Citrix Endpoint Management

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器

XenMobile Mail Manager 现在是 Exchange ActiveSync 的 Citrix Endpoint Management 连接器。有关 Citrix 统一产品组合的详细信息,请参阅 Citrix 产品指南

该连接器通过以下方式扩展了 Citrix Endpoint Management 的功能:

  • 用于 Exchange ActiveSync (EAS) 设备的动态访问控制。可以自动允许或阻止 EAS 设备访问 Exchange 访问。
  • Citrix Endpoint Management 能够访问 Exchange 提供的 EAS 设备合作信息。
  • Citrix Endpoint Management 能够根据 EAS 状态擦除移动设备。
  • Citrix Endpoint Management 能够访问有关黑莓设备的信息,并执行诸如擦除和重置密码之类的控制操作。

要根据 EAS 状态擦除设备,请使用 ActiveSync 触发器配置自动操作。请参阅自动化操作

重要提示:

鉴于 Microsoft 在此处宣布的身份验证变更,从 2022 年 10 月开始,适用于 Exchange ActiveSync 的 Citrix Endpoint Management 和 NetScaler Gateway 连接器将不再支持 Exchange Online。适用于 Exchange 的 Citrix Endpoint Management 连接器将继续与 Microsoft Exchange Server(本地)配合使用。

版本 10.1.10 中的新增功能

10.1.10 版中修复了以下问题:

  • 遇到频繁出现的网络问题的客户可能无法在之前提供的三次尝试中完成快照。在本版本中,管理员可以配置最大尝试次数 (1-10)。此修复允许快照在不完全放弃快照过程的情况下在通信中产生多次中断。[CXM-70837] 带“快照最大尝试次数”选项的配置屏幕示意图
  • 在早期版本中,快照类型未显示在 Exchange 配置列表中。现在,快照类型则显示在该位置。[CXM-70846]
  • PowerShell 报告的 PSRemotingTransport 异常表示与 Exchange 的会话不再可行。默认情况下,状态将添加到配置文件中的“严重错误”列表中。这样,当检测到 PSRemotingTransportException 异常时,连接被标记为错误以供稍后处理。下一个通信使用有效的连接或创建连接。[XMHELP-2184、CXM-70836]
  • 保存配置更改后,在加载新配置之前,可能并非所有之前配置的内部组件都已正确处理。此问题可能会导致出现不可预测的行为。该行为取决于特定的更改以及该更改是否与之前的配置冲突。在本版本中,所有内部组件都会在加载新配置之前处理。[XMHELP-2259、CXM-71388]

版本 10.1.9 中的新增功能

版本 10.1.9 中修复了以下问题:

  • 现在,对配置所做的更改将以更加一致的方式进行处理。当服务检测到配置中的更改时,每个内部子系统都将停止运行,这意味着任何活动的或计划的处理过程都会中断。接下来将加载新配置并重新启动子系统,这意味着将使用新设置重新建立所有计划以及其他内部基础结构。此问题更正了版本 10.1.8 中的一个已知问题。[CXM-47709、CXM-61330]
  • 在升级期间,现有数据库配置不合并到新配置文件。现在,数据库配置将合并到升级后的配置文件。[CXM-49326]
  • 在快照相关的诊断文件中,列标题缺失。这些标题都将还原。[CXM-62680]
  • 从早期版本升级时,配置文件的默认设置部分被正在使用的配置文件中的类似部分覆盖。此问题阻止了服务在升级后加载在默认设置部分中添加或改进的功能。截至本版本,默认设置部分始终反映最新配置。[CXM-62681]
  • 运行应用程序时,管理员将无法再通过按 Shift 键访问某些选项。这些选项以前是随 Citrix 权限提供的。现在,某些选项已完全可用(例如“允许重定向”),其他选项(例如,挂起检测和计数更正)已弃用。[CXM-62767]

    所有可用设置

早期版本中的新增功能

以下部分列出了适用于 Exchange ActiveSync 的 Citrix Endpoint Management Connector 早期版本中的新功能和已修复的问题。

版本 10.1.8 中的新增功能

  • Exchange 有可能会降低适用于 Exchange ActiveSync 服务的 Citrix Endpoint Management 连接器的速度,使其发出命令不会太频繁。此问题在与 Office 365 的连接中很常见。此限制产生的影响要求该服务先暂停指定的期限,然后再发送下一个命令。配置控制台现在显示剩余的暂停时间量。[CXM-48044]
  • 修改了配置文件 (config.xml) 的“Watchdog”和/或“SpecialistsDefaults”部分时,所做的更改在升级后不反映在配置文件中。在本版本中,修改正确地合并到新配置文件中。[CXM-52523]
  • 更多详细信息已添加到发送至 Google Analytics 的分析中,特别是相关的快照。[CXM-56691]
  • Exchange 测试连接功能将仅尝试初始化连接一次。由于可以限制 Office 365 的连接,因此,受到限制时,测试连接可能会显示为失败。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器现在最多尝试初始化连接三次。[CXM-58180]
  • 为影响有关 Exchange 的策略,适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器必须将包括每个邮箱的所有相关设备的 Set-CASMailbox 命令编译到两个列表中,即允许和阻止列表。如果设备未包含在这两个列表中,Exchange 将回退到其默认访问状态。如果该默认访问状态与设备的所需状态不同,设备将变得不合规。因此,如果 Exchange 默认访问状态为阻止,但实际应为允许,用户可能会丢失对其电子邮件的访问权限。或者,应阻止其访问电子邮件的用户可能会被授予访问权限。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器现在将确保具有有效所需状态的所有设备都包括在每个 Set-CasMailbox 命令中。[CXM-61251]

以下问题在版本 10.1.8 中属于已知问题:

如果管理员在配置应用程序中做出了修改配置数据的更改,而服务正在执行长时间持续进行的操作,例如快照或策略评估,服务可能会进入不确定的状态。可能会出现的症状可能为不处理策略更改,或者不启动快照。必须重新启动服务,才能将服务返回到工作状态。在启动服务之前,您可能需要使用 Windows 服务管理器终止服务。[CXM-61330]

版本 10.1.7 中的新增功能

  • XenMobile Mail Manager 现在是 Exchange ActiveSync 的 Citrix Endpoint Management 连接器。
  • 我们已弃用 Exchange 配置对话框中的 Disable Pipelining(禁用流水线操作)选项。可以在 config.xml 文件中为每个命令配置多个步骤来实现相同功能。[CXM-54593]

版本 10.1.7 中修复了以下问题:

  • 在“Snapshot History”(快照历史记录)窗口中,显示的错误消息可能几乎没有上下文。现在,错误消息的前缀为错误发生位置的上下文。[CXM-49157]
  • XmmGoogleAnalytics.dll 没有与版本对应的文件版本。[CXM-52518]
  • 为了改进诊断,我们最近更改了用于为邮箱设置“允许/阻止”状态的设备 ID 列表的字符串格式。但是,指定的设备太多会超过最大字符串大小。现在,我们使用内部数组数据结构。此结构没有大小限制,并且还会为数据设置合适格式以便用于诊断。[CXM-52610]
  • 检测到未与 Exchange 同步的设备策略时,其命令可能包括不属于相关邮箱的设备。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器现在可确保发往 Exchange 的命令仅代表属于其各自邮箱的设备。[CXM-54842]
  • 在某些环境中,Microsoft 程序集不可用。现在,所需的程序集明确与应用程序一起安装。[CXM-55439]
  • 如果设备或邮箱的可分辨名称在属性名称和等号之间有空格,或者等号后面和值之前有空格,则适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器可能无法正确匹配设备与其邮箱,反之亦然。结果可能是在快照协调期间某些设备和/或邮箱被拒绝。[CXM-56088]

