Push-Benachrichtigungen für Secure Mail

Secure Mail für iOS und Secure Mail für Android können Benachrichtigungen über E-Mail- und Kalenderaktivitäten empfangen, wenn die App im Hintergrund läuft oder geschlossen ist. Secure Mail für iOS unterstützt Benachrichtigungen, die über Remote-Push-Benachrichtigungen des Apple Push Notification Service (APNs) bereitgestellt werden. Secure Mail für Android unterstützt Benachrichtigungen, die über den Firebase Cloud Messaging Service (FCM) bereitgestellt werden.

• Funktionsweise von Push-Benachrichtigungen

• Um Push-Benachrichtigungen für iOS und Android bereitzustellen, hostet Citrix® einen Listener-Dienst auf Amazon Web Services (AWS), der die folgenden Funktionen ausführt:

• Lauschen auf Exchange Web Services (EWS)-Push-Benachrichtigungen, die von Exchange-Servern gesendet werden, wenn Posteingangsaktivitäten vorliegen. Exchange sendet keine E-Mail-Inhalte an den Citrix-Dienst.

• Der Citrix-Dienst speichert keine personenbezogenen Daten. Stattdessen identifizieren ein Gerätetoken und eine Abonnement-ID das spezifische Gerät und den Posteingangsordner, die in Secure Mail aktualisiert werden sollen.

• Senden von APNs-Benachrichtigungen, die nur Badge-Zähler enthalten, an Secure Mail auf iOS-Geräten.

• Senden von FCM-Benachrichtigungen an Secure Mail auf Android-Geräten.

Der Citrix Listener-Dienst hat keinen Einfluss auf den E-Mail-Datenverkehr, der weiterhin über ActiveSync zwischen Benutzergeräten und Exchange-Servern fließt. Der Listener-Dienst, der für Hochverfügbarkeit und Notfallwiederherstellung konfiguriert ist, ist in drei Regionen verfügbar:

• Amerika
• Europa, Naher Osten und Afrika (EMEA)
• Asien-Pazifik (APAC)

Systemanforderungen für Push-Benachrichtigungen

Wenn Ihre Citrix Gateway-Konfiguration Secure Ticket Authority (STA) enthält und Split-Tunneling deaktiviert ist, muss Citrix Gateway den Datenverkehr (wenn er von Secure Mail getunnelt wird) zu den folgenden URLs des Citrix Listener-Dienstes zulassen:

Konfigurieren von Secure Mail für Push-Benachrichtigungen

• Um Apple Push Notifications oder FCM für Secure Mail für die App Store-Verteilung einzurichten, stellen Sie in der Endpoint Management-Konsole Push-Benachrichtigungen auf EIN und wählen Sie dann Ihre Region aus. Die folgende Abbildung zeigt die Einstellung für iOS.

Für Android zeigt die folgende Abbildung dieselbe Einstellung für Push-Benachrichtigungen wie für iOS. Wenn EWS in einer anderen Region als der Mailserver gehostet wird, füllen Sie zusätzlich die Einstellung EWS HostName aus. Die Standardeinstellung ist leer. Wenn Sie die Einstellung leer lassen, verwendet Endpoint Management den Hostnamen des Mailservers.

Konfigurieren Sie Exchange und Citrix ADC so, dass der Datenverkehr zum Listener-Dienst fließen kann.

Exchange Server-Konfiguration

Erlauben Sie ausgehendes SSL (über Port 443) von Ihrer Firewall zur URL des Citrix Listener-Dienstes für die Region, in der sich Ihr Exchange Server befindet. Zum Beispiel:

Wenn Sie einen Proxyserver zwischen Exchange Web Services (EWS) und dem Citrix Listener-Gerät haben, können Sie eine der folgenden Optionen wählen:

• Senden Sie den EWS-Datenverkehr über den Proxy und dann an das Listener-Gerät.
• Umgehen Sie den Proxy und leiten Sie den EWS-Datenverkehr direkt an das Listener-Gerät weiter.

