Product Documentation

Pushbenachrichtigungen für Secure Mail

Secure Mail für iOS und Secure Mail für Android können Benachrichtigungen zu E-Mail- und Kalenderaktivitäten erhalten, wenn die App im Hintergrund ausgeführt oder geschlossen wird. Secure Mail für iOS unterstützt Benachrichtigungen über die Hintergrundaktualisierung oder Pushbenachrichtigungen, die über den Apple Dienst für Push-Benachrichtigungen (APNs) bereitgestellt werden. Secure Mail für Android unterstützt Benachrichtigungen, die über den Firebase Cloud Messaging-Dienst (FCM) bereitgestellt werden.

Funktionsweise von Pushbenachrichtigungen

Secure Mail sendet Pushbenachrichtigungen für die folgenden Posteingangsaktivitäten:

  • Neue E-Mails, Besprechungsanfragen, Besprechungsabsagen, Besprechungsupdates: Wenn der APNs Benachrichtigungen an einen Posteingang sendet, aktualisiert Secure Mail alle Ordner, einschließlich des Kalenders, damit die Änderungen an Besprechungen sofort in den Kalendern der Benutzer übernommen werden.

  • Für iOS ändert sich der Status von Secure Mail von gelesen in ungelesen und umgekehrt. Das Secure Mail-Symbol zeigt nur die Anzahl der ungelesenen und neuen Nachrichten im Exchange-Posteingangsordner an. Das Symbol wird aktualisiert, wenn Benutzer E-Mails auf einem Desktop oder Laptop gelesen haben.

    Unter iOS zeigt Secure Mail weiterhin die Anzahl der ungelesenen E-Mails im Posteingang für die Synchronisierungsperiode an. Wenn die Richtlinie “Benachrichtigungen bei gesperrtem Bildschirm steuern” auf Ein festgelegt ist, werden Pushbenachrichtigungen auf einem gesperrten Bildschirm angezeigt, wenn iOS Secure Mail zum Synchronisieren aktiviert hat.

    Bei einer Installation oder einem Upgrade fordert Secure Mail für iOS die Benutzer auf, Pushbenachrichtigungen zuzulassen. Benutzer können Pushbenachrichtigungen auch später über die iOS-Einstellungen zulassen.

Damit Pushbenachrichtigungen für iOS und Android angezeigt werden, hostet Citrix einen Listenerdienst auf Amazon Web Services (AWS) für die folgenden Funktionen:

  • Abhören von Exchange Web Services (EWS) nach Pushbenachrichtigungen, die bei Posteingangsaktivität von Exchange Server gesendet werden. Exchange sendet keinen E-Mail-Inhalt an den Citrix Dienst.

    Vom Citrix Dienst werden keine personenbezogenen Daten gespeichert. Das Gerät und der in Secure Mail zu aktualisierende Posteingangsordner werden stattdessen durch ein Gerätetoken und eine Abonnement-ID identifiziert.

  • Senden von APNs-Benachrichtigungen, die ausschließlich Kennzeichenzähler enthalten, an Secure Mail auf iOS-Geräten.

  • Senden von FCM-Benachrichtigungen an Secure Mail auf Android-Geräten.

Der Citrix Listenerdienst hat keine Auswirkungen auf den Datenverkehr, der weiter über ActiveSync zwischen Benutzergeräten und Exchange Server fließt. Der Listenerdienst, der für hohe Verfügbarkeit und Notfallwiederherstellung konfiguriert wird, ist in drei Regionen verfügbar:

  • Nord- und Südamerika
  • Europa, Naher Osten und Afrika (EMEA)
  • Asien-Pazifik (APAC)

Systemanforderungen für Pushbenachrichtigungen

Wenn die NetScaler Gateway-Konfiguration Secure Ticket Authority (STA) umfasst und Split-Tunneling deaktiviert ist, muss NetScaler Gateway Datenverkehr (wenn von Secure Mail getunnelt) zu den folgenden Citrix Listenerdienst-URLs zulassen:

Region URL IP-Adresse
Nord- und Südamerika https://us-east-1.pushreg.xm.citrix.com 52.7.65.6; 52.7.147.0
EMEA https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233; 54.154.204.192
APAC https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173; 52.74.25.245

Konfigurieren von Secure Mail für Pushbenachrichtigungen

Um Apple-Pushbenachrichtigungen oder FCM für Secure Mail über App-Stores zu verteilen, aktivieren Sie Pushbenachrichtigungen in der XenMobile-Konsole mit der Einstellung Ein und wählen anschließend Ihre Region aus. Die folgende Abbildung zeigt die Einstellung für iOS.

Abbildung der Pushbenachrichtigungseinstellung in XenMobile

Für Android wird die entsprechende Einstellung für Pushbenachrichtigungen in folgender Abbildung angezeigt. Hier legen Sie zusätzlich den EWS-Hostnamen fest, falls sich Exchange-Webdienste (EWS) und Mailserver nicht in derselben Region befinden. Der Standardwert ist leer. Wenn Sie keine Einstellung vornehmen, verwendet XenMobile den Hostnamen des Mailservers.

Abbildung der Pushbenachrichtigungseinstellung für Android in XenMobile

Konfigurieren Sie Exchange und NetScaler so, dass sie Datenverkehr an den Listenerdienst zulassen.

Konfigurieren von Exchange Server

Lassen Sie ausgehendes SSL (über Port 443) von Ihrer Firewall zur URL des Citrix Listenerdiensts für die Region zu, in der sich der Exchange Server befindet. Beispiel:

Region URL IP-Adresse
Nord- und Südamerika https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176; 52.4.180.132
EMEA https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172; 52.17.147.220
APAC https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240; 54.169.87.20

Wenn Sie einen Proxyserver zwischen den Exchange-Webdiensten (EWS) und dem Citrix Listenergerät haben, bestehen folgende Möglichkeiten:

  • Senden des EWS-Datenverkehrs über den Proxy an das Listenergerät
  • Direktes Senden des EWS-Datenverkehrs zum Listenergerät unter Umgehung des Proxys

EWS-Datenverkehr über den Proxyserver senden: Konfigurieren Sie im Ordner ClientAccess\exchweb\ews die Datei web.config für EWS folgendermaßen:

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="false"
proxyaddress="http://proxy.example:8080"
bypassonlocal="true” />
</defaultProxy>
</system.net>
</configuration>`

Für Exchange 2013-Umgebungen müssen Sie den Abschnitt system.net manuell zur Datei “web.config” hinzufügen. Davon abgesehen sollten hier beschriebene Konfigurationen für Exchange 2013 funktionieren. Wenden Sie sich für die Problembehandlung an Ihren Exchange-Administrator.

Proxyserver umgehen: Konfigurieren Sie die Umgehungsliste, sodass Exchange Verbindungen mit dem Citrix Listenerdienst herstellen kann.

Wenn Secure Hub mit zertifikatbasierter Authentifizierung registriert wird, müssen Sie Exchange Server für die zertifikatbasierte Authentifizierung ebenfalls konfigurieren. Weitere Informationen finden Sie in dem folgenden XenMobile-Artikel unter Erweiterte Konzepte.

Konfigurieren von NetScaler Gateway

Während der Exchange-Server den Datenverkehr an den Listenerdienst zulassen muss, muss NetScaler Datenverkehr an den Registrierungsdienst zulassen. Auf diese Weise können Geräte eine Verbindung zur Registrierung für Pushbenachrichtigungen herstellen.

Wenn EWS und ActiveSync nicht auf demselben Server ausgeführt werden, konfigurieren Sie die NetScaler-Richtlinie für den Datenverkehr so, dass EWS-Datenverkehr zulässig ist.