注意:

以下“新增内容”部分使用以前的名称 XenMobile Mail Manager 来提及 Exchange ActiveSync 的 Citrix Endpoint Management 连接器。名称自版本 10.1.7 起更改。

版本 10.1.6.20 中的更新

10.1.6 更新包含版本 10.1.6.20 中的以下修复:

  • 检测到未与 Exchange 同步的设备策略时,其命令可能包括不属于相关邮箱的设备。XenMobile Mail Manager 现在可确保针对 Exchange 的命令仅表示属于其各自邮箱的设备。[CXM-54842]

版本 10.1.6 中的新增功能

XenMobile Mail Manager 版本 10.1.6 包含以下已修复的问题和增强功能:

  • “Snapshot History”(快照历史记录)窗口有时会进入窗口不再更新的状态。改进了窗口刷新机制以更加可靠地更新。[CXM-47983]
  • 对分区快照和非分区快照使用两个不同的模式和代码路径。由于非分区快照等同于使用单个“*”分区配置的分区快照,因此不需要非分区快照模式。现在,默认快照模式为具有 36 个分区(0-9、A-Z)的分区快照。[CXM-49093]
  • 在“Snapshot History”(快照历史记录)窗口中,错误消息会被状态消息覆盖。现在,XenMobile Mail Manager 提供两个单独的字段,以便用户可以同时查看状态和错误。[CXM-51942]
  • 连接到 Exchange Online (Office 365) 时,快照相关查询可能会导致数据集被截断。XenMobile Mail Manager 执行多命令流水线脚本时,可能会出现此问题。上游命令无法足够快速地将数据传递给下游命令,这样下游命令就会提前完成工作。因此会出现不完整的数据。现在,XenMobile Mail Manager 可以模仿流水线本身,并等到上游命令完成后再调用下游命令。经过此更改,所有数据都将得以处理和捕获。[CXM-52280]
  • 如果在针对 Exchange 的策略更新命令中发生无法解决的错误,则会在很长一段时间内重复向工作队列返回相同命令。这种情况会导致多次向 Exchange 发送该命令。在此版本的 XenMobile Mail Manager 中,仅偶尔向工作队列返回导致出现错误的命令。[CXM-52633]
  • 如果针对特定邮箱的策略更新涉及允许或阻止所有设备:由于空列表被转换为空字符串而不是 NULL,发出的 Set-CASMailbox 命令会失败。现在会发送正确的数据。[CXM-53759]
  • 处理新设备时,Exchange 可能会在一段时间(通常为 15 分钟)内返回状态“DeviceDiscovery”。以前,XenMobile Mail Manager 不会专门处理这种状态。现在,XenMobile Mail Manager 会处理这种状态。在 UI 的“Monitor”(监视)选项卡中,用户可以过滤处于此状态的设备。[CXM-53840]
  • 以前,XenMobile Mail Manager 不会检查是否能够向 XenMobile Mail Manager 数据库执行写入操作。因此,如果权限受到限制,则可能无法预测该行为。现在,XenMobile Mail Manager 会从数据库捕获并验证所需的权限。XenMobile Mail Manager 会在测试连接时(显示的消息)或在主配置窗口底部的数据库指示器(悬停显示消息)中指示降低的权限。[CXM-54219]
  • 根据当前工作负载,在被定向时,XenMobile Mail Manager 服务可能无法迅速停止。因此,该服务看上去处于无响应状态。进行了一些改进后,正在进行的任务可以中断,因而可以比较正常地关闭。[CXM-54282]

版本 10.1.5 中的新增功能

XenMobile Mail Manager 版本 10.1.5 包含以下已修复的问题:

  • Exchange 向 XenMobile Mail Manager 活动应用限制时,系统不会指示(在日志外部) 发生了限制。在此版本中,用户可以将鼠标悬停在活动快照上,此时将显示“限制”状态。此外,XenMobile Mail Manager 受到限制时,在 Exchange 解除限制禁令之前,会禁止开始创建主要快照。[CXM-49617]
  • 如果在创建主要快照期间 XenMobile Mail Manager 受到 Exchange 限制:可能是在下一次尝试创建快照之前,可以使用的时间不够。此问题会导致进一步限制和快照失败。现在,XenMobile Mail Manager 会在两次快照尝试之间等待 Exchange 指定的最小等待时间。[CXM-49618]
  • 启用了诊断时,命令文件中显示的 Set-CasMailbox 命令中,每个属性名称前面都缺少连字符。仅在设置诊断文件的格式时会发生此问题,发送到 Exchange 的实际命令则不会发生此问题。由于缺少连字符,用户无法剪切命令并直接将其粘贴到 PowerShell 命令提示窗口进行测试或验证。现已添加连字符。[CXM-52520]
  • 如果邮箱标识的格式为 lastname, firstname,在从查询返回数据时,Exchange 会在逗号前面添加一个反斜杠。XenMobile Mail Manager 使用该标识查询更多数据时,必须去掉此反斜杠。[CXM-52635]

已知限制

注意:

以下限制在版本 10.1.6 中已解决。

XenMobile Mail Manager 存在一个可能会导致针对 Exchange 的命令失败的已知限制。为了向 Exchange 应用策略更改,XenMobile Mail Manager 会发出 Set_CASMailbox 命令。此命令可以接受两个设备列表:一个要允许的列表和一个要阻止的列表。此命令应用于与邮箱关联使用的设备。

这些列表不能超过 256 个字符(按 Microsoft API 划分的每个列表)。如果其中一个列表超过该限制,命令将完全失败,导致无法为与相应邮箱关联的设备设置策略。报告的错误(显示在 XenMobile Mail Manager 日志中)类似如下所示。下面是阻止的列表示例。

“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”(消息: 无法将参数 ActiveSyncBlockedDeviceIDs 绑定到目标。设置 ActiveSyncBlockedDeviceIDs 时发生异常:“属性的长度太长。最大长度为 256,提供的值长度为…)

设备 ID 长度可能会有所差别,但一条很好的指导原则是,同时允许或阻止大约 10 个或更多设备可能会超过该限制。虽然很少会出现许多设备与某个特定邮箱关联,但仍有可能出现。在 XenMobile Mail Manager 改进为能够处理此情况之前,我们建议您将与一个用户和邮箱关联的设备数限制在 10 以内。[CXM-52633]

版本 10.1.4 中的新增功能

XenMobile Mail Manager 版本 10.1.4 包含以下已修复的问题:

  • 由于安全性的削弱,PCI 委员会正在弃用 TLS 1.0 和 TLS 1.1。对 1.2 的支持已添加到 XenMobile Mail Manager 中。[CXM-38573、CXM-32560]
  • XenMobile Mail Manager 包括一个新的诊断文件。在 Exchange 指定内容中选择了 Enable Diagnostics(启用诊断)时,将生成新的快照历史记录文件。在每次尝试创建快照时,都会向该文件中添加一行以记录快照结果。[CXM-49631]
  • 在命令诊断文件中,Set-CASMailbox 命令不显示允许或阻止的设备列表。而是在该文件中的相关参数中显示内部类名称。现在,XenMobile Mail Manager 以逗号分隔的列表显示设备 ID 的列表。[CXM-50693]
  • 由于指定内容错误导致尝试获取与 Exchange 的连接失败时:不正确的消息覆盖错误消息:“All connections in use”(正在使用所有连接)。现在显示更具描述性的消息,例如,“All connections are inoperable”(所有连接均无法使用)、“Connection pool is empty”(连接池为空)、“All connections are throttled”(所有连接都受限制),以及“No available connections”(没有可用的连接)。[CXM-50783]
  • 有时,允许/阻止/擦除命令会在 XenMobile Mail Manager 内部缓存中排队多次。此问题导致发送到 Exchange 的命令出现延迟。XenMobile Mail Manager 现在仅排队每个命令的一个实例。[CXM-51524]

版本 10.1.3 中的新增功能

  • Google Analytics 支持: 我们希望了解您使用 XenMobile Mail Manager 的方式,以便我们可以专注于可以改进产品的方面。
  • 用于启用诊断的设置:“Configure”(配置)控制台中的 Configure(配置)对话框中显示 Enable Diagnostics(启用诊断)复选框。

    邮件管理器控制台

版本 10.1.3 中已修复的问题

  • Snapshot History(快照历史记录)窗口中,显示快照当前状态的工具提示不反映实际状态。[CXM-5570] 偶尔,XenMobile Mail Manager 无法向命令诊断文件中写入。发生此问题时,完全不记录命令历史记录。[CXM-49217]
  • 某个连接出错时,该连接可能无法标记为“出错”。因此,后续命令可能会尝试使用该连接,并导致出现另一个错误。[CXM-49495]
  • 在 Exchange Server 中启用了限制时,可能会在检查运行状况例程中引发异常。因此,可能无法清除出错或已过期的连接。此外,在限制时间到期之前,XenMobile Mail Manager 可能无法创建连接。[CXM-49794]。
  • 超过 Exchange 的最大会话计数后,XenMobile Mail Manager 报告“Device Capture Failed”(设备捕获失败)错误,此消息并不准确。相反,该消息应指明正在使用 XenMobile Mail Manager 通常用于 Exchange 通信的两个会话。[CXM-49994]

版本 10.1.2 中的新增功能

  • 改进了与 Exchange 的连接: XenMobile Mail Manager 使用 PowerShell 会话与 Exchange 进行通信。尤其是在用于 Office 365 时,PowerShell 会话在一段时间之后可能会变得不稳定,从而阻止后续命令成功运行。现在可以在 XenMobile Mail Manager 中设置连接的过期期限。当连接达到其到期时间时,XenMobile Mail Manager 将正常关闭 PowerShell 会话,并创建一个会话。这样,PowerShell 会话不太可能变得不稳定,从而大大降低快照失败的可能性。
  • 改进快照工作流程: 主要快照是一项耗时且流程密集型操作。如果在创建快照期间发生错误,XenMobile Mail Manager 现在会多次(最多三次)尝试完成快照。后续尝试并不是从头开始。XenMobile Mail Manager 会从其中断的地方继续。此增强功能允许在创建快照期间出现短暂的错误,通常可提高快照的成功率。
  • 改进了诊断: 现在快照过程中可选地生成三个新的诊断文件,快照操作故障排除变得更加这些文件有助于确定 PowerShell 命令问题、缺少信息的邮箱以及无法与邮箱相关的设备。管理员可以使用这些文件确定 Exchange 中可能不正确的数据。
  • 改进了内存使用率: XenMobile Mail Manager 现在可以更高效地使用内存。管理员可以计划 XenMobile Mail Manager 自动重新启动以向系统提供初始状态。
  • Microsoft .NET Framework 4.6 必备条件:现在,Microsoft.NET Framework 的必备版本现在为版本 4.6。

已修复的问题

  • 提示输入凭据错误:Office 365 会话不稳定通常会导致此错误。改进了与 Exchange 的连接增强功能解决了该问题。(XMHELP 293、XMHELP 311、XMHELP 801)
  • 邮箱和设备计数不准确:XenMobile Mail Manager 改进了邮箱到设备关联算法。改进的诊断功能有助于确定 XenMobile Mail Manager 认为不在其职责领域的邮箱和设备。(XMHELP-623)
  • 无法识别允许/阻止/擦除命令:修复了有时无法识别 XenMobile Mail Manager 允许/阻止/擦除命令的缺陷。(XMHELP-489)
  • 内存管理:改进了内存管理和缓解。(XMHELP-419)

体系结构

下图显示了适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器的主要组件。有关详细的参考体系结构图,请参阅体系结构

适用于 Exchange ActiveSync 架构的 Citrix Endpoint Management 连接器

两个主要组成部分是:

  • Exchange ActiveSync 访问控制管理:与 Citrix Endpoint Management 通信,从 Citrix Endpoint Management 检索 Exchange ActiveSync 策略,并将此策略与任何本地定义的策略合并,以确定应允许或拒绝访问 Exchange 的 Exchange ActiveSync 设备。本地策略允许扩展策略规则,以允许 Active Directory 组、用户、设备类型或设备用户代理(通常为移动平台版本)执行访问控制。
  • 远程 PowerShell 管理: 负责计划和调用远程 PowerShell 命令,以执行 Exchange ActiveSync 访问控制管理编译的策略。此组件定期创建 Exchange ActiveSync 数据库的快照,以检测新的或已更改的 Exchange ActiveSync 设备。

系统要求和必备条件

使用适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器需要满足以下最低系统要求:

  • Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2008 R2 Service Pack 1。必须是基于英语的服务器。对 Windows Server 2008 R2 Service Pack 1 的支持于 2020 年 1 月 14 日结束, 对 Windows Server 2012 R2 的支持于 2023 年 10 月 10 日结束。
  • Microsoft SQL Server 2016 Service Pack 2、SQL Server 2014 Service Pack 3 或 SQL Server 2012 Service Pack 4。
  • Microsoft .NET Framework 4.6。
  • 黑莓 Enterprise Service 版本 5(可选)。

Microsoft Exchange Server 的最低支持版本:

  • Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013(支持于 2023 年 4 月 11 日结束)
  • Exchange Server 2010 Service Pack 3(支持将于 2020 年 1 月 14 日结束)

必备条件

  • 必须安装 Windows Management Framework。
    • PowerShell V5、V4 和 V3
  • 必须通过 Set-ExecutionPolicy RemoteSigned 将 PowerShell 执行策略设置为 RemoteSigned。
  • 必须在运行适用于 Exchange ActiveSync 的连接器的计算机和远程 Exchange Server 之间打开 TCP 端口 80。

设备电子邮件客户端: 并非所有电子邮件客户端始终为设备返回相同的 ActiveSync ID。由于适用于 Exchange ActiveSync 的连接器要求每个设备具有唯一的 ActiveSync ID,因此,仅支持为每个设备一致地生成相同的唯一 ActiveSync ID 的电子邮件客户端。这些电子邮件客户端已通过 Citrix 测试,执行时没有错误:

  • Samsung 本机电子邮件客户端
  • iOS 本机电子邮件客户端

Exchange: 运行 Exchange 的本地计算机的要求如下所示:

在 Exchange 配置用户界面中指定的凭据必须能够连接到 Exchange Server,并且具有执行以下 Exchange 特定的 PowerShell cmdlet 的完全权限:

  • 针对 Exchange Server 2010 SP2:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-ActiveSyncDevice
    • Get-ActiveSyncDeviceStatistics
    • Clear-ActiveSyncDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 对于 Exchange Server 2013 和 Exchange Server 2016:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 如果将适用于 Exchange ActiveSync 的连接器配置为查看整个林,则必须授权运行 Set-AdServerSettings -ViewEntireForest $true
  • 提供的凭据必须具有通过远程 Shell 连接到 Exchange Server 的权限。默认情况下,安装 Exchange 的用户具有此权限。
  • 要建立远程连接并运行远程命令,凭据必须与远程计算机上的管理员用户相对应。可以使用 Set-PSSessionConfiguration 消除管理要求,但是对该命令的讨论不在本文档的范围内。有关详细信息,请参阅 Microsoft 文章关于会话配置
  • 此外,Exchange Server 还必须配置为支持通过 HTTP 进行的远程 PowerShell 请求。通常,只需要在 Exchange Server 上运行下列 PowerShell 命令的管理员:WinRM QuickConfig。
  • Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接的数目。在 Exchange 2010 中,一个用户允许的同时连接数默认为 18。达到连接限制时,适用于 Exchange ActiveSync 的连接器无法连接到 Exchange Server。存在通过不在本文档范围内的 PowerShell 更改允许的同时连接数上限的方法。如果有兴趣,可以通过 PowerShell 调查与远程管理相关的 Exchange 限制策略。

Office 365 Exchange 的要求

  • 权限: 在 Exchange 配置用户界面中指定的凭据必须能够连接到 Office 365,并且具有运行以下 Exchange 特定的 PowerShell cmdlet 的完全权限:
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • 特权: 提供的凭据必须已获得授权,可以通过远程 Shell 连接到 Office 365 服务器。默认情况下,Office 365 联机管理员具有必备特权。
  • 限制策略: Exchange 有许多限制策略。其中一个策略控制每个用户允许的并发 PowerShell 连接的数目。在 Office 365 中,一个用户允许的同时连接数默认为三个。达到连接限制时,适用于 Exchange ActiveSync 的连接器无法连接到 Exchange Server。存在通过不在本文档范围内的 PowerShell 更改允许的同时连接数上限的方法。如果有兴趣,可以通过 PowerShell 调查与远程管理相关的 Exchange 限制策略。

安装和配置

  1. 单击 XmmSetup.msi 文件,然后按照安装程序中的提示安装适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器。

  2. 在设置向导的最后一个屏幕中让 Launch the Configure utility(启动配置实用程序)保留选中。或者,从开始菜单中,打开适用于 Exchange ActiveSync 的连接器。

  3. 配置以下数据库属性:

    • 选择 Configure(配置)> Database(数据库)选项卡。
    • 输入 SQL Server 的名称(默认值为 localhost)。
    • 将数据库保留为默认 CitrixXmm
  4. 选择以下用于 SQL 的身份验证模式之一:

    • SQL: 输入有效 SQL 用户的用户名和密码。
    • Windows Integrated(Windows 集成): 如果选择此选项,XenMobile Mail Manager Service 的登录凭据必须更改为具有访问 SQL Server 权限的 Windows 帐户。为此,请打开控制面板 > 管理工具 > 服务,在 XenMobile Mail Manager Service 条目上单击鼠标右键,然后单击登录选项卡。

    如果还为黑莓数据库连接选择了“Windows Integrated”(Windows 集成),必须同时为此处指定的 Windows 帐户提供黑莓数据库访问权限。

  5. 单击 Test Connectivity(测试连接)检查是否可以连接到 SQL Server,然后单击 Save(保存)。

  6. 此时将显示一条消息,提示您重新启动服务。单击

    适用于 Exchange ActiveSync 的连接器设置屏幕

  7. 配置一个或多个 Exchange Server:

    • 如果管理单个 Exchange 环境,则仅指定一台服务器。如果管理多个 Exchange 环境,则为每个 Exchange 环境指定一个 Exchange Server。
    • 单击 Configure(配置)> Exchange 选项卡,然后单击 Add(添加)。

    配置 Exchange 选项卡

  8. 选择 Exchange Server 环境的类型:On Premise(本地)或 Office 365

    • 如果选择 On Premise(本地),请输入要用于远程 PowerShell 命令的 Exchange Server 名称。
    • 输入在“要求”部分中指定的 Exchange Server 上具有适当权限的 Windows 身份的用户名,然后输入该用户的密码
    • 选择运行主要快照的计划。主要快照检测每个 Exchange ActiveSync 合作关系。
    • 选择运行次要快照的计划。次要快照检测新创建的 Exchange ActiveSync 合作关系。
    • 选择“Snapshot Type”(快照类型):Deep(深层)或 Shallow(浅层)。浅层快照通常更快并且足以执行适用于 Exchange ActiveSync 的连接器的所有 Exchange ActiveSync 访问控制功能。
    • 选择默认访问:Allow(允许)、Block(阻止)或 Unchanged(保持不变)。此设置控制如何处理除明确的 Citrix Endpoint Management 或本地规则所标识的设备之外的所有设备。如果选择 Allow(允许),则允许 ActiveSync 访问所有此类设备。如果选择 Block(阻止),则拒绝访问。如果选择 Unchanged(保持不变),则不进行任何更改。
    • 选择 ActiveSync 命令模式:PowerShellSimulation(模拟)。
    • PowerShell 模式下,适用于 Exchange ActiveSync 的连接器会发出 PowerShell 命令以执行所需的访问控制。在“Simulation”(模拟)模式下,适用于 Exchange ActiveSync 的连接器不发出 PowerShell 命令,但是会将预期命令和预期结果记录到数据库中。在“Simulation”(模拟)模式下,用户随后可使用 Monitor(监视)选项卡查看启用 PowerShell 模式时会发生的情况。
    • Connection Expiration(连接过期)中,设置连接存在的小时数和分钟数。当连接达到指定的期限时,该连接将被标记为已过期,以便绝不会再次使用该连接。当不再使用已过期的连接时,适用于 Exchange ActiveSync 的连接器将正常关闭该连接。当再次需要连接时,如果没有可用的连接,则初始化一个新连接。如果未指定,则将使用默认值 30 分钟。
    • 选择 View Entire Forest(查看整个林)可将适用于 Exchange ActiveSync 的连接器配置为查看 Exchange 环境中的整个 Active Directory 林。
    • 选择身份验证协议:KerberosBasic(基本)。适用于 Exchange ActiveSync 的连接器支持本地部署的“Basic”(基本)身份验证。这将允许在连接器服务器不属于 Exchange Server 所在域的成员的情况下使用连接器。
    • 单击 Test Connectivity(测试连接)检查是否可以连接到 Exchange Server,然后单击 Save(保存)。
    • 此时将显示一条消息,提示您重新启动服务。单击
  9. 配置访问规则: 选择 Configure(配置)> Access Rules(访问规则)选项卡,单击 Citrix Endpoint Management Rules(Citrix Endpoint Management 规则)选项卡,然后单击 Add(添加)。

