电子邮件策略
从移动设备安全访问电子邮件是任何组织的移动性管理计划的其中一个主要的驱动因素。决定正确的电子邮件策略通常是任何 Citrix Endpoint Management 设计的关键组成部分。Citrix Endpoint Management 根据安全、用户体验和集成要求提供了多种选项来适应不同的用例。本文介绍了选择正确的解决方案(从选择客户端到邮件通信流)的典型设计决策过程和注意事项。
选择电子邮件客户端
对整体电子邮件策略设计而言,客户端选择通常排在第一位。可以从多个客户端中进行选择:Citrix Secure Mail、特定移动平台操作系统中随附的本机邮件或者通过公共应用商店提供的其他第三方客户端。根据您的需求,您可能需要使用单个(标准)客户机来支持用户社区,或者可能必须组合使用客户端。
下表概述了可用的不同客户端选项的一些设计注意事项:
| 主题 | Citrix Secure Mail | 本机(例如 iOS Mail) | 第三方邮件 |
| 配置 | 通过 MDX 策略配置的 Exchange 帐户配置文件。 | 通过 MDM 策略配置的 Exchange 帐户配置文件。Android 支持仅限于:Android Enterprise。所有其他客户端都被视为第三方客户端。 | 通常需要用户手动配置。 |
| 安全性 | Secure by Design,提供最高安全性。使用数据加密级别增加的 MDX 策略。Citrix Secure Mail 是一款通过 MDX 策略进行完全托管的应用程序。增加了通过 Citrix PIN 进行的身份验证层。 | 取决于供应商/应用程序功能集。提供较高的安全性。使用设备加密设置。依靠设备级别的身份验证来访问应用程序。 | 取决于供应商/应用程序功能集。提供高安全性。 |
| 集成 | 默认情况下,允许与托管 (MDX) 应用程序进行交互。通过 Citrix Secure Web 打开 Web URL。将文件保存到 Citrix Files 以及从 Citrix Files 附加文件。直接加入和拨入 GoToMeeting。 | 默认情况下,只能与其他未托管(非 MDX)应用程序交互。 | 默认情况下,只能与其他未托管(非 MDX)应用程序交互。 |
| 部署/许可 | 您可以通过 MDM 直接从公共应用商店推送 Citrix Secure Mail。包含在 Citrix Endpoint Management 高级版和企业版许可中。 | 平台操作系统中随附的客户端应用程序。无额外的许可要求。 | 您可以通过 MDM、作为企业应用程序进行推送,也可以直接从公共应用程序商店进行推送。基于应用程序供应商的关联许可模式/成本。 |
| 支持 | 客户端和 EMM 解决方案 (Citrix) 的单供应商支持。Citrix Secure Hub/App 调试日志记录功能中嵌入式支持联系信息。可支持一个客户端。 | 供应商定义的支持 (Apple/Google)。可能必须根据设备平台支持不同的客户端。 | 供应商定义的支持。可支持一个客户端,前提是第三方客户端在所有托管设备平台上都受支持。 |
邮件通信流和过滤注意事项
本节讨论了Citrix Endpoint Management背景下有关邮件流(ActiveSync)流量的三个主要场景和设计注意事项。
方案 1:公开的 Exchange
支持外部客户端的环境通常具有面向 Internet 公开的 Exchange ActiveSync 服务。移动 ActiveSync 客户机通过反向代理(例如 NetScaler Gateway)或边缘服务器通过这种面向外部的路径进行连接。此方案需要使用本机或第三方邮件客户端,使得这些客户端成为此方案的普遍选择。尽管这种做法并不常见,但在这种情况下,您也可以使用 Citrix Secure Mail 客户端。这样,您将从使用 MDX 策略和管理应用程序提供的安全功能中获益。
场景 2:通过 NetScaler Gateway(微型 VPN 和 STA)建立隧道
使用 Citrix Secure Mail Client 时,这是默认场景,因为它的微型 VPN 功能。在这种情况下,Citrix Secure Mail 客户端通过 NetScaler Gateway 与 ActiveSync 建立安全连接。从本质上讲,您可以将 Citrix Secure Mail 视为直接从内部网络连接到 ActiveSync 的客户端。Citrix 客户通常将 Citrix Secure Mail 标准化为首选移动 ActiveSync 客户端。该决策属于避免在公开的 Exchange Server 上面向 Internet 公开 ActiveSync 服务的措施的一部分,如第一种方案中所述。
只有启用了 MAM SDK 或 MDX 封装的应用程序才能使用 Micro VPN 功能。如果您使用 MDX 封装,此方案不适用于本机客户端。尽管可以使用 MDX Toolkit 封装第三方客户端,但这种做法并不常见。事实证明,使用设备级 VPN 客户端允许本地或第三方客户端进行隧道访问非常麻烦,而且不是一个可行的解决方案。
