メール戦略

モバイルデバイスからメールに安全にアクセスできるようにすることは、組織のモビリティ管理の取り組みを推進するうえで主要な要因の1つです。適切なメール戦略を決定することは、Endpoint Management設計の鍵となる要素です。Endpoint Managementでは、セキュリティ、ユーザーエクスペリエンス、および統合の要件に基づいて、さまざまなユースケースに対応するためのオプションを提供しています。この記事では、クライアントの選択からメールのトラフィックフローまで、最適なソリューションを選択するための典型的な設計決定プロセスと考慮事項について説明します。

メールクライアントの選択

通常、クライアントの選択は、メール戦略の設計全体において最初に実行すべき項目です。Citrix Secure Mail、特定のモバイルプラットフォームのオペレーティングシステムに含まれるネイティブメール、またはパブリックアプリストアを通じて利用できる他のサードパーティクライアントから選択できます。必要に応じて、単一の(標準)クライアントを使用したり、クライアントの組み合わせを使用したりして、ユーザーコミュニティをサポートできます。

次の表に、使用可能なさまざまなクライアントオプションで設計上考慮すべき事項を示します。

       
トピック Secure Mail ネイティブ(iOS Mailなど) サードパーティのメール(TouchDownなど)
Minimum Endpoint Management Edition 詳細設定 MDM MDM
構成 MDXポリシーによって構成されたExchangeアカウントプロファイル。 MDMポリシーによって構成されたExchangeアカウントプロファイル。Androidのサポートは次に限定されます:SAFE/KNOX、HTC、およびAndroid Enterprise。他のすべてのクライアントはサードパーティのクライアントと見なされます。 一般に、ユーザーが手動で構成する必要があります。TouchDownのみ、MDMポリシーを介したExchangeアカウントプロファイルの構成。
セキュリティ これ自体がセキュアに設計されており、最高のセキュリティを提供します。データ暗号化レベルが強化されたMDXポリシーを使用します。Secure Mailは、MDXポリシーによって完全に管理されているアプリです。Citrix PINにより、認証が強化されています。 ベンダーおよびアプリの機能セットに基づきます。より高いセキュリティを提供します。デバイスの暗号化設定を使用します(MDXポリシーによるセキュリティなし)。アプリへのアクセスでデバイスレベルの認証に依存します。 ベンダーおよびアプリの機能セットに基づきます。高いセキュリティを提供します。
統合 デフォルトで管理対象(MDX)アプリの操作を許可します。Citrix Secure WebでWeb URLを開きます。Citrix Filesにファイルを保存し、Citrix Filesからファイルを添付します。GoToMeetingへの直接参加およびダイヤルイン。 デフォルトでは、他の非管理対象(非MDX)アプリのみ操作できます。 デフォルトでは、他の非管理対象(非MDX)アプリのみ操作できます。
展開/ライセンス MDMを通じて、パブリックアプリストアから直接Secure Mailをプッシュできます。Endpoint ManagementのAdvancedおよびEnterprise Editionのライセンスに含まれています。 クライアントアプリは、プラットフォームのオペレーティングシステムに含まれています。追加のライセンス要件はありません。 エンタープライズアプリとしてMDM経由で、またはパブリックアプリストアから直接、プッシュできます。アプリベンダーに基づき、関連ライセンスモデル/コスト。
サポート クライアントおよびEMMソリューションを提供する単一ベンダーのサポート(Citrix)。Secure Hub/アプリのデバッグログ機能にサポートの連絡先情報が埋め込まれています。サポートするクライアントは1つです。 ベンダーによって定義されたサポート(Apple/Google)。デバイスのプラットフォームに基づいて異なるクライアントをサポートする必要がある場合があります。 ベンダーによって定義されたサポート。サードパーティのクライアントがすべての管理対象デバイスプラットフォームでサポートされていることを前提に、1つのクライアントをサポートします。

メールのトラフィックフローとフィルタリングに関する考慮事項

ここでは、Endpoint Managementのコンテキストでのメール(ActiveSync)のトラフィックフローに関する3つの主要なシナリオと設計上の考慮事項について説明します。

シナリオ1:インターネットに接続されたExchange

外部クライアントをサポートする環境では、通常、Exchange ActiveSyncサービスがインターネットに接続されています。モバイルのActiveSyncクライアントは、この外部に対するパスを通じて、リバースプロキシ(Citrix Gatewayなど)またはエッジサーバーを介して接続します。このオプションは、ネイティブまたはサードパーティのメールクライアントを使用する場合に必要です。このため、このシナリオではこれらのクライアントが一般的な選択になります。また、一般的な方法ではありませんが、このシナリオでSecure Mailクライアントを使用することもできます。これにより、MDXポリシーの使用とアプリの管理によって提供されるセキュリティ機能のメリットが得られます。

シナリオ2:Citrix Gateway経由のトンネリング(Micro VPNおよびSTA)

