Notificaciones push para Secure Mail

Secure Mail para iOS y Secure Mail para Android pueden recibir notificaciones sobre actividades del calendario y del correo electrónico cuando la aplicación se ejecuta en segundo plano o está cerrada. Secure Mail para iOS respalda notificaciones recibidas mediante la funcionalidad de “Actualización en segundo plano” o notificaciones push suministradas por el servicio APNs (Apple Push Notification service). Secure Mail para Android respalda notificaciones recibidas a través del servicio Firebase Cloud Messaging (FCM).

Cómo funcionan las notificaciones push

Secure Mail envía notificaciones push para las siguientes actividades de la bandeja de entrada:

  • Nuevo mensaje de correo, invitaciones de reunión, cancelaciones de reunión, actualizaciones de reunión: Cuando APNs envía notificaciones a una bandeja de entrada, Secure Mail actualiza todas las carpetas, incluido el Calendario, para que los cambios de las reuniones se reflejen inmediatamente en los calendarios de los usuarios.

  • En iOS, el estado de Secure Mail cambia de leído a no leído y viceversa. El icono de Secure Mail muestra la cantidad total de mensajes nuevos y no leídos solamente en la carpeta Bandeja de entrada de Exchange. Secure Mail actualiza el icono una vez que el usuario lee los mensajes en un escritorio o un equipo portátil.

    Para iOS, Secure Mail sigue ofreciendo el recuento de los mensajes de correo electrónico no leídos en la Bandeja de entrada durante el período de sincronización. Si la directiva “Control de notificaciones en pantalla bloqueada” está activada, aparecen notificaciones push en una pantalla de dispositivo bloqueada después de que iOS reactive Secure Mail para realizar una sincronización.

    Durante una instalación o actualización, Secure Mail para iOS solicita a los usuarios que permitan las notificaciones push. Los usuarios también pueden permitir notificaciones push más adelante desde los ajustes del sistema de iOS.

Para proporcionar notificaciones push en dispositivos iOS y Android, Citrix aloja un servicio de escucha en Amazon Web Services (AWS) para:

  • Escucha de notificaciones push de los servicios Web de Exchange (EWS) enviados por los servidores Exchange cuando hay actividad de la Bandeja de entrada. Exchange no envía ningún contenido de correo al servicio de Citrix.

    No hay información de identificación personal almacenada en el servicio de Citrix. En su lugar, hay un token de dispositivo y un ID de suscripción para identificar al dispositivo y la carpeta de la Bandeja de entrada específicos que se actualizan dentro de Secure Mail.

  • Enviar notificaciones APNs, que solo contienen indicadores numéricos, a Secure Mail en dispositivos iOS.

  • Enviar notificaciones FCM a Secure Mail en dispositivos Android.

El servicio de escucha de Citrix no afecta al tráfico de datos de correo, que continúa fluyendo entre los dispositivos de usuario y los servidores Exchange Server a través de ActiveSync. El servicio de escucha, que está configurado para alta disponibilidad y recuperación ante desastres, está disponible en tres regiones:

  • América
  • Europa, Medio Oriente y África (EMEA)
  • Asia-Pacífico (APAC)

Requisitos del sistema para notificaciones push

Si la configuración de NetScaler Gateway incluye Secure Ticket Authority (STA) y el túnel dividido está desactivado, NetScaler Gateway debe permitir el tráfico (cuando se tuneliza desde Secure Mail) hacia las siguientes direcciones URL del servicio de escucha de Citrix:

Región dirección URL Dirección IP
América https://us-east-1.pushreg.xm.citrix.com 52.7.65.6; 52.7.147.0
Europa-Oriente Medio-África https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233; 54.154.204.192
Asia-Pacífico https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173; 52.74.25.245

Configurar Secure Mail para notificaciones push

Para configurar APNs o FCM en Secure Mail para la distribución desde la tienda de aplicaciones, en la consola de Endpoint Management, active las notificaciones push y seleccione su región. En esta imagen se muestra la configuración para iOS.

