Pushbenachrichtigungen für Secure Mail

Secure Mail für iOS und Secure Mail für Android können Benachrichtigungen zu E-Mail- und Kalenderaktivitäten erhalten, wenn die App im Hintergrund ausgeführt oder geschlossen wird. Secure Mail für iOS unterstützt Benachrichtigungen über Remote-Pushbenachrichtigungen, die über den Apple Dienst für Push-Benachrichtigungen (APNs) bereitgestellt werden. Secure Mail für Android unterstützt Benachrichtigungen, die über den Firebase Cloud Messaging-Dienst (FCM) bereitgestellt werden.

Funktionsweise von Pushbenachrichtigungen

Damit Pushbenachrichtigungen für iOS und Android angezeigt werden, hostet Citrix einen Listenerdienst auf Amazon Web Services (AWS) für die folgenden Funktionen:

  • Abhören von Exchange Web Services (EWS) nach Pushbenachrichtigungen, die bei Posteingangsaktivität von Exchange Server gesendet werden. Exchange sendet keinen E-Mail-Inhalt an den Citrix Dienst.

    Vom Citrix Dienst werden keine personenbezogenen Daten gespeichert. Das Gerät und der in Secure Mail zu aktualisierende Posteingangsordner werden stattdessen durch ein Gerätetoken und eine Abonnement-ID identifiziert.

  • Senden von APNs-Benachrichtigungen, die ausschließlich Kennzeichenzähler enthalten, an Secure Mail auf iOS-Geräten.

  • Senden von FCM-Benachrichtigungen an Secure Mail auf Android-Geräten.

Der Citrix Listenerdienst hat keine Auswirkungen auf den Datenverkehr, der weiter über ActiveSync zwischen Benutzergeräten und Exchange Server fließt. Der Listenerdienst, der für hohe Verfügbarkeit und Notfallwiederherstellung konfiguriert wird, ist in drei Regionen verfügbar:

  • Nord- und Südamerika
  • Europa, Naher Osten und Afrika (EMEA)
  • Asien-Pazifik (APAC)

Systemanforderungen für Pushbenachrichtigungen

Wenn die Citrix Gateway-Konfiguration Secure Ticket Authority (STA) umfasst und Split-Tunneling deaktiviert ist, muss Citrix Gateway Datenverkehr (wenn von Secure Mail getunnelt) zu den folgenden Citrix Listenerdienst-URLs zulassen:

Region URL IP-Adresse
Nord- und Südamerika https://us-east-1.pushreg.xm.citrix.com 52.7.65.6; 52.7.147.0
EMEA https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233; 54.154.204.192
APAC https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173; 52.74.25.245

Konfigurieren von Secure Mail für Pushbenachrichtigungen

Um Apple-Pushbenachrichtigungen oder FCM für Secure Mail über App-Stores zu verteilen, aktivieren Sie Pushbenachrichtigungen in der Endpoint Management-Konsole mit der Einstellung Ein und wählen anschließend Ihre Region aus. Die folgende Abbildung zeigt die Einstellung für iOS.

Abbildung der Einstellung für Pushbenachrichtigungen in Endpoint Management

Für Android wird die entsprechende Einstellung für Pushbenachrichtigungen wie für iOS in folgender Abbildung angezeigt. Hier legen Sie zusätzlich den EWS-Hostnamen fest, falls sich Exchange-Webdienste (EWS) und Mailserver nicht in derselben Region befinden. Der Standardwert ist leer. Wenn Sie keine Einstellung vornehmen, verwendet Endpoint Management den Hostnamen des Mailservers.

Abbildung der Einstellung für Pushbenachrichtigungen für Android in Endpoint Management

Konfigurieren Sie Exchange und Citrix ADC so, dass sie Datenverkehr an den Listenerdienst zulassen.

