Product Documentation

Secure Mail 的推送通知

应用程序在后台运行或关闭时,Secure Mail for iOS 和 Secure Mail for Android 可以接收与电子邮件和日历活动有关的通知。Secure Mail for iOS 支持通过后台应用程序刷新提供的通知或通过 Apple 推送通知服务 (APNs) 提供的推送通知。Secure Mail for Android 支持通过 Firebase Cloud Messaging (FCM) 服务提供的通知。

推送通知的工作原理

Secure Mail 发送以下收件箱活动的推送通知:

  • 新邮件、会议请求、会议取消、会议更新: APNs 向收件箱推送通知时,Secure Mail 会更新包括“日历”在内的所有文件夹,以便会议变更立即反映在用户的日历中。

  • 对于 iOS,Secure Mail 状态从已读更改为未读(反之亦然)。Secure Mail 图标仅显示 Exchange 收件箱文件夹中未读邮件和新邮件的总数。当用户在桌面或便携式计算机上读取电子邮件后,Secure Mail 更新该图标。

    对于 iOS,Secure Mail 仍提供同步期间收件箱未读电子邮件的计数。如果“控制锁定屏幕通知”策略设置为,推送通知将在 iOS 唤醒 Secure Mail 以执行同步后显示在锁定设备屏幕上。

    安装或升级过程中,Secure Mail for iOS 将提示用户允许推送通知。用户还可以稍后通过 iOS 设置允许推送通知。

为提供针对 iOS 和 Android 的推送通知,Citrix 在 Amazon Web Services (AWS) 上托管侦听器服务以执行以下功能:

  • 侦听存在收件箱活动时 Exchange Server 发送的 Exchange Web 服务 (EWS) 推送通知。Exchange 不将任何邮件内容发送到 Citrix 服务。

    Citrix 服务不存储任何个人可识别信息。相反,设备令牌和订阅 ID 标识特定设备以及 Secure Mail 中要更新的收件箱文件夹。

  • 向 iOS 设备上的 Secure Mail 发送 APNs 通知(仅包含徽章计数)。

  • 向 Android 设备上的 Secure Mail 发送 FCM 通知。

Citrix 侦听器服务不影响邮件数据流量,该流量通过 ActiveSync 不断在用户设备与 Exchange Server 之间流动。在以下三个区域提供侦听器服务(为高可用性和灾难恢复配置):

  • 美洲地区
  • 欧洲、中东和非洲地区 (EMEA)
  • 亚太地区 (APAC)

推送通知的系统要求

如果 NetScaler Gateway 配置包括 Secure Ticket Authority (STA),并且拆分通道已关闭,NetScaler Gateway 必须允许流量(在通过通道传输时从 Secure Mail)传输到以下 Citrix 侦听器服务 URL:

地理区域 URL IP 地址
美洲地区 https://us-east-1.pushreg.xm.citrix.com 52.7.65.6、52.7.147.0
EMEA https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233、54.154.204.192
APAC https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173、52.74.25.245

为 Secure Mail 配置推送通知

要为 Secure Mail 设置 Apple 推送通知或 FCM 以进行应用商店分发,请在 XenMobile 控制台中,将“推送通知”设置为,然后选择您所在的区域。下图显示了 iOS 的设置。

XenMobile 中的推送通知设置示意图

对于 Android,下图显示了与 iOS 相同的推送通知设置。此外,如果 EWS 托管在与邮件服务器所在的区域不同的区域中,请完成 EWS 主机名设置。默认设置为空。如果将此设置留空,XenMobile 将使用邮件服务器的主机名。

XenMobile 中的 Android 的推送通知设置示意图

配置 Exchange 和 NetScaler 以允许流量流向侦听器服务。

Exchange Server 配置

允许从防火墙到 Exchange Server 所在区域的 Citrix 侦听器服务 URL 的出站 SSL(通过端口 443)。例如:

地理区域 URL IP 地址
美洲地区 https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176、52.4.180.132
EMEA https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172、52.17.147.220
APAC https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240、54.169.87.20