Um den EWS-Datenverkehr über den Proxyserver zu senden, konfigurieren Sie die EWS-Datei web.config im Ordner ClientAccess\exchweb\ews wie folgt.

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />

• </defaultProxy> </system.net> </configuration>

• Weitere Informationen zum Konfigurieren von Proxys finden Sie unter Proxykonfiguration.

Für Exchange 2013-Umgebungen müssen Sie den Abschnitt system.net manuell zur Datei web.config hinzufügen. Andernfalls sollten die in diesem Artikel beschriebenen Konfigurationen für Exchange 2013 funktionieren. Wenden Sie sich bei Problemen an Ihren Exchange-Administrator.

Um den Proxyserver zu umgehen, konfigurieren Sie die Umgehungsliste so, dass Exchange Verbindungen mit dem Citrix Listener-Dienst herstellen kann.

• Wenn Secure Hub mit zertifikatbasierter Authentifizierung registriert ist, müssen Sie auch den Exchange Server für die zertifikatbasierte Authentifizierung konfigurieren. Weitere Informationen finden Sie im Artikel Endpoint Management Advanced Concepts.

Citrix Gateway-Konfiguration

Obwohl der Exchange Server den Datenverkehr zum Listener-Dienst zulassen muss, muss Citrix ADC den Datenverkehr zum Registrierungsdienst zulassen. Auf diese Weise können sich Geräte verbinden, um sich für Push-Benachrichtigungen zu registrieren.

• Wenn Ihre EWS- und ActiveSync-Server unterschiedlich sind, konfigurieren Sie Ihre Citrix ADC-Datenverkehrsrichtlinie so, dass EWS-Datenverkehr zugelassen wird. Weitere Informationen zur Integration von Citrix Endpoint Management mit Citrix Gateway finden Sie im Abschnitt Integration mit Citrix Gateway und Citrix ADC.

Fehlerbehebung

Um ausgehende Verbindungen zu beheben, überprüfen Sie die Exchange-Ereignisprotokolle, die Protokolleinträge enthalten, wenn eine Abonnementanfrage oder die Benachrichtigung für ein Abonnement ungültig ist oder fehlschlägt. Sie können auch Wireshark-Traces auf dem Exchange Server ausführen, um den ausgehenden Datenverkehr zum Citrix Listener-Dienst zu verfolgen.

Häufig gestellte Fragen zu Secure Mail Push-Benachrichtigungen

• Wann liefert Android Benachrichtigungen an Secure Mail?

Unter Android werden Benachrichtigungen immer an Secure Mail zugestellt.

Wie wirkt sich FCM auf E-Mail-Benachrichtigungen aus, die auf dem Sperrbildschirm angezeigt werden?

Neue E-Mail-Benachrichtigungen, die auf dem Sperrbildschirm des Geräts angezeigt werden, werden basierend auf Daten generiert, die von Secure Mail auf das Gerät synchronisiert werden. Wichtig ist, dass diese Informationen nicht vom Listener-Dienst stammen.

• Um neue E-Mail-Benachrichtigungen anzuzeigen, muss Secure Mail Daten von Exchange synchronisieren können, damit Secure Mail die Informationen zur Erstellung der Benachrichtigungen zur Verfügung hat.

Wenn Sie eine neue E-Mail erhalten, wird die FCM-Benachrichtigung Sie haben neue Nachrichten angezeigt. Sobald die E-Mail-Synchronisierung im Hintergrund abgeschlossen ist, wird die neue E-Mail in Secure Mail angezeigt.

Wie wirken sich APNs auf E-Mail-Benachrichtigungen aus, die auf dem Sperrbildschirm angezeigt werden?

Neue E-Mail-Benachrichtigungen, die auf dem Sperrbildschirm des Geräts angezeigt werden, werden basierend auf Daten generiert, die von Secure Mail auf das Gerät synchronisiert werden. Wichtig ist, dass diese Informationen nicht vom Listener-Dienst stammen.

