Endpoint Managementコネクタ:Exchange ActiveSync用
XenMobile Mail Managerは「Endpoint Managementコネクタ:Exchange ActiveSync用」になりました。Citrix統合製品ラインについて詳しくは、Citrix製品名ガイドを参照してください。
コネクタは、以下の方法でXenMobileの機能を拡張します:
- Exchange ActiveSync(EAS)デバイスに対するダイナミックアクセス制御。EASデバイスのExchangeサービスに対するアクセスを自動的に許可または禁止できます。
- Exchangeが提供するEASデバイスパートナーシップ情報にアクセスする、XenMobileの機能。
- EASのステータスに基づいてモバイルデバイスでワイプを実行するXenMobileの機能。
- Blackberryデバイスに関する情報にアクセスしたり、ワイプやパスワードリセットなどの制御操作を実行したりするXenMobileの機能。
EASのステータスに基づいてデバイスをワイプするには、ActiveSyncトリガーで自動化された操作を構成します。「自動化された操作」を参照してください。
Endpoint Managementコネクタ:Exchange ActiveSync用をダウンロードするには:
- https://www.citrix.com/downloadsに移動します。
- Citrix Endpoint Management(およびCitrix XenMobile Server)> XenMobile Server(オンプレミス)> Product Software > XenMobile Server 10 > Server Componentsの順に移動します。
- [Citrix Endpoint Managementコネクタ:Exchange ActiveSync用] タイルで [Download File] をクリックします。
重要:
2022年10月以降、Microsoft社がこちらで発表した認証の変更を考慮して、Exchange ActiveSyncのEndpoint ManagementおよびCitrix Gatewayコネクタは、Exchange Onlineをサポートしなくなります。ExchangeのEndpoint Managementコネクタは、引き続きMicrosoft Exchange Server(オンプレミス)で機能します。
新機能
以下のセクションでは、「Endpoint Managementコネクタ:Exchange ActiveSync用」(旧称:XenMobile Mail Manager)の新機能を示します。
バージョン10.1.10の新機能
バージョン10.1.10では、次の問題が解決されています。
- ネットワークの問題が頻繁に発生している場合、以前の3回の試行では、スナップショットを完了できない場合があります。このリリースでは、管理者は最大試行数(1~10)を設定できます。この修正により、スナップショットの通信が複数回中断されても、スナップショット処理を完全に放棄する必要がなくなりました。[CXM-70837]
- 以前のバージョンでは、Exchange構成の一覧にスナップショットの種類が表示されませんでしたが、スナップショットの種類が表示されるようになりました。[CXM-70846]
- PowerShellによって報告されたPSRemotingTransportの例外は、Exchangeへのセッションが実行可能ではなくなったことを示しています。この状態は、デフォルトで構成ファイルの[重大なエラー]の一覧に追加されます。これにより、PSRemotingTransportExceptionが検出されると、この接続は後で廃棄のために[エラー]としてマークされます。次の通信で、有効な接続を使用するか、接続を作成します。[XMHELP-2184, CXM-70836]
- 構成の変更を保存すると、新しい構成を読み込む前に、以前に構成された内部コンポーネントの一部が適切に廃棄されない可能性があります。この問題により、予期しない動作が発生する可能性があります。動作は、特定の変更によって、また変更が以前の構成と競合しているかどうかによって異なります。このリリースでは、新しい構成が読み込まれる前に、すべての内部コンポーネントが破棄されます。[XMHELP-2259, CXM-71388]
以前のバージョンの新機能
次のセクションでは、Endpoint Managementコネクタ:Exchange ActiveSync用の機能と、以前のバージョンから解決された問題の一覧を示します。
バージョン10.1.9の新機能
バージョン10.1.9では、次の問題が解決されています。
- 構成の変更は、より一貫性のある方法で処理されるようになりました。サービスが構成の変更を検出すると、各内部サブシステムが停止します。その結果、アクティブな処理またはスケジュールされた処理が中断されます。次に、新しい構成が読み込まれ、サブシステムが再起動します。つまり、すべてのスケジュールと他の内部インフラストラクチャが新しい設定で再確立されます。これによって、バージョン10.1.8の既知の問題が修正されます。[CXM-47709, CXM-61330]
- アップグレード中に、既存のデータベース構成が新しい構成ファイルにマージされませんでしたが、アップグレードされた構成ファイルにデータベース構成がマージされるようになりました。[CXM-49326]
- スナップショット関連の診断ファイルで、列見出しが見つかりませんでした。この見出しは復元されます。[CXM-62680]
- 以前のバージョンからアップグレードする場合、構成ファイルのデフォルトのセクションは、使用中の構成ファイルの類似セクションによって上書きされていました。この問題により、アップグレード後にサービスによって読み込まれるデフォルトのセクションに対する追加や機能向上が無視されていました。このバージョンでは、デフォルトのセクションには常に最新の構成が反映されます。[CXM-62681]
-
管理者は、アプリケーションの実行時にShiftキーを押すことで特定のオプションにアクセスできなくなります。これらのオプションは、以前はCitrix権限で使用できました。[Allow Redirection]などの一部のオプションは完全に使用できるようになり、[Hang Detection]や[Count Correction]などの他のオプションは廃止されました。[CXM-62767]
バージョン10.1.8の新機能
バージョン10.1.8では、次の問題が解決されています。
- Citrix Endpoint Managementコネクタ:Exchange ActiveSyncサービス用が頻繁にコマンドを発行しないように、Exchangeが調整することがあります。これは、Office 365への接続でよくあることです。この結果、次のコマンドの送信前にサービスが一定期間停止する必要があります。構成コンソールで、停止の残り時間が表示されるようになりました。[CXM-48044]
- 構成ファイル(config.xml)の「Watchdog」セクションや「SpecialistsDefaults」セクションが変更されても、アップグレード後の構成ファイルに変更が反映されませんでした。このリリースでは、新しい構成ファイルに変更が正しく反映されます。[CXM-52523]
- Google Analyticsに送信される分析内容(特にスナップショット関連)にさらに詳細が追加されました。[CXM-56691]
- Exchangeの接続性テスト機能が接続を開始しようとするのは1回だけです。Office 365の接続は調整されることがあるため、調整時に接続性テストが失敗したように見えることがあります。Citrix Endpoint Managementコネクタ:Exchange ActiveSync用では、接続の開始を最大3回試行するようになりました。[CXM-58180]
- Exchangeでポリシーを有効にするには、Citrix Endpoint Managementコネクタ:Exchange ActiveSync用がSet-CASMailboxコマンドを実行して、各メールボックスですべての関連デバイスを次の2つの一覧に登録する必要があります:許可およびブロック。デバイスがどちらの一覧にも含まれていない場合、Exchangeはデフォルトのアクセス状態にフォールバックします。このデフォルトのアクセス状態がデバイスの必要な状態とは異なる場合、デバイスはコンプライアンス違反になります。したがって、許可が必要なExchangeのデフォルトのアクセス状態がブロックである場合、ユーザーはメールにアクセスできなくなる可能性があります。または、メールへのアクセスをブロックする必要があるユーザーにアクセス権が付与される場合もあります。Citrix Endpoint Managementコネクタ:Exchange ActiveSync用によって、必要な状態を有効にしたすべてのデバイスが各Set-CasMailboxコマンドに含まれるようになりました。[CXM-61251]
バージョン10.1.8では、次の既知の問題が確認されています。
サービスがスナップショットやポリシー評価のような長期間の操作を実行しているときに構成データを変更する構成アプリケーションで管理者が変更を加えると、サービスが不確定の状態になることがあります。その結果、ポリシーの変更が処理されない、またはスナップショットが開始されないなどの現象が発生することがあります。サービスを稼働状態に戻すには、サービスを再起動する必要があります。サービスを開始する前に、Windowsサービスマネージャーでサービスプロセスの終了が必要な場合があります。[CXM-61330]
バージョン10.1.7の新機能
- XenMobile Mail Managerは「Endpoint Managementコネクタ:Exchange ActiveSync用」になりました。
- [Exchangeの構成]ダイアログボックスの [パイプライン処理を無効にする] オプションは廃止されました。同じ機能を実現するには、config.xmlファイルの各コマンドに複数の手順を設定します。[CXM-54593]
バージョン10.1.7では、次の問題が解決されています。
- [スナップショット履歴]ウィンドウでは、エラーメッセージにコンテキストがほとんど表示されないことがあります。エラーメッセージに、発生した場所のコンテキストが接頭辞に付くようになりました。[CXM-49157]
- XmmGoogleAnalytics .dllには、リリースに対応するファイルバージョンがありませんでした。[CXM-52518]
- 診断を改善するために、最近、メールボックスの許可/ブロック状態を設定するために使用するデバイスIDのリストの文字列形式を変更しました。ただし、デバイスが多すぎたため、仕様が最大文字列サイズを超えました。そのため内部配列データ構造を採用しました。この構造にサイズの制限はなく、データを診断の目的に適した形式にフォーマットします。[CXM-52610]
