Citrix Endpoint Management-Connector für Exchange ActiveSync

XenMobile Mail Manager ist jetzt ein Citrix Endpoint Management-Connector für Exchange ActiveSync. Details zum einheitlichen Citrix Portfolio finden Sie im Citrix Produktleitfaden.

• Der Connector erweitert die Funktionen von Citrix Endpoint Management auf folgende Weise:

• Dynamische Zugriffssteuerung für Exchange ActiveSync (EAS)-Geräte. EAS-Geräte können automatisch für den Zugriff auf Exchange-Dienste zugelassen oder blockiert werden.
• Die Möglichkeit für Citrix Endpoint Management, auf von Exchange bereitgestellte EAS-Gerätepartnerschaftsinformationen zuzugreifen.
• Die Möglichkeit für Citrix Endpoint Management, ein mobiles Gerät basierend auf dem EAS-Status zurückzusetzen (Wipe).
• Die Möglichkeit für Citrix Endpoint Management, auf Informationen über Blackberry-Geräte zuzugreifen und Steuerungsoperationen wie Zurücksetzen (Wipe) und Kennwort zurücksetzen (ResetPassword) durchzuführen.

Um ein Gerät basierend auf dem EAS-Status zurückzusetzen, konfigurieren Sie eine automatisierte Aktion mit einem ActiveSync-Trigger. Siehe Automatisierte Aktionen.

• Wichtig:

• Ab Oktober 2022 unterstützen die Citrix Endpoint Management- und NetScaler Gateway-Konnektoren für Exchange ActiveSync Exchange Online aufgrund der von Microsoft hier angekündigten Authentifizierungsänderungen nicht mehr. Der Citrix Endpoint Management-Connector für Exchange funktioniert weiterhin mit Microsoft Exchange Server (On-Premises).

• Neuerungen in Version 10.1.10

Die folgenden Probleme wurden in Version 10.1.10 behoben:

• Kunden, die häufig Netzwerkprobleme haben, können einen Snapshot möglicherweise nicht innerhalb der zuvor bereitgestellten drei Versuche abschließen. Mit dieser Version kann ein Administrator die maximale Anzahl von Versuchen (1-10) konfigurieren. Diese Korrektur ermöglicht es, dass ein Snapshot mehrere Kommunikationsunterbrechungen erleidet, ohne den Snapshot-Prozess vollständig abzubrechen. [CXM-70837]
• 
• In früheren Versionen wurde der Snapshot-Typ nicht in der Liste der Exchange-Konfigurationen angezeigt. Jetzt wird der Snapshot-Typ angezeigt. [CXM-70846]
• Die von PowerShell gemeldete PSRemotingTransport-Ausnahme weist darauf hin, dass die Sitzung zu Exchange nicht mehr funktionsfähig ist. Der Status wird standardmäßig der Liste der kritischen Fehler in der Konfigurationsdatei hinzugefügt. Dadurch wird, wenn die PSRemotingTransportException erkannt wird, die Verbindung als fehlerhaft markiert, um später entsorgt zu werden. Die nächste Kommunikation verwendet eine gültige Verbindung oder erstellt eine Verbindung. [XMHELP-2184, CXM-70836]
• Wenn eine Konfigurationsänderung gespeichert wird, ist es möglich, dass nicht alle zuvor konfigurierten internen Komponenten ordnungsgemäß entsorgt wurden, bevor die neue Konfiguration geladen wurde. Dieses Problem kann zu unvorhersehbarem Verhalten führen. Das Verhalten hängt von der spezifischen Änderung ab und davon, ob die Änderung mit der vorherigen Konfiguration in Konflikt stand. In dieser Version werden alle internen Komponenten entsorgt, bevor die neue Konfiguration geladen wird. [XMHELP-2259, CXM-71388]

Neuerungen in Version 10.1.9

• Die folgenden Probleme wurden in Version 10.1.9 behoben:

• Konfigurationsänderungen werden jetzt konsistenter gehandhabt. Wenn der Dienst eine Konfigurationsänderung erkennt, wird jedes interne Subsystem gestoppt, was bedeutet, dass jede aktive oder geplante Verarbeitung unterbrochen wird. Als Nächstes wird die neue Konfiguration geladen und die Subsysteme werden erneut gestartet, was bedeutet, dass alle Zeitpläne und andere interne Infrastruktur mit den neuen Einstellungen wiederhergestellt werden. Dieses Problem behebt ein bekanntes Problem in Version 10.1.8. [CXM-47709, CXM-61330]
• Während eines Upgrades wurde die vorhandene Datenbankkonfiguration nicht in die neue Konfigurationsdatei zusammengeführt. Die Datenbankkonfiguration wird jetzt in die aktualisierte Konfigurationsdatei zusammengeführt. [CXM-49326]
• In den Snapshot-bezogenen Diagnosedateien fehlten die Spaltenüberschriften. Die Überschriften wurden wiederhergestellt. [CXM-62680]
• Beim Upgrade von einer früheren Version wurde der Standardabschnitt der Konfigurationsdatei durch den analogen Abschnitt der verwendeten Konfigurationsdatei überschrieben. Dieses Problem verhinderte, dass Ergänzungen oder Verbesserungen des Standardabschnitts nach dem Upgrade vom Dienst geladen wurden. Ab dieser Version spiegelt der Standardabschnitt immer die neueste Konfiguration wider. [CXM-62681]

• Administratoren können bestimmte Optionen nicht mehr durch Drücken der Umschalttaste aufrufen, wenn die Anwendung ausgeführt wird. Diese Optionen waren zuvor mit Citrix®-Berechtigung verfügbar. Einige Optionen sind jetzt vollständig verfügbar, wie z. B. “Allow Redirection”, und andere, wie z. B. “Hang Detection” und “Count Correction”, sind veraltet. [CXM-62767]

• 

Neuerungen in früheren Versionen

• Der folgende Abschnitt listet die neuen Funktionen und behobenen Probleme in früheren Versionen des Citrix Endpoint Management-Connectors für Exchange ActiveSync auf.

• Neuerungen in Version 10.1.8

• Es ist möglich, dass Exchange den Citrix Endpoint Management-Connector für den Exchange ActiveSync-Dienst drosselt, wenn zu häufig Befehle ausgegeben werden. Dieses Problem ist bei Verbindungen zu Office 365 üblich. Die Drosselung erfordert, dass der Dienst für einen bestimmten Zeitraum pausiert, bevor der nächste Befehl gesendet wird. Die Konsole “Configure” zeigt nun die verbleibende Zeit der Pause an. [CXM-48044]
• Wenn Änderungen an den Abschnitten “Watchdog” und/oder “SpecialistsDefaults” der Konfigurationsdatei (config.xml) vorgenommen werden, werden die Änderungen nach einem Upgrade nicht in der Konfigurationsdatei widergespiegelt. Mit dieser Version werden die Änderungen korrekt in die neue Konfigurationsdatei zusammengeführt. [CXM-52523]
• Den an Google Analytics gesendeten Analysedaten wurden weitere Details hinzugefügt, insbesondere in Bezug auf Snapshots. [CXM-56691]
• Die Exchange-Testkonnektivitätsfunktion würde versuchen, die Verbindung nur einmal zu initialisieren. Da Office 365-Verbindungen gedrosselt werden können, war es möglich, dass ein Konnektivitätstest bei Drosselung fehlschlägt. Der Citrix Endpoint Management-Connector für Exchange ActiveSync versucht nun, eine Verbindung bis zu dreimal herzustellen. [CXM-58180]

• Um Richtlinien auf Exchange anzuwenden, muss der Citrix Endpoint Management-Connector für Exchange ActiveSync einen Set-CASMailbox-Befehl kompilieren, der alle relevanten Geräte für jedes Postfach in zwei Listen enthält: Zulassen und Blockieren. Wenn ein Gerät in keiner der beiden Listen enthalten ist, greift Exchange auf seinen Standardzugriffsstatus zurück. Wenn dieser Standardzugriffsstatus vom gewünschten Status für ein Gerät abweicht, wird dieses Gerät als nicht konform eingestuft. Ein Benutzer könnte also den Zugriff auf seine E-Mails verlieren, wenn der Exchange-Standardzugriffsstatus blockiert ist und er zugelassen werden sollte. Oder einem Benutzer, dessen Zugriff auf E-Mails blockiert werden sollte, wird möglicherweise Zugriff gewährt. Der Citrix Endpoint Management-Connector für Exchange ActiveSync stellt nun sicher, dass alle Geräte mit einem gültigen gewünschten Status in jedem Set-CASMailbox-Befehl enthalten sind. [CXM-61251]

• Das folgende Problem ist in Version 10.1.8 bekannt:

Wenn ein Administrator in der Anwendung “Configure” eine Änderung vornimmt, die Konfigurationsdaten modifiziert, während der Dienst langwierige Operationen wie einen Snapshot oder eine Richtlinienauswertung durchführt, kann der Dienst in einen unbestimmten Zustand geraten. Ein mögliches Symptom kann sein, dass Richtlinienänderungen nicht verarbeitet oder Snapshots nicht gestartet werden. Um den Dienst in einen funktionierenden Zustand zurückzuversetzen, muss der Dienst neu gestartet werden. Möglicherweise müssen Sie den Windows-Dienstmanager verwenden, um den Dienstprozess zu beenden, bevor Sie den Dienst starten. [CXM-61330]

• Neuerungen in Version 10.1.7

• XenMobile Mail Manager ist jetzt ein Citrix Endpoint Management Connector für Exchange ActiveSync.

• Die Option Pipelining deaktivieren im Exchange-Konfigurationsdialogfeld wurde eingestellt. Dieselbe Funktionalität kann durch Konfigurieren mehrerer Schritte für jeden Befehl in der Datei config.xml erreicht werden. [CXM-54593]

• Die folgenden Probleme wurden in Version 10.1.7 behoben:

• Im Fenster „Snapshot-Verlauf“ wurden Fehlermeldungen möglicherweise mit wenig Kontext angezeigt. Fehlermeldungen werden jetzt mit dem Kontext ihres Auftretens versehen. [CXM-49157]
• Die XmmGoogleAnalytics.dll hatte nicht die entsprechende Dateiversion für die Freigabe. [CXM-52518]
• Zur Verbesserung der Diagnose haben wir kürzlich das String-Format für eine Liste von Geräte-IDs geändert, die zum Festlegen eines Postfach-Zulassungs-/Sperrstatus verwendet werden. Eine Spezifikation von zu vielen Geräten überschritt jedoch die maximale String-Größe. Wir verwenden jetzt eine interne Array-Datenstruktur. Diese Struktur hat keine Größenbeschränkung und formatiert die Daten auch entsprechend für Diagnosezwecke. [CXM-52610]
• Wenn Geräte-Richtlinien erkannt werden, die nicht mit Exchange synchronisiert sind, können ihre Befehle Geräte enthalten, die nicht zum relevanten Postfach gehören. Der Citrix Endpoint Management Connector für Exchange ActiveSync stellt nun sicher, dass Befehle an Exchange nur Geräte repräsentieren, die zu ihren jeweiligen Postfächern gehören. [CXM-54842]
• In einigen Umgebungen ist eine Microsoft-Assembly nicht verfügbar. Die erforderliche Assembly wird nun explizit mit der Anwendung installiert. [CXM-55439]
• Wenn die Distinguished Names für Geräte oder Postfächer Leerzeichen zwischen dem Attributnamen und dem Gleichheitszeichen oder Leerzeichen nach dem Gleichheitszeichen und vor dem Wert enthalten, kann der Citrix Endpoint Management Connector für Exchange ActiveSync ein Gerät möglicherweise nicht richtig seinem Postfach zuordnen und umgekehrt. Das Ergebnis könnte sein, dass einige Geräte und/oder Postfächer während der Snapshot-Abstimmung abgelehnt werden. [CXM-56088]

Hinweis:

Die folgenden Abschnitte zu „Neuerungen“ beziehen sich auf den Citrix Endpoint Management Connector für Exchange ActiveSync unter seinem früheren Namen XenMobile Mail Manager. Der Name wurde ab Version 10.1.7 geändert.

