适用于 Exchange ActiveSync 的 Endpoint Management 连接器
XenMobile Mail Manager 现已更名为适用于 Exchange ActiveSync 的 Endpoint Management 连接器。有关 Citrix 统一产品组合的详细信息,请参阅 Citrix 产品指南。
连接器通过以下方法扩展 Endpoint Management 的功能:
- 用于 Exchange ActiveSync (EAS) 设备的动态访问控制。可以自动允许或阻止 EAS 设备访问 Exchange 访问。
- 使 Endpoint Management 能够访问 Exchange 提供的 EAS 设备合作信息的功能。
- Endpoint Management 能够根据 EAS 状态擦除移动设备。
- 使 Endpoint Management 能够访问关于黑莓设备的信息以及执行擦除和重置密码等控制操作的功能。
要根据 EAS 状态擦除设备,请使用 ActiveSync 触发器配置自动操作。请参阅自动化操作。
重要:
鉴于 Microsoft 在此处宣布的身份验证更改,自 2022 年 10 月起,适用于 Exchange ActiveSync 的 Endpoint Management 和 Citrix Gateway 连接器将不再支持 Exchange Online。适用于 Exchange 的 Endpoint Management 连接器将继续与 Microsoft Exchange Server(本地)结合使用。
版本 10.1.10 中的新增功能
10.1.10 版中修复了以下问题:
- 遇到频繁出现的网络问题的客户可能无法在之前提供的三次尝试中完成快照。在本版本中,管理员可以配置最大尝试次数 (1-10)。此修复允许快照在不完全放弃快照过程的情况下在通信中产生多次中断。[CXM-70837]
- 在早期版本中,快照类型未显示在 Exchange 配置列表中。现在,快照类型则显示在该位置。[CXM-70846]
- PowerShell 报告的 PSRemotingTransport 异常表示与 Exchange 的会话不再可行。默认情况下,状态将添加到配置文件中的“严重错误”列表中。这样,当检测到 PSRemotingTransport 异常时,连接被标记为错误以供稍后处理。下一个通信使用有效的连接或创建连接。[XMHELP-2184、CXM-70836]
- 保存配置更改后,在加载新配置之前,可能并非所有之前配置的内部组件都已正确处理。此问题可能会导致出现不可预测的行为。该行为取决于特定的更改以及该更改是否与之前的配置冲突。在本版本中,所有内部组件都会在加载新配置之前处理。[XMHELP-2259、CXM-71388]
版本 10.1.9 中的新增功能
版本 10.1.9 中修复了以下问题:
- 现在,对配置所做的更改将以更加一致的方式进行处理。当服务检测到配置中的更改时,每个内部子系统都将停止运行,这意味着任何活动的或计划的处理过程都会中断。接下来将加载新配置并重新启动子系统,这意味着将使用新设置重新建立所有计划以及其他内部基础结构。此问题更正了版本 10.1.8 中的一个已知问题。[CXM-47709、CXM-61330]
- 在升级期间,现有数据库配置不合并到新配置文件。现在,数据库配置将合并到升级后的配置文件。[CXM-49326]
- 在快照相关的诊断文件中,列标题缺失。这些标题都将还原。[CXM-62680]
- 从早期版本升级时,配置文件的默认设置部分被正在使用的配置文件中的类似部分覆盖。此问题阻止了服务在升级后加载在默认设置部分中添加或改进的功能。截至本版本,默认设置部分始终反映最新配置。[CXM-62681]
-
运行应用程序时,管理员将无法再通过按 Shift 键访问某些选项。这些选项以前是随 Citrix 权限提供的。现在,某些选项已完全可用(例如“允许重定向”),其他选项(例如,挂起检测和计数更正)已弃用。[CXM-62767]
早期版本中的新增功能
下面的部分列出了适用于 Exchange ActiveSync 的 Endpoint Management 连接器的早期版本中的新增功能和已修复的问题。
版本 10.1.8 中的新增功能
- Exchange 有可能会降低适用于 Exchange ActiveSync 服务的 Citrix Endpoint Management 连接器的速度,使其发出命令不会太频繁。此问题在与 Office 365 的连接中很常见。此限制产生的影响要求该服务先暂停指定的期限,然后再发送下一个命令。配置控制台现在显示剩余的暂停时间量。[CXM-48044]
- 修改了配置文件 (config.xml) 的“Watchdog”和/或“SpecialistsDefaults”部分时,所做的更改在升级后不反映在配置文件中。在本版本中,修改正确地合并到新配置文件中。[CXM-52523]
- 更多详细信息已添加到发送至 Google Analytics 的分析中,特别是相关的快照。[CXM-56691]
- Exchange 测试连接功能将仅尝试初始化连接一次。由于可以限制 Office 365 的连接,因此,受到限制时,测试连接可能会显示为失败。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器现在最多尝试初始化连接三次。[CXM-58180]
- 为影响有关 Exchange 的策略,适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器必须将包括每个邮箱的所有相关设备的 Set-CASMailbox 命令编译到两个列表中,即允许和阻止列表。如果设备未包含在这两个列表中,Exchange 将回退到其默认访问状态。如果该默认访问状态与设备的所需状态不同,设备将变得不合规。因此,如果 Exchange 默认访问状态为阻止,但实际应为允许,用户可能会丢失对其电子邮件的访问权限。或者,应阻止其访问电子邮件的用户可能会被授予访问权限。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器现在将确保具有有效所需状态的所有设备都包括在每个 Set-CasMailbox 命令中。[CXM-61251]
以下问题在版本 10.1.8 中属于已知问题:
如果管理员在配置应用程序中做出了修改配置数据的更改,而服务正在执行长时间持续进行的操作,例如快照或策略评估,服务可能会进入不确定的状态。可能会出现的症状可能为不处理策略更改,或者不启动快照。必须重新启动服务,才能将服务返回到工作状态。在启动服务之前,您可能需要使用 Windows 服务管理器终止服务。[CXM-61330]
版本 10.1.7 中的新增功能
- XenMobile Mail Manager 现已更名为适用于 Exchange ActiveSync 的 Endpoint Management 连接器。
- 我们已弃用 Exchange 配置对话框中的 Disable Pipelining(禁用流水线操作)选项。可以在 config.xml 文件中为每个命令配置多个步骤来实现相同功能。[CXM-54593]
版本 10.1.7 中修复了以下问题:
- 在“Snapshot History”(快照历史记录)窗口中,显示的错误消息可能几乎没有上下文。现在,错误消息的前缀为错误发生位置的上下文。[CXM-49157]
- XmmGoogleAnalytics.dll 没有与版本对应的文件版本。[CXM-52518]
- 为了改进诊断,我们最近更改了用于为邮箱设置“允许/阻止”状态的设备 ID 列表的字符串格式。但是,指定的设备太多会超过最大字符串大小。现在,我们使用内部数组数据结构。此结构没有大小限制,并且还会为数据设置合适格式以便用于诊断。[CXM-52610]
- 检测到未与 Exchange 同步的设备策略时,其命令可能包括不属于相关邮箱的设备。适用于 Exchange ActiveSync 的 Endpoint Management 连接器现在可确保针对 Exchange 的命令仅表示属于其各自邮箱的设备。[CXM-54842]
