Citrix Endpoint Management

E-Mail-Strategie

Der sichere Zugriff auf E-Mail über Mobilgeräte gehört zu den wichtigsten Bereichen des Mobilitätsmanagements in Unternehmen. Die Entscheidung über die richtige E-Mail-Strategie gehört zu den Hauptkriterien eines Citrix Endpoint Management-Designs. Citrix Endpoint Management bietet Optionen für unterschiedliche Anwendungsfälle basierend auf Sicherheit, Benutzererfahrung und Anforderungen im Hinblick auf die Integration. In diesem Artikel wird der gängige Prozess zur Wahl des Designs einschließlich Überlegungen bei der Auswahl der richtigen Lösung, vom Client bis zum E-Mail-Verkehr, behandelt.

Auswählen der E-Mail-Clients

Die Auswahl des oder der Clients steht in der Regel bei der Entwicklung der E-Mail-Strategie an oberster Stelle. Es stehen mehrere Clients zur Auswahl: Citrix Secure Mail, systemeigene Clients von Mobilbetriebssystemen und Clients von Drittanbietern aus öffentlichen App-Stores. Je nach Anforderungen genügt evtl. ein einzelner (Standard-) Client oder es ist eine Kombination von Clients erforderlich.

Die folgende Tabelle enthält Kriterien, die bei den verschiedenen Clientoptionen zu berücksichtigen sind:

       
Thema Citrix Secure Mail Systemeigene Clients (z. B. iOS Mail) Drittanbieterclients
Konfiguration Über eine MDX-Richtlinie konfigurierte Exchange-Kontoprofile. Über eine MDM-Richtlinie konfigurierte Exchange-Kontoprofile. Android-Unterstützung beschränkt auf: Android Enterprise. Alle anderen Clients gelten als Drittanbieterclients. Erfordert im Allgemeinen manuelle Konfiguration durch Benutzer.
Sicherheit Höchste, designinhärente Sicherheit. Verwendet MDX-Richtlinien mit zusätzlichen Datenverschlüsselungsstufen. Citrix Secure Mail ist eine vollständig verwaltete App (per MDX-Richtlinie). Zusätzliche Authentifizierungsstufe per Citrix-PIN. Je nach Anbieter/App-Features. Bietet höhere Sicherheit. Verwendet Einstellungen der Geräteverschlüsselung. Erfordert Authentifizierung auf Geräteebene für den Zugriff auf die App Je nach Anbieter/App-Features. Bietet hohe Sicherheit.
Integration Ermöglicht standardmäßig die Interaktion mit verwalteten Apps (MDX). Öffnen von Internet-URLs mit Citrix Secure Web. Speichern und Anhängen von Dateien aus Citrix Files. Direkte Teilnahme und Einwahl bei GoToMeeting. Kann standardmäßig nur mit anderen nicht verwalteten Apps (ohne MDX) interagieren. Kann standardmäßig nur mit anderen nicht verwalteten Apps (ohne MDX) interagieren.
Bereitstellung/Lizenzierung Direkte Pushbereitstellung von Citrix Secure Mail über MDM aus öffentlichen App-Stores. In Lizenz für Citrix Endpoint Management Advanced und Enterprise enthalten. Client-App im Betriebssystem der Plattform enthalten. Keine zusätzliche Lizenzierung erforderlich. Pushbereitstellung über MDM als Unternehmensapp oder direkt aus öffentlichen App-Stores. Lizenzierungsmodell/-kosten je nach App-Anbieter.
Support Support aus einer Hand für Client- und EMM-Lösung (Citrix). Integrierte Support-Kontaktinformationen in Citrix Secure Hub, Funktionen zur Protokollierung des App-Debuggings. Nur ein Client muss betreut werden. Support je nach Hersteller (Apple/Google). Je nach Geräteplattform müssen ggf. verschiedene Clients betreut werden. Support je nach Hersteller. Support eines Clients, vorausgesetzt, dieser wird von allen verwalteten Geräteplattformen unterstützt.

Überlegungen zu E-Mail-Verkehr und Filterung

In diesem Abschnitt werden die drei Hauptszenarien sowie Designüberlegungen zum ActiveSync-E-Mail-Verkehr im Kontext von Citrix Endpoint Management erläutert.