Um neue E-Mail-Benachrichtigungen anzuzeigen, muss Secure Mail Daten von Exchange synchronisieren können, damit Secure Mail die Informationen zur Erstellung der Benachrichtigungen zur Verfügung hat.

Wenn APNs-Benachrichtigungen nicht im Hintergrund an Secure Mail zugestellt werden, erkennt Secure Mail die Benachrichtigungen nicht und synchronisiert daher keine neuen Daten. Da Secure Mail keine neuen Daten zur Verfügung stehen, werden keine E-Mail-Benachrichtigungen auf dem Sperrbildschirm des Geräts generiert, selbst wenn APNs-Benachrichtigungen nicht zugestellt werden.

Wie wirkt sich die Hintergrundaktualisierung auf Secure Mail und APNs aus?

Wenn der Benutzer die Hintergrundaktualisierung deaktiviert, treten die folgenden Situationen auf:

• Secure Mail empfängt keine Benachrichtigungen, wenn Secure Mail sich in der Hintergrund-App befindet.

  Hinweis:

  Diese Situation tritt nur auf, wenn Rich Push-Benachrichtigungen deaktiviert sind. Weitere Informationen zu Rich Push-Benachrichtigungen finden Sie unter Rich Push-Benachrichtigungen für Secure Mail für iOS.

• Secure Mail aktualisiert den Sperrbildschirm nicht mit neuen E-Mail-Benachrichtigungen.

Das Deaktivieren der Hintergrundaktualisierung hat erhebliche Auswirkungen auf das Verhalten von Secure Mail. Wie bereits erwähnt, erfolgen Badge-Updates basierend auf APNs weiterhin, aber in diesem Modus werden keine E-Mails mit dem Gerät synchronisiert.

Wie wirkt sich der Stromsparmodus auf Secure Mail und APNs aus?

Das Verhalten des Systems in Bezug auf Secure Mail ist im Stromsparmodus dasselbe wie bei deaktivierter Hintergrundaktualisierung. Im Stromsparmodus weckt das Gerät Apps nicht für die periodische Aktualisierung auf und liefert keine Benachrichtigungen an Apps im Hintergrund. Die Nebenwirkungen sind daher dieselben wie die im obigen Abschnitt zur Hintergrundaktualisierung aufgeführten. Beachten Sie, dass im Stromsparmodus Badge-Updates basierend auf APNs-Benachrichtigungen weiterhin erfolgen.

Welche anderen Probleme können dazu führen, dass die FCM-gesteuerte Synchronisierung im Hintergrund fehlschlägt?

Verschiedene Probleme können dazu führen, dass FCM-gesteuerte Synchronisierungsanfragen fehlschlagen, darunter die folgenden:

• Ein ungültiges STA-Ticket.
• Wenn Secure Mail im Doze-Modus aktiviert wird, hat die App 10 Sekunden Zeit, um alle Daten vom Server zu synchronisieren.

Wenn eine der vorstehenden Bedingungen eintritt, kann Secure Mail keine Daten synchronisieren. Infolgedessen werden keine Benachrichtigungen auf dem Sperrbildschirm angezeigt.

Welche anderen Probleme können dazu führen, dass APNs-gesteuerte Synchronisierungen im Hintergrund fehlschlagen?

Eine Reihe von Problemen kann dazu führen, dass APNs-gesteuerte Synchronisierungsanfragen fehlschlagen, darunter die folgenden:

• Ein ungültiges STA-Ticket.
• Eine langsame Netzwerkverbindung. Wenn Secure Mail im Hintergrund aktiviert wird, hat die App 30 Sekunden Zeit, um alle Daten vom Server zu synchronisieren.
• Wenn die Datenschutzrichtlinie aktiviert ist und Secure Mail durch eine APNs-Benachrichtigung aktiviert wird, kann Secure Mail bei gesperrtem Gerät nicht auf den Datenspeicher zugreifen, und die Synchronisierung findet nicht statt. Beachten Sie, dass dies nur der Fall ist, wenn das System versucht, Secure Mail kalt zu starten. Wenn ein Benutzer Secure Mail bereits nach dem Entsperren des Geräts gestartet hat, ist die APNs-gesteuerte Synchronisierung auch bei gesperrtem Gerät erfolgreich.

