Documentación de productos
XenMobile® Server
Ver PDF

Conector de Citrix Gateway™ para Exchange ActiveSync

April 16, 2026
Contribución de: 
C

El conector de Citrix ADC de XenMobile ahora es un conector de Citrix Gateway para Exchange ActiveSync. Para obtener más detalles sobre la cartera unificada de Citrix, consulta la guía de productos de Citrix.

El conector para Exchange ActiveSync proporciona un servicio de autorización a nivel de dispositivo de clientes de ActiveSync a Citrix ADC que actúa como proxy inverso para el protocolo Exchange ActiveSync. La autorización se controla mediante una combinación de políticas que defines en XenMobile® y reglas definidas localmente por el conector de Citrix Gateway para Exchange ActiveSync.

Para obtener más información, consulta ActiveSync Gateway.

Para ver un diagrama de arquitectura de referencia detallado, consulta Arquitectura.

La versión actual del conector de Citrix Gateway para Exchange ActiveSync es la 8.5.2.

Importante:

A partir de octubre de 2022, los conectores de Endpoint Management y Citrix Gateway para Exchange ActiveSync ya no son compatibles con Exchange Online debido a los cambios de autenticación anunciados por Microsoft aquí. El conector de Endpoint Management para Exchange sigue funcionando con Microsoft Exchange Server (local).

¿Qué hay de nuevo?

Las siguientes secciones enumeran las novedades de las versiones actuales y anteriores del conector de Citrix Gateway para Exchange ActiveSync, antes conocido como conector de Citrix ADC de XenMobile.

¿Qué hay de nuevo en la versión 8.5.3?

  • Esta versión añade compatibilidad con los protocolos ActiveSync 16.0 y 16.1.
  • Se han añadido más detalles a los análisis enviados a Google Analytics, especialmente en lo que respecta a las instantáneas. [CXM-52261]

¿Qué hay de nuevo en la versión 8.5.2?

  • El conector de Citrix ADC de XenMobile ahora es un conector de Citrix Gateway para Exchange ActiveSync.

Los siguientes problemas se han corregido en esta versión:

  • Si se utiliza más de un criterio para definir una regla de política y uno de los criterios implica el ID de usuario, podría producirse el siguiente problema: si un usuario tiene más alias, estos no se comprueban también al aplicar la regla. [CXM-55355]

Nota:

La siguiente sección de Novedades se refiere al conector de Citrix Gateway para Exchange ActiveSync por su antiguo nombre, conector de Citrix ADC de XenMobile. El nombre cambió a partir de la versión 8.5.2.

¿Qué hay de nuevo en la versión 8.5.1.11?

  • Cambio en los requisitos del sistema: La versión actual del conector de Citrix ADC requiere Microsoft .NET Framework 4.5.

  • Compatibilidad con Google Analytics: Queremos saber cómo usas un conector de Citrix ADC de XenMobile para poder centrarnos en cómo mejorar el producto.

  • Compatibilidad con TLS 1.1 y 1.2: Debido a su seguridad debilitada, el Consejo PCI está dejando de usar TLS 1.0. Se ha añadido compatibilidad con TLS 1.1 y 1.2 al conector de Citrix ADC de XenMobile.

Supervisión del conector de Citrix Gateway para Exchange ActiveSync

La utilidad de configuración del conector de Citrix Gateway para Exchange ActiveSync proporciona un registro detallado que puedes usar para ver todo el tráfico que pasa por tu servidor Exchange y que Secure Mobile Gateway permite o bloquea.

Usa la ficha Registro para ver el historial de las solicitudes de ActiveSync reenviadas al conector para Exchange ActiveSync por Citrix ADC para su autorización.

Además, para asegurarte de que el servicio web del conector de Citrix Gateway para Exchange ActiveSync se está ejecutando, carga la siguiente URL en un navegador en el servidor del conector https://<host:port>/services/ActiveSync/Version. Si la URL devuelve la versión del producto como una cadena, el servicio web responde.

Para simular el tráfico de ActiveSync con el conector de Citrix Gateway para Exchange ActiveSync

Puedes usar el conector de Citrix Gateway para Exchange ActiveSync para simular el aspecto del tráfico de ActiveSync con tus políticas. En la utilidad de configuración del conector, selecciona la ficha Simulador. Los resultados te muestran cómo se aplican tus políticas según las reglas que has configurado.

Elección de filtros para el conector de Citrix Gateway para Exchange ActiveSync

Los filtros del conector de Citrix Gateway para Exchange ActiveSync funcionan analizando un dispositivo en busca de una infracción de política o una configuración de propiedad determinada. Si el dispositivo cumple los criterios, se coloca en una Lista de dispositivos. Esta Lista de dispositivos no es una lista de permitidos ni una lista de bloqueados. Es una lista de dispositivos que cumplen los criterios definidos. Los siguientes filtros están disponibles para el conector en XenMobile. Las dos opciones para cada filtro son Permitir o Denegar.