Szenario 1: offenes Exchange

In Umgebungen, die externe Clients unterstützen, sind die Exchange ActiveSync-Dienste häufig mit dem Internet verbunden. Mobile ActiveSync-Clients stellen über diese externe Route Verbindungen durch einen Reverseproxy (z. B. NetScaler Gateway) oder einen Edgeserver her. Diese Option ist zur Verwendung systemeigener E-Mail-Clients oder solcher von Drittanbietern erforderlich, wodurch diese Clients zur bevorzugten Wahl für dieses Szenario werden. Es ist zwar nicht üblich, doch Sie können in diesem Szenario auch den Citrix Secure Mail-Client verwenden. Dadurch können Sie die Sicherheitsfunktionen der MDX-Richtlinien und der App-Verwaltung nutzen.

Szenario 2: Tunneling über NetScaler Gateway (Micro-VPN und STA)

Dieses Szenario ist Standard bei Verwendung des Citrix Secure Mail-Clients aufgrund von dessen Micro-VPN-Funktionen. Der Citrix Secure Mail-Client stellt über NetScaler Gateway eine sichere Verbindung mit ActiveSync her. Im Wesentlichen ist Citrix Secure Mail hier der Client, der aus dem internen Netzwerk eine direkte Verbindung mit ActiveSync herstellt. Citrix Kunden verwenden Citrix Secure Mail häufig als bevorzugten mobilen ActiveSync-Client. Auf diese Weise soll vermieden werden, dass ActiveSync-Dienste über einen Exchange Server im Internet offengelegt werden, wie dies in Szenario 1 der Fall wäre.

Nur MAM-SDK-fähige Apps oder Apps, die mit MDX umschlossen wurden, können die Micro-VPN-Funktion verwenden. Dieses Szenario gilt nicht für native Clients, wenn Sie das MDX-Verfahren zum Umschließen verwenden. Es ist zwar evtl. möglich, Clients von Drittanbietern mit dem MDX Toolkit zu umschließen, dies ist jedoch nicht üblich. Die Verwendung von VPN-Clients auf Geräteebene für das Tunneling für systemeigene Clients oder Clients von Drittanbietern hat sich als umständlich und nicht praktikabel erwiesen.

Szenario 3: in der Cloud gehosteter Exchange-Dienst

In der Cloud gehostete Exchange-Dienste wie Microsoft Office 365 erfreuen sich zunehmender Beliebtheit. Im Kontext von Citrix Endpoint Management kann dieses Szenario mit Szenario 1 gleichgesetzt werden, da der ActiveSync-Dienst offen gegenüber dem Internet ist. In diesem Fall diktieren die Anforderungen des Cloudservice-Anbieters die Entscheidungen im Hinblick auf Clients. Es werden im Allgemeinen die meisten ActiveSync-Clients unterstützt, z. B. Citrix Secure Mail oder andere systemeigene oder Drittanbieterclients.

Citrix Endpoint Management bietet bei diesem Szenario in drei Bereichen Vorteile:

  • Clients mit MDX-Richtlinien und App-Verwaltung mit Citrix Secure Mail
  • Clientkonfiguration unter Verwendung einer MDM-Richtlinie bei unterstützten systemeigenen E-Mail-Clients
  • ActiveSync-Filteroptionen mit Einsatz des Citrix Endpoint Management Connectors für Exchange ActiveSync

Filtern des E-Mail-Verkehrs

Wie bei den meisten mit dem Internet verbundenen Diensten müssen Sie die Route schützen und eine Filterung für den autorisierten Zugriff bereitstellen. Citrix Endpoint Management umfasst zwei Komponenten, die ActiveSync-Filterfunktionen für systemeigene Clients und für Drittanbieterclients bereitstellen: NetScaler Gateway Connector für Exchange ActiveSync und Citrix Endpoint Management Connector für Exchange ActiveSync.

