Product Documentation

メール戦略

2018年2月21日

モバイルデバイスからメールに安全にアクセスできるようにすることは、組織のモビリティ管理の取り組みを推進するうえで主要な要因の1つです。適切なメール戦略を決定することは、XenMobile設計の鍵となる要素です。XenMobileでは、セキュリティ、ユーザーエクスペリエンス、および統合の要件に基づいて、さまざまなユースケースに対応するためのオプションを提供しています。この記事では、クライアントの選択からメールのトラフィックフローまで、最適なソリューションを選択するための典型的な設計決定プロセスと考慮事項について説明します。

メールクライアントの選択

通常、クライアントの選択は、メール戦略の設計全体において最初に実行すべき項目です。Citrix Secure Mail、特定のモバイルプラットフォームのオペレーティングシステムに含まれるネイティブメール、またはパブリックアプリケーションストアを通じて利用できる他のサードパーティクライアントから選択できます。必要に応じて、単一の(標準)クライアントを使用したり、クライアントの組み合わせを使用したりして、ユーザーコミュニティをサポートできます。

次の表に、使用可能なさまざまなクライアントオプションで設計上考慮すべき事項を示します。

       
トピック Secure Mail ネイティブ(iOS Mailなど) サードパーティのメール(TouchDownなど)
XenMobileの最小エディション 詳細設定 MDM MDM
構成 MDXポリシーによって構成されたExchangeアカウントプロファイル。 MDMポリシーによって構成されたExchangeアカウントプロファイル。Androidのサポートは、SAFE/KNOX、HTC、およびAndroid for Workに限定されます。他のすべてのクライアントはサードパーティのクライアントと見なされます。 一般に、ユーザーが手動で構成する必要があります。TouchDownのみ、MDMポリシーを介したExchangeアカウントプロファイルの構成。
セキュリティ これ自体がセキュアに設計されており、最高のセキュリティを提供します。データ暗号化レベルが強化されたMDXポリシーを使用します。Secure Mailは、MDXポリシーによって完全に管理されているアプリです。Citrix PINにより、認証が強化されています。 ベンダーおよびアプリの機能セットに基づきます。より高いセキュリティを提供します。デバイスの暗号化設定を使用します(MDXポリシーによるセキュリティなし)。アプリへのアクセスでデバイスレベルの認証に依存します。 ベンダーおよびアプリの機能セットに基づきます。高いセキュリティを提供します。
統合 デフォルトで管理対象(MDX)アプリの操作を許可します。Citrix Secure WebでWeb URLを開きます。ShareFileにファイルを保存し、ShareFileからファイルを添付します。GoToMeetingへの直接参加およびダイヤルイン。 デフォルトでは、他の非管理対象(非MDX)アプリのみ操作できます。 デフォルトでは、他の非管理対象(非MDX)アプリのみ操作できます。
展開/ライセンス MDMを通じて、パブリックアプリケーションストアから直接Secure Mailをプッシュできます。XenMobileのAdvancedおよびEnterprise Editionのライセンスに含まれています。 クライアントアプリは、プラットフォームのオペレーティングシステムに含まれています。追加のライセンス要件はありません。 エンタープライズアプリとしてMDM経由で、またはパブリックアプリケーションストアから直接、プッシュできます。アプリケーションベンダーに基づき、関連ライセンスモデル/コスト。
サポート クライアントおよびEMMソリューションを提供する単一ベンダーのサポート(Citrix)。Secure Hub/アプリのデバッグログ機能にサポートの連絡先情報が埋め込まれています。サポートするクライアントは1つです。 ベンダーによって定義されたサポート(Apple/Google)。デバイスのプラットフォームに基づいて異なるクライアントをサポートする必要がある場合があります。 ベンダーによって定義されたサポート。サードパーティのクライアントがすべての管理対象デバイスプラットフォームでサポートされていることを前提に、1つのクライアントをサポートします。

メールのトラフィックフローとフィルタリングに関する考慮事項

ここでは、XenMobileのコンテキストでのメール(ActiveSync)のトラフィックフローに関する3つの主要なシナリオと設計上の考慮事項について説明します。

シナリオ1:インターネットに接続されたExchange

外部クライアントをサポートする環境では、通常、Exchange ActiveSyncサービスがインターネットに接続されています。モバイルのActiveSyncクライアントは、この外部に対するパスを通じて、リバースプロキシ(NetScalerなど)またはエッジサーバーを介して接続します。このオプションは、ネイティブまたはサードパーティのメールクライアントを使用する場合に必要です。このため、このシナリオではこれらのクライアントが一般的な選択になります。また、一般的な方法ではありませんが、このシナリオでSecure Mailクライアントを使用することもできます。これにより、MDXポリシーの使用とアプリの管理によって提供されるセキュリティ機能のメリットが得られます。

