Citrix Endpoint Management

NetScaler Gateway Connector für Exchange ActiveSync

XenMobile NetScaler Connector ist jetzt der NetScaler Gateway Connector für Exchange ActiveSync. Weitere Informationen zum vereinheitlichten Citrix-Portfolio finden Sie im Citrix product name guide.

Der Connector für Exchange ActiveSync bietet einen Authentifizierungsdienst auf Geräteebene für ActiveSync-Clients bei NetScaler Gateway, der als Reverseproxy für das Exchange ActiveSync-Protokoll fungiert. Sie steuern die Autorisierung durch eine Kombination aus:

  • Richtlinien, die Sie in Citrix Endpoint Management definieren
  • Lokal vom NetScaler Gateway Connector für Exchange ActiveSync definierten Regeln

Weitere Informationen finden Sie unter ActiveSync-Gateway.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Die aktuelle Version des NetScaler Gateway Connector für Exchange ActiveSync ist Version 8.5.3.

Cloud Connector herunterladen:

  1. Gehen Sie zu https://www.citrix.com/downloads.
  2. Navigieren Sie zu Citrix Endpoint Management (und Citrix XenMobile Server) > XenMobile Server (on-premises) > Product Software > XenMobile Server 10 > Server Components.
  3. Klicken Sie auf der Kachel NetScaler Gateway Connector auf Download File.

Informationen zur Installation des Connectors finden Sie unter NetScaler Gateway Connector für Exchange ActiveSync installieren.

Wichtig:

Ab Oktober 2022 bieten Citrix Endpoint Management Connector und NetScaler Gateway Connector für Exchange ActiveSync angesichts der von Microsoft hier angekündigten Authentifizierungsänderungen keine Unterstützung mehr für Exchange Online. Der Citrix Endpoint Management Connector für Exchange funktioniert weiterhin mit Microsoft Exchange Server (on-premises).

Neue Features in Version 8.5.3

  • Diese Version unterstützt die ActiveSync-Protokolle 16.0 und 16.1.
  • Den an Google Analytics gesendeten Analysedaten wurden weitere Details (insbesondere in Bezug auf Snapshots) hinzugefügt. [CXM-52261]

Was ist neu in früheren Releases

Hinweis:

Im folgenden “Neue Features”-Abschnitt wird für den NetScaler Gateway Connector für Exchange ActiveSync der bisherige Name “XenMobile NetScaler Connector” verwendet. Der Name hat sich seit Version 8.5.2 geändert.

Neue Features in Version 8.5.2

  • XenMobile NetScaler Connector ist jetzt der NetScaler Gateway Connector für Exchange ActiveSync.

Die folgenden Probleme wurden in dieser Version behoben:

  • Wenn bei der Definition einer Richtlinienregel mehr als ein Kriterium verwendet wird und eines der Kriterien die Benutzer-ID betrifft, kann das folgende Problem auftreten: Wenn ein Benutzer mehrere Aliasse hat, werden die Aliasse bei der Anwendung der Regel nicht auch überprüft. [CXM-55355]

Neue Features in Version 8.5.1.11

  • Geänderte Systemanforderungen: Die aktuelle Version von NetScaler Connector erfordert Microsoft .NET Framework 4.5.

  • Unterstützung von Google Analytics: Wir möchten wissen, wie Sie den Connector verwenden, damit wir wissen, wo wir das Produkt verbessern können.

  • Unterstützung für TLS 1.1 und 1.2: Aufgrund der schwächeren Sicherheit werden TLS 1.0 und TLS 1.1 vom PCI Council nicht mehr unterstützt. XenMobile NetScaler Connector unterstützt jetzt TLS 1.2.

NetScaler Gateway Connector für Exchange ActiveSync überwachen

Das Konfigurationsprogramm für den NetScaler Gateway Connector für Exchange ActiveSync bietet eine detaillierte Protokollierung. Mit diesen Protokollen können Sie den gesamten Datenverkehr über den Exchange Server anzeigen, der vom Secure Mobile Gateway zugelassen oder blockiert wird.

Auf der Registerkarte Protokollierung wird der Verlauf der von NetScaler Gateway zur Autorisierung an den Connector für Exchange ActiveSync weitergeleiteten ActiveSync-Anforderungen angezeigt.

Vergewissern Sie sich außerdem, dass der Connector für den Exchange ActiveSync-Webdienst ausgeführt wird, indem Sie die folgende URL in einen Browser auf dem Connector-Server eingeben: https://<host:port>/services/ActiveSync/Version. Wird die Produktversion als Zeichenfolge zurückgegeben, wird der Webdienst ausgeführt.

Simulieren des ActiveSync-Datenverkehrs mit dem Connector für Exchange ActiveSync

Sie können den NetScaler Gateway Connector für Exchange ActiveSync zum Simulieren des ActiveSync-Datenverkehrs gemäß Ihren Richtlinien verwenden. Klicken Sie im Connector-Konfigurationsprogramm auf die Registerkarte Simulator. Das Ergebnis zeigt, wie Ihre Richtlinien nach den von Ihnen konfigurierten Regeln angewendet werden.

Auswählen von Filtern für den Connector für Exchange ActiveSync

NetScaler Gateway Connector für Exchange ActiveSync-Filter analysieren Geräte auf Verstöße gegen bestimmte Richtlinien oder Eigenschaften. Erfüllt ein Gerät die Kriterien, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Liste zum Zulassen oder Blockieren. Es ist lediglich eine Liste der Geräte, die die Kriterien erfüllen. Die folgenden Filter sind für den Connector für Exchange ActiveSync in Citrix Endpoint Management verfügbar. Die Optionen für jeden Filter sind Zulassen oder Verweigern.

