Conector de Endpoint Management para Exchange ActiveSync

O XenMobile Mail Manager é agora o conector de Endpoint Management para Exchange ActiveSync. Para obter mais detalhes sobre o portfólio unificado da Citrix, consulte o guia de produtos da Citrix.

O conector amplia os recursos do XenMobile das seguintes maneiras:

• Controle de Acesso Dinâmico para os dispositivos Exchange Active Sync (EAS). Os dispositivos EAS podem receber automaticamente permissão ou bloqueio de acesso aos serviços do Exchange.
• A capacidade para que o XenMobile acesse as informações de parceria do dispositivo EAS fornecidas pelo Exchange.
• A capacidade para que o XenMobile apague um dispositivo móvel com base no status do EAS.
• A capacidade para que o XenMobile acesse informações sobre dispositivos BlackBerry e execute operações de controle, como Wipe e ResetPassword.

Para apagar um dispositivo com base no status do EAS, configure uma ação automatizada com um gatilho do ActiveSync. Consulte Ações automatizadas.

Para baixar o conector de Endpoint Management para Exchange ActiveSync:

1. Vá para https://www.citrix.com/downloads.
2. Navegue para Citrix Endpoint Management (e Citrix XenMobile Server) > XenMobile Server (no local) > Product Software > XenMobile Server 10 > Server Components.
3. No bloco Citrix Endpoint Management connector for Exchange ActiveSync, clique em Download File.

Importante:

A partir de outubro de 2022, os conectores Endpoint Management e Citrix Gateway para Exchange ActiveSync não oferecerão mais suporte ao Exchange Online, dadas as alterações de autenticação anunciadas pela Microsoft aqui. O conector Endpoint Management para Exchange continuará a funcionar com o Microsoft Exchange Server (local).

Novidades

As seções a seguir listam o que há de novo no conector de Endpoint Management para Exchange ActiveSync, anteriormente XenMobile Mail Manager.

O que há de novo na versão 10.1.10

Os seguintes problemas foram resolvidos na versão 10.1.10:

• Os clientes que enfrentam problemas frequentes de rede podem não conseguir concluir um instantâneo nas três tentativas fornecidas anteriormente. Com essa versão, um administrador pode configurar o número máximo de tentativas (1-10). Essa correção permite que um instantâneo incorra em várias interrupções na comunicação sem abandonar completamente o processo de captura de instantâneo. [CXM-70837]
• Nas versões anteriores, o tipo de Instantâneo não aparecia na lista de Configurações do Exchange. Agora, o tipo de instantâneo é exibido. [CXM-70846]
• A exceção PSRemotingTransport notificada pelo PowerShell indica que a sessão para o Exchange não é mais viável. O status é adicionado à lista de Erros Críticos no arquivo de configuração por padrão. Com isso, quando o PSRemotingTransportException é detectado, a conexão é marcada como em Erro para eliminação posterior. A próxima comunicação usa uma conexão válida ou cria uma nova conexão. [XMHELP-2184, CXM-70836]
• Quando uma alteração de configuração é salva, é possível que nem todos os componentes internos configurados anteriormente tenham sido descartados corretamente antes de carregar a nova configuração. Esse problema pode levar a um comportamento imprevisível. O comportamento depende da alteração específica e se a alteração entrou em conflito com a configuração anterior. Nesta versão, todos os componentes internos são descartados antes de carregar a nova configuração. [XMHELP-2259, CXM-71388]

O que há de novo em versões anteriores

A seção a seguir lista os recursos e os problemas corrigidos em versões anteriores do conector de Endpoint Management para Exchange ActiveSync.

O que há de novo na versão 10.1.9

Os seguintes problemas foram resolvidos na versão 10.1.9:

• As alterações de configuração agora são tratadas de forma mais consistente. Quando o serviço detecta uma alteração na configuração, cada subsistema interno é interrompido, o que significa que qualquer processamento ativo ou agendado é interrompido. Em seguida, a nova configuração é carregada, e os subsistemas são reiniciados, o que significa que todas as agendas e demais infraestruturas internas são restabelecidas com novas configurações. Esse problema corrige um problema conhecido na versão 10.1.8. [CXM-47709, CXM-61330]
• Durante uma atualização, a configuração de banco de dados existente não foi mesclada com o novo arquivo de configuração. A configuração do banco de dados é agora agrupada ao arquivo de configuração atualizado. [CXM-49326]
• Nos arquivos de diagnóstico relacionados a instantâneos, os cabeçalhos de coluna estavam ausentes. Os cabeçalhos são restaurados. [CXM-62680]
• Ao atualizar a partir de uma versão anterior, a seção padrão do arquivo de configuração era substituída pela seção análoga do arquivo de configuração em uso. Esse problema impedia que adições ou melhorias na seção padrão fossem carregadas pelo serviço após a atualização. A partir desta versão, a seção padrão sempre reflete a configuração mais recente. [CXM-62681]

• Os administradores não podem mais acessar determinadas opções pressionando Shift com o aplicativo em execução. Essas opções estavam disponíveis anteriormente com permissão Citrix. Algumas opções agora estão totalmente disponíveis, como Permitir Redirecionamento, e outras, como Detecção de travamento e Correção de contagem, estão obsoletas. [CXM-62767]

  

O que há de novo na versão 10.1.8

Os seguintes problemas foram resolvidos na versão 10.1.8:

• É possível que o Exchange faça com que o conector Citrix Endpoint Management limite a emissão de comandos para o serviço Exchange ActiveSync com muita frequência. Isso é comum em conexões com o Office 365. O efeito da limitação requer que o serviço pause por um período de tempo especificado antes de enviar o próximo comando. O console Configure agora mostra o tempo restante em pausa. [CXM-48044]
• Quando são feitas modificações nas seções “Watchdog” ou “SpecialistsDefaults” do arquivo de configuração (config.xml), as alterações não são refletidas no arquivo de configuração após uma atualização. Nesta versão, as modificações são mescladas corretamente no novo arquivo de configuração. [CXM-52523]
• Mais detalhes foram adicionados às análises enviadas ao Google Analytics, especialmente no que diz respeito aos instantâneos. [CXM-56691]
• O recurso de conectividade de teste do Exchange tentava inicializar a conexão apenas uma vez. Uma vez que as conexões do Office 365 podem ser limitadas, era possível que uma conectividade de teste parecesse falhar quando ficava limitada. O conector Citrix Endpoint Management para Exchange ActiveSync agora tenta iniciar uma conexão até três vezes. [CXM-58180]
• Para efetivar políticas no Exchange, o conector Citrix Endpoint Management para Exchange ActiveSync deve compilar um comando Set-CASMailbox que inclua todos os dispositivos pertinentes para cada caixa de correio, em duas listas: permitir e bloquear. Se um dispositivo não estiver incluído em nenhuma das listas, o Exchange volta ao seu estado de acesso padrão. Se esse estado de acesso padrão for diferente do estado desejado para um dispositivo, o dispositivo ficará fora de conformidade. Consequentemente, um usuário poderá perder o acesso a seu email se o estado de acesso padrão do Exchange estiver bloqueado quando deveria ser permitido. Ou, um usuário cujo acesso ao email deveria ser bloqueado pode ter o acesso permitido. O conector Citrix Endpoint Management para Exchange ActiveSync agora garante que todos os dispositivos com um estado desejado válido sejam incluídos em cada comando Set-CasMailbox. [CXM-61251]

O seguinte problema é conhecido na versão 10.1.8:

Se um administrador fizer uma alteração no aplicativo Configure que modifique os dados de configuração, enquanto o serviço estiver executando operações de longa duração, como um instantâneo ou uma avaliação de política, o serviço poderá entrar em um estado indeterminado. Um possível sintoma seria as alterações na política não serem processadas ou os instantâneos não serem iniciados. Para retornar o serviço a um estado de funcionamento, o serviço deve ser reiniciado. Talvez seja necessário usar o gerenciador de Serviços do Windows para encerrar o processo de serviço antes de iniciar o serviço. [CXM-61330]

O que há de novo na versão 10.1.7

• O XenMobile Mail Manager é agora o conector de Endpoint Management para Exchange ActiveSync.
• Nós substituímos a opção Desativar Pipelining na caixa de diálogo de configuração do Exchange. Você pode obter a mesma funcionalidade configurando várias etapas para cada comando no arquivo config.xml. [CXM-54593]

Os seguintes problemas foram resolvidos na versão 10.1.7:

• Na janela Histórico da Captura Instantânea, as mensagens de erro eram exibidas com pouco contexto. Agora, as mensagens de erro são prefixadas com o contexto de onde ocorreram. [CXM-49157]
• O arquivo .dll do XmmGoogleAnalytics não tinha a versão do arquivo correspondente para o lançamento. [CXM-52518]
• Para melhorar o diagnóstico, recentemente alteramos o formato da cadeia de caracteres para uma lista de IDs de dispositivos usados para definir um estado Permitido/Bloqueado da caixa de correio. Uma especificação de muitos dispositivos, no entanto, excedeu o tamanho máximo da cadeia de caracteres. Agora, usamos uma estrutura de dados de matriz interna. Essa estrutura não tem limite de tamanho e também formata os dados adequadamente para fins de diagnóstico. [CXM-52610]
• Quando detectadas políticas de dispositivo que não estão em sincronia com o Exchange, seus comandos podem incluir dispositivos que não pertencem à caixa de correio relevante. O conector do Endpoint Management para Exchange ActiveSync agora garante que os comandos para o Exchange representem apenas os dispositivos que pertencem a suas respectivas caixas de correio. [CXM-54842]
• Em alguns ambientes, um assembly da Microsoft não está disponível. O assembly necessário agora é explicitamente instalado com o aplicativo. [CXM-55439]
• Se Nomes diferenciados para dispositivos ou caixas de correio tiverem espaços entre o nome do atributo e os iguais e/ou espaços após os iguais e antes do valor, o conector do Endpoint Management do Exchange ActiveSync podia não corresponder corretamente um dispositivo com a sua caixa de correio e vice-versa. O resultado era que alguns dispositivos e/ou caixas de correio podiam ser rejeitados durante a reconciliação de instantâneos. [CXM-56088]

Nota:

As seções a seguir referem-se ao conector de Endpoint Management para Exchange ActiveSync pelo nome anterior de XenMobile Mail Manager. O nome foi alterado a partir da versão 10.1.7.

