Product Documentation

访问控制规则

Feb 27, 2017
XenMobile Mail Manager 提供了一种基于规则的方法,为 Exchange ActiveSync 设备动态配置访问控制。XenMobile Mail Manager 访问控制规则由两部分组成,即一个匹配的表达式和一个所需的访问状态(“允许”或“阻止”)。规则可能会针对给定的 Exchange ActiveSync 设备进行评估,以确定该规则是否适用于该设备或是否与该设备匹配。有多种匹配的表达式;例如,一条规则可能与给定“设备类型”(或特定 Exchange ActiveSync 设备 ID)的所有设备或者特定用户的所有设备等匹配。

在规则列表中添加、删除和重新排列规则期间,任何时候单击取消按钮都会将规则列表还原回首次打开时的状态。除非单击保存,否则关闭配置工具时将丢失您对此窗口所做的任何更改。

XenMobile Mail Manager 有三种类型的规则,即本地规则、XenMobile 服务器规则(也称为 XDM 规则)和默认访问规则。

本地规则。本地规则具有最高优先级:如果设备与本地规则匹配,规则评估将停止。既不查询 XenMobile 服务器规则又不查询默认访问规则。本地规则是通过 Configure(配置)> Access Rules(访问规则)> Local Rules(本地规则)选项卡在 XenMobile Mail Manager 本地配置的。支持匹配基于给定的 Active Directory 组内用户的成员身份。支持匹配基于以下字段的正则表达式:

  • Active Sync Device ID(Active Sync 设备 ID)
  • ActiveSync Device Type(ActiveSync 设备类型)
  • User Principal Name (UPN)(用户主体名称(UPN))
  • ActiveSync User Agent(ActiveSync 用户代理)(通常为设备平台或电子邮件客户端)

只要完成了主要快照并找到设备,您应能够添加常规或正则表达式规则。如果尚未完成主要快照,则只能添加正则表达式规则。

XenMobile 服务器规则。XenMobile 服务器规则是对提供托管设备相关规则的外部 XenMobile 服务器的引用。XenMobile 服务器可通过自身的高级规则进行配置,这些规则可标识要基于 XenMobile 已知属性允许或阻止的设备(例如设备是否越狱或设备是否包含禁用的应用程序)。XenMobile 评估高级规则并生成一组允许或阻止的 ActiveSync 设备 ID,然后将其传递到 XenMobile Mail Manager。

默认访问规则默认访问规则是唯一的,它可以潜在匹配每个设备,并且始终是最后一个被评估。此规则是一条笼统的规则,这意味着如果给定的设备与本地规则或 XenMoble 服务器规则不匹配,该设备的所需访问状态将由默认访问规则的所需访问状态决定。

  • Default Access – Allow(默认访问 - 允许)。允许与本地规则或 XenMoble 服务器规则不匹配的任何设备。
  • Default Access – Block(默认访问 - 阻止)。阻止与本地规则或 XenMoble 服务器规则不匹配的任何设备。
  • Default Access - Unchanged(默认访问 - 未更改)。与本地规则或 XenMoble 服务器规则不匹配的任何设备将不会由 XenMobile Mail Manager 以任何方式修改其访问状态。如果设备已被 Exchange 置于隔离模式,则不会采取任何措施;例如,从隔离模式删除设备的唯一方法是使用显式本地规则或 XDM 规则覆盖隔离。

关于规则评估

对于 Exchange 向 XenMobile Mail Manager 报告的每个设备,将按照优先级从最高到最低的顺序对这些规则进行评估,如下所示:

  • 本地规则
  • XenMobile 服务器规则
  • 默认访问规则

找到匹配项时,评估将停止。例如,如果本地规则与给定设备匹配,则不会根据任意 XenMobile 服务器规则或默认访问规则对该设备进行评估。这同样适用于给定的规则类型。例如,如果在本地规则列表中的某个给定设备有多个匹配项,则只要遇到第一个匹配项,评估即停止。

当设备属性发生变化、添加或删除设备或者规则本身发生变化时,XenMobile Mail Manager 会重新评估当前定义的规则集合。主要快照以可配置的时间间隔选取设备属性更改和删除操作。次要快照以可配置的时间间隔选取新设备。

Exchange ActiveSync 还具有控制访问的规则。了解这些规则如何在 XenMobile Mail Manager 环境下运行非常重要。Exchange 可能通过以下三种级别的规则进行配置:个人免除、设备规则以及组织设置。XenMobile Mail Manager 通过以编程方式发出远程 PowerShell 请求来自动化访问控制,以影响个人免除列表。这些是与给定邮箱关联的允许和阻止的 Exchange ActiveSync 设备 ID 列表。部署后,XenMobile Mail Manager 有效地接替了 Exchange 中的免除列表的管理。有关详细信息,请参阅此 Microsoft 文章

