Conector de Citrix Endpoint Management para Exchange ActiveSync
XenMobile Mail Manager ha pasado a ser un conector de Citrix Endpoint Management para Exchange ActiveSync. Para obtener detalles sobre los productos unificados de Citrix, consulte la guía de productos de Citrix.
El conector amplía la capacidad de Citrix Endpoint Management de este modo:
- Control de acceso dinámico para dispositivos Exchange ActiveSync (EAS). Se puede bloquear o permitir inmediatamente el acceso de dispositivos EAS a servicios de Exchange.
- Proporciona a Citrix Endpoint Management la capacidad de acceder a la información de asociación del dispositivo EAS, facilitada por Exchange.
- Proporciona a Citrix Endpoint Management la capacidad de borrar un dispositivo móvil según el estado EAS.
- Proporciona a Citrix Endpoint Management la capacidad de acceder a la información acerca de dispositivos BlackBerry y realizar operaciones de control tales como un borrado (Wipe) y un restablecimiento de contraseña (ResetPassword).
Para borrar un dispositivo según el estado EAS, configure una acción automatizada con un desencadenante ActiveSync. Consulte Acciones automatizadas.
Importante:
A partir de octubre de 2022, los conectores de Citrix Endpoint Management y NetScaler Gateway para Exchange ActiveSync ya no admite Exchange Online debido a los cambios de autenticación anunciados por Microsoft aquí. El conector de Citrix Endpoint Management para Exchange sigue funcionando con Microsoft Exchange Server (local).
Novedades en la versión 10.1.10
Se han corregido los siguientes problemas en la versión 10.1.10:
- Es posible que los clientes que sufren problemas frecuentes de red no puedan completar una instantánea en los tres intentos que se ofrecen. Con esta versión, un administrador puede configurar el máximo de intentos (1-10). Esta corrección permite que una instantánea pueda sufrir varias interrupciones de la comunicación sin abandonar completamente el proceso de generación de la instantánea. [CXM-70837]
- En versiones anteriores, el tipo Instantánea no aparecía en la lista de configuraciones de Exchange. Ahora sí aparece el tipo Instantánea. [CXM-70846]
- La excepción PSRemotingTransport notificada por PowerShell indica que la sesión con Exchange ya no es viable. El estado se agrega de forma predeterminada a la lista Errores críticos del archivo de configuración. Al hacerlo, cuando se detecta PSRemotingTransportException, la conexión se marca como Error para eliminarla luego. La siguiente comunicación emplea una conexión válida o crea una conexión. [XMHELP-2184, CXM-70836]
- Al guardar un cambio en la configuración, es posible que no todos los componentes internos previamente configurados se eliminaran correctamente antes de cargar la nueva configuración. Este problema puede provocar un comportamiento impredecible. Dicho comportamiento depende del cambio concreto y si el cambio entra en conflicto con la configuración anterior. En esta versión, se eliminan todos los componentes internos antes de cargar la nueva configuración. [XMHELP-2259, CXM-71388]
Novedades en la versión 10.1.9
Se han corregido los siguientes problemas en la versión 10.1.9:
- Ahora los cambios de configuración se gestionan de manera más coherente. Cuando el servicio detecta un cambio en la configuración, cada subsistema interno se detiene, lo que significa que cualquier procesamiento activo o programado se interrumpe. A continuación, se carga la nueva configuración y se inician de nuevo los subsistemas, por lo que todas las programaciones y otras infraestructuras internas se restablecen con parámetros nuevos. Esto corrige un problema conocido de la versión 10.1.8. [CXM-47709, CXM-61330]
- Durante la actualización de una versión, la configuración de la base de datos existente no se integraba en el nuevo archivo de configuración. Ahora la configuración de la base de datos se integra en el archivo de configuración actualizado. [CXM-49326]
- En los archivos de diagnóstico relacionados con la instantánea, faltaban los encabezados de columna. Los encabezados se han restaurado. [CXM-62680]
- Al actualizar una versión anterior, la sección de valores predeterminados del archivo de configuración quedaba sobrescrita por la sección análoga del archivo de configuración en uso. Este problema impedía que, tras la actualización, el servicio cargara aspectos agregados o mejorados de la sección de valores predeterminados. A partir de esta versión, la sección de valores predeterminados siempre refleja la configuración más reciente. [CXM-62681]
-
Al ejecutar la aplicación, los administradores ya no pueden acceder a ciertas opciones al presionar Mayús. Antes estas opciones estaban disponibles con el permiso de Citrix. Ahora algunas opciones están totalmente disponibles, como Permitir redirección, y otras, como Detección de bloqueo y Corrección de recuento, se han retirado. [CXM-62767]
Novedades en versiones anteriores
En la siguiente sección, se indican las nuevas funciones y los problemas resueltos en versiones anteriores del conector de Citrix Endpoint Management para Exchange ActiveSync.
Novedades en la versión 10.1.8
- Es posible que Exchange limite la emisión demasiado frecuente de comandos por parte del servicio del conector de Citrix Endpoint Management para Exchange ActiveSync. Este problema es habitual en las conexiones a Office 365. El efecto de la limitación requiere que el servicio se detenga durante un período de tiempo especificado antes de enviar el siguiente comando. Ahora, en el apartado “Configurar” de la consola, se muestra la cantidad de tiempo restante de pausa. [CXM-48044]
- Cuando se realizan modificaciones en las secciones “Watchdog” y/o “SpecialistsDefaults” del archivo de configuración (config.xml), los cambios no se reflejan en el archivo de configuración después de una actualización. Con esta versión, las modificaciones se fusionan correctamente en el nuevo archivo de configuración. [CXM-52523]
- Se han agregado más detalles a los análisis enviados a Google Analytics, especialmente en lo que respecta a las instantáneas. [CXM-56691]
- La función para probar la conectividad de Exchange intentaría inicializar la conexión solo una vez. Debido a que las conexiones de Office 365 se pueden limitar, era posible que una prueba de conectividad pareciera fallida cuando se limitaba. Ahora, el conector de Citrix Endpoint Management para Exchange ActiveSync intenta iniciar una conexión hasta tres veces. [CXM-58180]
- Para aplicar directivas en Exchange, el conector de Citrix Endpoint Management para Exchange ActiveSync debe compilar un comando Set-CASMailbox que incluya todos los dispositivos correspondientes a cada buzón en dos listas: permitir y bloquear. Si un dispositivo no está incluido en ninguna de las listas, Exchange vuelve a su estado de acceso predeterminado. Si ese estado de acceso predeterminado es diferente del estado deseado para un dispositivo, ese dispositivo queda como no conforme. En consecuencia, un usuario puede perder el acceso a su correo electrónico si el estado de acceso predeterminado de Exchange está bloqueado pero se debería permitir. O bien, un usuario cuyo acceso al correo electrónico debería estar bloqueado puede tener acceso a él. Ahora, el conector de Citrix Endpoint Management para Exchange ActiveSync garantiza que todos los dispositivos con un estado deseado válido se incluyan en cada comando Set-CasMailbox. [CXM-61251]
El siguiente problema en un problema conocido en la versión 10.1.8:
Si un administrador realiza un cambio en la aplicación de configuración que modifica los datos de configuración mientras el servicio realiza operaciones de larga duración (como una instantánea o evaluación de directiva), el servicio puede entrar en un estado indeterminado. Un posible síntoma puede ser que los cambios de directiva no se procesen o que las instantáneas no se inicien. Para que el servicio vuelva a un estado de funcionamiento, el servicio debe reiniciarse. Es posible que tenga que utilizar el administrador de servicios de Windows para finalizar el proceso del servicio antes de iniciar el servicio. [CXM-61330]
Novedades en la versión 10.1.7
- XenMobile Mail Manager ha pasado a ser un conector de Citrix Endpoint Management para Exchange ActiveSync.