Problembehandlung

Überprüfen Sie zur Problembehandlung von ausgehenden Verbindungen die Exchange-Ereignisprotokolle, die Protokolleinträge aufweisen, wenn eine Abonnementanforderung oder die Benachrichtigung für ein Abonnement ungültig ist oder fehlschlägt. Sie können auch Wireshark-Traces auf dem Exchange Server ausführen, um ausgehenden Datenverkehr zum Citrix Listenerdienst zu verfolgen.

Informationen zu anderen Problemen finden Sie unter Secure Mail Test Tool.

Häufig gestellte Fragen zu Secure Mail-Pushbenachrichtigungen

Wann übermittelt iOS Benachrichtigungen an Secure Mail?

Wenn Secure Mail im Vordergrund ausgeführt wird, werden Benachrichtigungen immer an Secure Mail übermittelt. Dies ist der einzige Zeitpunkt, zu dem Citrix die Übermittlung von Benachrichtigungen garantieren kann. Wenn Secure Mail im Hintergrund ist, wird der Kennzeichenzähler der Anwendung immer aktualisiert. Benachrichtigungen (Sperrbildschirmbenachrichtigungen und Banner) erfordern jedoch die Hintergrundaktualisierung von Apps und können daher nicht garantiert werden, besonders, wenn iOS die App anhält oder beendet. Citrix hat über folgende Faktoren keine Kontrolle.

In den folgenden Fällen kann die Übermittlung von Benachrichtigungen betroffen sein:

  • Der Akkustand ist niedrig.
  • Secure Mail wird nicht häufig verwendet und ist selten im Vordergrund.
  • E-Mails, die außerhalb der Kernzeiten empfangen werden, wenn die App für einen längeren Zeitraum im Hintergrund ist, z. B. zwischen Mitternacht und 6 Uhr morgens.

Benachrichtigungen werden in den folgenden Fällen nicht an Secure Mail übermittelt:

  • Wenn der Benutzer Secure Mail schließt, bis die App manuell wieder geöffnet wird.
  • Wenn das System Secure Mail beendet hat und die App nicht automatisch neu gestartet wurde.
  • Wenn Secure Mail nicht aktiv ist.

Wichtig:

Benachrichtigungen können aus vielen Gründen nicht an Secure Mail übermittelt werden, wenn Secure Mail nicht aktiv ist. Folgendes sind nur einige Beispiele:

  • Wenn das Gerät im Energiesparmodus ist und Secure Mail im Hintergrund ausgeführt wird. Dies ist der häufigste Fall, in dem Benachrichtigungen nicht übermittelt werden.
  • Wenn die Hintergrundaktualisierung für Secure Mail deaktiviert ist und wenn Secure Mail im Hintergrund ausgeführt wird. Diese Einstellung wird von den Benutzern gesteuert.
  • Wenn das Gerät keine gute Netzwerkverbindung hat. Diese Situation hängt vom iOS-Gerät ab.

Wenn Secure Mail keine Benachrichtigung erhält, synchronisiert Secure Mail keine neuen Daten mit dem Gerät. Dies kann folgende Konsequenzen haben:

  • Secure Mail synchronisiert Daten nur, wenn Benutzer die App in den Vordergrund holen.
  • Benachrichtigungen für neue E-Mails werden nicht mehr auf dem Sperrbildschirm angezeigt. Kalendererinnerungen werden jedoch weiterhin angezeigt.

Wann übermittelt Android Benachrichtigungen an Secure Mail?

In Android werden Benachrichtigungen stets an Secure Mail gesendet.

Wie wirkt sich FCM auf die E-Mail-Benachrichtigungen aus, die auf dem Sperrbildschirm angezeigt werden?

Auf dem Sperrbildschirm angezeigte neue E-Mail-Benachrichtigungen werden anhand von Daten generiert, die von Secure Mail mit dem Gerät synchronisiert werden. Diese Informationen stammen jedoch nicht vom Listenerdienst.

Damit Benachrichtigungen über neue E-Mails angezeigt werden, muss Secure Mail Daten von Exchange synchronisieren können, um die Informationen zum Erstellen der Benachrichtigungen zu haben.