    访问规则

  10. Citrix Endpoint Management 服务器的“服务 属性”页面上,修改 URL 字符串以指向 Citrix Endpoint Management 服务器。例如,如果实例名称为 zdm,则输入 https://<XdmHostName>/zdm/services/MagConfigService。在示例中,将 XdmHostName 替换为 Citrix Endpoint Management 服务器的 IP 或 DNS 地址。

    邮件管理器控制台

    • 输入服务器的授权用户。
    • 输入用户密码。
    • 保留 Baseline Interval(基准时间间隔)、Delta Interval(时间间隔差)和 Timeout(超时)值的默认值。
    • 单击 Test Connectivity(测试连接)检查与服务器的连接,然后单击 OK(确定)。

    如果选中“禁用”复选框,则 Citrix Endpoint Management 邮件服务不会从 Citrix Endpoint Management 收集策略。

  11. 单击 Local Rules(本地规则)选项卡。

    “本地规则”选项卡

    • 您可以根据 ActiveSync 的“Device ID”(设备 ID)、“Device Type”(设备类型)、“AD Group”(AD 组)、“User”(用户)或设备“UserAgent”(用户代理)添加本地规则。在列表中选择适当的类型。
    • 在文本框中输入文本或文本片段。也可单击查询按钮,查看与片段匹配的实体。

    对于除“Group”(组)以外的所有类型,系统依赖在快照中找到的设备。因此,如果刚刚开始且尚未完成快照,则没有实体可用。

    • 选择一个文本值,然后单击 Allow(允许)或 Deny(拒绝),将其添加到右侧的 Rule List(规则列表)窗格。可使用 Rule List(规则列表)窗格右侧的按钮更改规则的顺序或移除规则。该顺序很重要,因为对于指定的用户和设备,将按照显示的顺序评估规则,并且一旦与较靠前的规则(离顶部较近)匹配,则后续的规则将失效。例如,如果存在一条允许所有 iPad 设备的规则,而后续的规则阻止用户 Matt,则 Matt 的 iPad 将仍被允许,因为 iPad 规则的有效优先级高于 Matt 规则。
    • 要对规则列表中的规则进行分析以找到潜在的覆盖、冲突或补充结构,请单击 Analyze(分析),然后单击 Save(保存)。
  12. 如果要建立应用于 Active Directory 组的本地规则,请单击 Configure LDAP(配置 LDAP),然后配置 LDAP 连接属性。

    LDAP 配置

  13. (可选)配置 BlackBerry Enterprise Server (BES) 的一个或多个实例:单击 Add(添加),然后输入 BES SQL Server 的服务器名称

    BES SQL Server

    • 输入 BES 管理数据库的数据库名称。

    • 选择 Authentication(身份验证)模式。如果选择“Windows Integrated”(Windows 集成)身份验证,则适用于 Exchange ActiveSync 的连接器服务的用户帐户就是用于连接 BES SQL Server 的帐户。如果还为连接器数据库连接选择了 Windows 集成,则必须同时为此处指定的 Windows 帐户提供连接器数据库访问权限。

    • 如果选择 SQL authentication(SQL 身份验证),请输入用户名和密码。

    • 设置 Sync Schedule(同步计划)。这是用于连接到 BES SQL Server 并检查任何设备更新的计划。

    • 单击 Test Connectivity(测试连接)检查与 SQL Server 的连接。如果选择 Windows 集成,则此测试使用当前登录的用户而非连接器服务用户,因此不能准确测试 SQL 身份验证。

    • 要支持从 Citrix Endpoint Management 远程擦除和重置黑莓设备,请选中“启用”复选框。

    • 输入 BES 完全限定的域名 (FQDN)。

    • 输入用于管理 Web 服务的 BES 端口。

    • 输入 BES 服务必需的完全限定用户和密码。

    • 单击 Test Connectivity(测试连接)测试与 BES 的连接,然后单击 Save(保存)。

使用 ActiveSync ID 强制执行电子邮件策略

您的企业电子邮件策略可以规定不批准特定设备使用企业电子邮件。为与此策略保持一致,您希望确保员工无法通过此类设备访问企业电子邮件。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器和 Citrix Endpoint Management 共同执行此类电子邮件政策。Citrix Endpoint Management 为企业电子邮件访问设置政策。当未经批准的设备注册 Citrix Endpoint Management 时,Exchange ActiveSync 的连接器会强制执行该政策。

设备上的电子邮件客户端使用设备 ID(也称为 ActiveSync ID,用于标识设备)向 Exchange Server(或 Office 365)广播自己。Citrix Secure Hub 会获得类似的标识符,并在设备注册后将该标识符发送到 Citrix Endpoint Management。通过比较两个设备 ID,适用于 Exchange ActiveSync 的连接器可以确定特定设备是否应该具有企业电子邮件访问权限。下图说明了此概念:

检测 ActiveSync ID 工作流

如果 Citrix Endpoint Management 向 Exchange ActiveSync 的连接器发送与设备发布到 Exchange 的 ID 不同的 ActiveSync ID,则连接器无法向 Exchange 指示该如何处理该设备。

匹配 ActiveSync ID 可以在大多数平台上可靠地执行。但是,Citrix 已发现在某些 Android 实现上,来自设备的 ActiveSync ID 不同于邮件客户端向 Exchange 广播的 ID。为缓解此问题,可以执行以下操作:

  • 在 Android 平台上,Citrix 建议您使用 Citrix Secure Mail。

为确保正确执行公司电子邮件访问策略,您可以采取防御性安全立场。 通过将静态策略默认设置为“拒绝”,为 Exchange ActiveSync 配置 Citrix Endpoint Management 连接器以阻止电子邮件。 这意味着,如果员工在 Android 设备上配置了另一个电子邮件客户端,而 ActiveSync ID 检测不起作用,公司电子邮件将拒绝对员工的访问。

访问控制规则

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器为动态配置 Exchange ActiveSync 设备的访问控制提供了一种基于规则的方法。连接器访问控制规则由两部分组成,即一个匹配的表达式和一个所需的访问状态(“允许”或“阻止”)。规则可能会针对给定的 Exchange ActiveSync 设备进行评估,以确定该规则是否适用于该设备或是否与该设备匹配。有多种匹配的表达式;例如,一条规则可能与给定“设备类型”(或特定 Exchange ActiveSync 设备 ID)的所有设备或者特定用户的所有设备等匹配。

在规则列表中添加、删除和重新排列规则期间,任何时候单击取消按钮都会将规则列表还原回首次打开时的状态。除非单击保存,否则关闭配置工具时将丢失您对此窗口所做的任何更改。

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器有三种类型的规则:本地规则、Citrix Endpoint Management 服务器规则(也称为 XDM 规则)和默认访问规则。

