Notifications push pour Secure Mail

Secure Mail pour iOS et Secure Mail pour Android peuvent recevoir des notifications sur les activités de messagerie et de calendrier lorsque l’application est exécutée en arrière-plan ou qu’elle est fermée. Secure Mail pour iOS prend en charge les notifications fournies par le biais de la fonctionnalité Actualisation en arrière-plan ou des notifications push fournies via le Apple Push Notification Service (APNS). Secure Mail pour Android prend en charge les notifications fournies via le service Firebase Cloud Messaging (FCM).

Fonctionnement des notifications push

Secure Mail envoie des notifications push pour les activités de boîte de réception suivantes :

  • Nouveau message, demandes de réunions, annulations de réunions, mises à jour de réunions : lorsque APNS envoie des notifications à une boîte de réception, Secure Mail met à jour tous les dossiers, y compris le calendrier, de façon à ce que les modifications apportées aux réunions soient reflétées immédiatement dans les calendriers des utilisateurs.

  • Pour iOS, l’état de Secure Mail passe de lu à non lu et vice versa. L’icône Secure Mail affiche le nombre total de messages non lus et de nouveaux messages dans le dossier Boîte de réception Exchange uniquement. Secure Mail actualise l’icône après lecture des messages sur un ordinateur de bureau où sur un ordinateur portable.

    Pour iOS, Secure Mail indique toujours le nombre de messages non lus dans la boîte de réception pour la période de synchronisation. Si la stratégie Contrôler les notifications de l’écran verrouillé est définie sur Activé, les notifications push apparaissent sur l’écran d’un appareil verrouillé après qu’iOS réveille Secure Mail pour effectuer une synchronisation.

    Lors d’une installation ou d’une mise à niveau, Secure Mail pour iOS invite les utilisateurs à autoriser les notifications push. Les utilisateurs peuvent également autoriser les notifications push ultérieurement à l’aide des réglages iOS.

Pour fournir des notifications push pour iOS et Android, Citrix héberge un service d’écoute sur Amazon Web Services (AWS) pour exécuter les fonctions suivantes :

  • Écouter les notifications push Exchange Web Services (EWS) envoyées par les serveurs Exchange en cas d’activité sur la boîte de réception. Exchange n’envoie pas le contenu des messages au service Citrix.

    Aucune information permettant de vous identifier personnellement n’est stockée par le service Citrix. Au lieu de cela, un jeton d’appareil et un ID d’abonnement identifient l’appareil et le dossier Boîte de réception à mettre à jour dans Secure Mail.

  • Envoyer des notifications APNS, contenant uniquement le nombre de badges, à Secure Mail sur les appareils iOS.

  • Envoyer des notifications FCM à Secure Mail sur les appareils Android.

Le service d’écoute Citrix n’affecte pas le trafic des données de messagerie, qui continuent de transiter entre les appareils des utilisateurs et les serveurs Exchange via ActiveSync. Le service d’écoute, qui est configuré pour une haute disponibilité et une récupération d’urgence, est disponible dans trois zones :

  • Amériques
  • Europe, Moyen-Orient et Afrique (EMEA)
  • Asie-Pacifique (APAC)

Configuration système requise pour les notifications push

Si votre configuration NetScaler Gateway comprend une STA (Secure Ticket Authority) et que le split tunneling est désactivé, NetScaler Gateway doit autoriser le trafic (lorsqu’il passe par un tunnel de Secure Mail) vers les URL suivantes du service d’écoute Citrix :

Région URL Adresse IP
Amériques https://us-east-1.pushreg.xm.citrix.com 52.7.65.6 ; 52.7.147.0
EMEA https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233 ; 54.154.204.192
APAC https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173 ; 52.74.25.245

Configuration de Secure Mail pour les notifications push

Pour configurer les notifications push Apple ou FCM pour Secure Mail pour la distribution sur des magasins d’applications, dans la console Endpoint Management, activez les notifications Push, puis sélectionnez votre région. La figure suivante montre le paramètre pour iOS.