  • Dispositivos anónimos: Permite o deniega dispositivos inscritos en XenMobile, pero cuya identidad de usuario es desconocida. Por ejemplo, podría ser un usuario que se inscribió, pero cuya contraseña de Active Directory ha caducado, o un usuario que se inscribió con credenciales desconocidas.
  • Atestación de Samsung KNOX fallida: Los dispositivos Samsung tienen funcionalidades de seguridad y diagnóstico. Este filtro confirma que el dispositivo está configurado para KNOX. Para obtener más detalles, consulta Samsung Knox.
  • Aplicaciones prohibidas: Permite o deniega dispositivos basándose en la Lista de dispositivos definida por las políticas de lista de bloqueados y la presencia de aplicaciones bloqueadas.
  • Permitir/Denegar implícitamente: Crea una Lista de dispositivos de todos los dispositivos que no cumplen ninguno de los demás criterios de las reglas de filtro y permite o deniega basándose en esa lista. La opción Permitir/Denegar implícitamente garantiza que el estado del conector de Citrix Gateway para Exchange ActiveSync en la ficha Dispositivos esté habilitado y muestre el estado del conector para tus dispositivos. La opción Permitir/Denegar implícitamente también controla todos los demás filtros del conector que no se han seleccionado. Por ejemplo, el conector deniega las aplicaciones bloqueadas, pero permite todos los demás filtros porque la opción Permitir/Denegar implícitamente está configurada en Permitir.
  • Dispositivos inactivos: Crea una Lista de dispositivos de los dispositivos que no se han comunicado con XenMobile en un tiempo especificado. Estos dispositivos se consideran inactivos. El filtro permite o deniega los dispositivos en consecuencia.
  • Aplicaciones obligatorias que faltan: Cuando un usuario se inscribe, recibe una lista de aplicaciones obligatorias que deben instalarse. El filtro de aplicaciones obligatorias que faltan indica que una o varias de las aplicaciones ya no están presentes; por ejemplo, el usuario eliminó una o varias aplicaciones.
  • Aplicaciones no sugeridas: Cuando un usuario se inscribe, recibe una lista de las aplicaciones que debe instalar. El filtro de aplicaciones no sugeridas comprueba el dispositivo en busca de aplicaciones que no estén en esa lista.
  • Contraseña no conforme: Crea una Lista de dispositivos de todos los dispositivos que no tienen un código de acceso en el dispositivo.
  • Dispositivos no conformes: Te permite denegar o permitir dispositivos que cumplen tus propios criterios internos de cumplimiento de TI. El cumplimiento es una configuración arbitraria definida por la propiedad del dispositivo llamada No conforme, que es un indicador booleano que puede ser Verdadero o Falso. (Puedes crear esta propiedad manualmente y establecer el valor, o puedes usar Acciones automatizadas para crear esta propiedad en un dispositivo si el dispositivo cumple o no criterios específicos).
    • No conforme = Verdadero. Si un dispositivo no cumple los estándares de cumplimiento y las definiciones de políticas establecidas por tu departamento de TI, el dispositivo no es conforme.
    • No conforme = Falso. Si un dispositivo cumple los estándares de cumplimiento y las definiciones de políticas establecidas por tu departamento de TI, el dispositivo es conforme.
  • Estado revocado: Crea una Lista de dispositivos de todos los dispositivos revocados y permite o deniega basándose en el estado revocado.
  • Dispositivos Android rooteados/iOS con jailbreak. Crea una Lista de dispositivos de todos los dispositivos marcados como rooteados y permite o deniega basándose en el estado de rooteo.
  • Dispositivos no administrados. Crea una Lista de dispositivos de todos los dispositivos en la base de datos de XenMobile. Mobile Application Gateway debe implementarse en modo de bloqueo.

Para configurar una conexión al conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync se comunica con XenMobile y otros proveedores de configuración remota a través de servicios web seguros.

