E-Mail-Strategie

Der sichere Zugriff auf E-Mail über Mobilgeräte gehört zu den wichtigsten Bereichen des Mobilitätsmanagements in Unternehmen. Die Entscheidung über die richtige E-Mail-Strategie ist oft eines der Hauptkriterien beim XenMobile-Designs. XenMobile bietet Optionen für unterschiedliche Anwendungsfälle basierend auf Sicherheit, Benutzererfahrung und Anforderungen im Hinblick auf die Integration. In diesem Artikel wird der gängige Prozess zur Wahl des Designs einschließlich Überlegungen bei der Auswahl der richtigen Lösung, vom Client bis zum E-Mail-Verkehr, behandelt.

Auswählen der E-Mail-Clients

Die Auswahl des oder der Clients steht in der Regel bei der Entwicklung der E-Mail-Strategie an oberster Stelle. Es stehen mehrere Clients zur Auswahl: Citrix Secure Mail, systemeigene Clients von Mobilbetriebssystemen und Clients von Drittanbietern aus öffentlichen App-Stores. Je nach Anforderungen genügt evtl. ein einzelner (Standard-) Client oder es ist eine Kombination von Clients erforderlich.

Die folgende Tabelle enthält Kriterien, die bei den verschiedenen Clientoptionen zu berücksichtigen sind:

       
Bereich Secure Mail Systemeigene Clients (z. B. iOS Mail) Drittanbieterclients (z. B. TouchDown)
XenMobile-Mindestedition Erweitert MDM MDM
Konfiguration Über eine MDX-Richtlinie konfigurierte Exchange-Kontoprofile. Über eine MDM-Richtlinie konfigurierte Exchange-Kontoprofile. Android-Unterstützung beschränkt auf: SAFE/KNOX, HTC und Android for Work. Alle anderen Clients gelten als Drittanbieterclients. Erfordert im Allgemeinen manuelle Konfiguration durch Benutzer. Über eine MDM-Richtlinie konfigurierte Exchange-Kontoprofile nur für TouchDown.
Sicherheit Höchste, designinhärente Sicherheit. Verwendet MDX-Richtlinien mit zusätzlichen Datenverschlüsselungsstufen. Secure Mail ist eine vollständig verwaltete App (per MDX-Richtlinie). Zusätzliche Authentifizierungsstufe per Citrix PIN. Je nach Anbieter/App-Features. Bietet höhere Sicherheit. Verwendet Geräteverschlüsselungseinstellungen (ohne Sicherheit über MDX-Richtlinien). Erfordert Authentifizierung auf Geräteebene für den Zugriff auf die App Je nach Anbieter/App-Features. Bietet hohe Sicherheit.
Integration Ermöglicht standardmäßig die Interaktion mit verwalteten Apps (MDX). Öffnen von Internet-URLs mit Citrix Secure Web. Dateien in ShareFile speichern und aus ShareFile anhängen. Direkte Teilnahme und Einwahl bei GoToMeeting. Kann standardmäßig nur mit anderen nicht verwalteten Apps (ohne MDX) interagieren. Kann standardmäßig nur mit anderen nicht verwalteten Apps (ohne MDX) interagieren.
Bereitstellung/Lizenzierung Direkte Pushbereitstellung über MDM aus öffentlichen App-Stores. In XenMobile Advanced und Enterprise enthalten. Client-App im Betriebssystem der Plattform enthalten. Keine zusätzliche Lizenzierung erforderlich. Pushbereitstellung über MDM als Unternehmensapp oder direkt aus öffentlichen App-Stores. Lizenzierungsmodell/-kosten je nach App-Anbieter.
Support Support aus einer Hand für Client- und EMM-Lösung (Citrix). Integrierte Support-Kontaktinformationen in Secure Hub, Funktionen zur Protokollierung des App-Debuggings. Nur ein Client muss betreut werden. Support je nach Hersteller (Apple/Google). Je nach Geräteplattform müssen ggf. verschiedene Clients betreut werden. Support je nach Hersteller. Support eines Clients, vorausgesetzt, dieser wird von allen verwalteten Geräteplattformen unterstützt.