- La opción Disable Pipelining ha dejado de usarse en el cuadro de diálogo de configuración de Exchange. Se obtiene el mismo resultado configurando varios pasos para cada comando en el archivo config.xml. [CXM-54593]
Se han corregido los siguientes problemas en la versión 10.1.7:
- En la ventana Snapshot History (historial de instantáneas), los mensajes de error pueden mostrarse con poco contexto. Ahora, los mensajes de error incluyen un prefijo con el contexto sobre el lugar donde se produjeron. [CXM-49157]
- El archivo XmmGoogleAnalytics.dll no tenía la versión de archivo correspondiente para esta versión. [CXM-52518]
- Para mejorar los diagnósticos, hemos cambiado recientemente el formato de cadena para una lista de ID de dispositivo que se utilizan para establecer un estado de buzón como permitido o bloqueado. Sin embargo, ante una indicación de demasiados dispositivos, excedía el tamaño máximo de la cadena. Ahora, usamos una estructura de datos de matriz interna. Esta estructura no tiene límite de tamaño y da a los datos el formato apropiado para los diagnósticos. [CXM-52610]
- Cuando se detectan directivas de dispositivo que no están sincronizadas con Exchange, los comandos de estas directivas pueden incluir dispositivos que no pertenecen al buzón correspondiente. Ahora el conector de Citrix Endpoint Management para Exchange ActiveSync garantiza que los comandos a Exchange representen solo los dispositivos que pertenezcan a los buzones respectivos. [CXM-54842]
- En algunos entornos, no está disponible el ensamblado de Microsoft. Ahora el ensamblado requerido se instala explícitamente con la aplicación. [CXM-55439]
- Si los nombres distintivos de dispositivos o buzones contienen espacios entre el nombre del atributo y los signos igual (=) o espacios después de los signos igual y antes del valor, el conector de Citrix Endpoint Management para Exchange ActiveSync puede no asociar correctamente un dispositivo a su buzón ni viceversa. Como resultado, es posible que algunos dispositivos y/o buzones de correo se rechacen durante la conciliación de instantáneas. [CXM-56088]
Nota:
En las siguientes secciones de Novedades se hace referencia al conector de Citrix Endpoint Management para Exchange ActiveSync por su nombre anterior, XenMobile Mail Manager. El nombre cambió desde la versión 10.1.7.
Actualización en la versión 10.1.6.20
Una actualización a 10.1.6 contiene la siguiente corrección en la versión 10.1.6.20:
- Cuando se detectan directivas de dispositivo que no están sincronizadas con Exchange, los comandos de estas directivas pueden incluir dispositivos que no pertenecen al buzón correspondiente. Ahora XenMobile Mail Manager garantiza que los comandos a Exchange representen solo los dispositivos que pertenezcan a los buzones respectivos. [CXM-54842]
Novedades en la versión 10.1.6
XenMobile Mail Manager 10.1.6 contiene los siguientes problemas resueltos y las siguientes mejoras:
- La ventana de historial de instantáneas entra a veces en un estado en que deja de actualizarse. El mecanismo de actualización de la ventana se ha mejorado y ahora es más fiable. [CXM-47983]
- Se han usado dos modos y rutas de código diferentes para instantáneas con particiones y sin particiones. Debido a que las instantáneas sin particiones equivalen a las instantáneas con particiones que tienen una configuración con una sola partición “*”, se ha eliminado el modo de instantánea sin particiones. Ahora el modo de instantánea predeterminado son instantáneas con 36 particiones (de 0 a 9, de A a Z). [CXM-49093]
- En la ventana “Historial de instantáneas”, los mensajes de estado sobrescriben los mensajes de error. Ahora, XenMobile Mail Manager ofrece dos campos separados para que los usuarios puedan ver el estado y los errores simultáneamente. [CXM-51942]
- Al conectarse a Exchange Online (Office 365), es posible que haya consultas relacionadas con las instantáneas que den como resultado un conjunto de datos truncados. Este problema puede ocurrir cuando XenMobile Mail Manager ejecuta un script canalizado con comandos múltiples. Un comando no puede pasar los datos lo suficientemente rápido al comando siguiente, con lo que la función se completa antes de tiempo. Como resultado, se producen datos incompletos. Ahora XenMobile Mail Manager puede imitar el proceso y esperar hasta que un comando esté listo antes de invocar el siguiente comando en sentido descendente. Este cambio debería dar como resultado que se procesen y se capturen todos los datos. [CXM-52280]
- Si se produce un error irresoluble en un comando de actualización de directiva en Exchange, ese comando se devuelve a la cola de tareas repetidamente durante un largo período de tiempo. Esta situación provocaba que el comando se enviara muchas veces a Exchange. En esta versión de XenMobile Mail Manager, un comando que genera un error solo se devuelve a la cola de tareas una cantidad determinada de veces. [CXM-52633]
- Si una actualización de directiva para un buzón específico implicaba permitir o bloquear todos los dispositivos, el comando Set-CASMailbox emitido fallaba debido a que la lista vacía se convertía en una cadena vacía en lugar de NULL. Ahora se envían los datos correctos. [CXM-53759]
- Al procesar un nuevo dispositivo, Exchange puede devolver el estado “DeviceDiscovery” durante un tiempo (generalmente 15 minutos). XenMobile Mail Manager no gestionaba específicamente este estado. Ahora XenMobile Mail Manager gestiona ese estado. En la ficha “Monitor” de la interfaz de usuario, los usuarios pueden filtrar por dispositivos en ese estado. [CXM-53840]
- XenMobile Mail Manager no verificaba la capacidad de escribir en la base de datos de XenMobile Mail Manager. Por lo tanto, si se restringieron los permisos, es posible que no se puede predecir el comportamiento. Ahora XenMobile Mail Manager captura y valida los permisos necesarios de la base de datos. XenMobile Mail Manager indica los permisos reducidos cuando se prueba la conexión (aparece un mensaje) o en el indicador “Database” (pase el puntero para ver el mensaje) en la parte inferior de la ventana principal “Configure”. [CXM-54219]
- Dependiendo de la carga de trabajo actual, cuando se dirige a XenMobile Mail Manager, es posible que el servicio no se detenga rápidamente. Por lo tanto, el servicio parece estar en un estado que no responde. Las mejoras permiten interrumpir las tareas en curso, lo que permite un apagado más fácil. [CXM-54282]
Novedades en la versión 10.1.5
XenMobile Mail Manager 10.1.5 contiene los siguientes problemas resueltos:
- Cuando Exchange aplica limitaciones a la actividad de XenMobile Mail Manager, no hay ninguna indicación de ello (solo se indica en los registros). Con esta versión, un usuario puede colocar el puntero sobre la instantánea activa y aparece el estado “throttling” (limitación). Además, mientras se aplican limitaciones a XenMobile Mail Manager, se prohíbe el inicio de una instantánea principal hasta que Exchange deje de aplicarlas. [CXM-49617]
- Si Exchange aplica limitaciones a XenMobile Mail Manager durante una instantánea principal, puede que transcurra un tiempo insuficiente antes de ejecutar el siguiente intento de instantánea. Este problema resulta en más limitaciones y una instantánea fallida. Ahora XenMobile Mail Manager espera un mínimo del tiempo que Exchange especifica que debe esperar entre intentos de instantáneas. [CXM-49618]
- Cuando el diagnóstico está habilitado, el archivo de comandos muestra los comandos Set-CasMailbox con guiones que faltan antes de cada nombre de propiedad. Este problema solo ocurre en el formateo del archivo de diagnóstico, no en el comando real de Exchange. El guión que falta impide que un usuario corte el comando y lo pegue directamente en una ventana de PowerShell para probarlo o validarlo. Los guiones se han agregado. [CXM-52520]
- Si la identidad de un buzón tiene el formato
lastname, firstname
, Exchange agrega una barra diagonal inversa antes de la coma cuando devuelve datos de una consulta. Esta barra invertida se debe quitar cuando XenMobile Mail Manager usa la identidad para consultar más datos. [CXM-52635]
Limitaciones conocidas
Nota:
Se ha resuelto la siguiente limitación en la versión 10.1.6.
XenMobile Mail Manager presenta una limitación conocida que puede hacer que fallen los comandos de Exchange. Para aplicar cambios de directiva a Exchange, XenMobile Mail Manager emite un comando Set-CASMailbox. Este comando puede tener en cuenta dos listas de dispositivos: una para Permitir y otra para Bloquear. El comando se aplica a los dispositivos asociados a un buzón.
Estas listas están limitadas a 256 caracteres cada una por la API de Microsoft. Si una de esas listas supera la limitación, todo el comando falla y no se define ninguna de las directivas para esos dispositivos del buzón. El error que se informa, que aparece en los registros de XenMobile Mail Manager, es similar a lo siguiente. El ejemplo es para la lista bloqueada.