Konfigurieren von Exchange Server

Lassen Sie ausgehendes SSL (über Port 443) von Ihrer Firewall zur URL des Citrix Listenerdiensts für die Region zu, in der sich der Exchange Server befindet. Beispiel:

Region URL IP-Adresse
Nord- und Südamerika https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176; 52.4.180.132
EMEA https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172; 52.17.147.220
APAC https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240; 54.169.87.20

Wenn Sie einen Proxyserver zwischen den Exchange-Webdiensten (EWS) und dem Citrix Listenergerät haben, bestehen folgende Möglichkeiten:

  • Senden des EWS-Datenverkehrs über den Proxy an das Listenergerät
  • Direktes Senden des EWS-Datenverkehrs zum Listenergerät unter Umgehung des Proxys

EWS-Datenverkehr über den Proxyserver senden: Konfigurieren Sie im Ordner ClientAccess\exchweb\ews die Datei web.config für EWS folgendermaßen:

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>

Weitere Informationen zum Konfigurieren von Proxys finden Sie unter Proxykonfiguration.

Für Exchange 2013-Umgebungen müssen Sie den Abschnitt system.net manuell zur Datei “web.config” hinzufügen. Davon abgesehen sollten hier beschriebene Konfigurationen für Exchange 2013 funktionieren. Wenden Sie sich für die Problembehandlung an Ihren Exchange-Administrator.

Proxyserver umgehen: Konfigurieren Sie die Umgehungsliste, sodass Exchange Verbindungen mit dem Citrix Listenerdienst herstellen kann.

Wenn Secure Hub mit zertifikatbasierter Authentifizierung registriert wird, müssen Sie Exchange Server für die zertifikatbasierte Authentifizierung ebenfalls konfigurieren. Weitere Informationen finden Sie im Artikel Endpoint Management – Erweiterte Konzepte.

Konfigurieren von Citrix Gateway

Obwohl der Exchange-Server den Datenverkehr an den Listenerdienst zulassen muss, muss Citrix ADC Datenverkehr an den Registrierungsdienst zulassen. Auf diese Weise können Geräte eine Verbindung zur Registrierung für Pushbenachrichtigungen herstellen.

Wenn EWS und ActiveSync nicht auf demselben Server ausgeführt werden, konfigurieren Sie die Citrix ADC-Richtlinie für den Datenverkehr so, dass EWS-Datenverkehr zulässig ist. Weitere Informationen zur Integration von Citrix Endpoint Management mit Citrix Gateway finden Sie im Abschnitt Integration in Citrix Gateway und Citrix ADC.

Problembehandlung

Überprüfen Sie zur Problembehandlung von ausgehenden Verbindungen die Exchange-Ereignisprotokolle, die Protokolleinträge aufweisen, wenn eine Abonnementanforderung oder die Benachrichtigung für ein Abonnement ungültig ist oder fehlschlägt. Sie können auch Wireshark-Traces auf dem Exchange Server ausführen, um ausgehenden Datenverkehr zum Citrix Listenerdienst zu verfolgen. Informationen zu anderen Problemen finden Sie unter Secure Mail Test Tool.

Häufig gestellte Fragen zu Secure Mail-Pushbenachrichtigungen

Wann übermittelt Android Benachrichtigungen an Secure Mail

In Android werden Benachrichtigungen stets an Secure Mail gesendet.

Wie wirkt sich FCM auf die E-Mail-Benachrichtigungen aus, die auf dem Sperrbildschirm angezeigt werden

Auf dem Sperrbildschirm angezeigte neue E-Mail-Benachrichtigungen werden anhand von Daten generiert, die von Secure Mail mit dem Gerät synchronisiert werden. Diese Informationen stammen jedoch nicht vom Listenerdienst.

Damit Benachrichtigungen über neue E-Mails angezeigt werden, muss Secure Mail Daten von Exchange synchronisieren können, um die Informationen zum Erstellen der Benachrichtigungen zu haben.

