Conector de Citrix Endpoint Management para Exchange ActiveSync

XenMobile Mail Manager es ahora un conector de Citrix Endpoint Management para Exchange ActiveSync. Para obtener más información sobre la cartera unificada de Citrix, consulta la guía de productos de Citrix.

• El conector amplía las capacidades de Citrix Endpoint Management de las siguientes maneras:

• Control de acceso dinámico para dispositivos Exchange ActiveSync (EAS). Se puede permitir o bloquear automáticamente el acceso de los dispositivos EAS a los servicios de Exchange.
• La capacidad de Citrix Endpoint Management para acceder a la información de asociación de dispositivos EAS proporcionada por Exchange.
• La capacidad de Citrix Endpoint Management para borrar un dispositivo móvil según el estado de EAS.
• La capacidad de Citrix Endpoint Management para acceder a información sobre dispositivos Blackberry y para realizar operaciones de control como Borrar y Restablecer contraseña.

Para borrar un dispositivo según el estado de EAS, configura una acción automatizada con un desencadenador de ActiveSync. Consulta Acciones automatizadas.

• Importante:

• A partir de octubre de 2022, los conectores de Citrix Endpoint Management y NetScaler Gateway para Exchange ActiveSync ya no son compatibles con Exchange Online, dados los cambios de autenticación anunciados por Microsoft aquí. El conector de Citrix Endpoint Management para Exchange sigue funcionando con Microsoft Exchange Server (local).

• Novedades de la versión 10.1.10

Se han corregido los siguientes problemas en la versión 10.1.10:

• Los clientes que experimentan problemas de red frecuentes es posible que no puedan completar una instantánea dentro de los tres intentos proporcionados anteriormente. Con esta versión, un administrador puede configurar el número máximo de intentos (1-10). Esta corrección permite que una instantánea sufra múltiples interrupciones en la comunicación sin abandonar por completo el proceso de instantánea. [CXM-70837]
• 
• En versiones anteriores, el tipo de instantánea no aparecía en la lista de configuraciones de Exchange. Ahora, el tipo de instantánea aparece. [CXM-70846]
• La excepción PSRemotingTransport notificada por PowerShell indica que la sesión con Exchange ya no es viable. El estado se agrega a la lista de Errores críticos en el archivo de configuración de forma predeterminada. Al hacerlo, cuando se detecta la excepción PSRemotingTransport, la conexión se marca como en Error para su posterior eliminación. La siguiente comunicación utiliza una conexión válida o crea una conexión. [XMHELP-2184, CXM-70836]
• Cuando se guarda un cambio de configuración, es posible que no todos los componentes internos configurados previamente se hayan eliminado correctamente antes de cargar la nueva configuración. Este problema podría provocar un comportamiento impredecible. El comportamiento depende del cambio específico y de si el cambio entraba en conflicto con la configuración anterior. En esta versión, todos los componentes internos se eliminan antes de cargar la nueva configuración. [XMHELP-2259, CXM-71388]

Novedades de la versión 10.1.9

• Se han corregido los siguientes problemas en la versión 10.1.9:

• Los cambios de configuración ahora se gestionan de forma más coherente. Cuando el servicio detecta un cambio en la configuración, cada subsistema interno se detiene, lo que significa que cualquier procesamiento activo o programado se interrumpe. A continuación, se carga la nueva configuración y los subsistemas se inician de nuevo, lo que significa que todos los programas y otras infraestructuras internas se restablecen con la nueva configuración. Este problema corrige un problema conocido en la versión 10.1.8. [CXM-47709, CXM-61330]
• Durante una actualización, la configuración de la base de datos existente no se fusionó en el nuevo archivo de configuración. La configuración de la base de datos ahora se fusiona en el archivo de configuración actualizado. [CXM-49326]
• En los archivos de diagnóstico relacionados con las instantáneas, faltaban los encabezados de columna. Los encabezados se han restaurado. [CXM-62680]
• Al actualizar desde una versión anterior, la sección de valores predeterminados del archivo de configuración se sobrescribía por la sección análoga del archivo de configuración en uso. Este problema impedía que las adiciones o mejoras a la sección de valores predeterminados se cargaran por el servicio después de la actualización. A partir de esta versión, la sección de valores predeterminados siempre refleja la última configuración. [CXM-62681]

• Los administradores ya no pueden acceder a ciertas opciones al pulsar Mayús al ejecutar la aplicación. Estas opciones estaban disponibles anteriormente con el permiso de Citrix®. Algunas opciones ahora están totalmente disponibles, como Permitir redirección, y otras, como Detección de bloqueo y Corrección de recuento, están obsoletas. [CXM-62767]

• 

Novedades de versiones anteriores

• La siguiente sección enumera las nuevas funciones y los problemas corregidos en versiones anteriores del conector de Citrix Endpoint Management para Exchange ActiveSync.

• Novedades de la versión 10.1.8

• Es posible que Exchange limite el conector de Citrix Endpoint Management para el servicio Exchange ActiveSync para que no emita comandos con demasiada frecuencia. Este problema es común en las conexiones a Office 365. El efecto de la limitación requiere que el servicio se pause durante un período especificado antes de enviar el siguiente comando. La consola de Configuración ahora muestra el tiempo restante de la pausa. [CXM-48044]
• Cuando se realizan modificaciones en las secciones “Watchdog” y/o “SpecialistsDefaults” del archivo de configuración (config.xml), los cambios no se reflejan en el archivo de configuración después de una actualización. Con esta versión, las modificaciones se fusionan correctamente en el nuevo archivo de configuración. [CXM-52523]
• Se han añadido más detalles a los análisis enviados a Google Analytics, especialmente en lo que respecta a las instantáneas. [CXM-56691]
• La función de prueba de conectividad de Exchange intentaría inicializar la conexión solo una vez. Debido a que las conexiones de Office 365 pueden estar limitadas, era posible que una prueba de conectividad pareciera fallar cuando estaba limitada. El conector de Citrix Endpoint Management para Exchange ActiveSync ahora intenta iniciar una conexión hasta tres veces. [CXM-58180]

• Para aplicar políticas en Exchange, el conector de Citrix Endpoint Management para Exchange ActiveSync debe compilar un comando Set-CASMailbox que incluye todos los dispositivos pertinentes para cada buzón, en dos listas: permitir y bloquear. Si un dispositivo no está incluido en ninguna de las listas, Exchange vuelve a su estado de acceso predeterminado. Si ese estado de acceso predeterminado es diferente del estado deseado para un dispositivo, ese dispositivo deja de cumplir las normas. Por lo tanto, un usuario podría perder el acceso a su correo electrónico si el estado de acceso predeterminado de Exchange está bloqueado y debería permitirse. O bien, a un usuario cuyo acceso al correo electrónico debería estar bloqueado se le podría conceder acceso. El conector de Citrix Endpoint Management para Exchange ActiveSync ahora se asegura de que todos los dispositivos con un estado deseado válido estén incluidos en cada comando Set-CasMailbox. [CXM-61251]

• Se conoce el siguiente problema en la versión 10.1.8:

Si un administrador realiza un cambio en la aplicación Configurar que modifica los datos de configuración, mientras el servicio realiza operaciones de larga duración, como una instantánea o una evaluación de políticas, el servicio puede entrar en un estado indeterminado. Un posible síntoma puede ser que los cambios de política no se procesen o que las instantáneas no se inicien. Para devolver el servicio a un estado de funcionamiento, el servicio debe reiniciarse. Es posible que debas usar el administrador de servicios de Windows para finalizar el proceso del servicio antes de iniciar el servicio. [CXM-61330]

• Novedades de la versión 10.1.7

• XenMobile Mail Manager ahora es un conector de Citrix Endpoint Management para Exchange ActiveSync.

• Hemos dejado de usar la opción Deshabilitar canalización en el cuadro de diálogo de configuración de Exchange. Puedes lograr la misma funcionalidad configurando varios pasos para cada comando en el archivo config.xml. [CXM-54593]

• Se han solucionado los siguientes problemas en la versión 10.1.7:

• En la ventana Historial de instantáneas, los mensajes de error podrían mostrarse con poco contexto. Ahora, los mensajes de error llevan un prefijo con el contexto de dónde se produjeron. [CXM-49157]
• El archivo XmmGoogleAnalytics .dll no tenía la versión de archivo correspondiente para la versión. [CXM-52518]
• Para mejorar el diagnóstico, recientemente cambiamos el formato de cadena para una lista de ID de dispositivo utilizados para establecer un estado de buzón Permitido/Bloqueado. Sin embargo, una especificación de demasiados dispositivos superó el tamaño máximo de cadena. Ahora, usamos una estructura de datos de matriz interna. Esta estructura no tiene un límite de tamaño y también formatea los datos de forma adecuada para fines de diagnóstico. [CXM-52610]
• Cuando se detectan directivas de dispositivo que no están sincronizadas con Exchange, sus comandos pueden incluir dispositivos que no pertenecen al buzón correspondiente. El conector de Citrix Endpoint Management para Exchange ActiveSync ahora se asegura de que los comandos a Exchange representen solo los dispositivos que pertenecen a sus buzones respectivos. [CXM-54842]
• En algunos entornos, un ensamblado de Microsoft no está disponible. El ensamblado requerido ahora se instala explícitamente con la aplicación. [CXM-55439]
• Si los nombres distintivos de los dispositivos o buzones tienen espacios entre el nombre del atributo y el signo igual, o espacios después del signo igual y antes del valor, el conector de Citrix Endpoint Management para Exchange ActiveSync podría no emparejar correctamente un dispositivo con su buzón y viceversa. El resultado podría ser que algunos dispositivos y/o buzones se rechacen durante la conciliación de instantáneas. [CXM-56088]

Nota:

Las siguientes secciones de Novedades se refieren al conector de Citrix Endpoint Management para Exchange ActiveSync por su antiguo nombre de XenMobile Mail Manager. El nombre cambió a partir de la versión 10.1.7.

