Notificaciones push para Secure Mail

Secure Mail para iOS y Secure Mail para Android pueden recibir notificaciones sobre actividades del calendario y del correo electrónico cuando la aplicación se ejecuta en segundo plano o está cerrada. Secure Mail para iOS admite notificaciones recibidas mediante la función de notificaciones push remotas, suministrada por el servicio APNs (Apple Push Notification service). Secure Mail para Android admite notificaciones recibidas a través del servicio Firebase Cloud Messaging (FCM).

Cómo funcionan las notificaciones push

Para proporcionar notificaciones push en dispositivos iOS y Android, Citrix aloja un servicio de escucha en Amazon Web Services (AWS) para:

  • Escucha de notificaciones push de los servicios web de Exchange (EWS) enviados por los servidores Exchange cuando hay actividad de la Bandeja de entrada. Exchange no envía ningún contenido de correo al servicio de Citrix.

    No hay información de identificación personal almacenada en el servicio de Citrix. En su lugar, hay un token de dispositivo y un ID de suscripción para identificar al dispositivo y la carpeta de la Bandeja de entrada específicos que se actualizan dentro de Secure Mail.

  • Enviar notificaciones APNs, que solo contienen indicadores numéricos, a Secure Mail en dispositivos iOS.

  • Enviar notificaciones FCM a Secure Mail en dispositivos Android.

El servicio de escucha de Citrix no afecta al tráfico de datos de correo, que continúa fluyendo entre los dispositivos de usuario y los servidores Exchange Server a través de ActiveSync. El servicio de escucha, que está configurado para alta disponibilidad y recuperación ante desastres, está disponible en tres regiones:

  • América
  • Europa, Medio Oriente y África (EMEA)
  • Asia-Pacífico (APAC)

Requisitos del sistema para notificaciones push

Si la configuración de Citrix Gateway incluye Secure Ticket Authority (STA) y el túnel dividido está desactivado, Citrix Gateway debe permitir el tráfico (cuando se tuneliza desde Secure Mail) hacia las siguientes direcciones URL del servicio de escucha de Citrix:

Región dirección URL Dirección IP
América https://us-east-1.pushreg.xm.citrix.com 52.7.65.6; 52.7.147.0
Europa-Oriente Medio-África https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233; 54.154.204.192
Asia-Pacífico https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173; 52.74.25.245

Configurar Secure Mail para notificaciones push

Para configurar APNs o FCM en Secure Mail para la distribución desde el almacén de aplicaciones, en la consola de Endpoint Management, active las notificaciones push y seleccione su región. En esta imagen se muestra la configuración para iOS.

Imagen de la configuración de notificaciones push en Endpoint Management

En caso de Android, en esta imagen se muestra la misma configuración de notificaciones push que en iOS. Además, si el servicio EWS está alojado en otra región que no sea la del servidor de correo, rellene el campo Nombre de host EWS. El valor predeterminado está vacío. Si no define la configuración, Endpoint Management usa el nombre de host del servidor de correo.

Imagen de la configuración de notificaciones push para Android en Endpoint Management

Necesita configurar Exchange y Citrix ADC para permitir el flujo de tráfico hacia el servicio de escucha.

Configurar Exchange Server

Permitir SSL de salida (en el puerto 443) desde el firewall a la URL del servicio de escucha de Citrix para la región donde se encuentra el servidor Exchange Server. Por ejemplo:

Región dirección URL Dirección IP
América https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176; 52.4.180.132
Europa-Oriente Medio-África https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172; 52.17.147.220
Asia-Pacífico https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240; 54.169.87.20

Si tiene un servidor proxy entre el dispositivo de escucha de Citrix y Exchange Web Services (EWS), puede seguir uno de estos procedimientos.

  • Enviar tráfico EWS a través del proxy y, a continuación, al dispositivo de escucha.
  • Omitir el proxy y enrutar el tráfico EWS al dispositivo de escucha directamente.

Para enviar el tráfico de EWS a través del servidor proxy, configure el archivo web.config de EWS en la carpeta ClientAccess\exchweb\ews, como sigue:

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>

Para obtener información detallada sobre la configuración de proxies, consulte Configuración de proxy.