Update in Version 10.1.6.20

Ein Update auf 10.1.6 enthält die folgende Korrektur in Version 10.1.6.20:

• Wenn Geräte-Richtlinien erkannt werden, die nicht mit Exchange synchronisiert sind, können ihre Befehle Geräte enthalten, die nicht zum relevanten Postfach gehören. XenMobile® Mail Manager stellt nun sicher, dass Befehle an Exchange nur Geräte repräsentieren, die zu ihren jeweiligen Postfächern gehören. [CXM-54842]

• Neuerungen in Version 10.1.6

• XenMobile Mail Manager Version 10.1.6 enthält die folgenden behobenen Probleme und Verbesserungen:

• Das Snapshot-Verlaufsfenster gerät manchmal in einen Zustand, in dem es nicht mehr aktualisiert wird. Der Aktualisierungsmechanismus der Fenster wurde verbessert, um zuverlässiger zu aktualisieren. [CXM-47983]
• Für partitionierte und nicht-partitionierte Snapshots wurden zwei separate Modi und Codepfade verwendet. Da nicht-partitionierte Snapshots äquivalent zu partitionierten Snapshots mit einer Konfiguration sind, die eine einzelne „*“-Partition verwendet, wurde der nicht-partitionierte Snapshot-Modus eliminiert. Der Standard-Snapshot-Modus sind jetzt partitionierte Snapshots mit 36 Partitionen (0–9, A–Z). [CXM-49093]
• Im Fenster „Snapshot-Verlauf“ werden Fehlermeldungen von Statusmeldungen überschrieben. XenMobile Mail Manager bietet jetzt zwei separate Felder, sodass Benutzer Status und Fehler gleichzeitig anzeigen können. [CXM-51942]
• Beim Herstellen einer Verbindung zu Exchange Online (Office 365) können Snapshot-bezogene Abfragen zu einem abgeschnittenen Datensatz führen. Dieses Problem kann auftreten, wenn der XenMobile Mail Manager ein Multi-Befehls-Pipelining-Skript ausführt. Der Upstream-Befehl kann die Daten nicht schnell genug an den Downstream-Befehl weitergeben, der dann die Arbeit vorzeitig abschließt. Dies führt zu unvollständigen Daten. XenMobile Mail Manager kann nun die Pipeline selbst nachahmen und warten, bis der Upstream-Befehl abgeschlossen ist, bevor der Downstream-Befehl aufgerufen wird. Diese Änderung sollte dazu führen, dass alle Daten verarbeitet und erfasst werden. [CXM-52280]
• Wenn ein nicht behebbarer Fehler in einem Richtlinienaktualisierungsbefehl an Exchange auftritt, wird derselbe Befehl über einen langen Zeitraum wiederholt an die Arbeitswarteschlange zurückgegeben. Diese Situation führte dazu, dass der Befehl viele Male an Exchange gesendet wurde. In dieser Version von XenMobile Mail Manager wird ein Befehl, der zu einem Fehler führt, nur eine bestimmte Anzahl von Malen an die Arbeitswarteschlange zurückgegeben. [CXM-52633]
• Wenn eine Richtlinienaktualisierung für ein bestimmtes Postfach das Zulassen oder Blockieren aller Geräte beinhaltete: Der ausgegebene Befehl Set-CASMailbox würde fehlschlagen, da die leere Liste in einen leeren String anstatt in NULL konvertiert wurde. Die korrekten Daten werden jetzt gesendet. [CXM-53759]
• Beim Verarbeiten eines neuen Geräts kann Exchange den Status für einige Zeit (normalerweise 15 Minuten) als „DeviceDiscovery“ zurückgeben. XenMobile Mail Manager hat diesen Status nicht speziell behandelt. XenMobile Mail Manager behandelt den Status jetzt. Auf der Registerkarte „Monitor“ der Benutzeroberfläche können Benutzer nach Geräten in diesem Status filtern. [CXM-53840]
• XenMobile Mail Manager hat die Schreibberechtigung für die XenMobile Mail Manager-Datenbank nicht überprüft. Wenn Berechtigungen eingeschränkt waren, war das Verhalten möglicherweise nicht vorhersehbar. XenMobile Mail Manager erfasst und validiert nun die erforderlichen Berechtigungen aus der Datenbank. XenMobile Mail Manager zeigt reduzierte Berechtigungen an, entweder beim Testen der Verbindung (Meldung wird angezeigt) oder im Datenbankindikator (Meldung beim Überfahren mit der Maus) am unteren Rand des Hauptkonfigurationsfensters. [CXM-54219]

• Je nach aktueller Arbeitslast kann es vorkommen, dass der XenMobile Mail Manager-Dienst bei Aufforderung nicht sofort beendet wird. Der Dienst scheint sich dann in einem nicht reagierenden Zustand zu befinden. Verbesserungen ermöglichen es, laufende Aufgaben zu unterbrechen, was zu einem reibungsloseren Herunterfahren führt. [CXM-54282]

• Neuerungen in Version 10.1.5

• XenMobile Mail Manager Version 10.1.5 enthält die folgenden behobenen Probleme:

• Wenn Exchange eine Drosselung auf die XenMobile Mail Manager-Aktivität anwendet, gibt es (außerhalb der Protokolle) keinen Hinweis darauf, dass die Drosselung stattfindet. Mit dieser Version kann ein Benutzer über den aktiven Snapshot fahren, und ein „Drosselungs“-Status wird angezeigt. Außerdem ist, während XenMobile Mail Manager gedrosselt wird, der Start eines großen Snapshots untersagt, bis Exchange das Drosselungsembargo aufhebt. [CXM-49617]
• Wenn XenMobile Mail Manager während eines großen Snapshots von Exchange gedrosselt wird: Es ist möglich, dass nicht genügend Zeit vergeht, bevor der nächste Snapshot-Versuch ausgeführt wird. Dieses Problem führt zu weiterer Drosselung und einem fehlgeschlagenen Snapshot. XenMobile Mail Manager wartet nun mindestens die von Exchange angegebene Zeit zwischen den Snapshot-Versuchen. [CXM-49618]
• Wenn die Diagnose aktiviert ist, zeigt die Befehlsdatei Set-CasMailbox-Befehle an, denen vor jedem Eigenschaftsnamen Bindestriche fehlen. Dieses Problem tritt nur bei der Formatierung der Diagnosedatei auf und nicht beim eigentlichen Befehl an Exchange. Der fehlende Bindestrich verhindert, dass ein Benutzer den Befehl ausschneiden und direkt in eine PowerShell-Eingabeaufforderung zum Testen oder Validieren einfügen kann. Die Bindestriche wurden hinzugefügt. [CXM-52520]

• Wenn eine Postfachidentität die Form Nachname, Vorname hat, fügt Exchange einen Backslash vor dem Komma ein, wenn Daten aus einer Abfrage zurückgegeben werden. Dieser Backslash muss entfernt werden, wenn der XenMobile Mail Manager die Identität verwendet, um weitere Daten abzufragen. [CXM-52635]

• Bekannte Einschränkungen

• Hinweis:

  Die folgende Einschränkung ist in Version 10.1.6 behoben.

XenMobile Mail Manager hat eine bekannte Einschränkung, die dazu führen kann, dass Befehle an Exchange fehlschlagen. Um Richtlinienänderungen auf Exchange anzuwenden, wird ein Befehl Set_CASMailbox vom XenMobile Mail Manager ausgegeben. Dieser Befehl kann zwei Gerätelisten entgegennehmen: eine zum Zulassen und eine zum Blockieren. Der Befehl wird auf die Geräte angewendet, die mit einem Postfach verbunden sind.

• Diese Listen sind von der Microsoft API auf jeweils 256 Zeichen begrenzt. Wenn eine dieser Listen die Begrenzung überschreitet, schlägt der Befehl vollständig fehl, wodurch die Richtlinien für die Geräte dieses Postfachs nicht festgelegt werden können. Der gemeldete Fehler, der in den XenMobile Mail Manager-Protokollen erscheint, würde wie folgt aussehen. Das Beispiel bezieht sich auf die Sperrliste.

„Meldung:’Parameter ‘ActiveSyncBlockedDeviceIDs’ kann nicht an das Ziel gebunden werden. Ausnahme beim Festlegen von “ActiveSyncBlockedDeviceIDs”: “Die Länge der Eigenschaft ist zu lang. Die maximale Länge beträgt 256 und die Länge des angegebenen Werts ist …”“

• Die Längen der Geräte-IDs können variieren, aber ein guter Richtwert ist, dass etwa 10 oder mehr gleichzeitig zugelassene oder gesperrte Geräte die Grenze überschreiten könnten. Obwohl es selten ist, dass so viele Geräte mit einem bestimmten Postfach verknüpft sind, ist es eine Möglichkeit. Bis der Mail Manager verbessert wird, um ein solches Szenario zu handhaben, empfehlen wir Ihnen, die Anzahl der mit einem Benutzer und Postfach verknüpften Geräte auf 10 oder weniger zu begrenzen. [CXM-52633]

• Was ist neu in Version 10.1.4

• XenMobile Mail Manager Version 10.1.4 enthält die folgenden behobenen Probleme:

• Aufgrund der nachlassenden Sicherheit stellt der PCI Council die Unterstützung für TLS 1.0 und TLS 1.1 ein. Die Unterstützung für TLS 1.2 wurde dem XenMobile Mail Manager hinzugefügt. [CXM-38573, CXM-32560]
• XenMobile Mail Manager enthält eine neue Diagnosedatei. Wenn Diagnose aktivieren in der Exchange-Spezifikation ausgewählt ist, wird eine neue Snapshot-Verlaufsdatei generiert. Bei jedem Snapshot-Versuch wird der Datei eine Zeile mit den Ergebnissen des Snapshots hinzugefügt. [CXM-49631]
• In der Diagnosedatei für Befehle wurde die Liste der zugelassenen oder blockierten Geräte für den Befehl Set-CASMailbox nicht angezeigt. Stattdessen wurde der interne Klassenname in der Datei für die zugehörigen Argumente angezeigt. XenMobile Mail Manager zeigt nun die Liste der Geräte-IDs als kommagetrennte Liste an. [CXM-50693]
• Wenn der Versuch, eine Verbindung zu Exchange herzustellen, aufgrund einer fehlerhaften Spezifikation fehlschlägt: Eine falsche Meldung überschreibt die Fehlermeldung: „Alle Verbindungen belegt“. Es werden nun aussagekräftigere Meldungen angezeigt, wie z. B. „Alle Verbindungen sind nicht betriebsbereit“, „Verbindungspool ist leer“, „Alle Verbindungen sind gedrosselt“ und „Keine verfügbaren Verbindungen“. [CXM-50783]

• Manchmal werden Befehle zum Zulassen/Blockieren/Löschen mehrfach im internen Cache des XenMobile Mail Manager in die Warteschlange gestellt. Dieses Problem führt zu einer Verzögerung beim Senden des Befehls an Exchange. XenMobile Mail Manager stellt nun nur noch eine Instanz jedes Befehls in die Warteschlange. [CXM-51524]

• Neuerungen in Version 10.1.3

• Unterstützung für Google Analytics: Wir möchten wissen, wie Sie den XenMobile Mail Manager verwenden, damit wir uns darauf konzentrieren können, wo wir das Produkt verbessern können.

