Documentation produit
Citrix Endpoint Management™
Voir PDF

Connecteur NetScaler Gateway pour Exchange ActiveSync

April 20, 2026
Contributeur: 
C C

Le connecteur XenMobile NetScaler est désormais le connecteur NetScaler Gateway pour Exchange ActiveSync. Pour plus de détails sur le portefeuille unifié Citrix, consultez le guide des produits Citrix.

  • Le connecteur pour Exchange ActiveSync fournit un service d’autorisation au niveau de l’appareil pour les clients ActiveSync vers NetScaler Gateway, agissant comme un proxy inverse pour le protocole Exchange ActiveSync. Vous contrôlez l’autorisation via une combinaison de :

  • Stratégies que vous définissez dans Citrix Endpoint Management
  • Règles définies localement par le connecteur NetScaler Gateway pour Exchange ActiveSync

Pour plus d’informations, consultez Passerelle ActiveSync.

Pour un diagramme d’architecture de référence détaillé, consultez Architecture.

La version actuelle du connecteur NetScaler Gateway pour Exchange ActiveSync est la version 8.5.3.

Pour télécharger le connecteur :

    1. Accédez à https://www.citrix.com/downloads.
    1. Accédez à Citrix Endpoint Management (et Citrix XenMobile Server) > XenMobile Server (sur site) > Logiciels de produit > XenMobile Server 10 > Composants serveur.
  1. Sur la vignette NetScaler Gateway Connector, cliquez sur Télécharger le fichier.

Pour installer le connecteur, consultez Installation du connecteur NetScaler Gateway pour Exchange ActiveSync).

Important :

À compter d’octobre 2022, les connecteurs Citrix Endpoint Management et NetScaler Gateway pour Exchange ActiveSync ne prendront plus en charge Exchange Online en raison des modifications d’authentification annoncées par Microsoft ici. Le connecteur Citrix Endpoint Management pour Exchange continue de fonctionner avec Microsoft Exchange Server (sur site).

Nouveautés de la version 8.5.3

  • Cette version ajoute la prise en charge des protocoles ActiveSync 16.0 et 16.1.
  • Plus de détails ont été ajoutés aux analyses envoyées à Google Analytics, notamment concernant les instantanés. [CXM-52261]

Nouveautés des versions antérieures

Remarque :

La section Nouveautés suivante fait référence au connecteur NetScaler Gateway pour Exchange ActiveSync sous son ancien nom, XenMobile NetScaler Connector. Le nom a changé à partir de la version 8.5.2.

Nouveautés de la version 8.5.2

  • Le connecteur XenMobile NetScaler est désormais le connecteur NetScaler Gateway pour Exchange ActiveSync.

  • Les problèmes suivants sont résolus dans cette version :

  • Si plusieurs critères sont utilisés pour définir une règle de stratégie et si un critère implique l’ID utilisateur, le problème suivant peut se produire : Si un utilisateur a plusieurs alias, les alias ne sont pas non plus vérifiés lors de l’application de la règle. [CXM-55355]

  • Nouveautés de la version 8.5.1.11

  • Modification des exigences système : La version actuelle de NetScaler Connector nécessite Microsoft .NET Framework 4.5.

  • Prise en charge de Google Analytics : Nous souhaitons savoir comment vous utilisez le connecteur afin de nous concentrer sur les améliorations possibles du produit.

  • Prise en charge de TLS 1.1 et 1.2 : En raison de l’affaiblissement de sa sécurité, le Conseil PCI déprécie TLS 1.0 et TLS 1.1. La prise en charge de TLS 1.2 est ajoutée au connecteur XenMobile NetScaler.

Surveillance du connecteur NetScaler Gateway pour Exchange ActiveSync

Le connecteur NetScaler Gateway pour l’utilitaire de configuration Exchange ActiveSync fournit une journalisation détaillée. Utilisez les journaux pour afficher tout le trafic transitant par votre serveur Exchange que la passerelle mobile sécurisée autorise ou bloque.

Utilisez l’onglet Journal pour afficher l’historique des requêtes ActiveSync transmises au connecteur pour Exchange ActiveSync à des fins d’autorisation.

De plus, pour vous assurer que le service web du connecteur pour Exchange ActiveSync est en cours d’exécution, chargez l’URL suivante dans un navigateur sur le serveur du connecteur https://<host:port>/services/ActiveSync/Version. Si l’URL renvoie la version du produit sous forme de chaîne, le service web est réactif.

Pour simuler le trafic ActiveSync avec le connecteur pour Exchange ActiveSync

Vous pouvez utiliser le connecteur NetScaler Gateway pour Exchange ActiveSync afin de simuler le trafic ActiveSync avec vos stratégies. Dans l’utilitaire de configuration du connecteur, cliquez sur l’onglet Simulateur. Les résultats montrent comment vos stratégies s’appliquent en fonction des règles que vous avez configurées.

Choix des filtres pour le connecteur pour Exchange ActiveSync

Les filtres du connecteur NetScaler Gateway pour Exchange ActiveSync fonctionnent en analysant un appareil pour une violation de stratégie ou un paramètre de propriété donné. Si l’appareil répond aux critères, il est placé dans une liste d’appareils. Cette liste d’appareils n’est ni une liste d’autorisation ni une liste de blocage. C’est une liste d’appareils qui répondent aux critères définis. Les filtres suivants sont disponibles pour le connecteur pour Exchange ActiveSync au sein de Citrix Endpoint Management. Les deux options pour chaque filtre sont Autoriser ou Refuser.

