Versão atual do XenMobile Server

Conector Citrix Gateway para Exchange ActiveSync

O XenMobile Citrix ADC Connector é agora o conector Citrix Gateway para Exchange ActiveSync. Para obter mais detalhes sobre o portfólio unificado da Citrix, consulte o guia de produtos da Citrix.

O conector para Exchange ActiveSync oferece um serviço de autorização de nível de dispositivo dos clientes ActiveSync para o Citrix ADC agindo como um proxy reverso para o protocolo do Exchange ActiveSync. A autorização é controlada por uma combinação de políticas que você define no XenMobile e por regras definidas localmente pelo conector Citrix Gateway para Exchange ActiveSync.

Para obter mais informações, consulte ActiveSync Gateway.

Para um diagrama da arquitetura de referência detalhada, consulte Arquitetura.

A versão atual do conector do Citrix Gateway para Exchange ActiveSync é a versão 8.5.2.

Importante:

A partir de outubro de 2022, os conectores Endpoint Management e Citrix Gateway para Exchange ActiveSync não oferecerão mais suporte ao Exchange Online, dadas as alterações de autenticação anunciadas pela Microsoft aqui. O conector Endpoint Management para Exchange continuará a funcionar com o Microsoft Exchange Server (local).

Novidades

As seções a seguir listam o que há de novo nas versões atuais e anteriores do conector Citrix Gateway para Exchange ActiveSync, anteriormente XenMobile Citrix ADC Connector.

O que há de novo na versão 8.5.3

  • Esta versão adiciona suporte aos protocolos ActiveSync 16.0 e 16.1.
  • Mais detalhes foram adicionados às análises enviadas ao Google Analytics, especialmente no que diz respeito aos instantâneos. [CXM-52261]

O que há de novo na versão 8.5.2

  • O XenMobile Citrix ADC Connector é agora o conector Citrix Gateway para Exchange ActiveSync.

Os seguintes problemas foram corrigidos nesta versão:

  • Se mais de um critério for usado na definição de uma regra de política e se um dos critérios envolver o ID do usuário, poderá ocorrer o seguinte problema: se um usuário tiver mais aliases, os aliases também não serão verificados ao aplicar a regra. [CXM-55355]

Nota:

A seção de novidades a seguir se refere ao conector Citrix Gateway para Exchange ActiveSync por seu nome anterior, XenMobile Citrix ADC Connector. O nome foi alterado a partir da versão 8.5.2.

O que há de novo na versão 8.5.1.11

  • Alteração do requisito do sistema: a versão atual do Citrix ADC Connector requer o Microsoft .NET Framework 4.5.

  • Suporte ao Google Analytics: queremos saber como você usa o XenMobile Citrix ADC Connector para nos concentrarmos em como podemos melhorar o produto.

  • Suporte para TLS 1.1 e 1.2: devido ao enfraquecimento da segurança, o TLS 1.0 está sendo substituído pelo PCI Council. O suporte para TLS 1.1 e 1.2 é adicionado ao XenMobile Citrix ADC Connector.

Monitoramento do conector Citrix Gateway para Exchange ActiveSync

O utilitário de configuração do conector Citrix Gateway para Exchange ActiveSync fornece registro detalhado que você pode usar para visualizar todo o tráfego que passa pelo seu Exchange Server que é permitido ou bloqueado pelo Secure Mobile Gateway.

Use a guia Log para visualizar o histórico das solicitações do ActiveSync encaminhadas para o conector para Exchange ActiveSync pelo Citrix ADC para autorização.

Além disso, para garantir que o serviço web do conector Citrix Gateway para Exchange ActiveSync esteja em execução, carregue a seguinte URL em um navegador no servidor do conector https://<host:port>/services/ActiveSync/Version. Se a URL retornar a versão do produto como uma string, o serviço da Web está responsivo.

Para simular o tráfego do ActiveSync com o conector Citrix Gateway para Exchange ActiveSync

Você pode usar o conector Citrix Gateway para Exchange ActiveSync para simular como o tráfego do ActiveSync se parecerá em conjunto com suas políticas. No utilitário de configuração do conector, selecione a guia Simulador. Os resultados mostram como suas políticas serão aplicadas de acordo com as regras que você configurou.

Escolha de filtros para o conector Citrix Gateway para Exchange ActiveSync

Os filtros do conector Citrix Gateway para Exchange ActiveSync funcionam analisando um dispositivo para uma determinada violação de política ou configuração de propriedade. Se o dispositivo atender aos critérios, o dispositivo será colocado em uma Lista de dispositivos. Essa lista de dispositivos não é uma lista permitir ou uma lista de bloqueio. É uma lista de dispositivos que atendem aos critérios definidos. Os filtros a seguir estão disponíveis para o conector no XenMobile. As duas opções para cada filtro são Permitir ou Negar.

