Exchange ServerまたはIBM Notes Traveler Serverの統合

Secure MailとMicrosoft ExchangeまたはIBM Notesとの同期を維持するため、Secure Mailを内部ネットワーク内またはNetScaler Gatewayの後ろにあるExchange ServerまたはIBM Notes Travelerサーバーと統合できます。

重要:

Secure MailからのメールをIBM Notes Traveler(旧称:IBM Lotus Notes Traveler)と同期させることはできません。このLotus Notesサードパーティー機能は、現在サポートされていません。そのため、たとえば、応答済の会議メールをSecure Mailから削除しても、このメールはIBM Notes Travelerサーバー上では削除されません。[CXM-47936]

また、次のようにSecure NotesおよびSecure Tasksも同期できます。

  • Secure Notes for iOSをExchange Serverと統合できます。
  • Secure Notes for AndroidおよびSecure Tasks for Androidは、Secure Mail for Androidアカウントを使ってExchangeのメモとタスクを同期します。

重要:

Secure MailからのメールをIBM Notes Traveler(旧称:IBM Lotus Notes Traveler)と同期させることはできません。このLotus Notesサードパーティー機能は、現在サポートされていません。そのため、応答済の会議メールをSecure Mailから削除しても、このメールはIBM Notes Travelerサーバー上では削除されません。[CXM-47936]IBM/Lotus Notesの既知の制限事項については、Citrixブログの投稿を参照してください。

Secure Mail、Secure Notes、およびSecure TasksをEndpoint Management(旧XenMobile)に追加する場合、ExchangeまたはIBM Notesと統合するため次のMDXポリシーを構成します:

  • Secure Mailの場合: Secure Mail Exchange ServerポリシーをExchange ServerまたはIBM Notes Travelerサーバーの完全修飾ドメイン名(FQDN)に設定します。

    Notes Travelerサーバーへの接続を指定するためのSecure Mailの要件は、以下のとおりプラットフォームによって異なります。

    Secure Mail for AndroidおよびSecure Mail for iOSではNotes Traveler Serverをフルパスで指定できます。例:https://mail.example.com/traveler/Microsoft-Server-ActiveSync。(Domino DirectoryにTravelerサーバーのWebサイト置換規則を構成する必要はなくなりました)

  • Secure NotesおよびSecure Tasksの場合: Secure Notes Exchange Server、Secure Notesユーザードメイン、Secure Tasks Exchange Server、およびSecure Tasksユーザードメインのポリシーの値を指定します。

Secure Mail通信フローは以下のMDXポリシーによる影響をうけます。

ネットワークアクセス: ネットワークアクセスポリシーは、ネットワークアクセスを制限するかしないかを指定します。デフォルトでは、Secure Mailのアクセスは内部ネットワークにトンネルされ、ネットワークアクセスに制限はありません。アプリケーションは無制限にデバイスが接続されるネットワークにアクセスします。次に述べるように、ネットワークアクセスポリシーはバックグラウンドネットワークサービスポリシーと相互に作用します。

バックグラウンドネットワークサービス: バックグラウンドネットワークサービスポリシーは、バックグラウンドネットワークアクセスに対して許可されるサービスアドレスを指定します。サービスアドレスはmail.example.com:443など、内部ネットワークまたはSecure Mailが接続するそのほかのネットワークのいずれかにあるExchange ServerまたはActiveSyncサーバーのものである可能性があります。

バックグラウンドネットワークサービスポリシーを構成する場合、ネットワークアクセスポリシーも [内部ネットワークへトンネル] に設定します。バックグラウンドネットワークサービスポリシーは、ネットワークアクセスポリシーを構成した時に適用されます。

バックグラウンドネットワークサービスゲートウェイ: バックグラウンドネットワークサービスゲートウェイポリシーは、内部Exchange Serverに接続するためにSecure Mailが使用するNetScaler Gatewayを指定します。代替ゲートウェイアドレスを指定する場合、ネットワークアクセスポリシーを [内部ネットワークへトンネル] に設定します。バックグラウンドネットワークサービスゲートウェイポリシーは、ネットワークアクセスポリシーを構成した時に適用されます。

バックグラウンドサービスチケットの有効期間: バックグラウンドサービスチケットの有効期間ポリシーは、バックグラウンドネットワークサービスチケットが有効な状態で維持される期間を指定します。NetScaler Gatewayを介してSecure MailがActiveSyncを実行するExchange Serverに接続する場合、Endpoint Managementは内部Exchange Serverへの接続にSecure Mailが使用するトークンを発行します。この設定により、認証のために新しいトークンおよびExchange Serverへの接続を要求することなくSecure Mailがトークンを使用できる期間が決まります。有効期限が切れた場合は、ユーザーは再度ログオンして新しいトークンを生成する必要があります。デフォルト値は168時間(7日間)です。

以下の図は、メールサーバーに対するSecure Mail接続の種類を示しています。それ以降の各図は、関連のポリシー設定の一覧です。

メールサーバーへのSecure Mail接続のイメージ

メールサーバーに対する直接接続のポリシー:

  • ネットワークアクセス: 制限なし
  • バックグラウンドネットワークサービス:空白
  • バックグラウンドサービスチケットの有効期間: 168
  • バックグラウンドネットワークサービスゲートウェイ:空白

マイクロVPNを使用したSecure Mailのイメージ

メールサーバーに対する直接接続のポリシー:

  • ネットワークアクセス: 内部ネットワークへトンネル
  • バックグラウンドネットワークサービス:空白
  • バックグラウンドサービスチケットの有効期間: 168
  • バックグラウンドネットワークサービスゲートウェイ:空白

