Product Documentation

Stratégie de messagerie

L’accès sécurisé aux e-mails à partir d’appareils mobiles est l’un des principaux moteurs de l’initiative de gestion de la mobilité de toute organisation. Décider de la bonne stratégie de messagerie est souvent un élément clé de toute conception XenMobile. XenMobile offre plusieurs options pour prendre en charge différents cas d’utilisation, en fonction de la sécurité, de l’expérience utilisateur et de l’intégration requises. Cet article couvre le processus de décision type pour la conception et les points à prendre en compte pour choisir la bonne solution, de la sélection du client à la circulation du courrier.

Choisir vos clients de messagerie

La sélection des clients est généralement une priorité pour la conception globale de la stratégie de messagerie. Vous pouvez choisir parmi plusieurs clients : Citrix Secure Mail, la messagerie native fournie avec un système d’exploitation de plateforme mobile particulier ou d’autres clients tiers disponibles via les magasins d’applications publics. En fonction de vos besoins, vous pouvez éventuellement prendre en charge les communautés d’utilisateurs avec un seul client (standard) ou utiliser une combinaison de clients.

Le tableau suivant présente les considérations de conception pour les différentes options client disponibles :

       
Rubrique Secure Mail Natif (par exemple, iOS Mail) Messagerie tierce (par exemple, TouchDown)
Édition XenMobile minimale Advanced MDM MDM
Configuration Profils de compte Exchange configurés via une stratégie MDX. Profils de compte Exchange configurés via une stratégie MDM. La prise en charge d’Android est limitée à : SAFE / KNOX, HTC et Android for Work. Tous les autres clients sont considérés comme des clients tiers. Nécessite généralement une configuration manuelle par l’utilisateur. Configuration des profils de compte Exchange via une stratégie MDM pour TouchDown uniquement.
Sécurité Sécurisé de par sa conception, offrant la plus haute sécurité. Utilise les stratégies MDX avec des niveaux de chiffrement de données supplémentaires. Secure Mail est une application entièrement gérée via une stratégie MDX. Couche d’authentification supplémentaire avec code PIN Citrix. Basé sur l’ensemble de fonctionnalités fournisseur/application. Fournit une sécurité plus élevée. Utilise les paramètres de chiffrement de l’appareil (sans sécurité via les stratégies MDX). S’appuie sur l’authentification au niveau de l’appareil pour accéder à l’application. Basé sur le jeu de fonctionnalités fournisseur / application. Fournit une sécurité élevée.
Intégration Permet l’interaction avec les applications gérées (MDX) par défaut. Ouverture d’URL Web avec Citrix Secure Web. Enregistrement des fichiers dans ShareFile et fichiers en pièce jointe à partir de ShareFile. Connexion directe à GoToMeeting. Ne peut interagir qu’avec d’autres applications non gérées (non-MDX) par défaut. Ne peut interagir qu’avec d’autres applications non gérées (non-MDX) par défaut.
Déploiement/Licence Vous pouvez utiliser Secure Mail via MDM, directement depuis les magasins d’applications publics. Inclus avec les licences XenMobile Advanced et Enterprise. Application client incluse avec le système d’exploitation de la plateforme. Aucune licence supplémentaire requise. Peut être déployé par push via MDM, en tant qu’application d’entreprise ou directement à partir des magasins d’applications publics. Modèle/coûts de licence associés basés sur le fournisseur de l’application.
Support Prise en charge d’un fournisseur unique pour le client et la solution EMM (Citrix). Informations de contact d’assistance intégrées dans les fonctionnalités de journalisation de débogage Secure Hub/application. Assistance pour un seul client. Assistance définie par le fournisseur (Apple/Google). Une assistance pour différents clients peut être nécessaire en fonction de la plate-forme de l’appareil. Assistance définie par le fournisseur. Assistance pour un seul client, en supposant que le client tiers est pris en charge sur toutes les plates-formes des appareils gérés.

Flux et filtrage du trafic de messagerie

Cette section présente les trois scénarios principaux et les points à prendre en compte pour la conception concernant le flux du trafic de messagerie (ActiveSync) dans le contexte de XenMobile.

Scénario 1 : Exchange exposé

Les environnements prenant en charge des clients externes disposent généralement de services Exchange ActiveSync exposés sur Internet. Les clients Mobile ActiveSync se connectent via ce chemin externe via un proxy inverse (NetScaler, par exemple) ou via un serveur Edge. Cette option est requise pour l’utilisation de clients de messagerie natifs ou tiers, ce qui fait de ces clients l’option de choix pour ce scénario. Bien que ce ne soit pas une pratique courante, vous pouvez également utiliser le client Secure Mail dans ce scénario. Ce faisant, vous bénéficiez des fonctionnalités de sécurité offertes par l’utilisation des stratégies MDX et de la gestion de l’application.