  • Appareils anonymes : Autorise ou refuse les appareils inscrits dans Citrix Endpoint Management mais dont l’identité de l’utilisateur est inconnue. Par exemple, un utilisateur inscrit a une identité inconnue si l’utilisateur a un mot de passe Active Directory expiré ou des informations d’identification inconnues.
  • Applications interdites : Autorise ou refuse les appareils en fonction de la liste d’appareils définie par des listes de blocage dans les stratégies et la présence d’applications sur une liste de blocage.
    • Autorisation/Refus implicite : Crée une liste d’appareils de tous les appareils qui ne répondent à aucun des autres critères de règle de filtre et autorise ou refuse en fonction de cette liste. L’option Autorisation/Refus implicite garantit que l’état du connecteur pour Exchange ActiveSync dans l’onglet Appareils est activé et affiche l’état du connecteur pour vos appareils. L’option Autorisation/Refus implicite contrôle également tous les autres filtres de connecteur qui ne sont pas sélectionnés. Par exemple, le connecteur refuse les applications sur la liste de blocage. Cependant, le connecteur autorise tous les autres filtres car l’option Autorisation/Refus implicite est définie sur Autoriser.
    • Appareils inactifs : Crée une liste d’appareils qui n’ont pas communiqué avec Citrix Endpoint Management dans un délai spécifié. Ces appareils sont considérés comme inactifs. Le filtre autorise ou refuse les appareils en conséquence.
  • Applications requises manquantes : Lorsqu’un utilisateur s’inscrit, il reçoit une liste d’applications requises qui doivent être installées. Le filtre des applications requises manquantes indique qu’une ou plusieurs des applications ne sont plus présentes ; par exemple, l’utilisateur a supprimé une ou plusieurs applications.
  • Applications non suggérées : Lorsqu’un utilisateur s’inscrit, il reçoit une liste des applications à installer. Le filtre des applications non suggérées vérifie l’appareil pour les applications qui ne figurent pas dans cette liste.
  • Mot de passe non conforme : Crée une liste d’appareils de tous les appareils qui n’ont pas de code d’accès sur l’appareil.
  • Appareils non conformes : Vous permet de refuser ou d’autoriser les appareils qui répondent à vos propres critères de conformité informatique internes. La conformité est un paramètre arbitraire défini par la propriété d’appareil nommée Hors conformité, qui est un indicateur booléen pouvant être Vrai ou Faux. (Vous pouvez créer cette propriété manuellement et définir la valeur. Ou vous pouvez utiliser des actions automatisées pour créer cette propriété sur un appareil, en fonction de si l’appareil répond à des critères spécifiques.)
    • Hors conformité = Vrai : Si un appareil ne répond pas aux normes de conformité et aux définitions de stratégie établies par votre service informatique, l’appareil est hors conformité.
    • Hors conformité = Faux : Si un appareil répond aux normes de conformité et aux définitions de stratégie établies par votre service informatique, l’appareil est conforme.
  • Statut révoqué : Crée une liste d’appareils de tous les appareils révoqués et autorise ou refuse en fonction du statut révoqué.
  • Appareils Android rootés/iOS jailbreakés : Crée une liste d’appareils de tous les appareils signalés comme rootés et autorise ou refuse en fonction du statut rooté.

  • Appareils non gérés : Crée une liste d’appareils de tous les appareils dans la base de données Citrix Endpoint Management. Déployez la passerelle d’application mobile en mode Blocage.

  • Pour configurer une connexion au connecteur NetScaler Gateway pour Exchange ActiveSync

Le connecteur NetScaler Gateway pour Exchange ActiveSync communique avec Citrix Endpoint Management et d’autres fournisseurs de configuration à distance via les services web sécurisés de Citrix.

  1. Dans l’utilitaire de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Fournisseurs de configuration, puis sur Ajouter.
  2. Dans la boîte de dialogue Fournisseurs de configuration, dans Nom, entrez un nom d’utilisateur disposant de privilèges administratifs et utilisé pour l’autorisation HTTP de base avec le serveur Citrix Endpoint Management.
  3. Dans URL, entrez l’adresse web du GCS Citrix Endpoint Management, généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Mot de passe, entrez le mot de passe à utiliser pour l’autorisation HTTP de base avec le serveur Citrix Endpoint Management.
  5. Dans Hôte de gestion, entrez le nom du serveur du connecteur pour Exchange ActiveSync.
    1. Dans Intervalle de base, spécifiez une période pour l’extraction d’un nouvel ensemble de règles dynamiques actualisé depuis Citrix Endpoint Management.
    1. Dans Intervalle delta, spécifiez une période pour l’extraction d’une mise à jour des règles dynamiques.
    1. Dans Délai d’expiration de la requête, spécifiez l’intervalle de délai d’expiration de la requête du serveur.
    1. Dans Fournisseur de configuration, sélectionnez si l’instance du serveur fournisseur de configuration fournit la configuration de la stratégie.
  1. Dans Événements activés, activez cette option si vous souhaitez que le connecteur pour Exchange ActiveSync notifie Citrix Endpoint Management lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles du connecteur dans l’une de vos actions automatisées Citrix Endpoint Management.
  2. Cliquez sur Enregistrer, puis sur Tester la connectivité pour tester la connectivité de la passerelle au fournisseur de configuration. Si la connexion échoue, vérifiez que les paramètres du pare-feu local autorisent la connexion ou contactez votre administrateur.
  3. Lorsque la connexion réussit, décochez la case Désactivé puis cliquez sur Enregistrer.

