Secure Mailのプッシュ通知
iOS版Secure MailおよびAndroid版Secure Mailは、アプリがバックグラウンドで実行されている場合や閉じられている場合でも、メールとカレンダーのアクティビティに関する通知を受信できます。iOS版Secure Mailは、Apple Push Notificationサービス (APNs) を介して提供されるリモートプッシュ通知をサポートしています。Android版Secure Mailは、Firebase Cloud Messagingサービス (FCM) を介して提供される通知をサポートしています。
-
プッシュ通知の仕組み
-
iOSおよびAndroid向けにプッシュ通知を提供するため、Citrix®はAmazon Web Services (AWS) 上でリスナーサービスをホストし、以下の機能を実行します。
-
Exchange Serverから、受信トレイのアクティビティがあったときに送信されるExchange Web Services (EWS) プッシュ通知をリッスンします。ExchangeはCitrixサービスにメールコンテンツを送信しません。
-
個人を特定できる情報はCitrixサービスによって保存されません。代わりに、デバイスのトークンとサブスクリプションIDが、Secure Mail内で更新される特定のデバイスと受信トレイフォルダーを識別します。
-
バッジカウントのみを含むAPNs通知を、iOSデバイス上のSecure Mailに送信します。
- FCM通知を、Androidデバイス上のSecure Mailに送信します。
Citrixリスナーサービスは、ユーザーデバイスとExchange Server間でActiveSyncを介して流れ続けるメールデータトラフィックには影響しません。高可用性と災害復旧のために構成されたリスナーサービスは、以下の3つのリージョンで利用可能です。
- 南北アメリカ
- ヨーロッパ、中東、アフリカ (EMEA)
- アジア太平洋 (APAC)
プッシュ通知のシステム要件
Citrix Gatewayの構成にSecure Ticket Authority (STA) が含まれており、スプリットトンネリングがオフの場合、Citrix Gatewayは以下のCitrixリスナーサービスURLへのトラフィック (Secure Mailからトンネルされる場合) を許可する必要があります。
| リージョン | URL | IPアドレス |
|---|---|---|
| 南北アメリカ | https://us-east-1.pushreg.xm.citrix.com |
52.7.65.6; 52.7.147.0 |
| EMEA | https://eu-west-1.pushreg.xm.citrix.com |
54.154.200.233; 54.154.204.192 |
| APAC | https://ap-southeast-1.pushreg.xm.citrix.com |
52.74.236.173; 52.74.25.245 |
プッシュ通知のためのSecure Mailの構成
- アプリストア配布用のSecure MailでAppleプッシュ通知またはFCMを設定するには、Endpoint Managementコンソールで [プッシュ通知] を [ON] に設定し、リージョンを選択します。以下の図は、iOSの設定を示しています。
Androidの場合、以下の図はiOSと同じ [プッシュ通知設定] を示しています。さらに、メールサーバーが存在するリージョンとは異なるリージョンでEWSがホストされている場合は、[EWSホスト名] の設定を完了します。デフォルト設定は空です。この設定を空のままにすると、Endpoint Managementはメールサーバーのホスト名を使用します。
ExchangeとCitrix ADCを構成して、リスナーサービスへのトラフィックフローを許可します。
Exchange Serverの構成
ファイアウォールから、Exchange Serverが配置されているリージョンのCitrixリスナーサービスURLへのアウトバウンドSSL (ポート443経由) を許可します。例:
| リージョン | URL | IPアドレス |
|---|---|---|
| 南北アメリカ | https://us-east-1.mailboxlistener.xm.citrix.com |
52.6.252.176; 52.4.180.132 |
| EMEA | https://eu-west-1.mailboxlistener.xm.citrix.com |
54.77.174.172; 52.17.147.220 |
| APAC | https://ap-southeast-1.mailboxlistener.xm.citrix.com |
52.74.231.240; 54.169.87.20 |
Exchange Web Services (EWS) とCitrixリスナーデバイスの間にプロキシサーバーがある場合は、次のいずれかを実行できます。
- EWSトラフィックをプロキシ経由で送信し、その後リスナーデバイスに送信します。
- プロキシをバイパスし、EWSトラフィックをリスナーデバイスに直接ルーティングします。
EWSトラフィックをプロキシサーバー経由で送信するには、ClientAccess\exchweb\ewsフォルダーにあるEWSのweb.configファイルを次のように構成します。
<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />
-
</defaultProxy> </system.net> </configuration>
-
プロキシの構成に関する詳細については、「Proxy Configuration」を参照してください。
Exchange 2013環境では、system.netセクションをweb.configファイルに手動で追加する必要があります。そうしないと、この記事で説明されている構成はExchange 2013で動作するはずです。トラブルシューティングについては、Exchange管理者にお問い合わせください。