Scénario 2 : Tunneling via NetScaler (micro VPN et STA)

Ce scénario est le scénario par défaut lors de l’utilisation du client Secure Mail, en raison de ses capacités micro VPN. Dans ce cas, le client Secure Mail établit une connexion sécurisée à ActiveSync via NetScaler Gateway. En substance, vous pouvez considérer Secure Mail comme le client se connectant directement à ActiveSync à partir du réseau interne. Les clients Citrix standardisent souvent Secure Mail comme client mobile ActiveSync de leur choix. Cette décision fait partie d’une initiative visant à éviter d’exposer les services ActiveSync à Internet sur un serveur Exchange exposé, comme décrit dans le premier scénario.

Seules les applications gérées (avec encapsulation MDX) peuvent utiliser la fonction micro VPN. Par conséquent, ce scénario ne s’applique pas aux clients natifs. Même s’il est possible d’encapsuler les clients tiers avec MDX Toolkit, cette pratique n’est pas courante. L’utilisation de clients VPN au niveau des appareils pour permettre l’accès par tunnel aux clients natifs ou tiers s’est avérée fastidieuse et n’est pas une solution viable.

Scénario 3 : Services Exchange hébergés sur le cloud

Les services Exchange hébergés sur le cloud, tels que Microsoft Office 365, gagnent en popularité. Dans le contexte de XenMobile, ce scénario peut être traité de la même manière que le premier scénario, car le service ActiveSync est également exposé sur Internet. Dans ce cas, les exigences des fournisseurs de services cloud dictent les choix des clients. Ces choix incluent généralement la prise en charge de la plupart des clients ActiveSync, tels que Secure Mail et d’autres clients natifs ou tiers.

La solution XenMobile peut être avantageuse dans trois domaines pour ce scénario :

  • Encapsulation client avec les stratégies MDX et gestion des applications avec Secure Mail
  • Configuration du client avec l’utilisation d’une stratégie MDM sur les clients pris en charge (natifs, tels que TouchDown)
  • Options de filtrage ActiveSync avec Endpoint Management Connector pour Exchange ActiveSync

Filtrage du trafic de messagerie

Comme avec la plupart des services exposés sur Internet, vous devez sécuriser le chemin et fournir un filtrage pour un accès autorisé. La solution XenMobile comprend deux composants conçus spécifiquement pour fournir des fonctionnalités de filtrage ActiveSync aux clients natifs et tiers : Citrix Gateway Connector pour Exchange ActiveSync et Endpoint Management Connector pour Exchange ActiveSync.

Citrix Gateway Connector pour Exchange ActiveSync

Citrix Gateway Connector pour Exchange ActiveSync fournit un filtrage ActiveSync sur le périmètre en utilisant NetScaler comme proxy pour le trafic ActiveSync. Le composant de filtrage se trouve donc sur le chemin du flux de trafic de messagerie, interceptant le courrier à l’entrée ou à la sortie de l’environnement. Citrix Gateway Connector pour Exchange ActiveSync agit comme un intermédiaire entre NetScaler et XenMobile Server. Lorsqu’un appareil communique avec Exchange via le serveur virtuel ActiveSync sur NetScaler, NetScaler envoie un appel HTTP au connecteur pour le service Exchange ActiveSync. Ce service vérifie ensuite l’état de l’appareil auprès de XenMobile. En fonction de l’état de l’appareil, le connecteur pour Exchange ActiveSync répond à NetScaler d’autoriser ou de refuser la connexion. Vous pouvez également configurer des règles statiques pour filtrer l’accès en fonction de l’utilisateur, de l’agent et du type ou de l’ID de l’appareil.

Cette configuration permet aux services Exchange ActiveSync d’être exposés sur Internet avec une couche de sécurité supplémentaire pour empêcher tout accès non autorisé. Les points à prendre en compte pour la conception sont les suivants :

  • Windows Server : le connecteur pour le composant Exchange ActiveSync nécessite un serveur Windows.
  • Ensemble de règles de filtrage : le connecteur pour Exchange ActiveSync est conçu pour le filtrage basé sur l’état et les informations de l’appareil, plutôt que sur les informations de l’utilisateur. Bien que vous puissiez configurer des règles statiques pour filtrer par ID utilisateur, aucune option n’existe pour le filtrage basé sur l’appartenance à un groupe Active Directory, par exemple. Si le filtrage de groupe Active Directory est requis, vous pouvez utiliser Endpoint Management Connector pour Exchange ActiveSync à la place.
  • Évolutivité NetScaler : étant donné que le trafic ActiveSync doit utiliser un proxy via NetScaler, le dimensionnement correct de l’instance NetScaler est essentiel pour prendre en charge la charge de travail supplémentaire de toutes les connexions SSL ActiveSync.
  • Mise en cache intégrée NetScaler : la configuration du connecteur pour Exchange ActiveSync sur NetScaler utilise la fonction de mise en cache intégrée pour mettre en cache les réponses du connecteur pour Exchange ActiveSync. Avec cette configuration, NetScaler n’a pas besoin d’envoyer une demande à Citrix Gateway Connector pour Exchange ActiveSync pour chaque transaction ActiveSync dans une session donnée. Cette configuration est également essentielle pour des performances et une montée en charge adéquates. La mise en cache intégrée est disponible avec NetScaler Platinum Edition ou vous pouvez acquérir la licence séparément pour les éditions Enterprise.
  • Stratégies de filtrage personnalisées : vous devrez peut-être créer des stratégies NetScaler personnalisées pour restreindre certains clients ActiveSync en dehors des clients mobiles natifs standard. Cette configuration nécessite des connaissances sur les requêtes HTTP ActiveSync et la création de stratégies de répondeur NetScaler.
  • Clients Secure Mail : Secure Mail dispose de capacités micro-VPN qui éliminent le besoin de filtrage au niveau du périmètre. Le client Secure Mail est généralement traité comme un client ActiveSync interne (de confiance) lorsqu’il est connecté via NetScaler Gateway. Si la prise en charge de clients natifs et tiers (avec le connecteur pour Exchange ActiveSync) et Secure Mail est requise : Citrix recommande de ne pas acheminer le trafic Secure Mail via le serveur virtuel NetScaler utilisé pour le connecteur pour Exchange ActiveSync. Vous pouvez acheminer ce flux de trafic via DNS et empêcher la stratégie du connecteur pour Exchange ActiveSync d’affecter les clients Secure Mail.