  • Dispositivos anônimos: permite ou nega dispositivos que estão registrados no XenMobile, mas a identidade do usuário é desconhecida. Por exemplo, poderia ser um usuário que foi registrado, mas de quem a senha do usuário do Active Directory expirou, ou um usuário que foi registrado com credenciais desconhecidas.
  • Falha no atestado Samsung KNOX: os dispositivos Samsung possuem funcionalidade para segurança e diagnóstico. Este filtro fornece confirmação de que o dispositivo está configurado para o KNOX. Para mais detalhes, consulte Samsung Knox.
  • Aplicativos proibidos: permite ou nega dispositivos com base na Lista de dispositivos definida pelas políticas de lista de bloqueio e presença de aplicativos bloqueados.
  • Permissão/Negação implícita: cria uma Lista de dispositivos de todos os dispositivos que não atendem a qualquer um dos outros critérios de regra do filtro e permite ou nega com base nessa lista. A opção Permissão/negação implícita garante que o status do conector Citrix Gateway para Exchange ActiveSync na guia Dispositivos esteja ativado e mostre o status do conector para seus dispositivos. A opção Permissão/negação implícita também controla todos os outros filtros do conector que não foram selecionados. Por exemplo, o conector nega aplicativos bloqueados e permite todos os outros filtros porque a opção Permitir/Negar implícita está definida como Permitir.
  • Dispositivos inativos: cria uma Lista de dispositivos que não se comunicaram com o XenMobile dentro de um período especificado. Esses dispositivos são considerados inativos. O filtro permite ou nega os dispositivos de acordo.
  • Aplicativos obrigatórios ausentes: quando um usuário se registra, o usuário recebe uma lista de aplicativos obrigatórios que devem ser instalados. O filtro de aplicativos obrigatórios ausentes indica que um ou mais dos aplicativos não estão mais presentes: por exemplo, o usuário excluiu um ou mais aplicativos.
  • Aplicativos não sugeridos: quando um usuário se registra, ele recebe uma lista dos aplicativos que deve instalar. O filtro de aplicativos não sugeridos verifica o dispositivo em busca de aplicativos que não estão nessa lista.
  • Senha não compatível: cria uma lista de todos os dispositivos que não têm um código secreto no dispositivo.
  • Dispositivos sem conformidade: permite negar ou permitir dispositivos que atendam aos seus próprios critérios internos de conformidade com TI. A conformidade é uma configuração arbitrária definida pela propriedade do dispositivo chamada Sem conformidade, que é um sinalizador booliano que pode ser True ou False. (Você pode criar esta propriedade manualmente e definir o valor, ou pode usar Ações automatizadas para criar esta propriedade em um dispositivo, se o dispositivo atender ou não atender a critérios específicos.)
    • Sem conformidade = True. Se um dispositivo não atende aos padrões de conformidade e definições de políticas definidos pelo seu departamento de TI, o dispositivo está sem conformidade.
    • Sem conformidade = False. Se um dispositivo atende aos padrões de conformidade e definições de políticas definidos pelo seu departamento de TI, o dispositivo está em conformidade.
  • Status revogado: cria uma Lista de todos os dispositivos revogados e permite ou nega com base no status de revogado.
  • Dispositivos Android com root/iOS com jailbreak. Cria uma Lista de Dispositivos de todos os dispositivos sinalizados como com root e permite ou nega com base no status com root.
  • Dispositivos não gerenciados. Cria uma lista de dispositivos de todos os dispositivos no banco de dados do XenMobile. O Gateway de aplicativo móvel deve ser implantado em um modo de bloqueio.

Para configurar uma conexão ao conector Citrix Gateway para Exchange ActiveSync

O conector Citrix Gateway para Exchange ActiveSync se comunica com o XenMobile e outros provedores de configuração remota através de serviços do Web Secure.