Actualización en la versión 10.1.6.20

Una actualización a la versión 10.1.6 incluye la siguiente corrección en la versión 10.1.6.20:

• Cuando se detectan directivas de dispositivo que no están sincronizadas con Exchange, sus comandos pueden incluir dispositivos que no pertenecen al buzón correspondiente. XenMobile® Mail Manager ahora asegura que los comandos a Exchange representen solo los dispositivos que pertenecen a sus buzones respectivos. [CXM-54842]

• Novedades de la versión 10.1.6

• XenMobile Mail Manager versión 10.1.6 incluye las siguientes mejoras y problemas solucionados:

• La ventana del historial de instantáneas, a veces, entra en un estado en el que ya no se actualiza. Se ha mejorado el mecanismo de actualización de las ventanas para que se actualicen de forma más fiable. [CXM-47983]
• Se usaban dos modos y rutas de código separados para las instantáneas particionadas y no particionadas. Dado que las instantáneas no particionadas son equivalentes a las instantáneas particionadas con una configuración que usa una única partición “*”, se ha eliminado el modo de instantánea no particionada. El modo de instantánea predeterminado ahora son instantáneas particionadas con 36 particiones (0–9, A–Z). [CXM-49093]
• En la ventana Historial de instantáneas, los mensajes de error se sobrescriben con mensajes de estado. Ahora, XenMobile Mail Manager proporciona dos campos separados para que los usuarios puedan ver el estado y los errores simultáneamente. [CXM-51942]
• Al conectarse a Exchange Online (Office 365), las consultas relacionadas con instantáneas podrían dar como resultado un conjunto de datos truncado. Este problema puede ocurrir cuando XenMobile Mail Manager ejecuta un script canalizado de varios comandos. El comando ascendente no puede pasar los datos lo suficientemente rápido al comando descendente, que luego completa el trabajo prematuramente. Como resultado, se producen datos incompletos. XenMobile Mail Manager ahora puede imitar la canalización y esperar hasta que el comando ascendente termine antes de invocar el comando descendente. Este cambio debería dar como resultado que todos los datos se procesen y capturen. [CXM-52280]
• Si se produce un error no resoluble en un comando de actualización de directiva a Exchange, el mismo comando se devuelve a la cola de trabajo repetidamente durante un largo período. Esta situación provocó que el comando se enviara a Exchange muchas veces. En esta versión de XenMobile Mail Manager, un comando que da como resultado un error solo se devuelve a la cola de trabajo un número discreto de veces. [CXM-52633]
• Si una actualización de directiva para un buzón específico implicaba permitir o bloquear todos los dispositivos: El comando Set-CASMailbox emitido fallaría debido a que la lista vacía se convertía en una cadena vacía en lugar de un valor NULL. Ahora se envían los datos correctos. [CXM-53759]
• Al procesar un nuevo dispositivo, Exchange puede devolver el estado como “DeviceDiscovery” durante algún tiempo (normalmente 15 minutos). XenMobile Mail Manager no estaba gestionando específicamente este estado. XenMobile Mail Manager ahora gestiona el estado. En la ficha Monitor de la interfaz de usuario, los usuarios pueden filtrar los dispositivos en este estado. [CXM-53840]
• XenMobile Mail Manager no comprobaba la capacidad de escribir en la base de datos de XenMobile Mail Manager. Por lo tanto, si los permisos estaban restringidos, el comportamiento podría no ser predecible. XenMobile Mail Manager ahora captura y valida los permisos requeridos de la base de datos. XenMobile Mail Manager indica permisos reducidos al probar la conexión (se muestra un mensaje) o en el indicador de Base de datos (pasa el ratón por encima para ver el mensaje) en la parte inferior de la ventana principal de Configuración. [CXM-54219]

• Según la carga de trabajo actual, cuando se le indica, el servicio de XenMobile Mail Manager podría no detenerse de inmediato. Por lo tanto, el servicio parece estar en un estado que no responde. Las mejoras permiten interrumpir las tareas en curso, lo que resulta en un apagado más elegante. [CXM-54282]

• Novedades de la versión 10.1.5

• XenMobile Mail Manager versión 10.1.5 incluye los siguientes problemas solucionados:

• Cuando Exchange aplica la limitación a la actividad de XenMobile Mail Manager, no hay ninguna indicación (fuera de los registros) de que se esté produciendo la limitación. Con esta versión, un usuario puede pasar el ratón por encima de la instantánea activa y aparece un estado de “limitación”. Además, mientras XenMobile Mail Manager está siendo limitado, el inicio de una instantánea importante está prohibido hasta que Exchange levante el embargo de limitación. [CXM-49617]
• Si XenMobile Mail Manager está siendo limitado por Exchange durante una instantánea importante: Es posible que se permita que transcurra una cantidad de tiempo insuficiente antes de ejecutar el siguiente intento de una instantánea. Este problema da como resultado una mayor limitación y una instantánea fallida. XenMobile Mail Manager ahora espera un mínimo del tiempo que Exchange especifica para esperar entre intentos de instantáneas. [CXM-49618]
• Cuando el diagnóstico está habilitado, el archivo de comandos muestra comandos Set-CasMailbox que tienen guiones que faltan antes de cada nombre de propiedad. Este problema solo ocurre en el formato del archivo de diagnóstico y no en el comando real a Exchange. El guion que falta impide que un usuario corte el comando y lo pegue directamente en un símbolo del sistema de PowerShell para realizar pruebas o validaciones. Se han añadido los guiones. [CXM-52520]

• Si una identidad de buzón tiene el formato apellido, nombre, Exchange añade una barra invertida antes de la coma al devolver datos de una consulta. Esta barra invertida debe eliminarse cuando XenMobile Mail Manager usa la identidad para consultar más datos. [CXM-52635]

• Limitaciones conocidas

• Nota:

  La siguiente limitación se ha solucionado en la versión 10.1.6.

XenMobile Mail Manager tiene una limitación conocida que puede hacer que los comandos a Exchange fallen. Para aplicar cambios de directiva a Exchange, XenMobile Mail Manager emite un comando Set_CASMailbox. Este comando puede tomar dos listas de dispositivos: una para permitir y otra para bloquear. El comando se aplica a los dispositivos asociados con un buzón.

• Estas listas están limitadas a 256 caracteres cada una por la API de Microsoft. Si una de esas listas excede la limitación, el comando falla por completo, impidiendo que se establezcan las políticas para esos dispositivos del buzón.

El error reportado, que aparece en los registros de XenMobile Mail Manager, se vería así. El ejemplo es para la lista de bloqueados.

