XenMobile Server

メール戦略

モバイルデバイスからメールに安全にアクセスできるようにすることは、組織のモビリティ管理の取り組みを推進するうえで主要な要因の1つです。適切なメール戦略を決定することは、XenMobile設計の鍵となる要素です。XenMobileでは、セキュリティ、ユーザーエクスペリエンス、および統合の要件に基づいて、さまざまなユースケースに対応するためのオプションを提供しています。この記事では、クライアントの選択からメールのトラフィックフローまで、最適なソリューションを選択するための典型的な設計決定プロセスと考慮事項について説明します。

メールクライアントの選択

通常、クライアントの選択は、メール戦略の設計全体において最初に実行すべき項目です。Citrix Secure Mail、特定のモバイルプラットフォームのオペレーティングシステムに含まれるネイティブメール、またはパブリックアプリストアを通じて利用できる他のサードパーティクライアントから選択できます。必要に応じて、単一の(標準)クライアントを使用したり、クライアントの組み合わせを使用したりして、ユーザーコミュニティをサポートできます。

次の表に、使用可能なさまざまなクライアントオプションで設計上考慮すべき事項を示します:

       
トピック Secure Mail ネイティブ(iOS Mailなど) サードパーティのメールクライアント
XenMobileの最小エディション 詳細 MDM MDM
構成 MDXポリシーによって構成されたExchangeアカウントプロファイル。 MDMポリシーによって構成されたExchangeアカウントプロファイル。Androidのサポートは次に限定されます:SAFE/KNOX、Android Enterprise。他のすべてのクライアントはサードパーティのクライアントと見なされます。 一般に、ユーザーが手動で構成する必要があります。
セキュリティ これ自体がセキュアに設計されており、最高のセキュリティを提供します。データ暗号化レベルが強化されたMDXポリシーを使用します。Secure Mailは、MDXポリシーによって完全に管理されているアプリです。Citrix PINにより、認証が強化されています。 ベンダーおよびアプリの機能セットに基づきます。より高いセキュリティを提供します。デバイスの暗号化設定を使用します(MDXポリシーによるセキュリティなし)。アプリへのアクセスでデバイスレベルの認証に依存します。 ベンダーおよびアプリの機能セットに基づきます。高いセキュリティを提供します。
統合 デフォルトで管理対象(MDX)アプリの操作を許可します。Citrix Secure WebでWeb URLを開きます。Citrix Filesにファイルを保存し、Citrix Filesからファイルを添付します。GoToMeetingへの直接参加およびダイヤルイン。 デフォルトでは、他の非管理対象(非MDX)アプリのみ操作できます。 デフォルトでは、他の非管理対象(非MDX)アプリのみ操作できます。
展開/ライセンス MDMを通じて、パブリックアプリストアから直接Secure Mailをプッシュできます。XenMobileのAdvancedおよびEnterprise Editionのライセンスに含まれています。 クライアントアプリは、プラットフォームのオペレーティングシステムに含まれています。追加のライセンス要件はありません。 エンタープライズアプリとしてMDM経由で、またはパブリックアプリストアから直接、プッシュできます。アプリベンダーに基づき、関連ライセンスモデル/コスト。
サポート クライアントおよびEMMソリューションを提供する単一ベンダーのサポート(Citrix)。Secure Hub/アプリのデバッグログ機能にサポートの連絡先情報が埋め込まれています。サポートするクライアントは1つです。 ベンダーによって定義されたサポート(Apple/Google)。デバイスのプラットフォームに基づいて異なるクライアントをサポートする必要がある場合があります。 ベンダーによって定義されたサポート。サードパーティのクライアントがすべての管理対象デバイスプラットフォームでサポートされていることを前提に、1つのクライアントをサポートします。

メールのトラフィックフローとフィルタリングに関する考慮事項

ここでは、XenMobileのコンテキストでのメール(ActiveSync)のトラフィックフローに関する3つの主要なシナリオと設計上の考慮事項について説明します。

シナリオ1:インターネットに接続されたExchange

外部クライアントをサポートする環境では、通常、Exchange ActiveSyncサービスがインターネットに接続されています。モバイルのActiveSyncクライアントは、この外部に対するパスを通じて、リバースプロキシ(Citrix ADCなど)またはエッジサーバーを介して接続します。このオプションは、ネイティブまたはサードパーティのメールクライアントを使用する場合に必要です。このため、このシナリオではこれらのクライアントが一般的な選択になります。また、一般的な方法ではありませんが、このシナリオでSecure Mailクライアントを使用することもできます。これにより、MDXポリシーの使用とアプリの管理によって提供されるセキュリティ機能のメリットが得られます。

シナリオ2:Citrix ADC経由のトンネリング(Micro VPNおよびSTA)