  1. No utilitário de configuração do conector, clique na guia Config Provider e, em seguida, clique em Adicionar.
  2. Na caixa de diálogo Config Provider, em Nome, digite um nome de usuário que tenha privilégios administrativos e seja usado para autorização HTTP básica com o XenMobile Server.
  3. Em Url, digite o endereço da Web do XenMobile GCS, geralmente no formato https://<FQDN>/<instanceName>/services/<MagConfigService>. O nome MagConfigService diferencia maiúsculas de minúsculas.
  4. Em Senha, digite a senha que será usada para a autorização de HTTP básico com o XenMobile Server.
  5. Em Gerenciamento de host, insira o nome do servidor do conector.
  6. Em Intervalo de linha de base, especifique um período de tempo para quando um novo conjunto de regras dinâmicas atualizado é recebido do Device Manager.
  7. Em Intervalo delta, especifique um período de tempo para quando uma atualização de regras dinâmicas é recebida.
  8. Em Tempo limite de solicitação, especifique o intervalo de tempo limite de solicitação do servidor.
  9. Em Config Provider, selecione se a instância do servidor do provedor de configuração fornece a configuração da política.
  10. Em Eventos ativados, ative esta opção se desejar que o conector notifique o XenMobile quando um dispositivo estiver bloqueado. Essa opção é necessária se você estiver usando as regras do conector em qualquer uma das suas ações automatizadas do XenMobile.
  11. Clique em Salvar e, em seguida, clique em Testar a conectividade para testar a conectividade do provedor de gateway para configuração. Se a conexão falhar, verifique se as configurações do firewall local permitem a conexão, ou entre em contato com o administrador.
  12. Quando a conexão for bem-sucedida, desmarque a caixa de seleção Desativado e clique em Salvar.

Quando você adiciona um novo provedor de configuração, o conector Citrix Gateway para Exchange ActiveSync cria automaticamente uma ou mais políticas associadas ao provedor. Essas políticas são definidas por uma definição de modelo contida em config\policyTemplates.xml na seção NewPolicyTemplate. Para cada elemento de Política definido nesta seção, uma nova política é criada.

O operador pode adicionar, remover ou modificar elementos da política, se ocorrer o seguinte: o elemento da política está em conformidade com a definição de esquema e as cadeias de caracteres de substituição padrão (colocadas entre chaves) não são modificadas. Em seguida, adicione novos grupos para o provedor e atualize a política para que inclua os novos grupos.

Para importar uma política do XenMobile

  1. No utilitário de configuração do conector Citrix Gateway para Exchange ActiveSync, clique na guia Config Provider e, em seguida, clique em Adicionar.
  2. Na caixa de diálogo Config Provider, em Nome, digite um nome de usuário que será usado para autorização HTTP básica com o XenMobile Server e que tenha privilégios administrativos.
  3. Em URL, digite o endereço da Web do XenMobile Gateway Configuration Service (GCS), geralmente no formato https://<xdmHost>/xdm/services/<MagConfigService>. O nome MagConfigService diferencia maiúsculas de minúsculas.
  4. Em Senha, digite a senha que será usada para a autorização de HTTP básico com o XenMobile Server.
  5. Clique em Testar a conectividade para testar a conectividade do provedor de gateway para configuração. Se a conexão falhar, verifique se as configurações do firewall local permitem a conexão, ou entre em contato com o administrador.
  6. Quando a conexão for bem-sucedida, desmarque a caixa de seleção Desativado e clique em Salvar.
  7. Em Gerenciamento de host, deixe o nome DNS padrão do computador host local. Essa configuração costumava coordenar a comunicação com o XenMobile quando vários servidores do Forefront Threat Management Gateway (TMG) estavam configurados em uma matriz.

    Depois de salvar as configurações, abra o GCS.

Configuração do modo de política do conector Citrix Gateway para Exchange ActiveSync

O conector Citrix Gateway para Exchange ActiveSync pode ser executado nos seis modos a seguir:

  • Permitir todos. Este modo de política concede acesso para todo o tráfego que passa pelo conector. Não são utilizadas outras regras de filtragem.
  • Negar todos. Este modo de política bloqueia o acesso para todo o tráfego que passa pelo conector. Não são utilizadas outras regras de filtragem.
  • Regras estáticas: modo de Bloqueio. Esse modo de política executa regras estáticas com uma instrução de negação ou bloqueio implícita no final. O conector bloqueia dispositivos que não são permitidos através de outras regras de filtro.
  • Regras estáticas: modo de Permissão. Esse modo de política executa regras estáticas com uma instrução de permissão implícita no final. Os dispositivos que não são bloqueados ou negados por outras regras de filtro são permitidos por meio do conector.
  • Regras estáticas + ZDM: modo de Bloqueio. Esse modo de política executa regras estáticas primeiro, seguido por regras dinâmicas do XenMobile com uma instrução de negação ou bloqueio implícita no final. Os dispositivos são permitidos ou negados com base nos filtros definidos e regras do Device Manager. Os dispositivos que não correspondem a regras e filtros definidos são bloqueados.
  • Regras estáticas + ZDM: modo de Permissão. Esse modo de política executa regras estáticas primeiro, seguido por regras dinâmicas do XenMobile com uma instrução de permissão implícita no final. Os dispositivos são permitidos ou negados com base nos filtros definidos e regras do XenMobile. Os dispositivos que não correspondem a regras e filtros definidos são permitidos.

