Secure Mailのプッシュ通知

Secure Mail for iOSおよびSecure Mail for Androidでは、アプリがバックグラウンドで実行中、または終了しても、メールおよびカレンダーのアクティビティに関する通知を受け取ることができます。Secure Mail for iOSは、Apple Push Notification service(APNs)によるリモートプッシュ通知をサポートします。Secure Mail for Androidは、Firebase Cloud Messaging Service(FCM)による通知をサポートします。

プッシュ通知の動作

iOSおよびAndroidにプッシュ通知を提供するため、Amazon Web Services(AWS)のリスナーサービスがCitrixでホストされ、次の機能が実行できるようになります。

  • 受信トレイにアクティビティがある場合にExchange Serverにより送信されたExchange Web Services(EWS)プッシュ通知をリスンします。ExchangeはメールコンテンツをCitrixサービスに送信しません。

    Citrixサービスは、個人を識別可能な情報を保存しません。代わりに、デバイストークンおよびサブスクリプションIDにより特定のデバイスおよび受信トレイのフォルダーが識別され、Secure Mail内で更新されます。

  • iOSデバイス上のSecure Mailにバッジ数のみを含むAPNs通知を送信します。

  • Androidデバイス上のSecure MailにFCM通知を送信します。

Citrixリスナーサービスは、ユーザーデバイスとExchange Server間でActiveSyncを介して引き続きフローするメールデータトラフィックには影響を与えません。高可用性および障害復旧用に構成されるリスナーサービスは、次の3つの地域で利用できます。

  • 南北アメリカ
  • ヨーロッパおよび中近東およびアフリカ(EMEA)
  • アジア太平洋(APAC)

プッシュ通知のシステム要件

Citrix Gateway構成にSecure Ticket Authority(STA)が含まれていて分割トンネリングがオフの場合、Citrix Gatewayは(Secure Mailからトンネル処理される場合は)次のCitrixリスナーサービスURLへのトラフィックを許可する必要があります。

リージョン URL IPアドレス
南北アメリカ https://us-east-1.pushreg.xm.citrix.com 52.7.65.6; 52.7.147.0
EMEA(欧州、中東、アフリカ) https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233; 54.154.204.192
アジア太平洋 https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173; 52.74.25.245

プッシュ通知のためのSecure Mailの設定

アプリストア配信用のSecure MailでAppleプッシュ通知またはFCMをセットアップするには、Endpoint Managementコンソールでプッシュ通知を [オン] に設定してからリージョンを選択します。次の図は、iOSでの設定です。

Endpoint Managementにおけるプッシュ通知設定のイメージ

次の図は、iOSと同様のAndroidのプッシュ通知設定です。さらに、EWSがメールサーバーとは異なるリージョンでホストされている場合、[EWSホスト名] 設定に入力します。デフォルト値は空です。設定を空のままにすると、Endpoint Managementはメールサーバーのホスト名を使用します。

Endpoint ManagementにおけるAndroidのプッシュ通知設定のイメージ

ExchangeとCitrix ADCがトラフィックをリスナーサービスにフローできるように設定します。

Exchange Server構成

ファイアウォールからExchange ServerがあるリージョンのCitrixリスナーサービスURLにSSLを送信できます(ポート443)。例:

リージョン URL IPアドレス
南北アメリカ https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176; 52.4.180.132
EMEA(欧州、中東、アフリカ) https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172; 52.17.147.220
アジア太平洋 https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240; 54.169.87.20

Exchange Web Services(EWS)とCitrixリスナーデバイスの間にプロキシサーバーがある場合は、次のうちいずれか選択できます。

  • EWSトラフィックをプロキシ経由でリスナーデバイスに送信する。
  • プロキシをバイパスしてEWSトラフィックをリスナーデバイスに直接ルーティングする。

EWSトラフィックをプロキシサーバー経由で送信するには、ClientAccess\exchweb\ewsフォルダーのEWS web.configファイルを次のように構成します。

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>

プロキシの構成について詳しくは、「プロキシ構成」を参照してください。

Exchange 2013環境では、system.netセクションをweb.configファイルに手動で追加する必要があります。追加しない場合、ここで説明した構成を使用します。トラブルシューティングに関しては、Exchangeの管理担当者にお問い合わせください。

プロキシサーバーをバイパスするには、バイパスの一覧を構成してExchangeがCitrixリスナーサービスに接続できるようにします。

Secure Hubが証明書ベースの認証で登録されている場合、Exchange Serverも証明書ベースの認証用に構成する必要があります。詳しくは、「Endpoint Managementの高度な設定」の記事を参照してください。

Citrix Gateway構成

Exchange Serverはリスナーサービスへのトラフィックを許可する必要がありますが、Citrix ADCは登録サービスへのトラフィックを許可する必要があります。これによってデバイスが接続してプッシュ通知を登録できます。