Atualização na versão 10.1.6.20

Uma atualização para 10.1.6 contém a seguinte correção na versão 10.1.6.20:

• Quando detectadas políticas de dispositivo que não estão em sincronia com o Exchange, seus comandos podem incluir dispositivos que não pertencem à caixa de correio relevante. O XenMobile Mail Manager agora garante que os comandos para o Exchange representem apenas os dispositivos que pertencem a suas respectivas caixas de correio. [CXM-54842]

O que há de novo na versão 10.1.6

O XenMobile Mail Manager versão 10.1.6 apresenta os seguintes problemas corrigidos e aprimoramentos:

• A janela de histórico do instantâneo (Snapshot History), às vezes, entrava em um estado em que sua atualização não era mais realizada. O mecanismo de atualização de janelas foi aprimorado para oferecer uma atualização mais confiável. [CXM-47983]
• Dois modos e caminhos de código separados eram usados para instantâneos particionados e não particionados. Como os instantâneos não particionados são equivalentes aos instantâneos particionados com uma configuração usando uma única partição “*”, o modo de instantâneo não particionado foi eliminado. O modo de instantâneo padrão é agora formado de instantâneos particionados com 36 partições (0–9, A – Z). [CXM-49093]
• Na janela Snapshot History de histórico do instantâneo, as mensagens de erro eram substituídas por mensagens de status. Agora, o XenMobile Mail Manager fornece dois campos separados para que os usuários possam visualizar status e erros simultaneamente. [CXM-51942]
• Ao se conectar ao Exchange Online (Office 365), as consultas relacionadas à captura instantânea podiam resultar em um conjunto de dados truncado. Esse problema ocorria quando o XenMobile Mail Manager executava um script com pipelines de vários comandos. O comando upstream não pode passar os dados com rapidez suficiente para o comando downstream, que conclui o trabalho prematuramente. Como resultado, dados incompletos ocorrem. O XenMobile Mail Manager agora pode imitar o próprio pipeline e aguardar até que o comando upstream seja realizado antes de chamar o comando downstream. Essa alteração resulta em todos os dados processados e capturados. [CXM-52280]
• Se ocorre um erro não resolvível em um comando de atualização de política para o Exchange, o mesmo comando é retornado à fila de trabalho repetidamente por um longo período. Essa situação resultava no envio do comando ao Exchange várias vezes. Nesta versão do XenMobile Mail Manager, um comando que resulta em um erro só é retornado para a fila de trabalho um pequeno número de vezes. [CXM-52633]
• Se a atualização de uma política de uma caixa de correio específica envolvesse a permissão ou o bloqueio de todos os dispositivos, o comando Set-CASMailbox emitido falhava devido à conversão da lista vazia em uma cadeia de caracteres vazia em vez de NULL. Os dados apropriados são enviados agora. [CXM-53759]
• Ao processar um novo dispositivo, o Exchange pode retornar o estado como “DeviceDiscovery” por um período (geralmente 15 minutos). O XenMobile Mail Manager não estava manipulando especificamente esse estado. O XenMobile Mail Manager agora manipula o estado. Na guia Monitor da interface do usuário, os usuários podem filtrar dispositivos nesse estado. [CXM-53840]
• O XenMobile Mail Manager não verificava a capacidade de gravar no banco de dados do XenMobile Mail Manager. Consequentemente, se as permissões fossem restritas, o comportamento não podia ser previsto. O XenMobile Mail Manager agora captura e valida as permissões necessárias do banco de dados. O XenMobile Mail Manager indica permissões reduzidas ao testar a conexão (mensagem mostrada) ou no indicador de banco de dados (passando o cursor sobre a mensagem) na parte inferior da janela principal de configuração. [CXM-54219]
• Dependendo da carga de trabalho atual, quando direcionado, o serviço XenMobile Mail Manager pode não parar imediatamente. Portanto, o serviço parecia estar em um estado letárgico. Com as melhorias, as tarefas contínuas são interrompidas, resultando em um desligamento mais fácil. [CXM-54282]

O que há de novo na versão 10.1.5

O XenMobile Mail Manager versão 10.1.5 apresenta os seguintes problemas corrigidos:

• Quando o Exchange está aplicando a limitação à atividade do XenMobile Mail Manager, não há nenhuma indicação (fora dos logs) de que a limitação está ocorrendo. Com esta versão, um usuário pode passar o mouse sobre o instantâneo ativo e um estado de “limitação” aparece. Além disso, enquanto o XenMobile Mail Manager está sendo limitado, o início de um instantâneo principal é proibido até que o Exchange elimine o embargo de limitação. [CXM-49617]
• Se o XenMobile Mail Manager estiver sendo limitado pelo Exchange durante um instantâneo principal, é possível que uma quantidade insuficiente de tempo passe antes da execução da próxima tentativa de criar um instantâneo. Esse problema resulta em mais limitação e em um instantâneo com falha. Agora, o XenMobile Mail Manager aguarda o tempo mínimo especificado pelo Exchange entre as tentativas de captura instantânea. [CXM-49618]
• Quando o diagnóstico está ativado, o arquivo de comandos mostra comandos Set-CasMailbox com hifens ausentes antes do nome de cada propriedade. Esse problema ocorre apenas na formatação do arquivo de diagnóstico e não no comando para o Exchange. O hífen ausente impede que um usuário corte o comando e cole-o diretamente em um prompt do PowerShell para teste ou validação. Os hifens foram adicionados. [CXM-52520]
• Se a identidade de uma caixa de correio estiver no formato “sobrenome, nome”, o Exchange adicionará uma barra invertida antes da vírgula ao retornar dados de uma consulta. Essa barra invertida deve ser removida quando o XenMobile Mail Manager usa a identidade para consultar mais dados. [CXM-52635]

Limitações conhecidas

Nota:

A limitação a seguir está resolvida na versão 10.1.6.

O XenMobile Mail Manager possui uma limitação conhecida que pode fazer com que os comandos do Exchange falhem. Para aplicar alterações de política ao Exchange, um comando Set_CASMailbox é emitido pelo XenMobile Mail Manager. Esse comando pode ter duas listas de dispositivos: uma para Permitir e outra para Bloquear. O comando é aplicado aos dispositivos associados a uma caixa de correio.

Essas listas são limitadas a 256 caracteres cada pela API da Microsoft. Se uma dessas listas exceder a limitação, o comando falhará na sua totalidade, impedindo que as políticas de caixa de correio desses dispositivos sejam configuradas. O erro relatado, que aparecerá nos logs do XenMobile Mail Manager, será semelhante ao seguinte. Este exemplo é de uma lista bloqueada.