如果您在 Exchange Web 服务 (EWS) 与 Citrix 侦听器设备之间配置了代理服务器,则可以执行以下操作之一。

  • 通过该代理发送 EWS 流量,然后登录到侦听器设备。
  • 跳过该代理并将 EWS 流量直接路由到侦听器设备。

要通过代理服务器发送 EWS 流量,请在 ClientAccess\exchweb\ews 文件夹中配置 EWS web.config 文件,如下所示。

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="false"
proxyaddress="http://proxy.example:8080"
bypassonlocal="true” />
</defaultProxy>
</system.net>
</configuration>`

对于 Exchange 2013 环境,必须手动向 web.config 文件中添加 system.net 部分。否则,本文中描述的配置应适用于 Exchange 2013。要进行故障排除,请联系您的 Exchange 管理员。

要跳过代理服务器,请配置跳过列表以允许 Exchange 与 Citrix 侦听器服务建立连接。

通过基于证书的身份验证注册 Secure Hub 时,还必须将 Exchange Server 配置为执行基于证书的身份验证。有关详细信息,请参阅此 XenMobile 高级概念一文。

NetScaler Gateway 配置

Exchange server 需要允许将流量传输到侦听器服务,而 NetScaler 必须允许将流量传输到注册服务。通过这种方式,设备可以连接以注册发送推送通知。

如果 EWS 和 ActiveSync 服务器不同,请将 NetScaler 流量策略配置为允许 EWS 流量。

故障排除

要对出站连接进行故障排除,请查看 Exchange 事件日志,其中包含订阅请求或订阅的通知无效或失败时的日志条目。还可以在 Exchange Server 上运行 Wireshark 跟踪,以跟踪流向 Citrix 侦听器服务的出站流量。

有关其他问题,请尝试 Secure Mail 测试工具

Secure Mail 推送通知常见问题解答

iOS 何时将通知传送至 Secure Mail?

如果 Secure Mail 在前台运行,通知始终传送至 Secure Mail。这是唯一一种 Citrix 可以保证传送通知的情况。Secure Mail 进入后台时,应用程序徽章计数会始终更新。但是,通知(锁屏界面通知和横幅通知)依赖于后台应用程序刷新(尤其是 iOS 挂起或终止应用程序时),因此通知具有不确定性。以下因素不在 Citrix 的控制范围内。

以下情况可能会影响通知的传送:

  • 电池电量低。
  • 很少使用 Secure Mail(很少打开到前台)。
  • 在核心使用时间范围之外(此时该应用程序在后台挂起一段较长时间)接收了电子邮件;例如,在午夜和早上 6 点之间。

在以下情况下,通知传送至 Secure Mail:

  • 如果用户关闭 Secure Mail,直到用户手动重新打开该应用程序。
  • 如果系统已终止 Secure Mail,并且该应用程序尚未自动重新启动。
  • Secure Mail 未处于活动状态时。

重要:

Secure Mail 由于多种原因而未处于活动状态时,通知可能无法传送至 Secure Mail,包括但不限于以下情况:

  • 如果设备处于低功耗模式,且 Secure Mail 在后台运行。这是不传送通知的最常见情况。
  • 如果针对 Secure Mail 的后台应用程序刷新处于关闭状态,并且如果 Secure Mail 在后台运行。请注意,用户控制此设置。
  • 如果设备的网络连接较差。此情况完全取决于 iOS 设备。

Secure Mail 未收到通知时,Secure Mail 不会将新数据同步到设备。因此,会发生以下情况:

  • Secure Mail 仅在用户将该应用程序置于前台时同步数据。
  • 有新邮件时不显示锁屏界面通知。但日历提醒仍会显示。

Android 何时将通知传送至 Secure Mail?

在 Android 中,通知始终传送至 Secure Mail。

FCM 如何影响锁屏界面上显示的电子邮件通知?