- 在某些环境中,Microsoft 程序集不可用。现在,所需的程序集明确与应用程序一起安装。[CXM-55439]
- 如果设备或邮箱的标识名中属性名称与等号之间有空格,或等号后面与值前面有空格,适用于 Exchange ActiveSync 的 Endpoint Management 连接器可能无法正确将设备与其邮箱匹配,反之亦然。结果可能是在快照协调期间某些设备和/或邮箱被拒绝。[CXM-56088]
注意:
下面的“新增功能”部分在提到适用于 Exchange ActiveSync 的 Endpoint Management 连接器时使用其以前的名称 XenMobile Mail Manager。名称自版本 10.1.7 起更改。
版本 10.1.6.20 中的更新
10.1.6 更新包含版本 10.1.6.20 中的以下修复:
- 检测到未与 Exchange 同步的设备策略时,其命令可能包括不属于相关邮箱的设备。XenMobile Mail Manager 现在可确保针对 Exchange 的命令仅表示属于其各自邮箱的设备。[CXM-54842]
版本 10.1.6 中的新增功能
XenMobile Mail Manager 版本 10.1.6 包含以下已修复的问题和增强功能:
- “Snapshot History”(快照历史记录)窗口有时会进入窗口不再更新的状态。改进了窗口刷新机制以更加可靠地更新。[CXM-47983]
- 对分区快照和非分区快照使用两个不同的模式和代码路径。由于非分区快照等同于使用单个“*”分区配置的分区快照,因此不需要非分区快照模式。现在,默认快照模式为具有 36 个分区(0-9、A-Z)的分区快照。[CXM-49093]
- 在“Snapshot History”(快照历史记录)窗口中,错误消息会被状态消息覆盖。现在,XenMobile Mail Manager 提供两个单独的字段,以便用户可以同时查看状态和错误。[CXM-51942]
- 连接到 Exchange Online (Office 365) 时,快照相关查询可能会导致数据集被截断。XenMobile Mail Manager 执行多命令流水线脚本时,可能会出现此问题。上游命令无法足够快速地将数据传递给下游命令,这样下游命令就会提前完成工作。因此会出现不完整的数据。现在,XenMobile Mail Manager 可以模仿流水线本身,并等到上游命令完成后再调用下游命令。经过此更改,所有数据都将得以处理和捕获。[CXM-52280]
- 如果在针对 Exchange 的策略更新命令中发生无法解决的错误,则会在很长一段时间内重复向工作队列返回相同命令。这种情况会导致多次向 Exchange 发送该命令。在此版本的 XenMobile Mail Manager 中,仅偶尔向工作队列返回导致出现错误的命令。[CXM-52633]
- 如果针对特定邮箱的策略更新涉及允许或阻止所有设备:由于空列表被转换为空字符串而不是 NULL,发出的 Set-CASMailbox 命令会失败。现在会发送正确的数据。[CXM-53759]
- 处理新设备时,Exchange 可能会在一段时间(通常为 15 分钟)内返回状态“DeviceDiscovery”。以前,XenMobile Mail Manager 不会专门处理这种状态。现在,XenMobile Mail Manager 会处理这种状态。在 UI 的“Monitor”(监视)选项卡中,用户可以过滤处于此状态的设备。[CXM-53840]
- 以前,XenMobile Mail Manager 不会检查是否能够向 XenMobile Mail Manager 数据库执行写入操作。因此,如果权限受到限制,则可能无法预测该行为。现在,XenMobile Mail Manager 会从数据库捕获并验证所需的权限。XenMobile Mail Manager 会在测试连接时(显示的消息)或在主配置窗口底部的数据库指示器(悬停显示消息)中指示降低的权限。[CXM-54219]
- 根据当前工作负载,在被定向时,XenMobile Mail Manager 服务可能无法迅速停止。因此,该服务看上去处于无响应状态。进行了一些改进后,正在进行的任务可以中断,因而可以比较正常地关闭。[CXM-54282]
版本 10.1.5 中的新增功能
XenMobile Mail Manager 版本 10.1.5 包含以下已修复的问题:
- Exchange 向 XenMobile Mail Manager 活动应用限制时,系统不会指示(在日志外部) 发生了限制。在此版本中,用户可以将鼠标悬停在活动快照上,此时将显示“限制”状态。此外,XenMobile Mail Manager 受到限制时,在 Exchange 解除限制禁令之前,会禁止开始创建主要快照。[CXM-49617]
- 如果在创建主要快照期间 XenMobile Mail Manager 受到 Exchange 限制:可能是在下一次尝试创建快照之前,可以使用的时间不够。此问题会导致进一步限制和快照失败。现在,XenMobile Mail Manager 会在两次快照尝试之间等待 Exchange 指定的最小等待时间。[CXM-49618]
- 启用了诊断时,命令文件中显示的 Set-CasMailbox 命令中,每个属性名称前面都缺少连字符。仅在设置诊断文件的格式时会发生此问题,发送到 Exchange 的实际命令则不会发生此问题。由于缺少连字符,用户无法剪切命令并直接将其粘贴到 PowerShell 命令提示窗口进行测试或验证。现已添加连字符。[CXM-52520]
- 如果邮箱标识的格式为
lastname, firstname,在从查询返回数据时,Exchange 会在逗号前面添加一个反斜杠。XenMobile Mail Manager 使用该标识查询更多数据时,必须去掉此反斜杠。[CXM-52635]
已知限制
注意:
以下限制在版本 10.1.6 中已解决。
XenMobile Mail Manager 存在一个可能会导致针对 Exchange 的命令失败的已知限制。为了向 Exchange 应用策略更改,XenMobile Mail Manager 会发出 Set_CASMailbox 命令。此命令可以接受两个设备列表:一个要允许的列表和一个要阻止的列表。此命令应用于与邮箱关联使用的设备。
这些列表不能超过 256 个字符(按 Microsoft API 划分的每个列表)。如果其中一个列表超过该限制,命令将完全失败,导致无法为与相应邮箱关联的设备设置策略。报告的错误(显示在 XenMobile Mail Manager 日志中)类似如下所示。下面是阻止的列表示例。
“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …””(消息: 无法将参数 ActiveSyncBlockedDeviceIDs 绑定到目标。设置 ActiveSyncBlockedDeviceIDs 时发生异常:“属性的长度太长。最大长度为 256,提供的值长度为…”)
设备 ID 长度可能会有所差别,但一条很好的指导原则是,同时允许或阻止大约 10 个或更多设备可能会超过该限制。虽然很少会出现许多设备与某个特定邮箱关联,但仍有可能出现。在 XenMobile Mail Manager 改进为能够处理此情况之前,我们建议您将与一个用户和邮箱关联的设备数限制在 10 以内。[CXM-52633]
版本 10.1.4 中的新增功能
XenMobile Mail Manager 版本 10.1.4 包含以下已修复的问题:
- 由于安全性的削弱,PCI 委员会正在弃用 TLS 1.0 和 TLS 1.1。对 1.2 的支持已添加到 XenMobile Mail Manager 中。[CXM-38573、CXM-32560]
- XenMobile Mail Manager 包括一个新的诊断文件。在 Exchange 指定内容中选择了 Enable Diagnostics(启用诊断)时,将生成新的快照历史记录文件。在每次尝试创建快照时,都会向该文件中添加一行以记录快照结果。[CXM-49631]