Image du paramètre de notifications push dans Endpoint Management

Pour Android, la figure suivante montre le même paramètre de notification push que pour iOS. De plus, si les services web Exchange (EWS) sont hébergés dans une région différente de celle du serveur de messagerie, renseignez le paramètre Nom d’hôte EWS. Le paramètre par défaut est vide. Si vous laissez le paramètre vide, Endpoint Management utilise le nom d’hôte du serveur de messagerie.

Image du paramètre de notifications push pour Android dans Endpoint Management

Configurez Exchange et NetScaler afin de permettre la transmission du trafic au service d’écoute.

Configuration du serveur Exchange

Autorisez le trafic SSL sortant (sur le port 443) depuis votre pare-feu vers l’URL du service d’écoute Citrix correspondant à la région où se trouve votre serveur Exchange. Par exemple :

Région URL Adresse IP
Amériques https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176 ; 52.4.180.132
EMEA https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172 ; 52.17.147.220
APAC https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240 ; 54.169.87.20

Si vous disposez d’un serveur proxy entre les services web Exchange (EWS) et le périphérique d’écoute de Citrix, vous pouvez effectuer l’une des opérations suivantes.

  • Envoyer le trafic EWS via proxy, puis sur le périphérique d’écoute.
  • Contourner le proxy et acheminer le trafic EWS directement vers le périphérique d’écoute.

Pour envoyer le trafic EWS via le serveur proxy, configurez le fichier web.config EWS dans le dossier ClientAccess\exchweb\ews comme suit.

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="false"
proxyaddress="http://proxy.example:8080"
bypassonlocal="true” />
</defaultProxy>
</system.net>
</configuration>`

Pour les environnements Exchange 2013, vous devez ajouter la section system.net au fichier web.config manuellement. Sinon, les configurations décrites dans cet article devraient fonctionner pour Exchange 2013. Pour résoudre des problèmes, contactez votre administrateur Exchange.

Pour contourner le serveur proxy, configurez la liste de contournement pour autoriser Exchange à établir des connexions au service d’écoute Citrix.

Lorsque Secure Hub est inscrit avec l’authentification par certificat, vous devez également configurer Exchange Server pour l’authentification par certificat. Pour de plus amples informations, consultez l’article Concepts avancés de Endpoint Management.

Configuration de NetScaler Gateway

Alors que le serveur Exchange doit autoriser le trafic vers le service d’écoute, NetScaler doit autoriser le trafic vers le service d’enregistrement. Ceci permet aux appareils de se connecter afin de s’enregistrer pour les notifications push.

Si vos serveurs EWS et ActiveSync sont différents, configurez votre stratégie de trafic NetScaler afin d’autoriser EWS.

Résolution des problèmes

Pour résoudre les problèmes de connexions sortantes, consultez les journaux d’événements Exchange, notamment les entrées de journal qui sont consignées lorsqu’une demande d’abonnement ou qu’une notification d’abonnement est non valide ou échoue. Vous pouvez également exécuter des traces Wireshark sur le serveur Exchange pour suivre le trafic sortant sur le service d’écoute Citrix.

Pour les autres problèmes, essayez l’outil Secure Mail Test Tool.

Questions fréquemment posées sur les notifications push Secure Mail

Quand iOS envoie-t-il des notifications à Secure Mail ?

Si Secure Mail est en cours d’exécution au premier plan, les notifications sont toujours envoyées à Secure Mail. Il s’agit du seul scénario dans lequel Citrix peut garantir que les notifications sont envoyées. Lorsque Secure Mail passe en arrière-plan, le nombre de badges d’application est toujours mis à jour. Toutefois, les notifications (notifications de verrouillage et de bannière) dépendent de l’actualisation en arrière-plan et - en particulier quand iOS interrompt ou ferme l’application - l’envoi de notifications n’est pas garanti. Les facteurs suivants échappent au contrôle de Citrix.

Les cas suivants peuvent affecter la remise de notifications :

  • La batterie est faible.
  • Secure Mail n’est pas utilisé fréquemment (rarement ouvert au premier plan).
  • Les messages sont reçus en dehors des plages d’utilisation principales au cours desquelles l’application est suspendue pour une période prolongée en arrière-plan ; par exemple, entre minuit et 6 heures.

