XenMobile Server

Endpoint Management Connector pour Exchange ActiveSync

XenMobile Mail Manager est maintenant nommé Endpoint Management Connector pour Exchange ActiveSync. Pour plus de détails sur le portefeuille unifié de Citrix, consultez le guide des produits Citrix.

Le connecteur étend les capacités de XenMobile des façons suivantes :

  • Contrôle d’accès dynamique des appareils EAS (Exchange Active Sync). L’accès des appareils EAS aux services Exchange peut être automatiquement autorisé ou bloqué.
  • Permet à XenMobile d’accéder aux informations de partenariat d’appareil EAS fournies par Exchange.
  • Permet à XenMobile d’effacer un appareil mobile en fonction de l’état EAS.
  • Permet à XenMobile d’accéder à des informations sur des appareils Blackberry, et de réaliser des opérations de contrôle telles que l’effacement à distance (Wipe) et la réinitialisation du mot de passe (ResetPassword).

Pour effacer un appareil en fonction de l’état EAS, configurez une action automatisée avec un déclencheur ActiveSync. Consultez la section Actions automatisées.

Pour télécharger Endpoint Management Connector pour Exchange ActiveSync :

  1. Accédez à https://www.citrix.com/downloads.
  2. Accédez à Citrix Endpoint Management (et Citrix XenMobile Server) > XenMobile Server (local) > Logiciel produit > XenMobile Server 10 > Composants serveur.
  3. Sur la vignette Citrix Endpoint Management connector for Exchange ActiveSync, cliquez sur Download File.

Important :

À compter d’octobre 2022, les connecteurs Endpoint Management et Citrix Gateway pour Exchange ActiveSync ne prendront plus en charge Exchange Online en raison des modifications d’authentification annoncées par Microsoft ici. Endpoint Management Connector pour Exchange continuera de fonctionner avec Microsoft Exchange Server (déploiement local).

Nouveautés

Les sections suivantes répertorient les nouveautés d’Endpoint Management Connector pour Exchange ActiveSync, anciennement XenMobile Mail Manager.

Nouveautés dans la version 10.1.10

Les problèmes suivants ont été résolus dans la version 10.1.10 :

  • Les clients qui rencontrent des problèmes réseau fréquents peuvent ne pas être en mesure de réaliser un instantané au cours des trois tentatives qui étaient précédemment fournies. Avec cette version, un administrateur peut configurer le nombre maximum de tentatives (1-10). Ce correctif permet à un instantané de subir plusieurs interruptions de communication sans abandonner complètement le processus d’instantané. [CXM-70837] Image de l’écran de configuration avec l’option Nbre max de tentatives d’instantanés
  • Dans les versions précédentes, le type d’instantané n’apparaissait pas dans la liste des configurations Exchange. Maintenant, le type d’instantané apparaît. [CXM-70846]
  • L’exception PSRemotingTransport signalée par PowerShell indique que la session vers Exchange n’est plus viable. L’état est ajouté par défaut à la liste Erreurs critiques dans le fichier de configuration. Ce faisant, lorsque l’exception PSRemotingTransport est détectée, la connexion est marquée comme une Erreur à des fins d’élimination ultérieure. La communication suivante utilise une connexion valide ou crée une connexion. [XMHELP-2184, CXM-70836]
  • Lorsqu’une modification de configuration est enregistrée, il est possible que les composants internes configurés précédemment n’aient pas tous été supprimés correctement avant de charger la nouvelle configuration. Ce problème peut conduire à un comportement imprévisible. Le comportement dépend de la modification spécifique et si la modification est en conflit avec la configuration précédente. Dans cette version, tous les composants internes sont supprimés avant de charger la nouvelle configuration. [XMHELP-2259, CXM-71388]

Nouveautés dans les versions précédentes

La section suivante répertorie les fonctionnalités et les problèmes résolus dans les versions antérieures de Endpoint Management Connector pour Exchange ActiveSync.

Nouveautés dans la version 10.1.9

Les problèmes suivants ont été résolus dans la version 10.1.9 :

  • Les modifications de configuration sont désormais gérées de manière plus cohérente. Lorsque le service détecte un changement de configuration, chaque sous-système interne est arrêté, ce qui signifie que tout traitement actif ou planifié est interrompu. Ensuite, la nouvelle configuration est chargée et les sous-systèmes sont redémarrés, ce qui signifie que tous les programmes et autres infrastructures internes sont rétablis avec de nouveaux paramètres. Ce problème corrige un problème connu dans la version 10.1.8. [CXM-47709, CXM-61330]
  • Lors d’une mise à niveau, la configuration de base de données existante n’était pas fusionnée dans le nouveau fichier de configuration. La configuration de base de données est maintenant fusionnée dans le fichier de configuration mis à niveau. [CXM-49326]
  • Dans les fichiers de diagnostic liés aux instantanés, les en-têtes de colonne étaient manquants. Les en-têtes sont restaurés. [CXM-62680]
  • Lors de la mise à niveau à partir d’une version précédente, la section par défaut du fichier de configuration était remplacée par la section analogue du fichier de configuration utilisé. Ce problème empêchait les ajouts ou les améliorations à la section par défaut d’être chargés par le service après la mise à niveau. À partir de cette version, la section par défaut reflète toujours la dernière configuration. [CXM-62681]
  • Les administrateurs ne peuvent plus accéder à certaines options en appuyant sur Maj lors de l’exécution de l’application. Ces options étaient auparavant disponibles avec l’autorisation Citrix. Certaines options sont désormais entièrement disponibles, telles que Autoriser la redirection, tandis que d’autres, telles que Détection de blocage et Correction de comptage, sont obsolètes. [CXM-62767]

    Tous les paramètres disponibles

Nouveautés dans la version 10.1.8

Les problèmes suivants ont été résolus dans la version 10.1.8 :

  • Il est possible qu’Exchange limite trop fréquemment l’envoi de commandes par le service de Citrix Endpoint Management Connector pour Exchange ActiveSync. C’est un comportement courant dans les connexions à Office 365. Avec cette limitation, le service doit se mettre en pause pendant une période spécifiée avant d’envoyer la commande suivante. La console Configurer affiche désormais le temps de pause restant. [CXM-48044]
  • Lorsque des modifications sont apportées aux sections « Watchdog » ou « SpecialistsDefaults » du fichier de configuration (config.xml), les modifications ne sont pas reflétées dans le fichier de configuration après une mise à niveau. Avec cette version, les modifications sont fusionnées correctement dans le nouveau fichier de configuration. [CXM-52523]
  • Plus de détails ont été ajoutés aux analyses envoyées à Google Analytics, notamment concernant les instantanés. [CXM-56691]
  • La fonctionnalité de connectivité de test Exchange tentait d’initialiser la connexion une seule fois. Étant donné que les connexions Office 365 peuvent être limitées, il était possible qu’une connectivité de test semble échouer lors de la limitation. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync tente désormais d’initier une connexion jusqu’à trois fois. [CXM-58180]
  • Afin d’appliquer des stratégies sur Exchange, le connecteur Citrix Endpoint Management pour Exchange ActiveSync doit compiler une commande Set-CASMailbox qui inclut tous les appareils concernés pour chaque boîte aux lettres, dans deux listes : autoriser et bloquer. Si un appareil n’est pas inclus dans l’une ou l’autre des listes, Exchange revient à son état d’accès par défaut. Si cet état d’accès par défaut est différent de l’état souhaité pour un appareil, cet appareil n’est plus conforme. Par conséquent, un utilisateur peut perdre l’accès à son courrier électronique si l’état d’accès par défaut d’Exchange est bloqué alors qu’il devrait être autorisé. Ou bien, un utilisateur dont l’accès au courrier électronique devrait être bloqué peut se voir accorder l’accès. Le connecteur Citrix Endpoint Management pour Exchange ActiveSync garantit désormais que tous les appareils avec un état souhaité valide sont inclus dans chaque commande Set-CasMailbox. [CXM-61251]

Le problème suivant est connu dans la version 10.1.8 :

Si un administrateur apporte une modification dans l’application Configurer qui modifie les données de configuration, alors que le service effectue des opérations de longue durée, telles qu’un instantané ou une évaluation des stratégies, le service peut entrer dans un état indéterminé. Un symptôme peut être que les modifications de stratégie ne sont pas traitées ou que les instantanés ne sont pas initiés. Pour rétablir l’état de fonctionnement du service, il doit être redémarré. Vous devrez peut-être utiliser le gestionnaire de services Windows pour mettre fin au processus avant de démarrer le service. [CXM-61330]

Nouveautés dans la version 10.1.7

  • XenMobile Mail Manager est maintenant nommé Endpoint Management Connector pour Exchange ActiveSync.
  • L’option Disable Pipelining dans la boîte de dialogue de configuration Exchange est désormais obsolète. Vous pouvez obtenir la même fonctionnalité en configurant plusieurs étapes pour chaque commande dans le fichier config.xml. [CXM-54593]

Les problèmes suivants ont été résolus dans la version 10.1.7 :

  • Dans la fenêtre de l’historique des instantanés, les messages d’erreur peuvent être affichés avec peu de contexte. À présent, les messages d’erreur sont précédés du contexte dans lequel les erreurs se sont produites. [CXM-49157]
  • Le fichier XmmGoogleAnalytics.dll ne possédait pas la version de fichier correspondante à la version commerciale. [CXM-52518]
  • Pour améliorer les diagnostics, nous avons récemment modifié le format de chaîne relatif à une liste d’ID d’appareils utilisés pour définir l’état Autorisé/Bloqué de la boîte aux lettres. Cependant, si un nombre trop important d’appareils est spécifié, la taille de chaîne maximale est dépassée. Nous utilisons maintenant une structure de données de tableau interne. Cette structure n’a pas de limite de taille et formate également les données de manière appropriée à des fins de diagnostic. [CXM-52610]
  • Lorsque des stratégies d’appareil qui ne sont pas synchronisées avec Exchange sont détectées, leurs commandes peuvent inclure des appareils n’appartenant pas à la boîte aux lettres appropriée. Endpoint Management Connector pour Exchange ActiveSync s’assure désormais que les commandes destinées à Exchange représentent uniquement les appareils appartenant à leurs boîtes aux lettres respectives. [CXM-54842]
  • Dans certains environnements, un assembly Microsoft n’est pas disponible. L’assembly requis est maintenant explicitement installé avec l’application. [CXM-55439]
  • Si les noms uniques d’appareils ou de boîtes aux lettres comportent des espaces entre le nom de l’attribut et le signe égal et/ou des espaces après le signe égal et avant la valeur, Endpoint Management Connector pour Exchange ActiveSync peut ne pas faire correspondre un appareil à sa boîte aux lettres, et inversement. Par conséquent, certains appareils et/ou boîtes aux lettres peuvent être rejeté(e)s lors du rapprochement des instantanés. [CXM-56088]

Remarque :

Les sections suivantes font référence à Endpoint Management Connector pour Exchange ActiveSync sous son ancien nom XenMobile Mail Manager. Le nom a changé à partir de la version 10.1.7.