- 在命令诊断文件中,Set-CASMailbox 命令不显示允许或阻止的设备列表。而是在该文件中的相关参数中显示内部类名称。现在,XenMobile Mail Manager 以逗号分隔的列表显示设备 ID 的列表。[CXM-50693]
- 由于指定内容错误导致尝试获取与 Exchange 的连接失败时:不正确的消息覆盖错误消息:“All connections in use”(正在使用所有连接)。现在显示更具描述性的消息,例如,“All connections are inoperable”(所有连接均无法使用)、“Connection pool is empty”(连接池为空)、“All connections are throttled”(所有连接都受限制),以及“No available connections”(没有可用的连接)。[CXM-50783]
- 有时,允许/阻止/擦除命令会在 XenMobile Mail Manager 内部缓存中排队多次。此问题导致发送到 Exchange 的命令出现延迟。XenMobile Mail Manager 现在仅排队每个命令的一个实例。[CXM-51524]
版本 10.1.3 中的新增功能
- Google Analytics 支持: 我们希望了解您使用 XenMobile Mail Manager 的方式,以便我们可以专注于可以改进产品的方面。
-
用于启用诊断的设置: “Configure”(配置)控制台中的 Configure(配置)对话框中显示 Enable Diagnostics(启用诊断)复选框。
版本 10.1.3 中已修复的问题
- 在 Snapshot History(快照历史记录)窗口中,显示快照当前状态的工具提示不反映实际状态。[CXM-5570] 偶尔,XenMobile Mail Manager 无法向命令诊断文件中写入。发生此问题时,完全不记录命令历史记录。[CXM-49217]
- 某个连接出错时,该连接可能无法标记为“出错”。因此,后续命令可能会尝试使用该连接,并导致出现另一个错误。[CXM-49495]
- 在 Exchange Server 中启用了限制时,可能会在检查运行状况例程中引发异常。因此,可能无法清除出错或已过期的连接。此外,在限制时间到期之前,XenMobile Mail Manager 可能无法创建连接。[CXM-49794].
- 超过 Exchange 的最大会话计数后,XenMobile Mail Manager 报告“Device Capture Failed”(设备捕获失败)错误,此消息并不准确。相反,该消息应指明正在使用 XenMobile Mail Manager 通常用于 Exchange 通信的两个会话。[CXM-49994]
版本 10.1.2 中的新增功能
- 改进了与 Exchange 的连接: XenMobile Mail Manager 使用 PowerShell 会话与 Exchange 进行通信。尤其是在用于 Office 365 时,PowerShell 会话在一段时间之后可能会变得不稳定,从而阻止后续命令成功运行。现在可以在 XenMobile Mail Manager 中设置连接的过期期限。当连接达到其到期时间时,XenMobile Mail Manager 将正常关闭 PowerShell 会话,并创建一个会话。这样,PowerShell 会话不太可能变得不稳定,从而大大降低快照失败的可能性。
- 改进快照工作流程: 主要快照是一项耗时且流程密集型操作。如果在创建快照期间发生错误,XenMobile Mail Manager 现在会多次(最多三次)尝试完成快照。后续尝试并不是从头开始。XenMobile Mail Manager 会从其中断的地方继续。此增强功能允许在创建快照期间出现短暂的错误,通常可提高快照的成功率。
- 改进了诊断: 现在快照过程中可选地生成三个新的诊断文件,快照操作故障排除变得更加这些文件有助于确定 PowerShell 命令问题、缺少信息的邮箱以及无法与邮箱相关的设备。管理员可以使用这些文件确定 Exchange 中可能不正确的数据。
- 改进了内存使用率: XenMobile Mail Manager 现在可以更高效地使用内存。管理员可以计划 XenMobile Mail Manager 自动重新启动以向系统提供初始状态。
- Microsoft .NET Framework 4.6 必备条件:现在,Microsoft.NET Framework 的必备版本现在为版本 4.6。
已修复的问题
- 提示输入凭据错误:Office 365 会话不稳定通常会导致此错误。改进了与 Exchange 的连接增强功能解决了该问题。(XMHELP 293、XMHELP 311、XMHELP 801)
- 邮箱和设备计数不准确:XenMobile Mail Manager 改进了邮箱到设备关联算法。改进的诊断功能有助于确定 XenMobile Mail Manager 认为不在其职责领域的邮箱和设备。(XMHELP-623)
- 无法识别允许/阻止/擦除命令:修复了有时无法识别 XenMobile Mail Manager 允许/阻止/擦除命令的缺陷。(XMHELP-489)
- 内存管理:改进了内存管理和缓解。(XMHELP-419)
体系结构
下图显示了适用于 Exchange ActiveSync 的 Endpoint Management 连接器的主要组件。有关详细的参考体系结构图,请参阅体系结构。
两个主要组成部分是:
- Exchange ActiveSync 访问控制管理: 与 Endpoint Management 进行通信以从 Endpoint Management 中检索 Exchange ActiveSync 策略,并将此策略与所有本地定义的策略合并以确定应被允许或拒绝访问 Exchange 的 Exchange ActiveSync 设备。本地策略允许扩展策略规则,以允许 Active Directory 组、用户、设备类型或设备用户代理(通常为移动平台版本)执行访问控制。
- 远程 PowerShell 管理: 负责计划和调用远程 PowerShell 命令,以执行 Exchange ActiveSync 访问控制管理编译的策略。此组件定期创建 Exchange ActiveSync 数据库的快照,以检测新的或已更改的 Exchange ActiveSync 设备。
系统要求和必备条件
使用适用于 Exchange ActiveSync 的 Endpoint Management 连接器需要满足以下最低系统要求:
- Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2008 R2 Service Pack 1。必须是基于英语的服务器。对 Windows Server 2008 R2 Service Pack 1 的支持将于 2020 年 1 月 14 日结束。
- Microsoft SQL Server 2016 Service Pack 2、SQL Server 2014 Service Pack 3 或 SQL Server 2012 Service Pack 4。
- Microsoft .NET Framework 4.6。
- 黑莓 Enterprise Service 版本 5(可选)。
Microsoft Exchange Server 的最低支持版本:
- Microsoft Office 365
- Exchange Server 2016
- Exchange Server 2013
- Exchange Server 2010 Service Pack 3(支持将于 2020 年 1 月 14 日结束)
必备条件
- 必须安装 Windows Management Framework。
- PowerShell V5、V4 和 V3
- 必须通过 Set-ExecutionPolicy RemoteSigned 将 PowerShell 执行策略设置为 RemoteSigned。
- 必须在运行适用于 Exchange ActiveSync 的连接器的计算机和远程 Exchange Server 之间打开 TCP 端口 80。