方案 3:云托管的 Exchange 服务
云托管的 Exchange 服务(例如 Microsoft Office 365)变得更受欢迎。在 Citrix Endpoint Management 的背景下,这种情况的处理方式可能与第一个场景相同,因为ActiveSync服务也暴露在互联网上。在这种情况下,云服务提供商要求会规定客户端选项。选项通常包括支持大多数 ActiveSync 客户端,例如 Citrix Secure Mail 和其他本地或第三方客户端。
在这种情况下,Citrix Endpoint Management 可以在三个领域增加价值:
- 拥有 MDX 策略并通过 Citrix Secure Mail 进行应用程序管理的客户
- 在受支持的本机电子邮件客户端上使用 MDM 策略配置客户端
- 使用适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器的 ActiveSync 筛选选项
邮件流过滤注意事项
与面向 Internet 公开的大多数服务一样,必须确保路径安全并提供过滤功能以进行授权访问。Citrix Endpoint Management 解决方案包括两个专门为本机和第三方客户机提供 ActiveSync 筛选功能而设计的组件:适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器和适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器。
适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器
适用于 Exchange ActiveSync 的 NetScaler Gateway Connector 使用 NetScaler Gateway 作为 ActiveSync 流量的代理,在外围提供 ActiveSync 过滤。因此,过滤组件位于邮件通信流的路径中,在邮件进入或离开环境时截获邮件。适用于 Exchange ActiveSync 的连接器充当 NetScaler Gateway 和 Citrix Endpoint Management 之间的中介。当设备通过 NetScaler Gateway 上的 ActiveSync 虚拟服务器与 Exchange 通信时,NetScaler Gateway 会向 Exchange ActiveSync 服务的连接器进行 HTTP 调用。然后,该服务使用 Citrix Endpoint Management 检查设备状态。根据设备状态,Exchange ActiveSync的连接器会回复NetScaler Gateway以允许或拒绝连接。您也可以配置静态规则,根据用户、代理和设备类型或 ID 筛选访问权限。
此设置允许在增加了安全层的情况下面向 Internet 公开 Exchange ActiveSync 服务,以阻止未经授权的访问。设计注意事项包括以下各项:
- Windows 服务器: Exchange ActiveSync 组件的连接器需要 Windows 服务器。
- 筛选规则集: Exchange ActiveSync 的连接器旨在根据设备状态和信息而不是用户信息进行筛选。尽管您可以将静态规则配置为按用户 ID 进行筛选,但不存在基于 Active Directory 组成员资格进行筛选的选项。如果需要过滤 Active Directory 组,则可以改用适用于 Exchange ActiveSync 的 Citrix Endpoint Management Connector。
- NetScaler Gateway 可扩展性: 鉴于需要通过 NetScaler Gateway 代理 ActiveSync 流量:适当调整 NetScaler Gateway 实例的大小对于支持所有 ActiveSync SSL 连接的额外工作负载至关重要。
- NetScaler Gateway 集成缓存: NetScaler Gateway 上的 Exchange ActiveSync 配置连接器使用集成缓存功能来缓存来自连接器的响应。由于这种配置,NetScaler Gateway 不需要为给定会话中的每笔ActiveSync交易向连接器发出请求。该配置对实现足够的性能和规模而言也非常重要。NetScaler Gateway 铂金版提供集成缓存。
- 定制筛选策略: 您可能需要创建自定义 NetScaler Gateway 策略,以限制标准原生移动客户机之外的某些 ActiveSync 客户机。此配置需要了解 ActiveSync HTTP 请求和 NetScaler Gateway 响应器策略的创建。