• Einstellung zum Aktivieren der Diagnose: Ein Kontrollkästchen Diagnose aktivieren wird in der Konsole „Konfigurieren“ im Dialogfeld Konfiguration angezeigt.

  

Behobene Probleme in Version 10.1.3

-  Im Fenster **Snapshot-Verlauf** spiegeln Tooltips, die den aktuellen Status des Snapshots anzeigen, nicht den tatsächlichen Status wider. [CXM-5570]
-  Gelegentlich kann der XenMobile Mail Manager nicht in die Diagnosedatei für Befehle schreiben. In diesem Fall wird der Befehlsverlauf nicht vollständig protokolliert. [CXM-49217]
-  Wenn ein Fehler bei einer Verbindung auftritt, wird die Verbindung möglicherweise nicht als „fehlerhaft“ markiert. Infolgedessen kann ein nachfolgender Befehl versuchen, die Verbindung zu verwenden und einen weiteren Fehler verursachen. [CXM-49495]
-  Wenn eine Drosselung vom Exchange Server auftritt, kann in der Routine „Integrität prüfen“ eine Ausnahme ausgelöst werden. Infolgedessen werden Verbindungen, die einen Fehler aufwiesen oder abgelaufen sind, möglicherweise nicht gelöscht. Außerdem erstellt der XenMobile Mail Manager möglicherweise keine Verbindungen, bis die Drosselungszeit abläuft. [CXM-49794].
-  Wenn die maximale Sitzungsanzahl für Exchange überschritten wird, meldet XenMobile Mail Manager den Fehler „Geräteerfassung fehlgeschlagen“, was keine genaue Meldung ist. Stattdessen sollte die Meldung darauf hinweisen, dass die beiden Sitzungen, die der XenMobile Mail Manager normalerweise für die Exchange-Kommunikation verwendet, belegt sind. [CXM-49994]

Neuerungen in Version 10.1.2

-  **Verbesserte Verbindung zu Exchange:** XenMobile Mail Manager verwendet PowerShell-Sitzungen zur Kommunikation mit Exchange. Eine PowerShell-Sitzung, insbesondere im Umgang mit Office 365, kann nach einer Weile instabil werden und verhindern, dass nachfolgende Befehle erfolgreich ausgeführt werden. XenMobile Mail Manager kann jetzt eine Ablaufzeit für Verbindungen festlegen. Wenn die Verbindung ihre Ablaufzeit erreicht, fährt der XenMobile Mail Manager die PowerShell-Sitzung ordnungsgemäß herunter und erstellt eine neue Sitzung. Dadurch wird die PowerShell-Sitzung weniger anfällig für Instabilität, was die Wahrscheinlichkeit eines Snapshot-Fehlers erheblich reduziert.
-  **Verbesserter Snapshot-Workflow:** Große Snapshots sind zeitaufwändige und prozessintensive Vorgänge. Tritt während eines Snapshots ein Fehler auf, versucht der XenMobile Mail Manager nun mehrmals (bis zu dreimal), einen Snapshot abzuschließen. Nachfolgende Versuche beginnen nicht von vorne. XenMobile Mail Manager setzt dort fort, wo er aufgehört hat. Diese Verbesserung erhöht die Erfolgsrate von Snapshots im Allgemeinen, indem sie vorübergehende Fehler zulässt, während ein Snapshot noch läuft.
-  **Verbesserte Diagnose:** Die Fehlerbehebung bei Snapshot-Vorgängen wird jetzt durch drei neue Diagnosedateien erleichtert, die optional während eines Snapshots generiert werden. Diese Dateien helfen, Probleme mit PowerShell-Befehlen, Postfächer mit fehlenden Informationen und Geräte zu identifizieren, die keinem Postfach zugeordnet werden können. Ein Administrator kann diese Dateien verwenden, um Daten zu identifizieren, die in Exchange möglicherweise nicht korrekt sind.
-  **Verbesserte Speichernutzung:** XenMobile Mail Manager ist jetzt effizienter in seiner Speichernutzung. Administratoren können den XenMobile Mail Manager so planen, dass er automatisch neu startet, um dem System einen sauberen Start zu ermöglichen.
-  **Voraussetzung Microsoft .NET Framework 4.6:** Die erforderliche Version von Microsoft .NET Framework ist jetzt Version 4.6.

Behobene Probleme

-  Fehler bei der Aufforderung zur Eingabe von Anmeldeinformationen: Die Instabilität der Office 365-Sitzung verursachte diesen Fehler häufig. Die Verbesserung der Verbindung zu Exchange behebt das Problem. (XMHELP-293, XMHELP-311, XMHELP-801)
-  Ungenauigkeiten bei der Postfach- und Gerätezählung: XenMobile Mail Manager verfügt über einen verbesserten Algorithmus zur Postfach-Geräte-Zuordnung. Die Funktion „Verbesserte Diagnose“ hilft bei der Identifizierung von Postfächern und Geräten, die der XenMobile Mail Manager nicht als in seinem Verantwortungsbereich liegend betrachtet. (XMHELP-623)
-  Befehle zum Zulassen/Blockieren/Löschen werden nicht erkannt: Ein Fehler wurde behoben, bei dem XenMobile Mail Manager-Befehle zum Zulassen/Blockieren/Löschen manchmal nicht erkannt wurden. (XMHELP-489)
-  Speicherverwaltung: Bessere Speicherverwaltung und -minderung. (XMHELP-419)

Architektur

-  Das folgende Diagramm zeigt die Hauptkomponenten des Citrix Endpoint Management-Connectors für Exchange ActiveSync. Ein detailliertes Referenzarchitekturdiagramm finden Sie unter [Architektur](/de-de/citrix-endpoint-management/about.html#architecture).

-  ![Architektur des Citrix Endpoint Management-Connectors für Exchange ActiveSync](/en-us/citrix-endpoint-management/media/architecture-citrix-gateway-connector-exchangeactivesync.png)

-  Die beiden Hauptkomponenten sind:

-  **Exchange ActiveSync-Zugriffssteuerungsverwaltung:** Kommuniziert mit Citrix Endpoint Management, um eine Exchange ActiveSync-Richtlinie von Citrix Endpoint Management abzurufen, und führt diese Richtlinie mit allen lokal definierten Richtlinien zusammen, um die Exchange ActiveSync-Geräte zu bestimmen, denen der Zugriff auf Exchange erlaubt oder verweigert werden soll. Die lokale Richtlinie ermöglicht die Erweiterung der Richtlinienregeln, um die Zugriffssteuerung nach Active Directory-Gruppe, Benutzer, Gerätetyp oder Geräte-Benutzeragent (im Allgemeinen die mobile Plattformversion) zu ermöglichen.
-  **Remote-PowerShell-Verwaltung:** Verantwortlich für die Planung und den Aufruf von Remote-PowerShell-Befehlen zur Umsetzung der von der Exchange ActiveSync-Zugriffssteuerungsverwaltung kompilierten Richtlinie. Erstellt regelmäßig einen Snapshot der Exchange ActiveSync-Datenbank, um neue oder geänderte Exchange ActiveSync-Geräte zu erkennen.

Systemanforderungen und Voraussetzungen

-  Die folgenden Mindestsystemanforderungen sind für die Verwendung des Citrix Endpoint Management-Connectors für Exchange ActiveSync erforderlich:

-  Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2008 R2 Service Pack 1. Muss ein englischsprachiger Server sein. Der Support für Windows Server 2008 R2 Service Pack 1 endet am 14. Januar 2020 und der Support für Windows Server 2012 R2 endet am 10. Oktober 2023.
-  Microsoft SQL Server 2016 Service Pack 2, SQL Server 2014 Service Pack 3 oder SQL Server 2012 Service Pack 4.
-  Microsoft .NET Framework 4.6.
-  Blackberry Enterprise Service, Version 5 (optional).

-  Mindestens unterstützte Versionen von Microsoft Exchange Server:

• Microsoft Office 365
• Exchange Server 2016
  • Exchange Server 2013 (Support endet am 11. April 2023)
  • Exchange Server 2010 Service Pack 3 (Support endet am 14. Januar 2020)

Voraussetzungen

-  Windows Management Framework muss installiert sein.
-  PowerShell V5, V4 und V3
-  Die PowerShell-Ausführungsrichtlinie muss über Set-ExecutionPolicy RemoteSigned auf RemoteSigned festgelegt werden.
-  TCP-Port 80 muss zwischen dem Computer, auf dem der Connector für Exchange ActiveSync ausgeführt wird, und dem Remote-Exchange-Server geöffnet sein.

-  **E-Mail-Clients für Geräte:** Nicht alle E-Mail-Clients geben konsistent dieselbe ActiveSync-ID für ein Gerät zurück. Da der Connector für Exchange ActiveSync eine eindeutige ActiveSync-ID für jedes Gerät erwartet, werden nur E-Mail-Clients unterstützt, die konsistent dieselbe, eindeutige ActiveSync-ID für jedes Gerät generieren. Die folgenden E-Mail-Clients wurden von Citrix getestet und funktionierten fehlerfrei:

-  Nativer Samsung E-Mail-Client
-  Nativer iOS E-Mail-Client

-  **Exchange:** Die Anforderungen an den lokalen Computer, auf dem Exchange ausgeführt wird, sind wie folgt:

-  Die in der Exchange-Konfigurations-UI angegebenen Anmeldeinformationen müssen in der Lage sein, eine Verbindung zum Exchange Server herzustellen und vollen Zugriff zum Ausführen der folgenden Exchange-spezifischen PowerShell-Cmdlets zu erhalten.

