安全邮件的推送通知
应用程序在后台运行或关闭时,安全的邮件iOS和Android安全邮件可以接收与电子邮件和日历活动有关的通知。安全的邮件iOS支持通过苹果推送通知服务(apn)提供的远程推送通知提供的通知。安全邮件for Android 支持通过 Firebase Cloud Messaging (FCM) 服务提供的通知。
推送通知的工作原理
为提供针对iOS和Android的推送通知,Citrix在Amazon Web Services (AWS)上托管侦听器服务以执行以下功能:
侦听存在收件箱活动时Exchange服务器发送的交换Web服务(EWS)推送通知。交换不将任何邮件内容发送到Citrix服务。
Citrix服务不存储任何个人可识别信息。相反,设备令牌和订阅ID标识特定设备以及安全邮件中要更新的收件箱文件夹。
向iOS设备上的安全邮件发送的apn通知(仅包含徽章计数)。
向Android设备上的安全邮件发送FCM通知。
Citrix侦听器服务不影响邮件数据流量,该流量通过ActiveSync不断在用户设备与Exchange服务器之间流动。在以下三个区域提供侦听器服务(为高可用性和灾难恢复配置):
- 美洲地区
- 欧洲中,东和非洲地区(EMEA)
- 亚太地区(亚太地区)
推送通知的系统要求
如果Citrix网关配置包括安全票权威(STA),并且拆分通道已关闭,Citrix网关必须允许流量(从安全邮件通过通道传输时)传输到以下Citrix侦听器服务URL:
| 地理区域 | URL | IP地址 |
|---|---|---|
| 美洲地区 | https://us-east-1.pushreg.xm.citrix.com |
52.7.65.6, 52.7.147.0 |
| EMEA | https://eu-west-1.pushreg.xm.citrix.com |
54.154.200.233, 54.154.204.192 |
| 亚太地区 | https://ap-southeast-1.pushreg.xm.citrix.com |
52.74.236.173, 52.74.25.245 |
为保证邮件配置推送通知
要为安全邮件设置苹果推送通知或FCM以进行应用商店分发,请在端点管理控制台中,将“推送通知“设置为开,然后选择您所在的区域。下图显示了iOS的设置。
对于Android,下图显示了与iOS相同的推送通知设置。此外,如果EWS托管在与邮件服务器所在的区域不同的区域中,请完成EWS主机名设置。默认设置为空。如果将此设置留空、端点管理将使用邮件服务器的主机名。
配置交换和Citrix ADC以允许流量流向侦听器服务。
Exchange服务器配置
允许从防火墙到Exchange服务器所在区域的Citrix侦听器服务URL的出站SSL(通过端口443)。例如:
| 地理区域 | URL | IP地址 |
|---|---|---|
| 美洲地区 | https://us-east-1.mailboxlistener.xm.citrix.com |
52.6.252.176, 52.4.180.132 |
| EMEA | https://eu-west-1.mailboxlistener.xm.citrix.com |
54.77.174.172, 52.17.147.220 |
| 亚太地区 | https://ap-southeast-1.mailboxlistener.xm.citrix.com |
52.74.231.240, 54.169.87.20 |
如果您在交流Web服务(EWS)与Citrix侦听器设备之间配置了代理服务器,则可以执行以下操作之一。
- 通过该代理发送EWS流量,然后登录到侦听器设备。
- 跳过该代理并将EWS流量直接路由到侦听器设备。
要通过代理服务器发送EWS流量,请在ClientAccess \ exchweb \ EWS文件夹中配置EWS网络。配置文件,如下所示。
有关配置代理的更多详细信息,请参阅代理配置。