“Message:’Cannot bind parameter ‘ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”
La longitud de los ID de dispositivo puede variar, pero una buena regla es que unos 10 dispositivos o más permitidos o bloqueados simultáneamente podrían sobrepasar el límite. Aunque tener tantos dispositivos asociados a un buzón específico es raro, existe esa posibilidad. Hasta que Mail Manager se mejore para gestionar este caso, le recomendamos que limite la cantidad de dispositivos asociados al usuario y al buzón a 10 o menos. [CXM-52633]
Novedades en la versión 10.1.4
XenMobile Mail Manager 10.1.4 contiene los siguientes problemas resueltos:
- Debido a la poca seguridad que ofrecen, PCI Council va a retirar TLS 1.0 y TLS 1.1. Se agregó la funcionalidad TLS 1.2 a XenMobile Mail Manager. [CXM-38573, CXM-32560]
- XenMobile Mail Manager incluye un nuevo archivo de diagnóstico. Cuando se selecciona Enable Diagnostics en la especificación de Exchange, se genera un nuevo archivo de historial de instantáneas. Con cada intento de instantánea, se agrega una línea al archivo con los resultados de la instantánea. [CXM-49631]
- En el archivo de diagnóstico de comandos, la lista de dispositivos permitidos o bloqueados no aparecía para el comando Set-CASMailbox. En cambio, el nombre de la clase interna se muestra en el archivo para los argumentos relacionados. Ahora, XenMobile Mail Manager muestra la lista de identificadores de dispositivo como una lista separada con comas. [CXM-50693]
- Cuando falla un intento de establecer conexión con Exchange debido a una especificación incorrecta, un mensaje incorrecto sobrescribe el mensaje de error: “All connections in use” (Todas las conexiones están en uso). Ahora, aparecen mensajes más descriptivos, como “All connections are inoperable” (Todas las conexiones están inoperativas), “Connection pool is empty” (El grupo de conexiones está vacío), “All connections are throttled” (Todas las conexiones están limitadas) y “No available connections” (No hay conexiones disponibles). [CXM-50783]
- A veces, los comandos Allow, Block o Wipe se ponen en cola varias veces en la caché interna de XenMobile Mail Manager. Este problema provoca un retraso en el envío del comando a Exchange. Ahora, XenMobile Mail Manager solo pone en cola una instancia de cada comando. [CXM-51524]
Novedades en la versión 10.1.3
- Compatibilidad con Google Analytics: Nos gustaría saber cómo usa XenMobile Mail Manager para centrarnos en dónde mejorar el producto.
-
Parámetro para habilitar diagnósticos: Aparece una casilla Enable Diagnostics en el cuadro de diálogo Configuration de la consola.
Problemas resueltos en la versión 10.1.3
- En la ventana Snapshot History, la información que muestra el estado actual de la instantánea no refleja el estado real. [CXM-5570] A veces, XenMobile Mail Manager no puede escribir en el archivo de diagnósticos de comandos. Cuando eso ocurre, el historial de comandos no se registra en su totalidad. [CXM-49217]
- Cuando ocurre un error con una conexión, la conexión puede no marcarse como “errored” (con errores). Como resultado, un comando posterior puede intentar usar la conexión y provocar otro error. [CXM-49495]
- Cuando se limita una acción desde Exchange Server, se puede iniciar una excepción en la rutina de comprobación de estado. Como resultado, puede que no se eliminen las conexiones con errores o las que han caducado. Además, XenMobile Mail Manager podría no crear conexiones hasta que se agote el tiempo de la limitación. [CXM-49794].
- Cuando se supera el recuento máximo de sesiones para Exchange, XenMobile Mail Manager informa del error “Device Capture Failed” (Fallo en la captura de dispositivos), que no es un mensaje preciso. En vez de este motivo, el mensaje debe indicar que las dos sesiones que suele usar XenMobile Mail Manager para la comunicación con Exchange ya están en uso. [CXM-49994]
Novedades en la versión 10.1.2
- Conexión con Exchange mejorada: XenMobile Mail Manager usa sesiones de PowerShell para comunicarse con Exchange. Una sesión de PowerShell, especialmente cuando se trata de Office 365, puede volverse inestable después de un tiempo, bloqueando el funcionamiento correcto de los siguientes comandos. XenMobile Mail Manager ahora puede establecer un período de caducidad para las conexiones. Cuando se agota el tiempo de la conexión, XenMobile Mail Manager cierra la sesión de PowerShell y crea una sesión. Al hacerlo, es menos probable que la sesión de PowerShell se vuelva inestable, lo que reduce significativamente la posibilidad de fallos en la instantánea.
- Flujo de trabajo mejorado para las instantáneas: Las instantáneas principales consumen mucho tiempo y requieren muchos recursos. Si se produce un error durante una instantánea, ahora XenMobile Mail Manager intenta completarla un máximo de tres veces. Los intentos posteriores no comienzan desde el principio. XenMobile Mail Manager continúa desde donde se quedó. Esta mejora aumenta la tasa general de instantáneas correctas, ya que permite errores transitorios mientras hay una instantánea en curso.
- Diagnósticos mejorados: Ahora las operaciones para solucionar problemas relacionadas con instantáneas son más fáciles, gracias a tres nuevos archivos de diagnóstico que se pueden generar durante una instantánea. Esos archivos ayudan a identificar problemas de comandos de PowerShell, buzones de correo con información incompleta y dispositivos que no se pueden relacionar a un buzón. Un administrador puede usar esos archivos para identificar datos que pueden no ser correctos en Exchange.
- Uso mejorado de la memoria: Ahora XenMobile Mail Manager es más eficiente en el consumo de la memoria. Los administradores pueden programar XenMobile Mail Manager para que se reinicie automáticamente y ofrezca un punto de partida raso al sistema.
- Requisito previo de Microsoft .NET Framework 4.6: El requisito previo para Microsoft .NET Framework ahora es la versión 4.6.
Problemas resueltos
- Error de solicitud de credenciales: La inestabilidad de las sesiones de Office 365 causa a menudo este error. Con la conexión mejorada con Exchange, se soluciona este problema. (XMHELP-293, XMHELP-311, XMHELP-801)
- Incoherencias de recuento entre buzones y dispositivos: XenMobile Mail Manager presenta un algoritmo mejorado para la asociación de buzones a dispositivos. La función de diagnósticos mejorados ayuda a identificar buzones y dispositivos que XenMobile Mail Manager considera fuera de su ámbito de responsabilidad. (XMHELP-623)
- No se reconocen los comandos Allow, Block ni Wipe: Se ha corregido un error donde, a veces, no se reconocen esos comandos de XenMobile Mail Manager. (XMHELP-489)
- Gestión de memoria: Mejor mitigación y gestión de memoria. (XMHELP-419)
Arquitectura
En el siguiente diagrama se muestran los componentes principales del conector de Citrix Endpoint Management para Exchange ActiveSync. Para obtener un diagrama detallado con una arquitectura como referencia, consulte Arquitectura.
Los dos componentes principales son:
- Administración del control de acceso de Exchange ActiveSync: Se comunica con Citrix Endpoint Management para recuperar una directiva de Exchange ActiveSync, y combina esta directiva con cualquier directiva definida localmente para determinar los dispositivos Exchange ActiveSync a los que se debe permitir o denegar el acceso a Exchange. Las directivas definidas localmente amplían las reglas de directivas para permitir el control de acceso en función del grupo de Active Directory, del usuario, del tipo de dispositivo o del agente del dispositivo de usuario (por lo general, la versión de la plataforma móvil).
- Administración remota de PowerShell: Este componente se encarga de programar e invocar comandos de PowerShell remotos para aprobar la directiva compilada por la administración del control de acceso de Exchange ActiveSync. El componente crea, de forma periódica, una instantánea de la base de datos de Exchange ActiveSync para detectar dispositivos nuevos o modificados de Exchange ActiveSync.
Requisitos del sistema y requisitos previos
Para usar el conector de Citrix Endpoint Management para Exchange ActiveSync, se deben cumplir los siguientes requisitos mínimos del sistema:
- Windows Server 2016, Windows Server 2012 R2 o Windows Server 2008 R2 Service Pack 1. Debe ser un servidor en inglés. La compatibilidad para Windows Server 2008 R2 Service Pack 1 finaliza el 14 de enero de 2020 y la compatibilidad para Windows Server 2012 R2 finaliza el 10 de octubre de 2023.
- Microsoft SQL Server 2016 Service Pack 2, SQL Server 2014 Service Pack 3 o SQL Server 2012 Service Pack 4.
- Microsoft .NET Framework 4.6
- BlackBerry Enterprise Service, versión 5 (optativo).
Versiones mínimas admitidas de Microsoft Exchange Server:
- Microsoft Office 365
- Exchange Server 2016
- Exchange Server 2013 (dejará de ser compatible el 11 de abril de 2023)
- Exchange Server 2010 Service Pack 3 (dejará de ser compatible el 14 de enero de 2020)
Requisitos previos
- Windows Management Framework debe estar instalado.
- PowerShell 5, 4 y 3
- La directiva de ejecución de PowerShell se debe establecer en RemoteSigned mediante Set-ExecutionPolicy RemoteSigned.
- El puerto TCP 80 debe estar abierto entre el equipo con el conector para Exchange ActiveSync y el Exchange Server remoto.
Clientes de correo electrónico del dispositivo: No todos los clientes de correo electrónico devuelven el mismo ID de ActiveSync para el mismo dispositivo. Debido a que el conector para Exchange ActiveSync espera un ID de ActiveSync único para cada dispositivo, solo se admiten los clientes de correo electrónico que generan constantemente el mismo y único ID de ActiveSync para cada dispositivo. Citrix ha realizado pruebas sin errores con estos clientes de correo electrónico:
- Cliente de correo electrónico nativo de Samsung
- Cliente de correo electrónico nativo de iOS
Exchange: A continuación, se indican los requisitos para un equipo local con Exchange:
Las credenciales especificadas en la interfaz de usuario de configuración de Exchange deben permitir la conexión al servidor de Exchange y deben tener acceso completo para ejecutar los siguientes cmdlets de PowerShell específicos de Exchange.