-  **Für Exchange Server 2010 SP2:**
-  `Get-CASMailbox`
-  `Set-CASMailbox`
-  `Get-Mailbox`
-  `Get-ActiveSyncDevice`
-  `Get-ActiveSyncDeviceStatistics`
-  `Clear-ActiveSyncDevice`
-  `Get-ExchangeServer`
-  `Get-ManagementRole`
-  `Get-ManagementRoleAssignment`
-  **Für Exchange Server 2013 und Exchange Server 2016:**
-  `Get-CASMailbox`
-  `Set-CASMailbox`
-  `Get-Mailbox`
-  `Get-MobileDevice`
-  `Get-MobileDeviceStatistics`
-  `Clear-MobileDevice`
-  `Get-ExchangeServer`
-  `Get-ManagementRole`
-  `Get-ManagementRoleAssignment`

-  Wenn der Connector für Exchange ActiveSync so konfiguriert ist, dass er den gesamten Forest anzeigt, muss die Berechtigung zum Ausführen von **Set-AdServerSettings -ViewEntireForest $true** erteilt worden sein.
-  Den angegebenen Anmeldeinformationen muss das Recht erteilt worden sein, über die Remote-Shell eine Verbindung zum Exchange Server herzustellen. Standardmäßig besitzt der Benutzer, der Exchange installiert hat, dieses Recht.
-  Um eine Remote-Verbindung herzustellen und Remote-Befehle auszuführen, müssen die Anmeldeinformationen einem Benutzer entsprechen, der Administrator auf dem Remote-Computer ist. Sie können Set-PSSessionConfiguration verwenden, um die administrative Anforderung zu eliminieren, aber die Erörterung dieses Befehls liegt außerhalb des Umfangs dieses Dokuments. Weitere Informationen finden Sie im Microsoft-Artikel [About Session Configurations](https://docs.microsoft.com/de-de/powershell/module/microsoft.powershell.core/about/about_session_configurations?view=powershell-7).
-  Der Exchange Server muss so konfiguriert sein, dass er Remote-PowerShell-Anforderungen über HTTP unterstützt. Typischerweise ist es ausreichend, wenn ein Administrator den folgenden PowerShell-Befehl auf dem Exchange Server ausführt: WinRM QuickConfig.
-  Exchange verfügt über viele Drosselungsrichtlinien. Eine dieser Richtlinien steuert, wie viele gleichzeitige PowerShell-Verbindungen pro Benutzer zulässig sind. Die Standardanzahl gleichzeitiger Verbindungen, die für einen Benutzer zulässig ist, beträgt 18 auf Exchange 2010. Wenn das Verbindungslimit erreicht ist, kann der Connector für Exchange ActiveSync keine Verbindung zum Exchange Server herstellen. Es gibt Möglichkeiten, die maximal zulässigen gleichzeitigen Verbindungen über PowerShell zu ändern, die über den Umfang dieser Dokumentation hinausgehen. Bei Interesse untersuchen Sie die Exchange-Drosselungsrichtlinien im Zusammenhang mit der Remote-Verwaltung mit PowerShell.

-  ## Anforderungen für Office 365 Exchange

-  **Berechtigungen:** Die in der Exchange-Konfigurations-UI angegebenen Anmeldeinformationen müssen in der Lage sein, eine Verbindung zu Office 365 herzustellen und vollen Zugriff zum Ausführen der folgenden Exchange-spezifischen PowerShell-Cmdlets zu erhalten:
-  `Get-CASMailbox`
-  `Set-CASMailbox`
-  `Get-Mailbox`
-  `Get-MobileDevice`
-  `Get-MobileDeviceStatistics`
-  `Clear-MobileDevice`
-  `Get-ExchangeServer`
-  `Get-ManagementRole`
-  `Get-ManagementRoleAssignment`
-  **Rechte:** Den angegebenen Anmeldeinformationen muss das Recht erteilt worden sein, über die Remote-Shell eine Verbindung zum Office 365-Server herzustellen. Standardmäßig verfügt der Office 365 Online-Administrator über die erforderlichen Rechte.
-  **Drosselungsrichtlinien:** Exchange verfügt über viele Drosselungsrichtlinien. Eine dieser Richtlinien steuert, wie viele gleichzeitige PowerShell-Verbindungen pro Benutzer zulässig sind. Die Standardanzahl gleichzeitiger Verbindungen, die für einen Benutzer zulässig ist, beträgt drei auf Office 365. Wenn das Verbindungslimit erreicht ist, kann der Connector für Exchange ActiveSync keine Verbindung zum Exchange Server herstellen. Es gibt Möglichkeiten, die maximal zulässigen gleichzeitigen Verbindungen über PowerShell zu ändern, die über den Umfang dieser Dokumentation hinausgehen. Bei Interesse untersuchen Sie die Exchange-Drosselungsrichtlinien im Zusammenhang mit der Remote-Verwaltung mit PowerShell.

Installieren und Konfigurieren

1. Klicken Sie auf die Datei XmmSetup.msi und folgen Sie den Anweisungen im Installationsprogramm, um den Citrix Endpoint Management Connector für Exchange ActiveSync zu installieren.

• 1. Lassen Sie im letzten Bildschirm des Setup-Assistenten die Option Konfigurationsdienstprogramm starten ausgewählt. Oder öffnen Sie den Connector für Exchange ActiveSync über das Startmenü.
• 1. Konfigurieren Sie die folgenden Datenbankeigenschaften:
  • Wählen Sie die Registerkarte Konfigurieren > Datenbank.
  • Geben Sie den Namen des SQL Servers ein (Standard ist localhost).
  • Behalten Sie die Datenbank als Standard CitrixXmm bei.
• 1. Wählen Sie einen der folgenden Authentifizierungsmodi für SQL:
  • SQL: Geben Sie den Benutzernamen und das Kennwort eines gültigen SQL-Benutzers ein.
  • Windows Integrated: Wenn Sie diese Option auswählen, müssen die Anmeldeinformationen des XenMobile Mail Manager-Dienstes in ein Windows-Konto geändert werden, das über Berechtigungen für den Zugriff auf den SQL Server verfügt. Öffnen Sie dazu die Systemsteuerung > Verwaltung > Dienste, klicken Sie mit der rechten Maustaste auf den Eintrag des XenMobile Mail Manager-Dienstes und klicken Sie dann auf die Registerkarte Anmelden.
• Wenn für die BlackBerry-Datenbankverbindung ebenfalls Windows Integrated gewählt wird, muss dem hier angegebenen Windows-Konto auch Zugriff auf die BlackBerry-Datenbank gewährt werden.

1. Klicken Sie auf Verbindung testen, um zu überprüfen, ob eine Verbindung zum SQL Server hergestellt werden kann, und klicken Sie dann auf Speichern.

2. Eine Meldung fordert Sie auf, den Dienst neu zu starten. Klicken Sie auf Ja.

   

• 1. Konfigurieren Sie einen oder mehrere Exchange-Server:
  • Wenn Sie eine einzelne Exchange-Umgebung verwalten, geben Sie nur einen einzelnen Server an. Wenn Sie mehrere Exchange-Umgebungen verwalten, geben Sie für jede Exchange-Umgebung einen einzelnen Exchange-Server an.
  • Klicken Sie auf die Registerkarte Konfigurieren > Exchange und klicken Sie dann auf Hinzufügen.

  

1. Wählen Sie den Typ der Exchange Server-Umgebung aus: Lokal oder Office 365.

   • Wenn Sie Lokal auswählen, geben Sie den Namen des Exchange-Servers ein, der für Remote-PowerShell-Befehle verwendet werden soll.
   • Geben Sie den Benutzernamen einer Windows-Identität ein, die über die entsprechenden Rechte auf dem Exchange-Server verfügt, wie im Abschnitt „Anforderungen“ angegeben, und geben Sie dann das Kennwort für den Benutzer ein.
   • Wählen Sie den Zeitplan für die Ausführung von Haupt-Snapshots. Ein Haupt-Snapshot erkennt jede Exchange ActiveSync-Partnerschaft.
   • Wählen Sie den Zeitplan für die Ausführung von Neben-Snapshots. Ein Neben-Snapshot erkennt neu erstellte Exchange ActiveSync-Partnerschaften.
   • Wählen Sie den Snapshot-Typ: Tief oder Flach. Flache Snapshots sind in der Regel viel schneller und ausreichend, um alle Exchange ActiveSync-Zugriffssteuerungsfunktionen des Connectors für Exchange ActiveSync auszuführen.
   • Wählen Sie den Standardzugriff: Zulassen, Blockieren oder Unverändert. Diese Einstellung steuert, wie alle Geräte behandelt werden, die nicht durch explizite Citrix Endpoint Management- oder lokale Regeln identifiziert werden. Wenn Sie Zulassen auswählen, ist der ActiveSync-Zugriff auf alle diese Geräte erlaubt. Wenn Sie Blockieren auswählen, wird der Zugriff verweigert. Wenn Sie Unverändert auswählen, wird keine Änderung vorgenommen.
   • Wählen Sie den ActiveSync-Befehlsmodus: PowerShell oder Simulation.
   • Im PowerShell-Modus gibt der Connector für Exchange ActiveSync PowerShell-Befehle aus, um die gewünschte Zugriffssteuerung zu implementieren. Im Simulationsmodus gibt der Connector für Exchange ActiveSync keine PowerShell-Befehle aus, protokolliert aber den beabsichtigten Befehl und die beabsichtigten Ergebnisse in der Datenbank. Im Simulationsmodus kann der Benutzer dann die Registerkarte Überwachen verwenden, um zu sehen, was passiert wäre, wenn der PowerShell-Modus aktiviert gewesen wäre.
   • Legen Sie unter Verbindungsablauf die Stunden und Minuten für die Lebensdauer einer Verbindung fest. Wenn eine Verbindung das angegebene Alter erreicht, wird sie als abgelaufen markiert, sodass sie nie wieder verwendet wird. Wenn die abgelaufene Verbindung nicht mehr verwendet wird, fährt der Connector für Exchange ActiveSync die Verbindung ordnungsgemäß herunter. Wenn eine Verbindung erneut benötigt wird, wird eine neue Verbindung initialisiert, falls keine verfügbar ist. Wenn nichts angegeben ist, wird der Standardwert von 30 Minuten verwendet.
   • Wählen Sie Gesamten Gesamtstruktur anzeigen, um den Connector für Exchange ActiveSync so zu konfigurieren, dass er die gesamte Active Directory-Gesamtstruktur in der Exchange-Umgebung anzeigt.
   • Wählen Sie das Authentifizierungsprotokoll: Kerberos oder Basic. Der Connector für Exchange ActiveSync unterstützt die Basic-Authentifizierung für lokale Bereitstellungen. Dies ermöglicht die Verwendung des Connectors, wenn der Connector-Server kein Mitglied der Domäne ist, in der sich der Exchange-Server befindet.
   • Klicken Sie auf Konnektivität testen, um zu überprüfen, ob eine Verbindung zum Exchange-Server hergestellt werden kann, und klicken Sie dann auf Speichern.
   • Eine Meldung fordert Sie auf, den Dienst neu zu starten. Klicken Sie auf Ja.