Wenn Sie eine neue E-Mail erhalten, wird die FCM-Benachrichtigung Sie haben neue Nachrichten angezeigt. Sobald die E-Mail-Synchronisierung im Hintergrund abgeschlossen ist, wird die neue E-Mail in Secure Mail angezeigt.

Wie wirkt sich die Hintergrundaktualisierung auf Secure Mail und den APNs aus?

Wenn Benutzer die Hintergrundaktualisierung deaktivieren, sind folgende Konsequenzen möglich:

  • Secure Mail erhält keine Benachrichtigungen, wenn Secure Mail nicht im Hintergrund ist.
  • Secure Mail aktualisiert den Sperrbildschirm nicht mit neuen E-Mail-Benachrichtigungen.

Das Deaktivieren der Hintergrundaktualisierung hat gravierende Auswirkungen auf das Verhalten von Secure Mail. Wie zuvor erläutert wird der Kennzeichenzähler basierend auf dem APNs weiterhin aktualisiert, aber in diesem Modus werden keine E-Mails mit dem Gerät synchronisiert.

Wie wirkt sich der Energiesparmodus auf Secure Mail und den APNs aus?

Im Hinblick auf Secure Mail verhält sich das System im Energiesparmodus genauso wie bei deaktivierter Hintergrundaktualisierung. Im Energiesparmodus führt das Gerät keine periodische Aktualisierung von Apps aus und übermittelt keine Benachrichtigungen an Apps im Hintergrund. Die Auswirkungen sind die gleichen wie die zuvor im Abschnitt zur Hintergrundaktualisierung aufgeführten Auswirkungen. Im Energiesparmodus werden Kennzeichenzähler basierend auf APNs-Benachrichtigungen weiterhin aktualisiert.

Wie wirkt sich der APNs auf die E-Mail-Benachrichtigungen aus, die auf dem Sperrbildschirm angezeigt werden?

Auf dem Sperrbildschirm angezeigte neue E-Mail-Benachrichtigungen werden anhand von Daten generiert, die von Secure Mail mit dem Gerät synchronisiert werden. Diese Informationen stammen jedoch nicht vom Listenerdienst.

Damit Benachrichtigungen über neue E-Mails angezeigt werden, muss Secure Mail Daten von Exchange synchronisieren können, um die Informationen zum Erstellen der Benachrichtigungen zu haben.

Wenn APNs-Benachrichtigungen nicht im Hintergrund an Secure Mail übermittelt werden, erkennt Secure Mail die Benachrichtigungen nicht und synchronisiert daher keine neuen Daten. Weil Secure Mail keine neuen Daten zur Verfügung stehen, werden keine E-Mail-Benachrichtigungen auf dem Sperrbildschirm des Geräts generiert, selbst wenn keine APNs-Benachrichtigungen übermittelt werden.

Welche anderen Gründe kann es für das Fehlschlagen von FCM-gesteuerter Synchronisierung im Hintergrund geben?

Verschiedene Probleme können dazu führen, dass FCM-gesteuerte Synchronisierungsanfragen fehlschlagen, einschließlich der Folgenden:

  • Ein ungültiges STA-Ticket.
  • Wenn Secure Mail im Standbymodus aktiviert wird, hat die App 10 Sekunden Zeit, um alle Daten vom Server zu synchronisieren.

Wenn eine der zuvor erläuterten Bedingungen auftritt, kann die Datensynchronisierung nicht durchgeführt werden. Das Resultat ist, dass Benachrichtigungen nicht auf dem Sperrbildschirm angezeigt werden.

Welche anderen Gründe kann es für das Fehlschlagen von APNs-gesteuerter Synchronisierung im Hintergrund geben?