NetScaler Gateway Connector für Exchange ActiveSync

NetScaler Gateway Connector für Exchange ActiveSync ermöglicht eine ActiveSync-Filterung im Umkreis, wobei NetScaler Gateway als Proxy für den ActiveSync-Datenverkehr agiert. Dies bedeutet, dass die Filterkomponente im Pfad des E-Mail-Datenverkehrs ist und E-Mails beim Erreichen oder Verlassen der Umgebung abfängt. Der Connector für Exchange ActiveSync fungiert als Vermittler zwischen NetScaler Gateway und Citrix Endpoint Management. Wenn ein Gerät über den virtuellen ActiveSync-Server auf dem NetScaler Gateway mit Exchange kommuniziert, führt dieser einen HTTP-Callout an den Connector für Exchange ActiveSync-Dienst aus. Dieser Dienst überprüft dann den Gerätestatus bei Citrix Endpoint Management. Je nach Gerätestatus weist der Connector für Exchange ActiveSync NetScaler Gateway an, die Verbindung zuzulassen oder zu verweigern. Sie können auch statische Regeln konfigurieren, um den Zugriff basierend auf Benutzer, Agent und Gerätetyp oder Geräte-ID zu filtern.

Dadurch können Exchange ActiveSync-Dienste dem Internet mit einer zusätzlichen Sicherheitsebene zur Verhinderung eines unbefugten Zugriffs ausgesetzt werden. Es sind folgende Punkte zu berücksichtigen:

  • Windows-Server: Der Connector für Exchange ActiveSync erfordert einen Windows-Server.
  • Filterregeln: Der Connector für Exchange ActiveSync filtert nach Gerätestatus und -informationen und nicht nach Benutzerinformationen. Sie können zwar statische Regeln zur Filterung nach Benutzer-ID konfigurieren, es gibt jedoch keine Optionen beispielsweise zum Filtern nach Active Directory-Gruppenmitgliedschaft. Wenn eine Filterung nach Active Directory-Gruppen erforderlich ist, können Sie stattdessen den Citrix Endpoint Management Connector für Exchange ActiveSync verwenden.
  • NetScaler Gateway-Skalierbarkeit: Angesichts der Notwendigkeit, den ActiveSync-Datenverkehr über NetScaler Gateway als Proxy zu leiten, ist die richtige Dimensionierung der NetScaler Gateway-Instanz entscheidend, um die zusätzliche Workload aller ActiveSync-SSL-Verbindungen zu bewältigen.
  • Integrated Caching bei NetScaler Gateway: Der Connector für Exchange ActiveSync auf dem NetScaler Gateway ist so konfiguriert, dass die Antworten des Connectors mit Integrated Caching zwischengespeichert werden. Daher muss NetScaler Gateway nicht jede ActiveSync-Transaktion in einer bestimmten Sitzung beim Connector anfordern. Diese Konfiguration ist auch entscheidend für eine angemessene Leistung und Skalierung. Integrated Caching ist mit der NetScaler Gateway Platinum Edition verfügbar.
  • Benutzerdefinierte Filterrichtlinien: Sie müssen ggf. eigene NetScaler Gateway-Richtlinien erstellen, um bestimmte ActiveSync-Clients außerhalb der standardmäßigen systemeigenen Mobilclients einzuschränken. Diese Konfiguration erfordert Kenntnisse in den Bereichen ActiveSync-HTTP-Anforderungen und Erstellung von NetScaler Gateway-Responderrichtlinien.
  • Citrix Secure Mail-Clients: Citrix Secure Mail hat Micro-VPN-Funktionen, die das Filtern am Umkreis überflüssig machen. Der Citrix Secure Mail-Client wird im Allgemeinen als interner (vertrauenswürdiger) ActiveSync-Client behandelt, wenn er über NetScaler Gateway verbunden ist. Werden sowohl systemeigene Clients und Drittanbieterclients (mit dem Connector für Exchange ActiveSync) als auch Citrix Secure Mail-Clients verwendet, empfiehlt Citrix, den Citrix Secure Mail-Datenverkehr nicht über den für den Connector verwendeten virtuellen NetScaler Gateway-Server zu leiten. Sie können den Datenverkehr über DNS leiten und Auswirkungen der Connector-Richtlinie auf die Citrix Secure Mail-Clients verhindern.

Ein Diagramm mit dem NetScaler Gateway Connector für Exchange ActiveSync in einer Citrix Endpoint Management-Bereitstellung finden Sie unter Architektur.