Lorsque vous ajoutez un fournisseur de configuration, le connecteur pour Exchange ActiveSync crée automatiquement une ou plusieurs stratégies associées au fournisseur. La définition du modèle contenue dans config\policyTemplates.xml dans la section NewPolicyTemplate définit les stratégies. Pour chaque élément de stratégie défini dans cette section, une nouvelle stratégie est créée.

L’opérateur peut ajouter, supprimer ou modifier des éléments de stratégie si les conditions suivantes sont remplies : L’élément de stratégie est conforme à la définition du schéma et les chaînes de substitution standard (entre accolades) ne sont pas modifiées. Ensuite, ajoutez de nouveaux groupes pour le fournisseur et mettez à jour la stratégie pour inclure les nouveaux groupes.

Pour importer une stratégie depuis Citrix Endpoint Management

  1. Dans le connecteur de l’utilitaire de configuration Exchange ActiveSync, cliquez sur l’onglet Fournisseurs de configuration, puis cliquez sur Ajouter.
  2. Dans la boîte de dialogue Fournisseurs de configuration, dans Nom, entrez un nom d’utilisateur pour l’autorisation HTTP de base avec Citrix Endpoint Management. L’utilisateur doit disposer de privilèges d’administrateur.
  3. Dans URL, entrez l’adresse web du service de configuration de la passerelle Citrix Endpoint Management (GCS), généralement au format https://<xdmHost>/xdm/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Mot de passe, entrez le mot de passe utilisé pour l’autorisation HTTP de base avec le serveur Citrix Endpoint Management.
  5. Cliquez sur Tester la connectivité pour tester la connectivité entre la passerelle et le fournisseur de configuration. Si la connexion échoue, vérifiez que les paramètres de votre pare-feu local autorisent la connexion ou contactez votre administrateur.
  6. Lorsqu’une connexion est établie avec succès, décochez la case Désactivé, puis cliquez sur Enregistrer.

  7. Dans Hôte de gestion, laissez le nom DNS par défaut de l’ordinateur hôte local. Ce paramètre est utilisé pour coordonner la communication avec Citrix Endpoint Management lorsque plusieurs serveurs Forefront Threat Management Gateway (TMG) sont configurés en tableau.

    Après avoir enregistré les paramètres, ouvrez le GCS.

Configuration du connecteur NetScaler Gateway pour le mode de stratégie Exchange ActiveSync

Le connecteur NetScaler Gateway pour Exchange ActiveSync peut fonctionner dans les six modes suivants :

  • Autoriser tout : Ce mode de stratégie accorde l’accès à tout le trafic passant par le connecteur pour Exchange ActiveSync. Aucune autre règle de filtrage n’est utilisée.
  • Refuser tout : Ce mode de stratégie bloque l’accès à tout le trafic passant par le connecteur pour Exchange ActiveSync. Aucune autre règle de filtrage n’est utilisée.
  • Règles statiques : Mode de blocage : Ce mode de stratégie exécute des règles statiques avec une instruction de refus ou de blocage implicite à la fin. Le connecteur pour Exchange ActiveSync bloque les appareils qui ne sont pas autorisés ou permis via d’autres règles de filtrage.
  • Règles statiques : Mode d’autorisation : Ce mode de stratégie exécute des règles statiques avec une instruction d’autorisation implicite à la fin. Les appareils qui ne sont pas bloqués ou refusés via d’autres règles de filtrage sont autorisés via le connecteur pour Exchange ActiveSync.
  • Règles statiques + ZDM : Mode de blocage. Ce mode de stratégie exécute d’abord des règles statiques, suivies de règles dynamiques de Citrix Endpoint Management avec une instruction de refus ou de blocage implicite à la fin. Les appareils sont autorisés ou refusés en fonction des filtres définis et des règles de Citrix Endpoint Management. Tout appareil ne correspondant pas aux filtres et règles définis est bloqué.
  • Règles statiques + ZDM : Mode d’autorisation. Ce mode de stratégie exécute d’abord des règles statiques, suivies de règles dynamiques de Citrix Endpoint Management avec une instruction d’autorisation implicite à la fin. Les appareils sont autorisés ou refusés en fonction des filtres définis et des règles de Citrix Endpoint Management. Tout appareil ne correspondant pas aux filtres et règles définis est autorisé.

Le connecteur pour le processus Exchange ActiveSync autorise ou bloque les règles dynamiques en fonction des ID ActiveSync uniques pour les appareils mobiles iOS et Windows reçus de Citrix Endpoint Management. Les appareils Android diffèrent dans leur comportement selon le fabricant et certains n’exposent pas facilement un ID ActiveSync unique. Pour compenser, Citrix Endpoint Management envoie des informations d’ID utilisateur pour les appareils Android afin de prendre une décision d’autorisation ou de blocage. Par conséquent, si un utilisateur ne possède qu’un seul appareil Android, les autorisations et les blocages fonctionnent normalement. Si l’utilisateur possède plusieurs appareils Android, tous les appareils sont autorisés car les appareils Android ne peuvent pas être différenciés. Vous pouvez configurer la passerelle pour bloquer statiquement ces appareils par ActiveSyncID, s’ils sont connus. Vous pouvez également configurer la passerelle pour bloquer en fonction du type d’appareil ou de l’agent utilisateur.