  • Anonyme Geräte: dient zum Zulassen oder Blockieren von Geräten, die bei Citrix Endpoint Management registriert sind, bei denen die Identität des Benutzers jedoch unbekannt ist. Ein registrierter Benutzer hat beispielsweise eine unbekannte Identität, wenn er ein abgelaufenes Active Directory-Kennwort oder unbekannte Anmeldeinformationen hat.
  • Unzulässige Apps: Zulassen oder Blockieren von Geräten basierend auf Sperrlisten in Richtlinien und vorhandenen Apps auf einer Sperrliste.
  • Implizit zulassen/verweigern: erstellt eine Liste aller Geräte, die keines der anderen Filterkriterien erfüllen, und lässt den Zugriff zu bzw. blockiert ihn für diese Geräte. Die Option “Implizit zulassen/verweigern” stellt sicher, dass der Connector für Exchange ActiveSync-Status für die Registerkarte “Geräte” aktiviert ist und den Connector-Status für die Geräte anzeigt. Die Option “Implizit zulassen/verweigern” steuert auch alle anderen Connector-Filter, die nicht ausgewählt wurden. Beispielsweise werden Apps auf der Sperrliste vom Connector blockiert. Alle übrigen Filter werden vom Connector jedoch zugelassen, da die Option “Implizit zulassen/verweigern” auf Zulassenfestgelegt ist.
  • Inaktive Geräte: Erstellt eine Liste von Geräten, die innerhalb eines bestimmten Zeitraums nicht mit Citrix Endpoint Management kommuniziert haben. Solche Geräte werden als inaktiv eingestuft. Der Filter lässt die Geräte zu oder verweigert sie entsprechend.
  • Fehlende Pflicht-Apps: Wenn sich ein Benutzer anmeldet, erhält er eine Liste der erforderlichen Apps, die installiert werden müssen. Der Filter für fehlende Plicht-Apps sucht Apps, die nicht mehr vorhanden sind (beispielsweise, weil sie vom Benutzer gelöscht wurden).
  • Nicht empfohlene Apps: Wenn sich ein Benutzer registriert, erhält er eine Liste der zu installierenden Apps. Der Filter für nicht empfohlene Apps überprüft das Gerät auf Apps, die nicht auf dieser Liste stehen.
  • Nicht richtlinientreues Kennwort: erstellt eine Liste aller Geräte ohne Passcode.
  • Nicht richtlinientreue Geräte: ermöglicht das Zulassen bzw. Blockieren von Geräten auf der Basis der Einhaltung firmeninterner IT-Richtlinien. Die Richtlinientreue ist eine willkürliche Einstellung, die durch die Geräteeigenschaft “Out of Compliance” definiert ist, einem booleschen Flag, das entweder True oder False sein kann. (Sie können diese Eigenschaft manuell erstellen und den Wert festlegen. Oder Sie können diese Eigenschaft mit automatisierten Aktionen auf einem Gerät erstellen, sofern das Gerät bestimmte Kriterien erfüllt.)
    • Out of Compliance = True: Wenn ein Gerät die Vorgaben und Richtliniendefinitionen der IT-Abteilung nicht erfüllt, wird das Gerät als nicht richtlinientreu eingestuft.
    • Out of Compliance = False: Wenn ein Gerät die Vorgaben und Richtliniendefinitionen der IT-Abteilung erfüllt, wird das Gerät als richtlinientreu eingestuft.
  • Widerrufenstatus: erstellt eine Liste aller widerrufenen Geräte und lässt den Zugriff zu bzw. blockiert ihn auf der Basis des Gerätestatus.
  • Android-Geräte mit Rooting/iOS-Geräte mit Jailbreak: Erstellt eine Liste aller Geräte, die als gerootet markiert wurden, und lässt den Zugriff zu bzw. blockiert ihn auf der Basis des entsprechenden Gerätestatus.
  • Nicht verwaltete Geräte: Erstellt eine Liste aller Geräte in der Citrix Endpoint Management-Datenbank. Stellen Sie das Mobile Application Gateway im Modus “Blockieren” bereit.

Konfigurieren einer Verbindung zum NetScaler Gateway Connector für Exchange ActiveSync

Der NetScaler Gateway Connector für Exchange ActiveSync kommuniziert mit Citrix Endpoint Management und anderen Remotekonfigurationsanbietern über Citrix Secure Webdienste.

  1. Klicken Sie im Connector für Exchange ActiveSync-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie im Dialogfeld Config Providers unter Name den Benutzernamen eines Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem Citrix Endpoint Management-Server verwendet wird.
  3. Geben Sie unter Url die Webadresse des Citrix Endpoint Management-GCS (normalerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>) ein. Beim Namen MagConfigService wird zwischen Groß- und Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort für die HTTP-Standardauthentifizierung beim Citrix Endpoint Management-Server an.
  5. Geben Sie unter Managing Host den Namen des Servers mit dem Connector für Exchange ActiveSync ein.
  6. Geben Sie unter Baseline Interval das Intervall ein, in dem von Citrix Endpoint Management der aktualisierte Satz dynamischer Regeln abgerufen werden soll.
  7. Geben Sie unter Delta Interval einen Zeitraum für den Abruf aktualisierter dynamischer Regeln ein.
  8. Geben Sie unter Request Timeout das Timeoutintervall für die Serveranforderungen an.
  9. Wählen Sie unter Config Provider, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  10. Aktivieren Sie diese Option unter Events Enabled, wenn der Connector für Exchange ActiveSync die Blockierung eines Geräts an Citrix Endpoint Management melden soll. Die Option ist erforderlich, wenn Sie die Connector-Regeln in Citrix Endpoint Management für eine automatische Aktion verwenden.
  11. Klicken Sie auf Save und dann auf Test Connectivity, um die Verbindung zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewalleinstellungen die Verbindung gestatten, oder wenden Sie sich an den Administrator.
  12. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie auf Save.