Para entornos de Exchange 2013, debe agregar manualmente la sección system.net al archivo web.config. Por lo demás, las configuraciones que se describen aquí deben funcionar para Exchange 2013. Para solucionar problemas, póngase en contacto con el administrador de Exchange.

Para omitir el servidor proxy, configure la lista de omisión para permitir que Exchange haga conexiones con el servicio de escucha de Citrix.

Cuando Secure Hub se inscribe con la autenticación por certificados, también debe configurar el servidor Exchange Server para la autenticación por certificados. Para obtener información detallada, consulte el artículo Conceptos avanzados de Endpoint Management.

Configurar Citrix Gateway

Aunque el servidor Exchange necesite permitir el tráfico hacia el servicio de escucha, Citrix ADC debe permitir el tráfico al servicio de registro. De este modo, los dispositivos pueden conectarse y registrarse para las notificaciones push.

Si sus servidores de EWS y ActiveSync son diferentes, configure la directiva de tráfico de Citrix ADC para permitir el tráfico de EWS. Para obtener más información sobre la integración de Citrix Endpoint Management en Citrix Gateway, consulte la sección Integración con Citrix Gateway y Citrix ADC.

Solucionar problemas

Para solucionar problemas de conexiones salientes, compruebe los registros de eventos de Exchange, que incluyen entradas de registros cuando una solicitud de suscripción o la notificación de una suscripción no son válidas o fallan. También puede ejecutar seguimientos de Wireshark en el servidor Exchange Server para controlar el tráfico de salida para el servicio de escucha de Citrix. Para ver otros problemas, utilice Secure Mail Test Tool.

Preguntas frecuentes sobre las notificaciones push de Secure Mail

Cuándo entrega Android las notificaciones a Secure Mail

En Android, las notificaciones siempre se entregan a Secure Mail.

Cómo afecta FCM a las notificaciones de correo electrónico que aparecen en la pantalla de bloqueo

Las notificaciones de correo nuevo que aparecen en la pantalla de bloqueo se generan en función de los datos que Secure Mail sincroniza en el dispositivo. Es importante tener en cuenta que esta información no proviene del servicio de escucha.

Para mostrar notificaciones de correo nuevo, Secure Mail necesita poder sincronizar datos desde Exchange para tener la información disponible y crear las notificaciones.

Cuando recibe un nuevo correo, aparece la notificación FCM Tiene mensajes nuevos. Una vez que la sincronización del correo electrónico se complete en segundo plano, el correo nuevo aparece en Secure Mail.

Cómo afecta la función Actualización en segundo plano a Secure Mail y APNs

Si el usuario desactiva la función Actualización en segundo plano, se dan las siguientes situaciones:

  • Secure Mail no recibe notificaciones cuando Secure Mail no es la aplicación en segundo plano.
  • Secure Mail no actualiza la pantalla de bloqueo con notificaciones de correo nuevo.

La inhabilitación de la función Actualización en segundo plano tiene un efecto importante en el comportamiento de Secure Mail. Como se ha indicado anteriormente, las actualizaciones de las insignias de notificaciones basadas en el servicio APNs siguen sucediendo, pero en este modo no se sincroniza el correo electrónico en el dispositivo.

Cómo afecta la función Modo de bajo consumo a Secure Mail y APNs

El comportamiento del sistema con respecto a Secure Mail es el mismo cuando se usa el Modo de bajo consumo que cuando la función Actualización en segundo plano está inhabilitada. En modo de bajo consumo, el dispositivo no reactiva las aplicaciones para una actualización periódica y no entrega notificaciones a aplicaciones en segundo plano. Los efectos secundarios son, por lo tanto, los mismos que los indicados en la sección Actualización en segundo plano, más arriba. Tenga en cuenta que, en el Modo de bajo consumo, las insignias de recuento se siguen actualizando basándose en las notificaciones de APNs.

Cómo afecta APNs a las notificaciones de correo electrónico que aparecen en la pantalla de bloqueo

Las notificaciones de correo nuevo que aparecen en la pantalla de bloqueo se generan en función de los datos que Secure Mail sincroniza en el dispositivo. Es importante tener en cuenta que esta información no proviene del servicio de escucha.