- Exchangeに同期されていないデバイスポリシーが検出された場合、このデバイスポリシーのコマンドの対象には、関連するメールボックスに属していないデバイスが含まれる可能性がありました。「Endpoint Managementコネクタ:Exchange ActiveSync用」では、Exchangeへのコマンドが各メールボックスに属するデバイスのみを対象とするようになりました。[CXM-54842]
- 一部の環境では、Microsoftアセンブリは使用できません。必要なアセンブリがアプリケーションとともに明示的にインストールされるようになりました。[CXM-55439]
- デバイスまたはメールボックスの識別名で、属性名と等号の間や等号の後にスペースが含まれている場合、「Endpoint Managementコネクタ:Exchange ActiveSync用」がデバイスをそのメールボックスに(またはその逆)正しく一致させないことがあります。その結果、スナップショットの調停時に一部のデバイスやメールボックスが拒否される可能性があります。[CXM-56088]
注:
以下のセクションでは、「Endpoint Managementコネクタ:Exchange ActiveSync用」を旧称のXenMobile Mail Managerで呼びます。名前はバージョン10.1.7から変更されました。
バージョン10.1.6.20の更新点
10.1.6に対する更新プログラムには、10.1.6.20で追加された以下の修正が含まれています:
- Exchangeに同期されていないデバイスポリシーが検出された場合、このデバイスポリシーのコマンドの対象には、関連するメールボックスに属していないデバイスが含まれる可能性がありました。XenMobile Mail Managerでは、Exchangeへのコマンドで各メールボックスに属するデバイスのみを対象とするようになりました。[CXM-54842]
バージョン10.1.6の新機能
XenMobile Mail Managerバージョン10.1.6では、次の問題の修正と機能の強化が行われました。
- [スナップショット履歴]ウィンドウが時々更新されなくなることがありました。このウィンドウの更新メカニズムが改善され、更新がより確実に行われるようになりました。[CXM-47983]
- パーティション化済みのスナップショットとパーティション化されていないスナップショットに、別々のモードおよびコードパスが使用されていました。パーティション化されていないスナップショットは、単一の「*」パーティションを用いた構成でパーティション化したスナップショットと同じであったため、パーティション化なしのスナップショットモードは削除されました。デフォルトのスナップショットモードは、36個のパーティション(0~9、A~Z)でパーティション化されたスナップショットになりました。[CXM-49093]
- [スナップショット履歴]ウィンドウで、エラーメッセージが状態メッセージにより上書きされていました。このバージョンより、状態とエラーを同時に確認できるよう、XenMobile Mail Managerに2つの別々のフィールドが表示されるようになりました。[CXM-51942]
- Exchange Online(Office 365)に接続するときに、スナップショット関連のクエリによってデータセットの切り捨てが行われることがありました。この問題は、XenMobile Mail Managerで複数のコマンドをパイプラインでつないだスクリプトを実行すると発生していました。上流のコマンドから下流のコマンドへデータを渡す速度が十分ではなかったため、作業が途中で終了し、結果としてデータが不完全になっていました。このバージョンより、XenMobile Mail Managerでパイプラインそのものを再現できるようになったため、上流のコマンドが完了するまで待機してから、下流のコマンドが呼び出されるようになりました。この変更により、すべてのデータが処理され、記録されるようになります。[CXM-52280]
- Exchangeに対するポリシー更新コマンドで解決不能なエラーが発生した場合、そのコマンドが長時間にわたって繰り返し作業キューへ返されていました。このため、Exchangeに何度も同じコマンドが送信されていました。このバージョンのXenMobile Mail Managerでは、エラーが生じたコマンドは、限られた回数だけ作業キューへ返されるようになりました。[CXM-52633]
- 特定のメールボックスのポリシー更新で全デバイスの許可またはブロックを行った場合:空のリストがNULLではなく空の文字列に変換されていたため、発行した Set-CASMailbox コマンドが失敗していました。このバージョンより、適切なデータが送信されるようになりました。[CXM-53759]
- 新しいデバイスを処理する場合、Exchangeでは一定時間(通常15分)にわたり、「DeviceDiscovery」という状態が返されることがあります。XenMobile Mail Managerでは、この状態を特に処理していませんでした。このバージョンより、XenMobile Mail Managerは、この状態を処理するようになりました。UIの[モニター]タブで、この状態にあるデバイスをフィルターできるようになりました。[CXM-53840]
- XenMobile Mail Managerでは、XenMobile Mail Managerデータベースへの書き込みが可能かどうかのチェックを行っていませんでした。そのため、権限に制限があると、動作を予測できていませんでした。このバージョンより、XenMobile Mail Managerは、データベースで必要な権限を取得、検証するようになりました。XenMobile Mail Managerで、接続のテスト中(表示メッセージ)、またはメインの[構成]ウィンドウ下部のデータベースインジケーター(マウスカーソルを重ねるとメッセージを表示)に、権限が足りないことが示されるようになりました。[CXM-54219]
- 実行中のワークロードによっては、XenMobile Mail Managerサービスに命令を出してもすぐに止まらないことがありました。このため、サービスは応答なし状態のようになっていました。改善により実施中のタスクを中断できるようになり、シャットダウンが正常に行われるようになりました。[CXM-54282]
バージョン10.1.5の新機能
XenMobile Mail Managerバージョン10.1.5では、次の問題が修正されています。
- ExchangeがXenMobile Mail Managerのアクティビティを制限している場合でも、制限が行われていることがログ以外に示されていませんでした。このリリースでは、アクティブなスナップショットにマウスカーソルを重ねると、「制限中」状態が表示されるようになりました。また、XenMobile Mail Managerが制限を受けている場合、Exchangeで制限が解除されるまでメジャースナップショットを開始できなくなりました。[CXM-49617]
- メジャースナップショット中にExchangeによりXenMobile Mail Managerが制限されている場合:十分な時間が経過する前に、次のスナップショットが試行されることがありました。この問題により、さらに制限が行われ、スナップショットは失敗していました。このバージョンより、XenMobile Mail Managerは、各スナップショット試行の間にExchangeで指定された最小時間だけ待機するようになりました。[CXM-49618]
- 診断を有効にすると、コマンドファイルに、各プロパティ名の前にハイフンがついていない Set-CasMailbox コマンドが表示されていました。この問題は診断ファイルの書式内でのみ発生し、Exchangeへの実際のコマンドでは発生しません。ハイフンが不足しているため、コマンドを切り取って直接PowerShellプロンプトに貼り付けて、テストや検証を行うことができませんでした。このバージョンより、ハイフンが追加されました。[CXM-52520]
- メールボックスIDの形式が「姓, 名」の場合、Exchangeでは、クエリのデータを返すときにコンマの前にバックスラッシュが追加されます。XenMobile Mail ManagerでこのIDを使用してさらにデータのクエリを行う場合、このバックスラッシュは削除する必要があります。[CXM-52635]
既知の制限事項
注:
バージョン10.1.6では次の制限が解決されています。
XenMobile Mail Managerには、Exchangeに対するコマンドの失敗の原因となる可能性がある既知の問題が存在しています。ポリシーの変更をExchangeに適用する場合、XenMobile Mail Managerにより Set_CASMailbox コマンドが発行されます。このコマンドでは、許可リストと禁止リストの2つのデバイスリストを取ることができます。コマンドは、メールボックスのパートナーに設定されているデバイスに適用されます。
これらの各リストの文字数は、MicrosoftのAPIにより256文字までに制限されています。どちらかのリストの文字数がこの制限を超えると、コマンド全体が失敗し、指定したメールボックスのデバイスにはいずれのポリシーも設定されません。エラーは次のような形で、XenMobile Mail Managerログに表示されます。禁止リストの場合の例を次に示します。
“メッセージ: ‘パラメーター ‘ActiveSyncBlockedDeviceIDs’ をターゲットにバインドできません。例外設定 “ActiveSyncBlockedDeviceIDs”:”プロパティが長すぎます。文字数の上限は256文字であり、指定された値の長さは…”
デバイスIDの長さはさまざまですが、通常10台以上のデバイスを一度に許可または禁止しようとするとこの制限を超える可能性があります。あまり行われませんが、多数のデバイスを特定のメールボックスに関連付けることは可能です。XenMobile Mail Managerが改善されこのようなシナリオに対処できるようになるまでは、ユーザーおよびメールボックスに関連付けるデバイスの数は10台以下に制限することをお勧めします。[CXM-52633]
バージョン10.1.4の新機能
XenMobile Mail Managerバージョン10.1.4では、次の問題が修正されています。
- セキュリティの弱化のため、TLS 1.0はPCI評議会の推奨でなくなりました。XenMobile Mail ManagerにTLS 1.1および1.2のサポートが追加されました。[CXM-38573, CXM-32560]
- XenMobile Mail Managerに新しい診断ファイルが追加されました。Exchangeの仕様で [診断を有効にする] を選択すると、新しいスナップショット履歴ファイルが生成されます。スナップショットを試行するたびに、スナップショットの結果を含む行がファイルに追加されます。[CXM-49631]
- コマンド診断ファイルで、Set-CASMailboxコマンドで許可された、またはブロックされたデバイスの一覧が表示されませんでした。代わりに、関連する引数のファイルに内部クラス名が表示されていました。XenMobile Mail Managerで、deviceIDの一覧がコンマ区切り一覧として表示されるようになりました。[CXM-50693]