Wenn Sie einen Konfigurationsanbieter hinzufügen, erstellt der Connector für Exchange ActiveSync automatisch eine oder mehrere diesem Anbieter zugeordnete Richtlinien. Diese Richtlinien werden durch eine Vorlagendefinition im Abschnitt NewPolicyTemplate der Datei config\policyTemplates.xml definiert. Für jedes Policy-Element in diesem Abschnitt wird eine neue Richtlinie erstellt.

Policy-Elemente können hinzugefügt, entfernt oder modifiziert werden, wenn folgende Voraussetzungen erfüllt sind: Das Policy-Element entspricht der Schemadefinition, und die Standard-Ersatzzeichenfolgen (in geschweiften Klammern) werden nicht geändert. Fügen Sie als Nächstes neue Gruppen für den Anbieter hinzu und aktualisieren Sie die Richtlinie zur Berücksichtigung der neuen Gruppen.

Importieren einer Richtlinie aus Citrix Endpoint Management

  1. Klicken Sie im Connector für Exchange ActiveSync-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie im Dialogfeld Config Providers unter Name den Benutzernamen des Kontos ein, das für die HTTP-Standardauthentifizierung bei Citrix Endpoint Management verwendet wird. Der Benutzer muss über Administratorrechte verfügen.
  3. Geben Sie unter Url die Webadresse des Citrix Endpoint Management Gateway Configuration Service (GCS) ein, normalerweise im Format https://<xdmHost>/xdm/services/<MagConfigService>. Beim Namen MagConfigService wird zwischen Groß- und Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem Citrix Endpoint Management-Server verwendet werden soll.
  5. Klicken Sie auf Test Connectivity, um die Verbindung zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewalleinstellungen die Verbindung gestatten, oder wenden Sie sich an den Administrator.
  6. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie auf Save.
  7. Behalten Sie unter Managing Host den Standard-DNS-Namen des lokalen Hostcomputers bei. Diese Einstellung wird für die Koordination der Kommunikation mit Citrix Endpoint Management verwendet, wenn mehrere Forefront Threat Management Gateway-Server in einem Array konfiguriert sind.

    Nach dem Speichern der Einstellungen öffnen Sie Gateway Configuration Service.

Konfigurieren des Richtlinienmodus des NetScaler Gateway-Connectors für Exchange ActiveSync

Der NetScaler Gateway Connector für Exchange ActiveSync kann in folgenden sechs Modi ausgeführt werden:

  • Allow All: In diesem Richtlinienmodus erhält der gesamte Datenverkehr, der den Connector für Exchange ActiveSync passiert, Zugriff. Es werden keine anderen Filterregeln verwendet.
  • Deny All: In diesem Richtlinienmodus wird der gesamte Datenverkehr, der den Connector für Exchange ActiveSync passiert, blockiert. Es werden keine anderen Filterregeln verwendet.
  • Static Rules: Block Mode: In diesem Richtlinienmodus werden statische Regeln mit einer impliziten Blockieren-Anweisung am Ende ausgeführt. Der Connector für Exchange ActiveSync blockiert Geräte, die nicht über andere Filterregeln zugelassen werden.
  • Static Rules: Permit Mode: In diesem Richtlinienmodus werden statische Regeln mit einer impliziten Zulassen-Anweisung am Ende ausgeführt. Geräte, die nicht über andere Filterregeln blockiert werden, werden von dem Connector für Exchange ActiveSync zugelassen.
  • Static + ZDM Rules: Block Mode: In diesem Richtlinienmodus werden statische Regeln und anschließend dynamische Regeln aus Citrix Endpoint Management mit einer impliziten Blockieren-Anweisung am Ende ausgeführt. Geräte werden basierend auf Filtern und Citrix Endpoint Management-Regeln zugelassen oder blockiert. Alle Geräte, die keinem Filter und keiner Regel entsprechen, werden blockiert.
  • Static + ZDM Rules: Permit Mode: In diesem Richtlinienmodus werden statische Regeln und anschließend dynamische Regeln aus Citrix Endpoint Management mit einer impliziten Zulassen-Anweisung am Ende ausgeführt. Geräte werden basierend auf Filtern und Citrix Endpoint Management-Regeln zugelassen oder blockiert. Alle Geräte, die keinem Filter und keiner Regel entsprechen, werden zugelassen.

Das Ausführen dynamischer Regeln durch den Connector für Exchange ActiveSync-Prozess basiert auf eindeutigen ActiveSync-Kennungen von iOS- und Windows-Mobilgeräten, die von Citrix Endpoint Management empfangen werden. Bei Android-Geräten ist das Verhalten je nach Hersteller unterschiedlich, einige stellen ihre eindeutige ActiveSync-ID nicht einfach zur Verfügung. Ersatzweise sendet Citrix Endpoint Management für Android-Geräte die Benutzer-ID, damit eine Entscheidung über Zulassen und Blockieren getroffen werden kann. Hat ein Benutzer nur ein Android-Gerät, funktioniert die Zugriffssteuerung daher ordnungsgemäß. Hat ein Benutzer mehrere Android-Geräte, werden alle Geräte zugelassen, da Android-Geräte nicht einzeln unterschieden werden können. Sie können festlegen, dass diese Geräte vom Gateway nach ActiveSync-ID statisch blockiert werden, sofern sie bekannt sind. Sie können das Gateway auch so konfigurieren, dass Geräte nach Gerätetyp oder Benutzeragent blockiert werden.