シナリオ2:NetScaler経由のトンネリング(マイクロVPNおよびSTA)

Secure MailのマイクロVPN機能により、Secure Mailクライアントを使用する場合はこのシナリオがデフォルトになります。この場合、Secure Mailクライアントは、NetScaler Gateway経由でActiveSyncへのセキュリティで保護された接続を確立します。本質的に、Secure Mailは、内部ネットワークからActiveSyncに直接接続するクライアントと考えることができます。通常Citrixのお客様は、最適なモバイルActiveSyncクライアントとしてSecure Mailを標準に決定します。この決定は、1つ目のシナリオで説明したように、インターネットに接続されたExchange Server上で、ActiveSyncサービスがインターネットに接続されないようにする取り組みの一部です。

管理対象(MDXでラップされた)アプリのみがマイクロVPN機能を使用できます。したがって、このシナリオはネイティブクライアントには適用されません。MDX Toolkitを使用してサードパーティのクライアントをラップすることは可能ですが、この方法は一般的ではありません。ネイティブまたはサードパーティのクライアントにトンネルを介したアクセスを許可するためにデバイスレベルのVPNクライアントを使用することは煩雑であり、実行可能なソリューションではないことが実証されています。

シナリオ3:クラウドでホストされたExchangeサービス

クラウドでホストされたExchangeサービス(Microsoft Office 365など)の普及が進んでいます。ActiveSyncサービスもインターネットに接続しているため、XenMobileのコンテキストでは、このシナリオは1つ目のシナリオと同じように扱うことができます。この場合、クラウドサービスプロバイダーの要件によってクライアントの選択が決まります。一般的にこの選択には、Secure Mailや他のネイティブクライアントまたはサードパーティクライアントなど、ほとんどのActiveSyncクライアントのサポートが含まれます。

このシナリオでは、XenMobileは次の3つの領域で価値を付加できます:

  • MDXポリシーによるクライアントのラッピングとSecure Mailによるアプリの管理
  • サポートされているクライアント(TouchDownなどのネイティブ)でのMDMポリシーを使用したクライアント構成
  • XenMobile Mail Managerを使用したActiveSyncのフィルターオプション

メールトラフィックのフィルタリングに関する考慮事項

インターネットに接続している大半のサービスと同様に、パスを保護し、承認されたアクセスに対してフィルターを提供する必要があります。XenMobileソリューションには、ネイティブクライアントとサードパーティクライアントにActiveSyncのフィルタリング機能を提供するために特別に設計された2つのコンポーネントである、XenMobile NetScaler ConnectorとXenMobile Mail Managerが含まれています。

XenMobile NetScaler Connector

XenMobile NetScaler Connectorは、ActiveSyncトラフィックのプロキシとしてNetScalerを使用して、境界でActiveSyncフィルタリングを提供します。その結果、フィルタリングコンポーネントはメールトラフィックフローのパスの一部として、メールが環境に出入りする時に傍受します。XenMobile NetScaler Connectorは、NetScalerとXenMobile間の中継点として機能します。デバイスがNetScaler上のActiveSync仮想サーバーを介してExchangeと通信する場合、NetScalerはXenMobile NetScaler Connectorサービスに対してHTTPコールアウトを実行します。このサービスは、XenMobileを使用してデバイスの状態を確認します。XenMobile NetScaler ConnectorはNetScalerに応答し、デバイスの状態に基づいて接続を許可または拒否します。また、ユーザー、エージェント、デバイスの種類やIDに基づいてアクセスをフィルターするように静的規則を構成することもできます。

この設定では、不正なアクセスを防ぐためにセキュリティレイヤーを追加して、Exchange ActiveSyncサービスのインターネットへの接続を許可します。設計上の考慮事項は次のとおりです:

  • Windows Server:XenMobile NetScaler ConnectorコンポーネントにはWindows Serverが必要です。
  • フィルター規則のセット:XenMobile NetScaler Connectorは、ユーザー情報ではなくデバイスの状態と情報に基づいてフィルターするように設計されています。ユーザーIDでフィルターするように静的規則を構成することもできますが、たとえばActive Directoryグループのメンバーシップに基づいてフィルターするオプションはありません。Active Directoryグループのフィルターが必要な場合は、代わりにXenMobile Mail Managerを使用できます。
  • NetScalerのスケーラビリティ:NetScalerを介したActiveSyncトラフィックのプロキシ要件を考慮すると、すべてのActiveSync SSL接続によって追加されたワークロードをサポートするには、NetScalerインスタンスの適切なサイズ設定が不可欠です。
  • NetScaler統合キャッシュ:NetScaler上のXenMobile NetScaler Connectorの構成では、統合キャッシュ機能を使用してXenMobile NetScaler Connectorからの応答をキャッシュします。この構成により、NetScalerでは、特定のセッション内のすべてのActiveSyncトランザクションに対してXenMobile NetScaler Connectorに要求を発行する必要がありません。適切なパフォーマンスとスケーラビリティを実現するにはこの構成も不可欠です。統合キャッシュは、NetScaler Platinum Editionで使用できます。また、Enterprise Editionでは個別に機能のライセンスを取得できます。
  • カスタムのフィルターポリシー:カスタムのNetScalerポリシーを作成して、特定のActiveSyncクライアントを標準のネイティブモバイルクライアント以外に制限する必要がある場合があります。この構成では、ActiveSync HTTP要求とNetScalerのレスポンダーポリシーの作成に関する知識が必要です。
  • Secure Mailクライアント:Secure MailにはマイクロVPN機能があるため、境界でのフィルターが不要になります。一般に、Secure Mailクライアントは、NetScaler Gatewayを介して接続されている場合、内部の(信頼できる)ActiveSyncクライアントとして扱われます。ネイティブおよびサードパーティクライアント(XenMobile NetScaler Connectorを使用)、およびSecure Mailクライアントのサポートが必要な場合:Secure Mailのトラフィックが、XenMobile NetScaler Connectorで使用されるNetScaler仮想サーバー経由でフローしないようにすることをお勧めします。これを実行するには、トラフィックがDNS経由でフローし、XenMobile NetScaler ConnectorポリシーがSecure Mailクライアントに影響を与えないようにします。

XenMobile展開におけるXenMobile NetScaler Connectorの図については、「アーキテクチャ」を参照してください。

XenMobile Mail Manager

XenMobile Mail Managerは、ExchangeサービスレベルでActiveSyncフィルタリングを提供するXenMobileコンポーネントです。つまり、メールがXenMobile環境に到達した時ではなく、Exchangeサービスに到達した後にのみフィルタリングが行われます。Mail Managerは、PowerShellを使用してExchange ActiveSyncにデバイスパートナーシップ情報のクエリを実行し、デバイスの隔離操作を通じてアクセスを制御します。この操作では、XenMobile Mail Managerの規則条件に基づいて、デバイスを検疫に入れたり検疫から出したりします。

XenMobile NetScaler Connectorと同様に、XenMobile Mail ManagerではXenMobileを使用してデバイスの状態を確認し、デバイスのコンプライアンスに基づいてアクセスをフィルターします。また、デバイスの種類やID、エージェントのバージョン、Active Directoryグループのメンバーシップに基づいてアクセスをフィルターするように静的規則を構成することもできます。

このソリューションでは、NetScalerを使用する必要はありません。既存のActiveSyncトラフィックのルーティングに変更を加えることなく、XenMobile Mail Managerを展開できます。設計上の考慮事項は次のとおりです:

  • Windows Server:XenMobile Mail Managerコンポーネントでは、Windows Serverを展開する必要があります。
  • フィルター規則のセット:XenMobile NetScaler Connectorと同様に、XenMobile Mail Managerには、デバイスの状態を評価するためのフィルター規則が含まれています。さらに、XenMobile Mail Managerは、Active Directoryグループのメンバーシップに基づいてフィルターする静的規則をサポートしています。
  • Exchangeの統合:XenMobile Mail Managerでは、ActiveSyncの役割をホストしているExchangeクライアントアクセスサーバー(CAS)に直接アクセスし、デバイスの隔離操作を制御する必要があります。環境アーキテクチャとセキュリティ状況によっては、この要件により課題がもたらされる可能性があります。この技術要件を前もって評価することが重要です。
  • 他のActiveSyncクライアント:XenMobile Mail ManagerはActiveSyncサービスレベルでフィルターするため、XenMobile環境外の他のActiveSyncクライアントについて考慮します。XenMobile Mail Managerの静的規則を構成して、他のActiveSyncクライアントへの意図しない影響を防ぐことができます。
  • 拡張されたExchange機能:Exchange ActiveSyncとの直接統合により、XenMobile Mail Managerは、モバイルデバイス上でExchange ActiveSyncのワイプを実行する機能をXenMobileに提供します。またXenMobile Mail Managerでは、XenMobileがBlackberryデバイスに関する情報にアクセスしたり、その他の制御操作を実行することを許可します。

XenMobile展開におけるXenMobile Mail Managerの図については、「アーキテクチャ」を参照してください。

電子メールプラットフォーム決定木

次の図は、XenMobileの展開でネイティブメールまたはSecure Mailのソリューションを使用する場合のメリットとデメリットを理解するのに役立ちます。選択ごとに、サーバー、ネットワーク、およびデータベースにアクセスするためのXenMobileの関連オプションと要件がまとめられています。メリットとデメリットには、セキュリティ、ポリシー、およびユーザーインターフェイスの考慮事項に関する詳細が含まれています。

電子メールプラットフォーム決定木の図