-
Para Exchange Server 2010 SP2:
Get-CASMailbox
Set-CASMailbox
Get-Mailbox
Get-ActiveSyncDevice
Get-ActiveSyncDeviceStatistics
Clear-ActiveSyncDevice
Get-ExchangeServer
Get-ManagementRole
Get-ManagementRoleAssignment
-
Para el servidor de Exchange Server 2013 y Exchange Server 2016:
Get-CASMailbox
Set-CASMailbox
Get-Mailbox
Get-MobileDevice
Get-MobileDeviceStatistics
Clear-MobileDevice
Get-ExchangeServer
Get-ManagementRole
Get-ManagementRoleAssignment
- Si el conector para Exchange ActiveSync está configurado para ver todo el bosque, se debe haber concedido permiso para ejecutar: Set-AdServerSettings -ViewEntireForest $true
- Las credenciales suministradas deben contar con derecho a conectarse al servidor de Exchange mediante el shell remoto. De forma predeterminada, el usuario que haya instalado Exchange tiene ese derecho.
- Para establecer una conexión remota y ejecutar comandos remotos, las credenciales deben corresponder a un usuario que sea administrador en la máquina remota. Puede usar Set-PSSessionConfiguration para eliminar el requisito administrativo, pero en este documento no se describe ese comando. Para obtener más información, consulte el artículo About Session Configurations de Microsoft.
- El servidor Exchange debe estar configurado para admitir solicitudes remotas de PowerShell a través de HTTP. Por regla general, lo único que se necesita es que un administrador ejecute el siguiente comando de PowerShell en el servidor de Exchange: WinRM QuickConfig.
- Exchange tiene muchas directivas de limitación de peticiones. Una de ellas controla la cantidad de conexiones simultáneas de PowerShell que se permiten por usuario. La cantidad predeterminada de conexiones simultáneas permitidas a un usuario es de 18 en Exchange 2010. Cuando se alcanza el límite de conexiones, el conector para Exchange ActiveSync no se puede conectar al Exchange Server. Hay maneras de cambiar la cantidad máxima de conexiones simultáneas permitidas a través de PowerShell, pero no se tratarán en esta documentación. Si le interesa, consulte las directivas de limitación de Exchange que estén relacionadas con la administración remota con PowerShell.
Requisitos para Office 365 Exchange
-
Permisos: Las credenciales especificadas en la interfaz de usuario de la configuración de Exchange deben permitir la conexión a Office 365 y deben tener acceso total para ejecutar los siguientes cmdlets de PowerShell específicos de Exchange:
Get-CASMailbox
Set-CASMailbox
Get-Mailbox
Get-MobileDevice
Get-MobileDeviceStatistics
Clear-MobileDevice
Get-ExchangeServer
Get-ManagementRole
Get-ManagementRoleAssignment
- Privilegios: Las credenciales suministradas deben contar con el derecho a conectarse al servidor de Office 365 a través del shell remoto. De forma predeterminada, el administrador conectado de Office 365 tiene los privilegios requeridos.
- Directivas de limitaciones: Exchange tiene muchas directivas de limitación de peticiones. Una de ellas controla la cantidad de conexiones simultáneas de PowerShell que se permiten por usuario. La cantidad predeterminada de conexiones simultáneas permitidas a un usuario es de tres en Office 365. Cuando se alcanza el límite de conexiones, el conector para Exchange ActiveSync no se puede conectar al Exchange Server. Hay maneras de cambiar la cantidad máxima de conexiones simultáneas permitidas a través de PowerShell, pero no se tratarán en esta documentación. Si le interesa, consulte las directivas de limitación de Exchange que estén relacionadas con la administración remota con PowerShell.
Instalación y configuración
-
Haga clic en el archivo XmmSetup.msi y, a continuación, siga las instrucciones del instalador para instalar el conector de Citrix Endpoint Management para Exchange ActiveSync.
-
Deje Launch the Configure utility marcado en la última pantalla del Asistente de configuración. O bien desde el menú Inicio, abra el conector para Exchange ActiveSync.
-
Configure las siguientes propiedades de base de datos:
- Seleccione la ficha Configure > Database.
- Escriba el nombre del servidor SQL (el valor predeterminado es localhost).
- Conserve la opción predeterminada de la base de datos, CitrixXmm.
-
Seleccione uno de los siguientes modos de autenticación para SQL:
- SQL: Escriba el nombre de usuario y la contraseña de un usuario de SQL válido.
- Windows Integrated: Si elige esta opción, las credenciales de inicio de sesión del servicio de XenMobile Mail Manager se deben cambiar a una cuenta de Windows que tenga permisos para acceder al servidor SQL Server. Para ello, abra Panel de control > Herramientas administrativas > Servicios, haga clic con el botón secundario en la entrada del servicio de XenMobile Mail Manager y, a continuación, haga clic en la ficha Iniciar sesión.
Si para la conexión de base de datos de BlackBerry también se selecciona la seguridad integrada de Windows, la cuenta de Windows que se especifique aquí también debe tener acceso a la base de datos de BlackBerry.
-
Haga clic en Test Connectivity para comprobar que se puede establecer conexión con el servidor SQL Server y, a continuación, haga clic en Save.
-
Un mensaje le solicitará que reinicie el servicio. Haga clic en Sí.
-
Configure uno o varios servidores Exchange:
- Si administra un solo entorno de Exchange, solo deberá especificar un servidor. Si administra varios entornos de Exchange, deberá especificar un servidor de Exchange por cada entorno de Exchange.
- Haga clic en la ficha Configure > Exchange y seleccione Add.
-
Seleccione el tipo de entorno de Exchange Server: On Premise u Office 365.
- Si selecciona On Premise, escriba el nombre del servidor de Exchange que se usará para los comandos remotos de PowerShell.
- Escriba el nombre de usuario de una identidad de Windows que tenga los permisos apropiados en el servidor de Exchange, como se especifica en el apartado “Requisitos”. A continuación, escriba la contraseña del usuario.
- Seleccione un horario para ejecutar las instantáneas principales. Una instantánea principal detecta cada asociación de Exchange ActiveSync.
- Seleccione un horario para ejecutar las instantáneas secundarias. Una instantánea secundaria detecta asociaciones recién creadas de Exchange ActiveSync.
- Seleccione el tipo de instantánea: Deep o Shallow. Las instantáneas superficiales (Shallow) son más rápidas y, con ellas, es suficiente para llevar a cabo todas las funciones de control de acceso del conector para Exchange ActiveSync.
- Seleccione el acceso predeterminado: Allow, Block o Unchanged. Este parámetro controla cómo se tratan todos los dispositivos, excepto aquellos que Citrix Endpoint Management o las reglas locales identifiquen de forma explícita. Si selecciona Allow, todos esos dispositivos pueden acceder a ActiveSync. Si selecciona Block, se deniega el acceso. Si selecciona Unchanged, no se realiza ningún cambio.
- Seleccione el modo de comandos de ActiveSync: PowerShell o Simulation.
- En el modo PowerShell, el conector para Exchange ActiveSync emite comandos de PowerShell para permitir el control de acceso pertinente. En el modo “Simulation”, el conector para Exchange ActiveSync no emite comandos de PowerShell, pero registra en la base de datos el comando en cuestión, así como los resultados esperados. En el modo Simulation, el usuario puede usar la ficha Monitor para ver lo que podría haber ocurrido si se hubiera habilitado el modo PowerShell.
- En Connection Expiration, configure las horas y los minutos de que dispondrá una conexión. Cuando una conexión alcanza la antigüedad especificada, se marca como caducada para que no se vuelva a usar. Cuando la conexión caducada ya no se usa, el conector para Exchange ActiveSync la cierra. Cuando se necesita de nuevo una conexión, se inicializa otra conexión si no hay ninguna disponible. Si no se especifica ningún valor, se usa el valor predeterminado de 30 minutos.
- Seleccione View Entire Forest para configurar el conector para Exchange ActiveSync y ver todo el bosque de Active Directory en el entorno de Exchange.
- Seleccione el protocolo de autenticación: Kerberos o Basic. El conector para Exchange ActiveSync admite la autenticación básica en implementaciones locales. De este modo, se puede utilizar el conector cuando su servidor no pertenece al dominio en el que reside el servidor de Exchange.
- Haga clic en Test Connectivity para comprobar que se puede establecer conexión con el servidor de Exchange y, a continuación, haga clic en Save.
- Un mensaje le solicitará que reinicie el servicio. Haga clic en Sí.
-
Configure las reglas de acceso: Seleccione la ficha Configuration > Access Rules, haga clic en la ficha Citrix Endpoint Management Rules y luego haga clic en Add.
-
En la página Citrix Endpoint Management Server Service Properties, modifique la cadena de URL para que apunte al servidor de Citrix Endpoint Management. Por ejemplo, si el nombre de la instancia es
zdm
, escribahttps://<XdmHostName>/zdm/services/MagConfigService
. En el ejemplo, reemplaceXdmHostName
por la dirección IP o DNS del servidor de Citrix Endpoint Management.- Especifique un usuario autorizado del servidor.