Les notifications ne sont pas envoyées à Secure Mail dans les cas suivants :

  • Si l’utilisateur ferme Secure Mail, jusqu’à ce que l’utilisateur rouvre manuellement l’application.
  • Si le système a fermé Secure Mail et l’application n’a pas été redémarrée automatiquement.
  • Lorsque Secure Mail n’est pas actif.

Important :

Il est possible que les notifications ne soient pas remises à l’application Secure Mail lorsqu’elle n’est pas active pour de nombreuses raisons, y compris mais pas exclusivement dans les cas suivants :

  • Si l’appareil est en mode alimentation basse et que Secure Mail est en arrière-plan. Il s’agit du cas le plus fréquent dans lequel des notifications ne sont pas envoyées.
  • Si l’actualisation en arrière-plan est désactivée pour Secure Mail et si Secure Mail est en arrière-plan. Notez que les utilisateurs contrôlent ce paramètre.
  • Si la connectivité réseau de l’appareil est faible. Cette situation dépend entièrement de l’appareil iOS.

Lorsque Secure Mail ne reçoit pas de notification, Secure Mail ne synchronise pas les nouvelles données sur l’appareil. En conséquence, les situations suivantes se produisent :

  • Secure Mail synchronise les données uniquement lorsque les utilisateurs placent l’application au premier plan.
  • Les notifications de l’écran de verrouillage ne sont plus envoyées pour les nouveaux messages. Les rappels de calendrier s’affichent toujours.

Quand Android envoie-t-il des notifications à Secure Mail ?

Sur Android, les notifications sont toujours envoyées à Secure Mail.

Comment FCM affecte-t-il les notifications de messages qui s’affichent sur l’écran de verrouillage ?

Les notifications de nouveaux messages qui apparaissent sur l’écran d’un appareil verrouillé sont générées sur la base des données qui sont synchronisées sur l’appareil par Secure Mail. En outre, ces informations ne proviennent pas du service d’écoute.

Pour afficher les notifications de nouveaux messages, Secure Mail doit être en mesure de synchroniser les données à partir d’Exchange afin que Secure Mail dispose des informations pour créer les notifications.

Lorsque vous recevez un nouveau message, la notification FCM Vous avez de nouveaux messages s’affiche. Une fois la synchronisation des messages terminée en arrière-plan, le nouveau message apparaît dans Secure Mail.

Comment l’actualisation en arrière-plan affecte-t-elle Secure Mail et APNS ?

Si l’utilisateur désactive l’actualisation en arrière-plan, les situations suivantes se produisent :

  • Secure Mail ne reçoit pas de notifications lorsque Secure Mail n’est pas l’application en arrière-plan.
  • Secure Mail n’actualise pas l’écran de verrouillage avec les notifications de nouveaux messages.

La désactivation de l’actualisation en arrière-plan a d’importantes répercussions sur le comportement de Secure Mail. Comme indiqué précédemment, les mises à jour de badges (pastilles) basées sur APNs ont toujours lieu, mais aucun message n’est synchronisé sur l’appareil dans ce mode.

Comment le mode alimentation basse affecte-t-il Secure Mail et APNS ?

Le comportement du système vis-à-vis de Secure Mail est le même en Mode alimentation basse que lorsque l’Actualisation en arrière-plan est désactivée. En Mode alimentation basse, l’appareil ne « réveille » pas les applications pour les actualisations périodiques et n’envoie pas de notifications aux applications en arrière-plan. Les effets secondaires sont donc les mêmes que ceux répertoriés dans la section Actualisation en arrière-plan ci-dessus. Veuillez noter qu’en mode alimentation basse, les mises à jour de badges (pastilles) ont toujours lieu, basées sur les notifications APNs.

Comment APNS affecte-t-il les notifications de messages qui s’affichent sur l’écran de verrouillage ?

Les notifications de nouveaux messages qui apparaissent sur l’écran d’un appareil verrouillé sont générées sur la base des données qui sont synchronisées sur l’appareil par Secure Mail. En outre, ces informations ne proviennent pas du service d’écoute.

Pour afficher les notifications de nouveaux messages, Secure Mail doit être en mesure de synchroniser les données à partir d’Exchange afin que Secure Mail dispose des informations pour créer les notifications.