O processo do conector Citrix Gateway para Exchange ActiveSync permite ou bloqueia regras dinâmicas com base em IDs ActiveSync exclusivos para dispositivos móveis com iOS e Windows recebidos do XenMobile. Os dispositivos Android diferem no seu comportamento com base no fabricante e alguns não expõem prontamente um ID exclusivo do ActiveSync. Para compensar, o XenMobile envia informações de ID de usuário para dispositivos Android para emitir uma autorização de permissão ou bloqueio. Como resultado, se um usuário tiver apenas um dispositivo Android, as permissões e os bloqueios funcionam normalmente. Se o usuário tiver vários dispositivos Android, todos os dispositivos são permitidos porque os dispositivos Android não podem ser diferenciados. Você pode configurar o gateway para bloquear estaticamente estes dispositivos pelo ActiveSyncID, se eles forem conhecidos. Você também pode configurar o gateway para bloquear com base no tipo de dispositivo ou agente de usuário.

Para especificar o modo de política, no utilitário SMG Controller Configuration, faça o seguinte:

  1. Clique na guia Filtros do caminho e, em seguida, clique em Adicionar.
  2. Na caixa de diálogo Propriedades do caminho, selecione um modo de política na lista de Políticas e clique em Salvar.

Você pode revisar as regras na guia Políticas do utilitário de configuração. As regras são processadas no conector Citrix Gateway para Exchange ActiveSync de cima para baixo. As políticas Permitir são exibidas com marca de seleção verde. As políticas Negar são exibidas como um círculo vermelho com uma linha através dele. Para atualizar a tela e ver as regras mais atualizadas, clique em Atualizar. Você também pode modificar a ordem das regras no arquivo config.xml.

Para testar as regras, clique na guia Simulador. Especifique os valores nos campos. Estes também podem ser obtidos a partir dos logs. Uma mensagem de resultado aparecerá especificando Permitir ou Bloquear.

Para configurar regras estáticas

Insira regras estáticas com valores que o filtro ISAPI da solicitação da conexão do ActiveSync HTTP lê. As regras estáticas habilitam o conector Citrix Gateway para Exchange ActiveSync a permitir ou bloquear o tráfego pelos seguintes critérios:

  • User: O conector Citrix Gateway para Exchange ActiveSync usa a estrutura de valor e nome de usuário autorizada que foi capturada durante o registro do dispositivo. Isso é comumente encontrado como domínio\nome de usuário como referenciado pelo servidor que executa o XenMobile conectado ao Active Directory via LDAP. A guia Log no utilitário de configuração do conector mostra os valores que são passados através do conector. Os valores são passados se a estrutura do valor precisar ser determinada ou se for diferente.
  • Deviceid (ActiveSyncID): Também conhecido como o ActiveSyncID do dispositivo conectado. Esse valor é comumente encontrado na página Propriedades do dispositivo específico no console XenMobile. Esse valor também pode ser rastreado a partir da guia Log no utilitário de configuração do conector.
  • DeviceType: o conector pode determinar se um dispositivo é um iPhone, iPad ou outro tipo de dispositivo e pode permitir ou bloquear com base nesse critério. Tal como acontece com outros valores, o utilitário de configuração do conector pode revelar todos os tipos de dispositivos conectados que estão sendo processados para a conexão ActiveSync.
  • UserAgent: Contém informações sobre o cliente ActiveSync que é usado. Na maioria dos casos, o valor especificado corresponde a uma compilação e versão do sistema operacional específicas para a plataforma do dispositivo móvel.

O utilitário de configuração do conector executado no servidor sempre gerencia as regras estáticas.

  1. No utilitário SMG Controller Configuration, clique na guia Regras estáticas e clique em Adicionar.
  2. Na caixa de diálogo Propriedades da regra estática, especifique os valores que você deseja usar como critérios. Por exemplo, você pode inserir um usuário para permitir o acesso inserindo o nome do usuário (por exemplo, AllowedUser) e, em seguida, desmarcando a caixa de seleção Desativado.
  3. Clique em Salvar.

    A regra estática agora está em vigor. Além disso, você pode usar expressões regulares para definir valores, mas você deve habilitar o modo de processamento de regras no arquivo config.xml.

Para configurar regras dinâmicas

Políticas e propriedades de dispositivo no XenMobile definem regras dinâmicas e podem disparar um filtro dinâmico do conector Citrix Gateway para Exchange ActiveSync. Os disparadores são baseados na presença de uma violação de política ou configuração de propriedade. Os filtros do conector funcionam analisando um dispositivo para uma determinada violação de política ou configuração de propriedade. Se o dispositivo atender aos critérios, o dispositivo será colocado em uma Lista de dispositivos. Essa lista de dispositivos não é uma lista de permissão ou uma lista de bloqueio. Ela é uma lista de dispositivos que atende aos critérios definidos. As opções de configuração a seguir permitem que você defina se deseja permitir ou negar dispositivos na Lista de dispositivos usando o conector.