对于Exchange 2013环境,必须手动向网络。配置文件中添加system.net部分。否,则本文中描述的配置应适用于2013年交换。要进行故障排除,请联系您的交换管理员。
要跳过代理服务器,请配置跳过列表以允许交换与Citrix侦听器服务建立连接。
通过基于证书的身份验证注册安全中心时,还必须将Exchange服务器配置为执行基于证书的身份验证。有关详细信息,请参阅端点管理高级概念一文。
Citrix网关配置
虽然Exchange服务器需要允许将流量传输到侦听器服务,但Citrix ADC必须允许将流量传输到注册服务。通过这种方式,设备可以连接以注册发送推送通知。
如果EWS和ActiveSync服务器不同,请将Citrix ADC流量策略配置为允许EWS流量。有关将Citrix端点管理与Citrix网关集成的详细信息,请参阅将Citrix网关与Citrix ADC相集成部分。
故障排除
要对出站连接进行故障排除,请查看交换事件日志,其中包含订阅请求或订阅的通知无效或失败时的日志条目。还可以在Exchange服务器上运行Wireshark跟踪,以跟踪流向Citrix侦听器服务的出站流量。对于其他问题,请使用端点管理分析仪。
安全邮件推送通知常见问题解答
Android何时将通知传送至安全的邮件
在Android中,通知始终传送至安全的邮件。
FCM如何影响锁屏界面上显示的电子邮件通知
设备锁屏界面上显示的新邮件通知是根据安全邮件同步到设备的数据生成。重要说明:此信息不是来自侦听器服务。
为了显示新邮件通知,安全邮件必须能够从交换同步数据,以便安全邮件具有信息来创建通知。
接收新邮件时,将显示您有新邮件FCM通知。电子邮件同步在后台完成后,新邮件将在 Secure Mail 中显示。
后台应用程序刷新如何影响安全邮件和导引
如果用户关闭后台应用程序刷新,会发生以下情况:
安全邮件不是后台应用程序时,安全的邮件将不接收通知。
注意:
仅当禁用了富推送通知时才会出现这种情况。有关富推送通知的详细信息,请参阅面向安全的邮件iOS的富推送通知
安全邮件不在锁屏界面上更新新电子邮件通知。
禁用后台应用程序刷新对安全邮件的行为有重大影响。如前所述,仍然会根据apn进行徽章更新,但在此模式下,电子邮件不会同步到设备。
低功耗模式如何影响安全邮件和导引
在低功耗模式下与安全邮件相关的系统行为与禁用了后台应用程序刷新时相同。在低功耗模式下,设备不会因为定期刷新而唤醒应用程序,且不会向后台应用程序传送通知。因此,负面影响与上文”后台应用程序刷新”部分中列出的影响相同。请注意,在低功耗模式下,徽章更新仍将发生,具体取决于apn通知。
apn如何影响锁屏界面上显示的电子邮件通知
设备锁屏界面上显示的新邮件通知是根据安全邮件同步到设备的数据生成。重要说明:此信息不是来自侦听器服务。
为了显示新邮件通知,安全邮件需要能够从交换同步数据,以便安全邮件具有信息来创建通知。
如果apn通知未传送至后台的安全邮件、安全邮件将不检测通知,因此不会同步新数据。由于安全邮件没有可用的新数据,因此不会在设备锁屏界面上生成任何电子邮件通知,即使在apn通知未传送时也是如此。
哪些其他问题可以导致FCM驱动的同步在后台失败
多种问题可以导致FCM驱动的同步请求失败,包括:
- STA票据无效。
- 安全邮件在瞌睡模式下唤醒时,该应用程序有10秒的时间从服务器同步所有数据。
如果出现上述任意情况,安全邮件将无法同步数据。因此,不会显示锁屏界面通知。
哪些其他问题可以导致apn驱动的同步在后台失败
许多问题可以导致apn驱动的同步请求失败,包括:
- STA票据无效。
- 网络连接较慢。安全邮件在后台唤醒时,该应用程序有30秒的时间从服务器同步所有数据。
- 如果启用了数据保护策略且安全的邮件被导引和通知唤醒,当设备处于锁定状态时,安全邮件无法访问数据存储,因此不会进行同步。请注意,这是唯一一种系统尝试冷启动安全邮件的情况。如果用户已经在解锁设备后的某个时间启动了安全的邮件,则即使设备处于锁定状态,apn驱动的同步也会成功。
如果发生上述情况中的任何一种,安全邮件都无法同步数据,因此无法显示锁屏界面通知。
通知未传送或未使用导引时,安全邮件是否还有别的方法生成锁屏界面通知?
