Notifications push pour Secure Mail

Secure Mail pour iOS et Secure Mail pour Android peuvent recevoir des notifications sur les activités de messagerie et de calendrier lorsque l’application est exécutée en arrière-plan ou qu’elle est fermée. Secure Mail pour iOS prend en charge les notifications fournies par le biais des notifications push distantes fournies via le Apple Push Notification Service (APNS). Secure Mail pour Android prend en charge les notifications fournies via le service Firebase Cloud Messaging (FCM).

Fonctionnement des notifications push

Pour fournir des notifications push pour iOS et Android, Citrix héberge un service d’écoute sur Amazon Web Services (AWS) pour exécuter les fonctions suivantes :

  • Écouter les notifications push Exchange Web Services (EWS) envoyées par les serveurs Exchange en cas d’activité sur la boîte de réception. Exchange n’envoie pas le contenu des messages au service Citrix.

    Aucune information permettant de vous identifier personnellement n’est stockée par le service Citrix. Au lieu de cela, un jeton d’appareil et un ID d’abonnement identifient l’appareil et le dossier Boîte de réception à mettre à jour dans Secure Mail.

  • Envoyer des notifications APNS, contenant uniquement le nombre de badges, à Secure Mail sur les appareils iOS.

  • Envoyer des notifications FCM à Secure Mail sur les appareils Android.

Le service d’écoute Citrix n’affecte pas le trafic des données de messagerie, qui continuent de transiter entre les appareils des utilisateurs et les serveurs Exchange via ActiveSync. Le service d’écoute, qui est configuré pour une haute disponibilité et une récupération d’urgence, est disponible dans trois zones :

  • Amériques
  • Europe, Moyen-Orient et Afrique (EMEA)
  • Asie-Pacifique (APAC)

Configuration système requise pour les notifications push

Si votre configuration Citrix Gateway comprend une STA (Secure Ticket Authority) et que le split tunneling est désactivé, Citrix Gateway doit autoriser le trafic (lorsqu’il passe par un tunnel de Secure Mail) vers les URL suivantes du service d’écoute Citrix :

Région Adresse URL Adresse IP
Amériques https://us-east-1.pushreg.xm.citrix.com 52.7.65.6 ; 52.7.147.0
EMEA https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233 ; 54.154.204.192
APAC https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173 ; 52.74.25.245

Configuration de Secure Mail pour les notifications push

Pour configurer les notifications push Apple ou FCM pour Secure Mail pour la distribution sur des magasins d’applications, dans la console Endpoint Management, activez les notifications Push, puis sélectionnez votre région. La figure suivante montre le paramètre pour iOS.

Image du paramètre de notifications push dans Endpoint Management

Pour Android, la figure suivante montre le même paramètre de notification push que pour iOS. De plus, si les services web Exchange (EWS) sont hébergés dans une région différente de celle du serveur de messagerie, renseignez le paramètre Nom d’hôte EWS. Le paramètre par défaut est vide. Si vous laissez le paramètre vide, Endpoint Management utilise le nom d’hôte du serveur de messagerie.

Image du paramètre de notifications push pour Android dans Endpoint Management

Configurez Exchange et Citrix ADC afin de permettre la transmission du trafic au service d’écoute.

Configuration du serveur Exchange

Autorisez le trafic SSL sortant (sur le port 443) depuis votre pare-feu vers l’URL du service d’écoute Citrix correspondant à la région où se trouve votre serveur Exchange. Par exemple :

Région Adresse URL Adresse IP
Amériques https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176 ; 52.4.180.132
EMEA https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172 ; 52.17.147.220
APAC https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240 ; 54.169.87.20

Si vous disposez d’un serveur proxy entre les services web Exchange (EWS) et le périphérique d’écoute de Citrix, vous pouvez effectuer l’une des opérations suivantes.

  • Envoyer le trafic EWS via proxy, puis sur le périphérique d’écoute.
  • Contourner le proxy et acheminer le trafic EWS directement vers le périphérique d’écoute.

Pour envoyer le trafic EWS via le serveur proxy, configurez le fichier web.config EWS dans le dossier ClientAccess\exchweb\ews comme suit.

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>

Pour plus de détails sur la configuration des proxys, voir Configuration du proxy.