Nota:

Você deve usar o console XenMobile para configurar regras dinâmicas.

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.

  2. Em Servidor, clique em ActiveSync Gateway. A página ActiveSync Gateway é exibida.

  3. Em Ativar as regras a seguir, selecione uma ou mais regras que você desejar ativar.

  4. Em Somente Android, em Enviar usuários de domínio do Android para o ActiveSync Gateway, clique em SIM para garantir que o XenMobile envie as informações do dispositivo Android para o Secure Mobile Gateway.

    Quando essa opção está ativada, o XenMobile envia as informações do dispositivo Android para o conector Citrix Gateway para Exchange ActiveSync caso o XenMobile não tenha o identificador do ActiveSync do usuário do dispositivo Android.

Para configurar políticas personalizadas editando o arquivo XML do conector Citrix Gateway para Exchange ActiveSync

Você pode visualizar as políticas básicas na configuração padrão na guia Políticas do utilitário de configuração do conector Citrix Gateway para Exchange ActiveSync. Se você quiser criar políticas personalizadas, você pode editar o arquivo de configuração XML do conector (config\config.xml).

  1. Encontre a seção PolicyList no arquivo e, em seguida, adicione um novo elemento Policy.
  2. Se um novo grupo também for necessário, como outro grupo estático ou um grupo para suportar outro GCP, adicione o novo elemento Group à seção GroupList.
  3. Opcionalmente, você pode alterar a ordem dos grupos dentro de uma política existente reorganizando os elementos GroupRef.

Configuração do arquivo XML do conector Citrix Gateway para Exchange ActiveSync

O conector Citrix Gateway para Exchange ActiveSync usa um arquivo de configuração XML para ditar as ações do conector. Entre outras entradas, o arquivo especifica os arquivos de grupo e as ações associadas que o filtro leva em consideração ao avaliar solicitações HTTP. Por padrão, o arquivo é chamado config.xml e pode ser encontrado no seguinte local: ..\Program Files\Citrix\XenMobile Citrix ADC Connector\config.

Nós GroupRef

Os nós GroupRef definem os nomes dos grupos lógicos. Os padrões são AllowGroup e DenyGroup.

Nota:

A ordem dos nós GroupRef tal como aparecem no nó GroupRefList é importante.

O valor do ID de um nó GroupRef identifica um contêiner lógico ou uma coleção de membros que são usados para combinar contas ou dispositivos específicos de usuários. Os atributos de ação especificam como o filtro trata um membro que corresponde a uma regra na coleção. Por exemplo, uma conta de usuário ou dispositivo que corresponda a uma regra no conjunto AllowGroup “passará”. Passar significa ter permissão para acessar as autoridades de certificação do Exchange, Exchange CAS. Uma conta de usuário ou dispositivo que corresponde a uma regra no conjunto DenyGroup é “rejeitado”. Rejeitado significa não ter permissão para acessar as autoridades de certificação do Exchange, Exchange CAS.

Quando uma conta de usuário/dispositivo específico ou uma combinação de regras atende a ambos os grupos, uma convenção de precedência é usada para direcionar o resultado da solicitação. A precedência é incorporada na ordem dos nós GroupRef no arquivo config.xml de cima para baixo. Os nós GroupRef são classificados em ordem de prioridade. As regras para uma determinada condição no grupo Allow sempre terão precedência sobre as regras para a mesma condição no grupo Deny.

Nós Group

Além disso, o config.xml define os nós do grupo Group. Esses nós vinculam os contêineres lógicos AllowGroup e DenyGroup aos arquivos XML externos. As entradas armazenadas nos arquivos externos são a base das regras do filtro.

Nota:

Nesta versão, apenas arquivos XML externos são suportados.

A instalação padrão implementa dois arquivos XML na configuração: allow.xml e deny.xml.

Configuração do conector Citrix Gateway para Exchange ActiveSync

Você pode configurar o conector Citrix Gateway para Exchange ActiveSync para seletivamente bloquear ou permitir solicitações do ActiveSync com base nas propriedades a seguir: ID de serviço do Active Sync, Tipo de dispositivo, Agente de usuário (sistema operacional do dispositivo), Usuário autorizado e Comando ActiveSync.

A configuração padrão suporta uma combinação de grupos estáticos e dinâmicos. Você mantém grupos estáticos usando o utilitário do SMG Controller Configuration. Os grupos estáticos podem consistir em categorias conhecidas de dispositivos, como todos os dispositivos que usam um determinado agente de usuário.

Uma fonte externa chamada Gateway Configuration Provider mantém grupos dinâmicos. O conector Citrix Gateway para Exchange ActiveSync conecta os grupos periodicamente. O XenMobile pode exportar grupos de usuários e dispositivos permitidos e bloqueados para o conector.