2. Konfigurieren Sie die Zugriffsregeln: Wählen Sie die Registerkarte Konfigurieren > Zugriffsregeln, klicken Sie auf die Registerkarte Citrix Endpoint Management-Regeln und klicken Sie dann auf Hinzufügen.

   

3. Auf der Seite Diensteigenschaften des Citrix Endpoint Management-Servers ändern Sie die URL-Zeichenfolge so, dass sie auf den Citrix Endpoint Management-Server verweist. Wenn der Instanzname beispielsweise zdm lautet, geben Sie https://<XdmHostName>/zdm/services/MagConfigService ein. Ersetzen Sie im Beispiel XdmHostName durch die IP- oder DNS-Adresse des Citrix Endpoint Management-Servers.

   

   • Geben Sie einen autorisierten Benutzer des Servers ein.
   • Geben Sie das Kennwort des Benutzers ein.
   • Behalten Sie die Standardwerte für Basisintervall, Delta-Intervall und Timeout bei.
   • Klicken Sie auf Konnektivität testen, um die Verbindung zum Server zu überprüfen, und klicken Sie dann auf OK.

   Wenn das Kontrollkästchen Deaktiviert aktiviert ist, erfasst der Citrix Endpoint Management Mail Service keine Richtlinien von Citrix Endpoint Management.

4. Klicken Sie auf die Registerkarte Lokale Regeln.

   • 

   • Sie können lokale Regeln basierend auf ActiveSync-Geräte-ID, Gerätetyp, AD-Gruppe, Benutzer oder Geräte-UserAgent hinzufügen. Wählen Sie in der Liste den entsprechenden Typ aus.
   • Geben Sie Text oder Textfragmente in das Textfeld ein. Klicken Sie optional auf die Abfrageschaltfläche, um die Entitäten anzuzeigen, die dem Fragment entsprechen.

   Für alle Typen außer „Gruppe“ stützt sich das System auf die Geräte, die in einem Snapshot gefunden wurden. Wenn Sie also gerade erst anfangen und noch keinen Snapshot abgeschlossen haben, sind keine Entitäten verfügbar.

   • Wählen Sie einen Textwert aus und klicken Sie dann auf Zulassen oder Verweigern, um ihn dem Bereich Regelliste auf der rechten Seite hinzuzufügen. Sie können die Reihenfolge der Regeln ändern oder sie mithilfe der Schaltflächen rechts neben dem Bereich Regelliste entfernen. Die Reihenfolge ist wichtig, da für einen bestimmten Benutzer und ein bestimmtes Gerät Regeln in der angezeigten Reihenfolge ausgewertet werden und eine Übereinstimmung mit einer höheren Regel (näher oben) dazu führt, dass nachfolgende Regeln keine Wirkung haben. Wenn Sie beispielsweise eine Regel haben, die alle iPad-Geräte zulässt, und eine nachfolgende Regel, die den Benutzer Matt blockiert, ist Matts iPad weiterhin zugelassen, da die iPad-Regel eine höhere effektive Priorität hat als die Matt-Regel.

   • Um eine Analyse der Regeln innerhalb der Regelliste durchzuführen, um potenzielle Überschreibungen, Konflikte oder ergänzende Konstrukte zu finden, klicken Sie auf Analysieren und dann auf Speichern.

   • 1. Wenn Sie lokale Regeln erstellen möchten, die auf Active Directory-Gruppen angewendet werden, klicken Sie auf LDAP konfigurieren und konfigurieren Sie dann die LDAP-Verbindungseigenschaften.

   

5. Konfigurieren Sie optional eine oder mehrere Instanzen von BlackBerry Enterprise Server (BES): Klicken Sie auf Hinzufügen und geben Sie dann den Servernamen des BES SQL Servers ein.

• 

  • Geben Sie den Datenbanknamen der BES-Verwaltungsdatenbank ein.

  • Wählen Sie den Authentifizierungsmodus aus. Wenn Sie die Windows Integrated-Authentifizierung auswählen, ist das Benutzerkonto des Connectors für den Exchange ActiveSync-Dienst das Konto, das für die Verbindung mit dem BES SQL Server verwendet wird. Wenn Sie auch Windows Integrated für die Connector-Datenbankverbindung wählen, muss dem hier angegebenen Windows-Konto auch Zugriff auf die Connector-Datenbank gewährt werden.

  • Wenn Sie die SQL-Authentifizierung auswählen, geben Sie den Benutzernamen und das Kennwort ein.

  • Legen Sie den Synchronisierungszeitplan fest. Dies ist der Zeitplan, der verwendet wird, um eine Verbindung zum BES SQL Server herzustellen und nach Geräteaktualisierungen zu suchen.

    • Klicken Sie auf Konnektivität testen, um die Verbindung zum SQL Server zu überprüfen. Wenn Sie Windows Integrated auswählen, verwendet dieser Test den aktuell angemeldeten Benutzer und nicht den Connector-Dienstbenutzer, sodass die SQL-Authentifizierung nicht genau getestet wird.

    • Um das Remote-Löschen und Zurücksetzen des Kennworts von BlackBerry-Geräten von Citrix Endpoint Management aus zu unterstützen, aktivieren Sie das Kontrollkästchen Aktiviert.

  • Geben Sie den vollqualifizierten Domänennamen (FQDN) des BES ein.

  • Geben Sie den BES-Port ein, der für den Admin-Webdienst verwendet wird.

  • Geben Sie den vollqualifizierten Benutzernamen und das Kennwort ein, die vom BES-Dienst benötigt werden.

  • Klicken Sie auf Konnektivität testen, um die Verbindung zum BES zu testen, und klicken Sie dann auf Speichern.

E-Mail-Richtlinien mit ActiveSync-IDs durchsetzen

Ihre Unternehmens-E-Mail-Richtlinie kann vorschreiben, dass bestimmte Geräte nicht für die Nutzung von Unternehmens-E-Mails zugelassen sind. Um diese Richtlinie einzuhalten, möchten Sie sicherstellen, dass Mitarbeiter von solchen Geräten aus nicht auf Unternehmens-E-Mails zugreifen können. Der Citrix Endpoint Management Connector für Exchange ActiveSync und Citrix Endpoint Management arbeiten zusammen, um eine solche E-Mail-Richtlinie durchzusetzen. Citrix Endpoint Management legt die Richtlinie für den Zugriff auf Unternehmens-E-Mails fest. Wenn ein nicht zugelassenes Gerät bei Citrix Endpoint Management registriert wird, setzt der Connector für Exchange ActiveSync die Richtlinie durch.

Der E-Mail-Client auf einem Gerät meldet sich beim Exchange Server (oder Office 365) mit der Geräte-ID, auch bekannt als ActiveSync-ID, an, die zur Identifizierung des Geräts verwendet wird. Citrix Secure Hub erhält eine ähnliche Kennung und sendet diese Kennung an Citrix Endpoint Management, wenn das Gerät registriert wird. Durch den Vergleich der beiden Geräte-IDs kann der Connector für Exchange ActiveSync feststellen, ob ein bestimmtes Gerät Zugriff auf Unternehmens-E-Mails haben sollte. Die folgende Abbildung veranschaulicht dieses Konzept:

Wenn Citrix Endpoint Management dem Connector für Exchange ActiveSync eine ActiveSync-ID sendet, die sich von der ID unterscheidet, die das Gerät an Exchange übermittelt, kann der Connector Exchange nicht mitteilen, was mit dem Gerät geschehen soll.

Das Abgleichen von ActiveSync-IDs funktioniert auf den meisten Plattformen zuverlässig. Citrix hat jedoch festgestellt, dass bei einigen Android-Implementierungen die ActiveSync-ID des Geräts von der ID abweicht, die der Mail-Client an Exchange übermittelt. Um dieses Problem zu mindern, können Sie Folgendes tun:

• Auf Android-Plattformen empfiehlt Citrix die Verwendung von Citrix Secure Mail.

Um zu gewährleisten, dass Ihre Richtlinie für den Zugriff auf Unternehmens-E-Mails ordnungsgemäß durchgesetzt wird, können Sie eine defensive Sicherheitsstrategie verfolgen. Konfigurieren Sie den Citrix Endpoint Management Connector für Exchange ActiveSync so, dass E-Mails standardmäßig blockiert werden, indem Sie die statische Richtlinie auf Verweigern setzen. Dies bedeutet, dass, wenn ein Mitarbeiter einen anderen E-Mail-Client auf einem Android-Gerät konfiguriert und die ActiveSync-ID-Erkennung nicht funktioniert, der Zugriff auf Unternehmens-E-Mails dem Mitarbeiter verweigert wird.

Zugriffssteuerungsregeln

Der Citrix Endpoint Management Connector für Exchange ActiveSync bietet einen regelbasierten Ansatz zur dynamischen Konfiguration der Zugriffssteuerung für Exchange ActiveSync-Geräte. Eine Connector-Zugriffssteuerungsregel besteht aus zwei Teilen: einem Übereinstimmungsausdruck und einem gewünschten Zugriffsstatus (Zulassen oder Blockieren). Eine Regel kann für ein bestimmtes Exchange ActiveSync-Gerät ausgewertet werden, um festzustellen, ob die Regel auf das Gerät zutrifft oder mit diesem übereinstimmt. Es gibt verschiedene Arten von Übereinstimmungsausdrücken; zum Beispiel kann eine Regel alle Geräte eines bestimmten Gerätetyps, eine spezifische Exchange ActiveSync-Geräte-ID oder alle Geräte eines bestimmten Benutzers usw. abgleichen.

Zu jedem Zeitpunkt während des Hinzufügens, Entfernens und Neuanordnens der Regeln in der Regelliste setzt das Klicken auf die Schaltfläche Abbrechen die Regelliste auf den Zustand zurück, in dem sie sich beim ersten Öffnen befand. Sofern Sie nicht auf Speichern klicken, gehen alle in diesem Fenster vorgenommenen Änderungen verloren, wenn Sie das Konfigurationstool schließen.

Der Citrix Endpoint Management Connector für Exchange ActiveSync verfügt über drei Regeltypen: lokale Regeln, Citrix Endpoint Management Server-Regeln (auch bekannt als XDM-Regeln) und die Standardzugriffsregel.

Lokale Regeln: Lokale Regeln haben die höchste Priorität: Wenn ein Gerät von einer lokalen Regel abgeglichen wird, wird die Regelauswertung beendet. Weder die Citrix Endpoint Management Server-Regeln noch die Standardzugriffsregel werden konsultiert. Lokale Regeln werden lokal für den Connector für Exchange ActiveSync über die Registerkarte Konfigurieren > Zugriffsregeln > Lokale Regeln konfiguriert. Die Unterstützung des Abgleichs basiert auf der Mitgliedschaft eines Benutzers in einer bestimmten Active Directory-Gruppe. Die Unterstützung des Abgleichs basiert auf regulären Ausdrücken für die folgenden Felder:

• Active Sync-Geräte-ID
• ActiveSync-Gerätetyp
• Benutzerprinzipalname (UPN)
• ActiveSync-Benutzeragent (typischerweise die Geräteplattform oder der E-Mail-Client)

Solange ein Haupt-Snapshot abgeschlossen ist und Geräte gefunden wurden, können Sie entweder eine normale oder eine Regel mit regulärem Ausdruck hinzufügen. Wenn kein Haupt-Snapshot abgeschlossen wurde, können Sie nur Regeln mit regulären Ausdrücken hinzufügen.

