Secure Mailのプッシュ通知

Secure Mail for iOSおよびSecure Mail for Androidでは、アプリがバックグラウンドで実行中、または終了しても、メールおよびカレンダーのアクティビティに関する通知を受け取ることができます。Secure Mail for iOSは、[Appのバックグラウンド更新]による通知、またはApple Push Notification service(APNs)によるプッシュ通知をサポートします。Secure Mail for Androidは、Firebase Cloud Messaging Service(FCM)による通知をサポートします。

プッシュ通知の動作

Secure Mailは次の受信トレイでのアクティビティについて、プッシュ通知を送信します。

  • 新しいメール、会議要求、会議キャンセル、会議更新: APNsにより受信ボックスに通知がプッシュされると、Secure Mailによりカレンダーを含むすべてのフォルダーが更新されます。これにより、会議の変更がユーザーのカレンダーに直ちに反映されます。

  • iOSの場合、メールの状態を既読から未読に、または未読から既読に変更。Secure Mailアイコンは、Exchangeの受信トレイのフォルダー内の未読メッセージと新規メッセージの合計のみを表示します。ユーザーがデスクトップまたはノートブックコンピューターでメールを開いた後、Secure Mailはアイコンを更新します。

    iOSでは、同期期間中、受信トレイの未読メッセージ数は表示されたままになります。ロック画面上の通知を制御ポリシーが [オン] の場合、iOSがSecure Mailをウェイクアップして同期を実行した後プッシュ通知がロックされたデバイス画面に表示されます。

    インストールまたはアップグレード中、Secure Mail for iOSによりプッシュ通知を許可するプロンプトがユーザーに表示されます。また、iOSの設定を使ってプッシュ通知を後から許可することもできます。

iOSおよびAndroidにプッシュ通知を提供するため、Amazon Web Services(AWS)のリスナーサービスがホストされ、次の機能が実行できるようになります。

  • 受信トレイにアクティビティがある場合にExchange Serverにより送信されたExchange Web Services(EWS)プッシュ通知をリスンします。ExchangeはメールコンテンツをCitrixサービスに送信しません。

    Citrixサービスは、個人を識別可能な情報を保存しません。代わりに、デバイストークンおよびサブスクリプションIDにより特定のデバイスおよび受信トレイのフォルダーが識別され、Secure Mail内で更新されます。

  • iOSデバイス上のSecure Mailにバッジ数のみを含むAPNs通知を送信します。

  • Androidデバイス上のSecure MailにFCM通知を送信します。

Citrixリスナーサービスは、ユーザーデバイスとExchange Server間でActiveSyncを介して引き続きフローするメールデータトラフィックには影響を与えません。高可用性および障害復旧用に構成されるリスナーサービスは、次の3つの地域で利用できます。

  • 南北アメリカ
  • ヨーロッパおよび中近東およびアフリカ(EMEA)
  • アジア太平洋(APAC)

プッシュ通知のシステム要件

NetScaler Gateway構成にSecure Ticket Authority(STA)が含まれていて分割トンネリングがオフの場合、NetScaler Gatewayは(Secure Mailからトンネル処理される場合は)次のCitrixリスナーサービスURLへのトラフィックを許可する必要があります。

Region(リージョン) URL IPアドレス
南北アメリカ https://us-east-1.pushreg.xm.citrix.com 52.7.65.6; 52.7.147.0
EMEA(欧州、中東、アフリカ) https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233; 54.154.204.192
アジア太平洋 https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173; 52.74.25.245

プッシュ通知のためのSecure Mailの設定

アプリストア配信用のSecure MailでAppleプッシュ通知またはFCMをセットアップするには、Endpoint Managementコンソールでプッシュ通知を [オン] に設定してからリージョンを選択します。次の図は、iOSでの設定です。

Endpoint Managementにおけるプッシュ通知設定のイメージ

次の図は、iOSと同様のAndroidのプッシュ通知設定です。さらに、EWSがメールサーバーとは異なるリージョンでホストされている場合、[EWSホスト名] 設定に入力します。デフォルト値は空です。設定を空のままにすると、Endpoint Managementはメールサーバーのホスト名を使用します。

Endpoint ManagementにおけるAndroidのプッシュ通知設定のイメージ

ExchangeとNetScalerがトラフィックをリスナーサービスにフローできるように設定します。

Exchange Server構成

ファイアウォールからExchange ServerがあるリージョンのCitrixリスナーサービスURLにSSLを送信できます(ポート443)。次に例を示します。

Region(リージョン) URL IPアドレス
南北アメリカ https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176; 52.4.180.132
EMEA(欧州、中東、アフリカ) https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172; 52.17.147.220
アジア太平洋 https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240; 54.169.87.20