Zum Festlegen des Richtlinienmodus führen Sie im Konfigurationsprogramm des SMG-Controllers folgende Schritte aus:

  1. Klicken Sie auf die Registerkarte Path Filters und dann auf Add.
  2. Wählen Sie im Dialogfeld Path Properties aus der Liste Policy einen Richtlinienmodus aus und klicken Sie auf Save.

Sie können Regeln auf der Registerkarte Policies des Konfigurationsprogramms prüfen. Die Regeln werden auf dem Connector für Exchange ActiveSync von oben nach unten verarbeitet. Die Richtlinien zum Zulassen werden mit einem grünen Häkchen angezeigt. Die Richtlinien zum Verweigern werden mit einem durchgestrichenen roten Kreis angezeigt. Zum Aktualisieren der Anzeige der Regeln klicken Sie auf Refresh. Sie können die Reihenfolge der Regeln auch in der Datei config.xml ändern.

Zum Testen von Regeln klicken Sie auf die Registerkarte Simulator. Geben Sie Werte in den Feldern ein. Sie können die Werte aus den Protokollen abrufen. In einer Ergebnismeldung wird “Allow” oder “Block” angezeigt.

Konfigurieren von statischen Regeln

Geben Sie statische Regeln mit Werten ein, die von dem ISAPI-Filter der HTTP-Anforderungen der ActiveSync-Verbindung gelesen werden. Über statische Regeln kann Connector für Exchange ActiveSync den Datenverkehr basierend auf folgenden Kriterien zulassen oder blockieren:

  • User: Der Connector für Exchange ActiveSync verwendet die bei der Geräteregistrierung erfasste Struktur aus autorisiertem Benutzerwert und Namen. Diese Struktur ist normalerweise domain\username gemäß Verweis von dem Citrix Endpoint Management-Server, der mit Active Directory über LDAP verbunden ist. Auf der Registerkarte Log des Connector-Konfigurationsprogramms werden die durch den Connector gesendeten Werte angezeigt. Die Werte werden übertragen, wenn der Connector die Wertstruktur bestimmen muss oder wenn sich die Struktur unterscheidet.
  • DeviceID (ActiveSyncID): Wird auch als “ActiveSyncID” des verbundenen Geräts bezeichnet. Dieser Wert ist häufig auf der spezifischen Geräteeigenschaftenseite der Citrix Endpoint Management-Konsole. Er kann auch auf der Registerkarte Log im Konfigurationsprogramm des Connectors für Exchange ActiveSync ermittelt werden.
  • DeviceType: Der Connector für Exchange ActiveSync kann feststellen, ob es sich bei einem Gerät um ein iPhone, iPad oder einen anderen Gerätetyp handelt, und Geräte basierend auf diesem Kriterium blockieren oder zulassen. Wie bei anderen Werten kann Konfigurationsprogramm des NetScaler Gateway-Connectors für Exchange ActiveSync alle verbundenen Gerätetypen, die für die ActiveSync-Verbindung verarbeitet werden, anzeigen.
  • UserAgent: Enthält Informationen zu dem verwendeten ActiveSync-Client. In der Regel entspricht der Wert einem bestimmten Betriebssystem-Build-/Versionspaar für die Mobilgeräteplattform.

Das Connector für Exchange ActiveSync-Konfigurationsprogramm, das auf dem Server ausgeführt wird, verwaltet immer die statischen Regeln.

  1. Klicken Sie im Konfigurationsprogramm des Secure Mobile Gateway-Controllers auf die Registerkarte Static Rules und dann auf Add.
  2. Legen Sie im Dialogfeld Static Rule Properties die Werte fest, die Sie als Kriterien verwenden möchten. Beispiel: Um einen Benutzer für den Zugriff zuzulassen, geben Sie dessen Benutzernamen ein (z. B. AllowedUser) und deaktivieren Sie dann das Kontrollkästchen Disabled.
  3. Klicken Sie auf Speichern.

    Die statische Regel ist jetzt in Kraft. Sie können auch reguläre Ausdrücke zum Definieren von Werten verwenden, Sie müssen jedoch den Regelverarbeitungsmodus in der Datei config.xml aktivieren.

Konfigurieren von dynamischen Regeln

Dynamische Regeln werden über Geräterichtlinien und -eigenschaften in Citrix Endpoint Management definiert und können einen dynamischen Connector für Exchange ActiveSync-Filter auslösen. Die Filter werden bei einem Verstoß gegen eine Richtlinie oder Eigenschaft ausgelöst. Connector für Exchange ActiveSync-Filter analysieren Geräte auf Verstöße gegen bestimmte Richtlinien oder Eigenschaften. Erfüllt ein Gerät die Kriterien, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Liste zum Zulassen oder zum Blockieren. Es ist lediglich eine Liste der Geräte, die die Kriterien erfüllen. Über die folgenden Konfigurationsoptionen können Sie mithilfe des Connectors für Exchange ActiveSync festlegen, ob die Geräte in der Geräteliste zugelassen oder blockiert werden sollen.

Hinweis:

Verwenden Sie die Citrix Endpoint Management-Konsole, um dynamische Regeln zu konfigurieren.

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf ActiveSync-Gateway. Die Seite ActiveSync Gateway wird angezeigt.

  3. Wählen Sie unter Folgende Regel(n) aktivieren eine oder mehrere Regeln aus, die Sie aktivieren möchten.

  4. Nur Android: Klicken Sie unter Android-Domänenbenutzer an ActiveSync-Gateway senden auf Ja, um sicherzustellen, dass Citrix Endpoint Management Android-Geräteinformationen an das Secure Mobile Gateway sendet.

    Wenn diese Option aktiviert ist, sendet Citrix Endpoint Management Android-Geräteinformationen an den Connector, wenn Citrix Endpoint Management keine ActiveSync-ID für den Gerätebenutzer hat.