- 不適切な仕様のためにExchangeへの接続の確立が失敗した場合:エラーメッセージが、「すべての接続が使用中です」という不適切なメッセージで上書きされます。「すべての接続が動作不能」、「接続プールが空です」、「すべての接続が抑制されている」、「使用可能な接続がありません」などのよりわかりやすいメッセージが表示されるようになりました。[CXM-50783]
- XenMobile Mail Managerの内部キャッシュに、Allow、Block、またはWipeコマンドが複数回キューイングされることがあります。この問題により、Exchangeに送信されるコマンドの遅延が発生します。XenMobile Mail Managerは、各コマンドで1つのインスタンスのみをキューイングするようになりました。[CXM-51524]
バージョン10.1.3の新機能
- Google Analyticsのサポート: 製品の改善可能な箇所に集中できるように、私たちはユーザーの皆様がXenMobile Mail Managerをどのように使用しているかについて知りたいと考えています。
- 診断を有効にするための設定: [診断を有効にする] チェックボックスが、[設定] ダイアログボックスの設定コンソールに表示されます。
Version 10.1.3で解決された問題
- [スナップショット履歴] ウィンドウで、スナップショットの現在の状態を示すツールチップに実際の状態が反映されません。[CXM-5570] XenMobile Mail Managerがコマンド診断ファイルに書き込めないことがあります。これが発生すると、コマンド履歴全体が記録されません。[CXM-49217]
- 接続でエラーが発生した場合に、接続が「エラー」とマークされないことがあります。その結果、後続のコマンドが接続を使用しようとして、別のエラーを引き起こす可能性があります。[CXM-49495]
- Exchange Serverからの調整が発生すると、ヘルスチェックルーチンで例外がスローされる場合があります。その結果、エラーが発生した、または期限切れになった接続が削除されないことがあります。また、XenMobile Mail Managerは調整時間の期限が切れるまで接続を作成しないことがあります。[CXM-49794]
- Exchangeの最大セッション数を超えた場合にXenMobile Mail Managerから「デバイスのキャプチャに失敗した」というエラーが報告されますが、このメッセージは正確でありません。このメッセージではなく、XenMobile Mail Managerが通常Exchange通信に使用する2つのセッションが使用中であることを示すメッセージを表示する必要があります。[CXM-49994]
バージョン10.1.2の新機能
- Exchangeとの接続の改善: XenMobile Mail ManagerはPowerShellセッションを使用してExchangeと通信します。PowerShellセッション(特にOffice 365を扱う場合)は、しばらくすると不安定になり、その後のコマンドが正常に機能しなくなる可能性があります。XenMobile Mail Managerで接続の有効期限を設定できるようになりました。接続が有効期限に達すると、XenMobile Mail ManagerはPowerShellセッションを即時シャットダウンしてセッションを作成します。これにより、PowerShellセッションが不安定になる可能性が低くなり、スナップショットの失敗の可能性が大幅に減少します。
- スナップショットのワークフローの改善: 大半のスナップショットは、プロセスを集中的に使用する時間のかかる操作です。スナップショット中にエラーが発生した場合に、XenMobile Mail Managerがスナップショットの完了を複数回(最大3回)試行するようになりました。その後の試行では最初からは開始されません。中断した場所から続行します。この機能拡張により、スナップショットの進行中に一時的なエラーが発生するのを許容することで、スナップショットの成功率が向上します。
- 診断の改善: スナップショット中に3つの新しい診断ファイルが生成されるようになり(オプション)、スナップショット操作のトラブルシューティングが簡単になりました。これらのファイルは、PowerShellコマンドの問題、情報が欠落しているメールボックス、およびメールボックスに関連付けできないデバイスを識別するのに役立ちます。管理者はこれらのファイルを使用して、Exchange内の不適切なデータを識別できます。
- メモリ使用率の向上: XenMobile Mail Managerのメモリ使用効率が向上しました。管理者は、XenMobile Mail Managerを自動的に再起動し、システムにクリーンスレートが提供されるようにスケジュールできます。
- Microsoft .NET Framework 4.6の前提条件: Microsoft .NET Frameworkの前提条件がバージョン4.6になりました。
解決された問題
- 資格情報の要求エラー:Office 365のセッションが不安定なために、このエラーが発生することがよくありました。Exchangeへの接続を改善する機能強化により、この問題に対応しています。(XMHELP-293、XMHELP-311、XMHELP-801)
- メールボックスとデバイスの数が不正確:XenMobile Mail Managerで、メールボックスとデバイスの関連付けアルゴリズムが改善されました。診断機能の改善により、XenMobile Mail Managerが責任範囲外と判断したメールボックスとデバイスを識別できるようになりました。(XMHELP-623)
- Allow、Block、Wipeコマンドが認識されない:XenMobile Mail ManagerのAllow、Block、Wipeコマンドが認識されないことがあるバグが修正されました。(XMHELP-489)
- メモリ管理:メモリ管理とメモリ緩和が改善されました。(XMHELP-419)
アーキテクチャ
次の図は「Endpoint Managementコネクタ:Exchange ActiveSync用」の主要コンポーネントを示しています。詳細なリファレンスアーキテクチャ図については、「アーキテクチャ」を参照してください。
次の3つの主要コンポーネントがあります:
- Exchange ActiveSyncアクセス制御管理: XenMobileと通信して、XenMobileからExchange ActiveSyncポリシーを取得します。さらに、このポリシーをローカルに定義されているポリシーと統合して、Exchangeへのアクセスを許可または拒否するExchange ActiveSyncデバイスを決定します。ローカルポリシーにより、Active Directoryのグループ、ユーザー、デバイスの種類、またはデバイスのユーザーエージェント(一般的にはモバイルプラットフォームのバージョン)によってアクセス制御できるように、ポリシー規則を拡張できます。
- リモートPowerShell管理: リモートのPowerShellコマンドのスケジュール設定と呼び出しを処理して、Exchange ActiveSyncアクセス制御管理によって作成されたポリシーを有効にします。定期的にExchange ActiveSyncデータベースのスナップショットを取得し、新規の、または変更されたExchange ActiveSyncデバイスを検出します。
- モバイルサービスプロバイダー: XenMobileでExchange ActiveSyncデバイスやBlackBerryデバイスに対してクエリを実行したり、Wipeなどの制御操作を発行したりできるように、Webサービスインターフェイスを提供します。
システム要件および前提条件
Endpoint Managementコネクタ:Exchange ActiveSync用を使用するには、次の最小システム要件が必要です:
- Windows Server 2016、Windows Server 2012 R2またはWindows Server 2008 R2 Service Pack 1。英語ベースのサーバーが必要です。Windows Server 2008 R2 Service Pack 1のサポートは2020年1月14日に終了し、Windows Server 2012 R2のサポートは2023年10月10日に終了します。
- Microsoft SQL Server 2016 Service Pack 2、またはSQL Server 2014 Service Pack 3。
- Microsoft .NET Framework 4.6。
- Blackberry Enterprise Serviceバージョン5(オプション)。
Microsoft Exchange Serverのサポートされる最小バージョン:
- Microsoft Office 365
- Exchange Server 2016
- Exchange Server 2013(サポートは 2023年4月11日に終了します)
- Exchange Server 2010 Service Pack 3(サポートは2020年1月14日に終了します)
前提条件
- Windows Management Frameworkがインストールされていること。
- PowerShell V5、V4、V3
- PowerShell実行ポリシーがSet-ExecutionPolicy RemoteSignedによってRemoteSignedに設定されていること。
-
Endpoint Managementコネクタ:Exchange ActiveSync用を実行しているコンピューターとリモートのExchange Serverの間で、TCPポート80が開いていること。
-
デバイスのメールクライアント: すべてのメールクライアントが、一貫してデバイスの同じActiveSync IDを返すわけではありません。Endpoint Managementコネクタ:Exchange ActiveSync用は、各デバイスに対して一意のActiveSync IDを前提とするため、デバイスごとに一意の同じActiveSync IDを一貫して生成するメールクライアントのみをサポートします。以下のメールクライアントはCitrixによりテスト済みで、エラーなく実行できます:
- Samsungのネイティブメールクライアント
- iOSのネイティブメールクライアント
-
Exchange: Exchangeを実行しているオンプレミスコンピューターの要件は以下のとおりです:
Exchangeの構成UIで指定される資格情報を使用してExchange Serverに接続でき、次のExchange固有のPowerShellコマンドレットを実行するためのフルアクセスが付与される必要があります。
-
Exchange Server 2010 SP2の場合:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Clear-ActiveSyncDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
