Documentación de productos
XenMobile® Server
Ver PDF

Estrategia de correo electrónico

April 16, 2026
Contribución de: 
C

El acceso seguro al correo electrónico desde dispositivos móviles es uno de los principales impulsores de la iniciativa de administración de la movilidad de cualquier organización. Decidir la estrategia de correo electrónico adecuada suele ser un componente clave de cualquier diseño de XenMobile®. XenMobile ofrece varias opciones para adaptarse a diferentes casos de uso, según los requisitos de seguridad, experiencia de usuario e integración. Este artículo cubre el proceso de decisión de diseño típico y las consideraciones para elegir la solución adecuada, desde la selección del cliente hasta el flujo de tráfico de correo.

Elegir tus clientes de correo electrónico

La selección del cliente suele ser lo primero en la lista para el diseño general de la estrategia de correo electrónico. Puedes elegir entre varios clientes: Citrix Secure Mail™, el correo nativo que se incluye con el sistema operativo de una plataforma móvil en particular, u otros clientes de terceros disponibles a través de las tiendas de aplicaciones públicas. Dependiendo de tus necesidades, es posible que puedas dar asistencia a las comunidades de usuarios con un único cliente (estándar) o que tengas que usar una combinación de clientes.

La siguiente tabla describe algunas consideraciones de diseño para las diferentes opciones de cliente disponibles:

       
Tema Secure Mail Nativo (por ejemplo, Correo de iOS) Correo de terceros
Edición mínima de XenMobile Advanced MDM MDM
Configuración Perfiles de cuenta de Exchange configurados mediante una directiva MDX. Perfiles de cuenta de Exchange configurados mediante una directiva MDM. La asistencia para Android se limita a: SAFE/KNOX y Android Enterprise. Todos los demás clientes se consideran clientes de terceros. Generalmente requiere configuración manual por parte del usuario.
Seguridad Seguro por diseño, lo que proporciona la máxima seguridad. Usa directivas MDX con niveles de cifrado de datos adicionales. Secure Mail es una aplicación totalmente administrada mediante una directiva MDX. Capa adicional de autenticación con el PIN de Citrix. Basado en el conjunto de características del proveedor/aplicación. Proporciona mayor seguridad. Usa la configuración de cifrado del dispositivo (sin seguridad mediante directivas MDX). Se basa en la autenticación a nivel de dispositivo para acceder a la aplicación. Basado en el conjunto de características del proveedor/aplicación. Proporciona alta seguridad.
Integración Permite la interacción con aplicaciones administradas (MDX) de forma predeterminada. Abre URL web con Citrix Secure Web. Guarda archivos y adjunta archivos desde Citrix Files. Únete y marca directamente a GoToMeeting. Solo puede interactuar con otras aplicaciones no administradas (no MDX) de forma predeterminada. Solo puede interactuar con otras aplicaciones no administradas (no MDX) de forma predeterminada.
Implementación/ Licencias Puedes distribuir Secure Mail a través de MDM, directamente desde las tiendas de aplicaciones públicas. Incluido con las licencias XenMobile Advanced y Enterprise. Aplicación cliente incluida con el sistema operativo de la plataforma. No hay requisitos de licencia adicionales. Se puede distribuir a través de MDM, como aplicación empresarial o directamente desde las tiendas de aplicaciones públicas. Modelo de licencias/costes asociado basado en el proveedor de la aplicación.
Asistencia Asistencia de un único proveedor para el cliente y la solución EMM (Citrix). Información de contacto de asistencia integrada en Secure Hub/capacidades de registro de depuración de la aplicación. Un solo cliente al que dar asistencia. Asistencia definida por el proveedor (Apple/Google). Es posible que tengas que dar asistencia a diferentes clientes según la plataforma del dispositivo. Asistencia definida por el proveedor. Un solo cliente al que dar asistencia, suponiendo que el cliente de terceros sea compatible con todas las plataformas de dispositivos administrados.

Consideraciones sobre el flujo y el filtrado del tráfico de correo

Esta sección analiza los tres escenarios principales y las consideraciones de diseño sobre el flujo de tráfico de correo (ActiveSync) en el contexto de XenMobile.

Escenario 1: Exchange expuesto

Los entornos que dan asistencia a clientes externos suelen tener los servicios de Exchange ActiveSync expuestos a Internet. Los clientes móviles de ActiveSync se conectan a través de esta ruta orientada externamente a través de un proxy inverso (por ejemplo, Citrix ADC) o a través de un servidor Edge. Esta opción es necesaria para el uso de clientes de correo nativos o de terceros, lo que convierte a estos clientes en la opción popular para este escenario. Aunque no es una práctica común, también puedes usar el cliente Secure Mail en este escenario. Al hacerlo, te beneficias de las características de seguridad que ofrece el uso de directivas MDX y la administración de la aplicación.