“Message:’Não é possível vincular o parâmetro ‘ActiveSyncBlockedDeviceIDs’ ao destino. Exception setting “ActiveSyncBlockedDeviceIDs”: “O comprimento da propriedade é muito longo. O comprimento máximo é 256 e o comprimento do valor fornecido é… ”

Os tamanhos de ID dos dispositivos podem variar, mas, via de regra, cerca de 10 dispositivos ou mais simultaneamente Permitidos ou Bloqueados poderão exceder o limite. Embora ter muitos dispositivos associados a uma caixa de correio específica seja raro, essa é uma possibilidade. Até que o XenMobile Mail Manager seja aprimorado para lidar com esse cenário, recomendamos limitar o número de dispositivos associados a um usuário e a uma caixa de correio a 10 ou menos. [CXM-52633]

O que há de novo na versão 10.1.4

O XenMobile Mail Manager versão 10.1.4 apresenta os seguintes problemas corrigidos:

• Devido ao enfraquecimento da segurança, o TLS 1.0 está sendo suspenso pelo PCI Council. O suporte para o TLS 1.1 e 1.2 é adicionado ao XenMobile Mail Manager. [CXM-38573, CXM-32560]
• O XenMobile Mail Manager inclui um novo arquivo de diagnóstico. Quando a opção Ativar diagnóstico está selecionada na especificação do Exchange, um novo arquivo de Histórico de Captura Instantânea é gerado. Com cada tentativa de instantâneo, uma linha é adicionada ao arquivo com os resultados do instantâneo. [CXM-49631]
• No arquivo de diagnóstico Comandos, a lista de dispositivos permitidos ou bloqueados não foi exibida para o comando Set-CASMailbox. Em vez disso, o nome da classe interna foi mostrado no arquivo para os argumentos relacionados. O XenMobile Mail Manager agora mostra a lista de deviceIDs como uma lista delimitada por vírgulas. [CXM-50693]
• Quando uma tentativa de adquirir uma conexão com o Exchange falha devido a uma especificação incorreta: a mensagem de erro é substituída por uma mensagem incorreta: “Todas as conexões em uso”. Mais mensagens descritivas aparecem agora, como “Todas as conexões estão inoperantes”, “O pool de conexões está vazio”, “Todas as conexões são limitadas” e “Nenhuma conexão disponível”. [CXM-50783]
• Em alguns casos, os comandos Permitir/Bloquear/Apagar são enfileirados várias vezes no cache interno do XenMobile Mail Manager. Esse problema causa um atraso no comando que está sendo enviado para o Exchange. O XenMobile Mail Manager agora só enfileira uma instância de cada comando. [CXM-51524]

O que há de novo na versão 10.1.3

• Suporte ao Google Analytics: queremos saber como você usa o XenMobile Mail Manager para nos concentrarmos em como podemos melhorar o produto.
• Configuração para ativar o diagnóstico: uma caixa de seleção Ativar diagnóstico é exibida no console Configurar na caixa de diálogo Configuração.

Problemas resolvidos na versão 10.1.3

• Na janela Histórico da Captura Instantânea, as dicas de ferramentas que mostram o estado atual da captura instantânea não refletem o estado real. [CXM-5570] Ocasionalmente, o XenMobile Mail Manager não pode gravar no arquivo de diagnósticos de Comandos. Quando isso ocorre, o histórico de comandos não é registrado em sua totalidade. [CXM-49217]
• Quando ocorre um erro com uma conexão, a conexão não é marcada como “com erro”. Como resultado, um comando subsequente pode tentar usar a conexão e causar outro erro. [CXM-49495]
• Quando a limitação do Exchange Server ocorre, uma exceção pode ser lançada na rotina de Verificação de Integridade. Como resultado, as conexões que sofreram um erro ou expiraram podem não ser limpas. Além disso, o XenMobile Mail Manager não cria conexões até que o tempo de limitação expire. [CXM-49794]
• Quando a contagem máxima de sessões do Exchange é excedida, o XenMobile Mail Manager relata o erro “Falha na Captura do Dispositivo”, que não é uma mensagem precisa. Em vez disso, a mensagem deve indicar que as duas sessões que o XenMobile Mail Manager normalmente usa para a comunicação do Exchange estão em uso. [CXM-49994]

O que há de novo na versão 10.1.2

• Melhor conexão com o Exchange: o XenMobile Mail Manager usa as sessões do PowerShell para se comunicar com o Exchange. Uma sessão do PowerShell, especialmente ao lidar com o Office 365, pode se tornar instável depois de algum tempo, impedindo o êxito dos comandos subsequentes. O XenMobile Mail Manager agora pode definir um período de expiração para conexões. Quando a conexão atinge seu tempo de expiração, o XenMobile Mail Manager encerra a sessão do PowerShell e cria uma sessão. Ao fazer isso, é menos provável que a sessão do PowerShell se torne instável, reduzindo significativamente a chance de uma falha de instantâneo.
• Fluxo de trabalho de instantâneo aprimorado: os principais instantâneos são uma operação demorada e de processo intenso. Se ocorrer um erro durante um instantâneo, agora o XenMobile Mail Manager tentará várias vezes (até três) concluir um instantâneo. Tentativas subsequentes não começam do início. O XenMobile Mail Manager continua de onde parou. Esse aprimoramento melhora a taxa de sucesso de instantâneos em geral, permitindo que erros transitórios passem enquanto um instantâneo ainda está em andamento.
• Diagnóstico aprimorado: a solução de problemas de operações de instantâneos agora ficou mais fácil, com três novos arquivos de diagnóstico gerados opcionalmente durante um instantâneo. Esses arquivos ajudam a identificar problemas de comando do PowerShell, caixas de correio com informações ausentes e dispositivos que não podem ser relacionados a uma caixa de correio. Um administrador pode usar esses arquivos para identificar dados que podem não estar corretos no Exchange.
• Melhor uso de memória: agora, o XenMobile Mail Manager é mais eficiente no uso de memória. Os administradores podem agendar o XenMobile Mail Manager para reiniciar automaticamente para fornecer uma barreira limpa ao sistema.
• Pré-requisito do Microsoft .NET Framework 4.6: o pré-requisito para o Microsoft .NET Framework agora é a versão 4.6.

Problemas resolvidos

• Aviso de erro de credenciais: a instabilidade da sessão do Office 365 muitas vezes causou esse erro. O melhoria Conexão Aprimorado ao Exchange resolve esse problema. (XMHELP-293, XMHELP-311, XMHELP-801)
• Imprecisões na contagem de caixas de correio e dispositivos: o XenMobile Mail Manager possui um algoritmo aprimorado de associação de Caixa de Correio com Dispositivo. O recurso Diagnóstico Aprimorado ajuda na identificação de caixas de correio e dispositivos que o XenMobile Mail Manager considera que não estão dentro de seu domínio de responsabilidade. (XMHELP-623)
• Comandos Permitir/Bloquear/Apagar não são reconhecidos: um bug foi corrigido onde, às vezes, os comandos de permissão/bloqueio/apagamento do XenMobile Mail Manager não são reconhecidos. (XMHELP-489)
• Gerenciamento de memória: melhor gerenciamento de memória e mitigação. (XMHELP-419)

Arquitetura

A figura a seguir mostra os principais componentes do conector do Endpoint Management para Exchange ActiveSync. Para um diagrama da arquitetura de referência detalhada, consulte Arquitetura.

Os três componentes principais são:

• Exchange ActiveSync Access Control Management: comunica-se com o XenMobile para recuperar uma política do Exchange ActiveSync do XenMobile e mesclá-la com qualquer política definida localmente para determinar os dispositivos do Exchange ActiveSync que devem ter o acesso ao Exchange permitido ou negado. A política local permite a extensão das regras da política para possibilitar o controle de acesso pelo Grupo do Active Directory, Usuário, Tipo de Dispositivo ou Agente de Usuário do Dispositivo (geralmente o número de versão de plataforma).
• Remote PowerShell Management: responsável pelo cronograma e invocação de comandos PowerShell remotos para impor a política compilada pelo Exchange ActiveSync Access Control Management. Tira periodicamente um instantâneo do banco de dados do Exchange ActiveSync para detectar dispositivos do Exchange ActiveSync novos ou alterados.
• Mobile Service Provider: fornece uma interface de serviços da Web para que o XenMobile possa consultar o Exchange ActiveSync, consultar dispositivos Blackberry e emitir operações de controle, como o Wipe nos dispositivos Blackberry e no ActiveSync.

Requisitos do sistema e pré-requisito

Os seguintes requisitos mínimos do sistema são necessários para usar o conector de Endpoint Management para Exchange ActiveSync:

• Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Deve ser um servidor com base no inglês. O suporte para o Windows Server 2008 R2 Service Pack 1 terminou em 14 de janeiro de 2020 e o suporte para o Windows Server 2012 R2 terminou em 10 de outubro de 2023.
• Microsoft SQL Server 2016 Service Pack 2 ou SQL Server 2014 Service Pack 3.
• Microsoft .NET Framework 4.6.
• BlackBerry Enterprise Service versão 5 (opcional)

Versões mínimas compatíveis do Microsoft Exchange Server:

• Microsoft Office 365
• Exchange Server 2016
• Exchange Server 2013 (o suporte terminou em 11 de abril de 2023)
• Exchange Server 2010 Service Pack 3 (o suporte termina em 14 de janeiro de 2020)

Pré-requisitos

• O Windows Management Framework deve estar instalado.
  • PowerShell V5, V4 e V3
• A política de execução do PowerShell deve ser definida como RemoteSignedvia Set-ExecutionPolicy RemoteSigned.

• A porta TCP 80 deve estar aberta entre o computador que está executando o conector de Endpoint Management para Exchange ActiveSync e o Exchange Server remoto.

• Clientes de email de dispositivos: nem todos os clientes de email sempre retornam o mesmo ActiveSync ID para um dispositivo. Como o conector de Endpoint Management para Exchange ActiveSync espera uma ID exclusiva do ActiveSync para cada dispositivo, apenas os clientes de email que consistentemente geram a mesma ID exclusiva do ActiveSync para cada dispositivo são suportados. Esses clientes de email foram testados pela Citrix e executados sem erros:

  • Cliente de email nativo Samsung
  • Cliente de email nativo iOS

• Exchange: os requisitos para o computador local executando o Exchange são os seguintes:

  As credenciais especificadas na interface do usuário da Configuração do Exchange devem conseguir realizar a conexão com o Exchange Server e ter acesso total para executar os seguintes cmdlets do PowerShell específicos do Exchange.

