E-Mail-Strategie

Der sichere Zugriff auf E-Mail über Mobilgeräte gehört zu den wichtigsten Bereichen des Mobilitätsmanagements in Unternehmen. Die Entscheidung über die richtige E-Mail-Strategie gehört zu den Hauptkriterien eines Endpoint Management-Designs. Endpoint Management bietet Optionen für unterschiedliche Anwendungsfälle basierend auf Sicherheit, Benutzererfahrung und Anforderungen im Hinblick auf die Integration. In diesem Artikel wird der gängige Prozess zur Wahl des Designs einschließlich Überlegungen bei der Auswahl der richtigen Lösung, vom Client bis zum E-Mail-Verkehr, behandelt.

Auswählen der E-Mail-Clients

Die Auswahl des oder der Clients steht in der Regel bei der Entwicklung der E-Mail-Strategie an oberster Stelle. Es stehen mehrere Clients zur Auswahl: Citrix Secure Mail, systemeigene Clients von Mobilbetriebssystemen und Clients von Drittanbietern aus öffentlichen App-Stores. Je nach Anforderungen genügt evtl. ein einzelner (Standard-) Client oder es ist eine Kombination von Clients erforderlich.

Die folgende Tabelle enthält Kriterien, die bei den verschiedenen Clientoptionen zu berücksichtigen sind:

       
Bereich Secure Mail Systemeigene Clients (z. B. iOS Mail) Drittanbieterclients
Konfiguration Über eine MDX-Richtlinie konfigurierte Exchange-Kontoprofile. Über eine MDM-Richtlinie konfigurierte Exchange-Kontoprofile. Android-Unterstützung beschränkt auf: SAFE/Knox, HTC und Android Enterprise. Alle anderen Clients gelten als Drittanbieterclients. Erfordert im Allgemeinen manuelle Konfiguration durch Benutzer.
Sicherheit Höchste, designinhärente Sicherheit. Verwendet MDX-Richtlinien mit zusätzlichen Datenverschlüsselungsstufen. Secure Mail ist eine vollständig verwaltete App (per MDX-Richtlinie). Zusätzliche Authentifizierungsstufe per Citrix PIN. Je nach Anbieter/App-Features. Bietet höhere Sicherheit. Verwendet Geräteverschlüsselungseinstellungen (ohne Sicherheit über MDX-Richtlinien). Erfordert Authentifizierung auf Geräteebene für den Zugriff auf die App Je nach Anbieter/App-Features. Bietet hohe Sicherheit.
Integration Ermöglicht standardmäßig die Interaktion mit verwalteten Apps (MDX). Öffnen von Internet-URLs mit Citrix Secure Web. Speichern und Anhängen von Dateien aus Citrix Files. Direkte Teilnahme und Einwahl bei GoToMeeting. Kann standardmäßig nur mit anderen nicht verwalteten Apps (ohne MDX) interagieren. Kann standardmäßig nur mit anderen nicht verwalteten Apps (ohne MDX) interagieren.
Bereitstellung/Lizenzierung Direkte Pushbereitstellung über MDM aus öffentlichen App-Stores. In Lizenz für Endpoint Management Advanced und Enterprise enthalten. Client-App im Betriebssystem der Plattform enthalten. Keine zusätzliche Lizenzierung erforderlich. Pushbereitstellung über MDM als Unternehmensapp oder direkt aus öffentlichen App-Stores. Lizenzierungsmodell/-kosten je nach App-Anbieter.
Support Support aus einer Hand für Client- und EMM-Lösung (Citrix). Integrierte Support-Kontaktinformationen in Secure Hub, Funktionen zur Protokollierung des App-Debuggings. Nur ein Client muss betreut werden. Support je nach Hersteller (Apple/Google). Je nach Geräteplattform müssen ggf. verschiedene Clients betreut werden. Support je nach Hersteller. Support eines Clients, vorausgesetzt, dieser wird von allen verwalteten Geräteplattformen unterstützt.

Überlegungen zu E-Mail-Verkehr und Filterung

In diesem Abschnitt werden die drei Hauptszenarien sowie Designüberlegungen zum ActiveSync-E-Mail-Verkehr im Kontext von Endpoint Management erläutert.