本地规则: 本地规则的优先级最高:如果设备与本地规则匹配,规则评估将停止。不会查阅 Citrix Endpoint Management 服务器规则和默认访问规则。本地规则是通过 Configure(配置)> Access Rules(访问规则)> Local Rules(本地规则)选项卡在适用于 Exchange ActiveSync 的连接器中本地配置的。支持匹配基于给定的 Active Directory 组内用户的成员身份。支持匹配基于以下字段的正则表达式:

  • ActiveSync Device ID(ActiveSync 设备 ID)
  • ActiveSync Device Type(ActiveSync 设备类型)
  • User Principal Name (UPN)(用户主体名称(UPN))
  • ActiveSync User Agent(ActiveSync 用户代理)(通常为设备平台或电子邮件客户端)

只要完成了主要快照并找到设备,您应能够添加常规或正则表达式规则。如果尚未完成主要快照,则只能添加正则表达式规则。

Citrix Endpoint Management 服务器规则 :Citrix Endpoint Management 服务器规则是对提供托管设备规则的外部 Citrix Endpoint Management 服务器的引用。Citrix Endpoint Management 服务器可以配置自己的高级规则,这些规则根据 Citrix Endpoint Management 已知的属性(例如设备是否越狱或设备是否包含禁用应用程序)来识别允许或阻止的设备。Citrix Endpoint Management 会评估高级规则,生成一组允许或阻止的 ActiveSync 设备 ID,然后将其发送到 XenMobile Mail Manager。

默认访问规则: 默认访问规则是唯一的,它可以潜在匹配每个设备,并且始终是最后一个被评估。该规则是包罗万象的规则,这意味着如果给定设备与本地或 Citrix Endpoint Management 服务器规则不匹配,则该设备的所需访问状态由默认访问规则的所需访问状态决定。

  • 默认访问-允许:将允许 任何与本地或 Citrix Endpoint Management 服务器规则不匹配的设备。
  • 默认访问权限-阻止: 任何不符合本地或 Citrix Endpoint Management 服务器规则的设备都将被阻止。
  • 默认访问权限-未更改: 任何与本地或 Citrix Endpoint Management 服务器规则不匹配的设备的访问状态都不会被 Exchange ActiveSync 连接器以任何方式修改。如果设备已被 Exchange 置于隔离模式,则不会采取任何措施;例如,从隔离模式删除设备的唯一方法是使用显式本地规则或 XDM 规则覆盖隔离。

关于规则评估

对于 Exchange 向适用于 Exchange ActiveSync 的连接器报告的每个设备,将按照优先级从最高到最低的顺序对这些规则进行评估,如下所示:

  • 本地规则
  • Citrix Endpoint Management 服务器规则
  • 默认访问规则

找到匹配项时,评估将停止。例如,如果本地规则与给定设备匹配,则不会根据任何 Citrix Endpoint Management 服务器规则或默认访问规则对该设备进行评估。这同样适用于给定的规则类型。例如,如果本地规则列表中有多条规则与某个给定设备匹配,则遇到第一个匹配项时,评估即停止。

当设备属性发生变化、添加或删除设备或者规则本身发生变化时,适用于 Exchange ActiveSync 的连接器会重新评估当前定义的规则集合。主要快照以可配置的时间间隔选取设备属性更改和删除操作。次要快照以可配置的时间间隔选取新设备。

Exchange ActiveSync 还具有控制访问的规则。了解这些规则在适用于 Exchange ActiveSync 的连接器的上下文中的工作方式至关重要。Exchange 可能通过以下三种级别的规则进行配置:个人免除、设备规则以及组织设置。适用于 Exchange ActiveSync 的连接器通过以编程方式发出远程 PowerShell 请求来自动化访问控制,以影响个人免除列表。这些是与给定邮箱关联的允许和阻止的 Exchange ActiveSync 设备 ID 列表。部署后,适用于 Exchange ActiveSync 的连接器有效地接替了 Exchange 中免除列表的管理功能。请参阅 Microsoft 文章使用 Exchange 和 Configuration Manager 进行设备管理

在为相同的字段定义了多条规则的情况下,分析特别有用。您可以对规则之间的关系进行故障排除。请从规则字段的角度来执行分析;例如,规则是基于匹配的字段(例如 ActiveSync 设备 ID、ActiveSync 设备类型、用户、用户代理等)按组进行分析的。

规则术语

  • 覆盖规则: 当多条规则可以应用于同一设备时会发生覆盖。因为规则是按照列表中的优先级进行评估的,可能会应用的后面的规则实例可能永远不会被评估。
  • 冲突规则: 当多条规则可以应用于同一设备但访问状态(允许/阻止)不匹配时会发生冲突。如果冲突规则不是正则表达式规则,冲突将始终隐式包含覆盖
  • 补充规则: 当多条规则是正则表达式规则,因此可能需要确保两个(或多个)正则表达式可以合并到一条正则表达式规则中或者不是重复功能时,会发生补充。补充规则的访问状态(允许/阻止)可能还会发生冲突。
  • 主要规则: 主要规则是已在对话框内单击的规则。规则通过围绕它的实线框可视化地指示出来。该规则还将具有一个或两个绿色箭头,用来指示向上或向下方向。如果箭头指向上方,该箭头指示辅助规则在主要规则前面。如果箭头指向下方,该箭头指示辅助规则在主要规则后面。只有一个主要规则可以随时处于活动状态。
  • 辅助规则: 辅助规则以某种方式与主要规则相关(通过覆盖、冲突或补充关系)。规则通过围绕它的虚线框可视化地指示出来。对于每条主要规则,可以存在一条和多条辅助规则。单击任何带有下划线的条目时,始终从主要规则的角度突出显示一条或多条辅助规则。例如,辅助规则被主要规则覆盖,或辅助规则的访问状态与主要规则冲突,或辅助规则对主要规则进行补充。

规则类型在“Rule Analysis”(规则分析)对话框中的显示方式

没有冲突、覆盖或补充时,“Rule Analysis”(规则分析)对话框中没有带下划线的条目。单击任何项目都没有效果;例如,出现正常选定项目的视觉效果。

“Rule Analysis”(规则分析)窗口包含一个复选框,选中该复选框时,将仅显示冲突、覆盖、冗余或补充规则。

规则分析

当出现覆盖时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。至少有一条辅助规则以较浅字体显示,指示该规则已被优先级较高的规则覆盖。您可以单击被覆盖的规则以了解覆盖该规则的一条或多条规则。每当被覆盖的规则由于该规则是主要规则或辅助规则而突出显示时,它旁边都会显示一个黑色圆圈,以进一步指示该规则处于不活动状态。例如,在单击该规则之前,对话框显示如下:

Override

单击优先级最高的规则时,对话框显示如下:

“最高优先级规则”对话框

在此示例中,正则表达式规则 WorkMail.* 是主要规则(以实线框指示),常规规则 workmailc633313818 是辅助规则(以虚线框指示)。辅助规则旁边的黑点是一个视觉提示,可进一步指示由于它的前面有较高优先级的正则表达式而处于不活动状态(永远不会被评估)。单击被覆盖的规则后,对话框显示如下:

“覆盖的规则”对话框

在前面的示例中,正则表达式规则 WorkMail.* 是辅助规则(以虚线框指示),常规规则 workmailc633313818 是主要规则(以实线框指示)。对于这一简单的示例,没有太大差异。对于更为复杂的示例,请参阅本主题中后面所述的复杂表达式示例。在定义了许多规则的情景中,单击被覆盖的规则将快速识别已覆盖该规则的一条或多条规则。