Exchange Web Services(EWS)とCitrixリスナーデバイスの間にプロキシサーバーがある場合は、次のうちいずれか選択できます。

  • EWSトラフィックをプロキシ経由でリスナーデバイスに送信する。
  • プロキシをバイパスしてEWSトラフィックをリスナーデバイスに直接ルーティングする。

EWSトラフィックをプロキシサーバー経由で送信するには、ClientAccess\exchweb\ewsフォルダーのEWS web.configファイルを次のように構成します。

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="false"
proxyaddress="http://proxy.example:8080"
bypassonlocal="true” />
</defaultProxy>
</system.net>
</configuration>`

Exchange 2013環境では、system.netセクションをweb.configファイルに手動で追加する必要があります。追加しない場合、ここで説明した構成を使用します。トラブルシューティングに関しては、Exchangeの管理担当者にお問い合わせください。

プロキシサーバーをバイパスするには、バイパスの一覧を構成してExchangeがCitrixリスナーサービスに接続できるようにします。

Secure Hubが証明書ベースの認証で登録されている場合、Exchange Serverも証明書ベースの認証用に構成する必要があります。詳しくは、「Endpoint Managementの高度な設定」の記事を参照してください。

NetScaler Gateway設定

Exchange Serverはリスナーサービスへのトラフィックを許可する必要があり、NetScalerは登録サービスへのトラフィックを許可する必要があります。これによってデバイスが接続してプッシュ通知を登録できます。

EWSおよびActiveSyncサーバーが異なる場合、NetScalerトラフィックポリシーを構成してEWSトラフィックを許可します。

トラブルシューティング

発信接続をトラブルシューティングするには、Exchangeのイベントログをチェックします。これには、サブスクリプション要求またはサブスクリプションの通知が無効あるいはエラーだった時のログエントリが含まれています。また、Exchange ServerでWiresharkトレースを実行して、Citrixライセンスサービスへの発信トラフィックを追跡できます。

その他の問題については、「Secure Mail Test Tool」を参照してください。

Secure Mailのプッシュ通知に関するよくある質問

iOSは、どのタイミングでSecure Mailに通知を配信しますか?

Secure Mailがフォアグラウンドで実行されている場合、通知は常にSecure Mailに配信されます。これは、通知の配信を保証できる唯一の状況です。Secure Mailがバックグラウンドに移動すると、アプリケーションのバッジ数は常に更新されます。ただし、ロック画面およびバナー通知などの通知は、[Appのバックグラウンド更新]に依存するため、通知は確実ではありません(特にiOSがアプリを中断または停止する場合)。以下の要因は、制御できません。

以下の場合は、通知の配信に影響を与えることがあります。

  • バッテリー残量が低下している。
  • Secure Mailが頻繁に使用されない(フォアグラウンドで起動されることが少ない)。
  • アプリがバックグラウンドで長時間中断されていて、メールをコア使用時間外(例:真夜中から午前6時の間)に受信する。

通知は、以下の場合にSecure Mailに配信されません

  • ユーザーがSecure Mailを終了した(それ以降、ユーザーが手動でアプリを再起動するまでの間)。
  • Secure Mailが強制終了し、アプリが自動的に再起動されていない。
  • Secure Mailがアクティブではない。

重要:

Secure Mailが、以下のようなさまざまな理由でアクティブではない場合、Secure Mailに通知が配信されないことがあります。

  • デバイスが省電力モードで、Secure Mailがバックグラウンドで動作している。これは、通知が送信されない最も一般的なケースです。
  • Secure Mailの[Appのバックグラウンド更新]がオフか、Secure Mailがバックグラウンドで動作している。ユーザーは、この設定を制御できます。
  • デバイスのネットワーク接続状態が不十分である。この状況は、完全にiOSデバイスに依存します。

Secure Mailが通知を受信しない場合、Secure Mailは、新しいデータをデバイスと同期しません。その結果、以下のような状況になります。

  • Secure Mailは、ユーザーがアプリをバックグラウンドに移動したときのみデータと同期する。
  • ロック画面の新しいメールの通知が停止する。カレンダー通知は、引き続き表示されます。

Androidは、どのタイミングでSecure Mailに通知を配信しますか?

Androidでは、常に通知がSecure Mailに配信されます。

FCMはロック画面でのメール通知の表示にどのような影響を与えますか?