Pour les environnements Exchange 2013, vous devez ajouter la section system.net au fichier web.config manuellement. Sinon, les configurations décrites dans cet article devraient fonctionner pour Exchange 2013. Pour résoudre des problèmes, contactez votre administrateur Exchange.

Pour contourner le serveur proxy, configurez la liste de contournement pour autoriser Exchange à établir des connexions au service d’écoute Citrix.

Lorsque Secure Hub est inscrit avec l’authentification par certificat, vous devez également configurer Exchange Server pour l’authentification par certificat. Pour de plus amples informations, consultez l’article Concepts avancés de Endpoint Management.

Configuration de Citrix Gateway

Alors que le serveur Exchange Server doit autoriser le trafic vers le service d’écoute, Citrix ADC doit autoriser le trafic vers le service d’enregistrement. Ceci permet aux appareils de se connecter afin de s’enregistrer pour les notifications push.

Si vos serveurs EWS et ActiveSync sont différents, configurez votre stratégie de trafic Citrix ADC afin d’autoriser le trafic EWS. Pour plus d’informations sur l’intégration de Citrix Endpoint Management à Citrix Gateway, consultez la section Intégration à Citrix Gateway et Citrix ADC.

Dépannage

Pour résoudre les problèmes de connexions sortantes, consultez les journaux d’événements Exchange, notamment les entrées de journal qui sont consignées lorsqu’une demande d’abonnement ou qu’une notification d’abonnement est non valide ou échoue. Vous pouvez également exécuter des traces Wireshark sur le serveur Exchange pour suivre le trafic sortant sur le service d’écoute Citrix.

Questions fréquemment posées sur les notifications push Secure Mail

Quand Android envoie-t-il des notifications à Secure Mail

Sur Android, les notifications sont toujours envoyées à Secure Mail.

Comment FCM affecte-t-il les notifications de messages qui s’affichent sur l’écran de verrouillage

Les notifications de nouveaux messages qui apparaissent sur l’écran d’un appareil verrouillé sont générées sur la base des données qui sont synchronisées sur l’appareil par Secure Mail. En outre, ces informations ne proviennent pas du service d’écoute.

Pour afficher les notifications de nouveaux messages, Secure Mail doit être en mesure de synchroniser les données à partir d’Exchange afin que Secure Mail dispose des informations pour créer les notifications.

Lorsque vous recevez un nouveau message, la notification FCM Vous avez de nouveaux messages s’affiche. Une fois la synchronisation des messages terminée en arrière-plan, le nouveau message apparaît dans Secure Mail.

Comment APNS affecte-t-il les notifications de messages qui s’affichent sur l’écran de verrouillage

Les notifications de nouveaux messages qui apparaissent sur l’écran d’un appareil verrouillé sont générées sur la base des données qui sont synchronisées sur l’appareil par Secure Mail. En outre, ces informations ne proviennent pas du service d’écoute.

Pour afficher les notifications de nouveaux messages, Secure Mail doit être en mesure de synchroniser les données à partir d’Exchange afin que Secure Mail dispose des informations pour créer les notifications.

Si les notifications APNs ne sont pas envoyées à Secure Mail en arrière-plan, Secure Mail ne détecte pas les notifications et, par conséquent, ne synchronise pas les nouvelles données. Étant donné qu’aucune nouvelle donnée n’est envoyée à Secure Mail, aucune notification de message n’est générée sur l’écran de verrouillage de l’appareil, même lorsque des notifications APNS ne sont pas transmises.

Comment l’actualisation en arrière-plan affecte-t-elle Secure Mail et APNS

Si l’utilisateur désactive l’actualisation en arrière-plan, les situations suivantes se produisent :

  • Secure Mail ne reçoit pas de notifications lorsque Secure Mail est dans l’application en arrière-plan.

    Remarque :

    Cette situation se produit uniquement si les notifications Push enrichies sont désactivées. Pour plus d’informations sur les notifications Push enrichies, consultez Notifications Push enrichies pour Secure Mail pour iOS.

  • Secure Mail n’actualise pas l’écran de verrouillage avec les notifications de nouveaux messages.

La désactivation de l’actualisation en arrière-plan a d’importantes répercussions sur le comportement de Secure Mail. Comme indiqué précédemment, les mises à jour de badges (pastilles) basées sur APNs ont toujours lieu, mais aucun message n’est synchronisé sur l’appareil dans ce mode.