Verschiedene Probleme können dazu führen, dass APNs-gesteuerte Synchronisierungsanfragen fehlschlagen, einschließlich der Folgenden:

  • Ein ungültiges STA-Ticket.
  • Eine langsame Netzwerkverbindung. Wenn Secure Mail im Hintergrund aktiviert wird, hat die App 30 Sekunden Zeit, um alle Daten vom Server zu synchronisieren.
  • Wenn die Datenschutzrichtlinie aktiviert ist und Secure Mail durch eine APNs-Benachrichtigung aktiviert wird, kann Secure Mail bei gesperrtem Gerät nicht auf den Datenspeicher zugreifen und die Synchronisierung wird nicht ausgeführt. Dies tritt nur auf, wenn das System versucht, einen Kaltstart von Secure Mail auszuführen. Wenn ein Benutzer Secure Mail nach dem Entsperren des Geräts bereits gestartet hat, wird die APNs-gesteuerte Synchronisierung auch bei gesperrtem Gerät erfolgreich durchgeführt.

Wenn eine der zuvor erläuterten Bedingungen auftritt, kann Secure Mail keine Daten synchronisieren und daher keine Benachrichtigungen auf dem Sperrbildschirm anzeigen.

Wie generiert Secure Mail Sperrbildschirmbenachrichtigungen, wenn Benachrichtigungen nicht übermittelt werden oder der APNs nicht verwendet wird?

Wenn der APNs deaktiviert ist, wird Secure Mail durch regelmäßige App-Hintergrundaktualisierungen von iOS reaktiviert, vorausgesetzt die Hintergrundaktualisierung ist aktiviert und das Gerät ist nicht im Energiesparmodus.

Während dieser Reaktivierungsereignisse synchronisiert Secure Mail neue E-Mails vom Exchange-Server. Mit diesen neuen E-Mails können dann E-Mail-Benachrichtigungen auf dem Sperrbildschirm generiert werden. Auf diese Weise kann Secure Mail Daten im Hintergrund synchronisieren, selbst wenn APNs-Benachrichtigungen nicht übermittelt werden oder APNs deaktiviert ist.

Dies erfolgt nicht so zeitnah wie bei der Verwendung des APNs und wenn APNs-Benachrichtigungen an Secure Mail übermittelt werden. Wenn iOS APNs-Benachrichtigungen an Secure Mail weiterleitet, synchronisiert die App sofort Daten vom Server und die Sperrbildschirmbenachrichtigungen werden in Echtzeit angezeigt.

Wenn die Reaktivierung durch Hintergrundaktualisierung erforderlich ist, werden Sperrbildschirmbenachrichtigungen nicht in Echtzeit übermittelt. In diesem Fall wird Secure Mail mit einer Frequenz reaktiviert, die vollständig von iOS bestimmt wird. Daher kann einige Zeit zwischen der Ankunft einer E-Mail im “Posteingang” auf Exchange und der Synchronisierung der Nachricht sowie dem Generieren der Sperrbildschirmbenachrichtigung durch Secure Mail vergehen.

Secure Mail wird regelmäßig reaktiviert, selbst wenn APNs verwendet wird. Immer wenn die Hintergrundaktualisierung Secure Mail reaktiviert, versucht Secure Mail, Daten von Exchange zu synchronisieren.

Wie unterscheidet sich Secure Mail von anderen Apps, die auf dem Sperrbildschirm Inhalte anzeigen?

Ein bedeutender Unterschied zwischen Secure Mail und Gmail, Microsoft Outlook und anderen Apps ist, dass neue E-Mails nicht immer in Echtzeit auf dem Sperrbildschirm angezeigt werden. Die primäre Ursache für diesen Unterschied ist der Aspekt der Sicherheit. Damit Secure Mail sich wie andere Apps verhält, müssten die Anmeldeinformationen des Benutzers von Exchange authentifiziert werden, um den Inhalt der E-Mail abzurufen und diesen Inhalt über den Citrix Listenerdienst sowie den Apple Dienst für Push-Benachrichtigungen weiterzuleiten. Die von Citrix gewählte Methode für APNs-Benachrichtigungen erfordert kein Abrufen oder Speichern des Kennworts der Benutzer durch den Citrix Listenerdienst. Der Listenerdienst hat keinen Zugriff auf das Postfach oder Kennwort von Benutzern.