STAを使用したSecure Mailのイメージ

メールサーバーに対するSTAアクセスのポリシー

  • ネットワークアクセス:内部ネットワークへトンネル
  • バックグラウンド ネットワーク サービス:mail.example.com:443
  • バックグラウンド サービス チケットの有効期間:168
  • バックグラウンド ネットワーク サービス ゲートウェイ:gateway3.example.com:443

次の図は、これらのポリシーが適用された場合を示しています。

ポリシーとその適用先のイメージ

Secure Mail用のIBM Notes Traveler Serverの構成

IBM Notes環境では、Secure Mailを展開する前にIBM Notes Travelerサーバーを構成する必要があります。このセクションでは、この構成の環境図およびシステム要件について説明します。

重要:

Notes TravelerサーバーがSSL 3.0を使用する場合、SSL 3.0にはPadding Oracle On Downgraded Legacy Encryption(POODLE)攻撃と呼ばれる脆弱性があることに注意してください。これはSSL 3.0を使用するサーバーに接続するいずれのアプリケーションにも影響があるman-in-the-middle攻撃です。POODLE攻撃によってもたらされる脆弱性に対処するために、Secure MailはデフォルトでSSL 3.0接続を無効にし、サーバーへの接続にはTLS 1.0を使用します。これにより、Secure MailはSSL 3.0を使用するNotes Traveler Serverには接続できません。推奨される回避策については、「Exchange ServerまたはIBM Notes Traveler Serverの統合」の「SSL/TLSのセキュリティレベルの構成」セクションを参照してください。

IBM Notes環境では、Secure Mailを展開する前にIBM Notes Travelerサーバーを構成する必要があります。

以下の図は、サンプルの展開環境におけるIBM Notes TravelerサーバーとIBM Dominoメールサーバーのネットワーク配置を示しています。

IBM Notes TravelerサーバーとXenMobileを使用したIBM Dominoメールサーバー展開のイメージ

システム要件

インフラストラクチャサーバーの要件

  • IBM Domino Mail Server 9.0.1
  • IBM Notes Traveler 9.0.1

認証プロトコル

  • Dominoデータベース
  • Lotus Notes認証プロトコル
  • Lightweight Directory認証プロトコル

ポート要件

  • Exchange:デフォルトのSSLポートは443です。
  • IBM Notes:SSLはポート443でサポートされます。デフォルトで、非SSLはポート80でサポートされます。

SSL/TLSのセキュリティレベルの構成

前の「重要」の注に記載のとおり、POODLE攻撃によりもたらされる脆弱性に対処するため、CitrixはSecure Mailに対して修正を加えました。したがって、Notes TravelerサーバーでSSL 3.0を使用している場合は、接続を有効にするために推奨される回避策は、IBM Notes Traveler 9.0のサーバーでTLS 1.2を使用することです。

IBMは、Notes Travelerのセキュアなサーバーツーサーバー通信におけるSSL 3.0の使用を防ぐパッチを用意しています。2014年11月にリリースされたパッチには、以下のNotes Travelerサーバーのバージョンに対する臨時の修正更新プログラムが含まれています:9.0.1 IF7、9.0.0.1 IF8、および8.5.3 Upgrade Pack 2 IF8(および以降のすべてのリリースに含まれます)。パッチについて詳しくは、「LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION」を参照してください。

代替の回避策として、Secure MailをEndpoint Managementに追加するときに接続のセキュリティレベルポリシーを[SSLv3 and TLS] に変更します。この問題についての最新の情報は、「SSLv3 Connections Disabled by Default on Secure Mail 10.0.3」を参照してください。

以下の表に、Secure Mailでサポートされるプロトコルを、Connection security levelポリシーの値に基づいてオペレーティングシステム別に示します。メールサーバーでプロトコルをネゴシエートできる必要もあります。

以下の表に、接続セキュリティレベルがSSLv3およびTLSの場合にSecure Mailでサポートされるプロトコルを示します。

オペレーティングシステムの種類 SSLv3 TLS
iOS 9より前 サポート サポート
iOS 9以降 未サポート サポート
Android Mより前 サポート サポート
Android MおよびAndroid N サポート サポート
Android O 未サポート サポート

以下の表に、接続セキュリティレベルがTLSの場合にSecure Mailでサポートされるプロトコルを示します。

オペレーティングシステムの種類 SSLv3 TLS
iOS 9より前 未サポート サポート
iOS 9以降 未サポート サポート
Android Mより前 未サポート サポート
Android MおよびAndroid N 未サポート サポート
Android O 未サポート サポート

Notes Traveler Serverの構成

次の情報は、IBM Domino Administratorの構成ページに対応しています。

  • セキュリティ: インターネット認証は、[Fewer name variations with higher security]に設定されています。この設定は、[UID]をLDAP認証プロトコルの[AD User ID]にマップするために使われます。
  • NOTES.INI設定: NTS_AS_ENFORCE_POLICY=falseを追加します。これにより、Secure MailポリシーをTravelerではなくEndpoint Managementで管理できます。この設定は、現在の展開と競合を引き起こす可能性がありますが、Endpoint Management展開でのデバイスの管理が簡略化されます。
  • 同期プロトコル: 現時点で、IBM Notesおよびモバイルデバイスの同期に関して、SyncMLはSecure Mailのサポート対象外です。Secure Mailでは、Traverlerサーバーに組み込まれたMicrosoft ActiveSyncプロトコルによりメール、カレンダー、および連絡先の情報が同期されます。SyncMLがプライマリプロトコルとして強制される場合、Secure MailをTravelerインフラストラクチャを介して接続し直すことはできません。
  • Dominoディレクトリ構成 - Webインターネットサイト: /travelerに対するセッション認証をオーバーライドして、フォームベースの認証を無効にします。

Exchange ServerまたはIBM Notes Traveler Serverの統合