Mise à jour dans la version 10.1.6.20

Une mise à jour vers 10.1.6 contient le correctif suivant dans la version 10.1.6.20 :

  • Lorsque des stratégies d’appareil qui ne sont pas synchronisées avec Exchange sont détectées, leurs commandes peuvent inclure des appareils n’appartenant pas à la boîte aux lettres appropriée. XenMobile Mail Manager s’assure désormais que les commandes destinées à Exchange représentent uniquement les appareils appartenant à leurs boîtes aux lettres respectives. [CXM-54842]

Nouveautés dans la version 10.1.6

XenMobile Mail Manager version 10.1.6 contient les améliorations et les problèmes résolus suivants :

  • La fenêtre d’historique des instantanés entre parfois dans un état où la fenêtre n’est plus mise à jour. Le mécanisme d’actualisation de Windows a été amélioré pour une mise à jour plus fiable. [CXM-47983]
  • Deux modes et chemins de code distincts étaient utilisés pour les instantanés partitionnés et non partitionnés. Étant donné que les instantanés non partitionnés sont équivalents aux instantanés partitionnés avec une configuration utilisant une seule partition “*”, le mode instantané non partitionné a été éliminé. Le mode instantané par défaut est désormais partitionné avec 36 partitions (0-9, A-Z). [CXM-49093]
  • Dans la fenêtre de l’historique des instantanés, les messages d’erreur sont écrasés par les messages d’état. Désormais, XenMobile Mail Manager fournit deux champs distincts pour que les utilisateurs puissent voir l’état et les erreurs simultanément. [CXM-51942]
  • Lors de la connexion à Exchange Online (Office 365), les requêtes liées aux images instantanées pouvaient entraîner des données tronquées. Ce problème peut se produire lorsque XenMobile Mail Manager exécute un script en pipeline à plusieurs commandes. La commande en amont ne peut pas transmettre les données assez rapidement à la commande en aval, qui termine alors le travail prématurément. En conséquence, les données sont incomplètes. XenMobile Mail Manager peut maintenant reproduire le pipeline lui-même et attendre que la commande en amont soit effectuée avant d’appeler la commande en aval. Ce changement devrait entraîner le traitement et la capture de toutes les données. [CXM-52280]
  • Si une erreur non résolue se produit dans une commande de mise à jour de stratégie vers Exchange, la même commande est renvoyée à la file d’attente de travail à plusieurs reprises pendant une longue période. Cette situation entraînait l’envoi de la commande à Exchange à plusieurs reprises. Dans cette version de XenMobile Mail Manager, une commande entraînant une erreur est renvoyée à la file d’attente uniquement un nombre discret de fois. [CXM-52633]
  • Si une mise à jour de stratégie pour une boîte aux lettres spécifique impliquait l’autorisation ou le blocage de tous les appareils : la commande Set-CASMailbox émise échouait car la liste vide était convertie en une chaîne vide au lieu de NULL. Désormais, les données correctes sont envoyées. [CXM-53759]
  • Lors du traitement d’un nouvel appareil, Exchange peut renvoyer l’état “DeviceDiscovery” pendant un certain temps (généralement 15 minutes). XenMobile Mail Manager ne traitait pas spécifiquement cet état. XenMobile Mail Manager gère maintenant cet état. Dans l’onglet Monitor de l’interface utilisateur, les utilisateurs peuvent filtrer les appareils dans cet état. [CXM-53840]
  • XenMobile Mail Manager ne vérifiait pas la possibilité d’écrire dans la base de données XenMobile Mail Manager. Par conséquent, si les autorisations étaient restreintes, le comportement était imprévisible. XenMobile Mail Manager capture et valide désormais les autorisations requises à partir de la base de données. XenMobile Mail Manager indique les autorisations restreintes lors du test de la connexion (message affiché) ou dans l’indicateur Base de données (survol du message) en bas de la fenêtre principale de configuration. [CXM-54219]
  • Selon la charge de travail en cours, lorsqu’il est dirigé vers XenMobile Mail Manager, le service peut ne pas s’arrêter rapidement. Par conséquent, le service semble être dans un état qui ne répond pas. Les améliorations permettent d’interrompre les tâches en cours, entraînant un arrêt plus rapide. [CXM-54282]

Nouveautés dans la version 10.1.5

XenMobile Mail Manager version 10.1.5 contient les problèmes résolus suivants :

  • Lorsque Exchange applique une limitation aux activités de XenMobile Mail Manager, rien n’indique (en dehors des journaux) que la limitation est en cours. Avec cette version, un utilisateur peut survoler l’instantané actif et un état de limitation apparaît. De plus, pendant que XenMobile Mail Manager est limité, le début d’un instantané majeur est interdit jusqu’à ce que Exchange mette fin à la limitation. [CXM-49617]
  • Si XenMobile Mail Manager est limité par Exchange au cours d’un instantané majeur : il est possible qu’un délai insuffisant s’écoule avant la prochaine tentative d’instantané. Ce problème entraîne une limitation supplémentaire et l’échec de l’instantané. XenMobile Mail Manager attend maintenant le délai minimum spécifié par Exchange entre les tentatives d’instantanés. [CXM-49618]
  • Lorsque les diagnostics sont activés, le fichier de commandes affiche les commandes Set-CasMailbox qui ne contiennent pas de tirets avant chaque nom de propriété. Ce problème se produit uniquement lors du formatage du fichier de diagnostics et non de la commande elle-même vers Exchange. L’absence de tiret empêche un utilisateur de couper la commande et de la coller directement dans une invite PowerShell de test ou de validation. Les tirets ont été ajoutés. [CXM-52520]
  • Si une identité de boîte aux lettres est au format “nom, prénom”, Exchange ajoute une barre oblique inverse avant la virgule lors du renvoi de données à partir d’une requête. Cette barre oblique inverse doit être supprimée lorsque XenMobile Mail Manager utilise l’identité pour demander davantage de données. [CXM-52635]

Limitations connues

Remarque :

La limitation suivante est résolue dans la version 10.1.6.

XenMobile Mail Manager a une limitation connue qui peut entraîner l’échec des commandes Exchange. Pour appliquer des modifications de stratégie à Exchange, une commande Set_CASMailbox est émise par XenMobile Mail Manager. Cette commande peut utiliser deux listes d’appareils : une pour autoriser et une pour bloquer. La commande est appliquée aux appareils associés à une boîte aux lettres.

Ces listes sont limitées à 256 caractères chacune par l’API Microsoft. Si l’une de ces listes dépasse la limite, la commande échoue dans son intégralité, empêchant toutes les stratégies pour ces appareils de la boîte aux lettres d’être définies. L’erreur signalée, qui apparaîtra dans les journaux XenMobile Mail Manager, ressemble à ceci. L’exemple représente la liste bloquée.

“Message:’Cannot bind parameter ’ActiveSyncBlockedDeviceIDs’ to the target. Exception setting “ActiveSyncBlockedDeviceIDs”: “The length of the property is too long. The maximum length is 256 and the length of the value provided is …”

Les longueurs d’ID d’appareil peuvent varier, mais un bon principe à suivre est qu’environ 10 appareils Autorisés ou Bloqués simultanément peuvent dépasser la limite. Bien qu’il soit rare que de nombreux appareils soient associés à une boîte aux lettres spécifique, c’est un scénario possible. Tant que XenMobile Mail Manager n’est pas amélioré pour gérer un tel scénario, nous vous recommandons de limiter le nombre d’appareils associés à un utilisateur et à une boîte aux lettres à 10 ou moins. [CXM-52633]

Nouveautés dans la version 10.1.4

XenMobile Mail Manager version 10.1.4 contient les problèmes résolus suivants :

  • en raison de ses risques pour la sécurité, TLS 1.0 est abandonné par le PCI Council. La prise en charge de TLS 1.1 et 1.2 est ajoutée à XenMobile Mail Manager. [CXM-38573, CXM-32560]
  • XenMobile Mail Manager inclut un nouveau fichier de diagnostic. Lorsque l’option Enable Diagnostics est sélectionnée dans la spécification Exchange, un nouveau fichier d’historique des instantanés est généré. À chaque tentative d’instantané, une ligne est ajoutée au fichier avec les résultats de l’instantané. [CXM-49631]
  • Dans le fichier de diagnostic Commands, la liste des appareils autorisés ou bloqués n’apparaît pas pour la commande Set-CASMailbox. Au lieu de cela, le nom de classe interne était affiché dans le fichier pour les arguments associés. XenMobile Mail Manager affiche désormais la liste des appareils sous forme de liste délimitée par des virgules. [CXM-50693]
  • Lorsqu’une tentative d’acquisition d’une connexion à Exchange échoue en raison d’une spécification incorrecte : Le message d’erreur est remplacé par un message incorrect : “All connections in use”. Des messages plus descriptifs apparaissent maintenant, tels que “All connections are inoperable”, “Connection pool is empty”, “All connections are throttled” et “No available connections”. [CXM-50783]
  • Dans certains cas, les commandes Autoriser/Bloquer/Effacer sont mises en file d’attente plusieurs fois dans le cache interne de XenMobile Mail Manager. Ce problème provoque un retard dans la commande envoyée à Exchange. XenMobile Mail Manager ne met en file d’attente qu’une seule instance de chaque commande. [CXM-51524]

Nouveautés dans la version 10.1.3

  • Prise en charge de Google Analytics : nous souhaitons savoir comment vous utilisez XenMobile Mail Manager afin de pouvoir nous concentrer sur l’amélioration du produit.
  • Paramètre d’activation des diagnostics : une case à cocher Enable Diagnostic s’affiche dans la console Configure de la boîte de dialogue Configuration.