• “Mensaje:’No se puede vincular el parámetro ‘ActiveSyncBlockedDeviceIDs’ al destino. Excepción al establecer “ActiveSyncBlockedDeviceIDs”: “La longitud de la propiedad es demasiado larga. La longitud máxima es 256 y la longitud del valor proporcionado es…“”

• Las longitudes de los ID de dispositivo pueden variar, pero una buena pauta es que unos 10 dispositivos o más permitidos o bloqueados simultáneamente podrían exceder el límite. Aunque tener tantos dispositivos asociados a un buzón específico es raro, es una posibilidad. Hasta que Mail Manager mejore para manejar tal escenario, te recomendamos que limites el número de dispositivos asociados a un usuario y buzón a 10 o menos. [CXM-52633]

• Novedades de la versión 10.1.4

• XenMobile Mail Manager versión 10.1.4 tiene los siguientes problemas solucionados:

• Debido a su seguridad debilitada, el Consejo PCI está desaprobando TLS 1.0 y TLS 1.1. Se ha añadido soporte para 1.2 en XenMobile Mail Manager. [CXM-38573, CXM-32560]
• XenMobile Mail Manager incluye un nuevo archivo de diagnóstico. Cuando se selecciona Habilitar diagnósticos en la especificación de Exchange, se genera un nuevo archivo de Historial de instantáneas. Con cada intento de instantánea, se añade una línea al archivo con los resultados de la instantánea. [CXM-49631]
• En el archivo de diagnóstico de Comandos, la lista de dispositivos permitidos o bloqueados no aparecía para el comando Set-CASMailbox. En su lugar, se mostraba el nombre de la clase interna en el archivo para los argumentos relacionados. XenMobile Mail Manager ahora muestra la lista de ID de dispositivo como una lista separada por comas. [CXM-50693]
• Cuando un intento de adquirir una conexión a Exchange falla debido a una especificación incorrecta: Un mensaje erróneo anula el mensaje de error: “Todas las conexiones en uso”. Ahora aparecen mensajes más descriptivos, como “Todas las conexiones están inoperables”, “El grupo de conexiones está vacío”, “Todas las conexiones están limitadas” y “No hay conexiones disponibles”. [CXM-50783]

• A veces, los comandos de Permitir/Bloquear/Borrar se ponen en cola en la caché interna de XenMobile Mail Manager varias veces. Este problema provoca un retraso en el envío del comando a Exchange. XenMobile Mail Manager ahora solo pone en cola una instancia de cada comando. [CXM-51524]

• Novedades de la versión 10.1.3

• Soporte para Google Analytics: Queremos saber cómo usas XenMobile Mail Manager para poder centrarnos en cómo mejorar el producto.

• Configuración para habilitar diagnósticos: Una casilla de verificación Habilitar diagnóstico aparece en la consola de Configuración, en el cuadro de diálogo Configuración.

  • 

Problemas solucionados en la versión 10.1.3

• En la ventana Historial de instantáneas, las informaciones sobre herramientas que muestran el estado actual de la instantánea no reflejan el estado real. [CXM-5570]
  • En ocasiones, XenMobile Mail Manager no puede escribir en el archivo de diagnóstico de Comandos. Cuando esto ocurre, el historial de comandos no se registra en su totalidad. [CXM-49217]
• Cuando se produce un error en una conexión, es posible que la conexión no se marque como “con error”. Como resultado, un comando posterior puede intentar usar la conexión y causar otro error. [CXM-49495]
• Cuando se produce una limitación por parte del servidor de Exchange, se puede lanzar una excepción en la rutina de Comprobación de estado. Como resultado, las conexiones que han experimentado un error o han caducado podrían no eliminarse. Además, XenMobile Mail Manager podría no crear conexiones hasta que expire el tiempo de limitación. [CXM-49794].
  • Cuando se supera el número máximo de sesiones para Exchange, XenMobile Mail Manager informa del error “Error en la captura del dispositivo”, lo cual no es un mensaje preciso. En su lugar, el mensaje debería indicar que las dos sesiones que XenMobile Mail Manager usa normalmente para la comunicación con Exchange están en uso. [CXM-49994]

Novedades de la versión 10.1.2

-  **Conexión mejorada a Exchange:** XenMobile Mail Manager usa sesiones de PowerShell para comunicarse con Exchange. Una sesión de PowerShell, especialmente al tratar con Office 365, puede volverse inestable después de un tiempo, bloqueando el éxito de los comandos posteriores. XenMobile Mail Manager ahora puede establecer un período de caducidad para las conexiones. Cuando la conexión alcanza su tiempo de caducidad, XenMobile Mail Manager cierra la sesión de PowerShell de forma controlada y crea una sesión. Al hacerlo, es menos probable que la sesión de PowerShell se vuelva inestable, lo que reduce significativamente la posibilidad de un error de instantánea.
-  **Flujo de trabajo de instantáneas mejorado:** Las instantáneas principales son una operación que consume mucho tiempo y recursos. Si se produce un error durante una instantánea, XenMobile Mail Manager ahora intenta varias veces (hasta tres) completar una instantánea. Los intentos posteriores no comienzan desde el principio. XenMobile Mail Manager continúa desde donde lo dejó. Esta mejora aumenta la tasa de éxito de las instantáneas en general al permitir que los errores transitorios pasen mientras una instantánea aún está en curso.
-  **Diagnósticos mejorados:** La resolución de problemas de las operaciones de instantáneas es ahora más fácil con tres nuevos archivos de diagnóstico que se generan opcionalmente durante una instantánea. Estos archivos ayudan a identificar problemas de comandos de PowerShell, buzones con información faltante y dispositivos que no se pueden relacionar con un buzón. Un administrador puede usar estos archivos para identificar datos que pueden no ser correctos en Exchange.
-  **Uso de memoria mejorado:** XenMobile Mail Manager es ahora más eficiente en su uso de la memoria. Los administradores pueden programar XenMobile Mail Manager para que se reinicie automáticamente y así proporcionar un estado limpio al sistema.
-  **Requisito previo de Microsoft .NET Framework 4.6:** La versión de requisito previo de Microsoft .NET Framework es ahora la versión 4.6.

Problemas solucionados

-  Error de solicitud de credenciales: La inestabilidad de la sesión de Office 365 a menudo causaba este error. La mejora de la conexión a Exchange aborda el problema. (XMHELP-293, XMHELP-311, XMHELP-801)

• Inexactitudes en el recuento de buzones y dispositivos: XenMobile Mail Manager tiene un algoritmo mejorado de asociación de buzones a dispositivos. La función de Diagnósticos mejorados ayuda a identificar buzones y dispositivos que XenMobile Mail Manager considera que no están dentro de su ámbito de responsabilidad. (XMHELP-623)
  • Comandos de Permitir/Bloquear/Borrar no reconocidos: Se corrigió un error por el cual, a veces, los comandos de permitir/bloquear/borrar de XenMobile Mail Manager no se reconocían. (XMHELP-489)
  • Gestión de memoria: Mejor gestión y mitigación de la memoria. (XMHELP-419)

Arquitectura

-  El siguiente diagrama muestra los componentes principales del conector de Citrix Endpoint Management para Exchange ActiveSync. Para un diagrama de arquitectura de referencia detallado, consulta [Arquitectura](/es-es/citrix-endpoint-management/about.html#architecture).

-  ![Arquitectura del conector de Citrix Endpoint Management para Exchange ActiveSync](/en-us/citrix-endpoint-management/media/architecture-citrix-gateway-connector-exchangeactivesync.png)

-  Los dos componentes principales son:

-  **Administración de control de acceso de Exchange ActiveSync:** Se comunica con Citrix Endpoint Management para recuperar una política de Exchange ActiveSync de Citrix Endpoint Management y fusiona esta política con cualquier política definida localmente para determinar los dispositivos de Exchange ActiveSync a los que se debe permitir o denegar el acceso a Exchange. La política local permite extender las reglas de la política para permitir el control de acceso por Grupo de Active Directory, Usuario, Tipo de dispositivo o Agente de usuario del dispositivo (generalmente la versión de la plataforma móvil).
-  **Administración remota de PowerShell:** Responsable de programar e invocar comandos remotos de PowerShell para aplicar la política compilada por la Administración de control de acceso de Exchange ActiveSync. Periódicamente toma una instantánea de la base de datos de Exchange ActiveSync para detectar dispositivos de Exchange ActiveSync nuevos o modificados.

Requisitos del sistema y requisitos previos

Se requieren los siguientes requisitos mínimos del sistema para usar el conector de Citrix Endpoint Management para Exchange ActiveSync:

• Windows Server 2016, Windows Server 2012 R2 o Windows Server 2008 R2 Service Pack 1. Debe ser un servidor basado en inglés. El soporte para Windows Server 2008 R2 Service Pack 1 finaliza el 14 de enero de 2020 y el soporte para Windows Server 2012 R2 finaliza el 10 de octubre de 2023.
• Microsoft SQL Server 2016 Service Pack 2, SQL Server 2014 Service Pack 3 o SQL Server 2012 Service Pack 4.
• Microsoft .NET Framework 4.6.

• Blackberry Enterprise Service, versión 5 (opcional).

  • Versiones mínimas compatibles de Microsoft Exchange Server:
• Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013 (el soporte finaliza el 11 de abril de 2023)
  • Exchange Server 2010 Service Pack 3 (el soporte finaliza el 14 de enero de 2020)

Requisitos previos

-  Debes instalar Windows Management Framework.
-  PowerShell V5, V4 y V3
-  La política de ejecución de PowerShell debe establecerse en RemoteSigned mediante Set-ExecutionPolicy RemoteSigned.
-  El puerto TCP 80 debe estar abierto entre el equipo que ejecuta el conector para Exchange ActiveSync y el servidor Exchange remoto.