  1. En la utilidad de configuración del conector, haz clic en la ficha Proveedores de configuración y, a continuación, haz clic en Agregar.
  2. En el cuadro de diálogo Proveedores de configuración, en Nombre, introduce un nombre de usuario que tenga privilegios administrativos y que se utilice para la autorización HTTP básica con el servidor XenMobile.
  3. En URL, introduce la dirección web del GCS de XenMobile, normalmente en el formato https://<FQDN>/<instanceName>/services/<MagConfigService>. El nombre MagConfigService distingue entre mayúsculas y minúsculas.
  4. En Contraseña, introduce la contraseña que se utiliza para la autorización HTTP básica con el servidor XenMobile.
  5. En Host de administración, introduce el nombre del servidor del conector.
  6. En Intervalo de línea base, especifica un período de tiempo para cuando se extrae un nuevo conjunto de reglas dinámicas actualizado de Device Manager.
  7. En Intervalo delta, especifica un período de tiempo para cuando se extrae una actualización de las reglas dinámicas.
  8. En Tiempo de espera de solicitud, especifica el intervalo de tiempo de espera de la solicitud del servidor.
  9. En Proveedor de configuración, selecciona si la instancia del servidor del proveedor de configuración está proporcionando la configuración de la política.
  10. En Eventos habilitados, habilita esta opción si quieres que el conector notifique a XenMobile cuando se bloquea un dispositivo. Esta opción es necesaria si utilizas las reglas del conector en cualquiera de tus Acciones automatizadas de XenMobile.
  11. Haz clic en Guardar y, a continuación, haz clic en Probar conectividad para probar la conectividad del gateway con el proveedor de configuración. Si la conexión falla, comprueba que la configuración del firewall local permite la conexión o ponte en contacto con tu administrador.
  12. Cuando la conexión se realice correctamente, desmarca la casilla de verificación Deshabilitado y, a continuación, haz clic en Guardar.

Cuando agregas un nuevo proveedor de configuración, el conector de Citrix Gateway para Exchange ActiveSync crea automáticamente una o varias políticas asociadas con el proveedor. Estas políticas se definen mediante una definición de plantilla contenida en config\policyTemplates.xml en la sección NewPolicyTemplate. Para cada elemento de política definido dentro de esta sección, se crea una nueva política.

El operador puede agregar, quitar o modificar elementos de política si se cumple lo siguiente: el elemento de política se ajusta a la definición del esquema y las cadenas de sustitución estándar (entre llaves) no se modifican. A continuación, agrega nuevos grupos para el proveedor y actualiza la política para incluir los nuevos grupos.

Para importar una política de XenMobile

  1. En la utilidad de configuración del conector de Citrix Gateway para Exchange ActiveSync, haz clic en la ficha Proveedores de configuración y, a continuación, haz clic en Agregar.
  2. En el cuadro de diálogo Proveedores de configuración, en Nombre, introduce un nombre de usuario que se utilice para la autorización HTTP básica con el servidor XenMobile y que tenga privilegios administrativos.
  3. En URL, introduce la dirección web del Servicio de configuración de gateway (GCS) de XenMobile, normalmente en el formato https://<xdmHost>/xdm/services/<MagConfigService>. El nombre MagConfigService distingue entre mayúsculas y minúsculas.
  4. En Contraseña, introduce la contraseña que se utiliza para la autorización HTTP básica con el servidor XenMobile.
  5. Haz clic en Probar conectividad para probar la conectividad del gateway con el proveedor de configuración. Si la conexión falla, comprueba que la configuración de tu firewall local permite la conexión o consulta con tu administrador.
  6. Cuando se establezca correctamente una conexión, desmarca la casilla de verificación Deshabilitado y, a continuación, haz clic en Guardar.
  7. En Host de administración, deja el nombre DNS predeterminado del equipo host local. Esta configuración se utilizaba para coordinar la comunicación con XenMobile cuando se configuraban varios servidores Forefront Threat Management Gateway (TMG) en una matriz.

Después de guardar la configuración, abre el GCS.

Configuración del modo de política del conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync puede ejecutarse en los seis modos siguientes:

  • Permitir todo. Este modo de política concede acceso a todo el tráfico que pasa por el conector. No se utilizan otras reglas de filtrado.
  • Denegar todo. Este modo de política bloquea el acceso a todo el tráfico que pasa por el conector. No se utilizan otras reglas de filtrado.
  • Reglas estáticas: Modo de bloqueo. Este modo de política ejecuta reglas estáticas con una instrucción implícita de denegación o bloqueo al final. El conector bloquea los dispositivos que no están permitidos a través de otras reglas de filtro.
  • Reglas estáticas: Modo de permiso. Este modo de política ejecuta reglas estáticas con una instrucción implícita de permiso o autorización al final. Los dispositivos que no están bloqueados o denegados a través de otras reglas de filtro se permiten a través del conector.
  • Reglas estáticas + ZDM: Modo de bloqueo. Este modo de política ejecuta primero reglas estáticas, seguidas de reglas dinámicas de XenMobile con una instrucción implícita de denegación o bloqueo al final. Los dispositivos se permiten o deniegan en función de los filtros definidos y las reglas de Device Manager. Cualquier dispositivo que no coincida con los filtros y las reglas definidos se bloquea.
  • Reglas estáticas + ZDM: Modo de permiso. Este modo de política ejecuta primero reglas estáticas, seguidas de reglas dinámicas de XenMobile con una instrucción implícita de permiso o autorización al final. Los dispositivos se permiten o deniegan en función de los filtros definidos y las reglas de XenMobile. Cualquier dispositivo que no coincida con los filtros y las reglas definidos se permite.