Szenario 1: offenes Exchange

In Umgebungen, die externe Clients unterstützen, sind die Exchange ActiveSync-Dienste häufig mit dem Internet verbunden. Mobile ActiveSync-Clients stellen über diese externe Route Verbindungen durch einen Reverseproxy (z. B. Citrix Gateway) oder einen Edgeserver her. Diese Option ist zur Verwendung systemeigener E-Mail-Clients oder solcher von Drittanbietern erforderlich, wodurch diese Clients zur bevorzugten Wahl für dieses Szenario werden. Es ist zwar nicht üblich, doch Sie können in diesem Szenario auch den Secure Mail-Client verwenden. Dadurch können Sie die Sicherheitsfunktionen der MDX-Richtlinien und der App-Verwaltung nutzen.

Szenario 2: Tunneling über Citrix Gateway (Micro-VPN und STA)

Dieses Szenario ist Standard bei Verwendung des Secure Mail-Clients aufgrund von dessen Micro-VPN-Funktionen. Der Secure Mail-Client stellt über Citrix Gateway eine sichere Verbindung mit ActiveSync her. Im Wesentlichen ist Secure Mail hier der Client, der aus dem internen Netzwerk eine direkte Verbindung mit ActiveSync herstellt. Citrix Kunden verwenden Secure Mail häufig als bevorzugten mobilen ActiveSync-Client. Auf diese Weise soll vermieden werden, dass ActiveSync-Dienste über einen Exchange Server im Internet offengelegt werden, wie dies in Szenario 1 der Fall wäre.

Nur verwaltete (mit MDX umschlossene) Apps können die Micro-VPN-Funktion verwenden. Daher ist dieses Szenario nicht für systemeigene Clients geeignet. Es ist zwar evtl. möglich, Clients von Drittanbietern mit dem MDX Toolkit zu umschließen, dies ist jedoch nicht üblich. Die Verwendung von VPN-Clients auf Geräteebene für das Tunneling für systemeigene Clients oder Clients von Drittanbietern hat sich als umständlich und nicht praktikabel erwiesen.

Szenario 3: in der Cloud gehosteter Exchange-Dienst

In der Cloud gehostete Exchange-Dienste wie Microsoft Office 365 erfreuen sich zunehmender Beliebtheit. Im Kontext von Endpoint Management kann dieses Szenario mit Szenario 1 gleichgesetzt werden, da der ActiveSync-Dienst offen gegenüber dem Internet ist. In diesem Fall diktieren die Anforderungen des Cloudservice-Anbieters die Entscheidungen im Hinblick auf Clients. Es werden im Allgemeinen die meisten ActiveSync-Clients unterstützt, z. B. Secure Mail oder andere systemeigene oder Drittanbieterclients.

Endpoint Management bietet bei diesem Szenario in drei Bereichen Vorteile:

  • Umschließen von Clients mit MDX-Richtlinien und App-Verwaltung mit Secure Mail
  • Clientkonfiguration unter Verwendung einer MDM-Richtlinie bei unterstützten systemeigenen E-Mail-Clients
  • ActiveSync-Filteroptionen mit Einsatz des Endpoint Management-Connectors für Exchange ActiveSync

Filtern des E-Mail-Verkehrs

Wie bei den meisten mit dem Internet verbundenen Diensten müssen Sie die Route schützen und eine Filterung für den autorisierten Zugriff bereitstellen. Endpoint Management umfasst zwei Komponenten, die ActiveSync-Filterfunktionen für systemeigene Clients und für Drittanbieterclients bereitstellen: Citrix Gateway Connector für Exchange ActiveSync und Endpoint Management Connector für Exchange ActiveSync.