Citrix Secure MailのMicro VPN機能により、Secure Mailクライアントを使用する場合はこのシナリオがデフォルトになります。この場合、Secure Mailクライアントは、Citrix Gateway経由でActiveSyncへのセキュリティで保護された接続を確立します。本質的に、Secure Mailは、内部ネットワークからActiveSyncに直接接続するクライアントと考えることができます。通常Citrixのお客様は、最適なモバイルActiveSyncクライアントとしてSecure Mailを標準に決定します。この決定は、1つ目のシナリオで説明したように、インターネットに接続されたExchange Server上で、ActiveSyncサービスがインターネットに接続されないようにする取り組みの一部です。

マイクロVPN機能を使用できるのは、MAM SDK対応アプリまたはMDXでラップされたアプリのみです。MDXラッピングを使用する場合、このシナリオはネイティブクライアントには適用されません。MDX Toolkitを使用してサードパーティのクライアントをラップすることは可能ですが、この方法は一般的ではありません。ネイティブまたはサードパーティのクライアントにトンネルを介したアクセスを許可するためにデバイスレベルのVPNクライアントを使用することは煩雑であり、実行可能なソリューションではないことが実証されています。

シナリオ3:クラウドでホストされたExchangeサービス

クラウドでホストされたExchangeサービス(Microsoft Office 365など)の普及が進んでいます。ActiveSyncサービスもインターネットに接続しているため、XenMobileのコンテキストでは、このシナリオは1つ目のシナリオと同じように扱うことができます。この場合、クラウドサービスプロバイダーの要件によってクライアントの選択が決まります。一般的にこの選択には、Secure Mailや他のネイティブクライアントまたはサードパーティクライアントなど、ほとんどのActiveSyncクライアントのサポートが含まれます。

このシナリオでは、XenMobileは次の3つの領域で価値を付加できます:

  • MDXポリシーを含むクライアントとSecure Mailによるアプリの管理
  • サポートされているネイティブメールクライアントでのMDMポリシーを使用したクライアント構成
  • Endpoint Managementコネクタ:Exchange ActiveSync用を使用したActiveSyncのフィルターオプション

メールトラフィックのフィルタリングに関する考慮事項

インターネットに接続している大半のサービスと同様に、パスを保護し、承認されたアクセスに対してフィルターを提供する必要があります。XenMobileソリューションには、ネイティブクライアントとサードパーティクライアントにActiveSyncのフィルタリング機能を提供するために特別に設計された2つのコンポーネントである、Citrix Gatewayコネクタ:Exchange ActiveSync用、Endpoint Managementコネクタ:Exchange ActiveSync用が含まれています。

Citrix Gatewayコネクタ:Exchange ActiveSync用

Citrix Gatewayコネクタ:Exchange ActiveSync用は、ActiveSyncトラフィックのプロキシとしてCitrix ADCを使用して、境界でActiveSyncフィルタリングを提供します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りするときにインターセプトします。Citrix Gatewayコネクタ:Exchange ActiveSync用は、Citrix ADCとXenMobile Server間の仲介役を果たします。デバイスがCitrix ADC上のActiveSync仮想サーバーを介してExchangeと通信する場合、Citrix ADCはExchange ActiveSyncサービス用コネクタに対してHTTPコールアウトを実行します。このサービスは、XenMobileを使用してデバイスの状態を確認します。Exchange ActiveSync用コネクタはCitrix ADCに応答し、デバイスの状態に基づいて接続を許可または拒否します。また、ユーザー、エージェント、デバイスの種類やIDに基づいてアクセスをフィルターするように静的規則を構成することもできます。

この設定では、不正なアクセスを防ぐためにセキュリティレイヤーを追加して、Exchange ActiveSyncサービスのインターネットへの接続を許可します。設計上の考慮事項は次のとおりです:

  • Windows Server: Exchange ActiveSyncコンポーネント用コネクタにはWindows Serverが必要です。
  • フィルター規則のセット: Exchange ActiveSync用コネクタは、ユーザー情報ではなくデバイスの状態と情報に基づいてフィルターするように設計されています。ユーザーIDでフィルターするように静的規則を構成することもできますが、たとえばActive Directoryグループのメンバーシップに基づいてフィルターするオプションはありません。Active Directoryグループのフィルターが必要な場合は、代わりにEndpoint Managementコネクタ:Exchange ActiveSync用を使用できます。
  • Citrix ADCのスケーラビリティ:Citrix ADCを介したActiveSyncトラフィックのプロキシ要件を考慮すると、すべてのActiveSync SSL接続によって追加されたワークロードをサポートするには、Citrix ADCインスタンスの適切なサイズ設定が不可欠です。
  • Citrix ADC統合キャッシュ:Citrix ADC上のExchange ActiveSync用コネクタの構成では、統合キャッシュ機能を使用してExchange ActiveSync用コネクタからの応答をキャッシュします。この構成により、Citrix ADCでは、特定のセッション内のすべてのActiveSyncトランザクションに対してCitrix Gatewayコネクタ:Exchange ActiveSync用に要求を発行する必要がありません。適切なパフォーマンスとスケーラビリティを実現するにはこの構成も不可欠です。統合キャッシュは、Citrix ADC Platinum Editionで使用できます。また、Enterprise Editionでは個別に機能のライセンスを取得できます。
  • カスタムのフィルターポリシー:カスタムのCitrix ADCポリシーを作成して、特定のActiveSyncクライアントを標準のネイティブモバイルクライアント以外に制限する必要がある場合があります。この構成では、ActiveSync HTTP要求とCitrix ADCのレスポンダーポリシーの作成に関する知識が必要です。
  • Secure Mailクライアント: Secure Mailには、境界でのフィルターが不要なマイクロVPN機能が組み込まれています。一般に、Secure Mailクライアントは、Citrix Gatewayを介して接続されている場合、内部の(信頼できる)ActiveSyncクライアントとして扱われます。ネイティブおよびサードパーティクライアント(Exchange ActiveSync用コネクタを使用)、およびSecure Mailクライアントのサポートが必要な場合:Secure Mailのトラフィックが、Exchange ActiveSync用コネクタで使用されるCitrix ADC仮想サーバー経由でフローしないようにすることをお勧めします。これを実行するには、トラフィックがDNS経由でフローし、Exchange ActiveSync用コネクタポリシーがSecure Mailクライアントに影響を与えないようにします。