El proceso del conector de Citrix Gateway para Exchange ActiveSync permite o bloquea reglas dinámicas basándose en los ID de ActiveSync únicos para dispositivos móviles iOS y basados en Windows recibidos de XenMobile. Los dispositivos Android difieren en su comportamiento según el fabricante y algunos no exponen fácilmente un ID de ActiveSync único. Para compensar, XenMobile envía información de ID de usuario para dispositivos Android para tomar una decisión de permiso o bloqueo. Como resultado, si un usuario tiene un solo dispositivo Android, los permisos y bloqueos funcionan normalmente. Si el usuario tiene varios dispositivos Android, todos los dispositivos se permiten porque los dispositivos Android no se pueden diferenciar. Puedes configurar el gateway para bloquear estáticamente estos dispositivos por ActiveSyncID, si se conocen. También puedes configurar el gateway para bloquear basándose en el tipo de dispositivo o el agente de usuario.

Para especificar el modo de política, en la utilidad de configuración del controlador SMG, haz lo siguiente:

  1. Haz clic en la ficha Filtros de ruta y, a continuación, haz clic en Agregar.
  2. En el cuadro de diálogo Propiedades de ruta, selecciona un modo de política de la lista Política y, a continuación, haz clic en Guardar.

Puedes revisar las reglas en la ficha Directivas de la utilidad de configuración. Las reglas se procesan en el conector de Citrix Gateway para Exchange ActiveSync de arriba abajo. Las directivas de permiso se muestran con una marca de verificación verde. Las directivas de denegación se muestran como un círculo rojo con una línea que lo atraviesa. Para actualizar la pantalla y ver las reglas más recientes, haz clic en Actualizar. También puedes modificar el orden de las reglas en el archivo config.xml.

Para probar las reglas, haz clic en la ficha Simulador. Especifica los valores en los campos. Estos también se pueden obtener de los registros. Aparece un mensaje de resultado que especifica Permitir o Bloquear.

Para configurar reglas estáticas

Introduce reglas estáticas con valores que lee el filtrado ISAPI de las solicitudes HTTP de conexión de ActiveSync. Las reglas estáticas permiten al conector de Citrix Gateway para Exchange ActiveSync permitir o bloquear el tráfico según los siguientes criterios:

  • Usuario: El conector de Citrix Gateway para Exchange ActiveSync usa el valor de usuario autorizado y la estructura de nombres que se capturó durante la inscripción del dispositivo. Esto se encuentra comúnmente como dominio\nombredeusuario, tal como lo referencia el servidor que ejecuta XenMobile conectado a Active Directory a través de LDAP. La ficha Registro dentro de la utilidad de configuración del conector muestra los valores que se pasan a través del conector. Los valores se pasan si la estructura de valores debe determinarse o es diferente.
  • ID de dispositivo (ActiveSyncID): También conocido como el ActiveSyncID del dispositivo conectado. Este valor se encuentra comúnmente en la página de propiedades específicas del dispositivo en la consola de XenMobile. Este valor también se puede filtrar desde la ficha Registro en la utilidad de configuración del conector.
  • Tipo de dispositivo: El conector puede determinar si un dispositivo es un iPhone, un iPad u otro tipo de dispositivo y puede permitir o bloquear según ese criterio. Al igual que con otros valores, la utilidad de configuración del conector puede revelar todos los tipos de dispositivos conectados que se procesan para la conexión de ActiveSync.
  • UserAgent: Contiene información sobre el cliente de ActiveSync que se usa. Por lo general, el valor especificado corresponde a una compilación y versión específicas del sistema operativo para la plataforma de dispositivos móviles.

La utilidad de configuración del conector que se ejecuta en el servidor siempre administra las reglas estáticas.

  1. En la utilidad de configuración del controlador SMG, haz clic en la ficha Reglas estáticas y, a continuación, haz clic en Agregar.
  2. En el cuadro de diálogo Propiedades de regla estática, especifica los valores que quieres usar como criterios. Por ejemplo, puedes introducir un usuario para permitir el acceso introduciendo el nombre de usuario (por ejemplo, UsuarioPermitido) y, a continuación, desmarcando la casilla de verificación Deshabilitado.

  3. Haz clic en Guardar.

    La regla estática ya está en vigor. Además, puedes usar expresiones regulares para definir valores, pero debes habilitar el modo de procesamiento de reglas en el archivo config.xml.