- Escriba la contraseña del usuario.
- Conserve los valores predeterminados de Baseline Interval, Delta Interval y Timeout.
- Haga clic en Test Connectivity para probar la conexión con el servidor y haga clic en OK.
Si la casilla Disabled está marcada, el servicio de Citrix Endpoint Management Mail no recopila directivas de Citrix Endpoint Management.
-
Haga clic en la ficha Local Rules.
- Puede agregar reglas locales en función de: ActiveSync Device ID (el ID de dispositivo de ActiveSync), Device Type (el tipo de dispositivo), AD Group (el grupo de Active Directory), User (el usuario) o UserAgent (el agente del usuario del dispositivo). En la lista, seleccione el tipo adecuado.
- Escriba texto o fragmentos de texto en el cuadro de texto. Si quiere, haga clic en el botón de consulta para ver las entidades que se corresponden con el fragmento.
Para todos los criterios aparte de Group, el sistema se basa en los dispositivos que se han encontrado en una instantánea. Por lo tanto, si acaba de empezar y aún no ha completado ninguna instantánea, no habrá entidades disponibles.
- Seleccione un valor de texto y, a continuación, haga clic en Allow o en Deny para agregarlo a Rule List en el lado derecho. Puede quitar reglas o cambiar su orden mediante los botones situados a la derecha del panel Rule List. El orden es importante porque las reglas se cotejan en el orden mostrado con un usuario y un dispositivo determinados. Por tanto, una correspondencia en una regla que se encuentre más arriba significa que las siguientes reglas no tendrán ningún efecto. Por ejemplo, si tiene una regla que permite todos los dispositivos iPad y otra regla posterior que bloquee al usuario “Sergio”, el iPad de Sergio aún tendrá permiso porque la regla “iPad” tiene una prioridad mayor (se coteja antes) que la regla “Sergio”.
- Para llevar a cabo un análisis de las reglas de la lista con el fin de buscar posibles conflictos, invalidaciones o complementaciones, haga clic en Analyze y, a continuación, en Save.
-
Si quiere crear reglas locales que operen en grupos de Active Directory, haga clic en Configure LDAP y, a continuación, configure las propiedades de conexión de LDAP.
-
Si quiere, configure una o varias instancias de BlackBerry Enterprise Server (BES). Para ello, haga clic en Add y escriba el nombre del servidor SQL de BES.
-
Escriba el nombre de la base de datos de administración de BES.
-
Seleccione el modo de autenticación. Si se selecciona la autenticación integrada de Windows, la cuenta de usuario del servicio del conector para Exchange ActiveSync será la cuenta utilizada para conectarse al servidor SQL Server para BES. Si también selecciona la seguridad integrada de Windows para la conexión de base de datos del conector, la cuenta de Windows especificada aquí también debe tener acceso a la base de datos del conector.
-
Si selecciona SQL authentication, especifique el nombre de usuario y la contraseña.
-
Configure la programación de sincronización en Sync Schedule. Esta es la programación usada para conectarse al servidor SQL Server para BES y buscar actualizaciones de dispositivo.
-
Haga clic en Test Connectivity para comprobar la conectividad con el servidor SQL. Si se selecciona la seguridad integrada de Windows, esta prueba utiliza el usuario actual que ha iniciado sesión, no el usuario del servicio del conector; por lo tanto, la prueba de autenticación de SQL no es precisa.
-
Si quiere admitir el borrado (Wipe) o el restablecimiento de contraseña (ResetPassword) remotos para los dispositivos BlackBerry desde Citrix Endpoint Management, marque la casilla Enabled.
-
Introduzca el nombre de dominio completo (FQDN) de BES.
-
Introduzca el puerto BES utilizado para el servicio web de admin.
-
Escriba el nombre del usuario y la contraseña completos requeridos por el servicio de BES.
-
Haga clic en Test Connectivity para probar la conexión al servidor BES y, luego, haga clic en Save.
-
Aplicar directivas de correo electrónico con los ID de ActiveSync
Es posible que una directiva de correo electrónico de la empresa indique que ciertos dispositivos no tienen la aprobación para usar el correo electrónico de la empresa. Para cumplir con esta directiva, asegúrese de que los usuarios no pueden tener acceso al correo electrónico de la empresa desde dichos dispositivos. El conector de Citrix Endpoint Management para Exchange ActiveSync y Citrix Endpoint Management operan juntos para aplicar este tipo de directiva de correo electrónico. Citrix Endpoint Management establece la directiva para acceder a correos electrónicos corporativos. Cuando un dispositivo no aprobado se inscribe con Citrix Endpoint Management, el conector para Exchange ActiveSync aplica la directiva.
El cliente de correo electrónico en un dispositivo se anuncia a Exchange Server (u Office 365) mediante el ID del dispositivo, también conocido como el ID de ActiveSync, que se usa para identificar el dispositivo de manera exclusiva. Citrix Secure Hub obtiene un identificador similar y envía el identificador a Citrix Endpoint Management cuando se inscribe el dispositivo. Comparando los dos ID de dispositivo, el conector para Exchange ActiveSync puede determinar si un dispositivo en concreto debe tener acceso al correo electrónico de la empresa. En la siguiente ilustración se muestra este concepto.
Si Citrix Endpoint Management envía al conector para Exchange ActiveSync un ID de ActiveSync distinto del ID publicado por el dispositivo en Exchange, el conector no podrá indicar a Exchange cómo debe proceder con respecto a dicho dispositivo.
Los ID de ActiveSync coincidentes funcionan con fiabilidad en la mayoría de las plataformas. Sin embargo, Citrix ha detectado que, en algunas implementaciones de Android, el ID de ActiveSync enviado desde el dispositivo es diferente del ID que el cliente de correo anuncia en Exchange. Para evitar este problema, puede hacer lo siguiente:
- En las plataformas Android, Citrix recomienda utilizar Citrix Secure Mail.
Para garantizar que la directiva de acceso al correo electrónico empresarial se aplica correctamente, puede adoptar una seguridad defensiva. Configure el conector de Citrix Endpoint Management para Exchange ActiveSync para bloquear correos electrónicos. Para ello, establezca la directiva estática en Denegar de forma predeterminada. Así, si un empleado configura otro cliente de correo electrónico en un dispositivo Android y la detección de ID de ActiveSync no funciona, ese empleado no podrá acceder al correo electrónico empresarial.
Reglas de control de acceso
El conector de Citrix Endpoint Management para Exchange ActiveSync ofrece un enfoque basado en reglas para controlar de forma dinámica el acceso a los dispositivos Exchange ActiveSync. Una regla de control de acceso del conector se compone de dos partes: una expresión correspondiente y un estado de acceso deseado (Permitir o Bloquear). Una regla se puede cotejar con un dispositivo Exchange ActiveSync concreto para determinar si se le puede aplicar (es decir, si corresponde al dispositivo). Hay varios tipos de expresiones correspondientes. Por ejemplo: una regla puede corresponderse con todos los dispositivos de un determinado tipo o un ID de Exchange ActiveSync o todos los dispositivos de un usuario concreto, entre otros.
En cualquier momento durante el proceso de agregar, quitar o cambiar el orden de las reglas en la lista de reglas, puede hacer clic en el botón Cancel para revertir la lista de reglas al estado en que estaba al abrirla. A menos que haga clic en Save, los cambios realizados en esta ventana se perderán si cierra la herramienta de configuración.
El conector de Citrix Endpoint Management para Exchange ActiveSync contiene tres tipos de reglas: reglas locales, reglas del servidor de Citrix Endpoint Management (también conocidas como reglas de Device Manager) y la regla del acceso predeterminado.
Reglas locales: Las reglas locales tienen la prioridad más alta. Si un dispositivo coincide con una regla local, el proceso de cotejo de reglas se detiene. No se consultarán ni las reglas del servidor de Citrix Endpoint Management ni la regla del acceso predeterminado. Las reglas locales se configuran localmente en el conector para Exchange ActiveSync, desde la ficha Configure > Access Rules > Local Rules. La correspondencia de compatibilidad se basa en la pertenencia de un usuario a un grupo determinado de Active Directory. La correspondencia de compatibilidad se basa en expresiones regulares de los siguientes campos:
- ID del dispositivo ActiveSync
- Tipo de dispositivo ActiveSync
- Nombre principal de usuario (UPN)
- Agente del usuario de ActiveSync (normalmente, la plataforma del dispositivo o el cliente de correo electrónico)
Mientras una instantánea principal se complete y encuentre dispositivos, podrá agregar reglas, ya sean de expresión regular o normal. Si no se completa ninguna instantánea principal, solo podrá agregar reglas de expresión regular.