Imagen de la configuración de notificaciones push en Endpoint Management

En caso de Android, en esta imagen se muestra la misma configuración de notificaciones push que en iOS. Además, si el servicio EWS está alojado en otra región que el servidor de correo, rellene el campo Nombre de host EWS. El valor predeterminado está vacío. Si no define la configuración, Endpoint Management usa el nombre de host del servidor de correo.

Imagen de la configuración de notificaciones push para Android en Endpoint Management

Necesita configurar Exchange y NetScaler para permitir el flujo de tráfico hacia el servicio de escucha.

Configurar Exchange Server

Permitir SSL de salida (en el puerto 443) desde el firewall a la URL del servicio de escucha de Citrix para la región donde se encuentra el servidor Exchange Server. Por ejemplo:

Región dirección URL Dirección IP
América https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176; 52.4.180.132
Europa-Oriente Medio-África https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172; 52.17.147.220
Asia-Pacífico https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240; 54.169.87.20

Si tiene un servidor proxy entre el dispositivo de escucha de Citrix y Exchange Web Services (EWS), puede seguir uno de estos procedimientos.

  • Enviar tráfico EWS a través del proxy y, a continuación, al dispositivo de escucha.
  • Omitir el proxy y enrutar el tráfico EWS al dispositivo de escucha directamente.

Para enviar el tráfico de EWS a través del servidor proxy, configure el archivo web.config de EWS en la carpeta ClientAccess\exchweb\ews, como sigue:

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="false"
proxyaddress="http://proxy.example:8080"
bypassonlocal="true” />
</defaultProxy>
</system.net>
</configuration>`

Para entornos de Exchange 2013, debe agregar manualmente la sección system.net al archivo web.config. Por lo demás, las configuraciones que se describen aquí deben funcionar para Exchange 2013. Para solucionar problemas, póngase en contacto con el administrador de Exchange.

Para omitir el servidor proxy, configure la lista de omisión para permitir que Exchange haga conexiones con el servicio de escucha de Citrix.

Cuando Secure Hub se inscribe con la autenticación por certificados, también debe configurar el servidor Exchange Server para la autenticación por certificados. Para obtener más información, consulte el artículo Conceptos avanzados de Endpoint Management.

Configurar NetScaler Gateway

Mientras el servidor Exchange debe permitir el tráfico dirigido hacia el servicio de escucha, NetScaler debe permitir el tráfico dirigido al servicio de registro. De este modo, los dispositivos pueden conectarse y registrarse para las notificaciones push.

Si sus servidores de EWS y ActiveSync son diferentes, configure la directiva de tráfico de NetScaler para permitir el tráfico de EWS.

Solucionar problemas

Para solucionar problemas de conexiones salientes, compruebe los registros de eventos de Exchange, que incluyen entradas de registros cuando una solicitud de suscripción o la notificación de una suscripción no son válidas o fallan. También puede ejecutar seguimientos de Wireshark en el servidor Exchange Server para controlar el tráfico de salida para el servicio de escucha de Citrix.

Si surgen otros problemas, intente solucionarlos con la herramienta de prueba Secure Mail Test Tool.

Preguntas frecuentes sobre las notificaciones push de Secure Mail

Cuándo entrega iOS las notificaciones a Secure Mail

Si Secure Mail se ejecuta en primer plano, las notificaciones se entregan siempre a Secure Mail. Esta es la única vez que Citrix puede garantizar que las notificaciones se entregarán. Cuando Secure Mail se coloca en segundo plano, la etiqueta de recuento de la aplicación siempre las actualiza. Sin embargo, las notificaciones (en la pantalla de bloqueo y en pancarta) dependen de la funcionalidad de Actualización en segundo plano. En concreto, cuando iOS suspende o termina la aplicación, no hay total seguridad de que se envíen notificaciones. Los siguientes factores quedan fuera del control de Citrix.

Las situaciones siguientes pueden afectar a la entrega de notificaciones:

  • Cuando queda poca batería.
  • Cuando Secure Mail no se utiliza con frecuencia (rara vez se pone en primer plano).
  • Cuando se reciben correos electrónicos fuera de las horas de uso principales y la aplicación se suspende durante un tiempo en segundo plano: por ejemplo, entre medianoche y las 6 de la mañana.