Image de la console Endpoint Management Connector pour Exchange ActiveSync

Problèmes résolus dans la version 10.1.3

  • Dans la fenêtre Snapshot History, les infobulles qui montrent l’état actuel de l’instantané ne reflètent pas l’état actuel. [CXM-5570] Parfois, XenMobile Mail Manager ne peut pas écrire dans le fichier de diagnostic Commands. Lorsque cela se produit, l’historique des commandes n’est pas consigné dans son intégralité. [CXM-49217]
  • Lorsqu’une erreur se produit avec une connexion, la connexion peut ne pas être marquée comme “erronée” (errored). Par conséquent, une commande ultérieure peut tenter d’utiliser la connexion et provoquer une autre erreur. [CXM-49495]
  • Lors d’une limitation en provenance du serveur Exchange, une exception peut être envoyée dans la routine Check Health. Par conséquent, les connexions ayant rencontré une erreur ou ayant expiré risquent de ne pas être purgées. En outre, XenMobile Mail Manager peut ne pas créer de connexions jusqu’à ce que le délai de limitation expire. [CXM-49794]
  • Lorsque le nombre maximal de sessions pour Exchange est dépassé, XenMobile Mail Manager signale l’erreur “Device Capture Failed”, qui n’est pas un message exact. Au lieu de cela, le message doit indiquer que les deux sessions que XenMobile Mail Manager utilise normalement pour la communication Exchange sont en cours d’utilisation. [CXM-49994]

Nouveautés dans la version 10.1.2

  • Connexion améliorée à Exchange : XenMobile Mail Manager utilise des sessions PowerShell pour communiquer avec Exchange. Une session PowerShell, en particulier avec Office 365, peut devenir instable après un certain temps, empêchant les commandes suivantes de réussir. XenMobile Mail Manager peut maintenant définir une période d’expiration pour les connexions. Lorsque la connexion atteint son heure d’expiration, XenMobile Mail Manager arrête la session PowerShell et crée une session. Ce faisant, la session PowerShell est moins susceptible de devenir instable, ce qui réduit considérablement les risques d’échec d’un instantané.
  • Flux de travail instantané amélioré : les instantanés importants représentent une opération longue et fastidieuse. Si une erreur se produit pendant un instantané, XenMobile Mail Manager tente désormais à plusieurs reprises (jusqu’à trois) d’effectuer une capture instantanée. Les tentatives suivantes ne commencent pas depuis le début. XenMobile Mail Manager continue là où il s’est arrêté. Ce changement améliore le taux de réussite des instantanés en général en permettant aux erreurs transitoires de passer pendant qu’un instantané est encore en cours.
  • Amélioration des diagnostics : le dépannage des opérations de capture d’instantané est maintenant plus facile avec trois nouveaux fichiers de diagnostic pouvant être générés au cours d’un instantané. Ces fichiers permettent d’identifier les problèmes de commande PowerShell, les boîtes aux lettres avec informations manquantes et les appareils qui ne peuvent pas être associés à une boîte aux lettres. Un administrateur peut utiliser ces fichiers pour identifier les données qui peuvent ne pas être correctes dans Exchange.
  • Amélioration de l’utilisation de la mémoire : XenMobile Mail Manager utilise désormais plus efficacement la mémoire. Les administrateurs peuvent planifier le redémarrage automatique de XenMobile Mail Manager pour fournir une version nettoyée du système.
  • Microsoft .NET Framework 4.6 : la version requise de Microsoft .NET Framework est maintenant la version 4.6.

Problèmes résolus

  • Erreur d’invite d’informations d’identification : l’instabilité de session Office 365 a souvent causé cette erreur. L’amélioration de la connexion à Exchange résout le problème. (XMHELP-293, XMHELP-311, XMHELP-801)
  • La boîte aux lettres et le nombre d’appareils sont inexacts : l’algorithme d’association de boîte aux lettres de XenMobile Mail Manager a été amélioré. La fonction d’amélioration des diagnostics facilite l’identification des boîtes aux lettres et des appareils que XenMobile Mail Manager considère comme n’étant pas sous sa responsabilité. (XMHELP-623)
  • Les commandes Autoriser / Bloquer / Effacer ne sont pas reconnues : correction d’un bogue avec lequel les commandes Autoriser / Bloquer / Effacer de XenMobile Mail Manager ne sont pas reconnues. (XMHELP-489)
  • Gestion de la mémoire : meilleure gestion de la mémoire. (XMHELP-419)

Architecture

La figure suivante présente les principaux composants de Endpoint Management Connector pour Exchange ActiveSync. Pour un diagramme d’architecture de référence détaillé, voir Architecture.

Diagramme de l’architecture d’Endpoint Management Connector pour Exchange ActiveSync

Les trois composants principaux sont :

  • Exchange ActiveSync Access Control Management : communique avec XenMobile pour récupérer une stratégie Exchange ActiveSync depuis XenMobile, puis fusionne cette stratégie avec toutes les stratégies définies localement pour déterminer les appareils Exchange ActiveSync ayant le droit ou non d’accéder à Exchange. Les stratégies locales permettent d’étendre les règles de stratégie pour autoriser le contrôle d’accès par un groupe Active Directory, utilisateur, type d’appareil ou agent utilisateur de l’appareil (généralement la version de la plate-forme mobile).
  • Remote PowerShell Management : ce composant est responsable de la planification et de l’appel des commandes PowerShell à distance afin d’appliquer la stratégie compilée par la gestion du contrôle d’accès à Exchange ActiveSync. Il crée régulièrement un instantané de la base de données Exchange ActiveSync pour détecter de nouveaux périphériques ou des périphériques modifiés Exchange ActiveSync.
  • Fournisseur de services mobiles : fournit une interface de service Web permettant à XenMobile d’interroger Exchange ActiveSync, d’interroger des appareils Blackberry, et d’émettre des opérations de contrôle, telles que l’effacement des appareils ActiveSync et Blackberry.

Configuration système requise et conditions préalables

La configuration système minimale suivante est nécessaire pour utiliser Endpoint Management Connector pour Exchange ActiveSync :

  • Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2 Service Pack 1. Doit être un serveur en anglais. Le support pour Windows Server 2008 R2 Service Pack 1 prend fin le 14 janvier 2020 et le support pour Windows Server 2012 R2 prend fin le 10 octobre 2023.
  • Microsoft SQL Server 2016 Service Pack 2 ou SQL Server 2014 Service Pack 3.
  • Microsoft .NET Framework 4.6.
  • Blackberry Enterprise Service, version 5 (facultatif).

Versions minimales prises en charge de Microsoft Exchange Server :

  • Microsoft Office 365
  • Exchange Server 2016
  • Exchange Server 2013 (le support prend fin le 11 avril 2023)
  • Exchange Server 2010 Service Pack 3 (la prise en charge prend fin le 14 janvier 2020)

Logiciels requis

  • Windows Management Framework doit être installé.
    • PowerShell V5, V4 et V3
  • La stratégie d’exécution de PowerShell doit être paramétrée sur RemoteSigned via Set-ExecutionPolicy RemoteSigned.
  • Le port TCP 80 doit être ouvert entre l’ordinateur exécutant Endpoint Management Connector pour Exchange ActiveSync et le serveur Exchange distant.

