Secure Mail 的推送通知

应用程序在后台运行或关闭时,Secure Mail for iOS 和 Secure Mail for Android 可以接收与电子邮件和日历活动有关的通知。Secure Mail for iOS 支持通过 Apple 推送通知服务 (APNs) 提供的远程推送通知提供的通知。Secure Mail for Android 支持通过 Firebase Cloud Messaging (FCM) 服务提供的通知。

推送通知的工作原理

为提供针对 iOS 和 Android 的推送通知,Citrix 在 Amazon Web Services (AWS) 上托管侦听器服务以执行以下功能:

  • 侦听存在收件箱活动时 Exchange Server 发送的 Exchange Web 服务 (EWS) 推送通知。Exchange 不将任何邮件内容发送到 Citrix 服务。

    Citrix 服务不存储任何个人可识别信息。相反,设备令牌和订阅 ID 标识特定设备以及 Secure Mail 中要更新的收件箱文件夹。

  • 向 iOS 设备上的 Secure Mail 发送 APNs 通知(仅包含徽章计数)。

  • 向 Android 设备上的 Secure Mail 发送 FCM 通知。

Citrix 侦听器服务不影响邮件数据流量,该流量通过 ActiveSync 不断在用户设备与 Exchange Server 之间流动。在以下三个区域提供侦听器服务(为高可用性和灾难恢复配置):

  • 美洲地区
  • 欧洲、中东和非洲地区 (EMEA)
  • 亚太地区 (APAC)

推送通知的系统要求

如果 Citrix Gateway 配置包括 Secure Ticket Authority (STA),并且拆分通道已关闭,Citrix Gateway 必须允许流量(从 Secure Mail 通过通道传输时)传输到以下 Citrix 侦听器服务 URL:

地理区域 URL IP 地址
美洲地区 https://us-east-1.pushreg.xm.citrix.com 52.7.65.6、52.7.147.0
EMEA https://eu-west-1.pushreg.xm.citrix.com 54.154.200.233、54.154.204.192
APAC https://ap-southeast-1.pushreg.xm.citrix.com 52.74.236.173、52.74.25.245

为 Secure Mail 配置推送通知

要为 Secure Mail 设置 Apple 推送通知或 FCM 以进行应用商店分发,请在 Endpoint Management 控制台中,将“推送通知”设置为,然后选择您所在的区域。下图显示了 iOS 的设置。

Endpoint Management 中的“推送通知”设置示意图

对于 Android,下图显示了与 iOS 相同的推送通知设置。此外,如果 EWS 托管在与邮件服务器所在的区域不同的区域中,请完成 EWS 主机名设置。默认设置为空。如果将此设置留空,Endpoint Management 将使用邮件服务器的主机名。

Endpoint Management 中用于 Android 的“推送通知”设置示意图

配置 Exchange 和 Citrix ADC 以允许流量流向侦听器服务。

Exchange Server 配置

允许从防火墙到 Exchange Server 所在区域的 Citrix 侦听器服务 URL 的出站 SSL(通过端口 443)。例如:

地理区域 URL IP 地址
美洲地区 https://us-east-1.mailboxlistener.xm.citrix.com 52.6.252.176、52.4.180.132
EMEA https://eu-west-1.mailboxlistener.xm.citrix.com 54.77.174.172、52.17.147.220
APAC https://ap-southeast-1.mailboxlistener.xm.citrix.com 52.74.231.240、54.169.87.20

如果您在 Exchange Web 服务 (EWS) 与 Citrix 侦听器设备之间配置了代理服务器,则可以执行以下操作之一。

  • 通过该代理发送 EWS 流量,然后登录到侦听器设备。
  • 跳过该代理并将 EWS 流量直接路由到侦听器设备。

要通过代理服务器发送 EWS 流量,请在 ClientAccess\exchweb\ews 文件夹中配置 EWS web.config 文件,如下所示。

<configuration>
<system.net>
<defaultProxy>
<proxy usesystemdefault="true" bypassonlocal="true" />
</defaultProxy>
</system.net>
</configuration>

有关配置代理的更多详细信息,请参阅代理配置

对于 Exchange 2013 环境,必须手动向 web.config 文件中添加 system.net 部分。否则,本文中描述的配置应适用于 Exchange 2013。要进行故障排除,请联系您的 Exchange 管理员。

要跳过代理服务器,请配置跳过列表以允许 Exchange 与 Citrix 侦听器服务建立连接。

通过基于证书的身份验证注册 Secure Hub 时,还必须将 Exchange Server 配置为执行基于证书的身份验证。有关详细信息,请参阅 Endpoint Management 高级概念一文。

