This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
电子邮件策略
从移动设备安全访问电子邮件是任何组织移动性管理计划的主要驱动因素之一。确定适当的电子邮件策略通常是任何 XenMobile® 设计的关键组成部分。XenMobile 提供了多种选项,可根据安全性、用户体验和集成要求适应不同的用例。本文介绍了典型的设计决策过程以及选择正确解决方案的注意事项,从客户端选择到邮件流量流。
选择您的电子邮件客户端
客户端选择通常是整体电子邮件策略设计的首要考虑因素。您可以从多种客户端中进行选择:Citrix Secure Mail™、特定移动平台操作系统中包含的本机邮件,或通过公共应用商店提供的其他第三方客户端。根据您的需求,您可能可以使用单个(标准)客户端来支持用户社区,或者可能需要结合使用多种客户端。
下表概述了可用客户端选项的一些设计注意事项:
| 主题 | Secure Mail | 本机(例如,iOS Mail) | 第三方邮件 |
| 最低 XenMobile 版本 | Advanced | MDM | MDM |
| 配置 | 通过 MDX 策略配置 Exchange 帐户配置文件。 | 通过 MDM 策略配置 Exchange 帐户配置文件。Android 支持仅限于:SAFE/KNOX 和 Android Enterprise。所有其他客户端均被视为第三方客户端。 | 通常需要用户手动配置。 |
| 安全性 | 设计安全,提供最高安全性。使用 MDX 策略和额外的数据加密级别。Secure Mail 是通过 MDX 策略完全托管的应用程序。通过 Citrix PIN 增加了一层身份验证。 | 基于供应商/应用程序功能集。提供更高的安全性。使用设备加密设置(不通过 MDX 策略提供安全性)。依赖设备级身份验证来访问应用程序。 | 基于供应商/应用程序功能集。提供高安全性。 |
| 集成 | 默认允许与托管 (MDX) 应用程序交互。使用 Citrix Secure Web 打开 Web URL。将文件保存到 Citrix Files 并从中附加文件。直接加入 GoToMeeting 并拨入。 | 默认只能与其他非托管 (non-MDX) 应用程序交互。 | 默认只能与其他非托管 (non-MDX) 应用程序交互。 |
| 部署/许可 | 您可以通过 MDM 直接从公共应用商店推送 Secure Mail。包含在 XenMobile Advanced 和 Enterprise 许可中。 | 客户端应用程序包含在平台操作系统中。无需额外许可。 | 可以通过 MDM 作为企业应用程序或直接从公共应用商店推送。相关的许可模型/成本基于应用程序供应商。 |
| 支持 | 客户端和 EMM 解决方案(Citrix)的单一供应商支持。Secure Hub/应用程序调试日志记录功能中嵌入了支持联系信息。一个客户端即可支持。 | 供应商定义的支援(Apple/Google)。可能需要根据设备平台支持不同的客户端。 | 供应商定义的支援。一个客户端即可支持,前提是该第三方客户端在所有托管设备平台上都受支持。 |
邮件流量流和筛选注意事项
本节讨论了在 XenMobile 环境中邮件 (ActiveSync) 流量流动的三个主要场景和设计注意事项。
场景 1:公开的 Exchange
支持外部客户端的环境通常会将 Exchange ActiveSync 服务公开到 Internet。移动 ActiveSync 客户端通过反向代理(例如 Citrix ADC)或 Edge Server 经由这个面向外部的路径进行连接。此选项是使用本机或第三方邮件客户端所必需的,这使得这些客户端成为此场景的流行选择。虽然不常见,但您也可以在此场景中使用 Secure Mail 客户端。通过这样做,您可以从使用 MDX 策略和应用程序管理所提供的安全功能中受益。
场景 2:通过 Citrix ADC 隧道(微型 VPN 和 STA)
由于其微型 VPN 功能,此场景是使用 Secure Mail 客户端时的默认设置。在这种情况下,Secure Mail 客户端通过 Citrix Gateway 建立与 ActiveSync 的安全连接。本质上,您可以将 Secure Mail 视为直接从内部网络连接到 ActiveSync 的客户端。Citrix 客户通常将 Secure Mail 标准化为首选的移动 ActiveSync 客户端。该决定是避免将 ActiveSync 服务公开到 Internet 上的公开 Exchange Server 的一项举措的一部分,如第一个场景所述。
只有启用了 MAM SDK 或经过 MDX 封装的应用程序才能使用微型 VPN 功能。如果您使用 MDX 封装,此场景不适用于本机客户端。尽管可能可以使用 MDX Toolkit 封装第三方客户端,但这种做法并不常见。事实证明,使用设备级 VPN 客户端为本机或第三方客户端提供隧道访问既麻烦又不是一个可行的解决方案。