Citrix Endpoint Management Server-Regeln: Citrix Endpoint Management Server-Regeln sind Verweise auf einen externen Citrix Endpoint Management Server, der Regeln für verwaltete Geräte bereitstellt. Der Citrix Endpoint Management Server kann mit eigenen übergeordneten Regeln konfiguriert werden, die die zuzulassenden oder zu blockierenden Geräte basierend auf dem Citrix Endpoint Management bekannten Eigenschaften identifizieren, z. B. ob das Gerät jailbroken ist oder ob das Gerät verbotene Apps enthält. Citrix Endpoint Management wertet die übergeordneten Regeln aus und erstellt eine Reihe von zugelassenen oder blockierten ActiveSync-Geräte-IDs, die dann an den XenMobile Mail Manager übermittelt werden.

Standardzugriffsregel: Die Standardzugriffsregel ist insofern einzigartig, als sie potenziell jedes Gerät abgleichen kann und immer zuletzt ausgewertet wird. Diese Regel ist die Auffangregel, was bedeutet, dass, wenn ein bestimmtes Gerät keiner lokalen oder Citrix Endpoint Management Server-Regel entspricht, der gewünschte Zugriffsstatus des Geräts durch den gewünschten Zugriffsstatus der Standardzugriffsregel bestimmt wird.

• Standardzugriff – Zulassen: Jedes Gerät, das weder einer lokalen noch einer Citrix Endpoint Management Server-Regel entspricht, wird zugelassen.
• Standardzugriff – Blockieren: Jedes Gerät, das weder einer lokalen noch einer Citrix Endpoint Management Server-Regel entspricht, wird blockiert.
• Standardzugriff – Unverändert: Der Zugriffsstatus jedes Geräts, das weder einer lokalen noch einer Citrix Endpoint Management Server-Regel entspricht, wird vom Connector für Exchange ActiveSync in keiner Weise geändert. Wenn ein Gerät von Exchange in den Quarantänemodus versetzt wurde, wird keine Aktion ausgeführt. Zum Beispiel ist der einzige Weg, ein Gerät aus dem Quarantänemodus zu entfernen, eine explizite lokale oder XDM-Regel, die die Quarantäne aufhebt.

Informationen zur Regelauswertung

-  Für jedes Gerät, das Exchange dem Connector für Exchange ActiveSync meldet, werden die Regeln der Reihe nach, von der höchsten zur niedrigsten Priorität, wie folgt ausgewertet:

• Lokale Regeln
• Citrix Endpoint Management Server-Regeln
• Standardzugriffsregel

Wenn eine Übereinstimmung gefunden wird, wird die Auswertung beendet. Wenn beispielsweise eine lokale Regel mit einem bestimmten Gerät übereinstimmt, wird das Gerät nicht anhand der Citrix Endpoint Management Server-Regeln oder der Standardzugriffsregel ausgewertet. Dies gilt auch innerhalb eines bestimmten Regeltyps. Wenn beispielsweise mehr als eine Übereinstimmung für ein bestimmtes Gerät in der lokalen Regelliste vorhanden ist, wird die Auswertung beendet, sobald die erste Übereinstimmung gefunden wird.

Der Connector für Exchange ActiveSync bewertet den aktuell definierten Regelsatz neu, wenn sich Geräteeigenschaften ändern, Geräte hinzugefügt oder entfernt werden oder wenn sich die Regeln selbst ändern. Haupt-Snapshots erfassen Änderungen und Entfernungen von Geräteeigenschaften in konfigurierbaren Intervallen. Kleinere Snapshots erfassen neue Geräte in konfigurierbaren Intervallen.

Exchange ActiveSync verfügt ebenfalls über Regeln zur Zugriffssteuerung. Es ist wichtig zu verstehen, wie diese Regeln im Kontext des Connectors für Exchange ActiveSync funktionieren. Exchange kann mit drei Ebenen von Regeln konfiguriert werden: persönliche Ausnahmen, Geräteregeln und Organisationseinstellungen. Der Connector für Exchange ActiveSync automatisiert die Zugriffssteuerung, indem er programmatisch Remote PowerShell-Anfragen sendet, um die Listen der persönlichen Ausnahmen zu beeinflussen. Dies sind Listen von zugelassenen oder blockierten Exchange ActiveSync-Geräte-IDs, die einem bestimmten Postfach zugeordnet sind. Bei der Bereitstellung übernimmt der Connector für Exchange ActiveSync effektiv die Verwaltung der Ausnahmelistenfunktion innerhalb von Exchange. Siehe den Microsoft-Artikel Geräteverwaltung mit Exchange und Configuration Manager.

Die Analyse ist nützlich in Situationen, in denen mehrere Regeln für dasselbe Feld definiert wurden. Sie können die Beziehungen zwischen Regeln beheben. Sie führen die Analyse aus der Perspektive der Regelfelder durch. Zum Beispiel werden Regeln in Gruppen analysiert, basierend auf dem Feld, das abgeglichen wird, wie ActiveSync-Geräte-ID, ActiveSync-Gerätetyp, Benutzer, Benutzeragent.

Regelterminologie

• Überschreibende Regel: Eine Überschreibung tritt auf, wenn mehr als eine Regel auf dasselbe Gerät angewendet werden kann. Da Regeln nach Priorität in der Liste ausgewertet werden, werden spätere Regelinstanzen, die möglicherweise zutreffen, möglicherweise nie ausgewertet.
• Konfliktierende Regel: Ein Konflikt tritt auf, wenn mehr als eine Regel auf dasselbe Gerät angewendet werden kann, aber der Zugriff (Zulassen/Blockieren) nicht übereinstimmt. Wenn die konfliktierenden Regeln keine Regeln mit regulären Ausdrücken sind, impliziert ein Konflikt immer eine Überschreibung.
• Ergänzende Regel: Eine Ergänzung tritt auf, wenn mehr als eine Regel eine Regel mit regulärem Ausdruck ist und daher sichergestellt werden muss, dass die beiden (oder mehr) regulären Ausdrücke entweder zu einer einzigen Regel mit regulärem Ausdruck kombiniert werden können oder keine Funktionalität duplizieren. Eine ergänzende Regel kann auch in ihrem Zugriff (Zulassen/Blockieren) in Konflikt stehen.
• Primäre Regel: Die primäre Regel ist die Regel, die im Dialogfeld angeklickt wurde. Die Regel wird visuell durch eine durchgezogene Rahmenlinie gekennzeichnet, die sie umgibt. Die Regel hat auch einen oder zwei grüne Pfeile, die nach oben oder unten zeigen. Zeigt ein Pfeil nach oben, so weist er darauf hin, dass es Hilfsregeln gibt, die der primären Regel vorausgehen. Zeigt ein Pfeil nach unten, so weist dies darauf hin, dass es Hilfsregeln gibt, die nach der primären Regel kommen. Es kann immer nur eine primäre Regel aktiv sein.
• Hilfsregel: Eine Hilfsregel steht in irgendeiner Weise mit der primären Regel in Beziehung, entweder durch Überschreibung, Konflikt oder eine ergänzende Beziehung. Die Regeln werden visuell durch einen gestrichelten Rahmen gekennzeichnet, der sie umgibt. Für jede primäre Regel kann es zwischen einer und vielen Hilfsregeln geben. Beim Klicken auf einen unterstrichenen Eintrag werden die hervorgehobenen Hilfsregeln immer aus der Perspektive der primären Regel angezeigt. Zum Beispiel wird die Hilfsregel von der primären Regel überschrieben, oder die Hilfsregel steht in ihrem Zugriff mit der primären Regel in Konflikt, oder die Hilfsregel ergänzt die primäre Regel.

Wie Regeltypen im Dialogfeld Regelanalyse angezeigt werden

• Wenn keine Konflikte, Überschreibungen oder Ergänzungen vorliegen, weist das Dialogfeld Regelanalyse keine unterstrichenen Einträge auf. Das Klicken auf eines der Elemente hat keine Auswirkungen; es treten beispielsweise normale visuelle Darstellungen ausgewählter Elemente auf.

  • Das Fenster Regelanalyse verfügt über ein Kontrollkästchen, das, wenn es ausgewählt ist, nur die Regeln anzeigt, die Konflikte, Überschreibungen, Redundanzen oder Ergänzungen darstellen.

    • 

Wenn eine Überschreibung auftritt, werden mindestens zwei Regeln unterstrichen: die primäre Regel und die Nebenregel(n). Mindestens eine Nebenregel erscheint in einer helleren Schriftart, um anzuzeigen, dass die Regel von einer Regel mit höherer Priorität überschrieben wurde. Sie können auf die überschriebene Regel klicken, um herauszufinden, welche Regel oder Regeln die Regel überschrieben haben. Jedes Mal, wenn eine überschriebene Regel hervorgehoben wurde, sei es, weil die Regel die primäre oder die Nebenregel ist, erscheint ein schwarzer Kreis daneben als weitere visuelle Anzeige, dass die Regel inaktiv ist. Beispielsweise sieht das Dialogfeld vor dem Klicken auf die Regel wie folgt aus:

Wenn Sie auf die Regel mit der höchsten Priorität klicken, sieht das Dialogfeld wie folgt aus:

In diesem Beispiel ist die reguläre Ausdrucksregel WorkMail.* die primäre Regel (durch den durchgezogenen Rahmen gekennzeichnet) und die normale Regel workmailc633313818 ist eine Nebenregel (durch den gestrichelten Rahmen gekennzeichnet). Der schwarze Punkt neben der Nebenregel ist ein visueller Hinweis, der zusätzlich anzeigt, dass die Regel inaktiv ist (wird niemals ausgewertet), da die reguläre Ausdrucksregel mit höherer Priorität ihr vorausgeht. Nach dem Klicken auf die überschriebene Regel sieht das Dialogfeld wie folgt aus:

Im vorhergehenden Beispiel ist die reguläre Ausdrucksregel WorkMail.* die Nebenregel (durch den gestrichelten Rahmen gekennzeichnet) und die normale Regel workmailc633313818 ist eine primäre Regel (durch den durchgezogenen Rahmen gekennzeichnet). Für dieses einfache Beispiel gibt es keinen großen Unterschied. Ein komplexeres Beispiel finden Sie im Abschnitt „Komplexes Ausdrucksbeispiel“ weiter unten in diesem Thema. In einem Szenario mit vielen definierten Regeln würde das Klicken auf die überschriebene Regel schnell identifizieren, welche Regel oder Regeln sie überschrieben haben.