设备电子邮件客户端: 并非所有电子邮件客户端始终为设备返回相同的 ActiveSync ID。由于适用于 Exchange ActiveSync 的连接器要求每个设备具有唯一的 ActiveSync ID,因此,仅支持为每个设备一致地生成相同的唯一 ActiveSync ID 的电子邮件客户端。这些电子邮件客户端已通过 Citrix 测试,执行时没有错误:
- Samsung 本机电子邮件客户端
- iOS 本机电子邮件客户端
Exchange: 运行 Exchange 的本地计算机的要求如下所示:
在 Exchange 配置用户界面中指定的凭据必须能够连接到 Exchange Server,并且具有执行以下 Exchange 特定的 PowerShell cmdlet 的完全权限:
-
针对 Exchange Server 2010 SP2:
Get-CASMailboxSet-CASMailboxGet-MailboxGet-ActiveSyncDeviceGet-ActiveSyncDeviceStatisticsClear-ActiveSyncDeviceGet-ExchangeServerGet-ManagementRoleGet-ManagementRoleAssignment
-
对于 Exchange Server 2013 和 Exchange Server 2016:
Get-CASMailboxSet-CASMailboxGet-MailboxGet-MobileDeviceGet-MobileDeviceStatisticsClear-MobileDeviceGet-ExchangeServerGet-ManagementRoleGet-ManagementRoleAssignment
- 如果将适用于 Exchange ActiveSync 的连接器配置为查看整个林,则必须授权运行 Set-AdServerSettings -ViewEntireForest $true
- 提供的凭据必须具有通过远程 Shell 连接到 Exchange Server 的权限。默认情况下,安装 Exchange 的用户具有此权限。
- 要建立远程连接并运行远程命令,凭据必须与远程计算机上的管理员用户相对应。可以使用 Set-PSSessionConfiguration 消除管理要求,但是对该命令的讨论不在本文档的范围内。有关详细信息,请参阅 Microsoft 文章关于会话配置。
- 此外,Exchange Server 还必须配置为支持通过 HTTP 进行的远程 PowerShell 请求。通常,只需要在 Exchange Server 上运行下列 PowerShell 命令的管理员:WinRM QuickConfig。
- Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接的数目。在 Exchange 2010 中,一个用户允许的同时连接数默认为 18。达到连接限制时,适用于 Exchange ActiveSync 的连接器无法连接到 Exchange Server。存在通过不在本文档范围内的 PowerShell 更改允许的同时连接数上限的方法。如果有兴趣,可以通过 PowerShell 调查与远程管理相关的 Exchange 限制策略。
Office 365 Exchange 的要求
-
权限: 在 Exchange 配置用户界面中指定的凭据必须能够连接到 Office 365,并且具有运行以下 Exchange 特定的 PowerShell cmdlet 的完全权限:
Get-CASMailboxSet-CASMailboxGet-MailboxGet-MobileDeviceGet-MobileDeviceStatisticsClear-MobileDeviceGet-ExchangeServerGet-ManagementRoleGet-ManagementRoleAssignment
- 特权: 提供的凭据必须已获得授权,可以通过远程 Shell 连接到 Office 365 服务器。默认情况下,Office 365 联机管理员具有必备特权。
- 限制策略: Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接的数目。在 Office 365 中,一个用户允许的同时连接数默认为三个。达到连接限制时,适用于 Exchange ActiveSync 的连接器无法连接到 Exchange Server。存在通过不在本文档范围内的 PowerShell 更改允许的同时连接数上限的方法。如果有兴趣,可以通过 PowerShell 调查与远程管理相关的 Exchange 限制策略。
安装和配置
-
单击 XmmSetup.msi 文件,然后按照安装程序中的提示安装适用于 Exchange ActiveSync 的 Endpoint Management 连接器。
-
在设置向导的最后一个屏幕中让 Launch the Configure utility(启动配置实用程序)保留选中。或者,从开始菜单中,打开适用于 Exchange ActiveSync 的连接器。
-
配置以下数据库属性:
- 选择 Configure(配置)> Database(数据库)选项卡。
- 输入 SQL Server 的名称(默认值为 localhost)。
- 将数据库保留为默认 CitrixXmm。
-
选择以下用于 SQL 的身份验证模式之一:
- SQL: 输入有效 SQL 用户的用户名和密码。
- Windows Integrated(Windows 集成): 如果选择此选项,XenMobile Mail Manager Service 的登录凭据必须更改为具有访问 SQL Server 权限的 Windows 帐户。为此,请打开控制面板 > 管理工具 > 服务,在 XenMobile Mail Manager Service 条目上单击鼠标右键,然后单击登录选项卡。
如果还为黑莓数据库连接选择了“Windows Integrated”(Windows 集成),必须同时为此处指定的 Windows 帐户提供黑莓数据库访问权限。
-
单击 Test Connectivity(测试连接)检查是否可以连接到 SQL Server,然后单击 Save(保存)。
-
此时将显示一条消息,提示您重新启动服务。单击是。
-
配置一个或多个 Exchange Server:
- 如果管理单个 Exchange 环境,则仅指定一台服务器。如果管理多个 Exchange 环境,则为每个 Exchange 环境指定一个 Exchange Server。
- 单击 Configure(配置)> Exchange 选项卡,然后单击 Add(添加)。
-
选择 Exchange Server 环境的类型:On Premise(本地)或 Office 365。
- 如果选择 On Premise(本地),请输入要用于远程 PowerShell 命令的 Exchange Server 名称。
- 输入在“要求”部分中指定的 Exchange Server 上具有适当权限的 Windows 身份的用户名,然后输入该用户的密码。
- 选择运行主要快照的计划。主要快照检测每个 Exchange ActiveSync 合作关系。
- 选择运行次要快照的计划。次要快照检测新创建的 Exchange ActiveSync 合作关系。
- 选择“Snapshot Type”(快照类型):Deep(深层)或 Shallow(浅层)。浅层快照通常更快并且足以执行适用于 Exchange ActiveSync 的连接器的所有 Exchange ActiveSync 访问控制功能。
- 选择默认访问:Allow(允许)、Block(阻止)或 Unchanged(保持不变)。此设置控制如何处理显式 Endpoint Management 或本地规则确定的设备以外的所有设备。如果选择 Allow(允许),则允许 ActiveSync 访问所有此类设备。如果选择 Block(阻止),则拒绝访问。如果选择 Unchanged(保持不变),则不进行任何更改。