  • Clients de messagerie d’appareil : les clients de messagerie ne renvoient pas tous le même ID ActiveSync pour un appareil. Étant donné qu’Endpoint Management Connector pour Exchange ActiveSync s’attend à un ID ActiveSync unique pour chaque appareil, seuls les clients de messagerie qui génèrent toujours les mêmes ID ActiveSync uniques pour chaque appareil sont pris en charge. Ces clients de messagerie ont été testés par Citrix et aucune erreur n’a été détectée :

    • Client de messagerie natif Samsung
    • Client de messagerie natif iOS
  • Exchange : la configuration requise pour l’ordinateur local exécutant Exchange est la suivante :

    Les informations d’identification spécifiées dans l’interface utilisateur de la console Exchange Configuration doivent être en mesure de se connecter au serveur Exchange Server et bénéficier d’un accès complet pour exécuter les applets de commande PowerShell spécifiques à Exchange suivantes :

    • Pour Exchange Server 2010 SP2 :
      • Get-CASMailbox
      • Set-CASMailbox
      • Get-Mailbox
      • Get-ActiveSyncDevice
      • Get-ActiveSyncDeviceStatistics
      • Clear-ActiveSyncDevice
      • Get-ExchangeServer
      • Get-ManagementRole
      • Get-ManagementRoleAssignment
    • Pour Exchange Server 2013 et Exchange Server 2016 :
      • Get-CASMailbox
      • Set-CASMailbox
      • Get-Mailbox
      • Get-MobileDevice
      • Get-MobileDeviceStatistics
      • Clear-MobileDevice
      • Get-ExchangeServer
      • Get-ManagementRole
      • Get-ManagementRoleAssignment
    • Si Endpoint Management Connector pour Exchange ActiveSync est configuré pour afficher l’ensemble de la forêt, l’autorisation doit avoir été accordée pour exécuter : Set-AdServerSettings -ViewEntireForest $true
    • Les informations d’identification fournies doivent avoir été autorisées à se connecter au serveur Exchange Server via le Shell distant. Par défaut, l’utilisateur qui a installé Exchange possède ce droit.
    • Afin d’établir une connexion à distance et exécuter les commandes distantes, les informations d’identification doivent correspondre à un utilisateur qui est un administrateur sur l’appareil distant. Vous pouvez utiliser Set-PSSessionConfiguration pour éliminer les exigences administratives, mais cette commande n’entre pas dans le cadre de ce document. Pour plus d’informations, consultez l’article Microsoft À propos des configurations de session.
    • Le serveur Exchange doit être configuré pour prendre en charge les requêtes PowerShell distantes via HTTP. En règle générale, un administrateur exécutant la commande PowerShell suivante sur le serveur Exchange est la seule exigence requise : WinRM QuickConfig.
    • Exchange possède de nombreuses stratégies de limitation. L’une de ces stratégies contrôle combien de connexions PowerShell simultanées sont autorisées par utilisateur. Par défaut, le nombre de connexions simultanées autorisées pour un utilisateur est de 18 sur Exchange 2010. Lorsque la limite de connexion est atteinte, Endpoint Management Connector pour Exchange ActiveSync ne peut pas se connecter au serveur Exchange. Il existe plusieurs méthodes pour changer le nombre maximal de connexions simultanées autorisées via PowerShell qui ne sont pas couvertes dans cette documentation. Si vous êtes intéressé, renseignez-vous au sujet des stratégies de limitation d’Exchange relatives à la gestion à distance avec PowerShell.

Configuration requise pour Office 365 Exchange

  • Autorisations : les informations d’identification spécifiées dans l’interface utilisateur de la console Exchange Configuration doivent être en mesure de se connecter à Office 365 et bénéficier d’un accès complet pour exécuter les applets de commande PowerShell spécifiques à Exchange suivantes :
    • Get-CASMailbox
    • Set-CASMailbox
    • Get-Mailbox
    • Get-MobileDevice
    • Get-MobileDeviceStatistics
    • Clear-MobileDevice
    • Get-ExchangeServer
    • Get-ManagementRole
    • Get-ManagementRoleAssignment
  • Privilèges : les informations d’identification fournies doit avoir été autorisées à se connecter au serveur Office 365 via le Shell distant. Par défaut, l’administrateur d’Office 365 Online possède les privilèges requis.
  • Stratégies de limitation : Exchange possède de nombreuses stratégies de limitation. L’une de ces stratégies contrôle combien de connexions PowerShell simultanées sont autorisées par utilisateur. Par défaut, le nombre de connexions simultanées autorisées pour un utilisateur est de trois sur Office 365. Lorsque la limite de connexion est atteinte, Endpoint Management Connector pour Exchange ActiveSync ne peut pas se connecter au serveur Exchange. Il existe plusieurs méthodes pour changer le nombre maximal de connexions simultanées autorisées via PowerShell qui ne sont pas couvertes dans cette documentation. Si vous êtes intéressé, renseignez-vous au sujet des stratégies de limitation d’Exchange relatives à la gestion à distance avec PowerShell.

Installer et configurer

  1. Cliquez sur le fichier XmmSetup.msi puis suivez les instructions de l’assistant pour installer Endpoint Management Connector pour Exchange ActiveSync.

  2. Laissez l’option Launch the Configure utility sélectionnée dans le dernier écran de l’assistant. Vous pouvez également ouvrir Endpoint Management Connector pour Exchange ActiveSync à partir du menu Démarrer.

  3. Configurez les propriétés de base de données suivantes :

    • Sélectionnez l’onglet Configure > Database.
    • Entrez le nom du serveur SQL (localhost par défaut).
    • Conservez la base de données par défaut CitrixXmm.
  4. Sélectionnez l’un des modes d’authentification suivants utilisés pour SQL :

    • SQL : entrez le nom d’utilisateur et le mot de passe d’un utilisateur SQL valide.
    • Windows Integrated : si vous sélectionnez cette option, les informations d’identification d’ouverture de session du service Endpoint Management Connector pour Exchange ActiveSync doivent être remplacées par un compte Windows disposant des autorisations nécessaires pour accéder au serveur SQL. Pour ce faire, ouvrez le Panneau de configuration > Outils d’administration > Services, cliquez avec le bouton droit de la souris sur l’entrée du service Endpoint Management Connector pour Exchange ActiveSync, puis sélectionnez l’onglet Log On (Connexion).

    Si Windows Integrated est également choisi pour la connexion à la base de données BlackBerry, le compte Windows spécifié ici doit également pouvoir accéder à la base de données BlackBerry.

  5. Cliquez sur Test Connectivity pour vérifier qu’une connexion peut être établie avec le serveur SQL, puis cliquez sur Save.

  6. Un message vous invite à redémarrer le service. Cliquez sur Oui.

    Image de l’écran d’installation d’Endpoint Management Connector pour Exchange ActiveSync

  7. Configurez un ou plusieurs serveurs Exchange :

    • Si vous ne gérez qu’un seul environnement Exchange, spécifiez un seul serveur. Si vous gérez plusieurs environnements Exchange, spécifiez un seul serveur Exchange pour chaque environnement Exchange.
    • Cliquez sur l’onglet Configure > Exchange, puis cliquez sur Add.

    Image de l’écran d’Endpoint Management Connector pour Exchange ActiveSync

  8. Sélectionnez le type d’environnement de serveur Exchange, soit On Premise soit Office 365.

    • Si vous sélectionnez On Premise, entrez le nom du serveur Exchange qui sera utilisé pour les commandes PowerShell à distance.
    • Entrez le nom d’utilisateur d’une identité Windows disposant des droits appropriés sur le serveur Exchange comme indiqué dans la section Configuration requise et entrez le mot de passe de l’utilisateur.
    • Sélectionnez la planification d’exécution de captures d’instantanés principaux. Un instantané principal détecte tous les partenariats Exchange ActiveSync.
    • Sélectionnez la planification d’exécution des captures d’instantanés secondaires. Un instantané secondaire détecte les partenariats Exchange ActiveSync nouvellement créés.
    • Sélectionnez le type d’instantané : Deep ou Shallow. Les instantanés superficiels sont généralement plus rapides et suffisent pour exécuter toutes les fonctions de contrôle d’accès Exchange ActiveSync d’Endpoint Management Connector pour Exchange ActiveSync. Les instantanés complets peuvent prendre plus de temps et sont nécessaires uniquement si Mobile Service Provider est activé pour ActiveSync. Cette option permet à XenMobile d’interroger les appareils non gérés.
    • Sélectionnez les paramètres d’accès par défaut : Allow, Block ou Unchanged. Ce paramètre contrôle la façon dont sont traités tous les appareils autres que ceux identifiés explicitement par des règles locales ou XenMobile. Si vous sélectionnez Allow, l’accès à ActiveSync à tous ces appareils est autorisé. Si vous sélectionnez Block, l’accès est refusé. Si vous sélectionnez Unchanged, aucune modification n’est effectuée.
    • Sélectionnez le mode de commande ActiveSync : PowerShell ou Simulation.
    • En mode PowerShell, Endpoint Management Connector pour Exchange ActiveSync émet des commandes PowerShell afin d’appliquer le contrôle d’accès souhaité. En mode Simulation, Endpoint Management Connector pour Exchange ActiveSync n’émet pas de commandes PowerShell, mais consigne la commande prévue et les résultats escomptés dans la base de données. En mode Simulation, l’utilisateur peut alors utiliser l’onglet Monitor pour voir ce qui serait arrivé si le mode PowerShell était activé.
    • Dans Connection Expiration, définissez les heures et les minutes pour la durée de vie d’une connexion. Lorsqu’une connexion atteint la durée spécifiée, elle est marquée comme expirée et n’est pas réutilisée. Lorsque la connexion expirée n’est plus utilisée, Endpoint Management Connector pour Exchange ActiveSync l’arrête. Lorsqu’une connexion est de nouveau nécessaire, une nouvelle connexion est initialisée si aucune n’est disponible. Si aucune valeur n’est spécifiée, la valeur par défaut de 30 minutes est utilisée.
    • Sélectionnez View Entire Forest pour configurer Endpoint Management Connector pour Exchange ActiveSync de manière à ce qu’il affiche la forêt Active Directory entière dans l’environnement Exchange.
    • Sélectionnez le protocole d’authentification : Kerberos ou Basic. Endpoint Management Connector pour Exchange ActiveSync prend en charge l’authentification de base pour les déploiements locaux. Cela permet d’utiliser Endpoint Management Connector pour Exchange ActiveSync lorsque le serveur Endpoint Management Connector pour Exchange ActiveSync n’est pas membre du domaine dans lequel réside le serveur Exchange Server.
    • Cliquez sur Test Connectivity pour vérifier qu’une connexion peut être établie avec le serveur Exchange, puis cliquez sur Save.
    • Un message vous invite à redémarrer le service. Cliquez sur Oui.
  9. Configurer les règles d’accès : sélectionnez l’onglet Configure > Access Rules et cliquez sur l’onglet XMS Rules, puis sur Add.