Überlegungen zu E-Mail-Verkehr und Filterung

In diesem Abschnitt werden die drei Hauptszenarien sowie Designüberlegungen für den E-Mail-(ActiveSync-)Verkehr im Zusammenhang mit XenMobile erläutert.

Szenario 1: offenes Exchange

In Umgebungen, die externe Clients unterstützen, sind die Exchange ActiveSync-Dienste häufig mit dem Internet verbunden. Mobile ActiveSync-Clients stellen über diese externe Route Verbindungen durch einen Reverseproxy (z. B. NetScaler) oder einen Edgeserver her. Diese Option ist zur Verwendung systemeigener E-Mail-Clients oder solcher von Drittanbietern erforderlich, wodurch diese Clients zur bevorzugten Wahl für dieses Szenario werden. Es ist zwar nicht üblich, doch Sie können in diesem Szenario auch den Secure Mail-Client verwenden. Dadurch können Sie die Sicherheitsfunktionen der MDX-Richtlinien und der App-Verwaltung nutzen.

Szenario 2: Tunneling über NetScaler (Micro-VPN und STA)

Dieses Szenario ist Standard bei Verwendung des Secure Mail-Clients aufgrund von dessen Micro-VPN-Funktionen. Der Secure Mail-Client stellt über NetScaler Gateway eine sichere Verbindung mit ActiveSync her. Im Wesentlichen ist Secure Mail hier der Client, der aus dem internen Netzwerk eine direkte Verbindung mit ActiveSync herstellt. Citrix Kunden verwenden Secure Mail häufig als bevorzugten mobilen ActiveSync-Client. Auf diese Weise soll vermieden werden, dass ActiveSync-Dienste über einen Exchange Server im Internet offengelegt werden, wie dies in Szenario 1 der Fall wäre.

Nur verwaltete (mit MDX umschlossene) Apps können die Micro-VPN-Funktion verwenden. Daher ist dieses Szenario nicht für systemeigene Clients geeignet. Es ist zwar evtl. möglich, Clients von Drittanbietern mit dem MDX Toolkit zu umschließen, dies ist jedoch nicht üblich. Die Verwendung von VPN-Clients auf Geräteebene für das Tunneling für systemeigene Clients oder Clients von Drittanbietern hat sich als umständlich und nicht praktikabel erwiesen.

Szenario 3: in der Cloud gehosteter Exchange-Dienst

In der Cloud gehostete Exchange-Dienste wie Microsoft Office 365 erfreuen sich zunehmender Beliebtheit. Im Kontext von XenMobile kann dieses Szenario mit Szenario 1 gleichgesetzt werden, da der ActiveSync-Dienst offen gegenüber dem Internet ist. In diesem Fall diktieren die Anforderungen des Cloudservice-Anbieters die Entscheidungen im Hinblick auf Clients. Es werden im Allgemeinen die meisten ActiveSync-Clients unterstützt, z. B. Secure Mail oder andere systemeigene oder Drittanbieterclients.

XenMobile bietet bei diesem Szenario in drei Bereichen Vorteile:

  • Umschließen von Clients mit MDX-Richtlinien und App-Verwaltung mit Secure Mail
  • Clientkonfiguration unter Verwendung einer MDM-Richtlinie auf unterstützten Clients (systemeigene, z. B. TouchDown)
  • ActiveSync-Filteroptionen bei Verwendung von XenMobile Mail Manager

Filtern des E-Mail-Verkehrs

Wie bei den meisten mit dem Internet verbundenen Diensten müssen Sie die Route schützen und eine Filterung für den autorisierten Zugriff bereitstellen. XenMobile umfasst zwei speziell für ActiveSync-Filterfunktionen für systemeigene und Clients von Drittanbietern entwickelte Komponenten: XenMobile NetScaler Connector und XenMobile Mail Manager.

