适用于 Secure Mail 的推送通知

当 Secure Mail for iOS 和 Secure Mail for Android 在后台运行或已关闭时，可以接收有关电子邮件和日历活动的通知。Secure Mail for iOS 支持通过 Apple Push Notification service (APNs) 提供的远程推送通知。Secure Mail for Android 支持通过 Firebase Cloud Messaging service (FCM) 提供的通知。

• 推送通知的工作原理

• 为了向 iOS 和 Android 提供推送通知，Citrix® 在 Amazon Web Services (AWS) 上托管了一个侦听器服务，以执行以下功能：

• 侦听当收件箱有活动时由 Exchange Servers 发送的 Exchange Web Services (EWS) 推送通知。Exchange 不会向 Citrix 服务发送任何邮件内容。

• Citrix 服务不存储任何个人身份信息。相反，设备令牌和订阅 ID 用于标识 Secure Mail 中要更新的特定设备和收件箱文件夹。

• 向 iOS 设备上的 Secure Mail 发送仅包含标记计数的 APNs 通知。

• 向 Android 设备上的 Secure Mail 发送 FCM 通知。

Citrix 侦听器服务不影响邮件数据流量，邮件数据流量继续通过 ActiveSync 在用户设备和 Exchange Servers 之间流动。该侦听器服务配置为高可用性和灾难恢复，可在以下三个区域使用：

• 美洲
• 欧洲、中东和非洲 (EMEA)
• 亚太地区 (APAC)

推送通知的系统要求

如果您的 Citrix Gateway 配置包括 Secure Ticket Authority (STA) 且分流隧道处于关闭状态，则 Citrix Gateway 必须允许（当从 Secure Mail 进行隧道连接时）流量访问以下 Citrix 侦听器服务 URL：

配置 Secure Mail 以进行推送通知

• 要为应用商店分发配置 Secure Mail 的 Apple Push Notifications 或 FCM，请在 Endpoint Management 控制台中，将“推送通知”设置为 ON，然后选择您的区域。下图显示了 iOS 的设置。

对于 Android，下图显示了与 iOS 相同的“推送通知设置”。此外，如果 EWS 托管在与邮件服务器所在区域不同的区域，请完成 EWS HostName 设置。默认设置为空。如果将此设置留空，Endpoint Management 将使用邮件服务器的主机名。

配置 Exchange 和 Citrix ADC 以允许流量流向侦听器服务。

Exchange Server 配置

允许您的防火墙将出站 SSL（通过端口 443）流量发送到您的 Exchange Server 所在区域的 Citrix 侦听器服务 URL。例如：

如果您在 Exchange Web Services (EWS) 和 Citrix 侦听器设备之间有代理服务器，您可以执行以下任一操作。

• 通过代理将 EWS 流量发送到侦听器设备。
• 绕过代理，将 EWS 流量直接路由到侦听器设备。

要通过代理服务器发送 EWS 流量，请按如下所示配置 ClientAccess\exchweb\ews 文件夹中的 EWS web.config 文件。

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />

• </defaultProxy> </system.net> </configuration>

• 有关配置代理的更多详细信息，请参阅代理配置。

对于 Exchange 2013 环境，您必须手动将 system.net 部分添加到 web.config 文件中。否则，本文中介绍的配置应适用于 Exchange 2013。有关故障排除，请联系您的 Exchange 管理员。

要绕过代理服务器，请配置旁路列表以允许 Exchange 连接到 Citrix 侦听器服务。

• 当 Secure Hub 注册了基于证书的身份验证时，您还必须为 Exchange Server 配置基于证书的身份验证。有关详细信息，请参阅 Endpoint Management 高级概念文章。

Citrix Gateway 配置

尽管 Exchange Server 需要允许流量流向侦听器服务，但 Citrix ADC 必须允许流量流向注册服务。通过这种方式，设备可以连接以注册推送通知。

• 如果您的 EWS 和 ActiveSync 服务器不同，请配置您的 Citrix ADC 流量策略以允许 EWS 流量。有关将 Citrix Endpoint Management 与 Citrix Gateway 集成的更多信息，请参阅 与 Citrix Gateway 和 Citrix ADC 集成部分。