Konfigurieren benutzerdefinierter Richtlinien mithilfe der XML-Datei des Connectors für Exchange ActiveSync

Sie können die grundlegenden Richtlinien der Standardkonfiguration auf der Registerkarte Richtlinien des Konfigurationsprogramms des Connectors für Exchange ActiveSync anzeigen. Zum Erstellen benutzerdefinierter Richtlinien können Sie die XML-Konfigurationsdatei des NetScaler Gateway-Connectors für Exchange ActiveSync (config\config.xml) bearbeiten.

  1. Suchen Sie in der Datei den Abschnitt PolicyList und fügen Sie diesem ein neues Policy-Element hinzu.
  2. Wenn eine neue Gruppe erforderlich wird, z. B. eine zusätzliche statische Gruppe oder eine Gruppe für eine zusätzliche GCP, fügen Sie das neue Group-Element dem Abschnitt GroupList hinzu.
  3. Falls gewünscht, können Sie die Reihenfolge der Gruppen in einer vorhandenen Richtlinie durch Umstellen der GroupRef-Elemente ändern.

Konfigurieren der XML-Datei des Connectors für Exchange ActiveSync

Die Aktionen des Connectors für Exchange ActiveSync werden über eine XML-Konfigurationsdatei vorgegeben. Unter anderem enthält die Datei die Dateigruppe und zugehörige Aktionen für den Filter bei der Auswertung von HTTP-Anforderungen. Standardmäßig heißt die Datei config.xml und ist im Verzeichnis \Programme\Citrix\XenMobile NetScaler Connector\config.

GroupRef-Knoten

Die GroupRef-Knoten definieren die logischen Gruppennamen. Die Standardwerte sind “AllowGroup” und “DenyGroup”.

Hinweis:

Die Reihenfolge der GroupRef-Knoten im GroupRefList-Knoten spielt eine Rolle.

Der ID-Wert eines GroupRef-Knotens identifiziert einen logischen Container bzw. eine Mitgliedersammlung, der bzw. die für die Zuordnung spezifischer Benutzerkonten oder Geräte verwendet wird. Die Action-Attribute geben an, wie ein Mitglied zu behandeln ist, das einer Regel in der Sammlung entspricht. Beispielsweise wird ein Benutzerkonto oder Gerät, das einer AllowGroup-Regel entspricht, zugelassen. Dies bedeutet, es erhält Zugriff auf den Exchange-Clientzugriffsserver. Ein Benutzerkonto oder Gerät, das einer DenyGroup-Regel entspricht, wird abgelehnt. Dies bedeutet, es erhält keinen Zugriff auf den Exchange-Clientzugriffsserver.

Entspricht ein bestimmtes Benutzerkonto/Gerät oder eine Konto-/Gerätekombination Regeln beider Gruppen, erfolgt die Behandlung gemäß einer Rangfolgenkonvention. Die Rangfolge entspricht der Reihenfolge der GroupRef-Knoten in der Datei config.xml von oben nach unten. Die GroupRef-Knoten werden nach Priorität gewichtet. Regeln für eine bestimmte Bedingung in der Allow-Gruppe haben immer Vorrang vor Regeln für die gleiche Bedingung in Deny-Gruppe.

Gruppenknoten

In der Datei config.xml sind auch Gruppenknoten definiert. Diese Knoten verknüpfen die logischen Container “AllowGroup” und “DenyGroup” mit externen XML-Dateien. Einträge in den externen Dateien bilden die Basis für die Filterregeln.

Hinweis:

In dieser Version werden nur externe XML-Dateien unterstützt.

In der Standardinstallation sind zwei XML-Dateien in der Konfiguration implementiert: allow.xml und deny.xml.

Konfigurieren des NetScaler Gateway-Connectors für Exchange ActiveSync

Sie können den NetScaler Gateway Connector für Exchange ActiveSync so konfigurieren, dass ActiveSync-Anforderungen basierend auf den folgenden Eigenschaften selektiv blockiert oder zugelassen werden: ActiveSync Service ID, Device type, User Agent (Geräte-OS), Authorized user und ActiveSync Command.

Die Standardkonfiguration unterstützt eine Kombination aus statischen und dynamischen Gruppen. Statische Gruppen werden mit dem Konfigurationsprogramm des Secure Mobile Gateway-Controllers verwaltet. Statische Gruppen können aus bekannten Gerätekategorien bestehen, z. B. alle Geräte mit einem bestimmten Benutzeragent.

Dynamische Gruppen werden von einer externen Quelle, dem Gateway-Konfigurationsanbieter, gepflegt. Der Connector für Exchange ActiveSync verbindet die Gruppen regelmäßig. Citrix Endpoint Management kann Gruppen zugelassener und blockierter Geräte und Benutzer in den Connector für Exchange ActiveSync exportieren.

Dynamische Gruppen werden von einer externen Quelle, dem Gateway-Konfigurationsanbieter, gepflegt. Der Connector für Exchange ActiveSync erfasst dynamische Gruppen in regelmäßigen Abständen. Citrix Endpoint Management kann Gruppen zugelassener und blockierter Geräte und Benutzer in den Connector exportieren.

Eine Richtlinie ist eine sortierte Liste von Gruppen, in der jeder Gruppe eine Aktion (zulassen oder blockieren) zugeordnet ist, und eine Liste der Gruppenmitglieder. Eine Richtlinie kann beliebig viele Gruppen enthalten. Die Reihenfolge der Gruppen in einer Richtlinie ist wichtig, weil bei einer Übereinstimmung die Aktion der Gruppe erfolgt und nachfolgende Gruppen nicht ausgewertet werden.