Hinweis zur nativen iOS-Mail-App: iOS erlaubt der eigenen Mail-App eine ständige Verbindung mit dem Mailserver, die sicherstellt, dass Benachrichtigungen immer übermittelt werden. Diese Funktion wird Apps von Drittanbietern nicht erlaubt.

App-Verhalten von Gmail: Google ist Eigentümer der Gmail-App und des Gmail-Servers und hat daher die Kontrolle über beide. Daher kann Google den Inhalt von Nachrichten lesen und der APNs-Benachrichtigungsnutzlast hinzufügen. Wenn iOS die APNs-Benachrichtigung von Gmail empfängt, führt iOS folgende Schritte aus:

  • Der Kennzeichenzähler wird auf den Wert festgelegt, der in der Benachrichtigungsnutzlast angegeben ist.
  • Mit dem in der Benachrichtigungsnutzlast enthaltenen Nachrichtentext wird die Sperrbildschirmbenachrichtigung angezeigt.

Der wesentliche Unterschied ist, dass nicht die Gmail-App sondern iOS die Sperrbildschirmbenachrichtigung anzeigt, die anhand der in der Nutzlast enthaltenen Daten generiert wurde. iOS reaktiviert die Gmail-App möglicherweise gar nicht, ähnlich wie iOS Secure Mail u. U. nicht reaktiviert, wenn eine Benachrichtigung empfangen wird. Aber weil die Nutzlast den Nachrichtenausschnitt enthält, kann iOS die Sperrbildschirmbenachrichtigung anzeigen, ohne dass E-Mail-Daten auf das Gerät synchronisiert werden.

In Secure Mail ist die Situation anders. Secure Mail muss zuerst Nachrichtendaten von Exchange synchronisieren, bevor die App die Sperrbildschirmbenachrichtigung anzeigen kann.

App-Verhalten von Outlook für iOS: Microsoft steuert Outlook für iOS. Die Organisation, zu der der Benutzer gehört, kontrolliert jedoch den Exchange-Server, von dem die Daten abgerufen werden. Unabhängig von diesem Setup kann Outlook Sperrbildschirmbenachrichtigungen basierend auf Daten anzeigen, die Microsoft in den APNs-Benachrichtigungen übermittelt, da Outlook für iOS ein Modell nutzt, in dem Microsoft die Anmeldeinformationen von Benutzern speichert. Microsoft greift dann direkt über seinen Cloud-Dienst auf das Postfach des Benutzers zu und prüft, ob neue E-Mails vorhanden sind.

Wenn neue E-Mails vorhanden sind, generiert der Microsoft Cloud-Dienst eine APNs-Benachrichtigung mit den neuen Nachrichtendaten. Dieses Modell funktioniert ähnlich wie das Gmail-Modell, indem sich iOS einfach die Daten nimmt und damit eine Sperrbildschirmbenachrichtigung generiert. Die Outlook-App von iOS ist an dem Vorgang nicht beteiligt.

Wichtiger Sicherheitshinweis zu Outlook für iOS: Die Methode von Outlook für iOS bringt klare Sicherheitsrisiken mit sich. Organisationen müssen Microsoft die Kennwörter ihrer Benutzer anvertrauen, damit Microsoft auf die Postfächer von Benutzern zugreifen kann. Dies stellt ein Sicherheitsrisiko dar. Weitere Informationen darüber, wie Microsoft Benutzerkennwörter verwaltet, finden Sie unter Microsoft TechNet.

Weitere, von Administratoren häufig gestellte Fragen zu Pushbenachrichtigungen finden Sie in diesem Support Knowledge Center-Artikel. Benutzerspezifische Fragen finden Sie in diesem Support Knowledge Center-Artikel.