如果apn被禁用、安全邮件仍会被iOS的定期后台应用程序刷新事件唤醒,前提是后台应用程序刷新已启用,且低功率模式处于关闭状态。
在这些唤醒事件中,安全邮件从Exchange服务器同步新电子邮件。之后,此新电子邮件可以用于在锁屏界面上生成电子邮件通知。因此,即使apn通知未传送或导引和被禁,用安全邮件仍可以在后台同步数据。
重要注意事项:实际发生这种情况的概率低于apn已使用且apn通知传送至安全邮件时的情况。当iOS将比例导引通知路由至安全的邮件时,该应用程序会立即从服务器同步数据,且锁屏界面通知会实时显示。
在需要后台应用程序刷新唤醒的情况下,不会实时生成锁屏界面通知。在这种情况下,以完全由iOS确定的频率唤醒安全邮件。因此,在这两种情况之间可能会经过一段时间:
- 当电子邮件到达交换上用户的收件箱时。
- 当安全邮件同步该邮件并生成锁屏界面通知时。
另请注意,即使apn已使用时,安全邮件仍会收到这些定期唤醒。在后台应用程序刷新唤醒安全邮件的所有情况下,安全邮件都会尝试从交换同步数据。
安全邮件与在锁屏界面上显示内容的其他应用程序有什么差异?
一个重要的区别(这可能会导致混淆)为安全邮件并不总是在锁定界面上实时显示新电子邮件。此行为与Gmail, Microsoft Outlook和其他应用程序不同。这个差异的主要原因是安全性。为了与其他应用程序的行为保持一致,Citrix侦听器服务需要用户凭据才能通过交换进行身份验证。需要凭据才能获取电子邮件内容。还需要凭据才能通过Citrix侦听器服务传递此电子邮件内容并传递苹果给apn服务。Citrix向apn通知提供的方法不要求Citrix侦听器服务获取或存储用户的密码。侦听器服务无权访问用户的邮箱或密码。
有关本机iOS邮件应用程序的注意事项:iOS允许其自己的电子邮件应用程序维持与邮件服务器的持续型连接,这可确保总是传送通知。对于本机邮件范围外的第三方应用程序,不允许使用此功能。
Gmail应用程序行为:谷歌拥有并控制Gmail应用程序和Gmail服务器。此行为意味着谷歌可以读取邮件内容,并在apn通知有效负载中包含该邮件内容。当iOS从Gmail接收此导引和通知时,iOS执行以下操作:
- 将应用程序徽章设置为通知有效负载中指定的值。
- 使用通知有效负载中包含的邮件文本来显示锁屏界面通知。
这是关键差异:是iOS而不是Gmail应用程序,根据有效负载中包含的数据来显示锁屏界面通知。其实,iOS可能从不会唤醒Gmail应用程序,这与iOS可能不会在有通知时唤醒安全邮件类似。但是,由于有效负载包含邮件代码段,因此iOS可以在没有任何邮件数据同步到设备的情况下显示锁屏界面通知。
在安全的邮件中,这种情况有所不同。安全邮件必须先从 Exchange 同步邮件数据,应用程序才可以显示锁屏界面通知。
iOS前景应用程序行为:微软控制iOS前景。但是,用户所属的组织控制从其获取数据的Exchange服务器。尽管有此设置,前景仍可以根据微软在apn通知中提供的数据来显示锁屏界面通知。原因是iOS前景使用微软存储用户凭据的模型。微软之后直接从其云服务访问用户邮箱,并确定是否有新邮件。
如果有新邮件,微软云服务将生成包含新邮件数据的导引和通知。此模型的运行方式与Gmail模型类似。在Gmail模式下,iOS仅获取数据并根据该数据生成锁屏界面通知。前景iOS应用程序不参与该过程。
iOS前景重要安全注意事项:前景iOS方法有明确的安全含义。组织需要信任微软为其用户提供的密码。此信任允许微软访问用户的邮箱,这会带来安全风险。
要查看特定于管理员的与推送通知有关的更多常见问题解答,请参阅此支持知识中心文章。要查看特定于用户的更多常见问题解答,请参阅此支持知识中心文章。