场景 3:云托管 Exchange 服务
Microsoft Office 365 等云托管 Exchange 服务正变得越来越流行。在 XenMobile 的上下文中,此场景可以与第一个场景以相同的方式处理,因为 ActiveSync 服务也公开到 Internet。在这种情况下,云服务提供商的要求决定了客户端的选择。这些选择通常包括支持大多数 ActiveSync 客户端,例如 Secure Mail 和其他本机或第三方客户端。
XenMobile 可以为此场景在三个方面增加价值:
- 使用 MDX 策略和 Secure Mail 进行应用程序管理的客户端
- 在受支持的本机电子邮件客户端上使用 MDM 策略进行客户端配置
- 使用 Endpoint Management connector for Exchange ActiveSync 的 ActiveSync 筛选选项
邮件流量筛选注意事项
与大多数公开到 Internet 的服务一样,您必须保护路径并为授权访问提供筛选。XenMobile 解决方案包含两个专门设计用于为本机和第三方客户端提供 ActiveSync 筛选功能的组件:Citrix Gateway connector™ for Exchange ActiveSync 和 Endpoint Management connector for Exchange ActiveSync。
Citrix Gateway connector for Exchange ActiveSync
Citrix Gateway connector for Exchange ActiveSync 通过使用 Citrix ADC 作为 ActiveSync 流量的代理,在边界提供 ActiveSync 筛选。因此,筛选组件位于邮件流量流的路径中,拦截进入或离开环境的邮件。Citrix Gateway connector for Exchange ActiveSync 充当 Citrix ADC 和 XenMobile Server 之间的中介。当设备通过 Citrix ADC 上的 ActiveSync 虚拟服务器与 Exchange 通信时,Citrix ADC 会对 connector for Exchange ActiveSync 服务执行 HTTP 回调。该服务随后会检查设备在 XenMobile 中的状态。根据设备的状态,connector for Exchange ActiveSync 会回复 Citrix ADC,以允许或拒绝连接。您还可以配置静态规则,根据用户、代理和设备类型或 ID 筛选访问。
此设置允许将 Exchange ActiveSync 服务公开到 Internet,并增加一层安全性以防止未经授权的访问。设计注意事项包括:
- Windows Server:Exchange ActiveSync 组件的连接器需要 Windows Server。
- 筛选规则集:Exchange ActiveSync 连接器旨在根据设备状态和信息而不是用户信息进行筛选。尽管您可以配置静态规则以按用户 ID 进行筛选,但不存在基于 Active Directory 组成员身份进行筛选的选项。如果需要 Active Directory 组筛选,则可以使用 Endpoint Management connector for Exchange ActiveSync。
- Citrix ADC 可伸缩性:鉴于通过 Citrix ADC 代理 ActiveSync 流量的要求:正确调整 Citrix ADC 实例的大小对于支持所有 ActiveSync SSL 连接的额外工作负载至关重要。
- Citrix ADC 集成缓存:Citrix ADC 上的 Exchange ActiveSync 连接器配置使用集成缓存功能来缓存来自 Exchange ActiveSync 连接器的响应。由于该配置,Citrix ADC 无需在给定会话中的每个 ActiveSync 事务都向 Citrix Gateway connector for Exchange ActiveSync 发出请求。该配置对于足够的性能和规模也至关重要。集成缓存可用于 Citrix ADC Platinum Edition,或者您可以为 Enterprise Editions 单独许可该功能。
- 自定义筛选策略:您可能需要创建自定义 Citrix ADC 策略,以限制标准本机移动客户端之外的某些 ActiveSync 客户端。此配置需要了解 ActiveSync HTTP 请求和 Citrix ADC 响应程序策略创建。
- Secure Mail 客户端:Secure Mail 具有微型 VPN 功能,无需在边界进行筛选。Secure Mail 客户端通过 Citrix Gateway 连接时,通常被视为内部(受信任的)ActiveSync 客户端。如果需要同时支持本机和第三方(使用 Exchange ActiveSync 连接器)以及 Secure Mail 客户端:Citrix 建议 Secure Mail 流量不要通过用于 Exchange ActiveSync 连接器的 Citrix ADC 虚拟服务器流动。您可以通过 DNS 实现此流量流,并防止 Exchange ActiveSync 连接器策略影响 Secure Mail 客户端。