-  **Clientes de correo electrónico del dispositivo:** No todos los clientes de correo electrónico devuelven de forma coherente el mismo ID de ActiveSync para un dispositivo. Dado que el conector para Exchange ActiveSync espera un ID de ActiveSync único para cada dispositivo, solo se admiten los clientes de correo electrónico que generan de forma coherente el mismo ID de ActiveSync único para cada dispositivo. Citrix ha probado estos clientes de correo electrónico sin errores:

• Cliente de correo electrónico nativo de Samsung

• Cliente de correo electrónico nativo de iOS

  • Exchange: Los requisitos para el equipo local que ejecuta Exchange son los siguientes:

  • Las credenciales especificadas en la interfaz de usuario de configuración de Exchange deben poder conectarse al servidor Exchange y tener acceso completo para ejecutar los siguientes cmdlets de PowerShell específicos de Exchange.

  • Para Exchange Server 2010 SP2:
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-ActiveSyncDevice
  • Get-ActiveSyncDeviceStatistics
  • Clear-ActiveSyncDevice
  • Get-ExchangeServer
  • Get-ManagementRole
  • Get-ManagementRoleAssignment
  • Para Exchange Server 2013 y Exchange Server 2016:
  • Get-CASMailbox
  • Set-CASMailbox
  • Get-Mailbox
  • Get-MobileDevice
  • Get-MobileDeviceStatistics
  • Clear-MobileDevice
  • Get-ExchangeServer
  • Get-ManagementRole

  • Get-ManagementRoleAssignment

  • Si el conector para Exchange ActiveSync está configurado para ver todo el bosque, se debe haber concedido permiso para ejecutar: Set-AdServerSettings -ViewEntireForest $true
  • Las credenciales proporcionadas deben tener el derecho de conectarse al servidor Exchange a través de la Shell remota. Por defecto, el usuario que instaló Exchange tiene este derecho.
  • Para establecer una conexión remota y ejecutar comandos remotos, las credenciales deben corresponder a un usuario que sea administrador en la máquina remota. Puedes usar Set-PSSessionConfiguration para eliminar el requisito administrativo, pero la discusión de ese comando está fuera del alcance de este documento. Para obtener más información, consulta el artículo de Microsoft Acerca de las configuraciones de sesión.
  • El servidor Exchange debe estar configurado para admitir solicitudes remotas de PowerShell a través de HTTP. Normalmente, un administrador que ejecuta el siguiente comando de PowerShell en el servidor Exchange es todo lo que se requiere: WinRM QuickConfig.
  • Exchange tiene muchas políticas de limitación. Una de las políticas controla cuántas conexiones simultáneas de PowerShell se permiten por usuario. El número predeterminado de conexiones simultáneas permitidas para un usuario es 18 en Exchange 2010. Cuando se alcanza el límite de conexión, el conector para Exchange ActiveSync no puede conectarse al servidor Exchange. Hay formas de cambiar el número máximo de conexiones simultáneas permitidas a través de PowerShell que están fuera del alcance de esta documentación. Si te interesa, investiga las políticas de limitación de Exchange relacionadas con la administración remota con PowerShell.

Requisitos para Office 365 Exchange

-  **Permisos:** Las credenciales especificadas en la interfaz de usuario de configuración de Exchange deben poder conectarse a Office 365 y tener acceso completo para ejecutar los siguientes cmdlets de PowerShell específicos de Exchange:
-  `Get-CASMailbox`
-  `Set-CASMailbox`
-  `Get-Mailbox`
-  `Get-MobileDevice`
-  `Get-MobileDeviceStatistics`
-  `Clear-MobileDevice`
-  `Get-ExchangeServer`
-  `Get-ManagementRole`
-  `Get-ManagementRoleAssignment`

• Privilegios: Las credenciales proporcionadas deben tener el derecho de conectarse al servidor de Office 365 a través de la Shell remota. Por defecto, el administrador en línea de Office 365 tiene los privilegios necesarios.
• Políticas de limitación: Exchange tiene muchas políticas de limitación. Una de las políticas controla cuántas conexiones simultáneas de PowerShell se permiten por usuario. El número predeterminado de conexiones simultáneas permitidas para un usuario es tres en Office 365. Cuando se alcanza el límite de conexión, el conector para Exchange ActiveSync no puede conectarse al servidor Exchange. Hay formas de cambiar el número máximo de conexiones simultáneas permitidas a través de PowerShell que están fuera del alcance de esta documentación. Si te interesa, investiga las políticas de limitación de Exchange relacionadas con la administración remota con PowerShell.

Instalar y configurar

• 1. Haz clic en el archivo XmmSetup.msi y luego sigue las indicaciones del instalador para instalar el conector de Citrix Endpoint Management para Exchange ActiveSync.
• 1. Deja seleccionada la opción Launch the Configure utility en la última pantalla del asistente de configuración. O, desde el menú Inicio, abre el conector para Exchange ActiveSync.

1. Configura las siguientes propiedades de la base de datos:

   • Selecciona la ficha Configure > Database.
   • Introduce el nombre del SQL Server (el valor predeterminado es localhost).
   • Mantén la base de datos como la predeterminada CitrixXmm.

2. Selecciona uno de los siguientes modos de autenticación utilizados para SQL:

   • SQL: Introduce el nombre de usuario y la contraseña de un usuario SQL válido.
   • Windows Integrated: Si seleccionas esta opción, las credenciales de inicio de sesión del servicio XenMobile Mail Manager deben cambiarse a una cuenta de Windows que tenga permisos para acceder al SQL Server. Para ello, abre Panel de control > Herramientas administrativas > Servicios, haz clic con el botón derecho en la entrada del servicio XenMobile Mail Manager y luego haz clic en la ficha Iniciar sesión.

   Si también se elige Windows Integrated para la conexión de la base de datos de BlackBerry, la cuenta de Windows especificada aquí también debe tener acceso a la base de datos de BlackBerry.

3. Haz clic en Test Connectivity para comprobar que se puede establecer una conexión con el SQL Server y luego haz clic en Save.

4. Un mensaje te pide que reinicies el servicio. Haz clic en Sí.

• 

• 1. Configura uno o varios servidores Exchange:
  • Si gestionas un único entorno Exchange, especifica solo un servidor. Si gestionas varios entornos Exchange, especifica un único servidor Exchange para cada entorno Exchange.
  • Haz clic en la ficha Configurar > Exchange y luego haz clic en Agregar.

  

1. Selecciona el tipo de entorno de servidor Exchange: Local o Office 365.

   • Si seleccionas Local, introduce el nombre del servidor Exchange que se usará para los comandos de PowerShell remoto.
   • Introduce el nombre de usuario de una identidad de Windows que tenga los derechos adecuados en el servidor Exchange, tal como se especifica en la sección Requisitos, y luego introduce la Contraseña del usuario.
   • Selecciona la programación para ejecutar instantáneas principales. Una instantánea principal detecta cada asociación de Exchange ActiveSync.
   • Selecciona la programación para ejecutar instantáneas secundarias. Una instantánea secundaria detecta las asociaciones de Exchange ActiveSync recién creadas.
   • Selecciona el tipo de instantánea: Profunda o Superficial. Las instantáneas superficiales suelen ser mucho más rápidas y son suficientes para realizar todas las funciones de control de acceso de Exchange ActiveSync del conector para Exchange ActiveSync.
   • Selecciona el acceso predeterminado: Permitir, Bloquear o Sin cambios. Esta configuración controla cómo se tratan todos los dispositivos que no sean los identificados por las reglas explícitas de Citrix Endpoint Management o las reglas locales. Si seleccionas Permitir, se permite el acceso de ActiveSync a todos esos dispositivos. Si seleccionas Bloquear, se deniega el acceso. Si seleccionas Sin cambios, no se realiza ningún cambio.
   • Selecciona el modo de comando de ActiveSync: PowerShell o Simulación.
   • En el modo PowerShell, el conector para Exchange ActiveSync emite comandos de PowerShell para aplicar el control de acceso deseado. En el modo Simulación, el conector para Exchange ActiveSync no emite comandos de PowerShell, pero registra el comando previsto y los resultados previstos en la base de datos. En el modo Simulación, el usuario puede usar la ficha Monitor para ver qué habría ocurrido si el modo PowerShell hubiera estado habilitado.
   • En Caducidad de la conexión, establece las horas y los minutos de la duración de una conexión. Cuando una conexión alcanza la antigüedad especificada, se marca como caducada, de modo que la conexión nunca se vuelve a usar. Cuando la conexión caducada ya no se usa, el conector para Exchange ActiveSync cierra la conexión de forma segura. Cuando se necesita una conexión de nuevo, se inicializa una nueva conexión si no hay ninguna disponible. Si no se especifica ninguna, se usa el valor predeterminado de 30 minutos.
   • Selecciona Ver todo el bosque para configurar el conector para Exchange ActiveSync para que vea todo el bosque de Active Directory en el entorno Exchange.
   • Selecciona el protocolo de autenticación: Kerberos o Básico. El conector para Exchange ActiveSync admite la autenticación básica para implementaciones locales. Esto permite usar el conector cuando el servidor del conector no es miembro del dominio en el que reside el servidor Exchange.
   • Haz clic en Probar conectividad para comprobar que se puede establecer una conexión con el servidor Exchange y luego haz clic en Guardar.
   • Un mensaje te pide que reinicies el servicio. Haz clic en Sí.