- 选择 ActiveSync 命令模式:PowerShell 或 Simulation(模拟)。
- 在 PowerShell 模式下,适用于 Exchange ActiveSync 的连接器会发出 PowerShell 命令以执行所需的访问控制。在“Simulation”(模拟)模式下,适用于 Exchange ActiveSync 的连接器不发出 PowerShell 命令,但是会将预期命令和预期结果记录到数据库中。在“Simulation”(模拟)模式下,用户随后可使用 Monitor(监视)选项卡查看启用 PowerShell 模式时会发生的情况。
- 在 Connection Expiration(连接过期)中,设置连接存在的小时数和分钟数。当连接达到指定的期限时,该连接将被标记为已过期,以便绝不会再次使用该连接。当不再使用已过期的连接时,适用于 Exchange ActiveSync 的连接器将正常关闭该连接。再次需要连接时,如果没有连接可用,则会初始化新连接。如果未指定,则将使用默认值 30 分钟。
- 选择 View Entire Forest(查看整个林)可将适用于 Exchange ActiveSync 的连接器配置为查看 Exchange 环境中的整个 Active Directory 林。
- 选择身份验证协议:Kerberos 或 Basic(基本)。适用于 Exchange ActiveSync 的连接器支持本地部署的“Basic”(基本)身份验证。这将允许在连接器服务器不属于 Exchange Server 所在域的成员的情况下使用连接器。
- 单击 Test Connectivity(测试连接)检查是否可以连接到 Exchange Server,然后单击 Save(保存)。
- 此时将显示一条消息,提示您重新启动服务。单击是。
-
配置访问规则: 选择 Configure(配置)> Access Rules(访问规则)选项卡,单击 Citrix Endpoint Management Rules(Citrix Endpoint Management 规则)选项卡,然后单击 Add(添加)。
-
在 Endpoint Management server Service Properties(Endpoint Management 服务器服务属性)页面上,修改 URL 字符串以指向 Endpoint Management 服务器。例如,如果实例名称为
zdm,则输入https://<XdmHostName>/zdm/services/MagConfigService。在此示例中,将XdmHostName替换为 Endpoint Management 服务器的 IP 或 DNS 地址。
- 输入服务器的授权用户。
- 输入用户密码。
- 保留 Baseline Interval(基准时间间隔)、Delta Interval(时间间隔差)和 Timeout(超时)值的默认值。
- 单击 Test Connectivity(测试连接)检查与服务器的连接,然后单击 OK(确定)。
如果选中 Disabled(已禁用)复选框,Endpoint Management Mail Service 将不从 Endpoint Management 收集策略。
-
单击 Local Rules(本地规则)选项卡。
- 您可以根据 ActiveSync 的“Device ID”(设备 ID)、“Device Type”(设备类型)、“AD Group”(AD 组)、“User”(用户)或设备“UserAgent”(用户代理)添加本地规则。在列表中选择适当的类型。
- 在文本框中输入文本或文本片段。也可单击查询按钮,查看与片段匹配的实体。
对于除“Group”(组)以外的所有类型,系统依赖在快照中找到的设备。因此,如果刚刚开始且尚未完成快照,则没有实体可用。
- 选择一个文本值,然后单击 Allow(允许)或 Deny(拒绝),将其添加到右侧的 Rule List(规则列表)窗格。可使用 Rule List(规则列表)窗格右侧的按钮更改规则的顺序或移除规则。该顺序很重要,因为对于指定的用户和设备,将按照显示的顺序评估规则,并且一旦与较靠前的规则(离顶部较近)匹配,则后续的规则将失效。例如,如果存在一条允许所有 iPad 设备的规则,而后续的规则阻止用户 Matt,则 Matt 的 iPad 将仍被允许,因为 iPad 规则的有效优先级高于 Matt 规则。
- 要对规则列表中的规则进行分析以找到潜在的覆盖、冲突或补充结构,请单击 Analyze(分析),然后单击 Save(保存)。
-
如果要建立应用于 Active Directory 组的本地规则,请单击 Configure LDAP(配置 LDAP),然后配置 LDAP 连接属性。
-
(可选)配置 BlackBerry Enterprise Server (BES) 的一个或多个实例:单击 Add(添加),然后输入 BES SQL Server 的服务器名称
-
输入 BES 管理数据库的数据库名称。
-
选择 Authentication(身份验证)模式。如果选择“Windows Integrated”(Windows 集成)身份验证,则适用于 Exchange ActiveSync 的连接器服务的用户帐户就是用于连接 BES SQL Server 的帐户。如果还为连接器数据库连接选择了 Windows 集成,则必须同时为此处指定的 Windows 帐户提供连接器数据库访问权限。
-
如果选择 SQL authentication(SQL 身份验证),请输入用户名和密码。
-
设置 Sync Schedule(同步计划)。这是用于连接到 BES SQL Server 并检查任何设备更新的计划。
-
单击 Test Connectivity(测试连接)检查与 SQL Server 的连接。如果选择 Windows 集成,则此测试使用当前登录的用户而非连接器服务用户,因此不能准确测试 SQL 身份验证。
-
要支持从 Endpoint Management 对黑莓设备进行远程擦除和重置密码的功能,请选中 Enabled(已启用)复选框。
-
输入 BES 完全限定的域名 (FQDN)。
-
输入用于管理 Web 服务的 BES 端口。
-
输入 BES 服务必需的完全限定用户和密码。
-
单击 Test Connectivity(测试连接)测试与 BES 的连接,然后单击 Save(保存)。
-
使用 ActiveSync ID 强制执行电子邮件策略
您的企业电子邮件策略可以规定不批准特定设备使用企业电子邮件。为与此策略保持一致,您希望确保员工无法通过此类设备访问企业电子邮件。适用于 Exchange ActiveSync 的 Endpoint Management 连接器和 Endpoint Management 会共同协作以强制实施此类电子邮件策略。Endpoint Management 设置企业电子邮件访问策略。当未经批准的设备向 Endpoint Management 注册时,适用于 Exchange ActiveSync 的 Endpoint Management 连接器会强制实施此策略。
设备上的电子邮件客户端使用设备 ID(也称为 ActiveSync ID,用于标识设备)向 Exchange Server(或 Office 365)广播自己。Secure Hub 获取类似的标识符,并在注册设备时将标识符发送给 Endpoint Management。通过比较两个设备 ID,适用于 Exchange ActiveSync 的连接器可以确定特定设备是否应该具有企业电子邮件访问权限。下图说明了此概念:
如果 Endpoint Management 向适用于 Exchange ActiveSync 的连接器发送的 ActiveSync ID 不同于设备向 Exchange 发布的 ID,该连接器无法指示 Exchange 如何处理此设备。
匹配 ActiveSync ID 可以在大多数平台上可靠地执行。但是,Citrix 已发现在某些 Android 实现上,来自设备的 ActiveSync ID 不同于邮件客户端向 Exchange 广播的 ID。为缓解此问题,可以执行以下操作:
- 在 Android 平台上,Citrix 建议您使用 Citrix Secure Mail。
为确保正确执行公司电子邮件访问策略,您可以采取防御性安全立场。默认情况下,通过将静态策略设置为拒绝,配置适用于 Exchange ActiveSync 的 Endpoint Management 连接器以阻止电子邮件。这意味着,如果员工在 Android 设备上配置了另一个电子邮件客户端,而 ActiveSync ID 检测不起作用,公司电子邮件将拒绝对员工的访问。
访问控制规则
适用于 Exchange ActiveSync 的 Endpoint Management 连接器提供了一种基于规则的方法,为 Exchange ActiveSync 设备动态配置访问控制。连接器访问控制规则由两部分组成,即一个匹配的表达式和一个所需的访问状态(“允许”或“阻止”)。规则可能会针对给定的 Exchange ActiveSync 设备进行评估,以确定该规则是否适用于该设备或是否与该设备匹配。有多种匹配的表达式;例如,一条规则可能与给定“设备类型”(或特定 Exchange ActiveSync 设备 ID)的所有设备或者特定用户的所有设备等匹配。
在规则列表中添加、删除和重新排列规则期间,任何时候单击取消按钮都会将规则列表还原回首次打开时的状态。除非单击保存,否则关闭配置工具时将丢失您对此窗口所做的任何更改。
适用于 Exchange ActiveSync 的 Endpoint Management 连接器有三种类型的规则,即本地规则、Endpoint Management 服务器规则(也称为 XDM 规则)和默认访问规则。
本地规则: 本地规则的优先级最高:如果设备与本地规则匹配,规则评估将停止。既不查询 Endpoint Management 服务器规则也不查询默认访问规则。本地规则是通过 Configure(配置)> Access Rules(访问规则)> Local Rules(本地规则)选项卡在适用于 Exchange ActiveSync 的连接器中本地配置的。支持匹配基于给定的 Active Directory 组内用户的成员身份。支持匹配基于以下字段的正则表达式:
- ActiveSync Device ID(ActiveSync 设备 ID)
- ActiveSync Device Type(ActiveSync 设备类型)
- User Principal Name (UPN)(用户主体名称(UPN))
- ActiveSync User Agent(ActiveSync 用户代理)(通常为设备平台或电子邮件客户端)
只要完成了主要快照并找到设备,您应能够添加常规或正则表达式规则。如果尚未完成主要快照,则只能添加正则表达式规则。
Endpoint Management 服务器规则: Endpoint Management 服务器规则是指对提供有关托管设备的规则的外部 Endpoint Management 服务器的引用。Endpoint Management 服务器可通过自身的高级规则进行配置,这些规则可标识要基于 Endpoint Management 已知属性允许或阻止的设备(例如设备是否越狱或设备是否包含禁用的应用程序)。Endpoint Management 评估高级规则并生成一组允许或阻止的 ActiveSync 设备 ID,然后将其传递到 XenMobile Mail Manager。
默认访问规则: 默认访问规则是唯一的,它可以潜在匹配每个设备,并且始终是最后一个被评估。此规则是一条笼统的规则,这意味着如果给定的设备与本地规则或 Endpoint Management 服务器规则不匹配,该设备的所需访问状态将由默认访问规则的所需访问状态决定。
- Default Access - Allow(默认访问 - 允许): 允许与本地规则或 Endpoint Management 服务器规则不匹配的任何设备。
- Default Access - Block(默认访问 - 阻止): 阻止与本地规则或 Endpoint Management 服务器规则不匹配的任何设备。
- Default Access - Unchanged(默认访问 - 未更改):与本地规则或 Endpoint Management 服务器规则不匹配的任何设备将不会由适用于 Exchange ActiveSync 的连接器以任何方式修改其访问状态。如果设备已被 Exchange 置于隔离模式,则不会采取任何措施;例如,从隔离模式删除设备的唯一方法是使用显式本地规则或 XDM 规则覆盖隔离。
关于规则评估
对于 Exchange 向适用于 Exchange ActiveSync 的连接器报告的每个设备,将按照优先级从最高到最低的顺序对这些规则进行评估,如下所示:
- 本地规则
- Endpoint Management 服务器规则
- 默认访问规则
找到匹配项时,评估将停止。例如,如果本地规则与给定设备匹配,则不会根据任何 Endpoint Management 服务器规则或默认访问规则对该设备进行评估。这同样适用于给定的规则类型。例如,如果本地规则列表中有多条规则与某个给定设备匹配,则遇到第一个匹配项时,评估即停止。
当设备属性发生变化、添加或删除设备或者规则本身发生变化时,适用于 Exchange ActiveSync 的连接器会重新评估当前定义的规则集合。主要快照以可配置的时间间隔选取设备属性更改和删除操作。次要快照以可配置的时间间隔选取新设备。
Exchange ActiveSync 还具有控制访问的规则。了解这些规则在适用于 Exchange ActiveSync 的连接器的上下文中的工作方式至关重要。Exchange 可能通过以下三种级别的规则进行配置:个人免除、设备规则以及组织设置。适用于 Exchange ActiveSync 的连接器通过以编程方式发出远程 PowerShell 请求来自动化访问控制,以影响个人免除列表。这些是与给定邮箱关联的允许和阻止的 Exchange ActiveSync 设备 ID 列表。部署后,适用于 Exchange ActiveSync 的连接器有效地接替了 Exchange 中免除列表的管理功能。请参阅 Microsoft 文章使用 Exchange 和 Configuration Manager 进行设备管理。
在为相同的字段定义了多条规则的情况下,分析特别有用。您可以对规则之间的关系进行故障排除。请从规则字段的角度来执行分析;例如,规则是基于匹配的字段(例如 ActiveSync 设备 ID、ActiveSync 设备类型、用户、用户代理等)按组进行分析的。
规则术语
- 覆盖规则: 当多条规则可以应用于同一设备时会发生覆盖。因为规则是按照列表中的优先级进行评估的,可能会应用的后面的规则实例可能永远不会被评估。
- 冲突规则: 当多条规则可以应用于同一设备但访问状态(允许/阻止)不匹配时会发生冲突。如果冲突规则不是正则表达式规则,冲突将始终隐式包含覆盖
- 补充规则: 当多条规则是正则表达式规则,因此可能需要确保两个(或多个)正则表达式可以合并到一条正则表达式规则中或者不是重复功能时,会发生补充。补充规则的访问状态(允许/阻止)可能还会发生冲突。
- 主要规则: 主要规则是已在对话框内单击的规则。规则通过围绕它的实线框可视化地指示出来。该规则还将具有一个或两个绿色箭头,用来指示向上或向下方向。如果箭头指向上方,该箭头指示辅助规则在主要规则前面。如果箭头指向下方,该箭头指示辅助规则在主要规则后面。只有一个主要规则可以随时处于活动状态。
- 辅助规则: 辅助规则以某种方式与主要规则相关(通过覆盖、冲突或补充关系)。规则通过围绕它的虚线框可视化地指示出来。对于每条主要规则,可以存在一条和多条辅助规则。单击任何带有下划线的条目时,始终从主要规则的角度突出显示一条或多条辅助规则。例如,辅助规则被主要规则覆盖,或辅助规则的访问状态与主要规则冲突,或辅助规则对主要规则进行补充。
规则类型在“Rule Analysis”(规则分析)对话框中的显示方式