Las notificaciones no se entregan a Secure Mail en los casos siguientes:

  • Si el usuario cierra Secure Mail, hasta que el usuario vuelve a abrir la aplicación manualmente.
  • Si el sistema ha finalizado Secure Mail y la aplicación no se ha reiniciado automáticamente.
  • Cuando Secure Mail no está activo.

Importante:

Las notificaciones no pueden entregarse a Secure Mail cuando éste no está activo por varios motivos, incluidos los siguientes:

  • Si el dispositivo está en modo de bajo consumo y Secure Mail está en segundo plano. Este es la situación más frecuente en que no se entregan notificaciones.
  • Si la función Actualización en segundo plano está desactivada para Secure Mail y Secure Mail se encuentra en segundo plano. Este parámetro lo controlan los propios usuarios.
  • Si el dispositivo tiene problemas de conectividad de red. Esta situación depende totalmente del dispositivo iOS.

Cuando Secure Mail no recibe una notificación, Secure Mail no sincroniza los nuevos datos en el dispositivo. Como consecuencia de ello, pueden darse las siguientes situaciones:

  • Secure Mail solo sincroniza datos cuando los usuarios traen la aplicación al primer plano.
  • Dejan de recibirse notificaciones de correo nuevo en la pantalla de bloqueo. No obstante, los avisos de calendario siguen apareciendo.

Cuándo entrega Android las notificaciones a Secure Mail

En Android, las notificaciones siempre se entregan a Secure Mail.

Cómo afecta FCM a las notificaciones de correo electrónico que aparecen en la pantalla de bloqueo

Las notificaciones de correo nuevo que aparecen en la pantalla de bloqueo se generan en función de los datos que Secure Mail sincroniza en el dispositivo. Es importante tener en cuenta que esta información no proviene del servicio de escucha.

Para mostrar notificaciones de correo nuevo, Secure Mail necesita poder sincronizar datos desde Exchange para tener la información disponible y crear las notificaciones.

Cuando recibe un nuevo correo, aparece la notificación FCM Tiene mensajes nuevos. Una vez que la sincronización del correo electrónico se complete en segundo plano, el correo nuevo aparece en Secure Mail.

Cómo afecta la función Actualización en segundo plano a Secure Mail y APNs

Si el usuario desactiva la función Actualización en segundo plano, se dan las siguientes situaciones:

  • Secure Mail no recibe notificaciones cuando Secure Mail no es la aplicación en segundo plano.
  • Secure Mail no actualiza la pantalla de bloqueo con notificaciones de correo nuevo.

La inhabilitación de la función Actualización en segundo plano tiene un efecto importante en el comportamiento de Secure Mail. Como se ha indicado anteriormente, las actualizaciones de las insignias de notificaciones basadas en el servicio APNs siguen sucediendo, pero en este modo no se sincroniza el correo electrónico en el dispositivo.

Cómo afecta la función Modo de bajo consumo a Secure Mail y APNs

El comportamiento del sistema con respecto a Secure Mail es el mismo cuando se usa el Modo de bajo consumo que cuando la función Actualización en segundo plano está inhabilitada. En modo de bajo consumo, el dispositivo no reactiva las aplicaciones para una actualización periódica y no entrega notificaciones a aplicaciones en segundo plano. Los efectos secundarios son, por lo tanto, los mismos que los indicados en la sección Actualización en segundo plano, más arriba. Tenga en cuenta que, en el Modo de bajo consumo, las insignias de recuento se siguen actualizando basándose en las notificaciones de APNs.

Cómo afecta APNs a las notificaciones de correo electrónico que aparecen en la pantalla de bloqueo

Las notificaciones de correo nuevo que aparecen en la pantalla de bloqueo se generan en función de los datos que Secure Mail sincroniza en el dispositivo. Es importante tener en cuenta que esta información no proviene del servicio de escucha.

Para mostrar notificaciones de correo nuevo, Secure Mail necesita poder sincronizar datos desde Exchange, de forma que Secure Mail tenga la información disponible para crear las notificaciones.

