deseja encontrar todos os dispositivos que tenham o texto “workmail” no respectivo ID de dispositivo ActiveSync. Para fazê-lo, siga este procedimento.

  1. Clique na guia Access Rules.
  2. Verifique se o seletor do campo de correspondência do dispositivo está definido como Device ID (o padrão). 
     

  3. Clique na caixa de texto do item selecionado (conforme mostrado em azul na figura anterior) e digite workmail.*.
  4. Verifique se que a caixa de seleção regular expression está marcada e, em seguida, clique no ícone de lupa para exibir as correspondências, conforme mostrado na figura a seguir. 
     

Para adicionar um usuário, um dispositivo ou um tipo de dispositivo individual a uma regra estática

Você pode adicionar regras estáticas com base no usuário, no ID de dispositivo ou no tipo de dispositivo na guia ActiveSync Devices.
  1. Clique na guia ActiveSync Devices.
  2. Na lista, clique com o botão direito em um usuário, um dispositivo ou um tipo de dispositivo e selecione se você deseja permitir ou negar a sua seleção.

    A imagem a seguir mostra a opção Allow/Deny quando user1 está selecionado.