2. Configura las reglas de acceso: Selecciona la ficha Configurar > Reglas de acceso, haz clic en la ficha Reglas de Citrix Endpoint Management y luego haz clic en Agregar.

   

3. En la página Propiedades del servicio del servidor de Citrix Endpoint Management, modifica la cadena de URL para que apunte al servidor de Citrix Endpoint Management. Por ejemplo, si el nombre de la instancia es zdm, introduce https://<XdmHostName>/zdm/services/MagConfigService. En el ejemplo, reemplaza XdmHostName por la dirección IP o DNS del servidor de Citrix Endpoint Management.

   

   • Introduce un usuario autorizado del servidor.
   • Introduce la contraseña del usuario.
   • Mantén los valores predeterminados para Intervalo de línea base, Intervalo delta y Tiempo de espera.
   • Haz clic en Probar conectividad para comprobar la conexión con el servidor y luego haz clic en Aceptar.

   Si la casilla de verificación Deshabilitado está seleccionada, el servicio de correo de Citrix Endpoint Management no recopila directivas de Citrix Endpoint Management.

   • 1. Haz clic en la ficha Reglas locales.

   

   • Puedes agregar reglas locales basadas en el ID de dispositivo de ActiveSync, el tipo de dispositivo, el grupo de AD, el usuario o el UserAgent del dispositivo. En la lista, selecciona el tipo adecuado.
   • Introduce texto o fragmentos de texto en el cuadro de texto. Opcionalmente, haz clic en el botón de consulta para ver las entidades que coinciden con el fragmento.

   Para todos los tipos que no sean Grupo, el sistema se basa en los dispositivos que se han encontrado en una instantánea. Por lo tanto, si acabas de empezar y no has completado una instantánea, no hay entidades disponibles.

   • Selecciona un valor de texto y luego haz clic en Permitir o Denegar para agregarlo al panel Lista de reglas de la derecha. Puedes cambiar el orden de las reglas o quitarlas usando los botones a la derecha del panel Lista de reglas. El orden es importante porque, para un usuario y un dispositivo determinados, las reglas se evalúan en el orden que se muestra y una coincidencia con una regla superior (más cerca de la parte superior) hace que las reglas posteriores no tengan efecto. Por ejemplo, si tienes una regla que permite todos los dispositivos iPad y una regla posterior que bloquea al usuario Matt, el iPad de Matt seguirá estando permitido porque la regla del iPad tiene una prioridad efectiva más alta que la regla de Matt.
   • Para realizar un análisis de las reglas dentro de la lista de reglas y encontrar posibles anulaciones, conflictos o construcciones suplementarias, haz clic en Analizar y luego haz clic en Guardar.

4. Si quieres construir reglas locales que operen en grupos de Active Directory, haz clic en Configurar LDAP y luego configura las propiedades de conexión LDAP.

   

• 1. Opcionalmente, configura una o varias instancias de BlackBerry Enterprise Server (BES): Haz clic en Agregar y, a continuación, introduce el nombre del servidor SQL de BES.

• 

  • Introduce el nombre de la base de datos de gestión de BES.

  • Selecciona el modo de Autenticación. Si seleccionas la autenticación integrada de Windows, la cuenta de usuario del conector para el servicio Exchange ActiveSync es la cuenta que se utiliza para conectarse al servidor SQL de BES. Si también eliges la autenticación integrada de Windows para la conexión de la base de datos del conector, la cuenta de Windows especificada aquí también debe tener acceso a la base de datos del conector.

  • Si seleccionas la autenticación SQL, introduce el nombre de usuario y la contraseña.

    • Establece la Programación de sincronización. Esta es la programación utilizada para conectarse al servidor SQL de BES y comprobar si hay actualizaciones de dispositivos.

    • Haz clic en Probar conectividad para comprobar la conectividad con el servidor SQL. Si seleccionas la autenticación integrada de Windows, esta prueba utiliza el usuario que ha iniciado sesión actualmente y no el usuario del servicio del conector, por lo que no prueba con precisión la autenticación SQL.

  • Para admitir el borrado remoto y el restablecimiento de contraseña de dispositivos BlackBerry desde Citrix Endpoint Management, selecciona la casilla de verificación Habilitado.

  • Introduce el nombre de dominio completo (FQDN) de BES.

  • Introduce el puerto de BES utilizado para el servicio web de administración.

  • Introduce el usuario y la contraseña completos requeridos por el servicio BES.

  • Haz clic en Probar conectividad para probar la conexión con BES y, a continuación, haz clic en Guardar.

Aplicar políticas de correo electrónico con ID de ActiveSync

Tu política de correo electrónico corporativo puede dictar que ciertos dispositivos no están aprobados para el uso de correo electrónico corporativo. Para seguir esta política, quieres asegurarte de que los empleados no puedan acceder al correo electrónico corporativo desde dichos dispositivos. El conector de Citrix Endpoint Management para Exchange ActiveSync y Citrix Endpoint Management trabajan juntos para aplicar dicha política de correo electrónico. Citrix Endpoint Management establece la política de acceso al correo electrónico corporativo. Cuando un dispositivo no aprobado se inscribe en Citrix Endpoint Management, el conector para Exchange ActiveSync aplica la política.

El cliente de correo electrónico de un dispositivo se anuncia a Exchange Server (u Office 365) utilizando el ID del dispositivo, también conocido como ID de ActiveSync, que se utiliza para identificar el dispositivo. Citrix Secure Hub obtiene un identificador similar y lo envía a Citrix Endpoint Management cuando el dispositivo está inscrito. Al comparar los dos ID de dispositivo, el conector para Exchange ActiveSync puede determinar si un dispositivo específico debe tener acceso al correo electrónico corporativo. La siguiente figura ilustra este concepto:

Si Citrix Endpoint Management envía al conector para Exchange ActiveSync un ID de ActiveSync diferente del ID que el dispositivo publica en Exchange, el conector no puede indicar a Exchange qué hacer con el dispositivo.

La coincidencia de ID de ActiveSync funciona de forma fiable en la mayoría de las plataformas. Sin embargo, Citrix ha descubierto que en algunas implementaciones de Android, el ID de ActiveSync del dispositivo es diferente del ID que el cliente de correo anuncia a Exchange. Para mitigar este problema, puedes hacer lo siguiente:

• En plataformas Android, Citrix recomienda que uses Citrix Secure Mail.

Para garantizar que tu política de acceso al correo electrónico corporativo se aplique correctamente, puedes adoptar una postura de seguridad defensiva. Configura el conector de Citrix Endpoint Management para Exchange ActiveSync para bloquear correos electrónicos estableciendo la política estática en Denegar de forma predeterminada. Esto significa que si un empleado configura otro cliente de correo electrónico en un dispositivo Android y la detección de ID de ActiveSync no funciona, el correo electrónico corporativo deniega el acceso al empleado.

Reglas de control de acceso

El conector de Citrix Endpoint Management para Exchange ActiveSync proporciona un enfoque basado en reglas para configurar dinámicamente el control de acceso para los dispositivos Exchange ActiveSync. Una regla de control de acceso del conector consta de dos partes: una expresión de coincidencia y un estado de acceso deseado (Permitir o Bloquear). Una regla puede evaluarse contra un dispositivo Exchange ActiveSync determinado para determinar si la regla se aplica o coincide con el dispositivo. Hay varios tipos de expresiones de coincidencia; por ejemplo, una regla puede coincidir con todos los dispositivos de un tipo de dispositivo determinado, o con un ID de dispositivo Exchange ActiveSync específico, o con todos los dispositivos de un usuario específico, y así sucesivamente.

En cualquier momento durante la adición, eliminación y reorganización de las reglas en la lista de reglas, al hacer clic en el botón Cancelar se revierte la lista de reglas al estado en que se encontraba cuando se abrió por primera vez. A menos que hagas clic en Guardar, cualquier cambio realizado en esta ventana se perderá si cierras la herramienta de configuración.

El conector de Citrix Endpoint Management para Exchange ActiveSync tiene tres tipos de reglas: reglas locales, reglas del servidor de Citrix Endpoint Management (también conocidas como reglas XDM) y la regla de acceso predeterminada.

Reglas locales: Las reglas locales tienen la prioridad más alta: si un dispositivo coincide con una regla local, la evaluación de reglas se detiene. No se consultarán ni las reglas del servidor de Citrix Endpoint Management ni la regla de acceso predeterminada. Las reglas locales se configuran localmente en el conector para Exchange ActiveSync a través de la ficha Configurar > Reglas de acceso > Reglas locales. La coincidencia de soporte se basa en la pertenencia de un usuario a un grupo de Active Directory determinado. La coincidencia de soporte se basa en expresiones regulares para los siguientes campos:

• ID de dispositivo de ActiveSync
• Tipo de dispositivo de ActiveSync
• Nombre principal de usuario (UPN)
• Agente de usuario de ActiveSync (normalmente la plataforma del dispositivo o el cliente de correo electrónico)

Siempre que se haya completado una instantánea principal y se hayan encontrado dispositivos, puedes agregar una regla normal o una regla de expresión regular. Si no se ha completado una instantánea principal, solo puedes agregar reglas de expresión regular.