Citrix Endpoint Management Connector für Exchange ActiveSync

Der Citrix Endpoint Management Connector für Exchange ActiveSync ermöglicht eine ActiveSync-Filterung auf der Exchange-Dienstebene. Das Resultat ist, dass die Filterung erst dann erfolgt, wenn die E-Mail den Exchange-Dienst erreicht, und nicht sobald sie in die Citrix Endpoint Management-Umgebung gelangt. Mail Manager verwendet PowerShell, um bei Exchange ActiveSync Gerätepartnerschaftsinformationen abzufragen und den Zugriff über Gerätequarantäneaktionen zu steuern. Dadurch werden Geräte basierend auf den Regelkriterien des Citrix Endpoint Management Connectors für Exchange ActiveSync unter Quarantäne gestellt, bzw. aus dieser befreit.

Ähnlich wie der NetScaler Gateway Connector für Exchange ActiveSync überprüft der Connector für Exchange ActiveSync den Gerätestatus mit Citrix Endpoint Management, um den Zugriff basierend auf der Gerätecompliance zu filtern. Sie können auch statische Regeln konfigurieren, um den Zugriff basierend auf Gerätetyp, Geräte-ID, Agentversion und Active Directory-Gruppenmitgliedschaft zu filtern.

Diese Lösung erfordert nicht die Verwendung von NetScaler Gateway. Sie können den Connector für Exchange ActiveSync ohne Änderungen am Routing des ActiveSync-Datenverkehrs bereitstellen. Es sind folgende Punkte zu berücksichtigen:

  • Windows-Server: Der Connector für Exchange ActiveSync erfordert einen Windows-Server.
  • Filterregelsatz: Wie der NetScaler Gateway Connector für Exchange ActiveSync umfasst der Connector für Exchange ActiveSync Filterregeln zur Bewertung des Gerätezustands. Darüber hinaus unterstützt der Connector für Exchange ActiveSync auch statische Regeln zum Filtern nach Active Directory-Gruppenmitgliedschaft.
  • Exchange-Integration: Der Connector für Exchange ActiveSync benötigt direkten Zugriff auf den Exchange-Clientzugriffsserver (CAS), auf dem die ActiveSync-Rolle und die Steuerung der Gerätequarantäne gehostet werden. Diese Anforderung kann abhängig von der Umgebungsarchitektur und der Sicherheitslage eine Herausforderung darstellen. Diese technische Anforderung muss auf jeden Fall im Vorfeld bewertet werden.
  • Andere ActiveSync-Clients: Da der Connector für Exchange ActiveSync auf der ActiveSync-Dienstebene filtert, sollten Sie andere ActiveSync-Clients außerhalb der Citrix Endpoint Management-Umgebung berücksichtigen. Sie können statische Regeln für den Connector für Exchange ActiveSync konfigurieren, um unbeabsichtigte Auswirkungen auf andere ActiveSync-Clients zu vermeiden.
  • Erweiterte Exchange-Funktionen: Durch die direkte Integration in Exchange ActiveSync bietet der Connector für Exchange ActiveSync die Möglichkeit, über Citrix Endpoint Management eine Exchange ActiveSync-Löschung auf einem Mobilgerät durchzuführen. Mit dem Connector für Exchange ActiveSync kann Citrix Endpoint Management außerdem auf Blackberry-Geräteinformationen zugreifen und andere Steuerungsvorgänge durchführen.

Ein Diagramm mit dem Citrix Endpoint Management Connector für Exchange ActiveSync in einer Citrix Endpoint Management-Bereitstellung finden Sie unter Architektur.

Entscheidungsbaum zur Wahl der E-Mail-Plattform

Die folgende Abbildung bietet einen Überblick über die Vor- und Nachteile der Verwendung systemeigener E-Mail-Lösungen bzw. von Citrix Secure Mail in einer Citrix Endpoint Management-Bereitstellung. Für jede Option gibt es spezifische Citrix Endpoint Management-Optionen und -Anforderungen, die den Zugriff auf Server, Netzwerk und Datenbank regeln. Die Vor- und Nachteile umfassen Aspekte im Hinblick auf Sicherheit, Richtlinien und Benutzeroberfläche.

Entscheidungsbaum zur Wahl der E-Mail-Plattform

E-Mail-Strategie