プロキシサーバーをバイパスするには、バイパスリストを構成して、ExchangeがCitrixリスナーサービスに接続できるようにします。
- Secure Hubが証明書ベースの認証で登録されている場合、Exchange Serverも証明書ベースの認証用に構成する必要があります。詳細については、Endpoint Managementの高度な概念の記事を参照してください。
Citrix Gatewayの構成
Exchange Serverはリスナーサービスへのトラフィックを許可する必要がありますが、Citrix ADCは登録サービスへのトラフィックを許可する必要があります。このようにして、デバイスはプッシュ通知に登録するために接続できます。
- EWSサーバーとActiveSyncサーバーが異なる場合は、Citrix ADCトラフィックポリシーを構成してEWSトラフィックを許可します。Citrix Endpoint ManagementとCitrix Gatewayの統合の詳細については、Citrix GatewayおよびCitrix ADCとの統合のセクションを参照してください。
トラブルシューティング
送信接続のトラブルシューティングを行うには、Exchangeイベントログを確認します。これには、サブスクリプション要求またはサブスクリプションの通知が無効または失敗した場合のログエントリが含まれます。また、Exchange ServerでWiresharkトレースを実行して、Citrixリスナーサービスへの送信トラフィックを追跡することもできます。
Secure Mailプッシュ通知に関するFAQ
Androidでは、通知は常にSecure Mailに配信されます。
FCMはロック画面に表示されるメール通知にどのように影響しますか
デバイスのロック画面に表示される新着メール通知は、Secure Mailによってデバイスに同期されたデータに基づいて生成されます。重要なことに、この情報はリスナーサービスから取得されるものではありません。
- 新着メール通知を表示するには、Secure MailがExchangeからデータを同期できる必要があり、Secure Mailが通知を作成するための情報を利用できるようにする必要があります。
新着メールを受信すると、新しいメッセージがありますというFCM通知が表示されます。バックグラウンドでのメール同期が完了すると、Secure Mailに新着メールが表示されます。
APNsはロック画面に表示されるメール通知にどのように影響しますか
デバイスのロック画面に表示される新着メール通知は、Secure Mailによってデバイスに同期されたデータに基づいて生成されます。重要なことに、この情報はリスナーサービスから取得されるものではありません。
新着メール通知を表示するには、Secure MailがExchangeからデータを同期できる必要があり、Secure Mailが通知を作成するための情報を利用できるようにする必要があります。
APNs通知がバックグラウンドでSecure Mailに配信されない場合、Secure Mailは通知を検知せず、新しいデータを同期しません。Secure Mailで新しいデータが利用できないため、APNs通知が配信されない場合でも、デバイスのロック画面にメール通知は生成されません。
バックグラウンドアプリの更新はSecure MailとAPNsにどのように影響しますか
ユーザーがバックグラウンドアプリの更新をオフにすると、次の状況が発生します。
-
Secure Mailがバックグラウンドアプリにある場合、Secure Mailは通知を受信しません。
注:
この状況は、リッチプッシュ通知が無効になっている場合にのみ発生します。リッチプッシュ通知の詳細については、iOS用Secure Mailのリッチプッシュ通知を参照してください。
-
Secure Mailは、ロック画面を新しいメール通知で更新しません。
バックグラウンドアプリの更新を無効にすると、Secure Mailの動作に大きな影響を与えます。前述のとおり、APNsに基づくバッジの更新は引き続き行われますが、このモードではメールはデバイスに同期されません。
低電力モードはSecure MailとAPNsにどのように影響しますか
Secure Mailに関するシステムの動作は、低電力モードではバックグラウンドアプリの更新が無効になっている場合と同じです。低電力モードでは、デバイスは定期的な更新のためにアプリを起動せず、バックグラウンドのアプリに通知を配信しません。したがって、副作用は上記の「バックグラウンドアプリの更新」セクションに記載されているものと同じです。低電力モードでは、APNs通知に基づいてバッジの更新が引き続き行われることに注意してください。
バックグラウンドでFCM駆動の同期が失敗する原因となるその他の問題は何ですか
FCM駆動の同期リクエストが失敗する原因となる様々な問題には、以下が含まれます。
- 無効なSTAチケット
- Secure MailがDozeモードで起動された場合、アプリはサーバーからすべてのデータを同期するために10秒間しかありません
上記のいずれかの条件が発生した場合、Secure Mailはデータを同期できません。その結果、ロック画面通知は表示されません。
バックグラウンドでAPNs駆動の同期が失敗するその他の原因
APNs駆動の同期リクエストが失敗する原因となるいくつかの問題には、以下が含まれます。
- 無効なSTAチケット
- ネットワーク接続が遅い場合。Secure Mailがバックグラウンドで起動された場合、アプリはサーバーからすべてのデータを同期するために30秒間しかありません。
- データ保護ポリシーが有効になっており、Secure MailがAPNs通知によって起動された場合、デバイスがロックされていると、Secure Mailはデータストアにアクセスできず、同期は発生しません。これは、システムがSecure Mailをコールドスタートしようとしている場合にのみ当てはまります。ユーザーがデバイスのロック解除後にSecure Mailを一度でも起動している場合、デバイスがロックされていてもAPNs駆動の同期は成功します。