故障排除

要对出站连接进行故障排除，请检查 Exchange 事件日志，其中包含订阅请求或订阅通知无效或失败时的日志条目。您还可以在 Exchange Server 上运行 Wireshark 跟踪，以跟踪流向 Citrix 侦听器服务的出站流量。

Secure Mail 推送通知常见问题

• Android 何时向 Secure Mail 传递通知

在 Android 中，通知始终传递到 Secure Mail。

FCM 如何影响显示在锁定屏幕上的电子邮件通知

显示在设备锁定屏幕上的新邮件通知是根据 Secure Mail 同步到设备的数据生成的。重要的是，此信息并非来自侦听器服务。

• 要显示新邮件通知，Secure Mail 必须能够从 Exchange 同步数据，以便 Secure Mail 拥有可用于创建通知的信息。

当您收到新邮件时，将显示 您有新邮件 FCM 通知。电子邮件在后台同步完成后，新邮件将显示在 Secure Mail 中。

APNs 如何影响显示在锁定屏幕上的电子邮件通知

显示在设备锁定屏幕上的新邮件通知是根据 Secure Mail 同步到设备的数据生成的。重要的是，此信息并非来自侦听器服务。

为了显示新邮件通知，Secure Mail 需要能够从 Exchange 同步数据，以便 Secure Mail 拥有可用于创建通知的信息。

如果 APNs 通知未在后台传递到 Secure Mail，则 Secure Mail 不会检测到这些通知，因此不会同步新数据。由于 Secure Mail 没有新数据可用，因此即使 APNs 通知未传递，设备锁定屏幕上也不会生成电子邮件通知。

后台应用刷新如何影响 Secure Mail 和 APNs

如果用户关闭后台应用刷新，则会出现以下情况：

• 当 Secure Mail 处于后台应用时，Secure Mail 不会收到通知。

  注意：

  仅当富推送通知被禁用时，才会出现这种情况。有关富推送通知的更多信息，请参阅 适用于 iOS 的 Secure Mail 富推送通知。

• Secure Mail 不会使用新电子邮件通知更新锁定屏幕。

禁用后台应用刷新会对 Secure Mail 的行为产生重大影响。如前所述，基于 APNs 的徽章更新仍然会发生，但在这种模式下，没有电子邮件会同步到设备。

低电量模式如何影响 Secure Mail 和 APNs

在低电量模式下，系统对 Secure Mail 的行为与禁用后台应用刷新时的行为相同。在低电量模式下，设备不会唤醒应用进行定期刷新，也不会向后台应用传递通知。因此，副作用与上面“后台应用刷新”部分中列出的相同。请注意，在低电量模式下，基于 APNs 通知，徽章更新仍然会发生。

还有哪些其他问题可能导致 FCM 驱动的同步在后台失败

各种问题都可能导致 FCM 驱动的同步请求失败，包括：

• 无效的 STA 票证。
• 当 Secure Mail 在打盹模式下被唤醒时，应用有 10 秒的时间从服务器同步所有数据。

如果发生上述任何情况，Secure Mail 将无法同步数据。因此，锁屏通知不会出现。

还有哪些问题会导致 APNs 驱动的后台同步失败

许多问题都可能导致 APNs 驱动的同步请求失败，包括：

• 无效的 STA 票证。
• 网络连接缓慢。当 Secure Mail 在后台被唤醒时，应用有 30 秒的时间从服务器同步所有数据。
• 如果启用了数据保护策略，并且 Secure Mail 被 APNs 通知唤醒，当设备锁定时，Secure Mail 无法访问数据存储，同步也不会发生。请注意，这仅适用于系统尝试冷启动 Secure Mail 的情况。如果用户在解锁设备后已在某个时间点启动了 Secure Mail，即使设备已锁定，APNs 驱动的同步也会成功。

如果发生上述任何情况，Secure Mail 将无法同步数据，因此无法显示锁屏通知。

当通知未送达或未使用 APNs 时，Secure Mail 如何生成锁屏通知

如果 APNs 被禁用，Secure Mail 仍然会通过 iOS 的周期性后台应用刷新事件唤醒，前提是后台应用刷新已启用且低电量模式已关闭。

在这些唤醒事件期间，Secure Mail 会从 Exchange Server 同步新邮件。然后，这些新邮件可用于在锁屏上生成电子邮件通知。因此，即使 APNs 通知未送达或 APNs 被禁用，Secure Mail 也能在后台同步数据。