Citrix Gateway Connector für Exchange ActiveSync

Citrix Gateway Connector für Exchange ActiveSync ermöglicht eine ActiveSync-Filterung im Umkreis, wobei Citrix Gateway als Proxy für den ActiveSync-Datenverkehr agiert. Dies bedeutet, dass die Filterkomponente im Pfad des E-Mail-Datenverkehrs ist und E-Mails beim Erreichen oder Verlassen der Umgebung abfängt. Der Connector für Exchange ActiveSync fungiert als Vermittler zwischen Citrix Gateway und Endpoint Management. Wenn ein Gerät über den virtuellen ActiveSync-Server auf dem Citrix Gateway mit Exchange kommuniziert, führt Citrix Gateway einen HTTP-Callout an den Connector für den Exchange ActiveSync-Dienst aus. Dieser Dienst überprüft dann den Gerätestatus bei Endpoint Management. Je nach Gerätestatus weist der Connector für Exchange ActiveSync dann Citrix Gateway an, die Verbindung zuzulassen oder zu verweigern. Sie können auch statische Regeln konfigurieren, um den Zugriff basierend auf Benutzer, Agent und Gerätetyp oder Geräte-ID zu filtern.

Dadurch können Exchange ActiveSync-Dienste dem Internet mit einer zusätzlichen Sicherheitsebene zur Verhinderung eines unbefugten Zugriffs ausgesetzt werden. Es sind folgende Punkte zu berücksichtigen:

  • Windows-Server: Der Connector für Exchange ActiveSync erfordert einen Windows-Server.
  • Filterregeln: Der Connector für Exchange ActiveSync wurde für die Filterung nach Gerätestatus und -Informationen und nicht nach Benutzerinformationen entwickelt. Sie können zwar statische Regeln zur Filterung nach Benutzer-ID konfigurieren, es gibt jedoch keine Optionen beispielsweise zum Filtern nach Active Directory-Gruppenmitgliedschaft. Wenn eine Filterung nach Active Directory-Gruppen erforderlich ist, können Sie stattdessen den Endpoint Management Connector für Exchange ActiveSync verwenden.
  • Citrix Gateway-Skalierbarkeit: Angesichts der Notwendigkeit, den ActiveSync-Datenverkehr über Citrix Gateway als Proxy zu leiten, ist die richtige Dimensionierung der Citrix Gateway-Instanz entscheidend, um die zusätzliche Workload aller ActiveSync-SSL-Verbindungen zu bewältigen.
  • Integrated Caching bei Citrix Gateway: Der Connector für Exchange ActiveSync auf dem Citrix Gateway ist so konfiguriert, dass die Antworten des Connectors mit Integrated Caching zwischengespeichert werden. Daher muss Citrix Gateway nicht jede ActiveSync-Transaktion in einer bestimmten Sitzung beim Connector anfordern. Diese Konfiguration ist auch entscheidend für eine angemessene Leistung und Skalierung. Integrated Caching ist mit der Citrix Gateway Platinum Edition verfügbar.
  • Benutzerdefinierte Filterrichtlinien: Sie müssen ggf. eigene Citrix Gateway-Richtlinien erstellen, um bestimmte ActiveSync-Clients außerhalb der standardmäßigen systemeigenen Mobilclients einzuschränken. Diese Konfiguration erfordert Kenntnisse in den Bereichen ActiveSync-HTTP-Anforderungen und Erstellung von Citrix Gateway-Responderrichtlinien.
  • Secure Mail-Clients: Secure Mail bietet Micro-VPN-Funktionen, die eine Filterung am Umkreis überflüssig machen. Der Secure Mail-Client wird im Allgemeinen als interner (vertrauenswürdiger) ActiveSync-Client behandelt, wenn er über Citrix Gateway verbunden ist. Werden sowohl systemeigene Clients und Drittanbieterclients (mit dem Connector für Exchange ActiveSync) als auch Secure Mail-Clients verwendet, empfiehlt Citrix, den Secure Mail-Datenverkehr nicht über den für den Connector verwendeten virtuellen Citrix Gateway-Server zu leiten. Sie können den Datenverkehr über DNS leiten und Auswirkungen der Connector-Richtlinie auf die Secure Mail-Clients verhindern.

Ein Diagramm mit dem Citrix Gateway Connector für Exchange ActiveSync in einer Endpoint Management-Bereitstellung finden Sie unter Architektur.