没有冲突、覆盖或补充时,“Rule Analysis”(规则分析)对话框中没有带下划线的条目。单击任何项目都没有效果;例如,出现正常选定项目的视觉效果。
“Rule Analysis”(规则分析)窗口包含一个复选框,选中该复选框时,将仅显示冲突、覆盖、冗余或补充规则。
当出现覆盖时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。至少有一条辅助规则以较浅字体显示,指示该规则已被优先级较高的规则覆盖。您可以单击被覆盖的规则以了解覆盖该规则的一条或多条规则。每当被覆盖的规则由于该规则是主要规则或辅助规则而突出显示时,它旁边都会显示一个黑色圆圈,以进一步指示该规则处于不活动状态。例如,在单击该规则之前,对话框显示如下:
单击优先级最高的规则时,对话框显示如下:
在此示例中,正则表达式规则 WorkMail.* 是主要规则(以实线框指示),常规规则 workmailc633313818 是辅助规则(以虚线框指示)。辅助规则旁边的黑点是一个视觉提示,可进一步指示由于它的前面有较高优先级的正则表达式而处于不活动状态(永远不会被评估)。单击被覆盖的规则后,对话框显示如下:
在前面的示例中,正则表达式规则 WorkMail.* 是辅助规则(以虚线框指示),常规规则 workmailc633313818 是主要规则(以实线框指示)。对于这一简单的示例,没有太大差异。对于更为复杂的示例,请参阅本主题中后面所述的复杂表达式示例。在定义了许多规则的情景中,单击被覆盖的规则将快速识别已覆盖该规则的一条或多条规则。
当出现冲突时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。发生冲突的规则用红点指示。只有相互冲突的规则才可能定义了两条或多条正则表达式规则。在所有其他冲突情景中,不仅将有冲突,而且还会发生覆盖。在简单的示例中单击任一规则之前,对话框显示如下:
检查这两条正则表达式规则即可明显发现,第一条规则允许设备 ID 包含 Appl 的所有设备,第二条规则拒绝设备 ID 包含 Appl 的所有设备。此外,即使第二条规则拒绝了设备 ID 包含 Appl 的所有设备,也不会拒绝符合条件的设备,因为允许规则的优先级较高。单击第一条规则后,对话框显示如下:
在上述情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提示您已将多条正则表达式规则应用到单个匹配字段,这可能意味着会出现冗余问题或更严重的问题。
在同时存在冲突和覆盖的情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提示您已将多条正则表达式规则应用到单个匹配字段,这可能意味着会出现冗余问题或更严重的问题。
在前面的示例中,显而易见,第一条规则(正则表达式规则 SAMSUNG.*)不仅覆盖下一条规则(常规规则 SAMSUNG-SM-G900A/101.40402),而且这两条规则的访问状态有所不同(主要规则指定“允许”,辅助规则指定“阻止”)。第二条规则(常规规则 SAMSUNG-SM-G900A/101.40402)以较浅文本显示,指示该规则已被覆盖,并因此处于不活动状态。
单击正则表达式规则后,对话框显示如下:
主要规则(正则表达式规则 SAMSUNG.*)后跟一个红点,指示其访问状态与一条或多条辅助规则发生冲突。辅助规则(常规规则 SAMSUNG-SM-G900A/101.40402)后跟一个红点,指示其访问状态与主要规则发生冲突。此外,该规则还后跟黑点,指示其已被覆盖,并因此处于不活动状态。
至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。仅相互补充的规则将只涉及正则表达式规则。当规则相互补充时,将以黄色叠加表示。在简单的示例中单击任一规则之前,对话框显示如下:
目测会很容易发现这两条规则都是正则表达式规则,都已应用到适用于 Exchange ActiveSync 的 Endpoint Management 连接器中的 ActiveSync 设备 ID 字段。单击第一条规则后,对话框显示如下:
主要规则(正则表达式规则 WorkMail.*)以黄色叠加突出显示,指示至少存在另外一个是正则表达式的辅助规则。辅助规则(正则表达式规则 SAMSUNG.*)以黄色叠加突出显示,指示辅助规则与主要规则都是要应用于适用于 Exchange ActiveSync 的连接器内同一字段的正则表达式规则。在此示例中,该字段为 ActiveSync 设备 ID。这些正则表达式可能叠加,也可能不叠加。是否正确制作正则表达式由您来决定。
复杂表达式示例
许多潜在的覆盖、冲突或补充都可能会发生,使其不可能举例说明所有可能的情景。以下示例探讨了不会执行的操作,同时还阐明了规则分析视觉构建的强大功能。大多数项目在下图中加了下划线。许多项目以较浅的字体显示,指示存在问题的规则已被优先级较高的规则以某种方式覆盖。列表中还包含许多正则表达式规则,如 
所示。
如何分析覆盖
要查看覆盖了特定规则的一条或多条规则,您可以单击该规则。
示例 1: 此示例调查了覆盖 zentrain01@zenprise.com 的原因。
主要规则(AD-Group 规则 zenprise/TRAINING/ZenTraining B,zentrain01@zenprise.com 是其中的一个成员)具有以下特性:
- 以蓝色突出显示并且具有实线框。
- 具有一个指向上方的绿色箭头(指示一条或多条辅助规则都能够在该箭头上方找到)。
- 后跟一个红色圆圈和一个黑色圆圈,分别指示一条或多条辅助规则与其访问状态存在冲突,并且主要规则已被覆盖且因此处于不活动状态。
向上滚动时,您会看到以下内容:
在此示例中,有两条辅助规则覆盖主要规则:正则表达式规则 zen.* 和常规规则 zentrain01@zenprise.com(属于 zenprise/TRAINING/ZenTraining A)。对于后一条辅助规则,出现了以下情况:Active Directory 组规则 ZenTraining A 包含用户 zentrain01@zenprise.com,Active Directory 组规则 ZenTraining B 也包含用户 zentrain01@zenprise.com。但是,由于辅助规则的优先级高于主要规则,因此主要规则被覆盖。主要规则的访问状态是“允许”,并且由于这两条辅助规则的访问状态都是“阻止”,因此,后跟一个红色圆圈以进一步指示访问冲突。
示例 2: 此示例显示了覆盖 ActiveSync 设备 ID 为 069026593E0C4AEAB8DE7DD589ACED33 的设备的原因:
主要规则(常规设备 ID 规则 069026593E0C4AEAB8DE7DD589ACED33)具有以下特性:
- 以蓝色突出显示并且具有实线框。
- 具有一个指向上方的绿色箭头(指示辅助规则能够在该箭头上方找到)。
- 后跟一个黑色圆圈,指示辅助规则已覆盖主要规则,并因此处于非活动状态。
在此示例中,一条辅助规则覆盖主要规则:正则表达式 ActiveSync 设备 ID 规则 3E.*。由于正则表达式 3E.* 将会与 069026593E0C4AEAB8DE7DD589ACED33 匹配,因此,主要规则永远不会被评估。
如何分析补充和冲突
在此示例中,主要规则是正则表达式 ActiveSync 设备类型规则 touch.*。特性如下:
- 以实线框指示,并使用黄色叠加作为警告,提示正在针对特定规则字段运行多条正则表达式规则,在这种情况下为 ActiveSync 设备类型。
- 两个箭头分别指向上方和下方,指示至少存在一条具有较高优先级的辅助规则以及至少存在一条具有较低优先级的辅助规则。
- 它旁边的红色圆圈表示至少有一个辅助规则的访问权限设置为 “ 允许 ”,这与主规则对 Block的访问权限冲突
- 存在两条辅助规则,即正则表达式 ActiveSync 设备类型规则
SAM.*和正则表达式 ActiveSync 设备类型规则Andro.*。 - 这两条辅助规则都加了虚线框,指示其属于辅助规则。
- 这两条辅助规则都以黄色叠加,指示其也应用于 ActiveSync 设备类型的规则字段。
- 在此类情景中,您应确保其正则表达式规则不冗余。