Os grupos dinâmicos são mantidos por uma fonte externa chamada Gateway Configuration Provider e coletados pelo conector Citrix Gateway para Exchange ActiveSync periodicamente. O XenMobile pode exportar grupos de usuários e dispositivos permitidos e bloqueados para o conector.

Uma Política é uma lista ordenada de grupos na qual cada grupo tem uma ação associada (permitir ou bloquear) e uma lista de membros do grupo. Uma política pode ter qualquer número de grupos. A ordem do grupo dentro de uma política é importante porque, quando uma correspondência é encontrada, a ação do grupo é realizada e os grupos subsequentes não são avaliados.

Um membro define uma maneira de combinar as propriedades de uma solicitação. Ele pode corresponder a uma única propriedade, como ID de dispositivo, ou a várias propriedades, como o agente de usuário e o tipo de dispositivo.

Escolha de um modelo de segurança para o conector Citrix Gateway para Exchange ActiveSync

Estabelecer um modelo de segurança é essencial para uma implantação bem-sucedida de dispositivos móveis para organizações de qualquer tamanho. É comum usar o controle de rede protegido ou em quarentena para permitir o acesso a um usuário, computador ou dispositivo por padrão. Essa prática nem sempre é ideal. Toda organização que gerencia a segurança de TI pode ter uma abordagem ligeiramente diferente ou adaptada da segurança para dispositivos móveis.

A mesma lógica aplica-se à segurança do dispositivo móvel. O uso de um modelo permissivo é uma escolha fraca devido à infinidade de tipos e dispositivos móveis, dispositivos móveis por usuário e plataformas e aplicativos do sistema operacional disponíveis. Na maioria das organizações, o modelo restritivo será a escolha mais lógica.

Os cenários de configuração que a Citrix permite para integrar o conector Citrix Gateway para Exchange ActiveSync ao XenMobile são os seguintes:

Modelo Permissivo (Modo de Permissão)

O modelo de segurança permissivo opera na premissa de que a tudo é permitido ou concedido acesso por padrão. Apenas por meio de regras e filtragem algo é bloqueado e é aplicada uma restrição. O modelo permissivo de segurança é bom para organizações que têm uma preocupação com a segurança relativamente fraca sobre dispositivos móveis. O modelo só se aplica a controles restritivos para negar o acesso quando apropriado (quando uma regra de política é falha).

Modelo Restritivo (Modo de Bloqueio)

O modelo de segurança restritivo se baseia na premissa de que a nada é permitido ou concedido acesso por padrão. Tudo que passa pelo ponto de verificação de segurança é filtrado e inspecionado, e o acesso é negado a menos que as regras que permitem o acesso sejam aprovadas. O modelo restritivo de segurança é bom para organizações que têm um critério de segurança relativamente rígido sobre dispositivos móveis. O modo somente concede acesso para uso e funcionalidade com os serviços de rede quando todas as regras para permitir o acesso forem aprovadas.

Gerenciamento do conector Citrix Gateway para Exchange ActiveSync

Você pode usar o conector Citrix Gateway para Exchange ActiveSync para criar regras de controle de acesso. As regras permitem ou bloqueiam o acesso a solicitações de conexão do ActiveSync de dispositivos gerenciados. O acesso é baseado no status do dispositivo, listas de permissão ou bloqueio de aplicativos e outras condições de conformidade.

Ao usar o utilitário de configuração do conector Citrix Gateway para Exchange ActiveSync, você pode criar regras dinâmicas e estáticas que impõem as políticas corporativas de e-mail, permitindo que você bloqueie os usuários que estão em violação dos padrões de conformidade. Você também pode configurar criptografia de anexos de e-mail, de modo que todos os anexos que passam pelo seu Exchange Server para dispositivos gerenciados sejam criptografados e apenas visíveis em dispositivos gerenciados por usuários autorizados.

Para desinstalar o conector Citrix Gateway para Exchange ActiveSync

  1. Execute XncInstaller.exe com uma conta de administrador.
  2. Siga as instruções na tela para concluir a desinstalação.

Para instalar, atualizar ou desinstalar o conector Citrix Gateway para Exchange ActiveSync

  1. Execute o XncInstaller.exe com uma conta de administrador para instalar o conector ou permitir a atualização ou remoção de um conector existente.
  2. Siga as instruções na tela para concluir a instalação, atualização ou desinstalação.

Depois de instalar o conector, manualmente reinicie o serviço de configuração do XenMobile e o serviço de notificação.

Instalação do conector Citrix Gateway para Exchange ActiveSync

Você instala o conector Citrix Gateway para Exchange ActiveSync em seu próprio Windows Server.