  • Para o Exchange Server 2010 SP2:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Limpar ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Para o Exchange Server 2013 e Exchange Server 2016:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Se o conector de Endpoint Management para Exchange ActiveSync estiver configurado para exibir a floresta inteira, a permissão deve ter sido concedida para execução de: Set-AdServerSettings -ViewEntireForest $true
  • As credenciais fornecidas devem ter o direito de conexão com o Exchange Server por meio do Shell remoto. Por padrão, o usuário que instalou o Exchange tem esse direito.
  • Para estabelecer uma conexão remota e executar comandos remotos, as credenciais devem corresponder a um usuário que seja um administrador no computador remoto. Você pode usar Set-PSSessionConfiguration para eliminar o requisito administrativo, mas a discussão desse comando está além do escopo deste documento. Para obter mais informações, consulte o artigo da Microsoft Sobre configurações de sessão.
  • O Exchange Server deve ser configurado para oferecer suporte a solicitações remotas do PowerShell por meio de HTTP. Normalmente, um administrador que executa o seguinte comando do PowerShell no Exchange Server é só o que é necessário: WinRM QuickConfig.
  • O Exchange apresenta muitas políticas de limitação. Uma das políticas controla quantas conexões simultâneas do PowerShell são permitidas por usuário. O número padrão de conexões simultâneas permitidas para um usuário é 18 no Exchange 2010. Quando o limite de conexão é atingido, o conector de Endpoint Management para Exchange ActiveSync não consegue se conectar ao Exchange Server. Existem maneiras de alterar o número máximo permitido de conexões simultâneas por meio do PowerShell que estão além do escopo desta documentação. Se você tiver interesse, investigue as políticas de limitação do Exchange relacionadas ao gerenciamento remoto com o PowerShell.

Requisitos do Office 365 Exchange

• Permissões: as credenciais especificadas na interface do usuário da Configuração do Exchange devem conseguir realizar a conexão com o Office 365 e ter acesso total para executar os seguintes cmdlets do PowerShell específicos do Exchange:
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-MobileDevice
  • Get-MobileDeviceStatistics
  • Clear-MobileDevice
  • Get-ExchangeServer
  • Get-ManagementRole
  • Get-ManagementRoleAssignment
• Privilégios: as credenciais fornecidas devem ter o direito de conexão com o servidor do Office 365 por meio do Shell remoto. Por padrão, o administrador online do Office 365 tem os privilégios necessários.
• Throttling policies: Exchange has many throttling policies. Uma das políticas controla quantas conexões simultâneas do PowerShell são permitidas por usuário. O número padrão de conexões simultâneas permitidas para um usuário é três no Office 365. Quando o limite de conexão é atingido, o conector de Endpoint Management para Exchange ActiveSync não consegue se conectar ao Exchange Server. Existem maneiras de alterar o número máximo permitido de conexões simultâneas por meio do PowerShell que estão além do escopo desta documentação. Se você tiver interesse, investigue as políticas de limitação do Exchange relacionadas ao gerenciamento remoto com o PowerShell.

Instalar e configurar

1. Clique no arquivo XmmSetup.msi e siga os prompts no instalador para instalar o conector de Endpoint Management para Exchange ActiveSync.

2. Deixe a opção Launch the Configure utility selecionada na última tela do assistente de configuração. Ou, no menu Iniciar, abra o conector de Endpoint Management para Exchange ActiveSync.

3. Configure as seguintes propriedades de banco de dados:

   • Selecione a guia Configure > Database.
   • Digite o nome do SQL Server (o padrão é localhost).
   • Mantenha o banco de dados como o padrão CitrixXmm.

4. Selecione um dos seguintes modos de autenticação usados para SQL:

   • SQL: digite o nome do usuário e a senha de um usuário válido do SQL.
   • Windows Integrated: se você selecionar essa opção, as credenciais de login do serviço conector de Endpoint Management para Exchange ActiveSync deverão ser alteradas para uma conta do Windows que tenha permissões para acessar o SQL Server. Para fazer isso, abra o Painel de Controle > Ferramentas Administrativas > Serviços, clique com o botão direito do mouse no serviço conector de Endpoint Management para Exchange ActiveSync e clique na guia Logon.

   Se a opção Windows Integrated também for escolhida para a conexão de banco de dados do BlackBerry, a conta do Windows especificada aqui também deverá ter acesso ao banco de dados do BlackBerry.

5. Clique em Test Connectivity para verificar se uma conexão com o SQL Server pode ser realizada e clique em Save.

6. Uma mensagem solicita que você reinicie o serviço. Clique em Yes.

   

7. Configure um ou mais Exchange Servers:

   • Se estiver gerenciando um único ambiente do Exchange, especifique apenas um único servidor. Se estiver gerenciando vários ambientes do Exchange, especifique um único Exchange Server para cada ambiente do Exchange.
   • Clique na guia Configure > Exchange e, em seguida, clique em Add.

   

8. Selecione o tipo de ambiente do Exchange Server: On Premise ou Office 365.

   • Se você selecionar On Premise, digite o nome do Exchange Server que será usado para os comandos do Remote PowerShell.
   • Digite o nome do usuário de uma identidade do Windows que tenha os direitos adequados no Exchange Server, conforme especificado na seção Requisitos, e insira a senha do usuário.
   • Selecione o cronograma da execução de instantâneos principais. Um instantâneo principal detecta cada parceria do Exchange ActiveSync.
   • Selecione o cronograma da execução de instantâneos secundários. Um instantâneo secundário detecta parcerias do Exchange ActiveSync recém-criadas.
   • Selecione o Snapshot Type: Deep ou Shallow. Os instantâneos superficiais geralmente são muito mais rápidos e são suficientes para executar todas as funções de controle de acesso do Exchange ActiveSync do conector de Endpoint Management para Exchange ActiveSync. Os instantâneos profundos (Snapshot Deep) podem demorar mais tempo e serão necessários somente se o Provedor de Serviços Móveis estiver ativado para o ActiveSync. Essa opção permite que o XenMobile consulte dispositivos não gerenciados.
   • Selecione o Default Access: Allow, Block ou Unchanged. Essa configuração controla como todos os dispositivos diferentes dos identificados por regras explícitas do XenMobile ou Locais são tratados. Se você selecionar Allow, o acesso do ActiveSync a todos esses dispositivos será permitido. Se você selecionar Block, o acesso será negado. Se você selecionar Unchanged, nenhuma alteração será feita.
   • Selecione o ActiveSync Command Mode: PowerShell ou Simulation.
   • No modo PowerShell, o conector de Endpoint Management para Exchange ActiveSync emite comandos do PowerShell para efetuar o controle de acesso desejado. No modo Simulation, o conector de Endpoint Management para Exchange ActiveSync não emite comandos do PowerShell, mas registra o comando pretendido e os resultados pretendidos no banco de dados. No modo Simulation, o usuário pode usar a guia Monitor para ver o que teria acontecido se o modo PowerShell estivesse ativado.
   • Em Connection Expiration, defina as horas e minutos para a duração de uma conexão. Quando uma conexão atinge a duração especificada, a conexão é marcada como expirada, de modo que a conexão nunca seja usada novamente. Quando a conexão expirada não é mais usada, o conector de Endpoint Management para Exchange ActiveSync encerra a conexão normalmente. Quando uma conexão é necessária novamente, uma nova conexão é inicializada se nenhuma estiver disponível. Se nenhuma for especificada, o padrão de 30 minutos será usado.
   • Selecione View Entire Forest para configurar o conector de Endpoint Management para Exchange ActiveSync para exibir toda a floresta do Active Directory no ambiente do Exchange.
   • Selecione o protocolo de autenticação: Kerberos ou Basic. O conector de Endpoint Management para Exchange ActiveSync oferece suporte à autenticação Basic para implantações locais. Isso permite que o conector de Endpoint Management para Exchange ActiveSync seja usado quando o conector de servidor Endpoint Management para Exchange ActiveSync não é membro do domínio no qual o Exchange Server reside.
   • Clique em Test Connectivity para verificar se uma conexão com o Exchange Server pode ser realizada e clique em Save.
   • Uma mensagem solicita que você reinicie o serviço. Clique em Yes.

9. Configure as regras de acesso: selecione a guia Configure > Acess Rules, clique na guia XMS Rules e, em seguida, clique em Add.

   

10. Na página de Propriedades do XenMobile Server Service, modifique a sequência de URL para apontar para o XenMobile Server. Por exemplo, se o nome da instância for zdm, insira https://<XdmHostName>/zdm/services/MagConfigService. No exemplo, substitua XdmHostName pelo endereço IP ou DNS do XenMobile Server.

    

    • Insira um usuário autorizado do servidor.
    • Insira a senha de usuário.
    • Mantenha os valores padrão de Baseline Interval, Delta Interval e Timeout.
    • Clique em Test Connectivity para verificar a conexão com o servidor e depois clique em OK.