当出现冲突时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。发生冲突的规则用红点指示。只有相互冲突的规则才可能定义了两条或多条正则表达式规则。在所有其他冲突情景中,不仅将有冲突,而且还会发生覆盖。在简单的示例中单击任一规则之前,对话框显示如下:

规则分析

检查这两条正则表达式规则即可明显发现,第一条规则允许设备 ID 包含 Appl 的所有设备,第二条规则拒绝设备 ID 包含 Appl 的所有设备。此外,即使第二条规则拒绝了设备 ID 包含 Appl 的所有设备,也不会拒绝符合条件的设备,因为允许规则的优先级较高。单击第一条规则后,对话框显示如下:

规则分析

在上述情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提示您已将多条正则表达式规则应用到单个匹配字段,这可能意味着会出现冗余问题或更严重的问题。

在同时存在冲突和覆盖的情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提示您已将多条正则表达式规则应用到单个匹配字段,这可能意味着会出现冗余问题或更严重的问题。

冲突和覆盖场景

在前面的示例中,显而易见,第一条规则(正则表达式规则 SAMSUNG.*)不仅覆盖下一条规则(常规规则 SAMSUNG-SM-G900A/101.40402),而且这两条规则的访问状态有所不同(主要规则指定“允许”,辅助规则指定“阻止”)。第二条规则(常规规则 SAMSUNG-SM-G900A/101.40402)以较浅文本显示,指示该规则已被覆盖,并因此处于不活动状态。

单击正则表达式规则后,对话框显示如下:

“正则表达式规则”对话框

主要规则(正则表达式规则 SAMSUNG.*)后跟一个红点,指示其访问状态与一条或多条辅助规则发生冲突。辅助规则(常规规则 SAMSUNG-SM-G900A/101.40402)后跟一个红点,指示其访问状态与主要规则发生冲突。此外,该规则还后跟黑点,指示其已被覆盖,并因此处于不活动状态。

至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。仅相互补充的规则将只涉及正则表达式规则。当规则相互补充时,将以黄色叠加表示。在简单的示例中单击任一规则之前,对话框显示如下:

补充规则

目视检查很容易发现这两条规则都是正则表达式规则,它们都应用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器中的 ActiveSync 设备 ID 字段。单击第一条规则后,对话框显示如下:

规则分析

主要规则(正则表达式规则 WorkMail.*)以黄色叠加突出显示,指示至少存在另外一个是正则表达式的辅助规则。辅助规则(正则表达式规则 SAMSUNG.*)以黄色叠加突出显示,指示辅助规则与主要规则都是要应用于适用于 Exchange ActiveSync 的连接器内同一字段的正则表达式规则。在此示例中,该字段为 ActiveSync 设备 ID。这些正则表达式可能叠加,也可能不叠加。是否正确制作正则表达式由您来决定。

复杂表达式示例

许多潜在的覆盖、冲突或补充都可能会发生,使其不可能举例说明所有可能的情景。以下示例探讨了不会执行的操作,同时还阐明了规则分析视觉构建的强大功能。大多数项目在下图中加了下划线。许多项目以较浅的字体显示,指示存在问题的规则已被优先级较高的规则以某种方式覆盖。列表中还包含许多正则表达式规则,如 图标图标 所示。

邮件管理器控制台

如何分析覆盖

要查看覆盖了特定规则的一条或多条规则,您可以单击该规则。

示例 1: 此示例调查了覆盖 zentrain01@zenprise.com 的原因。

访问规则

主要规则(AD-Group 规则 zenprise/TRAINING/ZenTraining Bzentrain01@zenprise.com 是其中的一个成员)具有以下特性:

  • 以蓝色突出显示并且具有实线框。
  • 具有一个指向上方的绿色箭头(指示一条或多条辅助规则都能够在该箭头上方找到)。
  • 后跟一个红色圆圈和一个黑色圆圈,分别指示一条或多条辅助规则与其访问状态存在冲突,并且主要规则已被覆盖且因此处于不活动状态。

向上滚动时,您会看到以下内容:

规则分析

在此示例中,有两条辅助规则覆盖主要规则:正则表达式规则 zen.* 和常规规则 zentrain01@zenprise.com(属于 zenprise/TRAINING/ZenTraining A)。对于后一条辅助规则,出现了以下情况:Active Directory 组规则 ZenTraining A 包含用户 zentrain01@zenprise.com,Active Directory 组规则 ZenTraining B 也包含用户 zentrain01@zenprise.com。但是,由于辅助规则的优先级高于主要规则,因此主要规则被覆盖。主要规则的访问状态是“允许”,并且由于这两条辅助规则的访问状态都是“阻止”,因此,后跟一个红色圆圈以进一步指示访问冲突。

示例 2: 此示例显示了覆盖 ActiveSync 设备 ID 为 069026593E0C4AEAB8DE7DD589ACED33 的设备的原因:

覆盖的规则

主要规则(常规设备 ID 规则 069026593E0C4AEAB8DE7DD589ACED33)具有以下特性:

  • 以蓝色突出显示并且具有实线框。
  • 具有一个指向上方的绿色箭头(指示辅助规则能够在该箭头上方找到)。
  • 后跟一个黑色圆圈,指示辅助规则已覆盖主要规则,并因此处于非活动状态。

辅助规则

在此示例中,一条辅助规则覆盖主要规则:正则表达式 ActiveSync 设备 ID 规则 3E.*。由于正则表达式 3E.* 将会与 069026593E0C4AEAB8DE7DD589ACED33 匹配,因此,主要规则永远不会被评估。

如何分析补充和冲突

在此示例中,主要规则是正则表达式 ActiveSync 设备类型规则 touch.*。特性如下:

  • 以实线框指示,并使用黄色叠加作为警告,提示正在针对特定规则字段运行多条正则表达式规则,在这种情况下为 ActiveSync 设备类型。
  • 两个箭头分别指向上方和下方,指示至少存在一条具有较高优先级的辅助规则以及至少存在一条具有较低优先级的辅助规则。
  • 它旁边的红色圆圈表示至少有一个辅助规则的访问权限设置为“允许”,这与主规则对 Block的访问权限冲突
  • 存在两条辅助规则,即正则表达式 ActiveSync 设备类型规则 SAM.* 和正则表达式 ActiveSync 设备类型规则 Andro.*
  • 这两条辅助规则都加了虚线框,指示其属于辅助规则。
  • 这两条辅助规则都以黄色叠加,指示其也应用于 ActiveSync 设备类型的规则字段。
  • 在此类情景中,您应确保其正则表达式规则不冗余。

规则场景

如何进一步分析规则

本示例探讨了规则关系如何始终从主要规则的角度建立。前面的示例显示了单击应用于设备类型值为 touch.* 的规则字段的正则表达式规则的情况。单击辅助规则 Andro.* 将显示一组不同的突出显示的辅助规则。