    Image des règles d’Endpoint Management Connector pour Exchange ActiveSync

  10. Dans la page XenMobile server Service Properties, modifiez la chaîne d’URL pour qu’elle pointe vers le serveur XenMobile. Par exemple, si le nom de l’instance est zdm, entrez https://<XdmHostName>/zdm/services/MagConfigService. Dans l’exemple, remplacez XdmHostName par l’adresse IP ou DNS du serveur XenMobile Server.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

    • Entrez un utilisateur autorisé sur le serveur.
    • Entrez le mot de passe de l’utilisateur.
    • Conservez les valeurs par défaut Baseline Interval, Delta Interval, et Timeout values.
    • Cliquez sur Test Connectivity pour tester la connexion au serveur, puis cliquez sur OK.

    Si la case Disabled est cochée, XenMobile Mail Service ne collecte pas de stratégie depuis XenMobile.

  11. Cliquez sur l’onglet Local Rules.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

    • Vous pouvez ajouter des règles locales basées sur ActiveSync Device ID, Device Type, AD Group, User ou UserAgent. Sélectionnez le type approprié dans la liste.
    • Tapez le texte ou les fragments de texte dans la zone de texte. Si vous le souhaitez, cliquez sur le bouton de requête pour afficher les entités qui correspondent au fragment.

    Pour tous les types autres que Group, le système s’appuie sur les appareils qui ont été localisés dans un instantané. Par conséquent, si vous démarrez et que vous n’avez pas réalisé d’instantané, aucune entité n’est disponible.

    • Sélectionnez une valeur de texte, puis cliquez sur Allow ou Deny pour l’ajouter à la Rule List sur le côté droit. Vous pouvez modifier l’ordre des règles ou les supprimer en utilisant les boutons situés à droite du panneau de Rule List. L’ordre est important car pour un utilisateur et un appareil donné, les règles sont évaluées dans l’ordre indiqué. Dans le cas d’une correspondance à une règle de niveau élevé (près du haut de la liste), les règles se trouvant plus bas dans la liste n’ont pas d’effet. Par exemple, si vous possédez une règle qui autorise tous les iPad, et une règle suivante bloquant l’utilisateur « Matt », l’iPad de Matt sera autorisé car la règle « iPad » possède une priorité plus élevée que la règle « Matt ».
    • Pour effectuer une analyse des règles dans la liste de règles afin de rechercher des remplacements, des conflits ou des constructions supplémentaires potentielles, cliquez sur Analyze, puis sur Save.
  12. Si vous souhaitez créer des règles locales qui fonctionnent sur des groupes Active Directory, cliquez sur Configure LDAP, puis configurez les propriétés de connexion LDAP.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

  13. Configurez le Mobile Service Provider.

    Le fournisseur de services mobiles est facultatif. Ce paramètre est uniquement nécessaire si XenMobile est également configuré pour utiliser l’interface Mobile Service Provider pour interroger les appareils non gérés.

    • Cliquez sur l’onglet Configure > MSP.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

    • Définissez le type de transport de service sur HTTP ou HTTPS pour le service fournisseur de services mobiles.
    • Définissez le port de service (généralement 80 ou 443) pour le service Fournisseur de services mobiles. Si vous utilisez le port 443, le port requiert un certificat SSL lié dans IIS.
    • Définissez le groupe ou l’utilisateur d’autorisation. Cela définit l’utilisateur ou l’ensemble des utilisateurs qui peuvent se connecter au service fournisseur de services mobiles XenMobile.
    • Paramétrer si les requêtes ActiveSync sont actives ou non. Si les requêtes ActiveSync sont activées pour le serveur XenMobile Server, le type Snapshot pour un ou plusieurs serveurs Exchange doit être défini sur Deep. Ce paramètre peut entraîner des coûts de performances significatifs liés à la prise d’instantanés.
    • Par défaut, les appareils ActiveSync correspondants à l’expression régulière WorxMail.*ne seront pas envoyés à XenMobile. Pour changer ce comportement, vous pouvez modifier le champ Filter ActiveSync si nécessaire. S’il est laissé vide, cela signifie que tous les appareils sont transférés vers XenMobile.
    • Cliquez sur Enregistrer.
  14. Vous pouvez également configurer une ou plusieurs instances de BlackBerry Enterprise Server (BES) : cliquez sur Add, puis entrez le nom du serveur BES SQL Server.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

    • Tapez le nom de la base de données de gestion BES.
    • Sélectionnez le mode Authentication. Si vous sélectionnez l’authentification intégrée Windows, le compte utilisateur du service Endpoint Management Connector pour Exchange ActiveSync est le compte utilisé pour se connecter au serveur BES SQL. Si vous choisissez également Windows Integrated pour la connexion à la base de données d’Endpoint Management Connector pour Exchange ActiveSync, le compte Windows spécifié doit également disposer d’un droit d’accès à la base de données d’Endpoint Management Connector pour Exchange ActiveSync.
    • Si vous sélectionnez SQL authentication, entrez le nom d’utilisateur et le mot de passe.
    • Définissez Sync Schedule. Il s’agit du calendrier utilisé pour se connecter au serveur BES SQL et rechercher toute mise à jour d’appareil.
    • Cliquez sur Test Connectivity pour vérifier la connectivité avec le serveur SQL. Si Windows Integrated est sélectionné, ce test utilise l’utilisateur actuellement connecté et non l’utilisateur du service Endpoint Management Connector pour Exchange ActiveSync et par conséquent ne teste pas correctement l’authentification SQL.
    • Pour prendre en charge l’effacement à distance (Wipe) et la réinitialisation du mot de passe (ResetPassword) d’appareils BlackBerry depuis XenMobile, sélectionnez la case Enabled.
    • Entrez le nom de domaine complet BES.
    • Entrez le port BES utilisé pour le service Web d’administration.
    • Entrez le nom d’utilisateur complet et le mot de passe requis par le service BES.
    • Cliquez sur Test Connectivity pour tester la connexion au serveur BES.
    • Cliquez sur Enregistrer.

Appliquer les stratégies de messagerie avec des ID ActiveSync

Votre stratégie de messagerie d’entreprise peut refuser l’accès à la messagerie d’entreprise à certains appareils. Pour vous conformer à cette stratégie, vous devez vous assurer que les employés ne peuvent pas accéder à la messagerie d’entreprise à partir de tels appareils. Endpoint Management Connector pour Exchange ActiveSync et XenMobile fonctionnent ensemble pour appliquer une telle stratégie de messagerie. XenMobile définit la stratégie d’accès à la messagerie d’entreprise, et lorsqu’un appareil non approuvé s’inscrit auprès de XenMobile, Endpoint Management Connector pour Exchange ActiveSync applique la stratégie.

Le client de messagerie sur un appareil se fait connaître d’Exchange Server (ou Office 365) à l’aide de l’D d’appareil, également appelé ID ActiveSync, qui est utilisé pour identifier l’appareil. Secure Hub obtient un identificateur similaire et envoie l’identificateur à XenMobile lorsque l’appareil est inscrit. En comparant les ID des deux appareils, Endpoint Management Connector pour Exchange ActiveSync peut déterminer si un appareil spécifique est autorisé à accéder à la messagerie d’entreprise. La figure suivante illustre ce concept :

Diagramme du flux de travail de détection d’ID ActiveSync

Si XenMobile envoie à Endpoint Management Connector pour Exchange ActiveSync un ID ActiveSync différent de l’ID publié auprès d’Exchange par l’appareil, Endpoint Management Connector pour Exchange ActiveSync ne peut pas indiquer à Exchange l’action à exécuter avec l’appareil.

La correspondance des ID ActiveSync fonctionne de manière fiable sur la plupart des plates-formes. Cependant, Citrix a constaté que sur certaines implémentations Android, l’ID ActiveSync de l’appareil est différent de l’ID publié par le client de messagerie auprès d’Exchange. Pour pallier ce problème, vous pouvez effectuer les tâches suivantes :

  • Sur la plate-forme Samsung SAFE, distribuez la configuration ActiveSync de l’appareil depuis XenMobile.

Pour garantir que votre stratégie d’accès à la messagerie d’entreprise est appliquée correctement, vous pouvez adopter une approche de sécurité défensive et configurer Endpoint Management Connector pour Exchange ActiveSync de manière à bloquer les e-mails en définissant la stratégie statique sur Deny par défaut. Cela signifie que si un employé configure un client de messagerie sur un appareil Android, et que la détection de l’ID ActiveSync ne fonctionne pas correctement, l’employé se voit refuser l’accès à la messagerie d’entreprise.

Règles de contrôle d’accès

Endpoint Management Connector pour Exchange ActiveSync propose une approche basée sur des règles permettant de configurer dynamiquement le contrôle d’accès aux appareils Exchange ActiveSync. Une règle de contrôle d’accès à Endpoint Management Connector pour Exchange ActiveSync se compose de deux parties : une expression correspondante et un état d’accès souhaité (Autoriser ou Bloquer). Une règle doit être testée par rapport à un appareil ActiveSync Exchange donné pour déterminer si elle s’applique à l’appareil ou correspond à ce dernier. Il existe plusieurs types d’expressions correspondantes ; une règle peut, par exemple, correspondre à tous les appareils d’un type d’appareil donné ou à un ID d’appareil ActiveSync Exchange spécifique, ou encore à tous les appareils d’un utilisateur spécifique, etc.

À tout moment lors de l’ajout, la suppression et la réorganisation de règles dans la liste, si vous cliquez sur le bouton Cancel, l’état dans lequel se trouvait la liste lors de la première ouverture est rétabli. Si vous fermez l’outil de configuration sans cliquer sur Save, les modifications apportées sur cette fenêtre seront perdues.

Endpoint Management Connector pour Exchange ActiveSync propose trois types de règles : les règles locales, les règles de XenMobile Server (aussi appelées règles XDM), et la règle d’accès par défaut.