Pour spécifier le mode de stratégie, dans l’utilitaire de configuration du contrôleur SMG, procédez comme suit :

  1. Cliquez sur l’onglet Filtres de chemin, puis cliquez sur Ajouter.
  2. Dans la boîte de dialogue Propriétés du chemin, sélectionnez un mode de stratégie dans la liste Stratégie, puis cliquez sur Enregistrer.

Vous pouvez consulter les règles sous l’onglet Stratégies de l’utilitaire de configuration. Les règles sont traitées sur le connecteur pour Exchange ActiveSync de haut en bas. Les stratégies d’autorisation sont affichées avec une coche verte. Les stratégies de refus sont affichées sous la forme d’un cercle rouge barré. Pour actualiser l’écran et voir les règles les plus récentes, cliquez sur Actualiser. Vous pouvez également modifier l’ordre des règles dans le fichier config.xml.

Pour tester les règles, cliquez sur l’onglet Simulateur. Spécifiez des valeurs dans les champs. Vous pouvez obtenir les valeurs à partir des journaux. Un message de résultat spécifie Autoriser ou Bloquer.

Pour configurer des règles statiques

Entrez des règles statiques avec des valeurs que le filtrage ISAPI des requêtes HTTP de connexion ActiveSync lit. Les règles statiques permettent au connecteur pour Exchange ActiveSync d’autoriser ou de bloquer le trafic selon les critères suivants :

  • Utilisateur : Le connecteur pour Exchange ActiveSync utilise la valeur d’utilisateur autorisé et la structure de nom qui ont été capturées lors de l’inscription de l’appareil. Cette structure est généralement trouvée sous la forme domaine\nom_utilisateur telle que référencée par le serveur exécutant Citrix Endpoint Management connecté à l’Active Directory via LDAP. L’onglet Journal de l’utilitaire de configuration du connecteur affiche les valeurs qui passent par le connecteur. Les valeurs sont transmises si le connecteur doit déterminer la structure de la valeur ou si la structure diffère.
  • ID d’appareil (ActiveSyncID) : Également connu sous le nom d’ActiveSyncID de l’appareil connecté. Cette valeur se trouve généralement dans la page des propriétés spécifiques de l’appareil dans la console Citrix Endpoint Management. Cette valeur peut également être extraite de l’onglet Journal dans le connecteur de l’utilitaire de configuration Exchange ActiveSync.
  • Type d’appareil : Le connecteur pour Exchange ActiveSync peut déterminer si un appareil est un iPhone, un iPad ou un autre type d’appareil et peut autoriser ou bloquer en fonction de ce critère. Comme pour d’autres valeurs, l’utilitaire de configuration du connecteur peut révéler tous les types d’appareils connectés traités pour la connexion ActiveSync.
  • Agent utilisateur : Contient des informations sur le client ActiveSync utilisé. Généralement, la valeur spécifiée correspond à une version et une build spécifiques du système d’exploitation pour la plateforme d’appareil mobile.

Le connecteur pour l’utilitaire de configuration Exchange ActiveSync exécuté sur le serveur gère toujours les règles statiques.

  1. Dans l’utilitaire de configuration du contrôleur SMG, cliquez sur l’onglet Règles statiques, puis cliquez sur Ajouter.
  2. Dans la boîte de dialogue Propriétés de la règle statique, spécifiez les valeurs que vous souhaitez utiliser comme critères. Par exemple, vous pouvez entrer un utilisateur pour autoriser l’accès en saisissant le nom d’utilisateur (par exemple, UtilisateurAutorisé) puis en décochant la case Désactivé.

  3. Cliquez sur Enregistrer.

    La règle statique est maintenant en vigueur. De plus, vous pouvez utiliser des expressions régulières pour définir des valeurs, mais vous devez activer le mode de traitement des règles dans le fichier config.xml.

Pour configurer des règles dynamiques

Les stratégies et propriétés d’appareil dans Citrix Endpoint Management définissent des règles dynamiques et peuvent déclencher un connecteur dynamique pour le filtre Exchange ActiveSync. Les déclencheurs sont basés sur la présence d’une violation de stratégie ou d’un paramètre de propriété. Les filtres du connecteur pour Exchange ActiveSync fonctionnent en analysant un appareil pour une violation de stratégie ou un paramètre de propriété donné. Si l’appareil répond aux critères, il est placé dans une liste d’appareils. Cette liste d’appareils n’est pas une liste d’autorisation ou une liste de blocage. C’est une liste d’appareils qui répondent aux critères définis. Les options de configuration suivantes vous permettent de définir si vous souhaitez autoriser ou refuser les appareils de la liste d’appareils à l’aide du connecteur pour Exchange ActiveSync.

  • Remarque :

  • Utilisez la console Citrix Endpoint Management pour configurer des règles dynamiques.

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur Passerelle ActiveSync. La page Passerelle ActiveSync s’affiche.

  3. Dans Activer les règles suivantes, sélectionnez une ou plusieurs règles que vous souhaitez activer.

  4. Pour Android uniquement, dans Envoyer les utilisateurs de domaine Android à la passerelle ActiveSync, cliquez sur OUI pour vous assurer que Citrix Endpoint Management envoie les informations de l’appareil Android à la passerelle mobile sécurisée.