Mitglieder sind eine Methode für die Zuordnung der Eigenschaften einer Anforderung. Sie können einer einzelnen Eigenschaft (z. B. Geräte-ID) oder mehreren Eigenschaften entsprechen (z. B. Gerätetyp und Benutzer-Agent).

Auswählen eines Sicherheitsmodells für den NetScaler Gateway Connector für Exchange ActiveSync

Die Implementierung eines Sicherheitsmodells ist für eine erfolgreiche Mobilgerätebereitstellung in Organisationen jeder Größe wichtig. Häufig wird eine Netzwerksteuerung mit Schutz oder Quarantäne verwendet, um den Zugriff auf Benutzer, Computer oder Geräte standardmäßig zuzulassen. Dieses Verfahren ist jedoch nicht immer ideal. In jeder Organisation werden bei der Verwaltung der IT-Sicherheit andere ggf. maßgeschneiderte Methoden zum Schutz von Mobilgeräten eingesetzt.

Die gleiche Logik gilt für die Sicherheit von Mobilgeräten. Angesichts der Vielzahl verschiedener Mobilgerätetypen, der großen Zahl Mobilgeräte pro Benutzer und der Vielfalt an Betriebssystemen und Apps ist das permissive Modell keine gute Wahl. In den meisten Organisationen ist das restriktive Modell die beste Wahl.

Citrix lässt bei der Integration des Connectors für Exchange ActiveSync in Citrix Endpoint Management folgende Konfigurationsszenarios zu:

Permissives Modell (Zulassungsmodus)

Beim permissiven Sicherheitsmodell gilt, dass bei allem der Zugriff standardmäßig zugelassen ist. Nur durch Einsatz von Regeln und Filtern können Elemente blockiert und Beschränkungen angewendet werden. Das permissive Sicherheitsmodell ist für Organisationen geeignet, in denen keine strengen Sicherheitsvorschriften hinsichtlich der Mobilgeräte herrschen. Bei diesem Modell wird der Zugriff nur dann verweigert, wenn eine Richtlinienregel verletzt wurde.

Restriktives Modell (Blockierungsmodus)

Beim restriktiven Sicherheitsmodell gilt, dass bei nichts der Zugriff standardmäßig zugelassen ist. Alle Elemente werden bei der Sicherheitsprüfung gefiltert und untersucht. Der Zugriff wird blockiert, außer wenn die Regeln für die Zulassung des Zugriffs erfüllt werden. Das restriktive Sicherheitsmodell ist für Organisationen geeignet, in denen relativ strenge Sicherheitsvorschriften hinsichtlich der Mobilgeräte herrschen. Bei diesem Modell wird der Zugriff nur gewährt, wenn alle Regeln für das Zulassen des Zugriffs erfüllt werden.

Verwalten des NetScaler Gateway-Connectors für Exchange ActiveSync

Sie können unter Einsatz des NetScaler Gateway Connectors für Exchange ActiveSync Zugriffsregeln erstellen. Mit diesen Regeln wird der Zugriff verwalteter Geräte auf ActiveSync-Verbindungsanforderungen zugelassen oder blockiert. Der Zugriff basiert auf Gerätestatus, App-Sperrlisten bzw. App-Positivlisten und anderen Vorgaben zur Richtlinientreue.

Mit dem Konfigurationsprogramm des Connectors für Exchange ActiveSync können Sie dynamische und statische Regeln zum Erzwingen von Unternehmensrichtlinien für E-Mail erstellen. Mit diesen Regeln und Richtlinien können Sie Benutzer blockieren, die die Richtlinien nicht einhalten. Sie können außerdem die Verschlüsselung von E-Mail-Anlagen einrichten, sodass alle Anlagen, die über Exchange Server an verwaltete Geräte gesendet werden, verschlüsselt werden. Verschlüsselte Anlagen können nur von autorisierten Benutzern auf verwalteten Geräten angezeigt werden.

Deinstallieren von XNC

  1. Führen Sie XncInstaller.exe als Administrator aus.
  2. Folgen Sie den Anweisungen zum Durchführen der Deinstallation.

Installieren, Aktualisieren oder Deinstallieren des Connectors für Exchange ActiveSync

  1. Führen Sie XncInstaller.exe als Administrator aus, um den Connector für Exchange ActiveSync zu installieren bzw. vorhandene Versionen zu aktualisieren oder zu deinstallieren.
  2. Folgen Sie den angezeigten Anweisungen, um die Installation, das Upgrade oder die Deinstallation durchzuführen.

Nach der Installation des Connectors für Exchange ActiveSync müssen Sie den Citrix Endpoint Management-Konfigurationsdienst und den Benachrichtigungsdienst manuell neu starten.

Installieren des NetScaler Gateway-Connectors für Exchange ActiveSync

Sie können den Connector für Exchange ActiveSync auf einem eigenen Server oder auf demselben Server wie Citrix Endpoint Management installieren.

Die Installation des Connectors für Exchange ActiveSync auf einem eigenen Server (getrennt von Citrix Endpoint Management) könnte sich aus folgenden Gründen anbieten:

  • Der Citrix Endpoint Management-Server wird remote in einer Cloud gehostet (physischer Speicherort)
  • Der Connector für Exchange ActiveSync soll nicht durch Neustarts des Citrix Endpoint Management-Servers beeinträchtigt werden (Verfügbarkeit)
  • Sie möchten sämtliche Systemressourcen des Servers für den Connector für Exchange ActiveSync nutzen (Leistung).