Para configurar reglas dinámicas

Las directivas y propiedades de los dispositivos en XenMobile definen reglas dinámicas y pueden activar un conector dinámico de Citrix Gateway para el filtro de Exchange ActiveSync. Los desencadenantes se basan en la presencia de una infracción de directiva o una configuración de propiedad. Los filtros del conector funcionan analizando un dispositivo en busca de una infracción de directiva o una configuración de propiedad determinada. Si el dispositivo cumple los criterios, se coloca en una Lista de dispositivos. Esta Lista de dispositivos no es una lista de permitidos ni una lista de bloqueados. Es una lista de dispositivos que cumplen los criterios definidos. Las siguientes opciones de configuración te permiten definir si quieres permitir o denegar los dispositivos de la Lista de dispositivos usando el conector.

Nota:

Debes usar la consola de XenMobile para configurar reglas dinámicas.

  1. En la consola de XenMobile, haz clic en el icono de engranaje en la esquina superior derecha. Aparece la página Configuración.

  2. En Servidor, haz clic en ActiveSync Gateway. Aparece la página ActiveSync Gateway.

  3. En Activar las siguientes reglas, selecciona una o más reglas que quieras activar.

  4. Solo en Android, en Enviar usuarios de dominio de Android a ActiveSync Gateway, haz clic en para asegurarte de que XenMobile envíe información del dispositivo Android a Secure Mobile Gateway.

    Cuando esta opción está habilitada, XenMobile envía información del dispositivo Android al conector de Citrix Gateway para Exchange ActiveSync cuando XenMobile no tiene el identificador de ActiveSync para el usuario del dispositivo Android.

Para configurar directivas personalizadas editando el archivo XML del conector de Citrix Gateway para Exchange ActiveSync

Puedes ver las directivas básicas en la configuración predeterminada en la ficha Directivas de la utilidad de configuración del conector de Citrix Gateway para Exchange ActiveSync. Si quieres crear directivas personalizadas, puedes modificar el archivo de configuración XML del conector (config\config.xml).

  1. Busca la sección PolicyList en el archivo y, a continuación, agrega un nuevo elemento Policy.
  2. Si también se requiere un nuevo grupo, como otro grupo estático o un grupo para admitir otro GCP, agrega el nuevo elemento Group a la sección GroupList.
  3. Opcionalmente, puedes cambiar el orden de los grupos dentro de una directiva existente reorganizando los elementos GroupRef.

Configuración del archivo XML del conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync usa un archivo de configuración XML para dictar las acciones del conector. Entre otras entradas, el archivo especifica los archivos de grupo y las acciones asociadas que el filtro realiza al evaluar las solicitudes HTTP. De forma predeterminada, el archivo se llama config.xml y se puede encontrar en la siguiente ubicación: ..\Program Files\Citrix\XenMobile Citrix ADC Connector\config\.

Nodos GroupRef

Los nodos GroupRef definen los nombres de grupo lógicos. Los valores predeterminados son AllowGroup y DenyGroup.

Nota:

El orden de los nodos GroupRef tal como aparecen en el nodo GroupRefList es significativo.

El valor de ID de un nodo GroupRef identifica un contenedor lógico o una colección de miembros que se usan para hacer coincidir cuentas de usuario o dispositivos específicos. Los atributos de acción especifican cómo trata el filtro a un miembro que coincide con una regla de la colección. Por ejemplo, una cuenta de usuario o un dispositivo que coincide con una regla del conjunto AllowGroup “pasará”. Pasar significa que se le permitirá acceder al CAS de Exchange. Una cuenta de usuario o un dispositivo que coincide con una regla del conjunto DenyGroup se “rechazará”. Rechazado significa que no se le permitirá acceder al CAS de Exchange.

Cuando una cuenta de usuario/dispositivo o una combinación particular cumple las reglas de ambos grupos, se usa una convención de precedencia para dirigir el resultado de la solicitud. La precedencia se incorpora en el orden de los nodos GroupRef en el archivo config.xml de arriba abajo. Los nodos GroupRef se clasifican por orden de prioridad. Las reglas para una condición determinada en el grupo de permiso siempre tendrán precedencia sobre las reglas para la misma condición en el grupo de denegación.

Nodos de grupo

Además, el archivo config.xml define nodos de grupo. Estos nodos vinculan los contenedores lógicos AllowGroup y DenyGroup a archivos XML externos. Las entradas almacenadas en los archivos externos forman la base de las reglas de filtro.

Nota:

En esta versión, solo se admiten archivos XML externos.

La instalación predeterminada implementa dos archivos XML en la configuración: allow.xml y deny.xml.

Configuración del conector de Citrix Gateway para Exchange ActiveSync

Puedes configurar el conector de Citrix Gateway para Exchange ActiveSync para bloquear o permitir selectivamente las solicitudes de ActiveSync según las siguientes propiedades: ID de servicio de ActiveSync, Tipo de dispositivo, User Agent (sistema operativo del dispositivo), Usuario autorizado y Comando de ActiveSync.