-
Exchange Server 2013およびExchange Server 2016の場合:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get MobileDevice
- Get MobileDeviceStatistics
- Clear-MobileDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
- Endpoint Managementコネクタ:Exchange ActiveSync用がフォレスト全体を表示するように構成されている場合は、Set-AdServerSettings -ViewEntireForest $trueを実行するための権限が付与されている必要があります。
- 指定された資格情報には、リモートシェルを介して、Exchange Serverに接続する権限が与えられている必要があります。デフォルトでは、Exchangeをインストールしたユーザーがこの権限を持ちます。
- リモート接続を確立してリモートコマンドを実行するには、資格情報がリモートマシンの管理者であるユーザーに対応している必要があります。Set-PSSessionConfigurationを使用して管理要件を排除できますが、このコマンドの説明はこのドキュメントの範囲外です。詳しくは、Microsoft社の記事「セッション構成について」を参照してください。
- Exchange Serverは、HTTPを介してリモートPowerShell要求をサポートするように構成されている必要があります。通常、Exchange Serverで次のPowerShellコマンドを実行する管理者にとって必要なのは、WinRM QuickConfigだけです。
- Exchangeには多くの調整ポリシーがあります。調整ポリシーのいずれかによって、各ユーザーに対して許可されるPowerShellの同時接続数が制御されます。Exchange 2010の場合、1人のユーザーに許可されている同時接続数のデフォルトは18です。接続数の上限に達すると、Endpoint Managementコネクタ:Exchange ActiveSync用はExchange Serverに接続できなくなります。PowerShellの同時接続数の上限を変更する方法はいくつかありますが、このドキュメントでは扱いません。関心がある場合は、PowerShellによるリモート管理に関連する、Exchangeの調整ポリシーについて調べてください。
-
Exchange Server 2010 SP2の場合:
Office 365 Exchangeの要件
-
権限: Exchangeの構成UIで指定される資格情報を使用してOffice 365に接続でき、次のExchange固有のPowerShellコマンドレットを実行するためのフルアクセスが付与される必要があります:
- Get-CASMailbox
- Set-CASMailbox
- Get-Mailbox
- Get MobileDevice
- Get MobileDeviceStatistics
- Clear-MobileDevice
- Get-ExchangeServer
- Get-ManagementRole
- Get-ManagementRoleAssignment
- 特権: 指定された資格情報には、リモートシェルを介して、Office 365サーバーに接続する権限が与えられている必要があります。デフォルトでは、Office 365のオンライン管理者には、必要な権限が備えられています。
- 調整ポリシー: Exchangeには多くの調整ポリシーがあります。調整ポリシーのいずれかによって、各ユーザーに対して許可されるPowerShellの同時接続数が制御されます。Office 365の場合、1人のユーザーに許可されている同時接続数のデフォルトは3です。接続数の上限に達すると、Endpoint Managementコネクタ:Exchange ActiveSync用はExchange Serverに接続できなくなります。PowerShellの同時接続数の上限を変更する方法はいくつかありますが、このドキュメントでは扱いません。関心がある場合は、PowerShellによるリモート管理に関連する、Exchangeの調整ポリシーについて調べてください。
インストールと構成
-
XmmSetup.msiファイルをクリックして、インストーラーのプロンプトに従い、Endpoint Managementコネクタ:Exchange ActiveSync用をインストールします。
-
セットアップウィザードの最後の画面で、[Launch the Configure utility] をオンのままにしておきます。または、[スタート] メニューから、Endpoint Managementコネクタ:Exchange ActiveSync用を開きます。
-
次のデータベースプロパティを構成します:
- [Configure]>[Database] タブをクリックします。
- SQL Serverの名前(デフォルトはlocalhost)を入力します。
- データベースはデフォルトのCitrixXmmのままにします。
-
SQLに使用される次のいずれかの認証モードを選択します:
- SQL: 有効なSQLユーザーのユーザー名とパスワードを入力します。
- Windows統合: このオプションを選択した場合、Endpoint Managementコネクタ:Exchange ActiveSync用サービスのログオン資格情報を、SQL Serverにアクセスするための権限を持つWindowsアカウントに変更する必要があります。これを行うには、[コントロールパネル]、[管理ツール]、[サービス] の順に選択し、Endpoint Managementコネクタ:Exchange ActiveSync用サービスエントリを右クリックし、[ログオン] タブをクリックします。
BlackBerryデータベース接続に対しても「Windows統合」を選択している場合は、ここで指定されているWindowsアカウントにBlackBerryデータベースへのアクセスも付与する必要があります。
-
[Test Connectivity] をクリックしてSQL Serverに接続できることを確認し、[Save] をクリックします。
-
サービスの再起動を求めるメッセージが表示されます。[はい] をクリックします。
-
1つまたは複数のExchange Serverを構成します。
- 単一のExchange環境を管理している場合は、サーバーを1つのみ指定します。複数のExchange環境を管理している場合は、Exchange環境ごとに1つのExchange Serverを指定する必要があります。
- [Configure]>[Exchange] タブをクリックし、[Add] をクリックします。
-
Exchange Server環境の種類として[On Premise] または [Office 365] を選択します。
- [On Premise] を選択した場合は、リモートPowerShellコマンドで使用するExchange Serverの名前を入力します。
- 要件セクションに指定された、Exchange Serverに対する適切な権限を持つWindows IDのユーザー名を入力し、その後そのユーザーのパスワードを入力します。
- メジャースナップショットを実行するスケジュールを選択します。メジャースナップショットにより、すべてのExchange ActiveSyncパートナーシップが検出されます。
- マイナースナップショットを実行するスケジュールを選択します。マイナースナップショットにより、新しく作成されたExchange ActiveSyncパートナーシップが検出されます。
- スナップショットの種類として、[Deep] または [Shallow] を選択します。通常、簡易スナップショットははるかに高速で、Endpoint Managementコネクタ:Exchange ActiveSync用のExchange ActiveSyncアクセス制御機能をすべて実行するには十分です。詳細スナップショットは、処理にかかる時間が長くなることがあり、モバイルサービスプロバイダーがActiveSyncに対して有効にされている場合にのみ必要です。このオプションを使用すると、XenMobileは非管理デバイスを照会できます。
- [Default Access]で、[Allow]、[Block]、または [Unchanged] を選択します。この設定により、明示的なXenMobileまたはローカル規則で特定されたものを除くすべてのデバイスの処理方法が制御されます。[Allow] を選択すると、そのようなすべてのデバイスへのActiveSyncアクセスが許可されます。[Block] を選択すると、アクセスは拒否されます。[Unchanged] を選択すると、変更は行われません。
- [ActiveSync Command Mode]で、[PowerShell] または [Simulation] を選択します。
- [PowerShell] モードでは、Endpoint Managementコネクタ:Exchange ActiveSync用はPowerShellコマンドを発行し、必要なアクセス制御を有効にします。[Simulation]モードでは、Endpoint Managementコネクタ:Exchange ActiveSync用はPowerShellコマンドを発行しませんが、想定しているコマンドと結果をデータベースに記録します。[Simulation]モードでは、PowerShellモードを有効にした場合の結果を[Monitor]タブを使って確認できます。
- [Connection Expiration] で、接続の有効期間を分単位で設定します。接続が指定された経過時間に達すると、その接続は期限切れとマークされ、接続が再度使用されることはありません。期限切れの接続が使用されなくなると、Endpoint Managementコネクタ:Exchange ActiveSync用は接続を即時シャットダウンします。再接続が必要な場合は、使用可能なものがなければ、新しい接続が初期化されます。何も指定しないと、デフォルトの30分が使用されます。
- Exchange環境でActive Directoryフォレスト全体を表示するようにEndpoint Managementコネクタ:Exchange ActiveSync用を構成するには、[View Entire Forest] を選択します。
- 認証プロトコルとして [Kerberos] または [Basic] を選択します。Endpoint Managementコネクタ:Exchange ActiveSync用は、オンプレミス展開の基本認証をサポートします。これにより、Endpoint Managementコネクタ:Exchange ActiveSync用サーバーがExchange Serverが存在するドメインのメンバーでなくても、使用できるようになります。