Reglas del servidor de Citrix Endpoint Management: Las reglas del servidor de Citrix Endpoint Management hacen referencia a un servidor externo de Citrix Endpoint Management que proporciona reglas de dispositivos administrados. El servidor de Citrix Endpoint Management se puede configurar con sus propias reglas de alto nivel, que identifican aquellos dispositivos que se van a permitir o bloquear en función de las propiedades que conozca Citrix Endpoint Management (por ejemplo, si el dispositivo se ha liberado por jailbreak o si contiene aplicaciones prohibidas). Citrix Endpoint Management coteja las reglas de alto nivel y genera un conjunto de identificadores de dispositivos ActiveSync permitidos o bloqueados. Después, estos ID se entregan a XenMobile Mail Manager.
Regla del acceso predeterminado: La regla del acceso predeterminado es única en que es una correspondencia potencial con todos los dispositivos y siempre se coteja la última. Esta es una regla comodín, lo que significa que, si un dispositivo determinado no coincide con ninguna regla local o del servidor de Citrix Endpoint Management, el estado del acceso al dispositivo lo determina el estado de la regla del acceso predeterminado.
- Default Access – Allow (Acceso predeterminado: Permitir): Se permitirá el acceso de cualquier dispositivo que no coincida con una regla local o del servidor de Citrix Endpoint Management.
- Default Access – Block (Acceso predeterminado: Bloquear): Se bloqueará el acceso de cualquier dispositivo que no coincida con una regla local o del servidor de Citrix Endpoint Management.
- Default Access - Unchanged (Acceso predeterminado: Sin cambios): el conector para Exchange ActiveSync no modificará el estado de acceso de un dispositivo que no coincida con ninguna regla local o del servidor de Citrix Endpoint Management. Si Exchange ha puesto un dispositivo en el modo de cuarentena, no se realiza ninguna acción. Por ejemplo, la única forma de quitar un dispositivo del modo de cuarentena es tener una regla local o una regla de Device Manager que ignore explícitamente la cuarentena.
Acerca de los cotejos de reglas
Las reglas se cotejan siguiendo un orden (de mayor a menor prioridad) con cada dispositivo sobre el que Exchange informa al conector para Exchange ActiveSync:
- Reglas locales
- Reglas del servidor de Citrix Endpoint Management
- Regla del acceso predeterminado
Cuando se encuentra una correspondencia, el cotejo se detiene. Por ejemplo: si una regla local coincide con un dispositivo determinado, este no se cotejará con ninguna regla del servidor de Citrix Endpoint Management ni con la regla del acceso predeterminado. Esto también se da en el caso de un tipo concreto de regla. Por ejemplo, si hay más de una correspondencia en la lista de reglas de un dispositivo concreto, el cotejo se detiene tan pronto como se encuentre la primera correspondencia.
El conector para Exchange ActiveSync vuelve a cotejar el conjunto de reglas definido en cada momento cuando cambian las propiedades del dispositivo, cuando se agregan o quitan dispositivos, o cuando cambian las propias reglas. Las instantáneas principales pueden elegir cambios y eliminaciones de las propiedades de dispositivo a intervalos que se pueden configurar. Las instantáneas secundarias eligen dispositivos nuevos a intervalos que se pueden configurar.
Exchange ActiveSync también tiene reglas que controlan el acceso. Es importante comprender el funcionamiento de estas reglas en el contexto del conector para Exchange ActiveSync. Exchange se puede configurar con tres niveles de reglas: exenciones personales, reglas de dispositivos y parámetros de organización. El conector para Exchange ActiveSync automatiza el control del acceso por la emisión, mediante programación, de solicitudes remotas de PowerShell que afectan a las listas de excepciones personales. Se trata de listas de identificadores de dispositivos Exchange ActiveSync permitidos o bloqueados asociados a un buzón de correo determinado. Cuando el conector Exchange ActiveSync se implementa, asume la capacidad de administración de las listas de exención en Exchange. Consulte el artículo Device management with Exchange and Configuration Manager de Microsoft.
El análisis es útil en situaciones en que se han definido varias reglas para el mismo campo. Puede detectar problemas potenciales de las relaciones entre las reglas. El análisis se realiza con respecto a los campos de reglas. Por ejemplo, las reglas se analizan por grupos con el campo que se coteja (como el ID del dispositivo ActiveSync, el tipo de dispositivo ActiveSync, el usuario y el agente de usuario, entre otros).
Terminología referente a las reglas
- Overriding rule (Regla de invalidación): Se produce una invalidación cuando hay más de una regla que se podría aplicar al mismo dispositivo. Como las reglas se cotejan por prioridad en la lista, es posible que las últimas instancias de reglas que se podrían aplicar nunca se cotejen.
- Conflicting rule (Regla en conflicto): El conflicto se produce cuando hay más de una regla que se podría aplicar al mismo dispositivo, pero cada regla tiene estipulado un acceso (permitir o bloquear) diferente. Si las reglas en conflicto no son de expresión regular, un conflicto siempre tiene la connotación implícita de una invalidación.
- Supplemental rule (Regla adicional): Se produce una adición cuando hay varias reglas de expresión regular y, por lo tanto, es posible que necesite comprobar que las dos (o más) expresiones regulares se pueden combinar en una sola regla de expresión regular, o bien deberá comprobar que no dupliquen la funcionalidad. Una regla adicional también puede entrar en conflicto en el acceso (permitir o bloquear).
- Primary rule (Regla primaria): La regla primaria es aquella sobre la que se ha hecho clic en el cuadro de diálogo. La regla está indicada visualmente por una línea de borde sólido que la rodea. La regla también tiene una o dos flechas verdes que apuntan hacia arriba o hacia abajo. Si una flecha apunta hacia arriba, indica que hay reglas auxiliares que preceden la regla primaria. Si una flecha apunta hacia abajo, indica que hay reglas auxiliares que siguen a la regla primaria. Solo una regla primaria puede estar activa en un momento dado.
- Ancillary rule (Regla auxiliar): Una regla auxiliar está relacionada con la regla primaria, ya sea por invalidación, por conflicto o por reglas adicionales. Las reglas se indican visualmente con un borde discontinuo que las rodea. Puede haber entre una y varias reglas auxiliares por cada regla primaria. Al hacer clic en una entrada subrayada, las reglas auxiliares marcadas siempre se marcan con respecto a la regla primaria. Por ejemplo: la regla primaria supedita la regla auxiliar, o la regla auxiliar entra en conflicto en el acceso con la regla primaria, o la regla auxiliar complementa la regla primaria.
Cómo aparecen los tipos de reglas en el cuadro de diálogo Rule Analysis
Cuando no haya conflictos, invalidaciones ni complementaciones, el cuadro Rule Analysis no contendrá entradas subrayadas. Hacer clic en alguno de los elementos no tiene ningún efecto: solo se habrá seleccionado el elemento de la manera habitual.
La ventana Rule Analysis tiene una casilla de verificación que, marcada, muestra únicamente las reglas con conflictos, invalidaciones, redundancias y complementaciones.
Cuando se produzca una invalidación, se subrayarán al menos dos reglas: la primaria y las auxiliares. Al menos una regla auxiliar aparece con una fuente más atenuada para indicar que se ha reemplazado por otra regla de mayor prioridad. Puede hacer clic en la regla invalidada para averiguar qué regla o reglas la han invalidado. Cada vez que se marque una regla como invalidada, ya sea porque es la primaria o porque es la auxiliar, aparecerá un círculo negro junto a ella, a modo de indicación visual de que la regla está inactiva. Por ejemplo, antes de hacer clic en la regla, el cuadro aparece de la siguiente manera:
Cuando haga clic en la regla de mayor prioridad, el cuadro aparecerá de la siguiente manera:
En este ejemplo, la regla de expresión regular WorkMail.*
es la regla primaria (indicada con el borde sólido) y la regla normal workmailc633313818
es una regla auxiliar (indicada con el borde discontinuo). El punto negro junto a la regla auxiliar es una indicación visual de que la regla está inactiva (nunca se cotejará) debido a la regla de expresión regular de mayor prioridad que la precede. Después de hacer clic en la regla invalidada, el cuadro aparecerá de la siguiente manera:
En el ejemplo anterior, la regla de expresión regular WorkMail.*
es la regla auxiliar (indicada con el borde discontinuo) y la regla normal workmailc633313818
es la regla primaria (indicada con el borde sólido). En este sencillo ejemplo, no hay mucha diferencia. Para un ejemplo más complejo, consulte el ejemplo de expresión compleja más adelante en este apartado. En un entorno con varias reglas definidas, hacer clic en la regla invalidada identificaría rápidamente las reglas que la han invalidado.