La configuración predeterminada admite una combinación de grupos estáticos y dinámicos. Mantienes los grupos estáticos usando la utilidad de configuración del controlador SMG. Los grupos estáticos pueden consistir en categorías conocidas de dispositivos, como todos los dispositivos que usan un agente de usuario determinado.

Una fuente externa llamada Proveedor de configuración de Gateway mantiene los grupos dinámicos. El conector de Citrix Gateway para Exchange ActiveSync conecta los grupos periódicamente. XenMobile puede exportar grupos de dispositivos y usuarios permitidos y bloqueados al conector.

Los grupos dinámicos son mantenidos por una fuente externa llamada Proveedor de configuración de Gateway y recopilados por el conector de Citrix Gateway para Exchange ActiveSync periódicamente. XenMobile puede exportar grupos de dispositivos y usuarios permitidos y bloqueados al conector.

Una directiva es una lista ordenada de grupos en la que cada grupo tiene una acción asociada (permitir o bloquear) y una lista de miembros del grupo. Una directiva puede tener cualquier número de grupos. El orden de los grupos dentro de una directiva es importante porque cuando se encuentra una coincidencia, se realiza la acción del grupo y los grupos posteriores no se evalúan.

Un miembro define una forma de hacer coincidir las propiedades de una solicitud. Puede hacer coincidir una sola propiedad, como el ID del dispositivo, o varias propiedades, como el tipo de dispositivo y el agente de usuario.

Elección de un modelo de seguridad para el conector de Citrix Gateway para Exchange ActiveSync

Establecer un modelo de seguridad es esencial para una implementación exitosa de dispositivos móviles en organizaciones de cualquier tamaño. Es común usar el control de red protegido o en cuarentena para permitir el acceso a un usuario, equipo o dispositivo de forma predeterminada. Esta práctica no siempre es ideal. Cada organización que administra la seguridad de TI puede tener un enfoque ligeramente diferente o personalizado para la seguridad de los dispositivos móviles.

La misma lógica se aplica a la seguridad de los dispositivos móviles. Usar un modelo permisivo es una opción débil debido a la multitud de dispositivos y tipos de dispositivos móviles, dispositivos móviles por usuario y plataformas y aplicaciones de sistemas operativos disponibles. En la mayoría de las organizaciones, el modelo restrictivo es la opción más lógica.

Los escenarios de configuración que Citrix permite para integrar el conector de Citrix Gateway para Exchange ActiveSync con XenMobile son los siguientes:

Modelo permisivo (modo de permiso)

El modelo de seguridad permisivo opera bajo la premisa de que todo está permitido o se le concede acceso de forma predeterminada. Solo a través de reglas y filtrado se bloquea algo y se aplica una restricción. El modelo de seguridad permisivo es bueno para organizaciones que tienen una preocupación de seguridad relativamente laxa con respecto a los dispositivos móviles. El modelo solo aplica controles restrictivos para denegar el acceso cuando es apropiado (cuando falla una regla de directiva).

Modelo restrictivo (modo de bloqueo)

El modelo de seguridad restrictivo se basa en la premisa de que nada está permitido ni se le concede acceso de forma predeterminada. Todo lo que pasa por el punto de control de seguridad se filtra e inspecciona, y se le deniega el acceso a menos que se cumplan las reglas que lo permiten. El modelo de seguridad restrictivo es adecuado para organizaciones que tienen un criterio de seguridad relativamente estricto con respecto a los dispositivos móviles. Este modo solo concede acceso para el uso y la funcionalidad con los servicios de red cuando se han cumplido todas las reglas para permitir el acceso.

Administrar el conector de Citrix Gateway para Exchange ActiveSync

Puedes usar el conector de Citrix Gateway para Exchange ActiveSync para crear reglas de control de acceso. Las reglas permiten o bloquean el acceso a las solicitudes de conexión de ActiveSync desde dispositivos administrados. El acceso se basa en el estado del dispositivo, las listas de aplicaciones permitidas o bloqueadas y otras condiciones de cumplimiento.

Al usar la utilidad de configuración del conector de Citrix Gateway para Exchange ActiveSync, puedes crear reglas dinámicas y estáticas que aplican las directivas de correo electrónico corporativas, lo que te permite bloquear a los usuarios que incumplen los estándares de cumplimiento. También puedes configurar el cifrado de archivos adjuntos de correo electrónico, de modo que todos los archivos adjuntos que pasan por tu servidor Exchange a los dispositivos administrados se cifran y solo pueden ser vistos en dispositivos administrados por usuarios autorizados.