Reglas del servidor de Citrix Endpoint Management: Las reglas del servidor de Citrix Endpoint Management son referencias a un servidor externo de Citrix Endpoint Management que proporciona reglas sobre los dispositivos administrados. El servidor de Citrix Endpoint Management puede configurarse con sus propias reglas de alto nivel que identifican los dispositivos que se permitirán o bloquearán en función de las propiedades conocidas por Citrix Endpoint Management, como si el dispositivo tiene jailbreak o si tiene aplicaciones prohibidas. Citrix Endpoint Management evalúa las reglas de alto nivel y produce un conjunto de ID de dispositivo de ActiveSync permitidos o bloqueados, que luego se entregan a XenMobile Mail Manager.

Regla de acceso predeterminada: La regla de acceso predeterminada es única en el sentido de que puede coincidir potencialmente con todos los dispositivos y siempre se evalúa en último lugar. Esta regla es la regla comodín, lo que significa que si un dispositivo determinado no coincide con una regla local o del servidor de Citrix Endpoint Management, el estado de acceso deseado del dispositivo se determina por el estado de acceso deseado de la regla de acceso predeterminada.

• Acceso predeterminado – Permitir: Se permitirá cualquier dispositivo que no coincida con una regla local o del servidor de Citrix Endpoint Management.
• Acceso predeterminado – Bloquear: Se bloqueará cualquier dispositivo que no coincida con una regla local o del servidor de Citrix Endpoint Management.
• Acceso predeterminado - Sin cambios: Cualquier dispositivo que no coincida con una regla local o del servidor de Citrix Endpoint Management no verá su estado de acceso modificado de ninguna manera por el conector para Exchange ActiveSync. Si Exchange ha puesto un dispositivo en modo de cuarentena, no se realiza ninguna acción. Por ejemplo, la única forma de sacar un dispositivo del modo de cuarentena es que una regla local o XDM lo anule explícitamente.

Acerca de las evaluaciones de reglas

• Para cada dispositivo que Exchange informa al conector para Exchange ActiveSync, las reglas se evalúan en secuencia, de mayor a menor prioridad, de la siguiente manera:

• Reglas locales
• Reglas del servidor de Citrix Endpoint Management
• Regla de acceso predeterminada

Cuando se encuentra una coincidencia, la evaluación se detiene. Por ejemplo, si una regla local coincide con un dispositivo determinado, el dispositivo no se evaluará contra ninguna de las reglas del servidor de Citrix Endpoint Management ni la regla de acceso predeterminada. Esto también es válido dentro de un tipo de regla determinado. Por ejemplo, si hay más de una coincidencia para un dispositivo determinado en la lista de reglas locales, cuando se cumple la primera coincidencia, la evaluación se detiene.

El conector para Exchange ActiveSync reevalúa el conjunto de reglas actualmente definido cuando cambian las propiedades del dispositivo, o cuando se agregan o eliminan dispositivos, o cuando las propias reglas cambian. Las instantáneas principales detectan los cambios y eliminaciones de propiedades del dispositivo en intervalos configurables. Las instantáneas secundarias detectan nuevos dispositivos en intervalos configurables.

Exchange ActiveSync también tiene reglas que rigen el acceso. Es importante comprender cómo funcionan estas reglas en el contexto del conector para Exchange ActiveSync. Exchange puede configurarse con tres niveles de reglas: exenciones personales, reglas de dispositivo y configuraciones de la organización. El conector para Exchange ActiveSync automatiza el control de acceso emitiendo programáticamente solicitudes de PowerShell remoto para afectar las listas de exenciones personales. Estas son listas de ID de dispositivo de Exchange ActiveSync permitidos o bloqueados asociados con un buzón determinado. Cuando se implementa, el conector para Exchange ActiveSync asume eficazmente la administración de la capacidad de las listas de exenciones dentro de Exchange. Consulta el artículo de Microsoft, Administración de dispositivos con Exchange y Configuration Manager.

El análisis es útil en situaciones en las que se han definido varias reglas para el mismo campo. Puedes solucionar problemas en las relaciones entre las reglas. Realizas el análisis desde la perspectiva de los campos de las reglas. Por ejemplo, las reglas se analizan en grupos según el campo que se está haciendo coincidir, como el ID de dispositivo de ActiveSync, el tipo de dispositivo de ActiveSync, el usuario, el agente de usuario.

Terminología de las reglas

• Regla de anulación: Una anulación ocurre cuando más de una regla puede aplicarse al mismo dispositivo. Dado que las reglas se evalúan por prioridad en la lista, las instancias de reglas posteriores que podrían aplicarse podrían no evaluarse nunca.
• Regla en conflicto: Un conflicto ocurre cuando más de una regla puede aplicarse al mismo dispositivo, pero el acceso (Permitir/Bloquear) no coincide. Si las reglas en conflicto no son reglas de expresión regular, un conflicto siempre connota implícitamente una anulación.
• Regla complementaria: Un complemento ocurre cuando más de una regla es una regla de expresión regular y, por lo tanto, podría ser necesario asegurarse de que las dos (o más) expresiones regulares puedan combinarse en una única regla de expresión regular o no estén duplicando la funcionalidad. Una regla complementaria también puede entrar en conflicto en su acceso (Permitir/Bloquear).
• Regla principal: La regla principal es la regla en la que se ha hecho clic dentro del cuadro de diálogo. La regla se indica visualmente mediante una línea de borde sólida que la rodea. La regla también tendrá una o dos flechas verdes que apuntan hacia arriba o hacia abajo. Si una flecha apunta hacia arriba, indica que hay reglas auxiliares que preceden a la regla principal. Si una flecha apunta hacia abajo, indica que hay reglas auxiliares que vienen después de la regla principal. Solo una única regla principal puede estar activa en un momento dado.

• Regla auxiliar: Una regla auxiliar está relacionada de alguna manera con la regla principal, ya sea por anulación, conflicto o una relación complementaria. Las reglas se indican visualmente mediante un borde discontinuo que las rodea. Para cada regla principal, puede haber entre una y muchas reglas auxiliares. Al hacer clic en cualquier entrada subrayada, la regla o reglas auxiliares que se resaltan siempre se ven desde la perspectiva de la regla principal. Por ejemplo, la regla auxiliar es anulada por la regla principal, o la regla auxiliar entra en conflicto en su acceso con la regla principal, o la regla auxiliar complementa la regla principal.

• Cómo aparecen los tipos de reglas en el cuadro de diálogo Análisis de reglas

  • Cuando no hay conflictos, anulaciones o suplementos, el cuadro de diálogo Análisis de reglas no tiene entradas subrayadas. Hacer clic en cualquiera de los elementos no tiene ningún impacto; por ejemplo, se muestran los elementos seleccionados de forma normal.

    • La ventana Análisis de reglas tiene una casilla de verificación que, al seleccionarla, muestra solo las reglas que son conflictos, anulaciones, redundancias o suplementos.

Cuando se produce una anulación, se subrayarán al menos dos reglas: la regla principal y la regla o reglas auxiliares. Al menos una regla auxiliar aparece con una fuente más clara para indicar que la regla ha sido anulada por una regla de mayor prioridad. Puedes hacer clic en la regla anulada para averiguar qué regla o reglas la han anulado. Cada vez que se resalta una regla anulada, ya sea porque la regla es la principal o la auxiliar, aparece un círculo negro junto a ella como una indicación visual adicional de que la regla está inactiva. Por ejemplo, antes de hacer clic en la regla, el cuadro de diálogo aparece de la siguiente manera:

Cuando haces clic en la regla de mayor prioridad, el cuadro de diálogo aparece de la siguiente manera:

En este ejemplo, la regla de expresión regular WorkMail.* es la regla principal (indicada por el borde sólido) y la regla normal workmailc633313818 es una regla auxiliar (indicada por el borde discontinuo). El punto negro junto a la regla auxiliar es una señal visual que indica además que la regla está inactiva (nunca se evaluará) debido a la regla de expresión regular de mayor prioridad que la precede. Después de hacer clic en la regla anulada, el cuadro de diálogo aparece de la siguiente manera:

En el ejemplo anterior, la regla de expresión regular WorkMail.* es la regla auxiliar (indicada por el borde discontinuo) y la regla normal workmailc633313818 es una regla principal (indicada por el borde sólido). Para este ejemplo sencillo, no hay mucha diferencia. Para un ejemplo más complicado, consulta el ejemplo de expresión compleja más adelante en este tema. En un escenario con muchas reglas definidas, hacer clic en la regla anulada identificaría rápidamente qué regla o reglas la habían anulado.