Para mostrar notificaciones de correo nuevo, Secure Mail necesita poder sincronizar datos desde Exchange, de forma que Secure Mail tenga la información disponible para crear las notificaciones.

Si las notificaciones de APNs no se entregan a Secure Mail en segundo plano, Secure Mail no detecta las notificaciones y, por tanto, no sincroniza los datos nuevos. Puesto que no hay datos nuevos para Secure Mail, no se generan notificaciones de correo electrónico nuevo en la pantalla de bloqueo del dispositivo, incluso aunque no se hayan entregado notificaciones APNs.

Qué otros problemas pueden provocar que falle la sincronización iniciada por FCM en segundo plano

Hay una serie de problemas que pueden hacer que las solicitudes de sincronización de FCM fallen, entre otros:

  • Un tíquet no válido de STA.
  • Cuando Secure Mail se reactiva tras haber estado suspendido, la aplicación tiene 10 segundos para sincronizar todos los datos desde el servidor.

Si se da alguna de las condiciones anteriores, Secure Mail no puede sincronizar datos. En consecuencia, las notificaciones no aparecen en la pantalla de bloqueo.

Qué otros problemas pueden provocar que falle la sincronización iniciada por APNs en segundo plano

Hay una serie de problemas que pueden hacer que las solicitudes de sincronización de APNs fallen, entre otros los siguientes:

  • Un tíquet no válido de STA.
  • Una conexión de red lenta. Cuando Secure Mail se reactiva en segundo plano, la aplicación tiene 30 segundos para sincronizar todos los datos desde el servidor.
  • Si la directiva de protección de datos está habilitada y una notificación de APNs reactiva Secure Mail, cuando se bloquea el dispositivo Secure Mail no puede acceder al almacén de datos y la sincronización no tiene lugar. Tenga en cuenta que esto solo ocurre cuando el sistema intenta iniciar Secure Mail “en frío”. Si un usuario ya ha iniciado Secure Mail en algún momento después de desbloquear el dispositivo, la sincronización por APNs se realiza correctamente incluso cuando el dispositivo está bloqueado.

Si se da alguna de las condiciones anteriores, Secure Mail no puede sincronizar los datos y, por lo tanto, no puede mostrar notificaciones en la pantalla de bloqueo.

De qué otro modo genera Secure Mail notificaciones en la pantalla de bloqueo cuando no se entregan o no se usa APNs

Aunque APNs esté inhabilitado, Secure Mail aún se reactiva por eventos periódicos de Actualización en segundo plano de iOS, siempre que está opción esté habilitada y si el modo de bajo consumo está desactivado.

Durante estos eventos de reactivación, Secure Mail sincroniza los nuevos mensajes de correo electrónico desde Exchange Server. El nuevo correo puede usarse entonces para generar notificaciones de correo electrónico en la pantalla de bloqueo. Por lo tanto, aunque las notificaciones APNs no se entreguen o APNs esté inhabilitado, Secure Mail puede sincronizar los datos en segundo plano.

Es importante tener en cuenta que esto ocurrirá menos en tiempo real cuando se esté mediante APNs y cuando las notificaciones APNs se entreguen a Secure Mail. Cuando iOS enruta las notificaciones APNs a Secure Mail, la aplicación sincroniza inmediatamente los datos desde el servidor, por lo que las notificaciones de la pantalla de bloqueo parecen ser en tiempo real.

En el caso de que se requieran eventos de Actualización en segundo plano, las notificaciones de la pantalla de bloqueo no tienen lugar en tiempo real. En este caso, Secure Mail se reactiva con la frecuencia que determine únicamente iOS. Como tal, puede transcurrir un tiempo entre estas dos situaciones:

  • Cuando un correo electrónico llega a la Bandeja de entrada de un usuario en Exchange.
  • Cuando Secure Mail sincroniza ese mensaje y genera la notificación en la pantalla de bloqueo.

Tenga en cuenta que Secure Mail recibe estas reactivaciones periódicamente incluso aunque no se esté mediante el servicio APNs. En todos los casos en que la función de Actualización en segundo plano reactiva Secure Mail, Secure Mail intenta sincronizar los datos desde Exchange.