Die CPU-Last, die der Connector für Exchange ActiveSync einem Server zuweist, hängt von der Anzahl der verwalteten Geräte ab. Grundsätzlich wird empfohlen, dass ein weiterer CPU-Kern bereitzustellen ist, wenn der Connector auf demselben Server wie Citrix Endpoint Management bereitgestellt wird. Bei hohen Gerätezahlen (über 50.000) müssen Sie möglicherweise weitere Kerne bereitstellen, wenn Sie keine Clusterumgebung nutzen. Der Speicherbedarf des Connectors ist so gering, dass kein zusätzlicher Speicher erforderlich ist.

Systemanforderungen für den NetScaler Gateway Connector für Exchange ActiveSync

Der NetScaler Gateway Connector für Exchange ActiveSync kommuniziert mit NetScaler Gateway über eine auf dem NetScaler Gateway-Gerät konfigurierte SSL-Brücke. Über diese Brücke kann das Gerät sämtlichen sicheren Datenverkehr direkt an Citrix Endpoint Management übergeben. Der Connector für Exchange ActiveSync erfordert die folgende Mindestsystemkonfiguration:

Komponente Voraussetzung
Computer und Prozessor Pentium III-Prozessor, 733 MHz oder schneller; empfohlen: Pentium III-Prozessor, 2.0 GHz oder schneller
Citrix Gateway Citrix Gateway-Gerät mit Softwareversion 10
Speicher 1 GB
Festplatte NTFS-formatierte lokale Partition mit 150 MB freiem Speicherplatz
Betriebssystem Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2008 R2 Service Pack 1. Muss ein englischbasierter Server sein. Die Unterstützung für Windows Server 2008 R2 Service Pack 1 endet am 14. Januar 2020 und die Unterstützung für Windows Server 2012 R2 endet am 10. Oktober 2023.
Sonstige Geräte Mit dem Hostbetriebssystem kompatibler Netzwerkadapter für die Kommunikation mit dem internen Netzwerk
Microsoft .NET Framework Version 8.5.1.11 erfordert Microsoft .NET Framework 4.5.
Anzeige VGA-Monitor oder höher

Auf dem Hostcomputer für den Connector für Exchange ActiveSync ist mindestens folgender freier Festplattenspeicher erforderlich:

  • Anwendung: 10–15 MB (100 MB empfohlen)
  • Protokollierung: 1 GB (20 GB empfohlen)

Informationen über die vom Connector für Exchange ActiveSync unterstützten Plattformen finden Sie unter Unterstützte Gerätebetriebssysteme.

Geräte-E-Mail-Clients

Nicht alle E-Mail-Clients geben konstant dieselbe ActiveSync-ID für das Gerät zurück. Da der Connector für Exchange ActiveSync eine eindeutige ActiveSync-ID für jedes Gerät erwartet, werden nur E-Mail-Clients unterstützt, die konstant dieselbe eindeutige ActiveSync-ID für jedes Gerät generieren. Folgende E-Mail-Clients wurden von Citrix getestet und funktionieren ordnungsgemäß:

  • Samsung-nativer E-Mail-Client
  • iOS-nativer E-Mail-Client

Bereitstellen des NetScaler Gateway-Connectors für Exchange ActiveSync

Mit dem NetScaler Gateway Connector für Exchange ActiveSync können Sie NetScaler Gateway als Proxy und für den Lastausgleich bei der Kommunikation zwischen dem Citrix Endpoint Management-Server und mit Citrix Endpoint Management verwalteten Geräten verwenden. Der Connector für Exchange ActiveSync kommuniziert periodisch mit Citrix Endpoint Management, um Richtlinien zu synchronisieren. Sie können den Connector für Exchange ActiveSync und Citrix Endpoint Management zusammen oder separat in Clustern zusammenfassen.

Komponenten des Connectors für Exchange ActiveSync

  • Der Connector für Exchange ActiveSync-Dienst: Dieser Dienst bietet eine REST-Webdienstschnittstelle, die von NetScaler Gateway aufgerufen werden kann, um zu ermitteln, ob eine ActiveSync-Anforderung von einem Gerät autorisiert ist.
  • Citrix Endpoint Management-Konfigurationsdienst: Dieser Dienst kommuniziert mit Citrix Endpoint Management, um die Citrix Endpoint Management-Richtlinienänderungen mit dem Connector für Exchange ActiveSync zu synchronisieren.
  • Citrix Endpoint Management-Benachrichtigungsdienst: Dieser Dienst sendet Benachrichtigungen über unautorisierten Gerätezugriff an Citrix Endpoint Management. Citrix Endpoint Management kann dann die nötigen Schritte ergreifen und beispielsweise den Benutzer benachrichtigen, warum sein Gerät blockiert wurde.
  • Connector für Exchange ActiveSync-Konfigurationshilfsprogramm: Mit dieser Anwendung kann der Administrator den Connector für Exchange ActiveSync konfigurieren und überwachen.

Einrichten von Überwachungsadressen für den NetScaler Gateway Connector für Exchange ActiveSync

Führen Sie folgende Schritte aus, damit der NetScaler Gateway Connector für Exchange ActiveSync Anforderungen von NetScaler Gateway zur Autorisierung von ActiveSync-Datenverkehr empfangen kann. Geben Sie den Port an, den der Connector für Exchange ActiveSync auf Aufrufe des NetScaler Gateway-Webdiensts überwacht.

  1. Wählen Sie im Menü Start das Konfigurationshilfsprogramm des Connectors für Exchange ActiveSync aus.
  2. Klicken Sie auf die Registerkarte Web Service, und geben Sie die zu überwachenden Adressen für den Connector-Webdienst ein. Sie können HTTP und/oder HTTPS auswählen. Wenn sich der Connector für Exchange ActiveSync auf dem gleichen Server wie Citrix Endpoint Management befindet, wählen Sie Ports aus, die keinen Konflikt mit denen von Citrix Endpoint Management auslösen.
  3. Wenn die Werte konfiguriert sind, klicken Sie auf Save und dann auf Start Service, um den Webdienst zu starten.