Cuando se produce un conflicto, se subrayarán al menos dos reglas: la regla principal y la regla o reglas auxiliares. Las reglas en conflicto se indican con un punto rojo. Las reglas que solo entran en conflicto entre sí solo son posibles con dos o más reglas de expresión regular definidas. En todos los demás escenarios de conflicto, no solo habrá un conflicto, sino también una anulación en juego. Antes de hacer clic en cualquiera de las reglas en un ejemplo sencillo, el cuadro de diálogo aparece de la siguiente manera:

Al inspeccionar las dos reglas de expresión regular, es evidente que la primera regla permite todos los dispositivos con un ID de dispositivo que tiene “App” y que la segunda regla deniega todos los dispositivos con un ID de dispositivo que tiene Appl. Además, aunque la segunda regla deniega todos los dispositivos con un ID de dispositivo que tiene Appl, ningún dispositivo con esos criterios de coincidencia será denegado debido a la mayor precedencia de la regla de permiso. Después de hacer clic en la primera regla, el cuadro de diálogo aparece de la siguiente manera:

En el escenario anterior, tanto la regla principal (regla de expresión regular App.*) como la regla auxiliar (regla de expresión regular Appl.*) están resaltadas en amarillo. Esto es simplemente una advertencia visual para alertarte de que has aplicado más de una regla de expresión regular a un único campo coincidente, lo que puede significar un problema de redundancia o algo más grave.

En un escenario con conflicto y anulación, tanto la regla principal (regla de expresión regular App.*) como la regla auxiliar (regla de expresión regular Appl.*) están resaltadas en amarillo. Esto es simplemente una advertencia visual para alertarte de que has aplicado más de una regla de expresión regular a un único campo coincidente, lo que puede significar un problema de redundancia o algo más grave.

Es fácil ver en el ejemplo anterior que la primera regla (regla de expresión regular SAMSUNG.*) no solo anula la siguiente regla (regla normal SAMSUNG-SM-G900A/101.40402), sino que las dos reglas difieren en su acceso (la principal especifica Permitir, la auxiliar especifica Bloquear). La segunda regla (regla normal SAMSUNG-SM-G900A/101.40402) se muestra con un texto más claro para indicar que ha sido anulada y, por lo tanto, está inactiva.

Después de hacer clic en la regla de expresión regular, el cuadro de diálogo aparece de la siguiente manera:

La regla principal (regla de expresión regular SAMSUNG.*) va seguida de un punto rojo para indicar que su estado de acceso entra en conflicto con una o más reglas auxiliares. La regla auxiliar (regla normal SAMSUNG-SM-G900A/101.40402) va seguida de un punto rojo para indicar que su estado de acceso entra en conflicto con la regla principal. Esa regla también va seguida de un punto negro para indicar que ha sido anulada y, por lo tanto, está inactiva.

Se subrayarán al menos dos reglas: la regla principal y la regla o reglas auxiliares. Las reglas que solo se complementan entre sí solo implicarán reglas de expresión regular. Cuando las reglas se complementan entre sí, se indican con una superposición amarilla. Antes de hacer clic en cualquiera de las reglas, en un ejemplo sencillo, el cuadro de diálogo aparece de la siguiente manera:

Una inspección visual revela fácilmente que ambas son reglas de expresión regular que se han aplicado al campo ID de dispositivo de ActiveSync en el conector de Citrix Endpoint Management para Exchange ActiveSync. Después de hacer clic en la primera regla, el cuadro de diálogo tiene el siguiente aspecto:

La regla principal (regla de expresión regular WorkMail.*) se resalta con una superposición amarilla para indicar que existe al menos una regla auxiliar más que es una expresión regular. La regla auxiliar (regla de expresión regular SAMSUNG.*) se resalta con una superposición amarilla para indicar que tanto esta como la regla principal son reglas de expresión regular que se aplican al mismo campo dentro del conector para Exchange ActiveSync. En este caso, ese campo es el ID de dispositivo de ActiveSync. Las expresiones regulares pueden o no superponerse. Depende de ti decidir si tus expresiones regulares están bien elaboradas.

Ejemplo de una expresión compleja

Pueden producirse muchas anulaciones, conflictos o complementos potenciales, lo que hace imposible dar un ejemplo de todos los escenarios posibles. El siguiente ejemplo analiza lo que no se debe hacer, al tiempo que sirve para ilustrar todo el poder de la construcción visual de análisis de reglas. La mayoría de los elementos están subrayados en la siguiente figura. Muchos de los elementos se muestran con una fuente más clara, lo que indica que la regla en cuestión ha sido anulada de alguna manera por una regla de mayor prioridad. También se incluyen varias reglas de expresión regular en la lista, como indica el icono .

Cómo analizar una anulación

Para ver qué regla o reglas han anulado una regla en particular, haz clic en la regla.

Ejemplo 1: Este ejemplo examina por qué se ha anulado zentrain01@zenprise.com.

La regla principal (regla de grupo de AD zenprise/TRAINING/ZenTraining B, de la que zentrain01@zenprise.com es miembro) tiene las siguientes características:

• Se resalta en azul y tiene un borde sólido.
• Tiene una flecha verde que apunta hacia arriba (para indicar que todas las reglas auxiliares se encuentran encima de ella).
• Va seguida de un círculo rojo y un círculo negro para indicar, respectivamente, que una o más reglas auxiliares entran en conflicto con su acceso y que la regla principal ha sido anulada y, por lo tanto, está inactiva.

Cuando te desplazas hacia arriba, ves lo siguiente:

En este caso, hay dos reglas auxiliares que anulan la regla principal: la regla de expresión regular zen.* y la regla normal zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). En el caso de esta última regla auxiliar, lo que ha ocurrido es que la regla de grupo de Active Directory ZenTraining A tiene al usuario zentrain01@zenprise.com, y la regla de grupo de Active Directory ZenTraining B también tiene al usuario zentrain01@zenprise.com. Sin embargo, debido a que la regla auxiliar tiene una precedencia más alta que la regla principal, esta última ha sido anulada. El acceso de la regla principal es Permitir, y como el acceso de ambas reglas auxiliares es Bloquear, todas van seguidas de un círculo rojo para indicar aún más un conflicto de acceso.

Ejemplo 2: Este ejemplo muestra por qué se ha anulado el dispositivo con un ID de dispositivo de ActiveSync de 069026593E0C4AEAB8DE7DD589ACED33:

La regla principal (regla de ID de dispositivo normal 069026593E0C4AEAB8DE7DD589ACED33) tiene las siguientes características:

• Está resaltada en azul y tiene un borde sólido.
• Tiene una flecha verde que apunta hacia arriba (para indicar que la regla auxiliar se encuentra encima de ella).
• Le sigue un círculo negro para indicar que una regla auxiliar ha anulado la regla principal y, por lo tanto, está inactiva.

En este caso, una única regla auxiliar anula la regla principal: la regla de ID de dispositivo de ActiveSync de expresión regular es 3E.* Como la expresión regular 3E.* coincidiría con 069026593E0C4AEAB8DE7DD589ACED33, la regla principal nunca se evaluará.

Cómo analizar un suplemento y un conflicto

En este caso, la regla principal es la regla de tipo de dispositivo de ActiveSync de expresión regular touch.* Las características son las siguientes:

• Se indica con un borde sólido con una superposición amarilla como advertencia de que hay más de una regla de expresión regular que opera contra un campo de regla particular, en este caso el tipo de dispositivo de ActiveSync.
• Dos flechas apuntan hacia arriba y hacia abajo respectivamente, lo que indica que hay al menos una regla auxiliar con mayor prioridad y al menos una regla auxiliar con menor prioridad.
• El círculo rojo junto a ella indica que al menos una regla auxiliar tiene su acceso configurado en Permitir, lo que entra en conflicto con el acceso de la regla principal de Bloquear.
• Hay dos reglas auxiliares: la regla de tipo de dispositivo de ActiveSync de expresión regular SAM.* y la regla de tipo de dispositivo de ActiveSync de expresión regular Andro.*.
• Ambas reglas auxiliares están bordeadas con guiones para indicar que son auxiliares.
• Ambas reglas auxiliares están superpuestas con amarillo para indicar que también se aplican al campo de regla del tipo de dispositivo de ActiveSync.
• Debes asegurarte en tales escenarios de que sus reglas de expresión regular no sean redundantes.

Cómo analizar las reglas más a fondo

Este ejemplo explora cómo las relaciones de las reglas siempre se ven desde la perspectiva de la regla principal. El ejemplo anterior mostró cómo al hacer clic en la regla de expresión regular aplicada al campo de regla de tipo de dispositivo con un valor de touch.*, al hacer clic en la regla auxiliar Andro.* se muestra un conjunto diferente de reglas auxiliares resaltadas.