A carga de CPU que o conector coloca em um servidor depende da quantidade de dispositivos gerenciados. Para um grande número de dispositivos (mais de 50.000), talvez seja necessário fornecer mais de um núcleo se você não tiver um ambiente em cluster. A espaço de memória do connector não é suficientemente significativo para garantir mais memória.

Requisitos de sistema do conector Citrix Gateway para Exchange ActiveSync

O conector Citrix Gateway para Exchange ActiveSync se comunica com o Citrix ADC sobre uma ponte SSL configurada no dispositivo Citrix ADC. A ponte permite que o dispositivo transmita todo o tráfego seguro diretamente para o XenMobile. O conector requer a seguinte configuração mínima do sistema:

Componente Requisito
Computador e processador Processador 733 MHz Pentium III de 733 MHz ou superior. Processador Pentium III de 2.0 GHz ou superior (recomendado)
Citrix ADC Dispositivo Citrix ADC com software versão 10
Memória 1 GB
Disco rígido Partição local formatada em NTFS com 150 MB de espaço disponível no disco rígido
Sistema operacional Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Deve ser um servidor com base no inglês. O suporte para o Windows Server 2008 R2 Service Pack 1 terminou em 14 de janeiro de 2020 e o suporte para o Windows Server 2012 R2 terminou em 10 de outubro de 2023.
Outros dispositivos Adaptador de rede compatível com o sistema operacional host para comunicação com a rede interna
Microsoft .NET Framework A versão 8.5.1.11 requer o Microsoft .NET Framework 4.5.
Tela Monitor VGA ou resolução superior

O computador host para o conector Citrix Gateway para Exchange ActiveSync requer o espaço em disco mínimo disponível seguinte:

  • Aplicativo: 10–15 MB (recomendado 100 MB)
  • Registro em log: 1 GB (recomendado 20 GB)

Para obter informações sobre o suporte de plataforma para o conector Citrix Gateway para Exchange ActiveSync, consulte Sistemas operacionais compatíveis de dispositivos.

Os clientes de email do dispositivo

Nem todos os clientes de email sempre retornam a mesma ID do ActiveSync para um dispositivo. Como o conector Citrix Gateway para Exchange ActiveSync espera uma ID exclusiva do ActiveSync para cada dispositivo, aplica-se o seguinte: apenas os clientes de email que consistentemente geram a mesma ID exclusiva do ActiveSync para cada dispositivo são suportados. A Citrix testou esses clientes de email e os clientes foram executados sem erros:

  • Cliente de email nativo Samsung
  • Cliente de email nativo iOS

Implantação do conector Citrix Gateway para Exchange ActiveSync

O conector Citrix Gateway para Exchange ActiveSync permite que você use Citrix ADC para proxy e balanceamento de carga de comunicação do XenMobile Server com dispositivos gerenciados XenMobile. O conector se comunica periodicamente com o XenMobile para sincronizar as políticas. O conector e o XenMobile podem ser agrupados em cluster ou de forma independente e podem ter balanceamento de carga pelo Citrix ADC.

Componentes do conector Citrix Gateway para Exchange ActiveSync

  • Serviço do conector Citrix Gateway para Exchange ActiveSync: este serviço fornece uma interface de serviço web REST que pode ser invocada pelo Citrix ADC para determinar se uma solicitação do ActiveSync de um dispositivo está autorizada.
  • Serviço de configuração do XenMobile: este serviço se comunica com o XenMobile para sincronizar as alterações de política do XenMobile com o conector.
  • Serviço de notificação do XenMobile: este serviço envia notificações de acesso a dispositivo não autorizado para o XenMobile. Desta forma, o XenMobile pode tomar as medidas apropriadas, como notificar o usuário por que o dispositivo foi bloqueado.
  • Utilitário de configuração do conector Citrix Gateway para Exchange ActiveSync: este aplicativo permite ao administrador configurar e monitorar o conector.

Para configurar endereços de escuta para o conector Citrix Gateway para Exchange ActiveSync

Para o conector Citrix Gateway para Exchange ActiveSync receber solicitações do Citrix ADC para autorizar o tráfego do ActiveSync, faça como a seguir. Especifique a porta em que o conector Citrix Gateway para Exchange ActiveSync escuta as chamadas de serviço da web do Citrix ADC.

  1. No menu Iniciiar, selecione o conector Citrix Gateway para o utilitário de configuração do Exchange ActiveSync.
  2. Clique na guia Serviços da Web e, em seguida, digite os endereços de escuta para o serviço da web do conector Citrix Gateway para Exchange ActiveSync. Você pode selecionar HTTP ou HTTPS ou ambos. Se o conector for co-residente com o XenMobile (instalado no mesmo servidor), selecione valores de porta que não entrem em conflito com o XenMobile.
  3. Depois que os valores forem configurados, clique em Salvar e, em seguida, clique em Iniciar serviço para iniciar o serviço da web.