如何进一步分析规则
本示例探讨了规则关系如何始终从主要规则的角度建立。前面的示例显示了单击应用于设备类型值为 touch.* 的规则字段的正则表达式规则的情况。单击辅助规则 Andro.* 将显示一组不同的突出显示的辅助规则。
此示例显示了规则关系中包含的覆盖规则。此规则是常规 ActiveSync 设备类型规则 Android,已被覆盖(通过浅色字体和旁边的黑色圆圈指示),并且其访问状态还与主要规则正则表达式 ActiveSync 设备类型规则 Andro.* 发生冲突。在单击该规则之前,该规则是辅助规则。在前面的示例中,常规 ActiveSync 设备类型规则 Android 未显示为辅助规则,因为从主要规则(正则表达式 ActiveSync 设备类型规则 touch.*)的角度来看,该规则与主要规则不相关。
配置常规表达式本地规则
-
单击 Access Rules(访问规则)选项卡。
-
在 Device ID(设备 ID)列表中,选择要为其创建本地规则的字段。
-
单击放大镜图标显示所选字段的所有唯一匹配项。在此示例中,已选择 Device Type(设备类型)字段,并且选项显示在下面的列表框中。
-
在结果列表框中单击其中一个项目,然后单击以下选项之一:
- Allow(允许)表示 Exchange 将配置为允许所有匹配设备的 ActiveSync 流量。
- Deny(拒绝)表示 Exchange 将配置为拒绝所有匹配设备的 ActiveSync 流量。
在此示例中,将拒绝访问设备类型为 SamsungSPhl720 的所有设备。
添加正则表达式
正则表达式局部规则可以通过出现在它们旁边的图标来区分-一 。要添加正则表达式规则,您可以通过给定字段的结果列表中的现有值来构建正则表达式规则(只要已完成主要快照),或只需键入您想要的正则表达式。
从现有字段值构建正则表达式
-
单击 Access Rules(访问规则)选项卡。
-
在 Device ID(设备 ID)列表中,选择要为其创建正则表达式本地规则的字段。
-
单击放大镜图标显示所选字段的所有唯一匹配项。在此示例中,已选择 Device Type(设备类型)字段,并且选项显示在下面的列表框中。
-
单击结果列表中的其中一个项目。在此示例中,已选择 SAMSUNGSPHL720,并显示在 Device Type(设备类型)旁边的文本框中。
-
要允许设备类型值中包含“Samsung”的所有设备类型,请按照以下步骤添加正则表达式规则:
a. 在所选项目文本框中单击。
b. 将文本从 SAMSUNGSPHL720 更改为 SAMSUNG.*。
c. 确保选中正则表达式复选框。
d. 单击允许。
构建访问规则
- 单击 Local Rules(本地规则)选项卡。
-
要输入正则表达式,需要使用“Device ID”(设备 ID)列表和所选项目文本框。
- 选择要匹配的字段。此示例使用 设备类型。
- 键入正则表达式。此示例使用
samsung.* -
确保选中“regular expression”(正则表达式)复选框,然后单击 Allow(允许)或 Deny(拒绝)。在此示例中,选择的是 Allow(允许)。最终结果如下所示:
查找设备
通过选中“regular expression”(正则表达式)复选框,可以针对与给定表达式匹配的特定设备运行搜索。此功能仅在成功完成主要快照时可用。即使没有计划使用正则表达式规则,您也可以使用此功能。例如,假定您要查找 ActiveSync 设备 ID 中包含文本 workmail 的所有设备。为此,请执行以下过程。
- 单击 Access Rules(访问规则)选项卡。
-
确保设备匹配字段选择器设置为“Device ID”(设备 ID)(默认值)。
- 在所选项目文本框(上图中以蓝色显示的框)内单击,然后键入
workmail.*。 -
确保选中“regular expression”(正则表达式)复选框,然后单击放大镜图标显示匹配项,如下图所示。
将单个用户、设备或设备类型添加到静态规则
可以基于 ActiveSync 设备选项卡上的用户、设备 ID 或设备类型添加静态规则。
-
单击 ActiveSync Devices(ActiveSync 设备)选项卡。
-
在列表中,右键单击用户、设备或设备类型,然后选择是允许所选内容还是拒绝所选内容。
下图显示了选定 user1 时的“允许”/“拒绝”选项。
设备监视
通过适用于 Exchange ActiveSync 的 Endpoint Management 连接器中的监视器选项卡,可以浏览已检测到的 Exchange ActiveSync 和黑莓设备以及已发出的自动化 PowerShell 命令的历史记录。Monitor(监视)选项卡有以下三个选项卡:
-
ActiveSync 设备:
- 您可以通过单击 Export(导出)按钮导出显示的 ActiveSync 设备合作关系。
- 您可以通过右键单击 User(用户)、Device ID(设备 ID)或 Type(类型)列并选择适当的允许或阻止规则类型来添加本地(静态)规则。
- 要折叠展开的行,请按住 Ctrl 键并单击该展开的行。
- Blackberry Devices(黑莓设备)
- Automation History(自动化历史记录)
Configure(配置)选项卡显示所有快照的历史记录。快照历史记录显示快照发生的时间、发生了多久、检测到多少设备以及出现的任何错误。
- 在 Exchange 选项卡中,单击所需 Exchange Server 的信息图标。
故障排除和诊断
适用于 Exchange ActiveSync 的 Endpoint Management 连接器将错误和其他操作信息记录到其日志文件:安装文件夹\log\XmmWindowsService.log。适用于 Exchange ActiveSync 的连接器还会将重要事件记录到 Windows 事件日志中。
更改日志记录级别
适用于 Exchange ActiveSync 的 Endpoint Management 连接器包括以下日志记录级别:错误、信息、警告、调试和跟踪。
注意:
每个连续级别将生成更多详细信息(更多数据)。例如,错误级别提供最少的详细信息,而跟踪级别提供最多的详细信息。
要更改日志记录级别,请执行以下操作:
- 在
C:\Program Files\Citrix\CitrixEndpoint Management 连接器中,打开 nlog.config 文件。 -
在
<rules>部分中,更改您更倾向于使用的日志记录级别的 minilevel 参数。例如:<rules > <logger name="*" writeTo="file" minlevel="Debug" /> </rules> <!--NeedCopy--> -
保存该文件。
所做的更改将立即生效。您不需要重新启动适用于 Exchange ActiveSync 的连接器。
常见错误
以下列表包括常见错误:
-
适用于 Exchange ActiveSync 的连接器服务未启动
检查日志文件和 Windows 事件日志中的错误。包括以下典型原因:
-
适用于 Exchange ActiveSync 的连接器服务无法访问 SQL Server。以下这些问题可能导致此情况:
- SQL Server 服务不在运行。
- 身份验证失败。
如果已配置“Windows Integrated”(Windows 集成)身份验证,必须允许适用于 Exchange ActiveSync 的连接器服务的用户帐户进行 SQL 登录。适用于 Exchange ActiveSync 的连接器服务的帐户默认为“Local System”(本地系统),但是可能会更改为任何具有本地管理员权限的帐户。如果已配置 SQL 身份验证,必须在 SQL 中正确配置 SQL 登录。
-
故障排除工具
Support\PowerShell 文件夹中提供了一组用于故障排除的 PowerShell 实用程序。
故障排除工具将对用户的邮箱和设备执行深度分析(从而检测错误条件和潜在的故障区域)并对用户执行深度 RBAC 分析。该工具可以将所有 cmdlet 的原始输出保存到一个文本文件。