- [Test Connectivity] をクリックしてExchange Serverに接続できることを確認し、[Save] をクリックします。
- サービスの再起動を求めるメッセージが表示されます。[はい] をクリックします。
-
アクセス規則を構成します:[Configure]>[Access Rules] タブの順に選択し、[XMS Rules] タブをクリックして、[Add] をクリックします。
-
[XenMobile server Service Properties] ページで、XenMobile Serverを指すようにURL文字列を変更します。たとえば、インスタンス名がzdmの場合は、
https://<XdmHostName>/zdm/services/MagConfigService
と入力します。この例では、XdmHostNameをXenMobile ServerのIPアドレスまたはDNSアドレスに置き換えます。- サーバーで認証されているユーザーを入力します。
- そのユーザーのパスワードを入力します。
- [Baseline Interval]、[Delta Interval]、および [Timeout] の値をデフォルト値のままにします。
- [Test Connectivity] をクリックして、サーバーへの接続を確認し、[OK] をクリックします。
[Disabled] チェックボックスがオンの場合は、XenMobile MailサービスでXenMobileからポリシーが収集されません。
-
[Local Rules]タブをクリックします。
- [ActiveSync Device ID]、[Device Type]、[AD Group]、[User]、またはデバイスの[UserAgent]に基づいてローカル規則を追加できます。一覧で、適切な種類を選択します。
- テキストボックスにテキストまたはテキストフラグメントを入力します。必要に応じて、クエリボタンをクリックしてフラグメントに一致するエンティティを表示します。
[Group]以外のすべての種類の場合、システムはスナップショットで見つかったデバイスに依存します。したがって、操作を開始したばかりでスナップショットが完了していない場合は、エンティティが使用できません。
- テキスト値を選択し、[Allow] または[Deny] をクリックして右側の [Rule List] ペインに追加します。[Rule List] ペインの右側にあるボタンを使用して、規則の順序を変更したり、規則を削除したりすることができます。順序は重要です。なぜなら、指定したユーザーおよびデバイスに対して規則が表示順に評価され、上位の規則(より上部に近い規則)に一致すると以降の規則が無効になるためです。たとえば、すべてのiPadデバイスを許可する規則とユーザー「Matt」をブロックする下位の規則がある場合、MattのiPadは許可されます。この理由は、「iPad」規則の効果の優先度が「Matt」規則よりも高いからです。
- 規則一覧内の規則の分析を実行して、上書き、競合、または補足構造の可能性を検出する場合は、[Analyze]、[Save] の順にクリックします。
-
Active Directoryのグループに対して使用するローカル規則を作成する場合は、[Configure LDAP] をクリックし、LDAP接続プロパティを構成します。
-
モバイルサービスプロバイダーを構成します。
モバイルサービスプロバイダーはオプションです。この設定は、モバイルサービスプロバイダーインターフェイスを使用して非管理対象デバイスを照会するようにXenMobileが構成されている場合にのみ必要です。
- [Configure]>[MSP] の順にタブをクリックします。
- モバイルサービスプロバイダーサービスのサービストランスポートの種類(HTTPまたはHTTPS)を設定します。
- モバイルサービスプロバイダーサービスのサービスポート(通常、80または443)を設定します。ポート443を使用する場合は、IISのこのポートにバインドされたSSL証明書が必要です。
- [Authorization Group] または [User] を設定します。これにより、XenMobileからモバイルサービスプロバイダーサービス接続できるユーザーまたは一連のユーザーが設定されます。
- ActiveSyncクエリを有効または無効に設定します。XenMobile ServerでActiveSyncクエリが有効の場合は、Exchange Server(1つまたは複数)のスナップショットの種類を [Deep] に設定する必要があります。この設定により、スナップショットの取得に相当なパフォーマンスコストがかかる場合があります。
- デフォルトでは、正規表現WorxMail.*に一致するActiveSyncデバイスは、XenMobileに送信されません。この動作を変更するには、必要に応じて [Filter ActiveSync] フィールドを変更します。 空白は、すべてのデバイスがXenMobileに転送されることを意味します。
- [保存] をクリックします。
-
必要に応じて、BlackBerry Enterprise Server(BES)のインスタンスを1つ以上構成します:[Add] をクリックし、BES SQL Serverのサーバー名を入力します
- BES管理データベースのデータベース名を入力します。
- 認証モードを選択します。統合Windows認証を選択すると、Endpoint Managementコネクタ:Exchange ActiveSync用サービスのユーザーアカウントが、BES SQL Serverへの接続に使用するアカウントになります。Endpoint Managementコネクタ:Exchange ActiveSync用のデータベース接続に[Windows Integrated]を選択する場合は、ここで指定したWindowsアカウントに、Endpoint Managementコネクタ:Exchange ActiveSync用データベースへのアクセス権も付与する必要があります。
- SQL認証を選択する場合、ユーザー名とパスワードを入力します。
- [Sync Schedule] を設定します。これは、BES SQL Serverへの接続とデバイス更新のチェックに使用するスケジュールです。
- [Test Connectivity] をクリックして、SQL Serverへの接続を確認します。[Windows Integrated]を選択している場合、このテストでは、Endpoint Managementコネクタ:Exchange ActiveSync用サービスのユーザーではなく、現在ログオンしているユーザーが使用されるため、SQL認証が正確にテストされません。
- XenMobileからのBlackBerryデバイスのリモートワイプやResetPasswordをサポートする場合は、[有効] チェックボックスをオンにします。
- BESの完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)を入力します。
- 管理者Webサービスで使用するBESポートを入力します。
- BESサービスに必要な完全修飾ユーザー名とパスワードを入力します。
- [Test Connectivity]をクリックして、BESへの接続をテストします。
- [保存] をクリックします。
ActiveSync IDによるメールポリシーの適用
企業のメールポリシーによっては、特定のデバイスで企業メールを使用することが認められない場合があります。このポリシーに従うには、そのようなデバイスから従業員が企業メールにアクセスできないようにする必要があります。Endpoint Managementコネクタ:Exchange ActiveSync用とXenMobileを連携させ、こうしたメールポリシーを適用することができます。XenMobileは企業の電子メールアクセスのポリシーを設定し、承認されていないデバイスがXenMobileに登録すると、Endpoint Managementコネクタ:Exchange ActiveSync用がポリシーを適用します。
デバイス上のメールクライアントはデバイスIDを使用してExchange Server(またはOffice 365)にクライアントの存在を通知します。このIDはActiveSync IDとしても知られており、デバイスを識別するために使用されます。Secure Hubでは同様の識別子を取得し、デバイスが登録されるとXenMobileにこの識別子を送信します。Endpoint Managementコネクタ:Exchange ActiveSync用で2つのデバイスIDを比較することによって、特定のデバイスに企業メールへのアクセスを許可するかどうかが判定されます。次の図は、この概念を示しています:
デバイスがExchangeに公開したIDと異なるActiveSync IDがXenMobileからEndpoint Managementコネクタ:Exchange ActiveSync用に送信されると、Endpoint Managementコネクタ:Exchange ActiveSync用からExchangeに対してそのデバイスに対する処理を指示できません。
ほとんどのプラットフォームで、ActiveSync IDは確実に一致します。ただし、一部のAndroidの実装で、デバイスが送信するActiveSync IDとメールクライアントがExchangeに通知するIDが異なることがCitrixで判明しています。この問題を緩和するため、次のことを実行できます。
- Samsung SAFEプラットフォームでは、デバイスのActiveSync構成をXenMobileからプッシュします。
企業メールアクセスポリシーの適切な適用を保証するために、セキュリティについて防御的なスタンスをとり、静的なポリシーを[Deny by default]に設定することでEndpoint Managementコネクタ:Exchange ActiveSync用でメールをブロックするように構成することができます。つまり、従業員がAndroidデバイスでメールクライアントを構成し、ActiveSync IDの検出が適切に動作しない場合、従業員は企業メールへのアクセスを拒否されることになります。
アクセス制御規則
Endpoint Managementコネクタ:Exchange ActiveSync用では、Exchange ActiveSyncデバイスのアクセス制御を動的に構成するための、規則に基づく手法が提供されます。Endpoint Managementコネクタ:Exchange ActiveSync用のアクセス制御規則は、一致式と目的のアクセス状態(許可またはブロック)の2つで構成されます。特定のExchange ActiveSyncデバイスに対して規則を評価して、その規則がデバイスに適用されるかどうか、またはデバイスと一致するかどうかを判別できます。一致式にはいくつかの種類があります。たとえば、規則は、特定のデバイスの種類のすべてのデバイス、特定のExchange ActiveSyncデバイスID、特定のユーザーのすべてのデバイスと一致するなどの条件を指定できます。