Escenario 2: En túnel a través de Citrix ADC (micro VPN y STA)

Este escenario es el predeterminado cuando se usa el cliente Secure Mail debido a sus capacidades de micro VPN. En este caso, el cliente Secure Mail establece una conexión segura a ActiveSync a través de Citrix Gateway. En esencia, puedes considerar que Secure Mail es el cliente que se conecta directamente a ActiveSync desde la red interna. Los clientes de Citrix a menudo estandarizan el uso de Secure Mail como el cliente móvil de ActiveSync preferido. Esa decisión forma parte de una iniciativa para evitar exponer los servicios de ActiveSync a Internet en un servidor Exchange expuesto, como se describe en el primer escenario.

Solo las aplicaciones habilitadas para MAM SDK o empaquetadas con MDX pueden usar la función de micro VPN. Este escenario no se aplica a los clientes nativos si usas el empaquetado MDX. Aunque podría ser posible empaquetar clientes de terceros con el MDX Toolkit, esta práctica no es común. El uso de clientes VPN a nivel de dispositivo para permitir el acceso en túnel para clientes nativos o de terceros ha demostrado ser engorroso y no una solución viable.

Escenario 3: Servicios de Exchange alojados en la nube

Los servicios de Exchange alojados en la nube, como Microsoft Office 365, son cada vez más populares. En el contexto de XenMobile, este escenario se puede tratar de la misma manera que el primer escenario porque el servicio ActiveSync también está expuesto a Internet. En este caso, los requisitos del proveedor de servicios en la nube dictan las opciones de cliente. Las opciones generalmente incluyen asistencia para la mayoría de los clientes de ActiveSync, como Secure Mail y otros clientes nativos o de terceros.

XenMobile puede aportar valor en tres áreas para este escenario:

  • Clientes con directivas MDX y administración de aplicaciones con Secure Mail.
  • Configuración del cliente con el uso de una directiva MDM en clientes de correo electrónico nativos compatibles.
  • Opciones de filtrado de ActiveSync con el uso del conector de Endpoint Management para Exchange ActiveSync.

Consideraciones sobre el filtrado del tráfico de correo

Como ocurre con la mayoría de los servicios expuestos a Internet, debes proteger la ruta y proporcionar filtrado para el acceso autorizado. La solución XenMobile incluye dos componentes diseñados específicamente para proporcionar capacidades de filtrado de ActiveSync para clientes nativos y de terceros: Citrix Gateway connector™ para Exchange ActiveSync y Endpoint Management connector para Exchange ActiveSync.

Conector de Citrix Gateway para Exchange ActiveSync

El conector de Citrix Gateway para Exchange ActiveSync proporciona filtrado de ActiveSync en el perímetro, usando Citrix ADC como proxy para el tráfico de ActiveSync. Como resultado, el componente de filtrado se encuentra en la ruta del flujo de tráfico de correo, interceptando el correo a medida que entra o sale del entorno. El conector de Citrix Gateway para Exchange ActiveSync actúa como intermediario entre Citrix ADC y XenMobile Server. Cuando un dispositivo se comunica con Exchange a través del servidor virtual de ActiveSync en Citrix ADC, Citrix ADC realiza una llamada HTTP al servicio del conector para Exchange ActiveSync. Ese servicio luego verifica el estado del dispositivo con XenMobile. Según el estado del dispositivo, el conector para Exchange ActiveSync responde a Citrix ADC para permitir o denegar la conexión. También puedes configurar reglas estáticas para filtrar el acceso según el usuario, el agente y el tipo o ID del dispositivo.

Esta configuración permite que los servicios de Exchange ActiveSync se expongan a Internet con una capa adicional de seguridad para evitar el acceso no autorizado. Las consideraciones de diseño incluyen las siguientes:

  • Windows Server: El conector para el componente de Exchange ActiveSync requiere un Windows Server.
  • Conjunto de reglas de filtrado: El conector para Exchange ActiveSync está diseñado para filtrar según el estado y la información del dispositivo, en lugar de la información del usuario. Aunque puedes configurar reglas estáticas para filtrar por ID de usuario, no existen opciones para filtrar según la pertenencia a grupos de Active Directory, por ejemplo. Si se requiere el filtrado de grupos de Active Directory, puedes usar el conector de Endpoint Management para Exchange ActiveSync en su lugar.
  • Escalabilidad de Citrix ADC: Dada la necesidad de actuar como proxy para el tráfico de ActiveSync a través de Citrix ADC: El dimensionamiento adecuado de la instancia de Citrix ADC es fundamental para dar asistencia a la carga de trabajo adicional de todas las conexiones SSL de ActiveSync.
  • Almacenamiento en caché integrado de Citrix ADC: La configuración del conector para Exchange ActiveSync en Citrix ADC usa la función de almacenamiento en caché integrado para almacenar en caché las respuestas del conector para Exchange ActiveSync. Como resultado de esa configuración, Citrix ADC no necesita emitir una solicitud al conector de Citrix Gateway para Exchange ActiveSync para cada transacción de ActiveSync en una sesión determinada. Esa configuración también es fundamental para un rendimiento y una escala adecuados. El almacenamiento en caché integrado está disponible con la edición Platinum de Citrix ADC o puedes licenciar la función por separado para las ediciones Enterprise.
  • Directivas de filtrado personalizadas: Es posible que tengas que crear directivas de Citrix ADC personalizadas para restringir ciertos clientes de ActiveSync fuera de los clientes móviles nativos estándar. Esta configuración requiere conocimientos sobre las solicitudes HTTP de ActiveSync y la creación de directivas de respuesta de Citrix ADC.
  • Clientes de Secure Mail: Secure Mail tiene capacidades de micro VPN que eliminan la necesidad de filtrado en el perímetro. El cliente Secure Mail generalmente se trataría como un cliente de ActiveSync interno (de confianza) cuando se conecta a través de Citrix Gateway. Si se requiere asistencia para clientes nativos y de terceros (con el conector para Exchange ActiveSync) y clientes de Secure Mail: Citrix recomienda que el tráfico de Secure Mail no fluya a través del servidor virtual de Citrix ADC usado para el conector para Exchange ActiveSync. Puedes lograr este flujo de tráfico a través de DNS y evitar que la directiva del conector para Exchange ActiveSync afecte a los clientes de Secure Mail.