XenMobile NetScaler Connector

XenMobile NetScaler Connector ermöglicht eine ActiveSync-Filterung im Umkreis, wobei NetScaler als Proxy für den ActiveSync-Datenverkehr agiert. Dies bedeutet, dass die Filterkomponente im Pfad des E-Mail-Datenverkehrs ist und E-Mails beim Erreichen oder Verlassen der Umgebung abfängt. XenMobile NetScaler Connector fungiert als Vermittler zwischen NetScaler und XenMobile. Wenn ein Gerät über den virtuellen ActiveSync-Server auf dem NetScaler mit Exchange kommuniziert, führt dieser einen HTTP-Callout an den XenMobile NetScaler Connector-Dienst aus. Der Dienst überprüft dann den Gerätestatus bei XenMobile. Je nach Gerätestatus weist der XenMobile NetScaler Connector NetScaler an, die Verbindung zuzulassen oder zu verweigern. Sie können auch statische Regeln konfigurieren, um den Zugriff basierend auf Benutzer, Agent und Gerätetyp oder Geräte-ID zu filtern.

Dadurch können Exchange ActiveSync-Dienste dem Internet mit einer zusätzlichen Sicherheitsebene zur Verhinderung eines unbefugten Zugriffs ausgesetzt werden. Es sind folgende Punkte zu berücksichtigen:

  • Windows-Server: Der XenMobile NetScaler Connector erfordert einen Windows-Server.
  • Filterregeln: Der XenMobile NetScaler Connector wurde für die Filterung nach Gerätestatus und -Informationen und nicht nach Benutzerinformationen entwickelt. Sie können zwar statische Regeln zur Filterung nach Benutzer-ID konfigurieren, es gibt jedoch keine Optionen beispielsweise zum Filtern nach Active Directory-Gruppenmitgliedschaft. Wenn eine Filterung nach Active Directory-Gruppen erforderlich ist, können Sie stattdessen XenMobile Mail Manager verwenden.
  • NetScaler-Skalierbarkeit: Angesichts der Notwendigkeit eines Proxyroutings des ActiveSync-Datenverkehrs über NetScaler ist die richtige Dimensionierung der NetScaler-Instanz entscheidend, um die zusätzliche Workload aller ActiveSync-SSL-Verbindungen zu bewältigen.
  • Integrated Caching bei NetScaler: Die XenMobile NetScaler Connector-Konfiguration auf dem NetScaler verwendet Integrated Caching zum Zwischenspeichern der Antworten vom XenMobile NetScaler Connector. Daher muss NetScaler keine Anforderung für jede ActiveSync-Transaktion in einer bestimmten Sitzung an den XenMobile NetScaler Connector senden. Diese Konfiguration ist auch entscheidend für eine angemessene Leistung und Skalierung. Integrated Caching ist mit der NetScaler Platinum Edition verfügbar, für Enterprise Editions wird eine separate Lizenz angeboten.
  • Benutzerdefinierte Filterrichtlinien: Sie müssen ggf. eigene NetScaler-Richtlinien erstellen, um bestimmte ActiveSync-Clients außerhalb der standardmäßigen systemeigenen Mobilclients einzuschränken. Diese Konfiguration erfordert Kenntnisse in den Bereichen ActiveSync-HTTP-Anforderungen und Erstellung von NetScaler-Responderrichtlinien.
  • Secure Mail-Clients: Secure Mail bietet Micro-VPN-Funktionen, die eine Filterung am Umkreis überflüssig machen. Der Secure Mail-Client wird im Allgemeinen als interner (vertrauenswürdiger) ActiveSync-Client behandelt, wenn er über NetScaler Gateway verbunden ist. Werden sowohl systemeigene Clients und Drittanbieter-Clients (mit XenMobile NetScaler Connector) als auch Secure Mail-Clients verwendet, empfiehlt Citrix, den Secure Mail-Datenverkehr nicht über den für XenMobile NetScaler Connector verwendeten virtuellen NetScaler-Server zu leiten. Sie können den Datenverkehr über DNS leiten und Auswirkungen der XenMobile NetScaler Connector-Richtlinie auf die Secure Mail-Clients verhindern.