Local rules (Règles locales) : les règles locales ont la priorité la plus élevée : si un appareil est identifié par une règle locale, l’évaluation de la règle ne s’applique pas. Ni les règles de XenMobile Server ni les règles d’accès par défaut ne seront consultées. Les règles locales se configurent localement sur Endpoint Management Connector pour Exchange ActiveSync via l’onglet Configure > Access Rules > Local Rules. La prise en charge de correspondance se base sur l’appartenance des utilisateurs à un groupe Active Directory donné. La prise en charge de correspondance se base sur des expressions régulières pour les champs suivants :

  • Active Sync Device ID
  • ActiveSync Device Type
  • User Principal Name (UPN)
  • ActiveSync User Agent (généralement la plate-forme de l’appareil ou le client de messagerie)

Si un instantané principal a été effectué et qu’il a trouvé des appareils, vous pouvez ajouter une règle d’expressions normales ou régulières. Si aucun instantané principal n’a été effectué, vous pouvez uniquement ajouter des règles d’expressions régulières.

Règles du serveur XenMobile : les règles de XenMobile Server sont des références à un serveur XenMobile externe qui fournit des règles aux appareils gérés. XenMobile Server peut être configuré avec ses propres règles de haut niveau qui identifient les appareils à autoriser ou à bloquer en fonction des propriétés connues par XenMobile, par exemple si l’appareil est jailbreaké ou s’il contient des applications interdites. XenMobile évalue les règles de haut niveau et génère un ensemble d’ID d’appareils ActiveSync autorisés ou bloqués, qui sont ensuite envoyés à Endpoint Management Connector pour Exchange ActiveSync.

Default access rule (Règle d’accès par défaut) : la règle d’accès par défaut est unique car elle peut potentiellement s’appliquer à tous les appareils et elle est toujours évaluée en dernier. C’est la règle passe-partout, ce qui signifie que si un appareil donné ne correspond pas à une règle locale ou de XenMobile Server, l’état d’accès souhaité de l’appareil est déterminé par l’état d’accès souhaité de la règle d’accès par défaut.

  • Default Access – Allow (Accès par défaut - Autoriser) : tout appareil ne correspondant pas à une règle locale ou de XenMobile Server sera autorisé.
  • Default Access – Block (Accès par défaut - Bloquer) : tout appareil ne correspondant pas à une règle locale ou de XenMobile Server sera bloqué.
  • Default Access - Unchanged (Accès par défaut - Inchangé) : l’état d’accès de tout appareil non associé à une règle locale ou de XenMobile Server ne pourra pas être modifié par Endpoint Management Connector pour Exchange ActiveSync. Si un appareil a été placé en quarantaine par Exchange, aucune action n’est entreprise. Par exemple, la seule façon de retirer un appareil du mode quarantaine est de faire en sorte qu’une règle locale ou XDM explicite annule la quarantaine.

À propos des évaluations de règles

Pour chaque appareil pour lequel Exchange remet des rapports à Endpoint Management Connector pour Exchange ActiveSync, les règles sont évaluées dans l’ordre, de la priorité la plus élevée à la plus faible, comme suit :

  • Règles locales
  • Règles de XenMobile Server
  • Règle d’accès par défaut

Lorsqu’une correspondance est trouvée, l’évaluation s’arrête. Par exemple, si un appareil correspond à une règle locale, l’appareil ne sera pas évalué par rapport aux règles de XenMobile Server ou à la règle d’accès par défaut. Cela reste aussi vrai pour un type de règle donné. Par exemple, s’il existe plus d’une correspondance pour un appareil donné dans la liste des règles locales, l’évaluation s’arrête dès la première correspondance.

Endpoint Management Connector pour Exchange ActiveSync réévalue l’ensemble des règles déjà définies lorsque les propriétés d’un appareil sont modifiées, lorsque des appareils sont ajoutés ou supprimés ou lorsque les règles sont modifiées. Les instantanés principaux détectent la suppression d’appareils ainsi que les modifications apportées à leurs propriétés à intervalles configurables. Les instantanés secondaires détectent les nouveaux appareils à intervalles configurables.

Exchange ActiveSync possède aussi des règles régissant l’accès. Il est important de bien comprendre le fonctionnement de ces règles dans l’environnement Endpoint Management Connector pour Exchange ActiveSync. Exchange peut être configuré avec trois niveaux de règles : les exemptions personnelles, les règles d’appareil et les paramètres d’organisation. Endpoint Management Connector pour Exchange ActiveSync automatise le contrôle d’accès en envoyant des requêtes PowerShell à distance via un programme pour modifier la liste des exemptions personnelles. Il s’agit de listes d’ID d’appareils Exchange ActiveSync autorisés ou bloqués associés à une boîte aux lettres donnée. Lorsqu’il est déployé, Endpoint Management Connector pour Exchange ActiveSync prend en charge la gestion des listes d’exemptions dans Exchange. Pour plus de détails, consultez l’article Microsoft, Controlling Device Access.

L’analyse est utile dans les situations dans lesquelles plusieurs règles ont été définies pour le même champ. Vous pouvez résoudre les relations entre les règles. Vous pouvez effectuer des analyses du point de vue des champs de règles. Par exemple, les règles sont analysées par groupes en fonction du champ remplissant la condition, tel que ActiveSync device ID, ActiveSync device type, User, User Agent.

Terminologie relative aux règles

  • Règle absolue : une substitution se produit lorsque plusieurs règles s’appliquent à un même appareil. Étant donné que les règles sont évaluées par priorité dans la liste, la ou les dernières instances de règle devant s’appliquer peuvent ne jamais être évaluées.
  • Règle conflictuelle : un conflit survient quand plusieurs règles s’appliquent à un même appareil et que l’accès (Autoriser/Bloquer) ne correspond pas. Si les règles conflictuelles ne sont pas des expressions régulières, un conflit se traduit toujours implicitement par une substitution.
  • Règle complémentaire : un complément a lieu lorsque plusieurs règles sont des expressions régulières et par conséquent, il peut s’avérer nécessaire de vérifier que les deux expressions régulières (ou plus) peuvent être combinées en une seule expression ou qu’il n’y ait pas duplication de fonctionnalités. Une règle complémentaire peut également causer des problèmes de conflit d’accès (Autoriser/Bloquer).
  • Règle principale : la règle principale est la règle sur laquelle l’utilisateur a cliqué dans la boîte de dialogue. La règle est indiquée visuellement par une bordure. La règle aura également une ou deux flèches vertes pointant vers le haut ou vers le bas. Si une flèche pointe vers le haut, cela indique qu’il existe des règles secondaires qui précèdent la règle principale. Si une flèche pointe vers le bas, cela indique qu’il existe des règles secondaires qui s’appliquent après la règle principale. Seule une règle principale peut être active à tout moment.
  • Règle secondaire : une règle secondaire est liée d’une certaine manière à la règle principale que ce soit via une relation de remplacement, de conflit ou supplémentaire. Les règles sont indiquées visuellement par une bordure en pointillés. Pour chaque règle principale, il peut y avoir une ou plusieurs règles secondaires. Lorsque vous cliquez sur une entrée soulignée, la ou les règles secondaires sélectionnées le sont toujours du point de vue de la règle principale. Par exemple, la règle secondaire est remplacée par la règle principale et/ou la règle secondaire entrera en conflit avec la règle principale et/ou la règle secondaire complétera la règle principale.

Apparence des types de règles dans la boîte de dialogue d’analyse des règles

Lorsqu’il n’y a aucun conflit, remplacement, ou complément, il n’y a pas d’entrées soulignées dans la boite de dialogue Rule Analysis. Par exemple, cliquer sur des éléments n’a pas d’impact, les éléments normaux sélectionnés sont mis en évidence.

La fenêtre Rule Analysis contient une case qui, lorsqu’elle est sélectionnée, affiche uniquement les conflits, remplacements, redondances ou compléments.

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Lorsqu’une substitution se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Au moins une règle secondaire s’affiche dans une police plus claire pour indiquer que la règle a été remplacée par une règle de priorité plus élevée. Vous pouvez cliquer sur les règles remplacées pour déterminer la ou les règles qui ont remplacé la règle. Lorsqu’une règle remplacée a été soulignée que ce soit parce que la règle est une règle principale ou secondaire, un cercle noir apparaît à côté en guise d’indication visuelle signifiant que la règle est inactive. Par exemple, avant que vous cliquiez sur la règle, la boîte de dialogue se présente comme suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Lorsque vous cliquez sur la règle prioritaire, la boîte de dialogue se présente comme suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Dans cet exemple, la règle d’expression régulière WorkMail.* est la règle principale (indiquée par une bordure pleine) et la règle normale workmailc633313818 est une règle secondaire (indiquée par une bordure en pointillés). Le point noir à côté de la règle secondaire est une indication visuelle qui signifie que la règle est inactive (ne sera jamais évaluée) en raison de la règle d’expression régulière prioritaire. Une fois que vous avez cliqué sur la règle remplacée, la boîte de dialogue se présente comme suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Dans l’exemple précédent, la règle d’expression régulière WorkMail.* est la règle secondaire (indiquée par une bordure en pointillés) et la règle normale workmailc633313818 est une règle principale (indiquée par une bordure pleine). Pour cet exemple simple, il n’y a pas grande différence. Pour un exemple plus compliqué, consultez l’exemple d’expression complexe plus en avant dans cette rubrique. Dans un scénario avec de nombreuses règles définies, cliquer sur la règle remplacée permet d’identifier rapidement par quelles règles elle a été remplacée.