Cómo difiere Secure Mail de otras aplicaciones que también muestran contenido en la pantalla de bloqueo

Una diferencia importante, que puede provocar confusión, es que Secure Mail no siempre muestra los correos electrónicos nuevos en tiempo real en la pantalla de bloqueo. Este comportamiento difiere de Gmail, Microsoft Outlook y otras aplicaciones. El motivo principal de esta diferencia es la seguridad. Para que el comportamiento sea el mismo que el de las demás aplicaciones, el servicio de escucha de Citrix requiere las credenciales de usuario para autenticarse en Exchange. Las credenciales son necesarias para obtener el contenido de correo electrónico. Las credenciales también son necesarias para pasar este contenido de correo electrónico a través del servicio de escucha de Citrix al servicio APNs de Apple. El enfoque de Citrix para notificaciones APNs no requiere que el servicio de escucha de Citrix adquiera ni almacene la contraseña del usuario. El servicio de escucha no tiene acceso al buzón de correo ni a la contraseña del usuario.

Nota sobre la aplicación de correo nativa de iOS: iOS permite que su propia aplicación de correo electrónico mantenga una conexión persistente con el servidor de correo, lo que garantiza que las notificaciones se entreguen siempre. No se permite esta capacidad a aplicaciones de terceros que no sean la aplicación de correo nativa.

Comportamiento de la aplicación Gmail: Google controla, como propietario, tanto la aplicación Gmail como el servidor Gmail. Este comportamiento significa que Google puede leer el contenido de los mensajes e incluir dicho contenido en la carga de la notificación APNs. Cuando iOS recibe esta notificación APNs desde Gmail, iOS hace lo siguiente:

  • Establece la insignia de la aplicación con el valor especificado en la carga de la notificación.
  • Muestra la notificación en la pantalla de bloqueo mediante el texto del mensaje contenido en la carga de la notificación.

Esta es una diferencia importante: Es iOS, no la aplicación Gmail, el que muestra la notificación en la pantalla de bloqueo, en función de los datos contenidos en la carga de la notificación. De hecho, es posible que iOS nunca reactive la aplicación Gmail, de la misma forma que iOS puede no reactivar Secure Mail cuando llega una notificación. Sin embargo, debido a que la carga contiene un fragmento de mensaje, iOS puede mostrar la notificación de la pantalla de bloqueo sin necesidad de sincronizar los datos de correo en el dispositivo.

En Secure Mail, esta situación es diferente. Secure Mail debe sincronizar primero los datos del mensaje desde Exchange para que la aplicación pueda después mostrar la notificación en la pantalla de bloqueo.

Comportamiento de la aplicación Outlook para iOS: Microsoft controla Outlook para iOS. No obstante, la organización a la que pertenece el usuario controla los servidores Exchange desde donde se obtienen los datos. A pesar de esta configuración, Outlook puede mostrar notificaciones en la pantalla de bloqueo en función de los datos que proporciona Microsoft en la notificación APNs. Este comportamiento se debe a que Outlook para iOS utiliza un modelo en el que Microsoft almacena las credenciales de usuario. Microsoft accede directamente al buzón del usuario desde su servicio de nube y determina si existe correo nuevo.

Si hay correo nuevo, el servicio de nube de Microsoft genera una notificación APNs que contiene los datos del nuevo correo. Este modelo funciona de manera similar al modelo de Gmail. En el modelo de Gmail, iOS simplemente toma los datos y genera una notificación en la pantalla de bloqueo basada en esos datos. La aplicación Outlook de iOS no está involucrada en este proceso.

Nota de seguridad importante sobre Outlook para iOS: El enfoque de Outlook para iOS tiene ciertas consecuencias para la seguridad. Las organizaciones deben confiar a Microsoft las contraseñas de sus usuarios. Esta confianza permite a Microsoft tener acceso al buzón del usuario, lo que supone un riesgo para la seguridad. Para obtener más información sobre cómo administra Microsoft las contraseñas de los usuarios, consulte Microsoft TechNet.

Para ver más preguntas frecuentes específicas de los administradores sobre notificaciones push, consulte este artículo de Citrix Support Knowledge Center. Para ver más preguntas frecuentes relacionadas con los usuarios, consulte este artículo de Citrix Support Knowledge Center.