Eine Darstellung von XenMobile NetScaler Connector in einer XenMobile-Bereitstellung finden Sie unter Architektur.

XenMobile Mail Manager

Die XenMobile-Komponente XenMobile Mail Manager ermöglicht eine ActiveSync-Filterung auf der Exchange-Dienstebene. Die Filterung erfolgt erst, wenn die E-Mail den Exchange-Dienst erreicht, und nicht sobald sie in die XenMobile-Umgebung gelangt. Mail Manager verwendet PowerShell, um bei Exchange ActiveSync Gerätepartnerschaftsinformationen abzufragen und den Zugriff über Gerätequarantäneaktionen zu steuern. Dadurch werden Geräte basierend auf den XenMobile Mail Manager-Regelkriterien in Quarantäne versetzt und aus der Quarantäne entlassen.

Ähnlich wie XenMobile NetScaler Connector überprüft XenMobile Mail Manager den Gerätestatus bei XenMobile, um den Zugriff basierend auf der Gerätecompliance zu filtern. Sie können auch statische Regeln konfigurieren, um den Zugriff basierend auf Gerätetyp, Geräte-ID, Agentversion und Active Directory-Gruppenmitgliedschaft zu filtern.

Diese Lösung erfordert nicht die Verwendung von NetScaler. Sie können XenMobile Mail Manager ohne Änderungen am Routing für den bestehenden ActiveSync-Datenverkehr bereitstellen. Es sind folgende Punkte zu berücksichtigen:

  • Windows-Server: Der XenMobile Mail Manager erfordert einen Windows-Server.
  • Filterregelsatz: Wie XenMobile NetScaler Connector auch umfasst XenMobile Mail Manager Filterregeln zur Bewertung des Gerätezustands. Darüber hinaus unterstützt XenMobile Mail Manager auch statische Regeln zum Filtern nach Active Directory-Gruppenmitgliedschaft.
  • Exchange-Integration: XenMobile Mail Manager benötigt direkten Zugriff auf den Exchange-Clientzugriffsserver (CAS), auf dem die ActiveSync-Rolle und die Steuerung der Gerätequarantäne gehostet werden. Diese Anforderung kann abhängig von der Umgebungsarchitektur und der Sicherheitslage eine Herausforderung darstellen. Diese technische Anforderung muss auf jeden Fall im Vorfeld bewertet werden.
  • Andere ActiveSync-Clients: Da XenMobile Mail Manager auf der ActiveSync-Dienstebene filtert, sollten Sie andere ActiveSync-Clients außerhalb der XenMobile-Umgebung berücksichtigen. Sie können statische XenMobile Mail Manager-Regeln konfigurieren, um unbeabsichtigte Auswirkungen auf andere ActiveSync-Clients zu vermeiden.
  • Erweiterte Exchange-Funktionen: Durch die direkte Integration in Exchange ActiveSync bietet XenMobile Mail Manager die Möglichkeit, über XenMobile eine Exchange ActiveSync-Löschung auf einem Mobilgerät durchzuführen. Mit XenMobile Mail Manager kann XenMobile außerdem auf Blackberry-Geräteinformationen zugreifen und andere Steuerungsvorgänge durchführen.

Eine Darstellung von XenMobile Mail Manager in einer XenMobile-Bereitstellung finden Sie unter Architektur.

Entscheidungsbaums zur Wahl der E-Mail-Plattform

Die folgende Abbildung bietet einen Überblick über die Vor- und Nachteile der Verwendung systemeigener Lösungen und von Secure Mail in einer XenMobile-Bereitstellung. Für jede Option gibt es spezifische XenMobile-Optionen und -Anforderungen, für den Zugriff auf Server, Netzwerk- und Datenbank. Die Vor- und Nachteile umfassen Aspekte im Hinblick auf Sicherheit, Richtlinien und Benutzeroberfläche.

Abbildung des Entscheidungsbaums zur Wahl der E-Mail-Plattform