Si les notifications APNs ne sont pas envoyées à Secure Mail en arrière-plan, Secure Mail ne détecte pas les notifications et, par conséquent, ne synchronise pas les nouvelles données. Étant donné qu’aucune nouvelle donnée n’est envoyée à Secure Mail, aucune notification de message n’est générée sur l’écran de verrouillage de l’appareil, même lorsque des notifications APNS ne sont pas transmises.

Quels autres problèmes peuvent provoquer l’échec de la synchronisation FCM en arrière-plan ?

Un certain nombre de problèmes peuvent provoquer l’échec des demandes de synchronisation FCM, y compris ce qui suit :

  • Un ticket STA non valide.
  • Lorsque Secure Mail est réveillé du mode de veille, l’application dispose de 10 secondes pour synchroniser toutes les données à partir du serveur.

Si l’une des conditions précédentes se produit, Secure Mail ne peut pas synchroniser les données. Par conséquent, les notifications ne s’affichent pas sur l’écran de verrouillage.

Quels autres problèmes peuvent provoquer l’échec de la synchronisation APNS en arrière-plan ?

Un certain nombre de problèmes peuvent provoquer l’échec des demandes de synchronisation APNS, y compris ce qui suit :

  • Un ticket STA non valide.
  • Une connexion réseau lente. Lorsque Secure Mail est activé en arrière-plan, l’application dispose de 30 secondes pour synchroniser toutes les données à partir du serveur.
  • Si la stratégie de protection des données est activée et que Secure Mail est activé par une notification APNs, lorsque l’appareil est verrouillé, Secure Mail ne peut pas accéder au magasin de données et la synchronisation ne se produit pas. Notez qu’il s’agit du seul cas dans lequel le système tente de démarrer à froid Secure Mail. Si un utilisateur a déjà démarré Secure Mail à un moment donné après avoir déverrouillé l’appareil, la synchronisation APNs réussit même lorsque l’appareil est verrouillé.

Si l’une de ces conditions se produit, Secure Mail ne peut pas synchroniser les données et, par conséquent, il ne peut pas afficher les notifications sur l’écran de verrouillage.

De quelle autre façon Secure Mail génère-t-il des notifications de l’écran de verrouillage lorsque les notifications ne sont pas transmises ou qu’APNS n’est pas exécuté ?

Si le service APNs est désactivé, Secure Mail est toujours activé par des événements d’actualisation en arrière-plan périodiques d’iOS, en supposant que l’actualisation en arrière-plan est activée et que le Mode alimentation basse est désactivé.

Au cours de ces événements de mise en éveil, Secure Mail synchronise les nouveaux messages depuis Exchange Server. Ces nouveaux messages peuvent être utilisés pour générer des notifications sur l’écran de verrouillage. Par conséquent, même lorsque les notifications APNs ne sont pas délivrées ou que APNs est désactivé, Secure Mail peut synchroniser les données en arrière-plan.

Il est important de noter que les synchronisations sont moins fréquentes en temps réel que lorsqu’APNs est en cours d’utilisation et que des notifications APNs sont transmises à Secure Mail. Quand iOS achemine des notifications APNs à Secure Mail, l’application synchronise immédiatement les données depuis le serveur et les notifications de l’écran de verrouillage s’affichent en temps réel.

Dans l’éventualité où des mises en éveil de l’actualisation en arrière-plan sont requises, les notifications de l’écran de verrouillage ne s’affichent pas en temps réel. Dans ce cas, Secure Mail est activé à une fréquence déterminée exclusivement par iOS. C’est la raison pour laquelle un délai peut s’écouler entre la remise d’un message dans la boîte de réception d’un utilisateur sur Exchange et le moment où Secure Mail synchronise ce message et génère la notification sur l’écran de verrouillage.

Notez également que Secure Mail reçoit ces mises en éveil périodiques même lorsque APNs est en cours d’utilisation. Dans tous les cas dans lesquels l’actualisation en arrière-plan met en éveil Secure Mail, Secure Mail tente de synchroniser les données depuis Exchange.

En quoi Secure Mail diffère-t-il des autres applications qui affichent du contenu sur l’écran de verrouillage ?