XenMobileの展開でのCitrix Gatewayコネクタ:Exchange ActiveSync用の図については、「オンプレミス環境のリファレンスアーキテクチャ 」を参照してください。

Endpoint Managementコネクタ:Exchange ActiveSync用

Endpoint Managementコネクタ:Exchange ActiveSync用は、ExchangeサービスレベルでActiveSyncフィルターを提供するXenMobileコンポーネントです。つまり、メールがXenMobile環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。Mail Managerは、PowerShellを使用してExchange ActiveSyncにデバイスパートナーシップ情報のクエリを実行し、デバイスの隔離操作を通じてアクセスを制御します。これらのアクションは、Endpoint Managementコネクタ:Exchange ActiveSync用の規則条件に基づいて、デバイスを検疫に出し入れします。Citrix Gatewayコネクタ:Exchange ActiveSync用と同様に、Endpoint Managementコネクタ:Exchange ActiveSync用ではXenMobileを使用してデバイスの状態を確認し、デバイスのコンプライアンスに基づいてアクセスをフィルターします。また、デバイスの種類やID、エージェントのバージョン、Active Directoryグループのメンバーシップに基づいてアクセスをフィルターするように静的規則を構成することもできます。

このソリューションでは、Citrix ADCを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、Endpoint Managementコネクタ:Exchange ActiveSync用を展開できます。設計上の考慮事項は次のとおりです:

  • Windows Server:Endpoint Managementコネクタ:Exchange ActiveSync用にはWindows Serverの展開が必要です。
  • フィルター規則のセット:Citrix Gatewayコネクタ:Exchange ActiveSync用と同様に、Endpoint Managementコネクタ:Exchange ActiveSync用には、デバイスの状態を評価するためのフィルター規則が含まれています。さらに、Endpoint Managementコネクタ:Exchange ActiveSync用は、Active Directoryグループのメンバーシップに基づいてフィルターする静的規則をサポートしています。
  • Exchangeの統合:Endpoint Managementコネクタ:Exchange ActiveSync用では、ActiveSyncの役割をホストしているExchangeクライアントアクセスサーバー(CAS)に直接アクセスし、デバイスの隔離操作を制御する必要があります。環境アーキテクチャとセキュリティ状況によっては、この要件により課題がもたらされる可能性があります。この技術要件を前もって評価することが重要です。
  • 他のActiveSyncクライアント:Endpoint Managementコネクタ:Exchange ActiveSync用はActiveSyncサービスレベルでフィルターするため、XenMobile環境外の他のActiveSyncクライアントについて考慮します。Endpoint Managementコネクタ:Exchange ActiveSync用の静的規則を構成して、他のActiveSyncクライアントへの意図しない影響を防ぐことができます。
  • 拡張されたExchange機能:Exchange ActiveSyncとの直接統合により、Endpoint Managementコネクタ:Exchange ActiveSync用は、モバイルデバイス上でExchange ActiveSyncのワイプを実行する機能をXenMobileに提供します。またEndpoint Managementコネクタ:Exchange ActiveSync用では、XenMobileがBlackberryデバイスに関する情報にアクセスしたり、その他の制御操作を実行することを許可します。

XenMobileの展開でのEndpoint Managementコネクタ:Exchange ActiveSync用の図については、「オンプレミス環境のリファレンスアーキテクチャ 」を参照してください。

電子メールプラットフォーム決定木

次の図は、XenMobileの展開でネイティブメールまたはSecure Mailのソリューションを使用する場合のメリットとデメリットを理解するのに役立ちます。選択ごとに、サーバー、ネットワーク、およびデータベースにアクセスするためのXenMobileの関連オプションと要件がまとめられています。メリットとデメリットには、セキュリティ、ポリシー、およびユーザーインターフェイスの考慮事項に関する詳細が含まれています。

電子メールプラットフォーム決定木の図