Si las notificaciones de APNs no se entregan a Secure Mail en segundo plano, Secure Mail no detecta las notificaciones y, por tanto, no sincroniza los datos nuevos. Puesto que no hay datos nuevos para Secure Mail, no se generan notificaciones de correo electrónico nuevo en la pantalla de bloqueo del dispositivo, incluso aunque no se hayan entregado notificaciones APNs.

Qué otros problemas pueden provocar que falle la sincronización iniciada por FCM en segundo plano

Hay una serie de problemas que pueden hacer que las solicitudes de sincronización de FCM fallen, entre otros:

  • Un tíquet no válido de STA.
  • Cuando Secure Mail se reactiva tras haber estado suspendido, la aplicación tiene 10 segundos para sincronizar todos los datos desde el servidor.

Si se da alguna de las condiciones anteriores, Secure Mail no puede sincronizar datos. En consecuencia, no aparecen las notificaciones de la pantalla de bloqueo.

Qué otros problemas pueden provocar que falle la sincronización iniciada por APNs en segundo plano

Hay una serie de problemas que pueden hacer que las solicitudes de sincronización de APNs fallen, entre otros los siguientes:

  • Un tíquet no válido de STA.
  • Una conexión de red lenta. Cuando Secure Mail se reactiva en segundo plano, la aplicación tiene 30 segundos para sincronizar todos los datos desde el servidor.
  • Si la directiva de protección de datos está habilitada y una notificación de APNs reactiva Secure Mail, cuando se bloquea el dispositivo Secure Mail no puede acceder al almacén de datos y la sincronización no tiene lugar. Tenga en cuenta que esto solo ocurre cuando el sistema intenta iniciar Secure Mail “en frío”. Si un usuario ya ha iniciado Secure Mail en algún momento después de desbloquear el dispositivo, la sincronización por APNs se realiza correctamente incluso cuando el dispositivo está bloqueado.

Si se da alguna de las condiciones anteriores, Secure Mail no puede sincronizar los datos y, por lo tanto, no puede mostrar notificaciones en la pantalla de bloqueo.

De qué otro modo genera Secure Mail notificaciones en la pantalla de bloqueo cuando no se entregan o no se usa APNs

Aunque APNs esté inhabilitado, Secure Mail aún se reactiva por eventos periódicos de Actualización en segundo plano de iOS, siempre que está opción esté habilitada y si el modo de bajo consumo está desactivado.

Durante estos eventos de reactivación, Secure Mail sincroniza los nuevos mensajes de correo electrónico desde Exchange Server. El nuevo correo puede usarse entonces para generar notificaciones de correo electrónico en la pantalla de bloqueo. Por lo tanto, aunque las notificaciones APNs no se entreguen o APNs esté inhabilitado, Secure Mail puede sincronizar los datos en segundo plano.

Es importante tener en cuenta que esto ocurrirá menos en tiempo real cuando se esté usando APNs y cuando las notificaciones APNs se entreguen a Secure Mail. Cuando iOS enruta las notificaciones APNs a Secure Mail, la aplicación inmediatamente sincroniza los datos desde el servidor y las notificaciones de la pantalla de bloqueo parecen ser en tiempo real.

En el caso de que se requieran eventos de Actualización en segundo plano, las notificaciones de la pantalla de bloqueo no tienen lugar en tiempo real. En este caso, Secure Mail se reactiva con la frecuencia que determine únicamente iOS. Como consecuencia de esto, puede transcurrir cierto tiempo desde el momento en que un correo electrónico llega a la bandeja de entrada de Exchange y el momento en que Secure Mail sincroniza ese mensaje y genera la notificación en la pantalla de bloqueo.

Tenga en cuenta que Secure Mail recibe estas reactivaciones periódicamente incluso aunque no se esté usando el servicio APNs. En todos los casos en que la función de Actualización en segundo plano reactiva Secure Mail, Secure Mail intenta sincronizar los datos desde Exchange.