规则分析

此示例显示了规则关系中包含的覆盖规则。此规则是常规 ActiveSync 设备类型规则 Android,已被覆盖(通过浅色字体和旁边的黑色圆圈指示),并且其访问状态还与主要规则正则表达式 ActiveSync 设备类型规则 Andro.* 发生冲突。在单击该规则之前,该规则是辅助规则。在前面的示例中,常规 ActiveSync 设备类型规则 Android 未显示为辅助规则,因为从主要规则(正则表达式 ActiveSync 设备类型规则 touch.*)的角度来看,该规则与主要规则不相关。

配置常规表达式本地规则

  1. 单击 Access Rules(访问规则)选项卡。

    “访问规则”选项卡

  2. Device ID(设备 ID)列表中,选择要为其创建本地规则的字段。

  3. 单击放大镜图标显示所选字段的所有唯一匹配项。在此示例中,已选择 Device Type(设备类型)字段,并且选项显示在下面的列表框中。

    唯一匹配

  4. 在结果列表框中单击其中一个项目,然后单击以下选项之一:

    • Allow(允许)表示 Exchange 将配置为允许所有匹配设备的 ActiveSync 流量。
    • Deny(拒绝)表示 Exchange 将配置为拒绝所有匹配设备的 ActiveSync 流量。

    在此示例中,将拒绝访问设备类型为 SamsungSPhl720 的所有设备。

    Samsung 示例

添加正则表达式

正则表达式局部规则可以通过出现在它们旁边的图标来区分-一 个图标。要添加正则表达式规则,您可以通过给定字段的结果列表中的现有值来构建正则表达式规则(只要已完成主要快照),或只需键入您想要的正则表达式。

从现有字段值构建正则表达式

  1. 单击 Access Rules(访问规则)选项卡。

    “访问规则”选项卡

  2. Device ID(设备 ID)列表中,选择要为其创建正则表达式本地规则的字段。

  3. 单击放大镜图标显示所选字段的所有唯一匹配项。在此示例中,已选择 Device Type(设备类型)字段,并且选项显示在下面的列表框中。

    设备类型选项

  4. 单击结果列表中的其中一个项目。在此示例中,已选择 SAMSUNGSPHL720,并显示在 Device Type(设备类型)旁边的文本框中。

    规则分析

  5. 要允许设备类型值中包含“Samsung”的所有设备类型,请按照以下步骤添加正则表达式规则:

    a。 在所选项目文本框中单击。

    b. 将文本从 SAMSUNGSPHL720 更改为 SAMSUNG.*

    c. 确保选中正则表达式复选框。

    d. 单击允许

    允许消息

构建访问规则

  1. 单击 Local Rules(本地规则)选项卡。
  2. 要输入正则表达式,需要使用“Device ID”(设备 ID)列表和所选项目文本框。

    访问规则

  3. 选择要匹配的字段。此示例使用 设备类型
  4. 键入正则表达式。此示例使用 samsung.*
  5. 确保选中“regular expression”(正则表达式)复选框,然后单击 Allow(允许)或 Deny(拒绝)。在此示例中,选择的是 Allow(允许)。最终结果如下所示:

    访问规则

查找设备

通过选中“regular expression”(正则表达式)复选框,可以针对与给定表达式匹配的特定设备运行搜索。此功能仅在成功完成主要快照时可用。即使没有计划使用正则表达式规则,您也可以使用此功能。例如,假定您要查找 ActiveSync 设备 ID 中包含文本 workmail 的所有设备。为此,请执行以下过程。

  1. 单击 Access Rules(访问规则)选项卡。
  2. 确保设备匹配字段选择器设置为“Device ID”(设备 ID)(默认值)。

    访问规则

  3. 在所选项目文本框(上图中以蓝色显示的框)内单击,然后键入 workmail.*
  4. 确保选中“regular expression”(正则表达式)复选框,然后单击放大镜图标显示匹配项,如下图所示。

    正则表达式复选框

将单个用户、设备或设备类型添加到静态规则

可以基于 ActiveSync 设备选项卡上的用户、设备 ID 或设备类型添加静态规则。

  1. 单击 ActiveSync Devices(ActiveSync 设备)选项卡。

  2. 在列表中,右键单击用户、设备或设备类型,然后选择是允许所选内容还是拒绝所选内容。

    下图显示了选定 user1 时的“允许”/“拒绝”选项。

    “允许-拒绝”选项

设备监视

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接 器中的“监视”选项卡允许您浏览已检测到的 Exchange ActiveSync 和 BlackBerry 设备以及自动发出 PowerShell 命令的历史记录。Monitor(监视)选项卡有以下三个选项卡:

  • ActiveSync 设备:
    • 您可以通过单击 Export(导出)按钮导出显示的 ActiveSync 设备合作关系。
    • 您可以通过右键单击 User(用户)、Device ID(设备 ID)或 Type(类型)列并选择适当的允许或阻止规则类型来添加本地(静态)规则。
    • 要折叠展开的行,请按住 Ctrl 键并单击该展开的行。
  • Blackberry Devices(黑莓设备)
  • Automation History(自动化历史记录)

Configure(配置)选项卡显示所有快照的历史记录。快照历史记录显示快照发生的时间、发生了多久、检测到多少设备以及出现的任何错误。

  • Exchange 选项卡中,单击所需 Exchange Server 的信息图标。

故障排除和诊断

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器将错误和其他操作信息记录到其日志文件中:安装文件夹\ log\ XmmWindowsService.log。适用于 Exchange ActiveSync 的连接器还会将重要事件记录到 Windows 事件日志中。

更改日志记录级别

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器包括以下日志记录级别:错误、信息、警告、调试和跟踪。

注意:

每个连续级别将生成更多详细信息(更多数据)。例如,错误级别提供最少的详细信息,而跟踪级别提供最多的详细信息。

要更改日志记录级别,请执行以下操作:

  1. C:\Program Files\Citrix\Citrix Citrix Endpoint Management 连接器中,打开 nlog.config 文件。
  2. <rules> 部分中,更改您更倾向于使用的日志记录级别的 minilevel 参数。例如:

        <rules >
    
        <logger name="*" writeTo="file" minlevel="Debug" />
    
        </rules>
    <!--NeedCopy-->
    
  3. 保存该文件。

    所做的更改将立即生效。您不需要重新启动适用于 Exchange ActiveSync 的连接器。

常见错误

以下列表包括常见错误:

  • 适用于 Exchange ActiveSync 的连接器服务未启动

    检查日志文件和 Windows 事件日志中的错误。包括以下典型原因:

    • 适用于 Exchange ActiveSync 的连接器服务无法访问 SQL Server。以下这些问题可能导致此情况:

      • SQL Server 服务不在运行。
      • 身份验证失败。

      如果已配置“Windows Integrated”(Windows 集成)身份验证,必须允许适用于 Exchange ActiveSync 的连接器服务的用户帐户进行 SQL 登录。适用于 Exchange ActiveSync 的连接器服务的帐户默认为“Local System”(本地系统),但是可能会更改为任何具有本地管理员权限的帐户。如果已配置 SQL 身份验证,必须在 SQL 中正确配置 SQL 登录。

故障排除工具

Support\PowerShell 文件夹中提供了一组用于故障排除的 PowerShell 实用程序。

故障排除工具将对用户的邮箱和设备执行深度分析(从而检测错误条件和潜在的故障区域)并对用户执行深度 RBAC 分析。该工具可以将所有 cmdlet 的原始输出保存到一个文本文件。