Lorsqu’un conflit se produit, au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Les règles en conflit sont indiquées par un point rouge. Le cas de règles qui entrent seulement en conflit avec une autre règle est uniquement possible avec deux ou plusieurs règles d’expressions régulières définies. Dans tous les autres cas de conflit, il y aura non seulement un conflit, mais aussi un remplacement. Avant que vous cliquiez sur des règles dans un exemple simple, la boîte de dialogue se présente comme suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

En inspectant les deux règles d’expressions régulières, il est évident que la première règle autorise tous les appareils avec un ID d’appareil contenant « App » et que la deuxième règle refuse tous les appareils avec un ID d’appareil contenant « Appl ». En outre, même si la deuxième règle refuse tous les appareils avec un ID d’appareil contenant « Appl », aucun appareil correspondant à ces critères ne verra son accès refusé en raison de la priorité plus élevée de la règle l’y autorisant. Une fois que vous avez cliqué sur la première règle, la boîte de dialogue se présente comme suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Dans le cas précédent, la règle principale (règle d’expression régulière App.*) et la règle secondaire (règle d’expression régulière Appl.*) sont toutes deux affichées en jaune. Il s’agit simplement d’une indication visuelle vous alertant du fait que vous avez appliqué plus d’une règle d’expression régulière à un même champ de correspondance, ce qui peut entraîner un problème de redondance ou quelque chose de plus sérieux.

Dans un cas regroupant un conflit et un remplacement, la règle principale (règle d’expression régulière App.*) et la règle secondaire (règle d’expression régulière Appl.*) sont surlignées en jaune. Il s’agit simplement d’une indication visuelle vous alertant du fait que vous avez appliqué plus d’une règle d’expression régulière à un même champ de correspondance, ce qui peut entraîner un problème de redondance ou quelque chose de plus sérieux.

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Il est facile de voir dans l’exemple précédent que la première règle (règle d’expression régulière SAMSUNG.*) ne remplace pas seulement la règle suivante (règle normale SAMSUNG-SM-G900A/101.40402), mais que l’accès des deux règles est différent (la règle principale indique Autoriser, la règle secondaire indique Bloquer). La deuxième règle (règle normale SAMSUNG-SM-G900A/101.40402) est affichée dans une police plus claire pour indiquer qu’elle a été remplacée et qu’elle n’est donc pas active.

Une fois que vous avez cliqué sur la règle d’expression régulière, la boîte de dialogue se présente comme suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

La règle principale (règle d’expression régulière SAMSUNG.*) est suivie d’un point rouge indiquant qu’elle entre en conflit avec une ou plusieurs règles secondaires. La règle secondaire (règle normale SAMSUNG-SM-G900A/101.40402) est suivie d’un point rouge pour indiquer que son état d’accès est en conflit avec la règle principale. Cette règle est également suivie d’un point noir pour indiquer qu’elle est substituée et donc inactive.

Au moins deux règles sont soulignées : la règle principale et la ou les règles secondaires. Les règles qui se complètent uniquement entre elles n’impliquent que des règles d’expressions régulières. Lorsque des règles se complètent entre elles, elles sont surlignées en jaune. Avant que vous cliquiez sur des règles dans un exemple simple, la boîte de dialogue se présente comme suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

L’inspection visuelle révèle facilement que les deux règles sont des règles d’expressions régulières qui s’appliquent toutes les deux au champ ActiveSync device ID dans Endpoint Management Connector pour Exchange ActiveSync. Une fois que vous avez cliqué sur la première règle, la boîte de dialogue se présente comme suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

La règle principale (règle d’expression régulière WorkMail.*) est surlignée en jaune pour indiquer qu’il existe au moins une autre règle secondaire qui est une expression régulière. La règle secondaire (règle d’expression régulière SAMSUNG.*) est surlignée en jaune pour indiquer que celle-ci et la règle principale sont des règles d’expressions régulières qui s’appliquent à un même champ dans Endpoint Management Connector pour Exchange ActiveSync. Dans ce cas, ce champ est ActiveSync device ID. Les expressions régulières peuvent ou non se chevaucher. C’est à vous de décider si vos expressions régulières sont correctement conçues.

Exemple d’expression complexe

De nombreux remplacements, conflits ou compléments sont susceptibles de se produire, c’est pourquoi il est impossible de fournir des exemples couvrant tous les scénarios envisageables. L’exemple suivant explique ce qu’il ne faut pas faire, et sert aussi à illustrer toute la portée de la présentation visuelle de l’analyse des règles. La plupart des éléments sont soulignés dans la figure ci-après. Plusieurs des éléments s’affichent dans une police plus claire, ce qui indique que la règle en question a été remplacée par une règle dont la priorité est plus élevée. Un certain nombre de règles d’expressions régulières sont incluses dans la liste, comme l’indique l’icône Image de l’icône.

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Comment analyser un remplacement

Pour afficher la ou les règles qui ont remplacé une règle particulière, cliquez sur cette dernière.

Exemple 1 : cet exemple explique pourquoi zentrain01@zenprise.com a été remplacée.

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

La règle principale (règle de groupe AD zenprise/TRAINING/ZenTraining B, dont zentrain01@zenprise.com est un membre) présente les caractéristiques suivantes :

  • Est surlignée en bleu et encadrée par une bordure pleine.
  • A une flèche verte pointant vers le haut (pour indiquer que la règle secondaire ou l’ensemble des règles se trouvent au-dessus).
  • Est suivie d’un cercle rouge et d’un cercle noir pour indiquer respectivement qu’une ou plusieurs règles secondaires sont en conflit et que la règle principale a été remplacée et n’est donc pas active.

Si vous faites défiler vers le haut, vous pouvez voir ce qui suit :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Dans ce cas, il existe deux règles secondaires qui remplacent la règle principale : la règle d’expression régulière zen.* et la règle normale zentrain01@zenprise.com (de zenprise/TRAINING/ZenTraining A). Dans le cas de la dernière règle secondaire, la règle de groupe Active Directory ZenTraining A contient l’utilisateur zentrain01@zenprise.com et la règle de groupe Active Directory ZenTraining B contient aussi l’utilisateur zentrain01@zenprise.com. Toutefois, étant donné que la règle secondaire a une priorité plus élevée que la règle principale, la règle principale a été remplacée. L’accès à la règle principale est Autoriser. Et comme l’accès des deux règles secondaires est Bloquer, toutes sont suivies d’un cercle rouge indiquant un conflit d’accès.

Exemple 2 : cet exemple illustre la raison pour laquelle l’appareil avec l’ID d’appareil ActiveSync 069026593E0C4AEAB8DE7DD589ACED33 a été remplacé :

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

La règle principale (règle d’ID d’appareil normale 069026593E0C4AEAB8DE7DD589ACED33) présente les caractéristiques suivantes :

  • Est surlignée en bleu et encadrée par une bordure pleine.
  • A une flèche verte pointant vers le haut (pour indiquer que la règle secondaire doit se trouver au-dessus).
  • Est suivie par un cercle noir indiquant qu’une règle secondaire a remplacé la règle principale et que la règle est par conséquent inactive.

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Dans ce cas, une seule règle secondaire remplace la règle principale : la règle d’expression régulière d’ID d’appareil ActiveSync est 3E.*. Comme l’expression régulière 3E.* correspond à 069026593E0C4AEAB8DE7DD589ACED33, la règle ne sera jamais évaluée.

Comment analyser un supplément et un conflit

Dans ce cas, la règle principale est la règle d’expression régulière de type d’appareil ActiveSync touch.* Les caractéristiques sont les suivantes :

  • Est signalée par une bordure pleine et surlignée en jaune indiquant qu’il y a plus d’une seule règle d’expression régulière appelant le même champ de règle, dans ce cas, ActiveSync device type.
  • Deux flèches pointant vers le haut et vers le bas, ce qui indique qu’il existe au moins une règle secondaire avec une priorité plus élevée et au moins une règle secondaire avec une priorité inférieure.
  • Le cercle rouge à côté indique qu’au moins une règle secondaire a son accès défini sur Allow, ce qui entre en conflit avec l’accès de la règle principale qui est défini sur Block
  • Il existe deux règles secondaires : la règle d’expression régulière ActiveSync Device Type SAM.* et la règle d’expression régulière ActiveSync Device Type Andro.*.
  • Les deux règles secondaires sont encadrées par des pointillés pour indiquer qu’elles sont secondaires.
  • Les règles secondaires sont surlignées en jaune pour indiquer qu’elles s’appliquent en aussi au champ de la règle ActiveSync Device Type.
  • Vous devez vous assurer dans de tels scénarios que leurs règles d’expressions régulières ne sont pas redondantes.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Comment améliorer l’analyse des règles

Cet exemple explique pourquoi les relations entre les règles sont toujours abordées du point de vue de la règle principale. L’exemple précédent a montré comment un clic sur la règle d’expression régulière s’appliquait au champ de règle de type de périphérique avec une valeur de touch.*. Un clic sur la règle secondaire Andro.* montre un ensemble différent de règles secondaires mises en évidence.

Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Cet exemple présente une règle remplacée qui est inclue dans la relation de règle. Cette règle est la règle normale ActiveSync Device Type Android, qui est remplacée (indiquée par une police plus claire et un cercle noir à côté) et qui entre également en conflit avec la règle d’expression régulière principale ActiveSync Device Type Andro.*. Cette règle était auparavant une règle secondaire avant d’être sélectionnée. Dans l’exemple précédent, la règle normale ActiveSync Device Type Android n’était pas affichée en tant que règle secondaire, car du point de vue de la règle principale (règle d’expression régulière ActiveSync Device Type touch.*), elle n’était pas liée.

Pour configurer une règle locale d’expression normale

  1. Cliquez sur l’onglet Access Rules.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

  2. Dans la liste Device ID, sélectionnez le champ pour lequel vous souhaitez créer une règle locale.

  3. Cliquez sur l’icône de la loupe pour afficher tous les résultats uniques pour le champ sélectionné. Dans cet exemple, le champ Device Type a été choisi et les choix sont affichés ci-dessous dans la zone de liste.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

  4. Cliquez sur un des éléments dans la liste des résultats et cliquez sur l’une des options suivantes :

    • Allow signifie qu’Exchange sera configuré pour permettre le trafic ActiveSync pour tous les appareils correspondant.
    • Deny signifie que Exchange sera configuré de manière à refuser le trafic ActiveSync de tous les appareils correspondant.