Citrix Gateway 配置

虽然 Exchange Server 需要允许将流量传输到侦听器服务,但 Citrix ADC 必须允许将流量传输到注册服务。通过这种方式,设备可以连接以注册发送推送通知。

如果 EWS 和 ActiveSync 服务器不同,请将 Citrix ADC 流量策略配置为允许 EWS 流量。有关将 Citrix Endpoint Management 与 Citrix Gateway 集成的详细信息,请参阅将 Citrix ADC 与 Citrix Gateway 相集成部分。

Troubleshooting

要对出站连接进行故障排除,请查看 Exchange 事件日志,其中包含订阅请求或订阅的通知无效或失败时的日志条目。还可以在 Exchange Server 上运行 Wireshark 跟踪,以跟踪流向 Citrix 侦听器服务的出站流量。

Secure Mail 推送通知常见问题解答

Android 何时将通知传送至 Secure Mail?

在 Android 中,通知始终传送至 Secure Mail。

FCM 如何影响锁屏界面上显示的电子邮件通知?

设备锁屏界面上显示的新邮件通知是根据 Secure Mail 同步到设备的数据生成。重要说明:此信息不是来自侦听器服务。

为了显示新邮件通知,Secure Mail 必须能够从 Exchange 同步数据,以便 Secure Mail 具有信息来创建通知。

接收新邮件时,将显示您有新邮件 FCM 通知。电子邮件同步在后台完成后,新邮件将在 Secure Mail 中显示。

APNs 如何影响锁屏界面上显示的电子邮件通知?

设备锁屏界面上显示的新邮件通知是根据 Secure Mail 同步到设备的数据生成。重要说明:此信息不是来自侦听器服务。

为了显示新邮件通知,Secure Mail 需要能够从 Exchange 同步数据,以便 Secure Mail 具有信息来创建通知。

如果 APNs 通知未传送至后台的 Secure Mail,Secure Mail 将不检测通知,因此不会同步新数据。由于 Secure Mail 没有可用的新数据,因此不会在设备锁屏界面上生成任何电子邮件通知,即使在 APNs 通知未传送时也是如此。

后台应用程序刷新如何影响 Secure Mail 和 APNs?

如果用户关闭后台应用程序刷新,会发生以下情况:

  • Secure Mail 在后台应用程序中时,Secure Mail 将不接收通知。

    注意:

    仅当禁用了富推送通知时才会出现这种情况。有关富推送通知的详细信息,请参阅面向 Secure Mail for iOS 的富推送通知

  • Secure Mail 不在锁屏界面上更新新电子邮件通知。

禁用后台应用程序刷新对 Secure Mail 的行为有重大影响。如前所述,仍然会根据 APNs 进行徽章更新,但在此模式下,电子邮件不会同步到设备。

低功耗模式如何影响 Secure Mail 和 APNs?

在低功耗模式下与 Secure Mail 相关的系统行为与禁用了后台应用程序刷新时相同。在低功耗模式下,设备不会因为定期刷新而唤醒应用程序,且不会向后台应用程序传送通知。因此,负面影响与上文“后台应用程序刷新”部分中列出的影响相同。请注意,在低功耗模式下,徽章更新仍将发生,具体取决于 APNs 通知。

哪些其他问题可以导致 FCM 驱动的同步在后台失败?

多种问题可以导致 FCM 驱动的同步请求失败,包括:

  • STA 票据无效。
  • Secure Mail 在瞌睡模式下唤醒时,该应用程序有 10 秒的时间从服务器同步所有数据。

如果出现上述任意情况,Secure Mail 将无法同步数据。因此,不会显示锁屏界面通知。

哪些其他问题可以导致 APNs 驱动的同步在后台失败?

许多问题可以导致 APNs 驱动的同步请求失败,包括:

  • STA 票据无效。
  • 网络连接较慢。Secure Mail 在后台唤醒时,该应用程序有 30 秒的时间从服务器同步所有数据。
  • 如果启用了数据保护策略且 Secure Mail 被 APNs 通知唤醒,当设备处于锁定状态时,Secure Mail 无法访问数据存储,因此不会进行同步。请注意,这是唯一一种系统尝试冷启动 Secure Mail 的情况。如果用户已经在解锁设备后的某个时间启动了 Secure Mail,则即使设备处于锁定状态,APNs 驱动的同步也会成功。

如果发生上述情况中的任何一种,Secure Mail 都无法同步数据,因此无法显示锁屏界面通知。

通知未传送或未使用 APNs 时,Secure Mail 是否还有别的方法生成锁屏界面通知?