Cuando se produzca un conflicto, se subrayarán al menos dos reglas: la primaria y la(s) auxiliar(es). Las reglas en conflicto se indican con un punto de color rojo. Aquellas reglas que solo entren en conflicto una con otra solo se dan cuando hay dos o más reglas de expresión regular definidas. En todos los demás casos de conflictos, no solo hay un conflicto, sino también una invalidación. Antes de hacer clic en las reglas, en un ejemplo sencillo, el cuadro aparece de la siguiente manera:
Tras examinar las dos reglas de expresiones regulares, es evidente que la primera regla permite el acceso a todos aquellos dispositivos con un ID de dispositivo que contenga “App” y la segunda regla niega el acceso a todos aquellos dispositivos con un ID de dispositivo que contenga Appl
. Además, aunque la segunda regla rechaza todos los dispositivos con un ID de dispositivo que contenga Appl
, no se negará el acceso a ningún dispositivo que se corresponda con ese criterio por la prioridad más alta de la regla que permite el acceso. Después de hacer clic en la primera regla, el cuadro aparece de la siguiente manera:
En este caso, tanto la regla primaria (la regla de expresión regular App.*
) como la regla auxiliar (la regla de expresión regular Appl.*
) se resaltan en amarillo. Este es simplemente un elemento visual que sirve para advertirle de que ha aplicado más de una regla de expresión regular a un único campo correspondiente, lo que puede derivar en un problema de redundancia o algo más grave.
En un caso de conflicto e invalidación, la regla primaria (regla de expresión regular App.*
) y la regla auxiliar (regla de expresión regular Appl.*
) se resaltan en amarillo. Este es simplemente un elemento visual que sirve para advertirle de que ha aplicado más de una regla de expresión regular a un único campo correspondiente, lo que puede derivar en un problema de redundancia o algo más grave.
En el ejemplo anterior, es fácil observar que la primera regla (regla de expresión regular SAMSUNG.*
) no solo invalida la siguiente regla (regla normal SAMSUNG-SM-G900A/101.40402
), sino que las dos reglas se diferencian en su acceso (la primaria especifica Permitir, mientras que la auxiliar especifica Bloquear). La segunda regla (regla normal SAMSUNG-SM-G900A/101.40402
) aparece con un texto más atenuado para indicar que se ha invalidado y está, por lo tanto, inactiva.
Después de hacer clic en la regla de expresión regular, el cuadro aparece de la siguiente manera:
La regla primaria (regla de expresión regular SAMSUNG.*
) va seguida de un punto rojo para indicar que su estado de acceso está en conflicto con una o varias reglas auxiliares. La regla auxiliar (regla normal SAMSUNG-SM-G900A/101.40402
) va seguida de un punto rojo para indicar que su estado de acceso está en conflicto con la regla primaria. Esa regla también va seguida de un punto negro para indicar que está invalidada y, por lo tanto, inactiva.
Se subrayan al menos dos reglas: la primaria y la(s) auxiliar(es). Las reglas que solo se complementan entre ellas solo pueden ser reglas de expresión regular. Cuando las reglas se complementan entre ellas, se indican con una capa de color amarillo. Antes de hacer clic en las reglas, en un ejemplo sencillo, el cuadro aparece de la siguiente manera:
Tras echar un vistazo, es evidente que ambas reglas son de expresión regular y que se han aplicado al campo de ID de dispositivo ActiveSync en el conector de Citrix Endpoint Management para Exchange ActiveSync. Después de hacer clic en la primera regla, el cuadro aparece de la siguiente manera:
La regla primaria (regla de expresión regular WorkMail.*
) está resaltada con una capa amarilla para indicar que hay al menos una regla auxiliar adicional que es una expresión regular. La regla auxiliar (regla de expresión regular SAMSUNG.*
) está resaltada en amarillo para indicar que ella y la regla primaria son reglas de expresión regular que se aplican al mismo campo en el conector para Exchange ActiveSync. En este caso, ese campo es el ID del dispositivo ActiveSync. Las expresiones regulares pueden superponerse. Le corresponde a usted decidir si sus expresiones regulares se han elaborado correctamente.
Ejemplo de una expresión compleja
Se pueden producir tantos conflictos, invalidaciones o complementaciones que no se puede ofrecer un ejemplo para todos los casos posibles. En el siguiente ejemplo, se describe lo que no se recomienda hacer y también se ilustra el true potencial de la construcción visual del análisis de reglas. En la siguiente imagen, la mayoría de los elementos están subrayados. Muchos de los elementos se representan con una fuente más atenuada que otras, lo que indica que la regla en cuestión se ha invalidado por una regla de mayor prioridad. También se han incluido en la lista varias reglas de expresión regular, indicadas con el icono .
Cómo analizar una invalidación
Para ver qué regla o reglas han invalidado una regla determinada, haga clic en la regla.
Ejemplo 1: En este ejemplo, se examina por qué zentrain01@zenprise.com
se ha invalidado.
La regla primaria (regla del grupo AD zenprise/TRAINING/ZenTraining B
, donde zentrain01@zenprise.com
es miembro) tiene las siguientes características:
- Está resaltada en azul y tiene un borde sólido.
- Tiene una flecha verde que apunta hacia arriba (para indicar que las reglas auxiliares están todas encima de ella).
- Va seguida de un círculo rojo y uno negro para indicar, respectivamente, que una o más reglas están en conflicto con el acceso y que la regla primaria se ha invalidado y, por lo tanto, está inactiva.
Si se desplaza hacia arriba, verá lo siguiente:
En este caso, hay dos reglas auxiliares que invalidan la regla primaria: la regla de expresión regular zen.*
y la regla normal zentrain01@zenprise.com
(de zenprise/TRAINING/ZenTraining A
). En el caso de la última regla auxiliar, lo que ha ocurrido es que la regla del grupo de Active Directory ZenTraining A
contiene el usuario zentrain01@zenprise.com
y la regla del grupo de Active Directory ZenTraining B
también contiene el usuario zentrain01@zenprise.com
. La regla auxiliar, por tener una prioridad mayor, ha invalidado la regla primaria. El acceso de la regla primaria es Permitir y, como el acceso de ambas reglas auxiliares es Bloquear, todas van seguidas de un círculo rojo para indicar un conflicto de acceso.
Ejemplo 2: En este ejemplo, se muestra por qué se ha invalidado el dispositivo con el ID de dispositivo ActiveSync 069026593E0C4AEAB8DE7DD589ACED33
:
La regla primaria (regla normal de ID de dispositivo 069026593E0C4AEAB8DE7DD589ACED33
) tiene las siguientes características:
- Está resaltada en azul y tiene un borde sólido.
- Tiene una flecha verde que apunta hacia arriba (para indicar que la regla auxiliar está encima de ella).
- Va seguida de un círculo negro para indicar que una regla auxiliar ha invalidado la primaria y, por lo tanto, está inactiva.
En este caso, una sola regla auxiliar invalida la regla primaria: la regla de expresión regular de ID de dispositivo ActiveSync es 3E.*
. Como la expresión regular 3E.*
se correspondería con 069026593E0C4AEAB8DE7DD589ACED33
, la regla primaria no se cotejará nunca.
Cómo analizar una complementación y un conflicto
En este caso, la regla primaria es la regla en forma de expresión regular del tipo de dispositivo ActiveSync touch.*
. Las características son las siguientes:
- Está indicada con un borde sólido y una capa amarilla a modo de advertencia de que hay más de una regla de expresión regular y solo un campo de regla concreto (en este caso: tipo de dispositivo ActiveSync).
- Una flecha que apunta hacia arriba y otra que apunta hacia abajo, lo que indica que hay al menos una regla auxiliar con mayor prioridad y al menos una regla auxiliar con menor prioridad.
- El círculo rojo situado junto a ella indica que hay al menos una regla auxiliar con el acceso establecido en Permitir , lo que entra en conflicto con la regla primaria, cuyo acceso está bloqueado.
- Hay dos reglas auxiliares: la regla de expresión regular de tipo de dispositivo ActiveSync
SAM.*
y la regla de expresión regular de tipo de dispositivo ActiveSyncAndro.*
. - Ambas reglas tienen bordes discontinuos para indicar que son auxiliares.
- Ambas reglas auxiliares tienen una capa amarilla para indicar que también se aplican al campo de regla de tipo de dispositivo ActiveSync.
- En estos casos, debe asegurarse de que sus reglas de expresiones regulares no sean redundantes.
Cómo analizar las reglas al detalle
En este ejemplo, se describe cómo las relaciones entre reglas se dan siempre con respecto a la regla primaria. En el ejemplo anterior, se ha mostrado cómo un clic en la regla de expresión regular se aplicaba al campo de regla de tipo de dispositivo con el valor touch.*
. Al hacer clic en la regla auxiliar Andro.*
, se muestra un conjunto diferente de reglas auxiliares resaltadas.
El ejemplo muestra una regla invalidada que se incluye en la relación de las reglas. Esta es la regla normal de tipo de dispositivo ActiveSync Android
, que se ha invalidado (situación indicada con la fuente más atenuada y el círculo negro junto a ella) y también está en conflicto en el acceso con la regla primaria de expresión regular de tipo de dispositivo ActiveSync Andro.*
. Esa regla era anteriormente una regla auxiliar, antes de que se hiciera clic en ella. En el ejemplo anterior, la regla normal de tipo de dispositivo ActiveSync Android
no aparecía como una regla auxiliar porque, con respecto a la entonces regla primaria (la regla de expresión regular de tipo de dispositivo ActiveSync touch.*
), no estaba relacionada con ella.