デバイスのロック画面に表示される新しいメールの通知は、Secure Mailがデバイスに同期したデータに基づいて生成されます。この情報は、リスナーサービスによるものではないことにご注意ください。

新しいメール通知を表示するには、Secure Mailは、Exchangeからのデータを同期する必要があります。これによって、Secure Mailが通知を作成するための情報を使用できます。

新しいメールを受信すると、「新しいメッセージがあります」 というFCM通知が表示されます。メールの同期がバックグラウンドで完了すると、Secure Mailに新しいメールが表示されます。

[Appのバックグラウンド更新]は、Secure MailおよびAPNsにどのような影響を与えますか?

ユーザーが、[Appのバックグラウンド更新]をオフにすると、以下のような状況になります。

  • Secure Mailがバックグラウンドアプリではない場合、Secure Mailは通知を受信しない。
  • Secure Mailは、ロック画面で新しいメールの通知を表示しない。

[Appのバックグラウンド更新]を無効にすると、Secure Mailの動作に大幅に影響を及ぼします。前述のとおり、APNsに基づくバッジは依然として更新されますが、メールはこのモードのデバイスと同期しません。

省電力モードにすると、Secure MailおよびAPNsはどのような影響を受けますか?

[Appのバックグラウンド更新]が無効な場合、Secure Mailに関連したシステムは、省電力モードのときと同様の動作をします。省電力モードでは、デバイスは定期的な更新のためにアプリを起動したり、バックグラウンドでアプリに通知を配信したりしません。そのため、前述の「Appのバックグラウンド更新」部分に記載されている場合と同様の影響があります。省電力モードでは、システムはAPNs通知に基づいてアプリのバッジを表示し続けます。

APNsはロック画面でのメール通知の表示にどのような影響を与えますか?

デバイスのロック画面に表示される新しいメールの通知は、Secure Mailがデバイスに同期したデータに基づいて生成されます。この情報は、リスナーサービスによるものではないことにご注意ください。

新しいメール通知を表示するには、Secure Mailは、Exchangeからのデータを同期する必要があります。これによって、Secure Mailが通知を作成するための情報を使用できます。

バックグラウンドで、APNs通知がSecure Mailに配信されない場合、Secure Mailは通知を検出せず、新しいデータと同期しません。Secure Mailで使用できる新しいデータがないため、APNs通知が配信されない場合、デバイスのロック画面でメール通知が生成されません。

FCMによる同期がバックグラウンドで失敗するのは、どのような問題によるものですか?

以下を含むさまざまな問題によって、FCMによる同期の要求が失敗します。

  • 無効なSTAチケット。
  • Secure MailがDozeモードで起動すると、アプリがサーバーのすべてのデータと同期するのに30秒かかります。

上のいずれかの状況が発生した場合、Secure Mailはデータを同期できません。その結果、通知がロック画面に表示されないことがあります。

APNsによる同期がバックグラウンドで失敗するのは、どのような問題によるものですか?

以下を含むさまざまな問題によって、APNsによる同期の要求が失敗します。

  • 無効なSTAチケット。
  • 遅いネットワーク接続。Secure Mailがバックグラウンドで起動すると、アプリがサーバーのすべてのデータと同期するのに30秒かかります。
  • データ保護ポリシーが有効で、APNs通知によってSecure Mailが起動される場合、デバイスがロックされるとSecure Mailはデータストアにアクセスできず、同期も発生しない。これは、システムが、Secure Mailをコールドスタート(再起動)しようとする場合のみです。ユーザーがデバイスのロック解除後に既にSecure Mailを起動している場合、デバイスがロックされていてもAPNsによる同期は成功します。

上記のいずれかの状況が発生すると、Secure Mailはデータを同期して、ロック画面に通知を表示することはできません。

通知が配信されない、またはAPNsが使用されていない場合、Secure Mailがロック画面に通知を表示するにはどうすればよいですか?