    Se a caixa de seleção Disabled estiver marcada, o XenMobile Mail Service não coletará políticas do XenMobile.

11. Clique na guia Local Rules.

    

    • Você pode adicionar regras locais com base em ActiveSync Device ID, Device Type, AD Group, User ou UserAgent de dispositivo. Na lista, selecione o tipo adequado.
    • Insira texto ou fragmentos de texto na caixa de texto. Opcionalmente, clique no botão de consulta para exibir as entidades que correspondem ao fragmento.

    Para todos os tipos diferentes de Group, o sistema se baseia nos dispositivos que foram encontrados em um instantâneo. Portanto, se você estiver apenas começando e ainda não tiver concluído um instantâneo, nenhuma entidade estará disponível.

    • Selecione um valor de texto e clique em Allow ou Deny para adicioná-lo ao painel Rule List à direita. Você pode alterar a ordem das regras ou removê-las usando os botões à direita do painel Rule List. A ordem é importante pois, para um determinado usuário e dispositivo, as regras são avaliadas na ordem mostrada e uma correspondência em uma regra superior (mais perto do topo) faz com que as regras subsequentes não tenham nenhum efeito. Por exemplo, se houver uma regra que permite todos os dispositivos iPad e uma regra subsequente que bloqueia o usuário Matt, o iPad de Matt ainda será permitido, pois a regra iPad tem uma prioridade efetiva mais alta do que a regra Matt.
    • Para executar uma análise das regras na lista de regras para localizar possíveis substituições, conflitos ou construções complementares, clique em Analyze e depois clique em Save.

12. Se você desejar criar regras locais que operam em Grupos do Active Directory, clique em Configure LDAP e, em seguida, configure as propriedades de conexão LDAP.

    

13. Configure o Provedor de Serviços Móveis.

    O provedor de serviços móveis é opcional. Essa configuração é necessária apenas se o XenMobile também estiver configurado para usar a interface do Provedor de serviços móveis para consultar dispositivos não gerenciados.

    • Clique na guia Configure > MSP.

    

    • Defina o tipo de Service Transport, como HTTP ou HTTPS, do serviço do Provedor de Serviços Móveis.
    • Defina a Service Port (normalmente 80 ou 443) do serviço do Provedor de Serviços Móveis. Se você usar a porta 443, ela exigirá um certificado SSL associado a ela no IIS.
    • Defina o Authorization Group ou User. Isso define o usuário ou o conjunto de usuários que poderá se conectar ao serviço do Provedor de Serviços Móveis do XenMobile.
    • Defina se as consultas do ActiveSync estão ativadas ou não. Se as consultas do ActiveSync estiverem ativadas para o XenMobile Server, o tipo de instantâneo para um ou mais Exchange Servers deverá ser definido como Deep. Essa configuração pode ter custos de desempenho significativos para tirar instantâneos.
    • Por padrão, os dispositivos ActiveSync que correspondam à expressão regular WorxMail.* não serão enviados para o XenMobile. Para alterar esse comportamento, altere o campo Filter ActiveSync conforme necessário. Em branco significa que todos os dispositivos são encaminhados ao XenMobile.
    • Clique em Salvar.

14. Opcionalmente, configure uma ou mais instâncias do BlackBerry Enterprise Server (BES): clique em Add e digite o nome do servidor do BES SQL Server.

    

    • Insira o nome do banco de dados de gerenciamento do BES.
    • Selecione o modo Authentication. Se você selecionar a autenticação Integrated do Windows, a conta de usuário do serviço conector de Endpoint Management para Exchange ActiveSync é a conta usada para conectar-se ao SQL Server do BES. Se você também escolher a conexão Integrated do Windows para a conexão do banco de dados do conector de Endpoint Management para Exchange ActiveSync, a conta do Windows especificada aqui também deverá receber acesso ao banco de dados do conector de Endpoint Management para Exchange ActiveSync.
    • Se você selecionar SQL authentication, digite o nome do usuário e a senha.
    • Defina o Sync Schedule. Esse é o calendário usado para conexão com o SQL Server do BES e verifica se há alguma atualização de dispositivo.
    • Clique em Test Connectivity para verificar a conectividade com o SQL Server. Se você selecionar Windows Integrated, esse teste usará o usuário atualmente conectado e não o serviço conector do Endpoint Management para Exchange ActiveSync e, portanto, não testará com precisão a autenticação do SQL.
    • Para dar suporte a Remote Wipe e ResetPassword de dispositivos BlackBerry do XenMobile, marque a caixa de seleção Enabled.
    • Insira o nome de domínio totalmente qualificado (FQDN) do BES.
    • Insira a porta do BES usada para o serviço da Web de administração.
    • Insira o usuário totalmente qualificado e a senha exigidos pelo serviço do BES.
    • Clique em Test Connectivity para testar a conexão com o BES.
    • Clique em Salvar.

Impor políticas de email com IDs do ActiveSync

Sua política de email corporativo pode ditar que determinados dispositivos não sejam aprovados para o uso de email corporativo. Para cumprir essa política, você deseja garantir que os funcionários não consigam acessar o email corporativo desses dispositivos. O conector de Endpoint Management para Exchange ActiveSync e o XenMobile trabalham em conjunto para impor essa política de email. O XenMobile define a política de acesso a email corporativo e, quando um dispositivo não aprovado se registra no XenMobile, o conector de Endpoint Management para Exchange ActiveSync impõe a política.

O cliente de email em um dispositivo se apresenta para o Exchange Server (ou o Office 365) usando o ID de dispositivo, também conhecido como o ActiveSync ID, que é usado para identificar o dispositivo. O Secure Hub obtém um identificador semelhante e o envia para o XenMobile quando o dispositivo se registra. Ao comparar os dois IDs de dispositivo, o conector de Endpoint Management para Exchange ActiveSync pode determinar se um dispositivo específico deve ter acesso a email corporativo. A figura a seguir ilustra esse conceito:

Se o XenMobile enviar ao conector de Endpoint Management para Exchange ActiveSync um ID do ActiveSync diferente do ID que o dispositivo publica no Exchange, o conector de Endpoint Management para Exchange ActiveSync não poderá indicar ao Exchange o que fazer com o dispositivo.

A correspondência de IDs do ActiveSync funciona de forma confiável na maioria das plataformas. No entanto, a Citrix descobriu que, em algumas implementações do Android, o ID do ActiveSync do dispositivo é diferente do ID que o cliente de email apresenta ao Exchange. Para atenuar esse problema, você pode fazer o seguinte:

• Na plataforma Samsung SAFE, envie por push a configuração do ActiveSync do dispositivo do XenMobile.

Para garantir que sua política de acesso a email corporativo seja aplicada corretamente, você pode adotar uma postura de segurança defensiva e configurar o conector de Endpoint Management para Exchange ActiveSync para bloquear emails, definindo a política estática como Deny por padrão. Isso significa que se um funcionário configura um cliente de email em um dispositivo Android, e se a detecção do ID do ActiveSync não funcionar corretamente, o funcionário terá o acesso ao email corporativo negado.

Regras de controle de acesso

O conector de Endpoint Management para Exchange ActiveSync fornece uma abordagem baseada em regras para configurar dinamicamente o controle de acesso a dispositivos Exchange ActiveSync. Um conector de Endpoint Management para Exchange ActiveSync consiste em duas partes: uma expressão correspondente e um estado de acesso desejado (Permitir ou Bloquear). Uma regra pode ser avaliada em relação um determinado dispositivo Exchange ActiveSync para determinar se ela é aplicável ou corresponde ao dispositivo. Há vários tipos de expressões correspondentes; por exemplo, uma regra pode corresponder a todos os dispositivos de um determinado tipo de dispositivo, a uma ID de dispositivo específico do Exchange ActiveSync ou a todos os dispositivos de um usuário específico e assim por diante.

Em qualquer momento durante a adição, remoção e reorganização das regras na lista de regras, clicar no botão Cancel reverterá a lista de regras para o estado em que estava quando ela foi aberta pela primeira vez. A menos que você clique em Save, todas as alterações feitas nessa janela serão perdidas se você fechar a ferramenta Configure.

O conector do Endpoint Management for Exchange ActiveSync tem três tipos de regras: regras locais, regras do XenMobile Server (também conhecidas como regras XDM) e a regra de acesso padrão.

Regras locais: as regras locais têm a prioridade mais alta: se um dispositivo corresponde a uma regra local, a avaliação da regra é interrompida. Nem as regras do XenMobile Server nem as regras de acesso padrão serão consultadas. As regras locais são configuradas localmente para o conector de Endpoint Management para Exchange ActiveSync na guia Configure > Access Rules > Local Rules. A correspondência de suporte é baseada na associação de um usuário em um determinado grupo do Active Directory. A correspondência de suporte é baseada em expressões regulares para os seguintes campos:

• Active Sync Device ID
• Tipo de dispositivo ActiveSync
• Nome UPN
• ActiveSync User Agent (normalmente a plataforma do dispositivo ou o cliente de email)

Desde que um instantâneo principal tenha sido concluído e localizado dispositivos, você deverá conseguir adicionar uma regra normal ou de expressão regular. Se um instantâneo principal não tiver sido concluído, você poderá adicionar somente regras de expressão regular.