Une différence très importante - et qui peut prêter à confusion - est que Secure Mail n’affiche pas toujours les nouveaux messages en temps réel sur l’écran de verrouillage de la même façon que Gmail, Microsoft Outlook et d’autres applications. La raison principale pour cette différence est la sécurité. Pour s’aligner avec le comportement des autres applications, le service d’écoute Citrix exigerait les informations d’identification de l’utilisateur pour s’authentifier auprès d’Exchange afin d’obtenir le contenu du message et transmettre ce contenu via le service d’écoute Citrix, ainsi que le service APNs d’Apple. L’approche de Citrix en matière de notifications APNs n’exige pas que le service d’écoute Citrix acquiert ou stocke le mot de passe des utilisateurs. Le service d’écoute n’a pas accès à la boîte aux lettres ni au mot de passe des utilisateurs.

Remarque sur l’application de messagerie iOS native : iOS permet à sa propre application de messagerie de maintenir une connexion permanente avec le serveur de messagerie, ce qui garantit que les notifications sont toujours envoyées. Les applications tierces en dehors de la messagerie native ne sont pas autorisées à utiliser cette fonctionnalité.

Comportement de l’application Gmail : Google possède et contrôle l’application Gmail et le serveur Gmail. Cela signifie que Google peut lire le contenu du message et inclure ce contenu dans la charge utile de notification d’APNs. Lorsque iOS reçoit cette notification APNs de Gmail, iOS effectue les opérations suivantes :

  • Définit le badge d’application en fonction de la valeur spécifiée dans la charge utile de notification.
  • Affiche la notification sur l’écran de verrouillage à l’aide du texte du message qui est contenu dans la charge utile de notification.

Importante distinction : c’est iOS, et non l’application Gmail, qui affiche la notification de l’écran de verrouillage, en fonction des données contenues dans la charge utile. En fait, iOS peut ne jamais mettre en éveil l’application Gmail, de la même façon qu’iOS peut ne jamais mettre en éveil Secure Mail lors de la réception d’une notification. Toutefois, étant donné que la charge utile contient un extrait du message, iOS peut afficher la notification de l’écran de verrouillage sans qu’aucune donnée de message ne soit synchronisée sur l’appareil.

Dans Secure Mail, cette situation est différente. Secure Mail doit d’abord synchroniser les données du message à partir d’Exchange avant que l’application ne puisse pas afficher la notification de l’écran de verrouillage.

Comportement de l’application Outlook pour iOS : Microsoft contrôle Outlook pour iOS. Toutefois, l’organisation à laquelle l’utilisateur appartient, contrôle les serveurs Exchange à partir desquels les données sont obtenues. En dépit de cette configuration, Outlook peut afficher les notifications de l’écran de verrouillage en fonction des données que Microsoft fournit dans la notification APNs, car Outlook pour iOS utilise un modèle dans lequel Microsoft stocke les informations d’identification de l’utilisateur. Microsoft accède directement à la boîte aux lettres de l’utilisateur à partir de son service cloud et détermine la présence de nouveaux messages.

Si un nouveau message est disponible, le service cloud de Microsoft génère une notification APNs qui contient les nouvelles données de message. Ce modèle fonctionne de façon analogue au modèle Gmail dans lequel iOS récupère simplement les données et génère une notification d’écran de verrouillage en fonction de ces données. L’application iOS Outlook n’est pas impliquée dans le processus.

Remarque de sécurité importante sur Outlook pour iOS : l’approche Outlook pour iOS a des répercussions sur la sécurité. Les organisations doivent faire confiance à Microsoft car les mots de passe de leurs utilisateurs sont transmis à Microsoft afin qu’il puisse accéder aux boîtes aux lettres des utilisateurs, ce qui constitue un risque pour la sécurité. Pour plus d’informations sur la façon dont Microsoft gère les mots de passe des utilisateurs, consultez Microsoft TechNet.

Pour accéder aux questions fréquentes sur les notifications push spécifiques aux administrateurs, consultez cet article du Centre de connaissances. Pour accéder à des questions fréquentes spécifiques aux utilisateurs, consultez cet article du centre de connaissances.