Wenn eine der vorstehenden Bedingungen eintritt, kann Secure Mail keine Daten synchronisieren und daher keine Benachrichtigungen auf dem Sperrbildschirm anzeigen.

Wie generiert Secure Mail sonst Benachrichtigungen auf dem Sperrbildschirm, wenn Benachrichtigungen nicht zugestellt werden oder APNs nicht verwendet wird?

Wenn APNs deaktiviert ist, wird Secure Mail weiterhin durch periodische Hintergrundaktualisierungsereignisse von iOS aktiviert, vorausgesetzt, die Hintergrundaktualisierung ist aktiviert und der Stromsparmodus ist deaktiviert.

Während dieser Aktivierungsereignisse synchronisiert Secure Mail neue E-Mails vom Exchange Server. Diese neuen E-Mails können dann verwendet werden, um E-Mail-Benachrichtigungen auf dem Sperrbildschirm zu generieren. Somit kann Secure Mail auch dann Daten im Hintergrund synchronisieren, wenn APNs-Benachrichtigungen nicht zugestellt werden oder APNs deaktiviert ist.

Es ist wichtig zu beachten, dass dies weniger in Echtzeit geschieht als bei der Verwendung von APNs und wenn APNs-Benachrichtigungen an Secure Mail zugestellt werden. Wenn iOS APNs-Benachrichtigungen an Secure Mail weiterleitet, synchronisiert die App sofort Daten vom Server, und die Benachrichtigungen auf dem Sperrbildschirm erscheinen in Echtzeit.

Falls Hintergrundaktualisierungen erforderlich sind, erfolgen Benachrichtigungen auf dem Sperrbildschirm nicht in Echtzeit. In diesem Fall wird Secure Mail in einer Frequenz aktiviert, die iOS vollständig bestimmt. Daher kann einige Zeit zwischen diesen beiden Situationen vergehen:

• Wenn eine E-Mail im Posteingang eines Benutzers auf Exchange ankommt.
• Wenn Secure Mail diese Nachricht synchronisiert und die Benachrichtigung auf dem Sperrbildschirm generiert.

Beachten Sie auch, dass Secure Mail diese periodischen Aktivierungen auch dann erhält, wenn APNs verwendet wird. In allen Fällen, in denen die Hintergrundaktualisierung Secure Mail aktiviert, versucht Secure Mail, Daten von Exchange zu synchronisieren.

Wie unterscheidet sich Secure Mail von anderen Apps, die Inhalte auf dem Sperrbildschirm anzeigen?

Ein wichtiger Unterschied, der zu Verwirrung führen kann, ist, dass Secure Mail neue E-Mails nicht immer in Echtzeit auf dem Sperrbildschirm anzeigt. Dieses Verhalten unterscheidet sich von Gmail, Microsoft Outlook und anderen Apps. Der Hauptgrund für diesen Unterschied ist die Sicherheit. Um sich an das Verhalten der anderen Apps anzupassen, benötigt der Citrix Listener-Dienst die Benutzeranmeldeinformationen zur Authentifizierung bei Exchange. Die Anmeldeinformationen sind erforderlich, um den E-Mail-Inhalt abzurufen. Die Anmeldeinformationen sind auch erforderlich, um diesen E-Mail-Inhalt über den Citrix Listener-Dienst an den Apple APNs-Dienst weiterzuleiten. Der Ansatz von Citrix für APNs-Benachrichtigungen erfordert nicht, dass der Citrix Listener-Dienst das Passwort der Benutzer abruft oder speichert. Der Listener-Dienst hat keinen Zugriff auf das Postfach oder Passwort der Benutzer.