如果 APNs 被禁用,Secure Mail 仍会被 iOS 的定期后台应用程序刷新事件唤醒,前提是后台应用程序刷新已启用,且低功率模式处于关闭状态。

在这些唤醒事件中,Secure Mail 从 Exchange Server 同步新电子邮件。之后,此新电子邮件可以用于在锁屏界面上生成电子邮件通知。因此,即使 APNs 通知未传送或 APNs 被禁用,Secure Mail 仍可以在后台同步数据。

重要注意事项:实际发生这种情况的概率低于 APNs 已使用且 APNs 通知传送至 Secure Mail 时的情况。当 iOS 将 APNs 通知路由至 Secure Mail 时,该应用程序会立即从服务器同步数据,且锁屏界面通知会实时显示。

在需要后台应用程序刷新唤醒的情况下,不会实时生成锁屏界面通知。在这种情况下,以完全由 iOS 确定的频率唤醒 Secure Mail。因此,在这两种情况之间可能会经过一段时间:

  • 当电子邮件到达 Exchange 上用户的收件箱时。
  • 当 Secure Mail 同步该邮件并生成锁屏界面通知时。

另请注意,即使 APNs 已使用时,Secure Mail 仍会收到这些定期唤醒。在后台应用程序刷新唤醒 Secure Mail 的所有情况下,Secure Mail 都会尝试从 Exchange 同步数据。

Secure Mail 与在锁屏界面上显示内容的其他应用程序有什么差异?

一个重要的区别(这可能会导致混淆)为 Secure Mail 并不总是在锁定界面上实时显示新电子邮件。此行为与 Gmail、Microsoft Outlook 和其他应用程序不同。这个差异的主要原因是安全性。为了与其他应用程序的行为保持一致,Citrix 侦听器服务需要用户凭据才能通过 Exchange 进行身份验证。需要凭据才能获取电子邮件内容。还需要凭据才能通过 Citrix 侦听器服务传递此电子邮件内容并传递给 Apple APNs 服务。Citrix 向 APNs 通知提供的方法不要求 Citrix 侦听器服务获取或存储用户的密码。侦听器服务无权访问用户的邮箱或密码。

有关本机 iOS 邮件应用程序的注意事项:iOS 允许其自己的电子邮件应用程序维持与邮件服务器的持续型连接,这可确保总是传送通知。对于本机邮件范围外的第三方应用程序,不允许使用此功能。

Gmail 应用程序行为: Google 拥有并控制 Gmail 应用程序和 Gmail 服务器。此行为意味着 Google 可以读取邮件内容,并在 APNs 通知有效负载中包含该邮件内容。当 iOS 从 Gmail 接收此 APNs 通知时,iOS 执行以下操作:

  • 将应用程序徽章设置为通知有效负载中指定的值。
  • 使用通知有效负载中包含的邮件文本来显示锁屏界面通知。

这是关键差异:是 iOS 而不是 Gmail 应用程序,根据有效负载中包含的数据来显示锁屏界面通知。其实,iOS 可能从不会唤醒 Gmail 应用程序,这与 iOS 可能不会在有通知时唤醒 Secure Mail 类似。但是,由于有效负载包含邮件代码段,因此 iOS 可以在没有任何邮件数据同步到设备的情况下显示锁屏界面通知。

在 Secure Mail 中,这种情况有所不同。Secure Mail 必须先从 Exchange 同步邮件数据,应用程序才可以显示锁屏界面通知。

Outlook for iOS 应用程序行为: Microsoft 控制 Outlook for iOS。但是,用户所属的组织控制从其获取数据的 Exchange Server。尽管有此设置,Outlook 仍可以根据 Microsoft 在 APNs 通知中提供的数据来显示锁屏界面通知。原因是 Outlook for iOS 使用 Microsoft 存储用户凭据的模型。之后 Microsoft 直接从其云服务访问用户邮箱,并确定是否有新邮件。

如果有新邮件,Microsoft 云服务将生成包含新邮件数据的 APNs 通知。此模型的运行方式与 Gmail 模型类似。在 Gmail 模式下,iOS 仅获取数据并根据该数据生成锁屏界面通知。Outlook iOS 应用程序不参与该过程。

Outlook for iOS 重要安全注意事项: Outlook for iOS 方法有明确的安全含义。组织需要信任 Microsoft 为其用户提供的密码。此信任允许 Microsoft 访问用户的邮箱,这会带来安全风险。

要查看特定于管理员的与推送通知有关的更多常见问题解答,请参阅此支持知识中心文章。要查看特定于用户的更多常见问题解答,请参阅此支持知识中心文章

Secure Mail 的推送通知