设备锁屏界面上显示的新邮件通知是根据 Secure Mail 同步到设备的数据生成。重要说明:此信息不是来自侦听器服务。

为了显示新邮件通知,Secure Mail 必须能够从 Exchange 同步数据,以便 Secure Mail 具有信息来创建通知。

接收新邮件时,将显示您有新邮件 FCM 通知。电子邮件同步在后台完成后,新邮件将在 Secure Mail 中显示。

后台应用程序刷新如何影响 Secure Mail 和 APNs?

如果用户关闭后台应用程序刷新,会发生以下情况:

  • Secure Mail 不是后台应用程序时,Secure Mail 将不接收通知。
  • Secure Mail 不在锁屏界面上更新新电子邮件通知。

禁用后台应用程序刷新对 Secure Mail 的行为有重大影响。如前所述,仍然会根据 APNs 进行徽章更新,但在此模式下,电子邮件不会同步到设备。

低功耗模式如何影响 Secure Mail 和 APNs?

在低功耗模式下与 Secure Mail 相关的系统行为与禁用了后台应用程序刷新时相同。在低功耗模式下,设备不会因为定期刷新而唤醒应用程序,且不会向后台应用程序传送通知。因此,负面影响与上文“后台应用程序刷新”部分中列出的影响相同。请注意,在低功耗模式下,徽章更新仍将发生,具体取决于 APNs 通知。

APNs 如何影响锁屏界面上显示的电子邮件通知?

设备锁屏界面上显示的新邮件通知是根据 Secure Mail 同步到设备的数据生成。重要说明:此信息不是来自侦听器服务。

为了显示新邮件通知,Secure Mail 需要能够从 Exchange 同步数据,以便 Secure Mail 具有信息来创建通知。

如果 APNs 通知未传送至后台的 Secure Mail,Secure Mail 将不检测通知,因此不会同步新数据。由于 Secure Mail 没有可用的新数据,因此不会在设备锁屏界面上生成任何电子邮件通知,即使在 APNs 通知未传送时也是如此。

哪些其他问题可以导致 FCM 驱动的同步在后台失败?

多种问题可以导致 FCM 驱动的同步请求失败,包括:

  • STA 票据无效。
  • Secure Mail 在瞌睡模式下唤醒时,该应用程序有 10 秒的时间从服务器同步所有数据。

如果出现上述任意情况,Secure Mail 将无法同步数据。因此,锁屏通知可能不会显示。

哪些其他问题可以导致 APNs 驱动的同步在后台失败?

许多问题可以导致 APNs 驱动的同步请求失败,包括:

  • STA 票据无效。
  • 网络连接较慢。Secure Mail 在后台唤醒时,该应用程序有 30 秒的时间从服务器同步所有数据。
  • 如果启用了数据保护策略且 Secure Mail 被 APNs 通知唤醒,当设备处于锁定状态时,Secure Mail 无法访问数据存储,因此不会进行同步。请注意,这是唯一一种系统尝试冷启动 Secure Mail 的情况。如果用户已经在解锁设备后的某个时间启动了 Secure Mail,则即使设备处于锁定状态,APNs 驱动的同步也会成功。

如果发生上述情况中的任何一种,Secure Mail 都无法同步数据,因此无法显示锁屏界面通知。

通知未传送或未使用 APNs 时,Secure Mail 是否还有别的方法生成锁屏界面通知?

如果 APNs 被禁用,Secure Mail 仍会被 iOS 的定期后台应用程序刷新事件唤醒,前提是后台应用程序刷新已启用,且低功率模式处于关闭状态。

在这些唤醒事件中,Secure Mail 从 Exchange Server 同步新电子邮件。之后,此新电子邮件可以用于在锁屏界面上生成电子邮件通知。因此,即使 APNs 通知未传送或 APNs 被禁用,Secure Mail 仍可以在后台同步数据。

重要注意事项:实际发生这种情况的概率低于 APNs 已使用且 APNs 通知传送至 Secure Mail 时的情况。当 iOS 将 APNs 通知路由至 Secure Mail 时,该应用程序会立即从服务器同步数据,且锁屏界面通知会实时显示。