    Lorsque cette option est activée, Citrix Endpoint Management envoie les informations de l’appareil Android au connecteur si Citrix Endpoint Management ne dispose pas de l’identifiant ActiveSync pour l’utilisateur de l’appareil.

Pour configurer des stratégies personnalisées en modifiant le fichier XML du connecteur pour Exchange ActiveSync

Vous pouvez afficher les stratégies de base dans la configuration par défaut sous l’onglet Stratégies de l’utilitaire de configuration du connecteur pour Exchange ActiveSync. Si vous souhaitez créer des stratégies personnalisées, vous pouvez modifier le fichier de configuration XML du connecteur NetScaler Gateway pour Exchange ActiveSync (config\config.xml).

    1. Recherchez la section PolicyList dans le fichier, puis ajoutez un nouvel élément Policy.
  1. Si un nouveau groupe est également requis, tel qu’un autre groupe statique ou un groupe pour prendre en charge un autre GCP, ajoutez le nouvel élément Group à la section GroupList.
  2. Vous pouvez éventuellement modifier l’ordre des groupes au sein d’une stratégie existante en réorganisant les éléments GroupRef.

  • Configuration du fichier XML du connecteur pour Exchange ActiveSync

Le connecteur pour Exchange ActiveSync utilise un fichier de configuration XML pour dicter les actions du connecteur. Entre autres entrées, le fichier spécifie les fichiers de groupe et les actions associées que le filtre entreprend lors de l’évaluation des requêtes HTTP. Par défaut, le fichier est nommé config.xml et se trouve à l’emplacement suivant : ..\Program Files\Citrix\XenMobile NetScaler Connector\config.

Nœuds GroupRef

  • Les nœuds GroupRef définissent les noms de groupes logiques. Les valeurs par défaut sont AllowGroup et DenyGroup.

  • Remarque :

    L’ordre des nœuds GroupRef tel qu’ils apparaissent dans le nœud GroupRefList est important.

La valeur d’ID d’un nœud GroupRef identifie un conteneur logique ou une collection de membres utilisés pour faire correspondre des comptes d’utilisateur ou des appareils spécifiques. Les attributs d’action spécifient comment le filtre traite un membre qui correspond à une règle de la collection. Par exemple, un compte d’utilisateur ou un appareil qui correspond à une règle de l’ensemble AllowGroup « passe ». Passer signifie être autorisé à accéder au CAS Exchange. Un compte d’utilisateur ou un appareil qui correspond à une règle de l’ensemble DenyGroup est « rejeté ». Rejeté signifie ne pas être autorisé à accéder au CAS Exchange.

Lorsqu’un compte d’utilisateur/appareil particulier ou une combinaison répond aux règles des deux groupes, une convention de précédence est utilisée pour déterminer le résultat de la requête. La précédence est incarnée par l’ordre des nœuds GroupRef dans le fichier config.xml, de haut en bas. Les nœuds GroupRef sont classés par ordre de priorité. Les règles pour une condition donnée dans le groupe Autoriser auront toujours la précédence sur les règles pour la même condition dans le groupe Refuser.

Nœuds de groupe

De plus, le fichier config.xml définit des nœuds de groupe. Ces nœuds lient les conteneurs logiques AllowGroup et DenyGroup à des fichiers XML externes. Les entrées stockées dans les fichiers externes constituent la base des règles de filtrage.

Remarque :

Dans cette version, seuls les fichiers XML externes sont pris en charge.

L’installation par défaut implémente deux fichiers XML dans la configuration : allow.xml et deny.xml.

Configuration du connecteur NetScaler Gateway pour Exchange ActiveSync

Vous pouvez configurer le connecteur NetScaler Gateway pour Exchange ActiveSync afin de bloquer ou d’autoriser sélectivement les requêtes ActiveSync en fonction des propriétés suivantes : ID de service ActiveSync, Type d’appareil, Agent utilisateur (système d’exploitation de l’appareil), Utilisateur autorisé et Commande ActiveSync.

La configuration par défaut prend en charge une combinaison de groupes statiques et dynamiques. Vous gérez les groupes statiques à l’aide de l’utilitaire de configuration du contrôleur SMG. Les groupes statiques peuvent être constitués de catégories d’appareils connues, telles que tous les appareils utilisant un agent utilisateur donné.

Une source externe appelée fournisseur de configuration de passerelle (Gateway Configuration Provider) gère les groupes dynamiques. Le connecteur pour Exchange ActiveSync se connecte aux groupes de manière périodique. Citrix Endpoint Management peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers le connecteur pour Exchange ActiveSync.

Une source externe appelée fournisseur de configuration de passerelle (Gateway Configuration Provider) gère les groupes dynamiques. Le connecteur pour Exchange ActiveSync collecte les groupes dynamiques périodiquement. Citrix Endpoint Management peut exporter des groupes d’appareils et d’utilisateurs autorisés et bloqués vers le connecteur.

Une stratégie est une liste ordonnée de groupes dans laquelle chaque groupe a une action associée (autoriser ou bloquer) et une liste de membres du groupe. Une stratégie peut contenir un nombre quelconque de groupes. L’ordre des groupes au sein d’une stratégie est important car lorsqu’une correspondance est trouvée, l’action du groupe est exécutée et les groupes suivants ne sont pas évalués.