上記のいずれかの条件が発生した場合、Secure Mailはデータを同期できず、ロック画面通知を表示できません。
通知が配信されない場合やAPNsが使用されていない場合のSecure Mailによるロック画面通知の生成方法
APNsが無効になっている場合でも、Secure MailはiOSからの定期的なバックグラウンドアプリ更新イベントによって起動されます。これは、バックグラウンドアプリ更新が有効であり、低電力モードがオフであると仮定した場合です。
これらの起動イベント中に、Secure MailはExchange Serverから新しいメールを同期します。この新しいメールは、ロック画面にメール通知を生成するために使用できます。したがって、APNs通知が配信されない場合やAPNsが無効になっている場合でも、Secure Mailはバックグラウンドでデータを同期できます。
APNsが使用されている場合やAPNs通知がSecure Mailに配信される場合と比較して、これはリアルタイム性が低くなることに注意することが重要です。iOSがAPNs通知をSecure Mailにルーティングすると、アプリはサーバーからデータを即座に同期し、ロック画面通知はリアルタイムで表示されるように見えます。
バックグラウンドアプリ更新による起動が必要な場合、ロック画面通知はリアルタイムでは発生しません。この場合、Secure MailはiOSが完全に決定する頻度で起動されます。そのため、次の2つの状況の間には時間が経過する可能性があります。
- ユーザーのExchangeの受信トレイにメールが到着したとき
- Secure Mailがそのメッセージを同期し、ロック画面通知を生成したとき
また、APNsが使用されている場合でも、Secure Mailはこれらの定期的な起動を受け取ることに注意してください。バックグラウンドアプリ更新がSecure Mailを起動するすべての場合において、Secure MailはExchangeからデータを同期しようとします。
Secure Mailとロック画面にコンテンツを表示する他のアプリとの違い
混乱を招く可能性のある重要な違いは、Secure Mailが常にロック画面に新しいメールをリアルタイムで表示するわけではないことです。この動作は、Gmail、Microsoft Outlook、およびその他のアプリとは異なります。この違いの主な理由はセキュリティです。他のアプリの動作に合わせるには、CitrixリスナーサービスがExchangeで認証するためにユーザー資格情報を必要とします。資格情報はメールコンテンツを取得するために必要です。また、このメールコンテンツをCitrixリスナーサービスを介してApple APNsサービスに渡すためにも資格情報が必要です。CitrixのAPNs通知へのアプローチでは、Citrixリスナーサービスがユーザーのパスワードを取得または保存する必要はありません。リスナーサービスはユーザーのメールボックスやパスワードにアクセスできません。
ネイティブiOSメールアプリに関する注意点:iOSは、独自のメールアプリがメールサーバーとの永続的な接続を維持することを許可しており、これにより通知が常に配信されることが保証されます。ネイティブメール以外のサードパーティアプリには、この機能は許可されていません。
Gmailアプリの動作: GoogleはGmailアプリとGmailサーバーの両方を所有および管理しています。この動作は、Googleがメッセージコンテンツを読み取り、そのメッセージコンテンツをAPNs通知ペイロードに含めることができることを意味します。iOSがGmailからこのAPNs通知を受信すると、iOSは次のことを行います。
- 通知ペイロードで指定された値にアプリケーションバッジを設定します
- 通知ペイロードに含まれるメッセージテキストを使用してロック画面通知を表示します
これは決定的な違いです。ペイロードに含まれるデータに基づいてロック画面通知を表示するのは、GmailアプリではなくiOSです。実際、通知が到着したときにiOSがSecure Mailを起動しないのと同様に、iOSはGmailアプリを起動しない場合があります。しかし、ペイロードにメッセージスニペットが含まれているため、iOSはメールデータをデバイスに同期することなくロック画面通知を表示できます。
Secure Mailでは、この状況は異なります。Secure Mailは、アプリがロック画面通知を表示する前に、まずExchangeからメッセージデータを同期する必要があります。
iOS版Outlookアプリの動作: MicrosoftはiOS版Outlookを管理しています。しかし、ユーザーが所属する組織が、データが取得されるExchange Serverを管理しています。この設定にもかかわらず、OutlookはMicrosoftがAPNs通知で提供するデータに基づいてロック画面通知を表示できます。その理由は、iOS版OutlookがMicrosoftがユーザー資格情報を保存するモデルを利用しているためです。Microsoftはその後、クラウドサービスからユーザーのメールボックスに直接アクセスし、新しいメールの存在を判断します。
新しいメールが利用可能な場合、Microsoftクラウドサービスは新しいメールデータを含むAPNs通知を生成します。このモデルはGmailモデルと同様に動作します。Gmailモデルでは、iOSは単にデータを受け取り、そのデータに基づいてロック画面通知を生成します。Outlook iOSアプリはこのプロセスに関与しません。
iOS版Outlookに関する重要なセキュリティ上の注意: iOS版Outlookのアプローチには、明確なセキュリティ上の影響があります。組織はユーザーのパスワードをMicrosoftに信頼する必要があり、この信頼によりMicrosoftがユーザーのメールボックスにアクセスできるようになるため、セキュリティリスクが生じます。
プッシュ通知に関する管理者向けのFAQについては、こちらのサポート知識センター記事を参照してください。ユーザー固有のFAQについては、こちらのサポート知識センター記事を参照してください。