Konfigurieren von Zugriffssteuerungsrichtlinien im NetScaler Gateway Connector für Exchange ActiveSync

Zum Konfigurieren einer Zugriffssteuerungsrichtlinie für verwaltete Geräte gehen Sie folgendermaßen vor:

  1. Klicken Sie im Konfigurationsprogramm des Connectors für Exchange ActiveSync auf die Registerkarte Path Filters.
  2. Wählen Sie die erste Zeile Microsoft-Server-ActiveSync is for ActiveSync und klicken Sie auf Edit.
  3. Wählen Sie in der Liste Policy die gewünschte Richtlinie aus. Bei Richtlinien, die Citrix Endpoint Management-Richtlinien umfassen, wählen Sie Static + ZDM: Permit Mode oder Static + ZDM: Block Mode. Diese Richtlinien kombinieren lokale (statische) Regeln mit denen von Citrix Endpoint Management. Permit Mode bedeutet, dass alle Geräte, die nicht explizit durch die Regeln identifiziert werden, Zugriff auf ActiveSync erhalten. Block Mode bedeutet, dass solche Geräte blockiert werden.
  4. Klicken Sie nach dem Festlegen der Richtlinien auf Save.

Konfigurieren der Kommunikation mit Citrix Endpoint Management

Geben Sie Namen und Eigenschaften des Citrix Endpoint Management-Servers an, den Sie mit dem NetScaler Gateway Connector für Exchange ActiveSync und NetScaler Gateway verwenden möchten.

Hinweis:

Es wird davon ausgegangen, dass Sie Citrix Endpoint Management bereits installiert und konfiguriert haben. Das Exchange ActiveSync-Konfigurationsprogramm verwendet den Begriff “Config Provider” für Citrix Endpoint Management.

  1. Klicken Sie im Connector für Exchange ActiveSync-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie den Namen und die URL des Citrix Endpoint Management-Servers ein, den Sie in der Bereitstellung verwenden. Wenn Sie mehrere Citrix Endpoint Management-Server in einer Bereitstellung mit mehreren Mandanten haben, muss der Name für jede Serverinstanz eindeutig sein.
  3. Geben Sie unter Url die Webadresse von Citrix Endpoint Management GlobalConfig Provider (normalerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>) ein. Beim Namen MagConfigService wird zwischen Groß- und Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort für die HTTP-Standardauthentifizierung beim Citrix Endpoint Management-Server an.
  5. Geben Sie unter Managing Host den Namen des Servers an, auf dem Sie den Connector für Exchange ActiveSync installiert haben.
  6. Geben Sie unter Baseline Interval das Intervall ein, in dem von Citrix Endpoint Management der aktualisierte Satz dynamischer Regeln abgerufen werden soll.
  7. Geben Sie unter Request Timeout das Timeoutintervall für die Serveranforderungen an.
  8. Wählen Sie unter Config Provider, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  9. Aktivieren Sie diese Option unter Events Enabled, wenn Secure Mobile Gateway die Blockierung eines Geräts an Citrix Endpoint Management melden soll. Die Option ist erforderlich, wenn Sie Secure Mobile Gateway-Regeln in Citrix Endpoint Management für eine automatische Aktion verwenden.
  10. Klicken Sie nach Abschluss der Konfiguration des Servers auf Test Connectivity, um die Verbindung mit Citrix Endpoint Management zu testen.
  11. Wenn die Verbindung hergestellt wird, klicken Sie auf Save.

Bereitstellen des NetScaler Gateway-Connectors für Exchange ActiveSync für Redundanz und Skalierbarkeit

Um Ihre Bereitstellung des NetScaler Gateway-Connectors für Exchange ActiveSync und von Citrix Endpoint Management zu skalieren, installieren Sie Instanzen des Connectors für Exchange ActiveSync auf mehreren Windows-Servern. Alle Connector-Instanzen verweisen auf dieselbe Citrix Endpoint Management-Instanz. Anschließend können Sie mit NetScaler Gateway einen Lastausgleich der Server durchführen.

Es gibt zwei Modi zur Konfiguration des Connectors für Exchange ActiveSync:

  • Im Modus ohne Freigabe kommuniziert jede Instanz des Connectors für Exchange ActiveSync mit einem Citrix Endpoint Management-Server und speichert eine eigene Kopie der daraus resultierenden Richtlinie. Beispielsweise können Sie für einen Cluster von Citrix Endpoint Management-Servern eine Connector-Instanz auf jedem Citrix Endpoint Management-Server ausführen. Der Connector ruft dann Richtlinien von der lokalen Citrix Endpoint Management-Instanz ab.
  • Im gemeinsamen Modus wird ein Connector für Exchange ActiveSync-Knoten als primärer Knoten bezeichnet. Der Connector kommuniziert mit Citrix Endpoint Management. Die resultierende Konfiguration wird dann per Windows-Netzwerkfreigabe oder per Windows-Replikation (bzw. per Drittanbieter-Replikation) an die anderen Knoten weitergegeben.

Die Connector Exchange ActiveSync-Konfiguration (bestehend aus einigen XML-Dateien) ist in einem einzigen Ordner. Der Connector-Prozess erkennt Änderungen an jeder Datei in diesem Ordner und lädt die Konfiguration dann automatisch neu. Im Modus mit Freigabe gibt kein Failover für den primären Knoten. Bei einem Ausfall des primären Servers (z. B. durch Neustart) besteht jedoch einige Minuten lang Fehlertoleranz. Die letzte funktionsfähige Konfiguration ist im Connector-Prozess zwischengespeichert.

NetScaler Gateway Connector für Exchange ActiveSync