Vous trouverez un diagramme de Citrix Gateway Connector pour Exchange ActiveSync dans un déploiement XenMobile dans la section Architecture de référence pour les déploiements sur site.

Endpoint Management Connector pour Exchange ActiveSync

Endpoint Management Connector pour Exchange ActiveSync est un composant de XenMobile qui fournit un filtrage ActiveSync au niveau du service Exchange. Par conséquent, le filtrage ne se produit qu’une fois que le courrier parvient au service Exchange, et non lorsqu’il entre dans l’environnement XenMobile. Mail Manager utilise PowerShell pour interroger Exchange ActiveSync sur les informations de partenariat d’appareil et contrôler l’accès via des actions de mise en quarantaine des appareils. Ces actions mettent des appareils en quarantaine et les sortent de la quarantaine en fonction des critères de règle d’Endpoint Management Connector pour Exchange ActiveSync. De la même manière que Citrix Gateway Connector pour Exchange ActiveSync, Endpoint Management Connector pour Exchange ActiveSync vérifie l’état de l’appareil auprès de XenMobile pour filtrer l’accès en fonction de la conformité des appareils. Vous pouvez également configurer des règles statiques pour filtrer l’accès en fonction du type ou de l’ID de l’appareil, de la version de l’agent et de l’appartenance à un groupe Active Directory.

Cette solution ne nécessite pas l’utilisation de NetScaler. Vous pouvez déployer Endpoint Management Connector pour Exchange ActiveSync sans modifier le routage du trafix ActiveSync existant. Les points à prendre en compte pour la conception sont les suivants :

  • Windows Server : Endpoint Management Connector pour Exchange ActiveSync nécessite le déploiement de Windows Server.
  • Ensemble de règles de filtrage : tout comme Citrix Gateway Connector pour Exchange ActiveSync, Endpoint Management Connector pour Exchange ActiveSync inclut des règles de filtrage pour évaluer l’état des appareils. En outre, Endpoint Management Connector pour Exchange ActiveSync prend également en charge les règles statiques pour filtrer en fonction de l’appartenance à un groupe Active Directory.
  • Intégration Exchange : Endpoint Management Connector pour Exchange ActiveSync requiert un accès direct au serveur d’accès du client Exchange (CAS) hébergeant le rôle ActiveSync et le contrôle des actions de mise en quarantaine des appareils. Cette exigence pourrait présenter un défi selon l’architecture de l’environnement et les méthodes de sécurité. Il est essentiel d’évaluer cette exigence technique dès le départ.
  • Autres clients ActiveSync : étant donné qu’Endpoint Management Connector pour Exchange ActiveSync filtre au niveau du service ActiveSync, tenez compte des autres clients ActiveSync hors de l’environnement XenMobile. Vous pouvez configurer des règles statiques Endpoint Management Connector pour Exchange ActiveSync pour éviter tout impact involontaire sur d’autres clients ActiveSync.
  • Fonctions Exchange étendues : grâce à l’intégration directe avec Exchange ActiveSync, Endpoint Management Connector pour Exchange ActiveSync permet à XenMobile d’effectuer un effacement Exchange ActiveSync sur un appareil mobile. Endpoint Management Connector pour Exchange ActiveSync permet également à XenMobile d’accéder aux informations sur les appareils Blackberry et d’effectuer d’autres opérations de contrôle.

Vous trouverez un diagramme d’Endpoint Management Connector pour Exchange ActiveSync dans un déploiement XenMobile dans la section Architecture de référence pour les déploiements sur site.

Arbre de décision pour la plateforme de messagerie

La figure suivante vous aide à distinguer les avantages et les inconvénients de l’utilisation de solutions de messagerie natives ou Secure Mail dans votre déploiement XenMobile. Chaque choix permet aux options et aux exigences XenMobile associées d’activer l’accès au serveur, au réseau et à la base de données. Les avantages et inconvénients incluent des détails sur les considérations concernant la sécurité, la stratégie et l’interface utilisateur.

Arbre de décision pour la plateforme de messagerie