有关 XenMobile 部署中 Citrix Gateway connector for Exchange ActiveSync 的图示,请参阅本地部署的参考体系结构。
Endpoint Management connector for Exchange ActiveSync
Endpoint Management connector for Exchange ActiveSync 是一个 XenMobile 组件,可在 Exchange 服务级别提供 ActiveSync 筛选。因此,筛选仅在邮件到达 Exchange 服务时发生,而不是在邮件进入 XenMobile 环境时发生。Mail Manager 使用 PowerShell 查询 Exchange ActiveSync 以获取设备伙伴关系信息,并通过设备隔离操作控制访问。这些操作根据 Endpoint Management connector for Exchange ActiveSync 规则标准将设备移入和移出隔离区。与 Citrix Gateway connector for Exchange ActiveSync 类似,Endpoint Management connector for Exchange ActiveSync 会检查设备在 XenMobile 中的状态,以根据设备合规性筛选访问。您还可以配置静态规则,以根据设备类型或 ID、代理版本和 Active Directory 组成员身份筛选访问。
此解决方案不需要使用 Citrix ADC。您可以部署 Endpoint Management connector for Exchange ActiveSync,而无需更改现有 ActiveSync 流量的路由。设计注意事项包括:
- Windows Server:Endpoint Management connector for Exchange ActiveSync 组件要求您部署 Windows Server。
- 筛选规则集:与 Citrix Gateway connector for Exchange ActiveSync 一样,Endpoint Management connector for Exchange ActiveSync 包含用于评估设备状态的筛选规则。此外,Endpoint Management connector for Exchange ActiveSync 还支持基于 Active Directory 组成员身份进行筛选的静态规则。
- Exchange 集成:Endpoint Management connector for Exchange ActiveSync 需要直接访问托管 ActiveSync 角色的 Exchange 客户端访问服务器 (CAS),并控制设备隔离操作。根据环境架构和安全状况,此要求可能会带来挑战。您必须提前评估此技术要求。
- 其他 ActiveSync 客户端:由于 Endpoint Management connector for Exchange ActiveSync 在 ActiveSync 服务级别进行筛选,因此请考虑 XenMobile 环境之外的其他 ActiveSync 客户端。您可以配置 Endpoint Management connector for Exchange ActiveSync 静态规则,以避免对其他 ActiveSync 客户端造成意外影响。
- 扩展 Exchange 功能:通过与 Exchange ActiveSync 直接集成,Endpoint Management connector for Exchange ActiveSync 使 XenMobile 能够在移动设备上执行 Exchange ActiveSync 擦除。Endpoint Management connector for Exchange ActiveSync 还允许 XenMobile 访问有关 Blackberry 设备的信息并执行其他控制操作。
有关 XenMobile 部署中 Endpoint Management connector for Exchange ActiveSync 的图示,请参阅本地部署的参考体系结构。
电子邮件平台决策树
下图可帮助您区分在 XenMobile 部署中使用本机电子邮件或 Secure Mail 解决方案的优缺点。每个选择都允许相关的 XenMobile 选项和要求,以启用服务器、网络和数据库访问。优缺点包括安全性、策略和用户界面方面的详细考虑。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.