Endpoint Management Connector für Exchange ActiveSync

Der Endpoint Management Connector für Exchange ActiveSync ermöglicht eine ActiveSync-Filterung auf der Exchange-Dienstebene. Das Resultat ist, dass die Filterung erst dann erfolgt, wenn die E-Mail den Exchange-Dienst erreicht, und nicht sobald sie in die Endpoint Management-Umgebung gelangt. Mail Manager verwendet PowerShell, um bei Exchange ActiveSync Gerätepartnerschaftsinformationen abzufragen und den Zugriff über Gerätequarantäneaktionen zu steuern. Dadurch werden Geräte basierend auf den Regelkriterien des Endpoint Management-Connectors für Exchange ActiveSync unter Quarantäne gestellt, bzw. aus dieser befreit.

Ähnlich wie der Citrix Gateway Connector für Exchange ActiveSync überprüft der Connector für Exchange ActiveSync den Gerätestatus mit Endpoint Management, um den Zugriff basierend auf der Gerätecompliance zu filtern. Sie können auch statische Regeln konfigurieren, um den Zugriff basierend auf Gerätetyp, Geräte-ID, Agentversion und Active Directory-Gruppenmitgliedschaft zu filtern.

Diese Lösung erfordert nicht die Verwendung von Citrix Gateway. Sie können den Connector für Exchange ActiveSync ohne Änderungen am Routing des ActiveSync-Datenverkehrs bereitstellen. Es sind folgende Punkte zu berücksichtigen:

  • Windows-Server: Der Connector für Exchange ActiveSync erfordert einen Windows-Server.
  • Filterregelsatz: Wie der Citrix Gateway Connector für Exchange ActiveSync umfasst der Connector für Exchange ActiveSync Filterregeln zur Bewertung des Gerätezustands. Darüber hinaus unterstützt der Connector für Exchange ActiveSync auch statische Regeln zum Filtern nach Active Directory-Gruppenmitgliedschaft.
  • Exchange-Integration: Der Connector für Exchange ActiveSync benötigt direkten Zugriff auf den Exchange-Clientzugriffsserver (CAS), auf dem die ActiveSync-Rolle und die Steuerung der Gerätequarantäne gehostet werden. Diese Anforderung kann abhängig von der Umgebungsarchitektur und der Sicherheitslage eine Herausforderung darstellen. Diese technische Anforderung muss auf jeden Fall im Vorfeld bewertet werden.
  • Andere ActiveSync-Clients: Da der Connector für Exchange ActiveSync auf der ActiveSync-Dienstebene filtert, sollten Sie andere ActiveSync-Clients außerhalb der Endpoint Management-Umgebung berücksichtigen. Sie können statische Regeln für den Connector für Exchange ActiveSync konfigurieren, um unbeabsichtigte Auswirkungen auf andere ActiveSync-Clients zu vermeiden.
  • Erweiterte Exchange-Funktionen: Durch die direkte Integration in Exchange ActiveSync bietet der Connector für Exchange ActiveSync die Möglichkeit, über Endpoint Management eine Exchange ActiveSync-Löschung auf einem Mobilgerät durchzuführen. Mit dem Connector für Exchange ActiveSync kann Endpoint Management außerdem auf Blackberry-Geräteinformationen zugreifen und andere Steuerungsvorgänge durchführen.

Ein Diagramm mit dem Endpoint Management Connector für Exchange ActiveSync in einer Endpoint Management-Bereitstellung finden Sie unter Architektur.

Entscheidungsbaums zur Wahl der E-Mail-Plattform

Die folgende Abbildung bietet einen Überblick über die Vor- und Nachteile der Verwendung systemeigener E-Mail-Lösungen bzw. von Secure Mail in einer Endpoint Management-Bereitstellung. Für jede Option gibt es spezifische Endpoint Management-Optionen und -Anforderungen, die den Zugriff auf Server, Netzwerk und Datenbank regeln. Die Vor- und Nachteile umfassen Aspekte im Hinblick auf Sicherheit, Richtlinien und Benutzeroberfläche.

Abbildung des Entscheidungsbaums zur Wahl der E-Mail-Plattform