El ejemplo muestra una regla anulada que se incluye en la relación de reglas. Esta regla es la regla de tipo de dispositivo de ActiveSync normal Android, que está anulada (indicado por la fuente aclarada y el círculo negro junto a ella) y también entra en conflicto en su acceso con la regla principal de tipo de dispositivo de ActiveSync de expresión regular Andro.*. Esa regla era anteriormente una regla auxiliar antes de hacer clic en ella. En el ejemplo anterior, la regla de tipo de dispositivo de ActiveSync normal Android no se mostraba como una regla auxiliar porque, desde la perspectiva de la entonces regla principal (la regla de tipo de dispositivo de ActiveSync de expresión regular touch.*), no estaba relacionada con ella.

Para configurar una regla local de expresión normal

1. Haz clic en la ficha Reglas de acceso.

1. En la lista ID de dispositivo, selecciona el campo para el que quieres crear una regla local.

2. Haz clic en el icono de la lupa para mostrar todas las coincidencias únicas para el campo elegido. En este ejemplo, se ha elegido el campo Tipo de dispositivo y las opciones se muestran en el siguiente cuadro de lista:

1. Haz clic en uno de los elementos del cuadro de lista de resultados y, a continuación, haz clic en una de las siguientes opciones:

   • Permitir significa que Exchange se configurará para permitir el tráfico de ActiveSync para todos los dispositivos coincidentes.
   • Denegar significa que Exchange se configurará para denegar el tráfico de ActiveSync para todos los dispositivos coincidentes.

   En este ejemplo, se deniega el acceso a todos los dispositivos que tienen un tipo de dispositivo de SamsungSPhl720.

   

Para agregar una expresión regular

Las reglas locales de expresión regular se pueden distinguir por el icono que aparece junto a ellas - . Para agregar una regla de expresión regular, puedes crear una regla de expresión regular a partir de un valor existente de la lista de resultados para un campo determinado (siempre que se haya completado una instantánea principal), o simplemente puedes escribir la expresión regular que quieras.

Para crear una expresión regular a partir de un valor de campo existente

1. Haz clic en la ficha Reglas de acceso.

   

2. En la lista ID de dispositivo, selecciona el campo para el que quieres crear una regla local de expresión regular.

3. Haz clic en el icono de la lupa para mostrar todas las coincidencias únicas para el campo elegido. En este ejemplo, se ha elegido el campo Tipo de dispositivo y las opciones se muestran en el siguiente cuadro de lista:

   

4. Haz clic en uno de los elementos de la lista de resultados. En este ejemplo, se ha seleccionado SAMSUNGSPHL720 y aparece en el cuadro de texto junto a Tipo de dispositivo.

   

5. Para permitir todos los tipos de dispositivo que tienen “Samsung” en el valor de su tipo de dispositivo, agrega una regla de expresión regular siguiendo estos pasos:

   1. Haz clic dentro del cuadro de texto del elemento seleccionado.

   2. Cambia el texto de SAMSUNGSPHL720 a SAMSUNG.*.

   3. Asegúrate de que la casilla de verificación de expresión regular esté seleccionada.

   4. Haz clic en Permitir.

   

Para crear una regla de acceso

1. Haz clic en la ficha Reglas locales.

2. Para introducir la expresión regular, debes usar tanto la lista ID de dispositivo como el cuadro de texto del elemento seleccionado.

   

3. Selecciona el campo con el que quieres establecer la coincidencia. Este ejemplo utiliza Tipo de dispositivo.
4. Escribe la expresión regular. Este ejemplo utiliza samsung.*

5. Asegúrate de que la casilla de verificación de expresión regular esté seleccionada y, a continuación, haz clic en Permitir o Denegar. En este ejemplo, la opción está establecida como Permitir. El resultado final es el siguiente:

   

Para buscar dispositivos

Al seleccionar la casilla de verificación de expresión regular, puedes realizar búsquedas de dispositivos específicos que coincidan con la expresión dada. Esta función solo está disponible si se ha completado correctamente una instantánea principal. Puedes usar esta función incluso si no tienes previsto utilizar reglas de expresión regular. Por ejemplo, supongamos que quieres buscar todos los dispositivos que tienen el texto workmail en su ID de dispositivo de ActiveSync. Para ello, sigue este procedimiento.

1. Haz clic en la ficha Reglas de acceso.

2. Asegúrate de que el selector de campo de coincidencia de dispositivo esté establecido en ID de dispositivo (el valor predeterminado).

   

3. Haz clic dentro del cuadro de texto del elemento seleccionado (como se muestra en azul en la figura anterior) y, a continuación, escribe workmail.*.

4. Asegúrate de que la casilla de verificación de expresión regular esté seleccionada y, a continuación, haz clic en el icono de la lupa para mostrar las coincidencias como se muestra en la siguiente figura.

   

Para agregar un usuario, dispositivo o tipo de dispositivo individual a una regla estática

Puedes agregar reglas estáticas basadas en el usuario, el ID del dispositivo o el tipo de dispositivo en la ficha Dispositivos ActiveSync.

1. Haz clic en la ficha Dispositivos ActiveSync.

2. En la lista, haz clic con el botón derecho en un usuario, dispositivo o tipo de dispositivo y selecciona si quieres permitir o denegar tu selección.

   La siguiente imagen muestra la opción Permitir/Denegar cuando se selecciona user1.

   

Supervisión de dispositivos

La ficha Supervisar del conector de Citrix Endpoint Management para Exchange ActiveSync te permite explorar los dispositivos Exchange ActiveSync y BlackBerry que se han detectado y el historial de comandos automatizados de PowerShell que se han emitido. La ficha Supervisar tiene las tres fichas siguientes:

• Dispositivos ActiveSync:
  • Puedes exportar las asociaciones de dispositivos ActiveSync mostradas haciendo clic en el botón Exportar.
  • Puedes agregar reglas locales (estáticas) haciendo clic con el botón derecho en las columnas Usuario, ID de dispositivo o Tipo y seleccionando el tipo de regla de permitir o bloquear adecuado.
  • Para contraer una fila expandida, haz Ctrl+clic en la fila expandida.
• Dispositivos BlackBerry
• Historial de automatización

La ficha Configurar muestra el historial de todas las instantáneas. El historial de instantáneas muestra cuándo se realizó la instantánea, cuánto tiempo tardó, cuántos dispositivos se detectaron y los errores que se produjeron:

• En la ficha Exchange, haz clic en el icono de información del servidor Exchange deseado.

Solución de problemas y diagnósticos

El conector de Citrix Endpoint Management para Exchange ActiveSync registra errores y otra información operativa en su archivo de registro: Carpeta de instalación\log\XmmWindowsService.log. El conector para Exchange ActiveSync también registra eventos importantes en el registro de eventos de Windows.

Para cambiar el nivel de registro

El conector de Citrix Endpoint Management para Exchange ActiveSync incluye los siguientes niveles de registro: Error, Info, Warn, Debug y Trace.

Nota:

Cada nivel sucesivo genera más detalles (más datos). Por ejemplo, el nivel Error proporciona el menor detalle, pero el nivel Trace proporciona el mayor detalle.

Para cambiar el nivel de registro, haz lo siguiente:

1. En el conector de Citrix Endpoint Management de C:\Program Files\Citrix\Citrix, abre el archivo nlog.config.

2. En la sección <rules>, cambia el parámetro minilevel al nivel de registro que prefieras. Por ejemplo:

       <rules >
   
       <logger name="*" writeTo="file" minlevel="Debug" />
   
       </rules>
   <!--NeedCopy-->
   

3. Guarda el archivo.

   Los cambios surten efecto inmediatamente. No es necesario que reinicies el conector para Exchange ActiveSync.

Errores comunes

La siguiente lista incluye errores comunes:

• El conector para el servicio Exchange ActiveSync no se inicia

  Comprueba el archivo de registro y el registro de eventos de Windows en busca de errores. Las causas típicas son las siguientes:

  • El conector para el servicio Exchange ActiveSync no puede acceder al SQL Server. Esto puede deberse a los siguientes problemas:

    • El servicio SQL Server no se está ejecutando.
    • Error de autenticación.

    Si la autenticación integrada de Windows está configurada, la cuenta de usuario del conector para el servicio Exchange ActiveSync debe ser un inicio de sesión SQL permitido. La cuenta del conector para el servicio Exchange ActiveSync se establece de forma predeterminada en Sistema local, pero se puede cambiar a cualquier cuenta que tenga privilegios de administrador local. Si la autenticación SQL está configurada, el inicio de sesión SQL debe configurarse correctamente en SQL.

Herramientas de solución de problemas

Un conjunto de utilidades de PowerShell para la solución de problemas está disponible en la carpeta Support\PowerShell.

Una herramienta de solución de problemas realiza un análisis en profundidad de los buzones y dispositivos de los usuarios, detectando condiciones de error y posibles áreas de fallo, así como un análisis RBAC en profundidad de los usuarios. Puede guardar una salida sin procesar de todos los cmdlets en un archivo de texto.