Regras do XenMobile Server: as regras do XenMobile Server são referências a um XenMobile Server externo que fornece regras sobre dispositivos gerenciados. O XenMobile Server pode ser configurado com suas próprias regras de alto nível que identificam os dispositivos que devem ser permitidos ou bloqueados com base nas propriedades conhecidas do XenMobile, como se o dispositivo tem jailbreak ou se o dispositivo contém aplicativos proibidos. O XenMobile avalia as regras de alto nível e produz um conjunto de IDs de dispositivos ActiveSync permitidos ou bloqueados, que são entregues ao conector de Endpoint Management para Exchange ActiveSync.

Regra de acesso padrão: a regra de acesso padrão é exclusiva, no sentido que ela potencialmente pode corresponder a cada dispositivo e sempre é avaliada por último. Essa regra é a regra genérica, o que significa que se um determinado dispositivo não corresponder a uma regra local ou do XenMobile Server, o estado de acesso desejado do dispositivo será determinado pelo estado de acesso desejado da regra de acesso padrão.

• Default Access – Allow: qualquer dispositivo que não for correspondido por uma regra local ou do XenMobile Server será permitido.
• Default Access – Block: qualquer dispositivo que não for correspondido por uma regra local ou do XenMobile Server será bloqueado.
• Default Access - Unchanged: qualquer dispositivo que não for correspondido por uma regra local ou do XenMobile Server não terá seu estado de acesso modificado de nenhuma forma pelo conector de Endpoint Management para Exchange ActiveSync. Se um dispositivo tiver sido colocado no modo Quarentena pelo Exchange, nenhuma ação será tomada. Por exemplo, a única maneira de remover um dispositivo do modo Quarantine é ter uma regra Local ou o XDM explicitamente substituir a quarentena.

Sobre as avaliações de regra

Para cada dispositivo que o Exchange relata para o conector de Endpoint Management para Exchange ActiveSync, as regras são avaliadas em sequência, da prioridade mais alta para a mais baixa, desta forma:

• Regras locais
• Regras do XenMobile Server
• Regra de acesso padrão

Quando uma correspondência é encontrada, a avaliação é interrompida. Por exemplo, se uma regra local corresponder a um determinado dispositivo, ele não será avaliado em relação a qualquer das regras do XenMobile Server ou à regra de acesso padrão. Isso é verdadeiro também em um determinado tipo de regra. Por exemplo, se houver mais de uma única correspondência para um determinado dispositivo na lista de regras locais, assim que a primeira correspondência seja encontrada, a avaliação é interrompida.

O conector de Endpoint Management para Exchange ActiveSync reavalia o conjunto de regras atualmente definido quando as propriedades do dispositivo são alteradas ou quando os dispositivos são adicionados ou removidos ou quando as próprias regras são alteradas. Os instantâneos principais detectam as alterações na propriedade de dispositivo e as remoções em intervalos configuráveis. Os instantâneos secundários detectam novos dispositivos em intervalos configuráveis.

O Exchange ActiveSync também apresenta regras que regem o acesso. É importante entender como essas regras funcionam no contexto do conector de Endpoint Management para Exchange ActiveSync. O Exchange pode ser configurado com três níveis de regras: isenções pessoais, regras de dispositivo e configurações de organização. O conector de Endpoint Management para Exchange ActiveSync automatiza o controle de acesso emitindo programaticamente as solicitações remotas do PowerShell para afetar as listas de isenções pessoais. Elas são listas de IDs de dispositivo Exchange ActiveSync permitidos ou bloqueados associados a uma determinada caixa de correio. Quando implantado, o conector de Endpoint Management para Exchange ActiveSync efetivamente assume o gerenciamento do recurso de listas de isenção no Exchange. Para obter detalhes, consulte o artigo da Microsoft, Controlando o acesso ao dispositivo.

Analisar é útil em situações nas quais várias regras foram definidas para o mesmo campo. Você pode solucionar problemas das relações entre as regras. Execute a análise da perspectiva dos campos de regra. Por exemplo, as regras são analisadas em grupos com base no campo que está sendo correspondido, como ID de dispositivo ActiveSync, tipo de dispositivo ActiveSync, Usuário, Agente do Usuário.

Terminologia de regra

• Regra predominante: uma predominância ocorre quando mais de uma única regra poderia ser aplicada ao mesmo dispositivo. Como as regras são avaliadas por prioridade na lista, as instâncias de regra de menor prioridade que podem ser aplicadas podem nunca ser avaliadas.
• Regra conflitante: um conflito ocorre quando mais de uma regra pode ser aplicada ao mesmo dispositivo, mas o acesso (Permitir/Bloquear) não é correspondente. Se as regras conflitantes não forem regras de expressão regular, um conflito sempre conotará implicitamente uma substituição.
• Regra suplementar: um suplemento ocorre quando mais de uma regra é uma regra de expressão regular e, portanto, pode haver a necessidade de garantir que as duas (ou mais) expressões regulares também possam ser combinadas em uma única regra de expressão regular ou que não estejam duplicando a funcionalidade. Uma regra suplementar também pode entrar em conflito no respectivo acesso (Permitir/Bloquear).
• Regra principal: a regra principal é a regra que foi clicada na caixa de diálogo. A regra é indicada visualmente por uma borda sólida que a contorna. A regra também terá uma ou duas setas verdes, apontando para cima ou para baixo. Se uma seta apontar para cima, ela indicará que existem regras auxiliares que precedem a regra principal. Se uma seta apontar para baixo, ela indicará que existem regras auxiliares que se seguem a regra principal. Somente uma única regra principal pode estar ativa em determinado momento.
• Regra auxiliar: uma regra auxiliar está relacionada de alguma forma à regra principal por meio de substituição, conflito ou uma relação suplementar. As regras são indicadas visualmente por uma borda tracejada que as contorna. Pode haver uma a muitas regras auxiliares para cada regra principal. Quando você clica em qualquer entrada sublinhada, a regra auxiliar ou as regras que são realçadas são sempre da perspectiva da regra principal. Por exemplo, a regra auxiliar é substituída pela regra principal e/ou a regra auxiliar entrará em conflito no respectivo acesso com a regra principal, e/ou a regra auxiliar suplementará a regra principal.

Como os tipos de regras aparecem na caixa de diálogo Rule Analysis

Quando não existirem conflitos, substituições ou suplementos, a caixa de diálogo Rule Analysis não apresentará entradas sublinhadas. Clicar em qualquer um dos itens não terá impacto; por exemplo, os visuais normais de item selecionado ocorrem.

A janela Análise de regras tem uma caixa de seleção que, quando selecionada, exibe somente as regras que são conflitos, substituições, redundâncias ou suplementos.

Quando ocorrer uma substituição, pelo menos duas regras serão sublinhadas: a regra principal e a regra ou as regras auxiliares. Pelo menos uma regra auxiliar é exibida em uma fonte mais fina para indicar que a regra foi substituída por uma regra de prioridade mais alta. Você pode clicar na regra predominante para descobrir qual regra ou regras a substituíram. Sempre que uma regra predominante for realçada como resultado de a regra ser a regra principal ou auxiliar, um círculo preto é exibido ao lado dela como uma indicação visual adicional de que a regra está inativa. Por exemplo, antes de clicar na regra, a caixa de diálogo é exibida da seguinte forma:

Quando você clica na regra de prioridade mais alta, a caixa de diálogo é exibida da seguinte forma:

Nesse exemplo, a regra de expressão regular WorkMail.* é a regra principal (indicada pela borda sólida) e a regra normal workmailc633313818 é uma regra auxiliar (indicada pela borda tracejada). O ponto preto ao lado da regra auxiliar é uma indicação visual adicional de que a regra está inativa (nunca será avaliada) devido à regra de expressão regular de prioridade mais alta que a precede. Depois de clicar na regra predominante, a caixa de diálogo é exibida da seguinte forma:

No exemplo anterior, a regra de expressão regular WorkMail.* é a regra auxiliar (indicada pela borda tracejada) e a regra normal workmailc633313818 é uma regra principal (indicada pela borda sólida). Nesse exemplo simples, não há muita diferença. Para um exemplo mais complicado, consulte o exemplo de expressão complexa mais adiante neste tópico. Em um cenário com muitas regras definidas, clicar na regra substituída rapidamente identifica qual regra ou regras a substituíram.