Secure MailのMicro VPN機能により、Secure Mailクライアントを使用する場合はこのシナリオがデフォルトになります。In this case, the Secure Mail client establishes a secure connection to ActiveSync via Citrix Gateway. 本質的に、Secure Mailは、内部ネットワークからActiveSyncに直接接続するクライアントと考えることができます。通常Citrixのお客様は、最適なモバイルActiveSyncクライアントとしてSecure Mailを標準に決定します。この決定は、1つ目のシナリオで説明したように、インターネットに接続されたExchange Server上で、ActiveSyncサービスがインターネットに接続されないようにする取り組みの一部です。

管理対象(MDXでラップされた)アプリのみがMicro VPN機能を使用できます。したがって、このシナリオはネイティブクライアントには適用されません。MDX Toolkitを使用してサードパーティのクライアントをラップすることは可能ですが、この方法は一般的ではありません。ネイティブまたはサードパーティのクライアントにトンネルを介したアクセスを許可するためにデバイスレベルのVPNクライアントを使用することは煩雑であり、実行可能なソリューションではないことが実証されています。

シナリオ3:クラウドでホストされたExchangeサービス

クラウドでホストされたExchangeサービス(Microsoft Office 365など)の普及が進んでいます。ActiveSyncサービスもインターネットに接続しているため、Endpoint Managementのコンテキストでは、このシナリオは1つ目のシナリオと同じように扱うことができます。この場合、クラウドサービスプロバイダーの要件によってクライアントの選択が決まります。一般的にこの選択には、Secure Mailや他のネイティブクライアントまたはサードパーティクライアントなど、ほとんどのActiveSyncクライアントのサポートが含まれます。

このシナリオでは、Endpoint Managementは次の3つの領域で価値を付加できます:

  • MDXポリシーによるクライアントのラッピングとSecure Mailによるアプリの管理
  • サポートされているクライアント(TouchDownなどのネイティブ)でのMDMポリシーを使用したクライアント構成
  • Endpoint Managementコネクタ:Exchange ActiveSync用を使用したActiveSyncのフィルターオプション

メールトラフィックのフィルタリングに関する考慮事項

インターネットに接続している大半のサービスと同様に、パスを保護し、承認されたアクセスに対してフィルターを提供する必要があります。Endpoint Managementソリューションには、ネイティブクライアントとサードパーティクライアントにActiveSyncのフィルタリング機能を提供するために特別に設計された2つのコンポーネント:Citrix Gatewayコネクタ:Exchange ActiveSync用、Endpoint Managementコネクタ:Exchange ActiveSync用。

Citrix Gatewayコネクタ:Exchange ActiveSync用

Citrix Gatewayコネクタ:Exchange ActiveSync用は、ActiveSyncトラフィックのプロキシとしてCitrix Gatewayを使用して、境界でActiveSyncフィルタリングを提供します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りする時にインターセプトします。Exchange ActiveSync用コネクタは、Citrix GatewayとEndpoint Managemen間の中継点として機能します。デバイスがCitrix Gateway上のActiveSync仮想サーバーを介してExchangeと通信する場合、Citrix GatewayはExchange ActiveSyncサービス用コネクタに対してHTTPコールアウトを実行します。このサービスは、Endpoint Managementを使用してデバイスの状態を確認します。Exchange ActiveSync用コネクタはCitrix Gatewayに応答し、デバイスの状態に基づいて接続を許可または拒否します。また、ユーザー、エージェント、デバイスの種類やIDに基づいてアクセスをフィルターするように静的規則を構成することもできます。

この設定では、不正なアクセスを防ぐためにセキュリティレイヤーを追加して、Exchange ActiveSyncサービスのインターネットへの接続を許可します。設計上の考慮事項は次のとおりです:

  • Windows Server:Exchange ActiveSync用コネクタコンポーネントにはWindows Serverが必要です。
  • フィルター規則のセット:Exchange ActiveSync用コネクタは、ユーザー情報ではなくデバイスの状態と情報に基づいてフィルターするように設計されています。ユーザーIDでフィルターするように静的規則を構成することもできますが、たとえばActive Directoryグループのメンバーシップに基づいてフィルターするオプションはありません。Active Directoryグループのフィルターが必要な場合は、代わりにEndpoint Managementコネクタ:Exchange ActiveSync用を使用できます。
  • Citrix Gatewayのスケーラビリティ:Citrix Gatewayを介したActiveSyncトラフィックのプロキシ要件を考慮すると、すべてのActiveSync SSL接続によって追加されたワークロードをサポートするには、Citrix Gatewayインスタンスの適切なサイズ設定が不可欠です。
  • Citrix Gateway統合キャッシュ:Citrix Gateway上のExchange ActiveSync 用コネクタの構成では、統合キャッシュ機能を使用してコネクタからの応答をキャッシュします。この構成により、Citrix Gatewayでは、特定のセッション内のすべてのActiveSyncトランザクションに対してコネクタに要求を発行する必要がありません。適切なパフォーマンスとスケーラビリティを実現するにはこの構成も不可欠です。統合キャッシュは、Citrix Gateway Platinum Editionで利用できます。
  • カスタムのフィルターポリシー:カスタムのCitrix Gatewayポリシーを作成して、特定のActiveSyncクライアントを標準のネイティブモバイルクライアント以外に制限する必要がある場合があります。この構成では、ActiveSync HTTP要求とCitrix Gatewayのレスポンダーポリシーの作成に関する知識が必要です。
  • Secure Mailクライアント:Secure MailにはMicro VPN機能があるため、境界でのフィルターが不要になります。一般に、Secure Mailクライアントは、Citrix Gatewayを介して接続されている場合、内部の(信頼できる)ActiveSyncクライアントとして扱われます。ネイティブおよびサードパーティクライアント(Exchange ActiveSync用コネクタを使用)、およびSecure Mailクライアントのサポートが必要な場合:Secure Mailのトラフィックが、コネクタで使用されるCitrix Gateway仮想サーバー経由でフローしないようにすることをお勧めします。これを実行するには、トラフィックがDNS経由でフローし、コネクタポリシーがSecure Mailクライアントに影響を与えないようにします。

Endpoint Management展開のCitrix Gatewayコネクタ:Exchange ActiveSync用の図については、「アーキテクチャ」を参照してください。

Endpoint Managementコネクタ:Exchange ActiveSync用

Endpoint Managementコネクタ:Exchange ActiveSync用は、ExchangeサービスレベルでActiveSyncフィルタを提供するEndpoint Managementコンポーネントです。つまり、メールがEndpoint Management環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。Mail Managerは、PowerShellを使用してExchange ActiveSyncにデバイスパートナーシップ情報のクエリを実行し、デバイスの隔離操作を通じてアクセスを制御します。これらの操作では、Endpoint Managementコネクタ:Exchange ActiveSync用の規則条件に基づいて、デバイスを隔離に出し入れします。

Citrix Gatewayコネクタ:Exchange ActiveSync用と同様に、Exchange ActiveSync用コネクタではEndpoint Managementを使用してデバイスの状態を確認し、デバイスのコンプライアンスに基づいてアクセスをフィルターします。また、デバイスの種類やID、エージェントのバージョン、Active Directoryグループのメンバーシップに基づいてアクセスをフィルターするように静的規則を構成することもできます。

このソリューションでは、Citrix Gatewayを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、Exchange ActiveSync用コネクタを展開できます。設計上の考慮事項は次のとおりです:

  • Windows Server:Exchange ActiveSync用コネクタにはWindows Serverの展開が必要です。
  • フィルター規則のセット:Citrix Gatewayコネクタ:Exchange ActiveSync用と同様に、Exchange ActiveSync用コネクタには、デバイスの状態を評価するためのフィルター規則が含まれています。さらに、Exchange ActiveSync用コネクタは、Active Directoryグループのメンバーシップに基づいてフィルターする静的規則をサポートしています。
  • Exchangeの統合:Exchange ActiveSync用コネクタでは、ActiveSyncの役割をホストしているExchangeクライアントアクセスサーバー(CAS)に直接アクセスし、デバイスの隔離操作を制御する必要があります。環境アーキテクチャとセキュリティ状況によっては、この要件により課題がもたらされる可能性があります。この技術要件を前もって評価することが重要です。
  • 他のActiveSyncクライアント:Exchange ActiveSync用コネクタはActiveSyncサービスレベルでフィルターするため、Endpoint Management環境外の他のActiveSyncクライアントについて考慮します。Exchange ActiveSync用コネクタの静的規則を構成して、他のActiveSyncクライアントへの意図しない影響を防ぐことができます。
  • 拡張されたExchange機能:Exchange ActiveSyncとの直接統合により、Exchange ActiveSync用コネクタは、モバイルデバイス上でExchange ActiveSyncのワイプを実行する機能をEndpoint Managementに提供します。またExchange ActiveSync用コネクタでは、Endpoint ManagementがBlackberryデバイスに関する情報にアクセスしたり、その他の制御操作を実行することを許可します。

Endpoint Management展開のEndpoint Management コネクタ: Exchange ActiveSync 用の図については、「アーキテクチャ」を参照してください。

電子メールプラットフォーム決定木

次の図は、Endpoint Managementの展開でネイティブメールまたはSecure Mailのソリューションを使用する場合のメリットとデメリットを理解するのに役立ちます。選択ごとに、サーバー、ネットワーク、およびデータベースにアクセスするためのEndpoint Managementの関連オプションと要件がまとめられています。メリットとデメリットには、セキュリティ、ポリシー、およびユーザーインターフェイスの考慮事項に関する詳細が含まれています。

電子メールプラットフォーム決定木の図