規則一覧の規則を追加、削除、および並べ替えているときに [Cancel] をクリックすると、規則一覧が最初に開いたときの状態に戻ります。[Save] をクリックしない限り、構成ツールを閉じるとこのウィンドウに対して加えた変更が失われます。
Endpoint Managementコネクタ:Exchange ActiveSync用には、ローカル規則、XenMobile Server規則(XDM規則とも呼ばれます)、およびデフォルトのアクセス規則の3種類の規則があります。
ローカル規則: ローカル規則が最も優先されます:デバイスがローカル規則と一致すると、規則の評価は停止します。XenMobile Server規則とデフォルトのアクセス規則は参照されません。ローカル規則は、[Configure]>[Access Rules]>[Local Rules] タブから、Endpoint Managementコネクタ:Exchange ActiveSync用に対してローカルに構成します。サポート一致は、特定のActive Directoryグループ内のユーザーのメンバーシップに基づきます。サポート一致は、次のフィールドの正規表現に基づいています:
- Active SyncデバイスID
- ActiveSyncデバイスの種類
- ユーザー プリンシパル名 (UPN)
- ActiveSyncユーザーエージェント(通常、デバイスプラットフォームまたはメールクライアント)
メジャースナップショットが完了し、デバイスが検出されている限り、通常の規則または正規表現の規則のいずれかを追加できます。メジャースナップショットが完了していない場合、正規表現の規則のみを追加できます。
XenMobile Server規則: 管理対象デバイスに関する規則を提供する外部XenMobile Serverへの参照です。XenMobile Serverは、デバイスがジェイルブレイク済みかどうかや、デバイスに禁止アプリが含まれるかどうかなど、XenMobileが認識しているプロパティに基づいてデバイスが許可されるか、ブロックされるかを識別する独自の高レベルの規則を使用して構成できます。XenMobileでは、高レベルの規則が評価され、許可またはブロックする一連のActiveSyncデバイスIDが生成されて、これらがEndpoint Managementコネクタ:Exchange ActiveSync用に配信されます。
デフォルトのアクセス規則: デフォルトのアクセス規則は、すべてのデバイスと一致する可能性があり、常に最後に評価されるという点で独特です。この規則は、あらゆる状況に対応できる規則です。つまり、特定のデバイスがローカル規則とXenMobile Server規則のいずれにも一致しない場合は、デフォルトのアクセス規則での目的のアクセス状態によってデバイスにおける目的のアクセス状態が決まります。
- デフォルトのアクセス – 許可: ローカル規則とXenMobile Server規則のいずれにも一致しないすべてのデバイスが許可されます。
- デフォルトのアクセス – ブロック: ローカル規則とXenMobile Server規則のいずれにも一致しないすべてのデバイスがブロックされます。
- デフォルトのアクセス – 変更なし: ローカル規則とXenMobile Server規則のいずれにも一致しないすべてのデバイスのアクセス状態は、Endpoint Managementコネクタ:Exchange ActiveSync用によって変更されません。デバイスがExchangeによって検疫モードに設定されている場合、アクションは実行されません。たとえば、Quarantineモードからデバイスを削除する方法は、ローカル規則またはXDM規則で隔離を明示的に上書きすることのみです。
規則の評価について
ExchangeからEndpoint Managementコネクタ:Exchange ActiveSync用に報告されるデバイスごとに、次のように優先度の高い順に規則が評価されます:
- ローカル規則
- XenMobile Server規則
- デフォルトのアクセス規則
一致が検出されると、評価は停止します。たとえば、ローカル規則が特定のデバイスと一致すると、そのデバイスはXenMobile Server規則またはデフォルトのアクセス規則に対して評価されません。このことは、特定の種類の規則内でも当てはまります。たとえば、ローカル規則一覧で、特定のデバイスに対して複数の一致がある場合、最初の一致が見つかるとすぐに評価は停止します。
デバイスプロパティが変更されたとき、デバイスが追加または削除されたとき、または規則自体が変更されたときは、現在定義されている一連の規則がEndpoint Managementコネクタ:Exchange ActiveSync用によって再評価されます。メジャースナップショットにより、構成可能な間隔でデバイスのプロパティ変更または削除が確認されます。マイナースナップショットにより、構成可能な間隔で新しいデバイスが確認されます。
Exchange ActiveSyncにも、アクセスを管理する規則があります。これらの規則がEndpoint Managementコネクタ:Exchange ActiveSync用でどのように機能するかを理解することが重要です。Exchangeは、個人の適用除外、デバイスの規則、組織の設定という3つのレベルの規則で構成できます。Endpoint Managementコネクタ:Exchange ActiveSync用では、リモートPowerShell要求をプログラムで発行して個人の適用除外一覧に反映させることで、アクセス制御を自動化します。これらは、特定のメールボックスに関連する、許可またはブロックするExchange ActiveSyncデバイスIDの一覧です。展開すると、Endpoint Managementコネクタ:Exchange ActiveSync用はExchange内の適用除外一覧の管理機能を効果的に引き継ぎます。詳しくは、Microsoftの記事「デバイスアクセスの制御」を参照してください。
分析は、同じフィールドに対して複数の規則が定義されている場合に特に便利です。規則間の関係をトラブルシューティングできます。規則フィールドの観点から分析を実行します。たとえば、ActiveSyncデバイスID、ActiveSyncデバイスの種類、ユーザー、ユーザーエージェントなどの照合されるフィールドに基づくグループで規則が分析されます。
規則の用語
- 上書き規則: 同じデバイスに複数の規則が適用される可能性がある場合に上書きが発生します。一覧の優先度の順序で規則が評価されるので、優先度の低い、適用される可能性がある規則のインスタンスが評価されない場合があります。
- 競合規則: 同じデバイスに複数の規則が適用される可能性があり、アクセス(許可/ブロック)が一致しない場合に競合が発生します。競合規則が正規表現の規則でない場合、競合には常に暗黙的に上書きの意味も含まれます。
- 補足規則: 正規表現の規則が複数あるので、2つ(またはそれ以上)の正規表現を1つの正規表現の規則に結合できるか、またはそれらの機能が重複していないようにする必要がある場合に補足が発生します。補足規則もアクセス(許可/ブロック)で競合する場合があります。
- プライマリ規則: プライマリ規則は、ダイアログボックス内でクリックされた規則です。この規則は、実線の罫線で囲まれて示されます。この規則には、上方向または下方向を指す1つまたは2つの緑色の矢印も示されます。矢印が上方向を指している場合は、プライマリ規則よりも優先される補助規則があることを示しています。矢印が下方向を指している場合は、プライマリ規則よりも優先度の低い補助規則があることを示しています。アクティブにできるプライマリ規則は、常に1つのみです。
- 補助規則: 補助規則は、上書き、競合、または補足の関係のいずれかで、プライマリ規則と何らかの関係を持ちます。この規則は、破線の罫線で囲まれて示されます。各プライマリ規則に対して、1対多の補助規則を指定できます。下線付きのエントリをクリックしたときに強調表示される補助規則は、常にプライマリ規則の観点から示されます。たとえば、補助規則がプライマリ規則によって上書きされたり、プライマリ規則とアクセスで競合したり、プライマリ規則を補足したりします。
[Rule Analysis]ダイアログボックスに表示する規則の種類の外観
競合、上書き、または補足がない場合、[Rule Analysis]ダイアログボックスに下線付きのエントリは表示されません。どのアイテムをクリックしても影響はありません。通常の選択済みアイテムの表示になります。
[Rule Analysis]ウィンドウにあるチェックボックスを選択すると、競合、上書き、重複、または補足構造であるルールのみが表示されます。
上書きが発生した場合、2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。1つ以上の補助規則が淡色のフォントで表示され、より優先度の高い規則によって上書きされたことが示されます。上書きされた規則をクリックして、その規則を上書きした規則を確認できます。規則がプライマリ規則または補助規則であることの結果として上書きされた規則が強調表示されている場合は常に、その規則が非アクティブであることを示す追加表示として、その規則の横に黒の円が表示されます。たとえば、規則をクリックする前は、次のようにダイアログボックスが表示されます:
最も優先度の高い規則をクリックすると、ダイアログボックスの表示は次のようになります:
この例では、正規表現の規則WorkMail.*
がプライマリ規則(実線の罫線で表示)で、通常の規則workmailc633313818
が補助規則(破線の罫線で表示)です。補助規則の横の黒点は、より優先度の高い正規表現の規則が優先されるので、その規則が非アクティブである(評価されない)ことを示す追加表示です。上書きされる規則をクリックすると、ダイアログボックスの表示は次のようになります:
上記の例では、正規表現の規則WorkMail.*
が補助規則(破線の罫線で表示)で、通常の規則workmailc633313818
がプライマリ規則(実線の罫線で表示)です。このシンプルな例では、大きな違いはありません。より複雑な例については、このトピックで後述する複雑な式の例を参照してください。多くの規則が定義されたシナリオでは、上書きされる規則をクリックすると、その規則を上書きした規則がすばやく識別されます。
競合が発生した場合、2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。競合している規則は赤色の点で示されます。相互に競合のみが発生している規則は、2つ以上の正規表現の規則が定義されている場合に限り発生します。ほかのすべての競合のシナリオでは、競合のみではなく、上書きも発生します。シンプルな例で説明すると、いずれかの規則をクリックする前は、次のようにダイアログボックスが表示されます:
2つの正規表現の規則を確認すると、最初の規則で「App」がデバイスIDに含まれるすべてのデバイスを許可し、2つ目の規則で「Appl」がデバイスIDに含まれるすべてのデバイスを拒否することがわかります。さらに、2つ目の規則で「Appl」がデバイスIDに含まれるすべてのデバイスが拒否されますが、許可する規則の優先度の方が高いので、その一致条件のデバイスは決して拒否されません。最初の規則をクリックすると、ダイアログボックスの表示は次のようになります:
前述のシナリオでは、プライマリ規則(正規表現の規則App.*
)と補助規則(正規表現の規則Appl.*
)の両方が黄色で強調表示されます。これは、複数の正規表現の規則を単一の一致可能なフィールドに適用したことについての単純な警告の表示です。この警告は、冗長性の問題や、より深刻な問題を示す場合があります。
競合と上書きの両方を含むシナリオでは、プライマリ規則(正規表現の規則App.*
)と補助規則(正規表現の規則Appl.*
)の両方が黄色で強調表示されます。これは、複数の正規表現の規則を単一の一致可能なフィールドに適用したことについての単純な警告の表示です。この警告は、冗長性の問題や、より深刻な問題を示す場合があります。
上記の例では、最初の規則(正規表現の規則SAMSUNG.*
)が次の規則(通常の規則SAMSUNG-SM-G900A/101.40402
)を上書きするだけでなく、2つの規則のアクセスが異なる(プライマリ規則では許可を指定し、補助規則ではブロックを指定)ことも容易に確認できます。2つ目の規則(通常の規則SAMSUNG-SM-G900A/101.40402
)は淡色のテキストで表示され、上書きされて非アクティブであることが示されます。
正規表現の規則をクリックすると、ダイアログボックスの表示は次のようになります:
プライマリ規則(正規表現の規則SAMSUNG.*
)の末尾には赤色の点が付けられて、アクセス状態が1つまたは複数の補助規則と競合していることが示されます。補助規則(通常の規則SAMSUNG-SM-G900A/101.40402
)の末尾には赤色の点が付けられて、アクセス状態がプライマリ規則と競合していることが示されます。この規則の末尾には黒色の点が付けられて、上書きされたために非アクティブであることが示されます。
2つ以上の規則(プライマリ規則と、1つまたは複数の補助規則)に下線が付けられます。相互に補足のみが発生している規則には、正規表現の規則のみが定義されています。相互に補足が発生している規則は、黄色のオーバーレイで示されます。シンプルな例で説明すると、いずれかの規則をクリックする前は、次のようにダイアログボックスが表示されます:
目視で確認すると、両方の規則が正規表現の規則で、両方ともEndpoint Managementコネクタ:Exchange ActiveSync用の[ActiveSync device ID]フィールドに適用されていることが容易にわかります。最初の規則をクリックすると、ダイアログボックスの表示は次のようになります:
プライマリ規則(正規表現の規則WorkMail.*
)が黄色のオーバーレイで強調表示され、正規表現の補助規則がほかに1つ以上存在することが示されます。補助規則(正規表現の規則SAMSUNG.*
)が黄色のオーバーレイで強調表示され、この規則とプライマリ規則の両方が、Endpoint Managementコネクタ:Exchange ActiveSync用内の同じフィールドに適用されている正規表現の規則であることが示されます。この場合、そのフィールドはActiveSyncデバイスIDです。正規表現は重複する場合もあれば重複しない場合もあります。正規表現が適切に作成されているかどうかの判断は、ユーザーに委ねられます。
複雑な式の例
発生する可能性のある上書き、競合、または補足は多くあるので、発生する可能性のあるシナリオの例をすべて示すことはできません。次の例では、すべきでないことについて説明し、ルール分析の完全な視覚的構造を示します。次の図では、ほとんどのアイテムに下線が付けられています。多くのアイテムが淡色のフォントで表示され、問題となる規則が、何らかの方法でより優先度の高い規則によって上書きされていることが示されています。同様に、アイコンで示される多数の正規表現の規則も一覧に含まれています。
上書きの分析方法
特定の規則を上書きした規則を確認するには、その規則をクリックします。
例1: この例では、zentrain01@zenprise.com
が上書きされた理由を調べます。
プライマリ規則(zentrain01@zenprise.com
がメンバーとして属するADグループ規則zenprise/TRAINING/ZenTraining B
)には、次の特性があります:
- 青色で強調表示され、実線の罫線で囲まれている。
- 上方向を指す緑色の矢印が付けられている(すべての補助規則がこの規則より上に表示されていることを示します)。
- 末尾に、1つまたは複数の補助規則とアクセスが競合していることを示す赤色の点と、プライマリ規則が上書きされて非アクティブであることを示す黒点が付けられている。
上方向にスクロールすると、次が表示されます:
この場合、プライマリ規則を上書きする2つの補助規則があります:正規表現の規則zen.*
と通常の規則zentrain01@zenprise.com
(zenprise/TRAINING/ZenTraining A
の規則)です。後者の補助規則の場合、Active Directoryグループ規則ZenTraining A
にユーザーzentrain01@zenprise.com
が含まれる一方、Active Directoryグループ規則ZenTraining B
にもユーザーzentrain01@zenprise.com
が含まれることになります。ただし、補助規則の優先度がプライマリ規則の優先度よりも高いので、プライマリ規則は上書きされています。プライマリ規則のアクセスが許可で、両方の補助規則のアクセスがブロックであるので、これらすべての末尾に赤色の点が付けられて、アクセスが競合していることも示されています。
例2: 次の例は、ActiveSyncデバイスIDが069026593E0C4AEAB8DE7DD589ACED33
であるデバイスが上書きされた理由を示しています:
このプライマリ規則(通常のデバイスIDの規則069026593E0C4AEAB8DE7DD589ACED33
)には、次の特性があります:
- 青色で強調表示され、実線の罫線で囲まれている。
- 上方向を指す緑色の矢印が付けられている(補助規則がこの規則より上に表示されていることを示します)。
- 末尾に、補助規則がそのプライマリ規則を上書きして、非アクティブであることを示す黒色の円が付けられている。
この場合、単一の補助規則(正規表現のActiveSyncデバイスIDの規則3E.*
)がプライマリ規則を上書きします:正規表現3E.*
が069026593E0C4AEAB8DE7DD589ACED33
に一致するため、プライマリ規則は評価されません。
補足および競合の分析方法
この場合、プライマリ規則は正規表現のActiveSyncデバイスの種類の規則touch.*
です。特性は次のとおりです:
- 実線の罫線で囲まれ、特定の規則フィールド(この場合は、ActiveSyncデバイスの種類)に対して複数の正規表現の規則が使用されているという警告として、黄色のオーバーレイが適用されている。
- 上方向および下方向をそれぞれ指す2つの矢印が付けられ、より優先度の高い1つ以上の補助規則とより優先度の低い1つ以上の補助規則が存在することが示されている。
- 横に赤色の円が付けられ、1つ以上の補助規則のアクセスが許可に設定されて、プライマリ規則のアクセス状態の禁止と競合することが示されている
- 2つの補助規則:正規表現のActiveSyncデバイスの種類の規則
SAM.*
と正規表現のActiveSyncデバイスの種類の規則Andro.*
が存在する。 - 両方の補助規則が破線の罫線で囲まれ、補助規則であることが示されている。
- 両方の補助規則に黄色のオーバーレイが適用され、ActiveSyncデバイスの種類の規則フィールドにこれらが適用されていることが示されている。
-
このようなシナリオでは、正規表現の規則が冗長でないようにする必要がある。
規則の高度な分析方法
次の例では、規則の関係が常にプライマリ規則の観点から示されるしくみを確認します。上記の例では、値がtouch.*
のデバイスの種類の規則フィールドに適用される正規表現規則をクリックする方法を示しました。補助規則Andro.*
をクリックすると、さまざまな一連の補助規則が強調表示されます。
この例では、規則の関係に含まれる上書きされた規則が示されています。この規則は、通常のActiveSyncデバイスの種類の規則Android
です。この規則は上書きされている(淡色のフォントで示され、横に黒点が付けられています)と同時に、プライマリ規則(正規表現のActiveSyncデバイスの種類の規則Andro.*
)のアクセスと競合しています。この規則は、クリックされる前は補助規則でした。前述の例では、その時点でのプライマリ規則(正規表現のActiveSyncデバイスの種類の規則touch.*
)の観点からは関係しなかったため、通常のActiveSyncデバイスの種類の規則Android
は補助規則として表示されていませんでした。
通常の式のローカル規則を構成するには
-
[Access Rules] タブをクリックします。
-
[Device ID] 一覧で、ローカル規則を作成するフィールドを選択します。
-
虫眼鏡アイコンをクリックして、選択したフィールドに固有の一致をすべて表示します。この例では、[Device Type]フィールドが選択され、下のリストボックスに選択肢が表示されています。
-
表示されたリストボックスでいずれかのアイテムをクリックして、次のいずれかのオプションをクリックします:
- Allow:すべての一致するデバイスに対して、ActiveSyncトラフィックを許可するようにExchangeが構成されます。
- Deny:すべての一致するデバイスに対して、ActiveSyncトラフィックを拒否するようにExchangeが構成されます。
この例では、デバイスの種類がSamsungSPhl720であるすべてのデバイスのアクセスが拒否されます。
正規表現を追加するには
正規表現のローカル規則は、横に表示されるアイコン()で識別できます。
正規表現の規則を追加するには、特定のフィールドの結果一覧にある既存の値から正規表現の規則を作成(メジャースナップショットが完了している場合)するか、または必要な正規表現をそのまま入力します。
既存のフィールド値から正規表現を作成するには
-
[Access Rules] タブをクリックします。
-
[Device ID] 一覧で、正規表現のローカル規則を作成するフィールドを選択します。
-
虫眼鏡アイコンをクリックして、選択したフィールドに固有の一致をすべて表示します。この例では、[Device Type]フィールドが選択され、下のリストボックスに選択肢が表示されています。
-
結果一覧でいずれかのアイテムをクリックします。この例では、SAMSUNGSPHL720が選択され、それが [Device Type] に隣接するテキストボックスに表示されています。
-
デバイスの種類の値に「Samsung」が含まれるすべてのデバイスの種類を許可するには、次の手順に従って正規表現の規則を追加します。
-
選択済みアイテムのテキストボックス内をクリックします。
-
SAMSUNGSPHL720からSAMSUNG.*.