Ein Hinweis zur nativen iOS-Mail-App: iOS erlaubt seiner eigenen E-Mail-App, eine persistente Verbindung mit dem Mailserver aufrechtzuerhalten, was sicherstellt, dass Benachrichtigungen immer zugestellt werden. Drittanbieter-Apps außerhalb der nativen Mail-App ist diese Funktion nicht gestattet.

Verhalten der Gmail-App: Google besitzt und kontrolliert sowohl die Gmail-App als auch den Gmail-Server. Dieses Verhalten bedeutet, dass Google den Nachrichteninhalt lesen und diesen Nachrichteninhalt in die APNs-Benachrichtigungs-Payload aufnehmen kann. Wenn iOS diese APNs-Benachrichtigung von Gmail empfängt, führt iOS Folgendes aus:

• Setzt das Anwendungs-Badge auf den Wert, der in der Benachrichtigungs-Payload angegeben ist.
• Zeigt die Benachrichtigung auf dem Sperrbildschirm unter Verwendung des Nachrichtentextes an, der in der Benachrichtigungs-Payload enthalten ist.

Dies ist ein entscheidender Unterschied: Es ist iOS, nicht die Gmail-App, das die Benachrichtigung auf dem Sperrbildschirm anzeigt, basierend auf den in der Payload enthaltenen Daten. Tatsächlich weckt iOS die Gmail-App möglicherweise nie auf, ähnlich wie iOS Secure Mail möglicherweise nicht aufweckt, wenn eine Benachrichtigung eintrifft. Da die Payload jedoch den Nachrichtenausschnitt enthält, kann iOS die Benachrichtigung auf dem Sperrbildschirm anzeigen, ohne dass E-Mail-Daten mit dem Gerät synchronisiert werden müssen.

In Secure Mail ist diese Situation anders. Secure Mail muss zuerst Nachrichtendaten von Exchange synchronisieren, bevor die App die Benachrichtigung auf dem Sperrbildschirm anzeigen kann.

Verhalten der Outlook für iOS-App: Microsoft kontrolliert Outlook für iOS. Die Organisation, zu der der Benutzer gehört, kontrolliert jedoch die Exchange-Server, von denen Daten abgerufen werden. Trotz dieser Konfiguration kann Outlook Benachrichtigungen auf dem Sperrbildschirm basierend auf Daten anzeigen, die Microsoft in der APNs-Benachrichtigung bereitstellt. Der Grund dafür ist, dass Outlook für iOS ein Modell verwendet, bei dem Microsoft Benutzeranmeldeinformationen speichert. Microsoft greift dann direkt über seinen Cloud-Dienst auf das Postfach des Benutzers zu und ermittelt das Vorhandensein neuer E-Mails.

Wenn neue E-Mails verfügbar sind, generiert der Microsoft Cloud-Dienst eine APNs-Benachrichtigung, die die neuen E-Mail-Daten enthält. Dieses Modell funktioniert ähnlich wie das Gmail-Modell. Im Gmail-Modell nimmt iOS einfach die Daten und generiert basierend auf diesen Daten eine Benachrichtigung auf dem Sperrbildschirm. Die Outlook iOS-App ist an diesem Prozess nicht beteiligt.

Wichtiger Sicherheitshinweis zu Outlook für iOS: Der Ansatz von Outlook für iOS hat klare Sicherheitsimplikationen. Organisationen müssen Microsoft die Passwörter ihrer Benutzer anvertrauen. Dieses Vertrauen ermöglicht Microsoft den Zugriff auf das Postfach des Benutzers, was ein Sicherheitsrisiko darstellt.

Weitere FAQs speziell für Administratoren zu Push-Benachrichtigungen finden Sie in diesem Support Knowledge Center-Artikel. Weitere benutzerspezifische FAQs finden Sie in diesem Support Knowledge Center-Artikel.