Cómo difiere Secure Mail de otras aplicaciones que también muestran contenido en la pantalla de bloqueo

Una diferencia muy importante, y que puede causar confusión, es que Secure Mail no siempre muestra el correo nuevo en tiempo real en la pantalla de bloqueo del mismo modo que lo hacen otras aplicaciones como Gmail o Microsoft Outlook. El motivo principal de esta diferencia es la seguridad. Para alinearse con el comportamiento de las otras aplicaciones, el servicio de escucha de Citrix necesitaría las credenciales del usuario para autenticarse con Exchange y obtener el contenido del correo electrónico, y pasar este contenido de correo electrónico a través del servicio de escucha de Citrix, además del servicio APNs de Apple. El enfoque de Citrix para notificaciones APNs no requiere que el servicio de escucha de Citrix adquiera ni almacene la contraseña del usuario. El servicio de escucha no tiene acceso al buzón de correo ni a la contraseña del usuario.

Nota sobre la aplicación de correo nativa de iOS: iOS permite que su propia aplicación de correo electrónico mantenga una conexión persistente con el servidor de correo, lo que garantiza que las notificaciones se entreguen siempre. No se permite esta capacidad a aplicaciones de terceros que no sean la aplicación de correo nativa.

Comportamiento de la aplicación Gmail: Google controla, como propietario, tanto la aplicación Gmail como el servidor Gmail. Esto significa que Google puede leer el contenido de los mensajes e incluir dicho contenido en la carga de la notificación APNs. Cuando iOS recibe esta notificación APNs desde Gmail, iOS hace lo siguiente:

  • Establece la insignia de la aplicación con el valor especificado en la carga de la notificación.
  • Muestra la notificación en la pantalla de bloqueo usando el texto del mensaje contenido en la carga de la notificación.

Esta es una diferencia importante: Es iOS, no la aplicación Gmail, el que muestra la notificación en la pantalla de bloqueo, en función de los datos contenidos en la carga de la notificación. De hecho, es posible que iOS nunca reactive la aplicación Gmail, de la misma forma que iOS puede no reactivar Secure Mail cuando llega una notificación. Sin embargo, debido a que la carga contiene un fragmento de mensaje, iOS puede mostrar la notificación de la pantalla de bloqueo sin necesidad de sincronizar los datos de correo en el dispositivo.

En Secure Mail, esta situación es diferente. Secure Mail debe sincronizar primero los datos del mensaje desde Exchange para que la aplicación pueda después mostrar la notificación en la pantalla de bloqueo.

Comportamiento de la aplicación Outlook para iOS: Microsoft controla Outlook para iOS. No obstante, la organización a la que pertenece el usuario controla los servidores Exchange desde donde se obtienen los datos. A pesar de esta configuración, Outlook puede mostrar notificaciones en la pantalla de bloqueo en función de los datos que proporciona Microsoft en la notificación APNs, porque Outlook para iOS utiliza un modelo en el cual Microsoft almacena las credenciales del usuario. Microsoft accede directamente al buzón del usuario desde su servicio de nube y determina si existe correo nuevo.

Si hay correo nuevo, el servicio de nube de Microsoft genera una notificación APNs que contiene los datos del nuevo correo. Este modelo funciona de forma similar al modelo de Gmail, donde iOS simplemente toma los datos y genera una notificación en la pantalla de bloqueo basada en esos datos. La aplicación Outlook de iOS no está involucrada en este proceso.

Nota de seguridad importante sobre Outlook para iOS: El enfoque de Outlook para iOS tiene ciertas consecuencias para la seguridad. Las organizaciones necesitan confiar las contraseñas de los usuarios a Microsoft, de modo que Microsoft pueda acceder a los buzones de correo, lo que supone un riesgo para la seguridad. Para obtener más información sobre cómo administra Microsoft las contraseñas de los usuarios, consulte este artículo de Microsoft TechNet.

Para ver las preguntas frecuentes específicas de administradores sobre notificaciones push, consulte este artículo del Support Knowledge Center. Para ver más preguntas frecuentes relacionadas con los usuarios, consulte este artículo del Support Knowledge Center.