Para desinstalar el conector de Citrix Gateway para Exchange ActiveSync

  1. Ejecuta XncInstaller.exe con una cuenta de administrador.
  2. Sigue las instrucciones en pantalla para completar la desinstalación.

Para instalar, actualizar o desinstalar el conector de Citrix Gateway para Exchange ActiveSync

  1. Ejecuta XncInstaller.exe con una cuenta de administrador para instalar el conector o permitir la actualización o eliminación de un conector existente.
  2. Sigue las instrucciones en pantalla para completar la instalación, actualización o desinstalación.

Después de instalar el conector, debes reiniciar manualmente el servicio de configuración de XenMobile y el servicio de notificaciones.

Instalar el conector de Citrix Gateway para Exchange ActiveSync

Instalas el conector de Citrix Gateway para Exchange ActiveSync en su propio servidor Windows.

La carga de CPU que el conector impone a un servidor depende de la cantidad de dispositivos administrados. Para un gran número de dispositivos (más de 50 000), es posible que necesites aprovisionar más de un núcleo si no tienes un entorno en clúster. El consumo de memoria del conector no es lo suficientemente significativo como para justificar más memoria.

Requisitos del sistema del conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync se comunica con Citrix ADC a través de un puente SSL configurado en el dispositivo Citrix ADC. El puente permite que el dispositivo conecte todo el tráfico seguro directamente a XenMobile. El conector requiere la siguiente configuración mínima del sistema:

Componente Requisito

El equipo host para el conector de Citrix Gateway para Exchange ActiveSync requiere el siguiente espacio mínimo disponible en disco duro:

  • Aplicación: 10–15 MB (100 MB recomendados)
  • Registro: 1 GB (20 GB recomendados)

Para obtener información sobre la compatibilidad de plataformas para el conector de Citrix Gateway para Exchange ActiveSync, consulta Sistemas operativos de dispositivos compatibles.

Clientes de correo electrónico de dispositivos

No todos los clientes de correo electrónico devuelven de forma consistente el mismo ID de ActiveSync para un dispositivo. Dado que el conector de Citrix Gateway para Exchange ActiveSync espera un ID de ActiveSync único para cada dispositivo, lo siguiente es cierto: Solo se admiten los clientes de correo electrónico que generan de forma consistente los mismos ID de ActiveSync únicos para cada dispositivo. Citrix ha probado estos clientes de correo electrónico y han funcionado sin errores:

  • Cliente de correo electrónico nativo de Samsung
  • Cliente de correo electrónico nativo de iOS

Implementar el conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync te permite usar Citrix ADC para actuar como proxy y equilibrar la carga de la comunicación del servidor XenMobile con los dispositivos administrados por XenMobile. El conector se comunica periódicamente con XenMobile para sincronizar las directivas. El conector y XenMobile se pueden agrupar en clúster o de forma independiente, y Citrix ADC puede equilibrar su carga.

Componentes del conector de Citrix Gateway para Exchange ActiveSync

  • Servicio del conector de Citrix Gateway para Exchange ActiveSync: Este servicio proporciona una interfaz de servicio web REST que Citrix ADC puede invocar para determinar si una solicitud de ActiveSync de un dispositivo está autorizada.
  • Servicio de configuración de XenMobile: Este servicio se comunica con XenMobile para sincronizar los cambios de directivas de XenMobile con el conector.
  • Servicio de notificaciones de XenMobile: Este servicio envía notificaciones de acceso no autorizado a dispositivos a XenMobile. De esta manera, XenMobile puede tomar las medidas adecuadas, como notificar al usuario por qué se bloqueó el dispositivo.
  • Utilidad de configuración del conector de Citrix Gateway para Exchange ActiveSync: Esta aplicación permite al administrador configurar y supervisar el conector.

Para configurar las direcciones de escucha del conector de Citrix Gateway para Exchange ActiveSync

Para que el conector de Citrix Gateway para Exchange ActiveSync reciba solicitudes de Citrix ADC para autorizar el tráfico de ActiveSync, haz lo siguiente. Especifica el puerto en el que el conector escucha las llamadas al servicio web de Citrix ADC.

  1. En el menú Inicio, selecciona la utilidad de configuración del conector de Citrix Gateway para Exchange ActiveSync.
  2. Haz clic en la ficha Servicio web y, a continuación, escribe las direcciones de escucha para el servicio web del conector. Puedes seleccionar HTTP o HTTPS o ambos. Si el conector reside en el mismo servidor que XenMobile (instalado en el mismo servidor), selecciona valores de puerto que no entren en conflicto con XenMobile.
  3. Después de configurar los valores, haz clic en Guardar y, a continuación, haz clic en Iniciar servicio para iniciar el servicio web.