    Dans cet exemple, les appareils dont le type est SamsungSPhl720 se voient refuser l’accès.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Pour ajouter une expression régulière

Les règles locales d’expressions régulières peuvent être différenciées par l’icône qui s’affiche à leur côté - Image de l’icône.

Pour ajouter une règle d’expression régulière, vous pouvez créer une règle d’expression régulière à partir d’une valeur existante dans la liste des résultats pour un champ donné (si un instantané principal a été effectué), ou vous pouvez simplement saisir l’expression régulière que vous souhaitez.

Pour créer une expression régulière à partir d’une valeur de champ existant

  1. Cliquez sur l’onglet Access Rules.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

  2. Dans la liste Device ID, sélectionnez le champ pour lequel vous souhaitez créer une règle d’expression régulière locale.

  3. Cliquez sur l’icône de la loupe pour afficher tous les résultats uniques pour le champ sélectionné. Dans cet exemple, le champ Device Type a été choisi et les choix sont affichés ci-dessous dans la zone de liste.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

  4. Cliquez sur un des éléments dans la liste des résultats. Dans cet exemple, SAMSUNGSPHL720 a été sélectionné et s’affiche dans la zone de texte adjacente à Device Type.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

  5. Pour autoriser tous les types d’appareils qui ont « Samsung » dans leur valeur Device Type, ajoutez une règle d’expression régulière en suivant les étapes suivantes :

    1. Cliquez dans la zone de texte de l’élément sélectionné.

    2. Remplacez le texte SAMSUNGSPHL720 par SAMSUNG.*.

    3. Vérifiez que la case regular expression est cochée.

    4. Cliquez sur Autoriser.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Pour créer une règle d’accès

  1. Cliquez sur l’onglet Local Rules.
  2. Pour entrer l’expression régulière, vous devez utiliser la liste Device ID et la zone de texte de l’élément sélectionné.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

  3. Sélectionnez le champ que vous voulez mettre en correspondance. Cet exemple utilise Device Type.
  4. Entrez l’expression régulière. Cet exemple utilise samsung.*
  5. Assurez-vous que la case regular expression est cochée et cliquez sur Allow ou Deny. Dans cet exemple, le choix est Allow. Le résultat final est le suivant :

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Pour rechercher des appareils

En cochant la case « regular expression », vous pouvez rechercher des appareils correspondant à l’expression donnée. Cette fonction est uniquement disponible si un instantané principal a été effectué. Vous pouvez utiliser cette fonction, même si vous ne prévoyez pas d’utiliser des règles d’expressions régulières. Imaginons que vous souhaitiez rechercher tous les appareils contenant « workmail » dans l’ID d’appareil ActiveSync. Pour ce faire, suivez cette procédure.

  1. Cliquez sur l’onglet Access Rules.
  2. Assurez-vous que le sélecteur de champ d’appareil est défini sur Device ID (valeur par défaut).

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

  3. Cliquez sur la zone de texte de l’élément sélectionné (comme illustré en bleu dans la figure précédente) puis tapez workmail.*.
  4. Vérifiez que la case regular expression est cochée et cliquez sur l’icône de la loupe pour afficher les correspondances comme illustré dans la figure suivante.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Pour ajouter un seul utilisateur, appareil ou type d’appareil à une règle statique

Vous pouvez ajouter des règles statiques basées sur l’utilisateur, l’ID d’appareil ou le type d’appareil sur l’onglet ActiveSync Devices .

  1. Cliquez sur l’onglet ActiveSync Devices.

  2. Dans la liste, cliquez avec le bouton droit sur un utilisateur, un appareil ou un type d’appareil et choisissez si vous souhaitez autoriser ou refuser votre sélection.

    L’image suivante montre l’option Allow/Deny lorsque user1 est sélectionné.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Surveillance des appareils

L’onglet Monitor de Endpoint Management Connector pour Exchange ActiveSync permet de visualiser les appareils Exchange ActiveSync et BlackBerry qui ont été détectés et l’historique des commandes PowerShell automatisées qui ont été émises. L’onglet Monitor inclut les trois onglets suivants :

  • Appareils ActiveSync :
    • Vous pouvez exporter les partenariats d’appareils ActiveSync affichés en cliquant sur le bouton Export.
    • Vous pouvez ajouter des règles locales (statiques) en cliquant avec le bouton droit sur les colonnes User, Device IDType et en choisissant la règle d’autorisation ou de blocage appropriée.
    • Pour réduire une ligne développée, faites un Ctrl-clic sur la ligne développée.
  • Appareils BlackBerry
  • Historique d’automatisation

L’onglet Configure affiche l’historique de tous les instantanés. L’historique d’instantané affiche le moment où l’instantané a été capturé, la durée nécessaire à la capture, le nombre d’appareils détectés et toutes les erreurs qui se sont produites :

  • Sur l’onglet Exchange, cliquez sur l’icône d’information pour le serveur Exchange Server désiré.
  • Sous l’onglet MSP, cliquez sur l’icône d’information pour le serveur BlackBerry désiré.

Dépannage et diagnostics

Endpoint Management Connector pour Exchange ActiveSync consigne les erreurs et d’autres informations opérationnelles dans son fichier journal : dossier d’installation\log\XmmWindowsService.log. Endpoint Management Connector pour Exchange ActiveSync consigne également les événements importants dans le journal d’événements Windows.

Modifier le niveau de journalisation

Le connecteur Endpoint Management pour Exchange ActiveSync inclut les niveaux de journalisation suivants : Error, Info, Warn, Debug et Trace.

Remarque :

Chaque niveau successif génère plus de détails (plus de données). Par exemple, le niveau Error fournit le moins de détails, tandis que le niveau Trace fournit le plus de détails.

Pour modifier le niveau de journalisation, procédez comme suit :

  1. Dans C:\Program Files\Citrix\Citrix Endpoint Management connector, ouvrez le fichier nlog.config.
  2. Dans la section <rules>, remplacez le paramètre minilevel par le niveau de journalisation souhaitée. Par exemple :

        <rules>
    
        <logger name="*" writeTo="file" minlevel="Debug" />
    
        </rules>
    <!--NeedCopy-->
    
  3. Enregistrez le fichier.

    Les modifications prennent effet immédiatement. Vous n’avez pas besoin de redémarrer le connecteur pour Exchange ActiveSync.

Erreurs fréquentes

La liste suivante contient des erreurs courantes :

  • Le service Endpoint Management Connector pour Exchange ActiveSync ne démarre pas

    En cas d’erreurs, consultez le fichier journal et le journal des événements Windows. Les raisons habituelles sont les suivantes :

    • Le service Endpoint Management Connector pour Exchange ActiveSync ne peut pas accéder au serveur SQL. Cela peut être dû aux problèmes suivants :

      • Le service SQL Server n’est pas exécuté.
      • Échec de l’authentification.

      Si l’authentification Windows Integrated est configurée, le compte utilisateur du service Endpoint Management Connector pour Exchange ActiveSync doit être une ouverture de session SQL autorisée. Le compte du service Endpoint Management Connector pour Exchange ActiveSync est par défaut le compte système local, mais il peut être remplacé par un autre compte disposant des privilèges d’administrateur local. Si l’authentification SQL est configurée, l’ouverture de session SQL doit être correctement configurée dans SQL.

    • Le port configuré pour le fournisseur de services mobiles (MSP) n’est pas disponible. Le port d’écoute sélectionné ne doit pas être utilisé par un autre processus du système.

  • XenMobile ne peut pas se connecter au MSP

    Vérifiez que le port du service MSP et le transport sont correctement configurés dans l’onglet Configure > MSP de la console Endpoint Management Connector pour Exchange ActiveSync. Vérifiez qu’un groupe ou utilisateur d’autorisations est correctement défini.

    Si le protocole HTTPS est configuré, vous devez installer un certificat de serveur SSL valide. Si IIS est installé, vous pouvez utiliser le gestionnaire IIS (Internet Information Services) pour installer le certificat. Si IIS n’est pas installé, consultez la section Procédure : Configurer un port avec un certificat SSL pour plus de détails sur l’installation des certificats.

    Endpoint Management Connector pour Exchange ActiveSync contient un utilitaire qui permet de tester la connectivité au service MSP. Exécutez le programme DossierInstallation\MspTestServiceClient.exe et paramétrez l’URL et les informations d’identification afin qu’elles correspondent à celles qui sont configurées dans XenMobile, puis cliquez sur Test Connectivity. Cela simule les requêtes de service Web que XenMobile Server émet. Si le protocole HTTPS est configuré, vous devez spécifier le nom d’hôte actuelle du serveur (le nom spécifié dans le certificat SSL).

    Lors de l’utilisation de Test Connectivity, assurez-vous d’avoir au moins un enregistrement ActiveSyncDevice ou le test risque d’échouer.

    Image de la page de la console Endpoint Management Connector pour Exchange ActiveSync

Outils de résolution des problèmes

Des utilitaires PowerShell destinés au dépannage sont disponibles dans le dossier Support\PowerShell.

Un outil de dépannage effectue une analyse approfondie des boîtes aux lettres et appareils des utilisateurs, détecte les conditions d’erreur et les zones de défaillance potentielles, et réalise également une analyse approfondie des RBAC (contrôle d’accès basé sur un rôle) des utilisateurs. Il peut enregistrer les sorties brutes de toutes les applets de commande sur un fichier texte.

Endpoint Management Connector pour Exchange ActiveSync