Wenn Sie eine neue E-Mail erhalten, wird die FCM-Benachrichtigung Sie haben neue Nachrichten angezeigt. Sobald die E-Mail-Synchronisierung im Hintergrund abgeschlossen ist, wird die neue E-Mail in Secure Mail angezeigt.

Wie wirkt sich die Hintergrundaktualisierung auf Secure Mail und den APNs aus

Wenn Benutzer die Hintergrundaktualisierung deaktivieren, sind folgende Konsequenzen möglich:

  • Secure Mail erhält keine Benachrichtigungen, wenn Secure Mail nicht im Hintergrund ist.
  • Secure Mail aktualisiert den Sperrbildschirm nicht mit neuen E-Mail-Benachrichtigungen.

Das Deaktivieren der Hintergrundaktualisierung hat gravierende Auswirkungen auf das Verhalten von Secure Mail. Wie zuvor erläutert wird der Kennzeichenzähler basierend auf dem APNs weiterhin aktualisiert, aber in diesem Modus werden keine E-Mails mit dem Gerät synchronisiert.

Wie wirkt sich der Energiesparmodus auf Secure Mail und den APNs aus

Im Hinblick auf Secure Mail verhält sich das System im Energiesparmodus genauso wie bei deaktivierter Hintergrundaktualisierung. Im Energiesparmodus führt das Gerät keine periodische Aktualisierung von Apps aus und übermittelt keine Benachrichtigungen an Apps im Hintergrund. Die Auswirkungen sind die gleichen wie die zuvor im Abschnitt zur Hintergrundaktualisierung aufgeführten Auswirkungen. Im Energiesparmodus werden Kennzeichenzähler basierend auf APNs-Benachrichtigungen weiterhin aktualisiert.

Wie wirkt sich der APNs auf die E-Mail-Benachrichtigungen aus, die auf dem Sperrbildschirm angezeigt werden

Auf dem Sperrbildschirm angezeigte neue E-Mail-Benachrichtigungen werden anhand von Daten generiert, die von Secure Mail mit dem Gerät synchronisiert werden. Diese Informationen stammen jedoch nicht vom Listenerdienst.

Damit Benachrichtigungen über neue E-Mails angezeigt werden, muss Secure Mail Daten von Exchange synchronisieren können, um die Informationen zum Erstellen der Benachrichtigungen zu haben.

Wenn APNs-Benachrichtigungen nicht im Hintergrund an Secure Mail übermittelt werden, erkennt Secure Mail die Benachrichtigungen nicht und synchronisiert daher keine neuen Daten. Weil Secure Mail keine neuen Daten zur Verfügung stehen, werden keine E-Mail-Benachrichtigungen auf dem Sperrbildschirm des Geräts generiert, selbst wenn keine APNs-Benachrichtigungen übermittelt werden.

Welche anderen Gründe kann es für das Fehlschlagen von FCM-gesteuerter Synchronisierung im Hintergrund geben

Verschiedene Probleme können dazu führen, dass FCM-gesteuerte Synchronisierungsanfragen fehlschlagen, einschließlich der Folgenden:

  • Ein ungültiges STA-Ticket.
  • Wenn Secure Mail im Standbymodus aktiviert wird, hat die App 10 Sekunden Zeit, um alle Daten vom Server zu synchronisieren.

Wenn eine der zuvor erläuterten Bedingungen auftritt, kann in Secure Mail die Datensynchronisierung nicht durchgeführt werden. Das Ergebnis ist, dass Benachrichtigungen möglicherweise nicht auf dem Sperrbildschirm angezeigt werden.