在为相同的字段定义了多条规则的情况下,分析特别有用。您可以对规则之间的关系进行故障排除。请从规则字段的角度来执行分析;例如,规则是在组中基于匹配的字段进行分析的(例如 ActiveSync 设备 ID、ActiveSync 设备类型、用户、用户代理等)。

规则术语:

  • 覆盖规则。当多条规则可以应用到同一设备时会发生覆盖。因为规则是按照列表中的优先级进行评估的,可能会应用的后面的规则实例可能永远不会被评估。
  • 冲突规则。当多条规则可以应用到同一设备但访问状态(允许/阻止)不匹配时会发生冲突。如果冲突规则不是正则表达式规则,冲突将始终隐式包含覆盖
  • 补充规则。当多条规则是正则表达式规则时会发生补充,因此可能需要确保两个(或多个)正则表达式可以合并为一个正则表达式,或者不复制功能。补充规则的访问状态(允许/阻止)可能还会发生冲突。
  • 主要规则。主要规则是已在对话框内单击的规则。规则通过围绕它的实线框可视化地指示出来。该规则还将具有一个或两个绿色箭头,用来指示向上或向下方向。如果箭头指向上方,该箭头指示辅助规则在主要规则前面。如果箭头指向下方,该箭头指示辅助规则在主要规则后面。只有一个主要规则可以随时处于活动状态。
  • 辅助规则。辅助规则以某种方式与主要规则相关(通过覆盖、冲突或补充关系)。规则通过围绕它的虚线框可视化地指示出来。对于每条主要规则,可以一条主要规则对应多条辅助规则。单击任何带有下划线的条目时,始终从主要规则的角度突出显示一条或多条辅助规则。例如,辅助规则将被主要规则覆盖,和/或辅助规则的访问状态将与主要规则冲突,和/或辅助规则将对主要规则进行补充。

“Rule Analysis”(规则分析)对话框中规则类型的界面外观

当没有冲突、覆盖或补充时,Rule Analysis (规则分析)对话框中不包含带有下划线的条目。单击任何没有影响的项目;例如,正常选定项目的视觉效果将会出现。

“Rule Analysis”(规则分析)窗口包含一个复选框,选中该复选框时,将仅显示冲突、替代、冗余或增补规则。

当出现覆盖时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。至少有一条辅助规则将以较浅字体显示,指示该规则已被优先级较高的规则覆盖。您可以单击覆盖的规则以了解覆盖该规则的一条或多条规则。任何时间覆盖的规则都由于规则是主要规则或辅助规则而突出显示,并且将在它旁边将显示一个黑色圆圈,以进一步指示该规则处于不活动状态。例如,在单击该规则之前,对话框显示如下:

单击优先级最高的规则时,对话框显示如下:



在此示例中,正则表达式规则 WorkMail.* 是主要规则(以实线框指示),常规规则 workmailc633313818 是辅助规则(以虚线框指示)。辅助规则旁边的黑点是一个视觉提示,可进一步指示由于它的前面有较高优先级的正则表达式而处于不活动状态(永远不会被评估)。单击覆盖的规则后,对话框显示如下:


在上例中,正则表达式规则 WorkMail.* 是辅助规则(以虚线框指示),常规规则 workmailc633313818 是主要规则(以实线框指示)。对于这一简单的示例,没有太大差异。对于更为复杂的示例,请参阅本主题中后面所述的复杂表达式示例。在定义了许多规则的情景中,单击覆盖的规则将快速识别已覆盖该规则的一条或多条规则。

当出现冲突时,至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。发生冲突的规则用红点指示。只有相互冲突的规则才可能定义了两条或多条正则表达式规则。在所有其他冲突情景中,不仅将有冲突,而且还会发生覆盖。在简单的示例中单击任一规则之前,对话框显示如下:


检查这两条正则表达式规则即可明显发现,第一条规则允许设备 ID 包含“App”的所有设备,第二条规则拒绝设备 ID 包含 Appl 的所有设备。此外,即使第二条规则拒绝了设备 ID 包含 Appl 的所有设备,也不会拒绝符合条件的设备,因为允许规则的优先级较高。单击第一条规则后,对话框显示如下:


在上述情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提示您已将多条正则表达式规则应用到单个匹配字段,这可能意味着会出现冗余问题或更严重的问题。

在同时存在冲突和覆盖的情景中,主要规则(正则表达式规则 App.*)和辅助规则(正则表达式规则 Appl.*)均以黄色突出显示。这只是一个视觉警告,提示您已将多条正则表达式规则应用到单个匹配字段,这可能意味着会出现冗余问题或更严重的问题。