Comment le mode alimentation basse affecte-t-il Secure Mail et APNS

Le comportement du système vis-à-vis de Secure Mail est le même en Mode alimentation basse que lorsque l’Actualisation en arrière-plan est désactivée. En Mode alimentation basse, l’appareil ne « réveille » pas les applications pour les actualisations périodiques et n’envoie pas de notifications aux applications en arrière-plan. Les effets secondaires sont donc les mêmes que ceux répertoriés dans la section Actualisation en arrière-plan ci-dessus. Veuillez noter qu’en mode alimentation basse, les mises à jour de badges (pastilles) ont toujours lieu, basées sur les notifications APNs.

Quels autres problèmes peuvent provoquer l’échec de la synchronisation FCM en arrière-plan

Un certain nombre de problèmes peuvent provoquer l’échec des demandes de synchronisation FCM, y compris ce qui suit :

  • Un ticket STA non valide.
  • Lorsque Secure Mail est réveillé du mode de veille, l’application dispose de 10 secondes pour synchroniser toutes les données à partir du serveur.

Si l’une des conditions précédentes se produit, Secure Mail ne peut pas synchroniser les données. Par conséquent, les notifications de l’écran de verrouillage n’apparaissent pas.

Quels autres problèmes peuvent provoquer l’échec de la synchronisation APNS en arrière-plan

Un certain nombre de problèmes peuvent provoquer l’échec des demandes de synchronisation APNS, y compris ce qui suit :

  • Un ticket STA non valide.
  • Une connexion réseau lente. Lorsque Secure Mail est activé en arrière-plan, l’application dispose de 30 secondes pour synchroniser toutes les données à partir du serveur.
  • Si la stratégie de protection des données est activée et que Secure Mail est activé par une notification APNs, lorsque l’appareil est verrouillé, Secure Mail ne peut pas accéder au magasin de données et la synchronisation ne se produit pas. Notez qu’il s’agit du seul cas dans lequel le système tente de démarrer à froid Secure Mail. Si un utilisateur a déjà démarré Secure Mail à un moment donné après avoir déverrouillé l’appareil, la synchronisation APNs réussit même lorsque l’appareil est verrouillé.

Si l’une de ces conditions se produit, Secure Mail ne peut pas synchroniser les données et, par conséquent, il ne peut pas afficher les notifications sur l’écran de verrouillage.

De quelle autre façon Secure Mail génère-t-il des notifications de l’écran de verrouillage lorsque les notifications ne sont pas transmises ou qu’APNS n’est pas exécuté

Si le service APNs est désactivé, Secure Mail est toujours activé par des événements d’actualisation en arrière-plan périodiques d’iOS, en supposant que l’actualisation en arrière-plan est activée et que le Mode alimentation basse est désactivé.

Au cours de ces événements de mise en éveil, Secure Mail synchronise les nouveaux messages depuis Exchange Server. Ces nouveaux messages peuvent être utilisés pour générer des notifications sur l’écran de verrouillage. Par conséquent, même lorsque les notifications APNs ne sont pas délivrées ou que APNs est désactivé, Secure Mail peut synchroniser les données en arrière-plan.

Il est important de noter que les synchronisations sont moins fréquentes en temps réel que lorsqu’APNs est en cours d’utilisation et que des notifications APNs sont transmises à Secure Mail. Quand iOS achemine des notifications APNs à Secure Mail, l’application synchronise immédiatement les données depuis le serveur et les notifications de l’écran de verrouillage s’affichent en temps réel.

Dans l’éventualité où des mises en éveil de l’actualisation en arrière-plan sont requises, les notifications de l’écran de verrouillage ne s’affichent pas en temps réel. Dans ce cas, Secure Mail est activé à une fréquence déterminée exclusivement par iOS. Ainsi, un certain temps peut s’écouler entre ces deux situations :

  • Lorsqu’un e-mail arrive dans la boîte de réception d’un utilisateur sur Exchange.
  • Lorsque Secure Mail synchronise ce message et génère la notification d’écran de verrouillage.

Notez également que Secure Mail reçoit ces mises en éveil périodiques même lorsque APNs est en cours d’utilisation. Dans tous les cas dans lesquels l’actualisation en arrière-plan met en éveil Secure Mail, Secure Mail tente de synchroniser les données depuis Exchange.