Wenn ein Konflikt auftritt, werden mindestens zwei Regeln unterstrichen, die primäre Regel und die Nebenregel(n). Die in Konflikt stehenden Regeln werden durch einen roten Punkt gekennzeichnet. Regeln, die nur miteinander in Konflikt stehen, sind nur bei zwei oder mehr definierten regulären Ausdrucksregeln möglich. In allen anderen Konfliktszenarien gibt es nicht nur einen Konflikt, sondern auch eine Überschreibung. Bevor Sie in einem einfachen Beispiel auf eine der Regeln klicken, sieht das Dialogfeld wie folgt aus:

Durch die Überprüfung der beiden regulären Ausdrucksregeln wird deutlich, dass die erste Regel alle Geräte mit einer Geräte-ID, die „App“ enthält, zulässt und dass die zweite Regel alle Geräte mit einer Geräte-ID, die Appl enthält, verweigert. Auch wenn die zweite Regel alle Geräte mit einer Geräte-ID, die Appl enthält, verweigert, werden niemals Geräte mit diesem Übereinstimmungskriterium verweigert, da die Zulassungsregel eine höhere Präzedenz hat. Nach dem Klicken auf die erste Regel sieht das Dialogfeld wie folgt aus:

Im vorhergehenden Szenario sind sowohl die primäre Regel (reguläre Ausdrucksregel App.*) als auch die Nebenregel (reguläre Ausdrucksregel Appl.*) gelb hervorgehoben. Dies ist lediglich eine visuelle Warnung, um Sie darauf aufmerksam zu machen, dass Sie mehr als eine reguläre Ausdrucksregel auf ein einziges abgleichbares Feld angewendet haben, was ein Redundanzproblem oder etwas Ernsteres bedeuten kann.

In einem Szenario mit sowohl einem Konflikt als auch einer Überschreibung sind sowohl die primäre Regel (reguläre Ausdrucksregel App.*) als auch die Nebenregel (reguläre Ausdrucksregel Appl.*) gelb hervorgehoben. Dies ist lediglich eine visuelle Warnung, um Sie darauf aufmerksam zu machen, dass Sie mehr als eine reguläre Ausdrucksregel auf ein einziges abgleichbares Feld angewendet haben, was ein Redundanzproblem oder etwas Ernsteres bedeuten kann.

Im vorhergehenden Beispiel ist leicht zu erkennen, dass die erste Regel (reguläre Ausdrucksregel SAMSUNG.*) nicht nur die nächste Regel (normale Regel SAMSUNG-SM-G900A/101.40402) überschreibt, sondern dass sich die beiden Regeln auch in ihrem Zugriff unterscheiden (primär gibt „Zulassen“ an, sekundär gibt „Blockieren“ an). Die zweite Regel (normale Regel SAMSUNG-SM-G900A/101.40402) wird in hellerem Text angezeigt, um darauf hinzuweisen, dass sie überschrieben wurde und daher inaktiv ist.

Nach dem Klicken auf die reguläre Ausdrucksregel sieht das Dialogfeld wie folgt aus:

Die primäre Regel (Regulärer-Ausdruck-Regel SAMSUNG.*) wird von einem roten Punkt gefolgt, der anzeigt, dass ihr Zugriffsstatus mit einer oder mehreren Nebenregeln in Konflikt steht. Die Nebenregel (normale Regel SAMSUNG-SM-G900A/101.40402) wird von einem roten Punkt gefolgt, der anzeigt, dass ihr Zugriffsstatus mit der primären Regel in Konflikt steht. Dieser Regel folgt auch ein schwarzer Punkt, der anzeigt, dass sie überschrieben und somit inaktiv ist.

Mindestens zwei Regeln werden unterstrichen sein: die primäre Regel und die Nebenregel(n). Regeln, die sich nur gegenseitig ergänzen, betreffen ausschließlich Regeln für reguläre Ausdrücke. Wenn sich die Regeln gegenseitig ergänzen, werden sie mit einer gelben Überlagerung angezeigt. Bevor Sie auf eine der Regeln klicken, sieht das Dialogfeld in einem einfachen Beispiel wie folgt aus:

Eine visuelle Überprüfung zeigt leicht, dass beide Regeln Regulärer-Ausdruck-Regeln sind, die beide auf das ActiveSync-Geräte-ID-Feld im Citrix Endpoint Management Connector für Exchange ActiveSync angewendet wurden. Nach dem Klicken auf die erste Regel sieht das Dialogfeld wie folgt aus:

Die primäre Regel (Regulärer-Ausdruck-Regel WorkMail.*) wird mit einer gelben Überlagerung hervorgehoben, um anzuzeigen, dass mindestens eine weitere Nebenregel existiert, die ein regulärer Ausdruck ist. Die Nebenregel (Regulärer-Ausdruck-Regel SAMSUNG.*) wird mit einer gelben Überlagerung hervorgehoben, um anzuzeigen, dass sowohl sie als auch die primäre Regel Regulärer-Ausdruck-Regeln sind, die auf dasselbe Feld innerhalb des Connectors für Exchange ActiveSync angewendet werden. In diesem Fall ist dieses Feld die ActiveSync-Geräte-ID. Die regulären Ausdrücke können sich überlappen oder auch nicht. Es liegt an Ihnen zu entscheiden, ob Ihre regulären Ausdrücke korrekt erstellt wurden.

Beispiel eines komplexen Ausdrucks

Viele potenzielle Überschreibungen, Konflikte oder Ergänzungen können auftreten, wodurch es unmöglich ist, ein Beispiel für alle möglichen Szenarien zu geben. Das folgende Beispiel erörtert, was zu vermeiden ist, und dient gleichzeitig dazu, die volle Leistungsfähigkeit des visuellen Konstrukts der Regelanalyse zu veranschaulichen. Die meisten Elemente sind in der folgenden Abbildung unterstrichen. Viele der Elemente werden in einer helleren Schriftart dargestellt, was darauf hinweist, dass die betreffende Regel auf irgendeine Weise von einer Regel mit höherer Priorität überschrieben wurde. Mehrere Regulärer-Ausdruck-Regeln sind ebenfalls in der Liste enthalten, wie durch das Symbol angezeigt.

So analysieren Sie eine Überschreibung

Um zu sehen, welche Regel(n) eine bestimmte Regel überschrieben hat/haben, klicken Sie auf die Regel.

Beispiel 1: Dieses Beispiel untersucht, warum zentrain01@zenprise.com überschrieben wurde.

Die primäre Regel (AD-Gruppenregel zenprise/TRAINING/ZenTraining B, deren Mitglied zentrain01@zenprise.com ist) weist die folgenden Merkmale auf:

• Ist blau hervorgehoben und hat einen durchgezogenen Rahmen.
• Hat einen nach oben zeigenden grünen Pfeil (um anzuzeigen, dass sich die Nebenregeln alle darüber befinden).
• Wird sowohl von einem roten als auch von einem schwarzen Kreis gefolgt, um jeweils anzuzeigen, dass eine oder mehrere Nebenregeln mit ihrem Zugriff in Konflikt stehen und dass die primäre Regel überschrieben und somit inaktiv ist.

Wenn Sie nach oben scrollen, sehen Sie Folgendes:

In diesem Fall gibt es zwei Nebenregeln, die die primäre Regel überschreiben: die Regulärer-Ausdruck-Regel zen.* und die normale Regel zentrain01@zenprise.com (von zenprise/TRAINING/ZenTraining A). Im Falle der letzteren Nebenregel ist Folgendes geschehen: Die Active Directory-Gruppenregel ZenTraining A enthält den Benutzer zentrain01@zenprise.com, und die Active Directory-Gruppenregel ZenTraining B enthält ebenfalls den Benutzer zentrain01@zenprise.com. Da die Nebenregel jedoch eine höhere Präzedenz als die primäre Regel hat, wurde die primäre Regel überschrieben. Der Zugriff der primären Regel ist “Zulassen”, und da der Zugriff beider Nebenregeln “Blockieren” ist, werden alle mit einem roten Kreis gefolgt, um einen Zugriffskonflikt weiter anzuzeigen.

Beispiel 2: Dieses Beispiel zeigt, warum das Gerät mit der ActiveSync-Geräte-ID 069026593E0C4AEAB8DE7DD589ACED33 überschrieben wurde:

Die primäre Regel (Regel für normale Geräte-ID 069026593E0C4AEAB8DE7DD589ACED33) weist die folgenden Merkmale auf:

• Ist blau hervorgehoben und hat einen durchgezogenen Rahmen.
• Hat einen nach oben zeigenden grünen Pfeil (um anzuzeigen, dass die Nebenregel darüber zu finden ist).
• Wird von einem schwarzen Kreis gefolgt, um anzuzeigen, dass eine Nebenregel die primäre Regel außer Kraft gesetzt hat und daher inaktiv ist.

In diesem Fall setzt eine einzelne Nebenregel die primäre Regel außer Kraft: Die Regel für die ActiveSync-Geräte-ID mit regulärem Ausdruck lautet 3E.* Da der reguläre Ausdruck 3E.* mit 069026593E0C4AEAB8DE7DD589ACED33 übereinstimmen würde, wird die primäre Regel niemals ausgewertet.

So analysieren Sie eine Ergänzung und einen Konflikt

In diesem Fall ist die primäre Regel die Regel für den ActiveSync-Gerätetyp mit regulärem Ausdruck touch.* Die Merkmale sind wie folgt:

• Wird durch einen durchgezogenen Rahmen mit einer gelben Überlagerung angezeigt, als Warnung, dass mehr als eine Regel mit regulärem Ausdruck auf ein bestimmtes Regelfeld angewendet wird, in diesem Fall den ActiveSync-Gerätetyp.
• Zwei Pfeile zeigen jeweils nach oben und unten, was darauf hinweist, dass es mindestens eine Nebenregel mit höherer Priorität und mindestens eine Nebenregel mit niedrigerer Priorität gibt.
• Der rote Kreis daneben zeigt an, dass mindestens eine Nebenregel ihren Zugriff auf Zulassen gesetzt hat, was mit dem Zugriff der primären Regel von Blockieren in Konflikt steht.
• Es gibt zwei Nebenregeln: die Regel für den ActiveSync-Gerätetyp mit regulärem Ausdruck SAM.* und die Regel für den ActiveSync-Gerätetyp mit regulärem Ausdruck Andro.*.
• Beide Nebenregeln sind mit Strichen umrandet, um anzuzeigen, dass sie Nebenregeln sind.
• Beide Nebenregeln sind gelb überlagert, um anzuzeigen, dass sie auch auf das Regelfeld des ActiveSync-Gerätetyps angewendet werden.
• Sie müssen in solchen Szenarien sicherstellen, dass ihre Regeln mit regulärem Ausdruck nicht redundant sind.

So analysieren Sie die Regeln weiter

Dieses Beispiel zeigt, wie Regelbeziehungen immer aus der Perspektive der primären Regel betrachtet werden. Das vorhergehende Beispiel zeigte, wie ein Klick auf die Regel mit regulärem Ausdruck, die auf das Regelfeld des Gerätetyps mit dem Wert touch.* angewendet wurde, erfolgte. Das Klicken auf die Nebenregel Andro.* zeigt einen anderen Satz hervorgehobener Nebenregeln.