Un membre définit un moyen de faire correspondre les propriétés d’une requête. Il peut correspondre à une seule propriété, telle que l’ID d’appareil, ou à plusieurs propriétés, telles que le type d’appareil et l’agent utilisateur.

  • Choix d’un modèle de sécurité pour le connecteur NetScaler Gateway pour Exchange ActiveSync

L’établissement d’un modèle de sécurité est essentiel pour un déploiement réussi d’appareils mobiles pour les organisations de toute taille. Il est courant d’utiliser un contrôle réseau protégé ou mis en quarantaine pour autoriser l’accès à un utilisateur, un ordinateur ou un appareil par défaut. Cette pratique n’est pas toujours idéale. Chaque organisation qui gère la sécurité informatique peut avoir une approche légèrement différente ou personnalisée de la sécurité des appareils mobiles.

La même logique s’applique à la sécurité des appareils mobiles. L’utilisation d’un modèle permissif est un choix faible en raison de la multitude d’appareils et de types d’appareils mobiles, du nombre d’appareils mobiles par utilisateur et des plateformes de systèmes d’exploitation et applications disponibles. Dans la plupart des organisations, le modèle restrictif est le choix le plus logique.

Les scénarios de configuration que Citrix autorise pour l’intégration du connecteur pour Exchange ActiveSync avec Citrix Endpoint Management sont les suivants :

Modèle permissif (mode d’autorisation)

Le modèle de sécurité permissif repose sur le principe que tout est autorisé ou accordé par défaut. Ce n’est que par des règles et un filtrage que quelque chose est bloqué et qu’une restriction est appliquée. Le modèle de sécurité permissif convient aux organisations qui ont une préoccupation de sécurité relativement souple concernant les appareils mobiles. Le modèle n’applique des contrôles restrictifs pour refuser l’accès que lorsque cela est approprié (lorsqu’une règle de stratégie n’est pas respectée).

Modèle restrictif (mode de blocage)

Le modèle de sécurité restrictif repose sur le principe que rien n’est autorisé ou accordé par défaut. Tout ce qui passe par le point de contrôle de sécurité est filtré et inspecté, et l’accès est refusé à moins que les règles autorisant l’accès ne soient respectées. Le modèle de sécurité restrictif convient aux organisations qui ont un critère de sécurité relativement strict concernant les appareils mobiles. Le mode n’accorde l’accès à l’utilisation et aux fonctionnalités des services réseau que lorsque toutes les règles d’autorisation d’accès ont été respectées.

Gestion du connecteur NetScaler Gateway pour Exchange ActiveSync

Vous pouvez utiliser le connecteur NetScaler Gateway pour Exchange ActiveSync afin de créer des règles de contrôle d’accès. Ces règles autorisent ou bloquent l’accès aux requêtes de connexion ActiveSync provenant d’appareils gérés. L’accès est basé sur l’état de l’appareil, les listes d’autorisation ou de blocage d’applications et d’autres conditions de conformité.

En utilisant le connecteur pour l’utilitaire de configuration Exchange ActiveSync, vous pouvez créer des règles dynamiques et statiques qui appliquent les politiques de messagerie d’entreprise. Ces règles et politiques vous permettent de bloquer les utilisateurs qui enfreignent les normes de conformité. Vous pouvez également configurer le chiffrement des pièces jointes, de sorte que toutes les pièces jointes qui transitent par votre serveur Exchange vers les appareils gérés soient chiffrées. Seuls les utilisateurs autorisés disposant d’appareils gérés peuvent consulter les pièces jointes chiffrées.

Pour désinstaller le XNC

  1. Exécutez XncInstaller.exe avec un compte administrateur.
  2. Suivez les instructions à l’écran pour terminer la désinstallation.

Pour installer, mettre à niveau ou désinstaller le connecteur pour Exchange ActiveSync

  1. Exécutez XncInstaller.exe avec un compte administrateur pour installer le connecteur pour Exchange ActiveSync ou pour permettre la mise à niveau ou la suppression d’un connecteur existant.
  2. Suivez les instructions à l’écran pour terminer l’installation, la mise à niveau ou la désinstallation.

Après avoir installé le connecteur pour Exchange ActiveSync, vous devez redémarrer manuellement le service de configuration et le service de notification de Citrix Endpoint Management.

Installation du connecteur NetScaler Gateway pour Exchange ActiveSync

Vous pouvez installer le connecteur pour Exchange ActiveSync sur son propre serveur ou sur le même serveur où vous avez installé Citrix Endpoint Management.

Vous pouvez envisager d’installer le connecteur pour Exchange ActiveSync sur son propre serveur (séparé de Citrix Endpoint Management) pour les raisons suivantes :

  • Si votre serveur Citrix Endpoint Management est hébergé à distance dans le cloud (emplacement physique)
  • Si vous ne souhaitez pas que les redémarrages du serveur Citrix Endpoint Management affectent le connecteur pour Exchange ActiveSync (disponibilité)
  • Si vous souhaitez dédier entièrement les ressources système d’un serveur au connecteur pour Exchange ActiveSync (performances)

La charge CPU que le connecteur pour Exchange ActiveSync impose à un serveur dépend du nombre d’appareils gérés. Une recommandation générale est de prévoir un cœur de CPU supplémentaire si le connecteur est déployé sur le même serveur que Citrix Endpoint Management. Pour un grand nombre d’appareils (plus de 50 000), vous pourriez avoir besoin de prévoir plus de cœurs si vous ne disposez pas d’un environnement en cluster. L’empreinte mémoire du connecteur n’est pas suffisamment significative pour justifier plus de mémoire.