Quando ocorrer um conflito, pelo menos duas regras serão sublinhadas: a regra principal e a regra ou as regras auxiliares. As regras em conflito são indicadas por um ponto vermelho. Regras que só entram em conflito uma com a outra são possíveis somente com duas ou mais regras de expressão regular definidas. Em todos os outros cenários de conflito, não haverá somente um conflito, mas uma substituição envolvida. Antes de clicar em qualquer uma das regras em um exemplo simples, a caixa de diálogo é exibida da seguinte forma:

Quando se inspeciona as duas regras de expressão regular, fica evidente que a primeira regra permite todos os dispositivos com um ID de dispositivo que contém “App” e que a segunda regra nega todos os dispositivos com um ID de dispositivo que contém “Appl”. Além disso, mesmo que a segunda regra negue todos os dispositivos com um ID de dispositivo que contém “Appl”, nenhum dispositivo com esses critérios de correspondência jamais será negado, devido à precedência mais alta da regra permitir. Depois de clicar na primeira regra, a caixa de diálogo é exibida da seguinte forma:

No cenário anterior, tanto a regra principal (a regra de expressão regular App.*) quanto a regra auxiliar (a regra de expressão regular Appl.*) são realçadas em amarelo. Trata-se simplesmente de um aviso visual para alertar para o fato de que você aplicou mais de uma única regra de expressão regular a um único campo passível de correspondência, o que pode significar um problema de redundância ou algo mais sério.

Em um cenário com um conflito e uma predominância, tanto a regra principal (a regra de expressão regular App.*) quanto a regra auxiliar (a regra de expressão regular Appl.*) são realçadas em amarelo. Trata-se simplesmente de um aviso visual para alertar para o fato de que você aplicou mais de uma regra de expressão regular a um único campo passível de correspondênciia, o que pode significar um problema de redundância ou algo mais sério.

É fácil ver, no exemplo anterior, que a primeira regra (a regra de expressão regular SAMSUNG.*) não somente substitui a regra seguinte (a regra normal SAMSUNG-SM-G900A/101.40402), mas as duas regras diferem no respectivo acesso (a principal especifica Permitir, a auxiliar especifica Bloquear). A segunda regra (a regra normal SAMSUNG-SM-G900A/101.40402) é exibida em um texto mais fino para indicar que ela foi substituída e, portanto, está inativa.

Depois de clicar na regra de expressão regular, a caixa de diálogo é exibida da seguinte forma:

A regra principal (a regra de expressão regular SAMSUNG.*) é seguida por um ponto vermelho para indicar que o estado de acesso dela entra em conflito com uma ou mais regras auxiliares. A regra auxiliar (regra normal SAMSUNG-SM-G900A/101.40402) é seguida por um ponto vermelho para indicar que seu estado de acesso está em conflito com a regra primária. Essa regra também é seguida por um ponto preto para indicar que foi substituída e, portanto, está inativa.

Pelo menos duas regras serão sublinhadas: a regra principal e a regra ou as regras auxiliares. As regras que somente suplementam uma à outra envolverão apenas regras de expressão regular. Quando regras suplementam uma à outra, elas são indicadas por uma sobreposição amarela. Antes de clicar em qualquer uma das regras em um exemplo simples, a caixa de diálogo é exibida da seguinte forma:

A inspeção visual facilmente revela que ambas as regras são regras de expressão regular que foram aplicadas ao campo de ID de dispositivo ActiveSync no conector de Endpoint Management para Exchange ActiveSync. Depois de clicar na primeira regra, a caixa de diálogo tem a seguinte aparência:

A regra principal (a regra de expressão regular WorkMail.*) é realçada com uma sobreposição amarela para indicar que existe pelo menos uma regra auxiliar a mais que é uma expressão regular. A regra auxiliar (a regra de expressão regular SAMSUNG.*) é realçada com uma sobreposição amarela para indicar que ela e a regra principal são regras de expressão regular aplicadas ao mesmo campo no conector de Endpoint Management para Exchange ActiveSync. Nesse caso, esse campo é o ID do dispositivo do ActiveSync. As expressões regulares podem ou não se sobrepor. Cabe a você decidir se as expressões regulares foram devidamente trabalhadas.

Exemplo de uma expressão complexa

Muitas substituições, conflitos ou suplementos possíveis podem ocorrer, tornando impossível oferecer um exemplo de todos os cenários possíveis. O exemplo a seguir discute o que não fazer, servindo também para ilustrar todo o poder da construção visual de análise de regra. A maioria dos itens estão sublinhados na figura a seguir. Muitos dos itens são exibidos em uma fonte mais fina, o que indica que a regra em questão foi substituída por uma regra de prioridade mais alta de alguma maneira. Muitas regras de expressão regular também estão incluídas na lista, conforme indicado pelo ícone .

Como analisar uma substituição

Para ver qual regra ou regras substituíram uma regra específica, clique nela.

Exemplo 1: Esse exemplo examina por que zentrain01@zenprise.com foi substituída.

A regra principal (regra zenprise/TRAINING/ZenTraining B, da qual zentrain01@zenprise.com é um membro) apresenta as seguintes características:

• Está realçada em azul e tem uma borda sólida.
• Tem uma seta verde apontando para cima (para indicar que a regra ou as regras auxiliares todas se encontram acima dela).
• É seguida por um círculo vermelho e um círculo preto para indicar, respectivamente, que um ou mais regras auxiliares entram em conflito com o respectivo acesso e que a regra principal foi substituída e, portanto, está inativa.

Quando você rola para cima, vê o seguinte:

Nesse caso, há duas regras auxiliares que substituem a regra principal: a regra de expressão regular zen.* e a regra normal zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). No caso da última regra auxiliar, o que ocorreu é que a regra de Grupo do Active Directory ZenTraining A contém o usuário zentrain01@zenprise.com e a regra de Grupo do Active Directory ZenTraining B também contém o usuário zentrain01@zenprise.com. No entanto, como a regra auxiliar tem uma precedência mais alta do que a regra principal, a regra principal foi substituída. O acesso da regra principal é Permitir e, como o acesso da regra auxiliar é Bloquear, todas são seguidas por um círculo vermelho como indicação adicional de um conflito de acesso.

Exemplo 2: Esse exemplo mostra por que o dispositivo com um ID de dispositivo ActiveSync 069026593E0C4AEAB8DE7DD589ACED33 foi substituído:

A regra principal (regra de ID de dispositivo normal 069026593E0C4AEAB8DE7DD589ACED33) apresenta as seguintes características:

• Está realçada em azul e tem uma borda sólida.
• Tem uma seta verde apontando para cima (para indicar que a regra auxiliar se encontra acima dela).
• É seguida por um círculo preto para indicar que uma regra auxiliar substituiu a regra principal e, portanto, está inativa.

Nesse caso, uma única regra auxiliar substitui a regra principal: a regra de ID de dispositivo ActiveSync de expressão regular é 3E.*. Como a expressão regular 3E.* corresponderia a 069026593E0C4AEAB8DE7DD589ACED33, a regra principal nunca será avaliada.

Como analisar um suplemento e um conflito

Neste caso, a regra principal é a regra de tipo de dispositivo ActiveSync de expressão regular touch.*. As características são as seguintes:

• É indicada por uma borda sólida com uma sobreposição amarela, como um aviso de que há mais de uma única regra de expressão regular em funcionamento em relação a um campo de regra específico; nesse caso, o tipo de dispositivo ActiveSync.
• Duas setas apontam respectivamente para cima e para baixo, indicando que há pelo menos uma regra auxiliar com prioridade mais alta e pelo menos uma regra auxiliar com prioridade mais baixa.
• O círculo vermelho ao lado dela indica que pelo menos uma regra auxiliar tem o respectivo acesso definido como Permitir, o que entra em conflito com o acesso Bloquear da regra principal
• Existem duas regras auxiliares: a regra de tipo de dispositivo ActiveSync de expressão regular SAM.* e a regra de tipo de dispositivo ActiveSync de expressão regular Andro.*.
• Ambas as regras auxiliares têm bordas tracejadas para indicar que são auxiliares.
• Ambas as regras auxiliares têm uma sobreposição amarela para indicar que também são aplicadas ao campo de regra do tipo de dispositivo ActiveSync.

• Em tais cenários, você deve garantir que as respectivas regras de expressão regular não sejam redundantes.

  

Como analisar ainda mais as regras

Este exemplo explora como as relações entre regras sempre existem na perspectiva da regra principal. O exemplo anterior mostrou como clicar na regra de expressão regular aplicada ao campo de regra do tipo de dispositivo com um valor de touch.*. Clicar na regra auxiliar Andro.* mostra um conjunto diferente de regras auxiliares destacadas.

O exemplo mostra uma regra substituída que está incluída na relação de regra. Essa regra é a regra normal de tipo de dispositivo ActiveSync Android, que é substituída (indicada pela fonte fina e o círculo preto ao lado dela) e também entra em conflito no respectivo acesso com a regra de tipo de dispositivo ActiveSync de expressão regular da regra principal Andro.*. Essa regra era anteriormente uma regra auxiliar antes de ser clicada. No exemplo anterior, a regra normal de tipo de dispositivo ActiveSync Android não era exibida como uma regra auxiliar pois, na perspectiva da regra principal naquele momento (a regra de tipo de dispositivo ActiveSync de expressão regular touch.*), a regra não era relacionada a ela.

Para configurar uma regra local de expressão normal

1. Clique na guia Access Rules.

   

2. Na lista Device ID, selecione o campo para o qual você deseja criar uma Regra Local.

3. Clique no ícone de lupa para exibir todas as correspondências exclusivas do campo escolhido. Neste exemplo, o campo Device Type foi escolhido e as opções são mostradas abaixo, na caixa de lista.