Das Beispiel zeigt eine außer Kraft gesetzte Regel, die in der Regelbeziehung enthalten ist. Diese Regel ist die normale ActiveSync-Gerätetyp-Regel Android, die außer Kraft gesetzt wird (angezeigt durch die aufgehellte Schrift und den schwarzen Kreis daneben) und auch in ihrem Zugriff mit der primären Regel für den ActiveSync-Gerätetyp mit regulärem Ausdruck Andro.* in Konflikt steht. Diese Regel war zuvor eine Nebenregel, bevor sie angeklickt wurde. Im vorhergehenden Beispiel wurde die normale ActiveSync-Gerätetyp-Regel Android nicht als Nebenregel angezeigt, weil sie aus der Perspektive der damaligen primären Regel (der Regel für den ActiveSync-Gerätetyp mit regulärem Ausdruck touch.*) nicht damit in Beziehung stand.

So konfigurieren Sie eine lokale Regel für normale Ausdrücke

1. Klicken Sie auf die Registerkarte Zugriffsregeln.

   

2. Wählen Sie in der Liste Geräte-ID das Feld aus, für das Sie eine lokale Regel erstellen möchten.

3. Klicken Sie auf das Lupensymbol, um alle eindeutigen Übereinstimmungen für das ausgewählte Feld anzuzeigen. In diesem Beispiel wurde das Feld Gerätetyp ausgewählt und die Auswahlmöglichkeiten werden im folgenden Listenfeld angezeigt:

   

4. Klicken Sie auf eines der Elemente im Ergebnislistenfeld und klicken Sie dann auf eine der folgenden Optionen:

   • Zulassen bedeutet, dass Exchange so konfiguriert wird, dass ActiveSync-Datenverkehr für alle übereinstimmenden Geräte zugelassen wird.
   • Verweigern bedeutet, dass Exchange so konfiguriert wird, dass ActiveSync-Datenverkehr für alle übereinstimmenden Geräte verweigert wird.

   In diesem Beispiel wird allen Geräten mit dem Gerätetyp SamsungSPhl720 der Zugriff verweigert.

   

So fügen Sie einen regulären Ausdruck hinzu

Lokale Regeln für reguläre Ausdrücke können durch das Symbol unterschieden werden, das daneben angezeigt wird – . Um eine Regel für reguläre Ausdrücke hinzuzufügen, können Sie entweder eine Regel für reguläre Ausdrücke aus einem vorhandenen Wert aus der Ergebnisliste für ein bestimmtes Feld erstellen (sofern ein Haupt-Snapshot abgeschlossen wurde), oder Sie können einfach den gewünschten regulären Ausdruck eingeben.

So erstellen Sie einen regulären Ausdruck aus einem vorhandenen Feldwert

1. Klicken Sie auf die Registerkarte Zugriffsregeln.

   

2. Wählen Sie in der Liste Geräte-ID das Feld aus, für das Sie eine lokale Regel für reguläre Ausdrücke erstellen möchten.

3. Klicken Sie auf das Lupensymbol, um alle eindeutigen Übereinstimmungen für das ausgewählte Feld anzuzeigen. In diesem Beispiel wurde das Feld Gerätetyp ausgewählt, und die Auswahlmöglichkeiten werden im folgenden Listenfeld angezeigt:

   

4. Klicken Sie auf eines der Elemente in der Ergebnisliste. In diesem Beispiel wurde SAMSUNGSPHL720 ausgewählt und erscheint im Textfeld neben Gerätetyp.

   

5. Um alle Gerätetypen zuzulassen, die „Samsung“ in ihrem Gerätetypwert enthalten, fügen Sie eine Regel für reguläre Ausdrücke hinzu, indem Sie die folgenden Schritte ausführen:

   1. Klicken Sie in das Textfeld des ausgewählten Elements.

   2. Ändern Sie den Text von SAMSUNGSPHL720 in SAMSUNG.*.

   3. Stellen Sie sicher, dass das Kontrollkästchen für reguläre Ausdrücke aktiviert ist.

   4. Klicken Sie auf Zulassen.

   

So erstellen Sie eine Zugriffsregel

1. Klicken Sie auf die Registerkarte Lokale Regeln.

2. Um den regulären Ausdruck einzugeben, müssen Sie sowohl die Liste der Geräte-IDs als auch das Textfeld des ausgewählten Elements verwenden.

   

3. Wählen Sie das Feld aus, mit dem Sie abgleichen möchten. Dieses Beispiel verwendet Gerätetyp.
4. Geben Sie den regulären Ausdruck ein. Dieses Beispiel verwendet samsung.*

5. Stellen Sie sicher, dass das Kontrollkästchen für den regulären Ausdruck aktiviert ist, und klicken Sie dann auf Zulassen oder Verweigern. In diesem Beispiel ist die Auswahl auf Zulassen festgelegt. Das Endergebnis sieht wie folgt aus:

   

So finden Sie Geräte

Durch Aktivieren des Kontrollkästchens für den regulären Ausdruck können Sie nach bestimmten Geräten suchen, die dem angegebenen Ausdruck entsprechen. Diese Funktion ist nur verfügbar, wenn ein Haupt-Snapshot erfolgreich abgeschlossen wurde. Sie können diese Funktion auch dann verwenden, wenn keine regulären Ausdrucksregeln verwendet werden sollen. Angenommen, Sie möchten beispielsweise alle Geräte finden, die den Text workmail in ihrer ActiveSync-Geräte-ID enthalten. Gehen Sie dazu wie folgt vor.

1. Klicken Sie auf die Registerkarte Zugriffsregeln.

2. Stellen Sie sicher, dass die Feldauswahl für den Geräteabgleich auf Geräte-ID (Standard) eingestellt ist.

   

3. Klicken Sie in das Textfeld des ausgewählten Elements (wie in der vorhergehenden Abbildung blau dargestellt) und geben Sie dann workmail.* ein.

4. Stellen Sie sicher, dass das Kontrollkästchen für den regulären Ausdruck aktiviert ist, und klicken Sie dann auf das Lupensymbol, um die Übereinstimmungen wie in der folgenden Abbildung dargestellt anzuzeigen.

   

So fügen Sie einen einzelnen Benutzer, ein Gerät oder einen Gerätetyp zu einer statischen Regel hinzu

Sie können statische Regeln basierend auf Benutzer, Geräte-ID oder Gerätetyp auf der Registerkarte ActiveSync-Geräte hinzufügen.

1. Klicken Sie auf die Registerkarte ActiveSync-Geräte.

2. Klicken Sie in der Liste mit der rechten Maustaste auf einen Benutzer, ein Gerät oder einen Gerätetyp und wählen Sie aus, ob Sie Ihre Auswahl zulassen oder verweigern möchten.

   Die folgende Abbildung zeigt die Option Zulassen/Verweigern, wenn user1 ausgewählt ist.

   

Geräteüberwachung

Auf der Registerkarte Überwachen im Citrix Endpoint Management-Connector für Exchange ActiveSync können Sie die erkannten Exchange ActiveSync- und BlackBerry-Geräte sowie den Verlauf der ausgeführten automatisierten PowerShell-Befehle durchsuchen. Die Registerkarte Überwachen enthält die folgenden drei Registerkarten:

• ActiveSync-Geräte:
  • Sie können die angezeigten ActiveSync-Gerätepartnerschaften exportieren, indem Sie auf die Schaltfläche Exportieren klicken.
  • Sie können lokale (statische) Regeln hinzufügen, indem Sie mit der rechten Maustaste auf die Spalten Benutzer, Geräte-ID oder Typ klicken und den entsprechenden Regeltyp zum Zulassen oder Blockieren auswählen.
  • Um eine erweiterte Zeile zu reduzieren, klicken Sie bei gedrückter Strg-Taste auf die erweiterte Zeile.
• BlackBerry-Geräte
• Automatisierungsverlauf

Die Registerkarte Konfigurieren zeigt den Verlauf aller Snapshots an. Der Snapshot-Verlauf zeigt an, wann der Snapshot erstellt wurde, wie lange er gedauert hat, wie viele Geräte erkannt wurden und welche Fehler aufgetreten sind:

• Klicken Sie auf der Registerkarte Exchange auf das Info-Symbol für den gewünschten Exchange-Server.

Fehlerbehebung und Diagnose

Der Citrix Endpoint Management Connector für Exchange ActiveSync protokolliert Fehler und andere Betriebsinformationen in seiner Protokolldatei: Installationsordner\log\XmmWindowsService.log. Der Connector für Exchange ActiveSync protokolliert auch wichtige Ereignisse im Windows-Ereignisprotokoll.

So ändern Sie die Protokollierungsstufe

Der Citrix Endpoint Management Connector für Exchange ActiveSync umfasst die folgenden Protokollierungsstufen: Error, Info, Warn, Debug und Trace.

Hinweis:

Jede aufeinanderfolgende Stufe erzeugt mehr Details (mehr Daten). Zum Beispiel bietet die Stufe Error die geringsten Details, während die Stufe Trace die meisten Details bietet.

Um die Protokollierungsstufe zu ändern, gehen Sie wie folgt vor:

1. Öffnen Sie im Citrix Endpoint Management Connector unter C:\Program Files\Citrix\Citrix die Datei nlog.config.

2. Ändern Sie im Abschnitt <rules> den Parameter minilevel auf die gewünschte Protokollierungsstufe. Zum Beispiel:

       <rules >
   
       <logger name="*" writeTo="file" minlevel="Debug" />
   
       </rules>
   <!--NeedCopy-->
   

3. Speichern Sie die Datei.

   Die Änderungen werden sofort wirksam. Sie müssen den Connector für Exchange ActiveSync nicht neu starten.

Häufige Fehler

Die folgende Liste enthält häufige Fehler:

• Der Connector für den Exchange ActiveSync-Dienst startet nicht

  Überprüfen Sie die Protokolldatei und das Windows-Ereignisprotokoll auf Fehler. Typische Ursachen sind:

  • Der Connector für den Exchange ActiveSync-Dienst kann nicht auf den SQL Server zugreifen. Dies kann durch folgende Probleme verursacht werden:

    • Der SQL Server-Dienst wird nicht ausgeführt.
    • Authentifizierungsfehler.

    Wenn die Windows Integrated-Authentifizierung konfiguriert ist, muss das Benutzerkonto des Connectors für den Exchange ActiveSync-Dienst ein zulässiger SQL-Anmeldebenutzer sein. Das Konto des Connectors für den Exchange ActiveSync-Dienst ist standardmäßig „Lokales System“, kann aber in jedes Konto geändert werden, das über lokale Administratorrechte verfügt. Wenn die SQL-Authentifizierung konfiguriert ist, muss die SQL-Anmeldung in SQL ordnungsgemäß konfiguriert sein.

Fehlerbehebungstools

Ein Satz von PowerShell-Dienstprogrammen zur Fehlerbehebung ist im Ordner Support\PowerShell verfügbar.

Ein Fehlerbehebungstool führt eine detaillierte Analyse von Benutzerpostfächern und Geräten durch, erkennt Fehlerbedingungen und potenzielle Fehlerbereiche sowie eine detaillierte RBAC-Analyse von Benutzern. Es kann eine Rohausgabe aller Cmdlets in einer Textdatei speichern.