EWSおよびActiveSyncサーバーが異なる場合、Citrix ADCトラフィックポリシーを構成してEWSトラフィックを許可します。Citrix Endpoint ManagementとCitrix Gatewayの統合について詳しくは、「Citrix GatewayおよびCitrix ADCとの統合」を参照してください。

トラブルシューティング

発信接続をトラブルシューティングするには、Exchangeのイベントログをチェックします。これには、サブスクリプション要求またはサブスクリプションの通知が無効あるいはエラーだった時のログエントリが含まれています。また、Exchange ServerでWiresharkトレースを実行して、Citrixリスナーサービスへの発信トラフィックを追跡できます。

Secure Mailのプッシュ通知に関するよくある質問

Androidは、どのタイミングでSecure Mailに通知を配信しますか

Androidでは、常に通知がSecure Mailに配信されます。

FCMはロック画面でのメール通知の表示にどのような影響を与えますか

デバイスのロック画面に表示される新しいメールの通知は、Secure Mailがデバイスに同期したデータに基づいて生成されます。この情報は、リスナーサービスによるものではないことにご注意ください。

新しいメール通知を表示するには、Secure Mailは、Exchangeからのデータを同期する必要があります。これによって、Secure Mailが通知を作成するための情報を使用できます。

新しいメールを受信すると、「新しいメッセージがあります」 というFCM通知が表示されます。メールの同期がバックグラウンドで完了すると、Secure Mailに新しいメールが表示されます。

APNsはロック画面でのメール通知の表示にどのような影響を与えますか

デバイスのロック画面に表示される新しいメールの通知は、Secure Mailがデバイスに同期したデータに基づいて生成されます。この情報は、リスナーサービスによるものではないことにご注意ください。

新しいメール通知を表示するには、Secure Mailは、Exchangeからのデータを同期する必要があります。これによって、Secure Mailが通知を作成するための情報を使用できます。

バックグラウンドで、APNs通知がSecure Mailに配信されない場合、Secure Mailは通知を検出せず、新しいデータと同期しません。Secure Mailで使用できる新しいデータがないため、APNs通知が配信されない場合、デバイスのロック画面でメール通知が生成されません。

[Appのバックグラウンド更新]は、Secure MailおよびAPNsにどのような影響を与えますか

ユーザーが、[Appのバックグラウンド更新]をオフにすると、以下のような状況になります:

  • Secure Mailがバックグラウンドアプリの場合、Secure Mailは通知を受信しない。

    注:

    この状況は、リッチプッシュ通知が無効になっている場合にのみ発生します。リッチプッシュ通知の構成について詳しくは、「Secure Mail for iOSのリッチプッシュ通知」を参照してください。

  • Secure Mailは、ロック画面で新しいメールの通知を表示しない。

[Appのバックグラウンド更新]を無効にすると、Secure Mailの動作に大幅に影響を及ぼします。前述のとおり、APNsに基づくバッジは依然として更新されますが、メールはこのモードのデバイスと同期しません。

省電力モードにすると、Secure MailおよびAPNsはどのような影響を受けますか

[Appのバックグラウンド更新]が無効な場合、Secure Mailに関連したシステムは、省電力モードのときと同様の動作をします。省電力モードでは、デバイスは定期的な更新のためにアプリを起動したり、バックグラウンドでアプリに通知を配信したりしません。そのため、前述の「Appのバックグラウンド更新」部分に記載されている場合と同様の影響があります。省電力モードでは、システムはAPNs通知に基づいてアプリのバッジを表示し続けます。

FCMによる同期がバックグラウンドで失敗するのは、どのような問題によるものですか

以下を含むさまざまな問題によって、FCMによる同期の要求が失敗します:

  • 無効なSTAチケット。
  • Secure MailがDozeモードで起動すると、アプリがサーバーのすべてのデータと同期するのに30秒かかります。

上のいずれかの状況が発生した場合、Secure Mailはデータを同期できません。その結果、通知がロック画面に表示されないことがあります。

APNsによる同期がバックグラウンドで失敗するのは、どのような問題によるものですか

以下を含むさまざまな問題によって、APNsによる同期の要求が失敗します:

  • 無効なSTAチケット。
  • 遅いネットワーク接続。Secure Mailがバックグラウンドで起動すると、アプリがサーバーのすべてのデータと同期するのに30秒かかります。
  • データ保護ポリシーが有効で、APNs通知によってSecure Mailが起動される場合、デバイスがロックされるとSecure Mailはデータストアにアクセスできず、同期も発生しない。これは、システムが、Secure Mailをコールドスタート(再起動)しようとする場合のみです。ユーザーがデバイスのロック解除後に既にSecure Mailを起動している場合、デバイスがロックされていてもAPNsによる同期は成功します。

上記のいずれかの状況が発生すると、Secure Mailはデータを同期して、ロック画面に通知を表示することはできません。

通知が配信されない、またはAPNsが使用されていない場合、Secure Mailがロック画面に通知を表示するにはどうすればよいですか

APNsが無効な場合でも、iOSの[Appのバックグラウンド更新]が有効で、省電力モードがオフになっている場合、Secure Mailは定期的な[Appのバックグラウンド更新]イベントによって起動されます。