   

4. Clique em um dos itens na caixa de lista de resultados e, em seguida, clique em uma das seguintes opções:

   • Allow significa que o Exchange será configurado para permitir o tráfego do ActiveSync para todos os dispositivos correspondentes.
   • Deny significa que o Exchange será configurado para negar o tráfego do ActiveSync para todos os dispositivos correspondentes.

   Neste exemplo, todos os dispositivos que têm um tipo de dispositivo Samsung SPH-L720 têm acesso negado.

   

Para adicionar uma expressão regular

As regras locais de expressão regular podem ser distinguidas pelo ícone exibido ao lado delas - .

Para adicionar uma regra de expressão regular, você pode criar uma regra de expressão regular com base em um valor existente na lista de resultados de um determinado campo (desde que um instantâneo principal tenha sido concluído) ou pode simplesmente digitar a expressão regular que desejar.

Para criar uma expressão regular com base em um valor de campo existente

1. Clique na guia Access Rules.

   

2. Na lista Device ID, selecione o campo para o qual você deseja criar uma Regra Local de expressão regular.

3. Clique no ícone de lupa para exibir todas as correspondências exclusivas do campo escolhido. Neste exemplo, o campo Device Type foi escolhido e as opções são mostradas abaixo, na caixa de lista.

   

4. Clique em um dos itens na lista de resultados. Nesse exemplo, SAMSUNGSPHL720 foi selecionado e é exibido na caixa de texto adjacente a Device Type.

   

5. Para permitir todos os tipos de dispositivo que têm “Samsung” no respectivo valor de tipo de dispositivo, adicione uma regra de expressão regular seguindo estas etapas:

   1. Clique na caixa de texto do item selecionado.

   2. Altere o texto de SAMSUNGSPHL720 para SAMSUNG.*.

   3. Verifique se a caixa de seleção regular expression está marcada.

   4. Clique em Allow.

   

Para criar uma regra de acesso

1. Clique na guia Local Rules.

2. Para inserir a expressão regular, você precisa usar a lista Device ID e a caixa de texto do item selecionado.

   

3. Selecione o campo em relação ao qual você deseja corresponder. Esse exemplo usa Device Type.
4. Digite a expressão regular. Esse exemplo usa samsung.*

5. Verifique se a caixa de seleção regular expression está marcada e clique em Allow ou em Deny. Neste exemplo, a escolha é Permitir. O resultado final é o seguinte:

   

Para encontrar dispositivos

Ao marcar a caixa de seleção de expressão regular, você pode executar pesquisas para dispositivos específicos que correspondem à expressão específica. Esse recurso estará disponível somente se um instantâneo principal tiver sido concluído com êxito. Você pode usar esse recurso mesmo que não haja nenhum planejamento para usar regras de expressão regular. Por exemplo, suponha que você deseja encontrar todos os dispositivos que tenham o texto “workmail” no respectivo ID de dispositivo ActiveSync. Para fazê-lo, siga este procedimento.

1. Clique na guia Access Rules.

2. Verifique se o seletor do campo de correspondência do dispositivo está definido como Device ID (o padrão).

   

3. Clique na caixa de texto do item selecionado (conforme mostrado em azul na figura anterior) e digite workmail.*.

4. Confirme que a caixa de seleção regular expression esteja marcada e, em seguida, clique no ícone de lupa para exibir as correspondências, conforme mostrado na figura a seguir.

   

Para adicionar um usuário, um dispositivo ou um tipo de dispositivo individual a uma regra estática

Você pode adicionar regras estáticas com base no usuário, no ID de dispositivo ou no tipo de dispositivo na guia ActiveSync Devices.

1. Clique na guia ActiveSync Devices.

2. Na lista, clique com o botão direito em um usuário, um dispositivo ou um tipo de dispositivo e selecione se você deseja permitir ou negar a sua seleção.

   A imagem a seguir mostra a opção Allow/Deny quando user1 está selecionado.

   

Monitoramento de dispositivo

A guia Monitor no conector de Endpoint Management para Exchange ActiveSync permite navegar nos dispositivos do Exchange ActiveSync e do BlackBerry que foram detectados e no histórico de comandos automatizados do PowerShell que foram emitidos. A guia Monitor tem as seguintes três guias:

• ActiveSync Devices:
  • Você pode exportar as parcerias de dispositivo do ActiveSync exibidas clicando no botão Export.
  • Você pode adicionar regras locais (estáticas) clicando nas colunas User, Device ID ou Type e selecionando o tipo de regra de permissão ou bloqueio apropriado.
  • Para recolher uma linha expandida, clique com o Ctrl pressionado na linha expandida.
• Dispositivos BlackBerry
• Histórico de automação

A guia Configure mostra o histórico de todos os instantâneos. O histórico de instantâneos mostra quando o instantâneo ocorreu, o tempo que levou, quantos aparelhos foram detectados e todos os erros que ocorreram:

• Na guia Exchange, clique no ícone de informações do Exchange Server desejado.
• Na guia MSP, clique no ícone de informações do BlackBerry Server desejado.

Resolução de problemas e diagnósticos

O conector de Endpoint Management para Exchange ActiveSync registra erros e outras informações operacionais no respectivo arquivo de log: pasta de instalação\log\XmmWindowsService.log. O conector de Endpoint Management para Exchange ActiveSync também registra eventos significativos no Log de Eventos do Windows.

Para alterar o nível de log

O conector de Endpoint Management para Exchange ActiveSync inclui os seguintes níveis de log: Erro, Informações, Aviso, Depuração e Rastreamento.

Nota:

Cada nível sucessivo gera mais detalhes (mais dados). Por exemplo, o nível Erro fornece o mínimo de detalhes, enquanto o nível de Rastreamento fornece o máximo de detalhes.

Para alterar o nível de log, faça o seguinte:

1. Em C:\Program Files\Citrix\Citrix Endpoint Management connector, abra o arquivo nlog.config.

2. Na seção <rules>, altere o parâmetro minilevel para o nível de log que você preferir. Por exemplo:

       <rules>
   
       <logger name="*" writeTo="file" minlevel="Debug" />
   
       </rules>
   <!--NeedCopy-->
   

3. Salve o arquivo.

   As alterações entram em vigor imediatamente. Não é necessário reiniciar o conector do Exchange ActiveSync.

Erros comuns

A seguinte lista inclui os erros comuns:

• O serviço conector de Endpoint Management para Exchange ActiveSync não inicia

  Verifique o arquivo de log e o Log de Eventos do Windows em busca de erros. As causas típicas são as seguintes:

  • O serviço conector de Endpoint Management para Exchange ActiveSync não consegue acessar o SQL Server. Isso pode ser devido a estes problemas:

    • O serviço do SQL Server não está em execução.
    • Falha na autenticação.

    Se a autenticação Integrated do Windows estiver configurada, a conta de usuário do serviço conector de Endpoint Management para Exchange ActiveSync deve ser um login permitido do SQL. A conta do serviço conector de Endpoint Management para Exchange ActiveSync é padronizada como Sistema Local, mas pode ser alterada para qualquer conta que tenha privilégios de administrador local. Se a autenticação de SQL estiver configurada, o login do SQL deverá ser configurado corretamente no SQL.

  • A porta configurada para o Provedor de Serviços Móveis (MSP) não está disponível. Deve haver uma porta de escuta selecionada que não seja usada por outro processo no sistema.

• O XenMobile não consegue se conectar ao MSP

  Verifique se a porta de serviço e o transporte do MSP estão configurados corretamente na guia Configure > MSP do console conector de Endpoint Management para Exchange ActiveSync. Verifique se o Authorization Group ou o User está configurado corretamente.

  Se HTTPS estiver configurado, um certificado de servidor SSL válido deverá ser instalado. Se IIS estiver instalado, o Gerenciador do IIS poderá ser usado para instalar o certificado. Se o IIS não estiver instalado, consulte How to configure a port with an SSL certificate para obter detalhes sobre a instalação de certificados.

  O conector de Endpoint Management para Exchange ActiveSync contém um programa utilitário para testar a conectividade com o serviço MSP. Execute o programa PastadeInstalaçãoMspTestServiceClient.exe e defina a URL e as credenciais para uma URL e credenciais que serão configuradas no XenMobile e, em seguida, clique em Test Connectivity. Isso simula as solicitações de serviço da Web que o XenMobile Server emite. Se HTTPS estiver configurado, você deverá especificar o nome de host real do servidor (o nome especificado no certificado SSL).

  Quando você estiver usando Test Connectivity, verifique se há pelo menos um registro do ActiveSyncDevice ou o teste poderá falhar.

  

Ferramentas de solução de problemas

Um conjunto de utilitários do PowerShell para solução de problemas está disponível na pasta Support\PowerShell.

Uma ferramenta de solução de problemas executa uma análise profunda das caixas de correio e dispositivos do usuário, detectando condições de erro e possíveis áreas de falha e análise detalhada RBAC de usuários. Pode salvar a saída bruta de todos os cmdlets para um arquivo de texto.