需要注意的是，这比在使用 APNs 且 APNs 通知送达 Secure Mail 时，实时性会差一些。当 iOS 将 APNs 通知路由到 Secure Mail 时，应用会立即从服务器同步数据，锁屏通知看起来是实时的。

如果需要后台应用刷新唤醒，锁屏通知不会实时发生。在这种情况下，Secure Mail 会以 iOS 完全决定的频率被唤醒。因此，在以下两种情况之间可能会经过一段时间：

• 当电子邮件到达用户在 Exchange 上的收件箱时。
• 当 Secure Mail 同步该邮件并生成锁屏通知时。

另请注意，即使在使用 APNs 时，Secure Mail 也会收到这些周期性唤醒。在所有后台应用刷新唤醒 Secure Mail 的情况下，Secure Mail 都会尝试从 Exchange 同步数据。

Secure Mail 与其他在锁屏上显示内容的应用程序有何不同

一个重要的区别（可能导致混淆）是 Secure Mail 并非总是在锁屏上实时显示新邮件。此行为与 Gmail、Microsoft Outlook 和其他应用程序不同。造成这种差异的主要原因是安全性。为了与这些其他应用程序的行为保持一致，Citrix 侦听器服务需要用户凭据才能向 Exchange 进行身份验证。需要凭据才能获取电子邮件内容。还需要凭据才能将此电子邮件内容通过 Citrix 侦听器服务传递到 Apple APNs 服务。Citrix 处理 APNs 通知的方法不需要 Citrix 侦听器服务获取或存储用户密码。侦听器服务无权访问用户的邮箱或密码。

关于原生 iOS 邮件应用程序的说明：iOS 允许其自己的邮件应用程序与邮件服务器保持持久连接，这确保了通知始终送达。原生邮件应用程序之外的第三方应用程序不允许此功能。

Gmail 应用程序行为： Google 拥有并控制 Gmail 应用程序和 Gmail 服务器。此行为意味着 Google 可以读取邮件内容并将该邮件内容包含在 APNs 通知负载中。当 iOS 从 Gmail 收到此 APNs 通知时，iOS 会执行以下操作：

• 将应用程序徽章设置为通知负载中指定的值。
• 使用通知负载中包含的邮件文本显示锁屏通知。

这是一个关键的区别：是 iOS（而不是 Gmail 应用程序）根据负载中包含的数据显示锁屏通知。事实上，iOS 可能永远不会唤醒 Gmail 应用程序，这类似于当通知到达时 iOS 可能不会唤醒 Secure Mail 的方式。然而，由于负载包含邮件片段，iOS 可以在无需将任何邮件数据同步到设备的情况下显示锁屏通知。

在 Secure Mail 中，情况有所不同。Secure Mail 必须首先从 Exchange 同步邮件数据，然后应用程序才能显示锁屏通知。

Outlook for iOS 应用程序行为： Microsoft 控制 Outlook for iOS。然而，用户所属的组织控制着获取数据的 Exchange 服务器。尽管有此设置，Outlook 仍可以根据 Microsoft 在 APNs 通知中提供的数据显示锁屏通知。原因是 Outlook for iOS 使用了一种模型，其中 Microsoft 存储用户凭据。然后，Microsoft 直接从其云服务访问用户的邮箱，并确定是否存在新邮件。

如果有新邮件可用，Microsoft 云服务会生成一个包含新邮件数据的 APNs 通知。此模型的操作方式与 Gmail 模型类似。在 Gmail 模型中，iOS 只是获取数据并根据该数据生成锁屏通知。Outlook iOS 应用程序不参与此过程。

关于 Outlook for iOS 的重要安全说明： Outlook for iOS 的方法存在明显的安全隐患。组织需要信任 Microsoft 存储其用户的密码。这种信任允许 Microsoft 访问用户的邮箱，这会带来安全风险。

有关针对管理员的推送通知的更多常见问题解答，请参阅此支持知识中心文章。有关针对用户的更多常见问题解答，请参阅此支持知识中心文章。