-
[regular expression]チェックボックスをオンにします。
-
[許可] をクリックします。
-
アクセス規則を作成するには
- [Local Rules]タブをクリックします。
-
正規表現を入力するには、[Device ID]一覧と選択済みアイテムのテキストボックスの両方を使用する必要があります。
- 照合するフィールドを選択します。この例では、[Device Type] を使用します。
- 正規表現を入力します。この例では次の文字列を使用します:
samsung.*
-
[regular expression]チェックボックスをオンにして、[Allow] または [Deny] をクリックします。この例では、[Allow] が選択されています。最終的な結果は次のとおりです:
デバイスを検出するには
[regular expression]チェックボックスをオンにして、特定の式に一致する特定のデバイスの検索を実行できます。この機能は、メジャースナップショットが正常に完了している場合にのみ利用できます。正規表現の規則を使用しない場合でも、この機能を使用できます。たとえば、ActiveSyncデバイスIDにテキスト「workmail」が含まれるすべてのデバイスを検出するとします。これを行うには、以下の手順に従います。
- [Access Rules] タブをクリックします。
-
デバイスの照合フィールドセレクターが[Device ID](デフォルト)に設定されていることを確認します。
- 選択済みアイテムのテキストボックス内(上記の図に青色で示されています)をクリックし、「
workmail.*
」。 -
[regular expression]チェックボックスをオンにして、虫眼鏡アイコンをクリックし、次の図に示すように一致を表示します。
個々のユーザー、デバイス、またはデバイスの種類を静的規則に追加するには
[ActiveSync Devices]タブで、ユーザー、デバイスID、またはデバイスの種類に基づく静的規則を追加できます。
-
[ActiveSync Devices] タブをクリックします。
-
一覧で、ユーザー、デバイス、またはデバイスの種類を右クリックして、選択内容を許可するか、または拒否するかを選択します。
次の図は、user1を選択したときの許可/拒否オプションを示しています。
デバイス監視
Endpoint Managementコネクタ:Exchange ActiveSync用の [Monitor] タブでは、検出されたExchange ActiveSyncデバイスおよびBlackBerryデバイスと、これまで自動で発行されたPowerShellコマンドの履歴を参照できます。[Monitor]タブには、次の3つのタブがあります。
-
ActiveSyncデバイス:
- [Export]をクリックして、表示されているActiveSyncデバイスパートナーシップをエクスポートできます。
- [User]、[Device ID]、または[Type]列を右クリックし、許可またはブロックから適切な規則の種類を選択して、ローカル(静的)規則を追加できます。
- 展開した行を折りたたむには、Ctrlキーを押しながらその行をクリックします。
- Blackberry Devices
- Automation History
[Configure]タブにはすべてのスナップショットの履歴が表示されます。スナップショットの履歴には、スナップショットの作成時刻、作成にかかった時間、検出されたデバイス数、発生したすべてのエラーが表示されます。
- [Exchange]タブで、目的のExchange Serverの情報アイコンをクリックします。
- [MSP]タブで、目的のBlackBerry Serverの情報アイコンをクリックします。
トラブルシューティングおよび診断
Endpoint Managementコネクタ:Exchange ActiveSync用では、エラーなどの動作情報が以下のログファイルに記録されます:Install Folder\log\XmmWindowsService.log Endpoint Managementコネクタ:Exchange ActiveSync用は、重要なイベントをWindowsイベントログにも記録します。
ログレベルを変更するには
Endpoint Managementコネクタ:Exchange ActiveSync用には[エラー]、[情報]、[警告]、[デバッグ]、[トレース]というログレベルがあります。
注:
各レベルで生成される情報は、この順に詳しく(データが多く)なっていきます。たとえば、[エラー]レベルは最も情報量が少なく、[トレース]レベルは最も情報量が多くなります。
ログレベルを変更するには、次の手順を実行します:
- C:\Program Files\Citrix\Citrix Endpoint Management connectorにあるnlog.configファイルを開きます。
-
ファイル内の
<rules>
セクションで、minilevelパラメーターを任意のログレベルに変更します。例:<rules> <logger name="*" writeTo="file" minlevel="Debug" /> </rules> <!--NeedCopy-->
-
ファイルを保存します。
変更内容は直ちに有効になるため、Exchange ActiveSync用コネクタを再起動する必要はありません。
一般的なエラー
一般的なエラーを以下に示します。
-
Endpoint Managementコネクタ:Exchange ActiveSync用サービスが開始されない
ログファイルとWindowsイベントログでエラーを確認します。一般的な原因は次のとおりです。
-
Endpoint Managementコネクタ:Exchange ActiveSync用サービスが、SQL Serverにアクセスできません。これは、次の問題が原因である可能性があります。
- SQL Serverサービスが実行されていない。
- 認証エラー。
統合Windows認証が構成されている場合、Endpoint Managementコネクタ:Exchange ActiveSync用サービスのユーザーアカウントは、許可されたSQLログオンでなければなりません。Endpoint Managementコネクタ:Exchange ActiveSync用サービスのアカウントは、デフォルトではローカルシステムですが、ローカルの管理者権限を持つ任意のアカウントに変更できます。[SQL authentication]が構成されている場合、SQLログオンがSQLで適切に構成されている必要があります。
-
Mobile Service Provider(MSP)に対して構成されたポートが使用できない。システムのほかのプロセスで使用されていないリッスンポートを選択する必要があります。
-
-
XenMobileがMSPに接続できない
Endpoint Managementコネクタ:Exchange ActiveSync用コンソールの [Configure]>[MSP] タブで、MSPサービスポートとトランスポートが適切に構成されていることを確認します。承認グループまたはユーザーが適切に設定されていることを確認します。
HTTPSが構成されている場合は、有効なSSLサーバー証明書がインストールされている必要があります。IISがインストールされている場合は、証明書のインストールにIISマネージャーを使用できます。IISがインストールされていない場合、証明書のインストールについて詳しくは、「SSL証明書を使用するポートを構成するには」を参照してください。
Endpoint Managementコネクタ:Exchange ActiveSync用には、MSPサービスへの接続をテストするためのユーティリティプログラムが含まれています。InstallFolder\MspTestServiceClient.exeプログラムを実行して、URLと資格情報をXenMobileで構成されるURLと資格情報に設定して、[Test Connectivity] をクリックします。これにより、XenMobile Serverが発行するWebサービス要求がシミュレートされます。HTTPSを構成済みの場合は、サーバーの実際のホスト名(SSL証明書で指定された名前)を指定する必要があります。
[Test Connectivity] をクリックするときは、少なくとも1つActiveSyncDeviceレコードがあることを確認してください。レコードがないとテストが失敗する可能性があります。
トラブルシューティングツール
Support\PowerShellフォルダーに、トラブルシューティング用のPowerShellユーティリティ一式が用意されています。
トラブルシューティングツールは、ユーザーのメールボックスやデバイスを詳細に分析してエラー条件や障害が発生しやすい領域を検出し、また、ユーザーの詳細RBAC分析を行います。すべてのコマンドレットの未加工の出力をテキストファイルに保存することができます。