- Citrix Secure Mail 客户端 :Citrix Secure Mail 具有微型 VPN 功能,无需在外围进行过滤。通过 NetScaler Gateway 连接时,Citrix Secure Mail Client 通常会被视为内部(可信的)ActiveSync 客户端。如果需要同时支持本机和第三方(使用 Exchange ActiveSync 连接器)以及 Citrix Secure Mail 客户端:Citrix 建议 Citrix Secure Mail 流量不要通过用于连接器的 NetScaler Gateway 虚拟服务器流动。您可以通过 DNS 完成此流量,并防止连接器策略影响 Citrix Secure Mail 客户端。
有关 Citrix Endpoint Management 部署中适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器的示意图,请参阅架构。
适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器
适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器是 Citrix Endpoint Management 组件,在 Exchange 服务级别提供 ActiveSync 过滤。因此,只有在邮件到达 Exchange 服务后才会进行过滤,而不是在邮件进入 Citrix Endpoint Management 环境时发生。Mail Manager 使用 PowerShell 查询 Exchange ActiveSync 中的设备合作关系信息,并通过设备隔离操作来控制访问。这些操作根据适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器的规则标准,使设备进入和退出隔离区。
与适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器类似,适用于 Exchange ActiveSync 的 Connector 会通过 Citrix Endpoint Management 检查设备状态,以根据设备合规性筛选访问权限。您也可以配置静态规则,根据设备类型或 ID、代理版本和 Active Directory 组成员资格筛选访问权限。
此解决方案不需要使用 NetScaler Gateway。您无需更改现有 ActiveSync 流量的传输方式,即可部署适用于 Exchange ActiveSync 的连接器。设计注意事项包括:
- Windows Server: 适用于 Exchange ActiveSync 的连接器需要您部署 Windows Server。
- 筛选规则集: 就像适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器一样,适用于 Exchange ActiveSync 的 Connector 也包含用于评估设备状态的筛选规则。此外,Exchange ActiveSync的连接器还支持根据Active Directory组成员资格进行筛选的静态规则。
- Exchange 集成: 适用于 Exchange ActiveSync 的连接器要求直接访问托管 ActiveSync 角色的 Exchange 客户端访问服务器 (CAS) 以及控制设备隔离操作。此要求可能会提出挑战,具体取决于环境体系结构和安全态势。提前评估此技术要求至关重要。
- 其他 ActiveSync 客户端:由于 Exchange ActiveSync 的连接器在 ActiveSync 服务级别上进行过滤,因此可以考虑 Citrix Endpoint Management 环境之外的其他 ActiveSync 客户端。可以配置适用于 Exchange ActiveSync 的连接器静态规则以避免对其他 ActiveSync 客户端产生非预期的影响。
- 扩展的交换功能: 通过与 Exchange ActiveSync 的直接集成,Exchange ActiveSync 连接器使 Citrix Endpoint Management 能够在移动设备上擦除 Exchange ActiveSync。适用于 Exchange ActiveSync 的连接器还允许 Citrix Endpoint Management 访问有关黑莓设备的信息并执行其他控制操作。
有关 Citrix Endpoint Management 部署中适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器的示意图,请参阅架构。
电子邮件平台决策树
下图可帮助您区分在 Citrix Endpoint Management 部署中使用本机电子邮件或 Citrix Secure Mail 解决方案的利弊。每个选项都允许关联的 Citrix Endpoint Management 选项和要求,以支持服务器、网络和数据库访问。利弊包括与安全性、策略和用户界面注意事项有关的详细信息。