Para configurar una regla local de expresión normal
-
Haga clic en la ficha Access Rules.
-
En la lista Device ID, seleccione el campo para el que quiere crear una regla local.
-
Haga clic en el icono de lupa para ver todas las correspondencias únicas con el campo seleccionado. En este ejemplo, se ha seleccionado el campo Device Type, y las opciones se muestran en este cuadro de lista:
-
Haga clic en uno de los elementos de la lista de resultados y, a continuación, haga clic en una de las siguientes opciones:
- Allow significa que Exchange se configurará para permitir el tráfico de ActiveSync en todos los dispositivos que se correspondan.
- Deny significa que Exchange se configurará para denegar el tráfico de ActiveSync en todos los dispositivos que se correspondan.
En este ejemplo, se ha denegado el acceso a todos los dispositivos que tienen un tipo de dispositivo SamsungSPhl720.
Para agregar una expresión regular
Las reglas locales de expresión regular se distinguen por el icono que aparece junto a ellas: . Para agregar una regla de expresión regular, puede crear una regla de expresión regular a partir de un valor existente de la lista de resultados de un campo determinado (siempre que se haya completado una instantánea principal), o bien puede, simplemente, escribir la expresión regular que quiera.
Para crear una expresión regular a partir de un valor de campo existente
-
Haga clic en la ficha Access Rules.
-
En la lista Device ID, seleccione el campo para el que quiere crear una regla local de expresión regular.
-
Haga clic en el icono de lupa para ver todas las correspondencias únicas con el campo seleccionado. En este ejemplo, se ha seleccionado el campo Device Type, y las opciones se muestran en este cuadro de lista:
-
Haga clic en uno de los elementos de la lista de resultados. En este ejemplo, se ha seleccionado SAMSUNGSPHL720 y aparece en el cuadro de texto adyacente a Device Type.
-
Para permitir el acceso a todos los tipos de dispositivos que contengan “Samsung” en su valor de tipo de dispositivo, siga estos pasos para agregar una regla de expresión regular:
-
Haga clic en el cuadro de texto del elemento seleccionado.
-
Cambie el texto de SAMSUNGSPHL720 a SAMSUNG.*.
-
Compruebe que la casilla “regular expression” está marcada.
-
Haga clic en Permitir.
-
Para crear una regla de acceso
- Haga clic en la ficha Local Rules.
-
Para escribir la expresión regular, deberá usar la lista Device ID y el cuadro de texto del elemento seleccionado.
- Seleccione el campo con el que corresponderse. En este ejemplo, se usa Tipo de dispositivo.
- Escriba la expresión regular. En este ejemplo se usa
samsung.*
-
Compruebe que la casilla “regular expression” está marcada y, a continuación, haga clic en Allow o Deny. En este ejemplo, se ha elegido Allow. El resultado final es el siguiente:
Para buscar dispositivos
Al marcar la casilla de expresión regular, puede realizar búsquedas de dispositivos específicos que se corresponden con la expresión indicada. Esta función solo está disponible si una instantánea principal se ha completado correctamente. Puede usar esta función incluso si no planea utilizar reglas de expresión regular. Por ejemplo, supongamos que quiere buscar todos los dispositivos que contienen el texto workmail
en el ID de sus dispositivos ActiveSync. Para ello, siga este procedimiento.
- Haga clic en la ficha Access Rules.
-
Compruebe que el selector del campo de correspondencia del dispositivo es Device ID (opción predeterminada).
- Haga clic en el cuadro de texto del elemento seleccionado (como se muestra en azul en la imagen anterior) y escriba
workmail.*
. -
Compruebe que la casilla “regular expression” está marcada y, a continuación, haga clic en el icono de lupa para ver los resultados, tal y como se muestra en la siguiente imagen.
Para agregar un usuario individual, un dispositivo o un tipo de dispositivo a una regla
Puede agregar reglas estáticas basadas en el usuario, el ID de dispositivo o el tipo de dispositivo en la ficha ActiveSync Devices.
-
Haga clic en la ficha ActiveSync Devices.
-
En la lista, haga clic con el botón secundario en un usuario, un dispositivo o un tipo de dispositivo, y seleccione si permitir o denegar la selección.
En la imagen siguiente, se muestra la opción de permitir o denegar cuando el usuario1 está seleccionado.
Supervisión de dispositivos
En el conector de Citrix Endpoint Management para Exchange ActiveSync, la ficha Monitor permite explorar los dispositivos Exchange ActiveSync y BlackBerry que se hayan detectado y el historial de los comandos de PowerShell automatizados que se hayan emitido. La ficha Monitor contiene a su vez las siguientes tres fichas:
-
ActiveSync Devices:
- Para exportar las asociaciones de dispositivo ActiveSync mostradas, haga clic en el botón Export.
- Para agregar reglas locales (estáticas), haga clic con el botón secundario en las columnas User, Device ID o Type y seleccione el tipo de regla apropiado, ya sea permitir o bloquear.
- Para contraer una fila expandida, presione Ctrl y haga clic en la fila expandida.
- BlackBerry Devices
- Automation History
En la ficha Configure se muestra el historial de todas las instantáneas. La información que muestra el historial de instantáneas es: cuándo se realizó la instantánea, cuánto tiempo duró el proceso, cuántos dispositivos se detectaron y los errores que se produjeran.
- En la ficha Exchange, haga clic en el icono de información del servidor de Exchange pertinente.
Solución de problemas y diagnósticos
El conector de Citrix Endpoint Management para Exchange ActiveSync registra errores y demás información operativa en el archivo de registro: Carpeta de instalación\log\XmmWindowsService.log. El conector para Exchange ActiveSync también registra los eventos significativos en el registro de eventos de Windows.
Para cambiar el nivel de registro
El conector de Citrix Endpoint Management para Exchange ActiveSync ofrece estos niveles de registro: error, información, advertencia, depuración y seguimiento.
Nota:
Cada nivel sucesivo genera más detalles (más datos). Por ejemplo, el nivel Error ofrece el menor detalle, mientras que el nivel de seguimiento proporciona el mayor detalle.
Para cambiar el nivel de registro, lleve a cabo lo siguiente:
- En
C:\Program Files\Citrix\Citrix
Citrix Endpoint Management connector, abra el archivo nlog.config. -
En la sección
<rules>
, cambie el parámetro minilevel al nivel de registro que prefiera. Por ejemplo:<rules > <logger name="*" writeTo="file" minlevel="Debug" /> </rules> <!--NeedCopy-->
-
Guarde el archivo.
Los cambios surten efecto de inmediato. No es necesario reiniciar el conector para Exchange ActiveSync.
Errores comunes
En la lista siguiente, se incluyen errores frecuentes:
-
El servicio del conector para Exchange ActiveSync no se inicia
Compruebe si se han registrado errores en el archivo de registro y el registro de eventos de Windows. Las causas habituales son las siguientes:
-
El servicio del conector para Exchange ActiveSync no puede acceder a SQL Server. Esto puede deberse a los siguientes problemas:
- El servicio SQL Server no se está ejecutando.
- Error de autenticación.
Si la autenticación integrada de Windows está configurada, la cuenta de usuario del servicio del conector para Exchange ActiveSync debe tener permitido el inicio de sesión en SQL. La cuenta del servicio del conector para Exchange ActiveSync es, de forma predeterminada, el sistema local, pero se puede cambiar a una cuenta que tenga privilegios de administrador local. Si se configura la autenticación de SQL, el inicio de sesión de SQL debe estar correctamente configurado en SQL.
-
Herramientas para solucionar problemas
En la carpeta Support\PowerShell, dispone de un conjunto de utilidades de PowerShell para la solución de problemas.
Una herramienta de solución de problemas realiza un análisis exhaustivo de los dispositivos y los buzones de correo de los usuarios para detectar condiciones de error y problemas potenciales, además de un detallado análisis de RBAC de los usuarios. Puede guardar sin formato los resultados de todos los cmdlets en un archivo de texto.
En este artículo
- Novedades en la versión 10.1.10
- Novedades en la versión 10.1.9
- Novedades en versiones anteriores
- Arquitectura
- Requisitos del sistema y requisitos previos
- Requisitos para Office 365 Exchange
- Instalación y configuración
- Aplicar directivas de correo electrónico con los ID de ActiveSync
- Reglas de control de acceso
- Para configurar una regla local de expresión normal
- Para agregar una expresión regular
- Para crear una regla de acceso
- Para buscar dispositivos
- Para agregar un usuario individual, un dispositivo o un tipo de dispositivo a una regla
- Supervisión de dispositivos
- Solución de problemas y diagnósticos
- Herramientas para solucionar problemas