Configuration système requise pour le connecteur NetScaler Gateway pour Exchange ActiveSync

Le connecteur NetScaler Gateway pour Exchange ActiveSync communique avec NetScaler Gateway via un pont SSL configuré sur l’appliance NetScaler Gateway. Le pont permet à l’appliance de relier tout le trafic sécurisé directement à Citrix Endpoint Management. Le connecteur pour Exchange ActiveSync nécessite la configuration système minimale suivante :

Composant Exigence
Ordinateur et processeur Processeur Pentium III 733 MHz ou supérieur. Processeur Pentium III 2,0 GHz ou supérieur (recommandé)
Citrix Gateway Appliance Citrix Gateway avec la version logicielle 10
Mémoire 1 Go
Disque dur Partition locale formatée en NTFS avec 150 Mo d’espace disque disponible
Système d’exploitation Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Doit être un serveur basé sur l’anglais. Le support pour Windows Server 2008 R2 Service Pack 1 prend fin le 14 janvier 2020 et le support pour Windows Server 2012 R2 prend fin le 10 octobre 2023.
Autres appareils Carte réseau compatible avec le système d’exploitation hôte pour la communication avec le réseau interne
Microsoft .NET Framework La version 8.5.1.11 nécessite Microsoft .NET Framework 4.5.
Affichage Moniteur VGA ou de résolution supérieure

L’ordinateur hôte du connecteur pour Exchange ActiveSync nécessite l’espace disque disponible minimal suivant :

  • Application : 10–15 Mo (100 Mo recommandés)
  • Journalisation : 1 Go (20 Go recommandés)

Pour plus d’informations sur la prise en charge des plateformes pour le connecteur pour Exchange ActiveSync, consultez Systèmes d’exploitation d’appareils pris en charge.

Clients de messagerie des appareils

Tous les clients de messagerie ne renvoient pas systématiquement le même ID ActiveSync pour un appareil. Étant donné que le connecteur pour Exchange ActiveSync s’attend à un ID ActiveSync unique pour chaque appareil, ce qui suit est vrai : Seuls les clients de messagerie qui génèrent systématiquement le même ID ActiveSync unique pour chaque appareil sont pris en charge. Citrix a testé ces clients de messagerie et ils ont fonctionné sans erreur :

  • Client de messagerie natif Samsung
  • Client de messagerie natif iOS

Déploiement du connecteur NetScaler Gateway pour Exchange ActiveSync

Le connecteur NetScaler Gateway pour Exchange ActiveSync vous permet d’utiliser NetScaler Gateway pour proxifier et équilibrer la charge de la communication du serveur Citrix Endpoint Management avec les appareils gérés par Citrix Endpoint Management. Le connecteur pour Exchange ActiveSync communique périodiquement avec Citrix Endpoint Management pour synchroniser les stratégies. Vous pouvez regrouper le connecteur pour Exchange ActiveSync et Citrix Endpoint Management, ensemble ou indépendamment.

Composants du connecteur pour Exchange ActiveSync

  • Service du connecteur pour Exchange ActiveSync : Ce service fournit une interface de service web REST que NetScaler Gateway peut invoquer pour déterminer si une requête ActiveSync provenant d’un appareil est autorisée.
  • Service de configuration Citrix Endpoint Management : Ce service communique avec Citrix Endpoint Management pour synchroniser les modifications de stratégie Citrix Endpoint Management avec le connecteur pour Exchange ActiveSync.
  • Service de notification Citrix Endpoint Management : Ce service envoie des notifications d’accès non autorisé aux appareils à Citrix Endpoint Management. De cette manière, Citrix Endpoint Management peut prendre les mesures appropriées, telles que notifier à l’utilisateur la raison pour laquelle l’appareil a été bloqué.
  • Utilitaire de configuration du connecteur pour Exchange ActiveSync : Cette application permet à l’administrateur de configurer et de surveiller le connecteur pour Exchange ActiveSync.

Pour configurer les adresses d’écoute du connecteur NetScaler Gateway pour Exchange ActiveSync

Pour que le connecteur NetScaler Gateway pour Exchange ActiveSync reçoive les requêtes de NetScaler Gateway afin d’autoriser le trafic ActiveSync, procédez comme suit. Spécifiez le port sur lequel le connecteur pour Exchange ActiveSync écoute les appels de service web de NetScaler Gateway.

  1. Dans le menu Démarrer, sélectionnez l’utilitaire de configuration du connecteur pour Exchange ActiveSync.
  2. Cliquez sur l’onglet Service web, puis saisissez les adresses d’écoute du service web du connecteur. Vous pouvez sélectionner HTTP ou HTTPS, ou les deux. Si le connecteur pour Exchange ActiveSync est colocalisé avec Citrix Endpoint Management (installé sur le même serveur), sélectionnez des valeurs de port qui n’entrent pas en conflit avec Citrix Endpoint Management.
  3. Une fois les valeurs configurées, cliquez sur Enregistrer, puis sur Démarrer le service pour démarrer le service web.