En quoi Secure Mail diffère-t-il des autres applications qui affichent du contenu sur l’écran de verrouillage

Il existe une différence importante et elle peut conduire à la confusion : Secure Mail n’affiche pas toujours les nouveaux e-mails en temps réel sur l’écran de verrouillage. Ce comportement diffère de Gmail, Microsoft Outlook et d’autres applications. La raison principale pour cette différence est la sécurité. Pour s’aligner sur le comportement des autres applications, le service d’écoute Citrix requiert les informations d’identification de l’utilisateur pour s’authentifier auprès d’Exchange. Les informations d’identification sont requises pour obtenir le contenu de l’e-mail. Les informations d’identification sont également requises pour transmettre le contenu de cet e-mail via le service d’écoute Citrix et le service APNs Apple. L’approche de Citrix en matière de notifications APNs n’exige pas que le service d’écoute Citrix acquiert ou stocke le mot de passe des utilisateurs. Le service d’écoute n’a pas accès à la boîte aux lettres ni au mot de passe des utilisateurs.

Remarque sur l’application de messagerie iOS native : iOS permet à sa propre application de messagerie de maintenir une connexion permanente avec le serveur de messagerie, ce qui garantit que les notifications sont toujours envoyées. Les applications tierces en dehors de la messagerie native ne sont pas autorisées à utiliser cette fonctionnalité.

Comportement de l’application Gmail : Google possède et contrôle l’application Gmail et le serveur Gmail. Ce comportement signifie que Google peut lire le contenu du message et inclure ce contenu dans la charge utile de notification d’APNs. Lorsque iOS reçoit cette notification APNs de Gmail, iOS effectue les opérations suivantes :

  • Définit le badge d’application en fonction de la valeur spécifiée dans la charge utile de notification.
  • Affiche la notification sur l’écran de verrouillage à l’aide du texte du message qui est contenu dans la charge utile de notification.

Importante distinction : c’est iOS, et non l’application Gmail, qui affiche la notification de l’écran de verrouillage, en fonction des données contenues dans la charge utile. En fait, iOS peut ne jamais mettre en éveil l’application Gmail, de la même façon qu’iOS peut ne jamais mettre en éveil Secure Mail lors de la réception d’une notification. Toutefois, étant donné que la charge utile contient un extrait du message, iOS peut afficher la notification de l’écran de verrouillage sans qu’aucune donnée de message ne soit synchronisée sur l’appareil.

Dans Secure Mail, cette situation est différente. Secure Mail doit d’abord synchroniser les données du message à partir d’Exchange avant que l’application ne puisse pas afficher la notification de l’écran de verrouillage.

Comportement de l’application Outlook pour iOS : Microsoft contrôle Outlook pour iOS. Toutefois, l’organisation à laquelle l’utilisateur appartient, contrôle les serveurs Exchange à partir desquels les données sont obtenues. En dépit de cette configuration, Outlook peut afficher les notifications de l’écran de verrouillage en fonction des données que Microsoft fournit dans la notification APNs. C’est parce que Outlook pour iOS utilise un modèle dans lequel Microsoft stocke les informations d’identification de l’utilisateur. Microsoft accède directement à la boîte aux lettres de l’utilisateur à partir de son service cloud et détermine la présence de nouveaux messages.

Si un nouveau message est disponible, le service cloud de Microsoft génère une notification APNs qui contient les nouvelles données de message. Ce modèle fonctionne de la même manière que le modèle Gmail. Dans le modèle Gmail, iOS récupère simplement les données et génère une notification d’écran de verrouillage en fonction de ces données. L’application iOS Outlook n’est pas impliquée dans le processus.

Remarque de sécurité importante sur Outlook pour iOS : l’approche Outlook pour iOS a des répercussions sur la sécurité. Les organisations doivent faire confiance à Microsoft avec les mots de passe de leurs utilisateurs. Cette approbation permet à Microsoft d’accéder à la boîte aux lettres de l’utilisateur, ce qui pose un risque de sécurité.

Pour accéder aux questions fréquentes sur les notifications push spécifiques aux administrateurs, consultez cet article du Centre de connaissances. Pour accéder à des questions fréquentes spécifiques aux utilisateurs, consultez cet article du centre de connaissances.

Notifications push pour Secure Mail