Para ver un diagrama del conector de Citrix Gateway para Exchange ActiveSync en una implementación de XenMobile, consulta Arquitectura de referencia para implementaciones locales.

Conector de Endpoint Management para Exchange ActiveSync

El conector de Endpoint Management para Exchange ActiveSync es un componente de XenMobile que proporciona filtrado de ActiveSync a nivel de servicio de Exchange. Como resultado, el filtrado solo ocurre una vez que el correo llega al servicio de Exchange, en lugar de cuando entra en el entorno de XenMobile. El Administrador de correo usa PowerShell para consultar Exchange ActiveSync en busca de información de asociación de dispositivos y controlar el acceso a través de acciones de cuarentena de dispositivos. Esas acciones ponen y sacan dispositivos de la cuarentena según los criterios de las reglas del conector de Endpoint Management para Exchange ActiveSync. De manera similar al conector de Citrix Gateway para Exchange ActiveSync, el conector de Endpoint Management para Exchange ActiveSync verifica el estado del dispositivo con XenMobile para filtrar el acceso según el cumplimiento del dispositivo. También puedes configurar reglas estáticas para filtrar el acceso según el tipo o ID del dispositivo, la versión del agente y la pertenencia a grupos de Active Directory.

Esta solución no requiere el uso de Citrix ADC. Puedes implementar un conector de Endpoint Management para Exchange ActiveSync sin cambios en el enrutamiento para el tráfico de ActiveSync existente. Las consideraciones de diseño incluyen:

  • Windows Server: El conector de Endpoint Management para el componente de Exchange ActiveSync requiere que implementes Windows Server.
  • Conjunto de reglas de filtrado: Al igual que el conector de Citrix Gateway para Exchange ActiveSync, el conector de Endpoint Management para Exchange ActiveSync incluye reglas de filtrado para evaluar el estado del dispositivo. Además, el conector de Endpoint Management para Exchange ActiveSync también da asistencia a reglas estáticas para filtrar según la pertenencia a grupos de Active Directory.
  • Integración de Exchange: El conector de Endpoint Management para Exchange ActiveSync requiere acceso directo al servidor de acceso de cliente (CAS) de Exchange que aloja el rol de ActiveSync y control sobre las acciones de cuarentena de dispositivos. Este requisito podría presentar un desafío dependiendo de la arquitectura del entorno y la postura de seguridad. Es fundamental que evalúes este requisito técnico de antemano.
  • Otros clientes de ActiveSync: Debido a que el conector de Endpoint Management para Exchange ActiveSync está filtrando a nivel de servicio de ActiveSync, considera otros clientes de ActiveSync fuera del entorno de XenMobile. Puedes configurar reglas estáticas del conector de Endpoint Management para Exchange ActiveSync para evitar un impacto no deseado en otros clientes de ActiveSync.
  • Funciones extendidas de Exchange: A través de la integración directa con Exchange ActiveSync, el conector de Endpoint Management para Exchange ActiveSync proporciona la capacidad de XenMobile para realizar un borrado de Exchange ActiveSync en un dispositivo móvil. El conector de Endpoint Management para Exchange ActiveSync también permite a XenMobile acceder a información sobre dispositivos Blackberry y realizar otras operaciones de control.

Para ver un diagrama del conector de Endpoint Management para Exchange ActiveSync en una implementación de XenMobile, consulta Arquitectura de referencia para implementaciones locales.

Árbol de decisiones de la plataforma de correo electrónico

La siguiente figura te ayuda a distinguir los pros y los contras entre usar soluciones de correo electrónico nativas o Secure Mail en tu implementación de XenMobile. Cada elección permite opciones y requisitos de XenMobile asociados para habilitar el acceso al servidor, la red y la base de datos. Los pros y los contras incluyen detalles sobre la seguridad, la directiva y las consideraciones de la interfaz de usuario.

Diagrama del árbol de decisiones de la plataforma de correo electrónico

Estrategia de correo electrónico
April 16, 2026
Contribución de: 
C
April 16, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.