Pour configurer les stratégies de contrôle d’accès des appareils dans le connecteur NetScaler Gateway pour Exchange ActiveSync

Pour configurer la stratégie de contrôle d’accès que vous souhaitez appliquer à vos appareils gérés, procédez comme suit :

  1. Dans l’utilitaire de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Filtres de chemin d’accès.
  2. Sélectionnez la première ligne, Microsoft-Server-ActiveSync est pour ActiveSync, puis cliquez sur Modifier.
  3. Dans la liste Stratégie, sélectionnez la stratégie souhaitée. Pour une stratégie qui inclut les stratégies Citrix Endpoint Management, sélectionnez Statique + ZDM : Mode Autoriser ou Statique + ZDM : Mode Bloquer. Ces stratégies combinent les règles locales (ou statiques) avec les règles de Citrix Endpoint Management. Le mode Autoriser signifie que tous les appareils non explicitement identifiés par les règles sont autorisés à accéder à ActiveSync. Le mode Bloquer signifie que ces appareils sont bloqués.
  4. Après avoir défini les stratégies, cliquez sur Enregistrer.

Pour configurer la communication avec Citrix Endpoint Management

Spécifiez le nom et les propriétés du serveur Citrix Endpoint Management que vous souhaitez utiliser avec le connecteur NetScaler Gateway pour Exchange ActiveSync et NetScaler Gateway.

Remarque :

Cette tâche suppose que vous avez déjà installé et configuré Citrix Endpoint Management. L’utilitaire de configuration Exchange ActiveSync utilise le terme Fournisseur de configuration pour Citrix Endpoint Management.

  1. Dans l’utilitaire de configuration du connecteur pour Exchange ActiveSync, cliquez sur l’onglet Fournisseurs de configuration, puis sur Ajouter.
  2. Saisissez le nom et l’URL du serveur Citrix Endpoint Management que vous utilisez dans ce déploiement. Si vous avez plusieurs serveurs Citrix Endpoint Management déployés dans un déploiement multilocataire, ce nom doit être unique pour chaque instance de serveur.
  3. Dans URL, saisissez l’adresse web du fournisseur de configuration globale (GCP) de Citrix Endpoint Management, généralement au format https://<FQDN>/<instanceName>/services/<MagConfigService>. Le nom MagConfigService est sensible à la casse.
  4. Dans Mot de passe, saisissez le mot de passe à utiliser pour l’autorisation HTTP de base avec le serveur web Citrix Endpoint Management.
  5. Dans Hôte de gestion, saisissez le nom du serveur où vous avez installé le connecteur pour Exchange ActiveSync.
  6. Dans Intervalle de référence, spécifiez une période de temps pour le moment où un nouvel ensemble de règles dynamiques actualisé est extrait de Citrix Endpoint Management.
  7. Dans Délai d’expiration de la requête, spécifiez l’intervalle de délai d’expiration de la requête du serveur.
  8. Dans Fournisseur de configuration, indiquez si l’instance de serveur du fournisseur de configuration fournit la configuration de la stratégie.
  9. Dans Événements activés, activez cette option si vous souhaitez que Secure Mobile Gateway notifie Citrix Endpoint Management lorsqu’un appareil est bloqué. Cette option est requise si vous utilisez les règles de Secure Mobile Gateway dans l’une de vos actions automatisées Citrix Endpoint Management.
  10. Après avoir configuré le serveur, cliquez sur Tester la connectivité pour tester la connexion à Citrix Endpoint Management.
  11. Une fois la connectivité établie, cliquez sur Enregistrer.

Déploiement du connecteur NetScaler Gateway pour Exchange ActiveSync pour la redondance et l’évolutivité

Pour faire évoluer votre déploiement du connecteur NetScaler Gateway pour Exchange ActiveSync et Citrix Endpoint Management, vous pouvez installer des instances du connecteur pour Exchange ActiveSync sur plusieurs serveurs Windows. Toutes les instances de connecteur pointent vers la même instance Citrix Endpoint Management. Vous pouvez ensuite utiliser NetScaler Gateway pour équilibrer la charge des serveurs.

Il existe deux modes de configuration pour le connecteur pour Exchange ActiveSync :

  • En mode non partagé, chaque connecteur pour une instance Exchange ActiveSync communique avec un serveur Citrix Endpoint Management et conserve sa propre copie privée de la stratégie résultante. Par exemple, pour un cluster de serveurs Citrix Endpoint Management, vous pouvez exécuter une instance de connecteur sur chaque serveur Citrix Endpoint Management. Le connecteur obtient alors les stratégies de l’instance Citrix Endpoint Management locale.
  • En mode partagé, un connecteur pour un nœud Exchange ActiveSync est désigné comme nœud principal. Le connecteur communique avec Citrix Endpoint Management. Les autres nœuds partagent la configuration résultante via un partage réseau Windows ou par réplication Windows (ou tierce).

L’intégralité de la configuration du connecteur pour Exchange ActiveSync se trouve dans un seul dossier (composé de quelques fichiers XML). Le processus du connecteur détecte les modifications apportées à tout fichier de ce dossier et recharge automatiquement la configuration. Il n’y a pas de basculement pour le nœud principal en mode partagé. Cependant, le système peut tolérer que le serveur principal soit hors service pendant quelques minutes (par exemple, pour redémarrer). La dernière bonne configuration connue est mise en cache dans le processus du connecteur.

Connecteur NetScaler Gateway pour Exchange ActiveSync
April 20, 2026
Contributeur: 
C C
April 20, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.