起動イベント中、Secure MailはExchange Serverの新しいメールと同期します。この新しいメールを使用して、ロック画面でメール通知を生成できます。そのため、APNs通知が配信されない、またはAPNsが無効な場合でも、Secure Mailはバックグラウンドでデータを同期できます。

APNsを使用中で、APNs通知がSecure Mailに配信される場合に比べると、リアルタイムで通知されないことが多くなることにご注意ください。iOSがAPNs通知をSecure Mailにルーティングすると、アプリは即座にサーバーのデータと同期して、ロック画面の通知がリアルタイムで表示されます。

[Appのバックグラウンド更新]による起動が必要なイベントでは、ロック画面の通知はリアルタイムで発生しません。この場合、iOSの判断する頻度のみでSecure Mailが起動されます。そのため、次の2つの状況の間に間隔が空くことがあります:

  • Exchangeのユーザーの受信トレイにメールが届いた時間。
  • Secure Mailがそのメッセージを同期し、ロック画面通知を生成する時間。

また、APNsが使用中であっても、Secure Mailがこのような定期的な起動を受信することにご注意ください。[Appのバックグラウンド更新]がSecure Mailを起動するあらゆる状況で、Secure MailはExchangeのデータと同期しようとします。

Secure Mailとロック画面にコンテンツを表示する他のアプリとの違いはどのようなものですか

混乱しやすい重要な違いは、Secure Mailではロック画面に新しいメールがリアルタイムに表示されるとは限らないことです。この動作は、Gmail、Microsoft Outlook、およびその他のアプリとは異なります。この違いの主な理由は、セキュリティによるものです。他のアプリの動作に合わせる場合、Citrixリスナーサービスには、Exchangeで認証するためのユーザー資格情報が必要です。この資格情報は、メールコンテンツを取得するために必要です。また、このメールコンテンツをCitrixリスナーサービス経由でApple APNsサービスに渡す場合にも必要です。APNs通知に対するシトリックスのアプローチでは、Citrixリスナーサービスがユーザーのパスワードを取得して保存する必要はありません。リスナーサービスは、ユーザーのメールボックスやパスワードにアクセスすることはありません。

一方、ネイティブのiOSメールアプリでは、メールサーバーへの一貫した接続を維持し、通知が常に配信されるようにします。ネイティブのメールアプリではないサードパーティ製のアプリでは、この機能は許可されません。

Gmailアプリの動作: Googleは、GmailアプリおよびGmailサーバーの両方を所有し、制御します。このため、Googleはメッセージの内容を読み取り、APNs通知ペイロードにメッセージの内容を含めることができます。iOSはGmailからこのAPNs通知を受信すると、以下を実行します:

  • 通知ペイロードで指定された値にアプリケーションバッジを設定します。
  • 通知ペイロードに含まれるメッセージの内容を使用して、ロック画面の通知を表示します。

これは、重要な違いです。ペイロードに含まれるデータに基づいてロック画面に通知を表示するのは、iOSであってGmailアプリではありません。実際、通知を受信した場合、iOSはGmailアプリを起動しません。これは、iOSがSecure Mailを起動しないのと同様です。しかし、メッセージスニペット(冒頭部分)を含むペイロードによって、iOSはデバイスにメールデータを同期せずにロック画面の通知を表示できます。

Secure Mailの場合は違います。ロック画面に通知を表示するには、Secure Mailでは最初にExchangeからのメッセージデータを同期する必要があります。

Outlook for iOSアプリの動作: MicrosoftはOutlook for iOSを制御します。しかし、データを取得するExchange Serverを制御するのは、ユーザーが所属する組織です。こうしたセットアップにもかかわらず、OutlookはMicrosoftがAPNs通知で提供するデータに基づいて、ロック画面の通知を表示できます。これは、Outlook for iOSが、Microsoftによるユーザー資格情報を保存するモデルを利用するためです。次に、Microsoftは、クラウドサービスから直接ユーザーのメールボックスにアクセスし、新しいメールを確認します。

新しいメールがあれば、Microsoftクラウドサービスは、新しいメールデータを含むAPNs通知を生成します。このモデルは、Gmailモデルと同じ方法で動作します。Gmailモデルでは、iOSは単純にデータを取得してデータに基づいてロック画面の通知を生成します。Outlook iOSアプリは、このプロセスに関係していません。

Outlook for iOSの重要なセキュリティメモ: Outlook for iOSアプローチには、明確にセキュリティ上の影響があります。組織は、ユーザーのパスワードでMicrosoftを信頼する必要があります。この信頼により、Microsoftはユーザーのメールボックスにアクセスできるようになり、セキュリティ上のリスクが発生します。

プッシュ通知の管理者に関連したよくある質問については、Support Knowledge Centerのこの記事を参照してください。ユーザー向けのよくある質問については、Support Knowledge Centerのこの記事を参照してください。

Secure Mailのプッシュ通知