APNsが無効な場合でも、iOSの[Appのバックグラウンド更新]が有効で、省電力モードがオフになっている場合、Secure Mailは定期的な[Appのバックグラウンド更新]イベントによって起動されます。

起動イベント中、Secure MailはExchange Serverの新しいメールと同期します。この新しいメールを使用して、ロック画面でメール通知を生成できます。そのため、APNs通知が配信されない、またはAPNsが無効な場合でも、Secure Mailはバックグラウンドでデータを同期できます。

APNsを使用中で、APNs通知がSecure Mailに配信される場合に比べると、リアルタイムで通知されないことが多くなることにご注意ください。iOSがAPNs通知をSecure Mailにルーティングすると、アプリは即座にサーバーのデータと同期して、ロック画面の通知がリアルタイムで表示されます。

[Appのバックグラウンド更新]による起動が必要なイベントでは、ロック画面の通知はリアルタイムで発生しません。この場合、iOSの判断する頻度のみでSecure Mailが起動されます。このため、メールがExchangeの受信トレイに到着する時間と、Secure Mailがメッセージと同期して、ロック画面の通知を生成する時間にずれが生じることがあります。

また、APNsが使用中であっても、Secure Mailがこのような定期的な起動を受信することにご注意ください。[Appのバックグラウンド更新]がSecure Mailを起動するあらゆる状況で、Secure MailはExchangeのデータと同期しようとします。

Secure Mailとロック画面にコンテンツを表示する他のアプリとの違いはどのようなものですか?

重要な違いがあり、これが混乱を招くことがあります。Secure Mailは、Gmail、Microsoft Outlook、その他のアプリと違い、常にロック画面にリアルタイムで新しいメールを表示するわけではありません。この違いの主な理由は、セキュリティによるものです。他のアプリの動作に合わせるために、Citrixリスナーサービスには資格情報が必要です。この資格情報で、メールの内容を取得するためにExchangeに認証し、CitrixリスナーサービスやApple APNsサービスを通してこのメールの内容を渡すことができます。APNs通知に対するCitrixのアプローチでは、Citrixリスナーサービスがユーザーのパスワードを取得して保存する必要はありません。リスナーサービスは、ユーザーのメールボックスやパスワードにアクセスすることはありません。

一方、ネイティブのiOSメールアプリでは、メールサーバーへの一貫した接続を維持し、通知が常に配信されるようにします。ネイティブのメールアプリではないサードパーティ製のアプリでは、この機能は許可されません。

Gmailアプリの動作: Googleは、GmailアプリおよびGmailサーバーの両方を所有し、制御します。このため、Googleはメッセージの内容を読み取り、APNs通知ペイロードにメッセージの内容を含めることができます。iOSはGmailからこのAPNs通知を受信すると、以下を実行します。

  • 通知ペイロードで指定された値にアプリケーションバッジを設定します。
  • 通知ペイロードに含まれるメッセージの内容を使用して、ロック画面の通知を表示します。

これは、重要な違いです。ペイロードに含まれるデータに基づいてロック画面に通知を表示するのは、iOSであってGmailアプリではありません。実際、通知を受信した場合、iOSはGmailアプリを起動しません。これは、iOSがSecure Mailを起動しないのと同様です。しかし、メッセージスニペット(冒頭部分)を含むペイロードによって、iOSはデバイスにメールデータを同期せずにロック画面の通知を表示できます。

Secure Mailの場合は違います。ロック画面に通知を表示するには、最初にExchangeのメッセージデータを同期する必要があります。

Outlook for iOSアプリの動作: MicrosoftはOutlook for iOSを制御します。しかし、データを取得するExchange Serverを制御するのは、ユーザーが所属する組織です。こうしたセットアップにもかかわらず、OutlookはMicrosoftがAPNs通知で提供するデータに基づいて、ロック画面の通知を表示できます。これは、Outlook for iOSが、Microsoftによるユーザー資格情報を保存するモデルを利用するためです。次に、Microsoftは、クラウドサービスから直接ユーザーのメールボックスにアクセスし、新しいメールを確認します。

新しいメールがあれば、Microsoftクラウドサービスは、新しいメールデータを含むAPNs通知を生成します。このモデルは、Gmailモデルと同じ方法で動作します。Gmailモデルでは、iOSは単純にデータを取得してデータに基づいてロック画面の通知を生成します。Outlook iOSアプリは、このプロセスに関係していません。

Outlook for iOSの重要なセキュリティメモ: Outlook for iOSアプローチには、明確にセキュリティ上の影響があります。組織は、ユーザーのパスワードに関してMicrosoftを信頼する必要があり、これによってMicrosoftはユーザーのメールボックスにアクセスできるため、セキュリティリスクにつながります。Microsoftがユーザーのパスワードを管理する方法について詳しくは、Microsoft TechNetを参照してください。

プッシュ通知の管理者に関連したよくある質問については、Support Knowledge Centerのこの記事を参照してください。ユーザー向けのよくある質問については、Support Knowledge Centerのこの記事を参照してください。