Welche anderen Gründe kann es für das Fehlschlagen von APNs-gesteuerter Synchronisierung im Hintergrund geben

Verschiedene Probleme können dazu führen, dass APNs-gesteuerte Synchronisierungsanfragen fehlschlagen, einschließlich der Folgenden:

  • Ein ungültiges STA-Ticket.
  • Eine langsame Netzwerkverbindung. Wenn Secure Mail im Hintergrund aktiviert wird, hat die App 30 Sekunden Zeit, um alle Daten vom Server zu synchronisieren.
  • Wenn die Datenschutzrichtlinie aktiviert ist und Secure Mail durch eine APNs-Benachrichtigung aktiviert wird, kann Secure Mail bei gesperrtem Gerät nicht auf den Datenspeicher zugreifen und die Synchronisierung wird nicht ausgeführt. Dies tritt nur auf, wenn das System versucht, einen Kaltstart von Secure Mail auszuführen. Wenn ein Benutzer Secure Mail nach dem Entsperren des Geräts bereits gestartet hat, wird die APNs-gesteuerte Synchronisierung auch bei gesperrtem Gerät erfolgreich durchgeführt.

Wenn eine der zuvor erläuterten Bedingungen auftritt, kann Secure Mail keine Daten synchronisieren und daher keine Benachrichtigungen auf dem Sperrbildschirm anzeigen.

Wie generiert Secure Mail Sperrbildschirmbenachrichtigungen, wenn Benachrichtigungen nicht übermittelt werden oder der APNs nicht verwendet wird

Wenn der APNs deaktiviert ist, wird Secure Mail durch regelmäßige App-Hintergrundaktualisierungen von iOS reaktiviert, vorausgesetzt die Hintergrundaktualisierung ist aktiviert und das Gerät ist nicht im Energiesparmodus.

Während dieser Reaktivierungsereignisse synchronisiert Secure Mail neue E-Mails vom Exchange Server. Mit diesen neuen E-Mails können dann E-Mail-Benachrichtigungen auf dem Sperrbildschirm generiert werden. Auf diese Weise kann Secure Mail Daten im Hintergrund synchronisieren, selbst wenn APNs-Benachrichtigungen nicht übermittelt werden oder APNs deaktiviert ist.

Dies erfolgt nicht so zeitnah wie bei der Verwendung des APNs und wenn APNs-Benachrichtigungen an Secure Mail übermittelt werden. Wenn iOS APNs-Benachrichtigungen an Secure Mail weiterleitet, synchronisiert die App sofort Daten vom Server und die Sperrbildschirmbenachrichtigungen werden in Echtzeit angezeigt.

Wenn die Reaktivierung durch Hintergrundaktualisierung erforderlich ist, werden Sperrbildschirmbenachrichtigungen nicht in Echtzeit übermittelt. In diesem Fall wird Secure Mail mit einer Frequenz reaktiviert, die vollständig von iOS bestimmt wird. Daher kann einige Zeit zwischen folgenden Aktionen verstreichen:

  • Eine E-Mail geht im Posteingang eines Benutzers unter Exchange ein.
  • Secure Mail synchronisiert die E-Mail und generiert eine Sperrbildschirmbenachrichtigungen.

Secure Mail wird regelmäßig reaktiviert, selbst wenn APNs verwendet wird. Immer wenn die Hintergrundaktualisierung Secure Mail reaktiviert, versucht Secure Mail, Daten von Exchange zu synchronisieren.

Wie unterscheidet sich Secure Mail von anderen Apps, die auf dem Sperrbildschirm Inhalte anzeigen

Ein wichtiger Unterschied, der Verwirrung auslösen kann, besteht darin, dass Secure Mail neue E-Mails nicht immer in Echtzeit auf dem Sperrbildschirm anzeigt. Hierin unterscheidet es sich von Gmail, Microsoft Outlook und anderen Apps. Die primäre Ursache für diesen Unterschied ist der Aspekt der Sicherheit. Zur Angleichung der Funktionsweise an die anderer Apps benötigt der Citrix Listener-Dienst die Anmeldeinformationen des Benutzers, um sich bei Exchange zu authentifizieren. Die Anmeldeinformationen sind erforderlich, um den E-Mail-Inhalt abzurufen. Die Anmeldeinformationen sind auch erforderlich, um E-Mail-Inhalt über den Citrix Listener-Dienst und an den Apple APNs-Dienst weiterzuleiten. Die von Citrix gewählte Methode für APNs-Benachrichtigungen erfordert kein Abrufen oder Speichern des Kennworts der Benutzer durch den Citrix Listenerdienst. Der Listenerdienst hat keinen Zugriff auf das Postfach oder Kennwort von Benutzern.