在上例中,显而易见,第一条规则(正则表达式规则 SAMSUNG.*)不仅覆盖下一条规则(常规规则 SAMSUNG-SM-G900A/101.40402),而且这两条规则的访问状态有所不同(主要规则指定“允许”,辅助规则指定“阻止”)。第二条规则(常规规则 SAMSUNG-SM-G900A/101.40402)以较浅文本显示,指示该规则已被覆盖,并因此处于不活动状态。

单击正则表达式规则后,对话框显示如下:


主要规则(正则表达式规则 SAMSUNG.*)后跟一个红点,指示其访问状态与一条或多条辅助规则发生冲突。辅助规则(常规规则 SAMSUNG-SM-G900A/101.40402)后跟一个红点,指示其访问状态与主要规则发生冲突,以及如果后跟黑点,则进一步指示该规则已被覆盖,并因此处于不活动状态。

至少有两条规则将加下划线,即主要规则以及一条或多条辅助规则。仅相互补充的规则将只涉及正则表达式规则。当规则相互补充时,将以黄色叠加表示。单击简单示例中的任一规则之前,对话框显示如下:


目测会很容易发现这两条规则都是正则表达式规则,都已应用到 XenMobile Mail Manager 中的 ActiveSync 设备 ID 字段。单击第一条规则后,对话框显示如下:


主要规则(正则表达式规则 WorkMail.*)以黄色叠加突出显示,指示至少存在一个是正则表达式的其他辅助规则。辅助规则(正则表达式规则 SAMSUNG.*)以黄色叠加突出显示,指示辅助规则与主要规则都是要应用到 XenMobile Mail Manager 内同一字段的正则表达式规则;在此情况下,该字段为 ActiveSync 设备 ID 字段。这些正则表达式可能叠加,也可能不叠加。是否正确制作正则表达式由您来决定。

复杂表达式示例

许多潜在的覆盖、冲突或补充都可能会发生,使其不可能举例说明所有可能的情景。下例探讨了不会执行的操作,同时还阐明了规则分析视觉构建的强大功能。大多数项目在下图中加了下划线。许多项目以较浅的字体显示,指示存在问题的规则已被优先级较高的规则以某种方式覆盖。多条正则表达式规则也包括在列表中,由 图标指示。


如何分析覆盖

要查看覆盖了特定规则的一条或多条规则,您可以单击该规则。

示例 1:此示例调查了覆盖 zentrain01@zenprise.com 的原因。


主要规则(AD-Group 规则 zenprise/TRAINING/ZenTraining B,zentrain01@zenprise.com 是其中的一个成员)具有以下特性:

  • 以蓝色突出显示并且具有实线框。
  • 具有一个指向上方的绿色箭头(指示一条或多条辅助规则都能够在该箭头上方找到)。
  • 后跟一个红色圆圈和一个黑色圆圈,分别指示一条或多条辅助规则与其访问状态存在冲突,并且主要规则已被覆盖且因此处于不活动状态。

向上滚动时,您会看到以下内容:


在这种情况下,有两条辅助规则覆盖主要规则:正则表达式规则 zen.* 和常规规则 zentrain01@zenprise.com(属于 zenprise/TRAINING/ZenTraining A)。对于后一条辅助规则,出现了以下情况:Active Directory 组规则 ZenTraining A 包含用户 zentrain01@zenprise.com,Active Directory 组规则 ZenTraining B 也包含用户 zentrain01@zenprise.com。但是,由于辅助规则的优先级高于主要规则,因此主要规则被覆盖。主要规则的访问状态是“允许”,并且由于这两条辅助规则的访问状态都是“阻止”,因此,后跟一个红色圆圈以进一步指示访问冲突。

示例 2:此示例显示了覆盖 ActiveSync 设备 ID 为 069026593E0C4AEAB8DE7DD589ACED33 的设备的原因:


主要规则(常规设备 ID 规则 069026593E0C4AEAB8DE7DD589ACED33)具有以下特性:

  • 以蓝色突出显示并且具有实线框。
  • 具有一个指向上方的绿色箭头(指示辅助规则能够在该箭头上方找到)。
  • 后跟一个黑色圆圈,指示辅助规则已覆盖主要规则,并因此处于非活动状态。


在这种情况下:一条辅助规则将覆盖主要规则:正则表达式 ActiveSynce 设备 ID 规则 3E.*。由于正则表达式 3E.* 将与 069026593E0C4AEAB8DE7DD589ACED33 匹配,因此,主要规则永远不会被评估。

如何分析补充和冲突

在这种情况下,主要规则是正则表达式 ActiveSync 设备类型规则 touch.*。特性如下:

  • 以实线框指示,并使用黄色叠加作为警告,提示正在针对特定规则字段运行多条正则表达式规则,在这种情况下为 ActiveSync 设备类型。
  • 两个箭头分别指向上方和下方,指示至少存在一条具有较高优先级的辅助规则以及至少存在一条具有较低优先级的辅助规则。
  • 箭头旁边的红色圆圈指示至少一条辅助规则的访问状态设置为“允许”,与主要规则的访问状态“阻止”相冲突
  • 存在两条辅助规则,即正则表达式 ActiveSync 设备类型规则 SAM.* 和正则表达式 ActiveSync 设备类型规则 Andro.*
  • 这两条辅助规则都加了虚线框,指示其属于辅助规则。
  • 这两条辅助规则都以黄色叠加,指示其是对 ActiveSync 设备类型的规则字段的补充应用。
  • 在此类情景中,您应确保其正则表达式规则不冗余。


如何进一步分析规则

本示例探讨了规则关系如何始终从主要规则的角度建立。上例显示了如何单击应用到设备类型值为 touch.* 的规则字段的正则表达式规则。单击辅助规则 Andro.* 将显示一组不同的辅助规则已突出显示。


此示例显示了规则关系中包含的覆盖规则。此规则是常规 ActiveSync 设备类型规则 Android,已被覆盖(通过旁边的浅色字体和黑色圆圈指示)并且其访问状态还与主要规则正则表达式 ActiveSync 设备类型规则 Andro.* 发生冲突;在单击该规则之前,该规则是辅助规则。在上例中,常规 ActiveSync 设备类型规则 Android 未显示为辅助规则,因为从主要规则(正则表达式 ActiveSync 设备类型规则 touch.*)的角度来看,该规则与主要规则不相关。

配置常规表达式本地规则

  1. 单击 Access Rules(访问规则)选项卡。

  2. 设备 ID 列表中,选择要为其创建本地规则的字段。
  3. 单击放大镜图标显示所选字段的所有唯一匹配项。在此示例中,已选择设备类型字段,选项显示在下面的列表框中。

  4. 在结果列表框中单击其中一个项目,然后单击以下选项之一:
    • 允许表示 Exchange 将配置为允许所有匹配设备的 ActiveSync 流量。
    • 拒绝表示 Exchange 将配置为拒绝所有匹配设备的 ActiveSync 流量。

    在此示例中,设备类型为 TouchDown 的所有设备将被拒绝访问。

添加正则表达式

正则表达式本地规则可通过其旁边显示的图标进行区分 - 。要添加正则表达式规则,您可以通过给定字段的结果列表中的现有值来构建正则表达式规则(只要已完成主要快照),或只需键入您想要的正则表达式。

从现有字段值构建正则表达式

  1. 单击 Access Rules(访问规则)选项卡。

  2. 设备 ID 列表中,选择要为其创建正则表达式本地规则的字段。
  3. 单击放大镜图标显示所选字段的所有唯一匹配项。在此示例中,已选择设备类型字段,选项显示在下面的列表框中。

  4. 单击结果列表中的其中一个项目。在此示例中,已选择 SAMSUNGSPHL720,并显示在设备类型旁边的文本框中。

  5. 要允许设备类型值中包含“Samsung”的所有设备,请按照以下步骤添加正则表达式规则:
    1. 在所选项目文本框内单击。
    2. 将文本从 SAMSUNGSPHL720 更改为 SAMSUNG.*
    3. 确保选中正则表达式复选框。
    4. 单击允许


构建访问规则

  1. 单击 Local Rules(本地规则)选项卡。
  2. 要输入正则表达式,需要使用“设备 ID”列表和所选项目文本框。

  3. 选择要匹配的字段。此示例使用设备类型
  4. 键入正则表达式。此示例使用 samsung.*
  5. 确保选中正则表达式复选框,然后单击允许拒绝。在此示例中,选择的是允许,因此最终结果如下所示:

查找设备

通过选中正则表达式复选框,可以针对与给定表达式匹配的特定设备运行搜索。此功能仅在成功完成主要快照时可用。即使没有计划使用正则表达式规则,您也可以使用此功能。例如,假定您要查找 ActiveSync 设备 ID 中包含文本“workmail”的所有设备。为此,请执行以下过程。

  1. 单击 Access Rules(访问规则)选项卡。
  2. 确保设备匹配字段选择器设置为设备 ID(默认)。

  3. 在所选项目文本框(上图中以蓝色显示的框)中单击,然后键入 workmail.*。
  4. 确保选中正则表达式复选框,然后单击放大镜图标显示匹配项,如下图所示。

将单个用户、设备或设备类型添加到静态规则

可以基于 ActiveSync 设备选项卡上的用户、设备 ID 或设备类型添加静态规则。
  1. 单击 ActiveSync 设备选项卡。
  2. 在列表中,右键单击用户、设备或设备类型,然后选择是允许所选内容还是拒绝所选内容。

    下图显示了选定 user1 时的“允许”/“拒绝”选项。