Para configurar políticas de controle de acesso para dispositivos no conector Citrix Gateway para Exchange ActiveSync

Para configurar a política de controle de acesso que deseja aplicar aos seus dispositivos gerenciados, faça o seguinte:

  1. No conector Citrix Gateway para o utilitário de configuração do Exchange ActiveSync, clique na guia Filtros de caminho.
  2. Selecione a primeira linha, Microsoft-Server-ActiveSync é para o ActiveSync e, em seguida, clique em Editar.
  3. Na lista Política, selecione a política desejada. Para uma política que inclua as políticas do XenMobile, selecione Estática + ZDM: modo de Permissão ou Estática + ZDM: modo de Bloqueio. Essas políticas combinam regras locais (ou estáticas) com as regras do XenMobile. Modo de permissão significa que todos os dispositivos que não são explicitamente identificados pelas regras têm acesso autorizado ao ActiveSync. Modo de bloqueio significa que esses dispositivos são bloqueados.
  4. Depois de configurar as políticas, clique em Salvar.

Para configurar a comunicação com o XenMobile

Especifique o nome e as propriedades do XenMobile Server (também conhecido como Config Provider) que você deseja usar com o conector Citrix Gateway para Exchange ActiveSync e o Citrix ADC.

Nota:

Essa tarefa pressupõe que você já instalou e configurou o XenMobile.

  1. No conector Citrix Gateway para o utilitário de configuração do Exchange ActiveSync, clique na guia Configuar provedores e clique em Adicionar.
  2. Digite o nome e a URL do XenMobile Server que você está usando nessa implantação. Se você tiver vários XenMobile Servers implantados em uma implantação multilocatário, esse nome deve ser exclusivo para cada instância do servidor. Por exemplo, para Nome, você pode digitar XMS.
  3. Em Url, digite o endereço da Web do XenMobile GlobalConfig Provider (GCP), geralmente no formato https://<FQDN>/<instanceName>/services/<MagConfigService>. O nome MagConfigService diferencia maiúsculas de minúsculas.
  4. Em Senha, digite a senha que será usada para a autorização de HTTP básico com o servidor Web XenMobile.
  5. Em Gerenciamento de host, digite o nome do servidor em que você instalou o conector do Citrix Gateway para Exchange ActiveSync.
  6. Em Intervalo de linha de base, especifique um período de tempo para quando um novo conjunto de regras dinâmicas atualizado é recebido do XenMobile.
  7. Em Tempo limite de solicitação, especifique o intervalo de tempo limite de solicitação do servidor.
  8. Em Config Provider, selecione se a instância do servidor do provedor de configuração fornece a configuração da política.
  9. Em Eventos ativados, ative esta opção se desejar que o Secure Mobile Gateway notifique o XenMobile quando um dispositivo estiver bloqueado. Esta opção é necessária se você estiver usando as regras do Secure Mobile Gateway em qualquer uma das Ações Automatizadas do Device Manager.
  10. Depois de configurar o servidor, clique em Testar Conectividade para testar a conexão com o XenMobile.
  11. Quando a conectividade for estabelecida, clique em Salvar.

Implantação do conector Citrix Gateway para Exchange ActiveSync para redundância e escalabilidade

Se deseja dimensionar sua implantação do conector Citrix Gateway para Exchange ActiveSync e do XenMobile, você pode instalar instâncias do conector em vários Windows Servers, todas apontando para a mesma instância XenMobile e, em seguida, usar o Citrix ADC para balancear a carga dos servidores.

Existem dois modos de configuração do conector Citrix Gateway para Exchange ActiveSync:

  • No modo não compartilhado, cada instância do conector Citrix Gateway para Exchange ActiveSync se comunica com um XenMobile Server e mantém sua própria cópia privada da política resultante. Por exemplo, se você tiver um cluster de XenMobile Servers, poderá executar uma instância do conector em cada XenMobile Server e o conector obterá as políticas da instância do XenMobile local.
  • No modo compartilhado, um nó do conector é designado como o nó primário e ele se comunica com o XenMobile. A configuração resultante é compartilhada entre os outros nós, seja por um compartilhamento de rede do Windows ou pela replicação do Windows (ou de terceiros).

Toda a configuração do conector está em uma única pasta (que consiste em alguns arquivos XML). O processo do conector detecta as alterações aos arquivos nesta pasta e recarrega automaticamente a configuração. Não há failover para o nó primário no modo compartilhado. Mas o sistema pode tolerar que o servidor primário fique desativado por alguns minutos (por exemplo, para reiniciar) porque a última configuração boa conhecida é armazenada em cache no processo do conector.