Hinweis zur nativen iOS-Mail-App: iOS erlaubt der eigenen Mail-App eine ständige Verbindung mit dem Mailserver, die sicherstellt, dass Benachrichtigungen immer übermittelt werden. Diese Funktion wird Apps von Drittanbietern nicht erlaubt.

App-Verhalten von Gmail: Google ist Eigentümer der Gmail-App und des Gmail-Servers und hat daher die Kontrolle über beide. Daher kann Google den Inhalt von Nachrichten lesen und der APNs-Benachrichtigungsnutzlast hinzufügen. Wenn iOS die APNs-Benachrichtigung von Gmail empfängt, führt iOS folgende Schritte aus:

  • Der Kennzeichenzähler wird auf den Wert festgelegt, der in der Benachrichtigungsnutzlast angegeben ist.
  • Mit dem in der Benachrichtigungsnutzlast enthaltenen Nachrichtentext wird die Sperrbildschirmbenachrichtigung angezeigt.

Der wesentliche Unterschied ist, dass nicht die Gmail-App sondern iOS die Sperrbildschirmbenachrichtigung anzeigt, die anhand der in der Nutzlast enthaltenen Daten generiert wurde. iOS reaktiviert die Gmail-App möglicherweise gar nicht, ähnlich wie iOS Secure Mail u. U. nicht reaktiviert, wenn eine Benachrichtigung empfangen wird. Aber weil die Nutzlast den Nachrichtenausschnitt enthält, kann iOS die Sperrbildschirmbenachrichtigung anzeigen, ohne dass E-Mail-Daten auf das Gerät synchronisiert werden.

In Secure Mail ist die Situation anders. Secure Mail muss zuerst Nachrichtendaten von Exchange synchronisieren, bevor die App die Sperrbildschirmbenachrichtigung anzeigen kann.

App-Verhalten von Outlook für iOS: Microsoft steuert Outlook für iOS. Die Organisation, zu der der Benutzer gehört, kontrolliert jedoch den Exchange-Server, von dem die Daten abgerufen werden. Unabhängig von diesem Setup kann Outlook Sperrbildschirmbenachrichtigungen basierend auf Daten anzeigen, die Microsoft in den APNs-Benachrichtigungen übermittelt. Dies rührt daher, dass Outlook für iOS ein Modell nutzt, in dem Microsoft die Anmeldeinformationen von Benutzern speichert. Microsoft greift dann direkt über seinen Cloud-Dienst auf das Postfach des Benutzers zu und prüft, ob neue E-Mails vorhanden sind.

Wenn neue E-Mails vorhanden sind, generiert der Microsoft Cloud-Dienst eine APNs-Benachrichtigung mit den neuen Nachrichtendaten. Dieses Modell funktioniert ähnlich wie bei Gmail. Bei Gmail generiert iOS einfach auf der Basis der Daten eine Sperrbildschirmbenachrichtigung. Die Outlook-App von iOS ist an dem Vorgang nicht beteiligt.

Wichtiger Sicherheitshinweis zu Outlook für iOS: Die Methode von Outlook für iOS bringt klare Sicherheitsrisiken mit sich. Organisationen müssen Microsoft die Kennwörter der Benutzer anvertrauen. Diese Vertrauensstellung ermöglicht Microsoft den Zugriff auf Postfächer, was ein Sicherheitsrisiko darstellt.

Weitere, von Administratoren häufig gestellte Fragen zu Pushbenachrichtigungen finden Sie in diesem Support Knowledge Center-Artikel. Antworten auf benutzerspezifische Fragen finden Sie in diesem Support Knowledge Center-Artikel.