Para configurar las directivas de control de acceso de dispositivos en el conector de Citrix Gateway para Exchange ActiveSync

Para configurar la directiva de control de acceso que quieres aplicar a tus dispositivos administrados, haz lo siguiente:

  1. En la utilidad de configuración del conector de Citrix Gateway para Exchange ActiveSync, haz clic en la ficha Filtros de ruta.
  2. Selecciona la primera fila, Microsoft-Server-ActiveSync es para ActiveSync y, a continuación, haz clic en Modificar.
  3. En la lista Directiva, selecciona la directiva deseada. Para una directiva que incluya las directivas de XenMobile, selecciona Estático + ZDM: Modo de permiso o Estático + ZDM: Modo de bloqueo. Estas directivas combinan reglas locales (o estáticas) con las reglas de XenMobile. El modo de permiso significa que todos los dispositivos no identificados explícitamente por las reglas tienen permitido el acceso a ActiveSync. El modo de bloqueo significa que dichos dispositivos están bloqueados.
  4. Después de establecer las directivas, haz clic en Guardar.

Para configurar la comunicación con XenMobile

Especifica el nombre y las propiedades del servidor XenMobile (también conocido como proveedor de configuración) que quieres usar con el conector de Citrix Gateway para Exchange ActiveSync y Citrix ADC.

Nota:

Esta tarea asume que ya has instalado y configurado XenMobile.

  1. En la utilidad de configuración del conector de Citrix Gateway para Exchange ActiveSync, haz clic en la ficha Proveedores de configuración y, a continuación, haz clic en Agregar.
  2. Introduce el nombre y la URL del servidor XenMobile que estás usando en esta implementación. Si tienes varios servidores XenMobile implementados en una implementación multiinquilino, este nombre debe ser único para cada instancia de servidor. Por ejemplo, en Nombre, puedes escribir XMS.
  3. En URL, introduce la dirección web del proveedor de configuración global (GCP) de XenMobile, normalmente en el formato https://<FQDN>/<instanceName>/services/<MagConfigService>. El nombre MagConfigService distingue entre mayúsculas y minúsculas.
  4. En Contraseña, introduce la contraseña que se usa para la autorización HTTP básica con el servidor web de XenMobile.
  5. En Host de administración, introduce el nombre del servidor donde instalaste el conector de Citrix Gateway para Exchange ActiveSync.
  6. En Intervalo de referencia, especifica un período de tiempo para cuando se extrae un nuevo conjunto de reglas dinámicas actualizado de XenMobile.
  7. En Tiempo de espera de solicitud, especifica el intervalo de tiempo de espera de la solicitud del servidor.
  8. En Proveedor de configuración, selecciona si la instancia del servidor del proveedor de configuración está proporcionando la configuración de la directiva.
  9. En Eventos habilitados, habilita esta opción si quieres que Secure Mobile Gateway notifique a XenMobile cuando se bloquea un dispositivo. Esta opción es necesaria si estás usando reglas de Secure Mobile Gateway en cualquiera de tus acciones automatizadas de Device Manager.
  10. Después de configurar el servidor, haz clic en Probar conectividad para probar la conexión con XenMobile.
  11. Cuando se haya establecido la conectividad, haz clic en Guardar.

Implementar el conector de Citrix Gateway para Exchange ActiveSync para redundancia y escalabilidad

Si quieres escalar tu implementación del conector de Citrix Gateway para Exchange ActiveSync y XenMobile, puedes instalar instancias del conector en varios servidores Windows, todos apuntando a la misma instancia de XenMobile, y luego puedes usar Citrix ADC para equilibrar la carga de los servidores.

Hay dos modos para la configuración del conector de Citrix Gateway para Exchange ActiveSync:

  • En modo no compartido, cada instancia del conector de Citrix Gateway para Exchange ActiveSync se comunica con un servidor XenMobile y mantiene su propia copia privada de la directiva resultante. Por ejemplo, si tuvieras un clúster de servidores XenMobile, puedes ejecutar una instancia del conector en cada servidor XenMobile y el conector obtendría las directivas de la instancia local de XenMobile.
  • En modo compartido, se elige un nodo del conector como nodo principal y este se comunica con XenMobile. La configuración resultante se comparte entre los otros nodos mediante un recurso compartido de red de Windows o mediante la replicación de Windows (o de terceros).

Toda la configuración del conector se encuentra en una única carpeta (que consta de unos pocos archivos XML). El proceso del conector detecta cambios en cualquier archivo de esta carpeta y recarga automáticamente la configuración. No hay conmutación por error para el nodo principal en modo compartido. Pero el sistema puede tolerar que el servidor principal esté inactivo durante unos minutos (por ejemplo, para reiniciar) porque la última configuración buena conocida se almacena en caché en el proceso del conector.

Conector de Citrix Gateway™ para Exchange ActiveSync
April 16, 2026
Contribución de: 
C
April 16, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.