在需要后台应用程序刷新唤醒的情况下,不会实时生成锁屏界面通知。在这种情况下,以完全由 iOS 确定的频率唤醒 Secure Mail。因此,在电子邮件到达 Exchange 上用户的收件箱与 Secure Mail 同步该邮件并生成锁屏界面通知之间可能会间隔一段时间。

另请注意,即使 APNs 已使用时,Secure Mail 仍会收到这些定期唤醒。在后台应用程序刷新唤醒 Secure Mail 的所有情况下,Secure Mail 都会尝试从 Exchange 同步数据。

Secure Mail 与在锁屏界面上显示内容的其他应用程序有什么差异?

一个非常重要的差异(也是导致混淆的差异)是 Secure Mail 并不像 Gmail、Microsoft Outlook 及其他应用程序那样总是实时在锁屏界面上显示新电子邮件。这个差异的主要原因是安全性。为了与其他应用程序的行为保持一致,Citrix 侦听器服务需要用户凭据以向 Exchange 进行身份验证来获取电子邮件内容,另外还通过 Citrix 侦听器服务以及 Apple APNs 服务传送此电子邮件内容。Citrix 向 APNs 通知提供的方法不要求 Citrix 侦听器服务获取或存储用户的密码。侦听器服务无权访问用户的邮箱或密码。

有关本机 iOS 邮件应用程序的注意事项:iOS 允许其自己的电子邮件应用程序维持与邮件服务器的持续型连接,这可确保总是传送通知。对于本机邮件范围外的第三方应用程序,不允许使用此功能。

Gmail 应用程序行为: Google 拥有并控制 Gmail 应用程序和 Gmail 服务器。这意味着 Google 可以读取邮件内容,并在 APNs 通知有效负载中包含该邮件内容。当 iOS 从 Gmail 接收此 APNs 通知时,iOS 执行以下操作:

  • 将应用程序徽章设置为通知有效负载中指定的值。
  • 使用通知有效负载中包含的邮件文本来显示锁屏通知。

这是关键差异:是 iOS 而不是 Gmail 应用程序,根据有效负载中包含的数据来显示锁屏界面通知。其实,iOS 可能从不会唤醒 Gmail 应用程序,这与 iOS 可能不会在有通知时唤醒 Secure Mail 类似。但是,由于有效负载包含邮件代码段,因此 iOS 可以在没有任何邮件数据同步到设备的情况下显示锁屏通知。

在 Secure Mail 中,这种情况有所不同。Secure Mail 必须先从 Exchange 同步邮件数据,应用程序才可以显示锁屏界面通知。

Outlook for iOS 应用程序行为: Microsoft 控制 Outlook for iOS。但是,用户所属的组织控制从其获取数据的 Exchange Server。尽管有此设置,Outlook 仍可以根据 Microsoft 在 APNs 通知中提供的数据来显示锁屏界面通知,因为 Outlook for iOS 利用 Microsoft 存储用户凭据所采用的模式。之后 Microsoft 直接从其云服务访问用户邮箱,并确定是否有新邮件。

如果有新邮件,Microsoft 云服务将生成包含新邮件数据的 APNs 通知。此模式运行方式与 Gmail 模式类似,即 iOS 仅获取数据并根据该数据生成锁屏界面通知。Outlook iOS 应用程序不参与该过程。

Outlook for iOS 重要安全注意事项: Outlook for iOS 方法有明确的安全含义。组织需要信任 Microsoft 并向其提供其用户的密码,以便 Microsoft 可以访问用户的邮箱,这会构成安全风险。有关 Microsoft 管理用户密码的方式的详细信息,请参阅 Microsoft TechNet

要查看特定于管理员的与推送通知有关的更多常见问题解答,请参阅此支持知识中心文章。要查看特定于用户的更多常见问题解答,请参阅此支持知识中心文章