XenMobile Server

电子邮件策略

从移动设备安全访问电子邮件是任何组织的移动性管理计划的其中一个主要的驱动因素。确定正确的电子邮件策略是任何 XenMobile 设计的一个关键组成部分。XenMobile 根据安全性、用户体验和集成要求提供多种选项以适应不同的用例。本文介绍了选择正确的解决方案(从选择客户端到邮件通信流)的典型设计决策过程和注意事项。

选择电子邮件客户端

对整体电子邮件策略设计而言,客户端选择通常排在第一位。可以从多个客户端中进行选择:Citrix Secure Mail、特定移动平台操作系统中随附的本机邮件或者通过公共应用商店提供的其他第三方客户端。可以支持使用单个(标准)客户端的用户社区,也可能需要使用客户端的组合,具体取决于您的需求。

下表概述了可用的不同客户端选项的一些设计注意事项:

       
主题 Secure Mail 本机(例如 iOS Mail) 第三方邮件
最低 XenMobile 版本 高级 MDM MDM
配置 通过 MDX 策略配置的 Exchange 帐户配置文件。 通过 MDM 策略配置的 Exchange 帐户配置文件。Android 支持仅限于:SAFE/KNOX 和 Android Enterprise。所有其他客户端都被视为第三方客户端。 通常需要用户手动配置。
安全性 Secure by Design,提供最高安全性。使用数据加密级别增加的 MDX 策略。Secure Mail 是通过 MDX 策略完全托管的应用程序。增加了通过 Citrix PIN 进行的身份验证层。 取决于供应商/应用程序功能集。提供较高的安全性。使用设备加密设置(不通过 MDX 策略配置安全性)。依靠设备级别的身份验证来访问应用程序。 取决于供应商/应用程序功能集。提供高安全性。
集成 默认情况下,允许与托管 (MDX) 应用程序进行交互。通过 Citrix Secure Web 打开 Web URL。将文件保存到 Citrix Files 以及从 Citrix Files 附加文件。直接加入和拨入 GoToMeeting。 默认情况下,只能与其他未托管(非 MDX)应用程序交互。 默认情况下,只能与其他未托管(非 MDX)应用程序交互。
部署/许可 可以通过 MDM 直接从公共应用商店推送 Secure Mail。随附在 XenMobile Advanced 和 Enterprise 许可中。 平台操作系统中随附的客户端应用程序。无额外的许可要求。 可以通过 MDM 作为企业应用程序推送或者直接从公共应用商店推送。基于应用程序供应商的关联许可模式/成本。
支持 客户端和 EMM 解决方案 (Citrix) 的单供应商支持。Secure Hub/应用程序调试日志记录功能中嵌入了支持联系人信息。可支持一个客户端。 供应商定义的支持 (Apple/Google)。可能需要支持多个客户端,具体取决于设备平台。 供应商定义的支持。可支持一个客户端,前提是第三方客户端在所有托管设备平台上都受支持。

邮件通信流和过滤注意事项

本节探讨与 XenMobile 环境中的邮件 (ActiveSync) 通信流有关的三种主要方案和设计注意事项。

方案 1:公开的 Exchange

支持外部客户端的环境通常具有面向 Internet 公开的 Exchange ActiveSync 服务。移动 ActiveSync 客户端通过这一面向外部的路径借助反向代理(例如 Citrix ADC)或边缘服务器进行连接。此方案需要使用本机或第三方邮件客户端,使得这些客户端成为此方案的普遍选择。还可以在此方案中使用 Secure Mail 客户端,尽管这并不是常见的做法。这样,您将从使用 MDX 策略和管理应用程序提供的安全功能中获益。

方案 2:借助 Citrix ADC(Micro VPN 和 STA)通过通道传输

由于其 Micro VPN 功能,此方案是使用 Secure Mail 客户端时的默认方案。在这种情况下,Secure Mail 客户端将通过 Citrix Gateway 与 ActiveSync 建立安全连接。实际上,可以考虑使用 Secure Mail 作为从内部网络直接连接到 ActiveSync 的客户端。Citrix 客户通常会作为所选的移动 ActiveSync 客户端对 Secure Mail 进行规范。该决策属于避免在公开的 Exchange Server 上面向 Internet 公开 ActiveSync 服务的措施的一部分,如第一种方案中所述。

只有启用了 MAM SDK 或 MDX 封装的应用程序才能使用 Micro VPN 功能。如果您使用 MDX 封装,此方案不适用于本机客户端。即使可以通过 MDX Toolkit 打包第三方客户端,这种做法也不常见。使用设备级别的 VPN 客户端以允许本机或第三方客户端通过通道进行访问已证实非常麻烦,不是可行的解决方案

方案 3:云托管的 Exchange 服务

云托管的 Exchange 服务(例如 Microsoft Office 365)变得更受欢迎。在 XenMobile 环境中,此方案可能将与第一种方案同等对待,因为 ActiveSync 服务也对 Internet 公开。在这种情况下,云服务提供商要求会规定客户端选项。这些选项通常包括支持大多数 ActiveSync 客户端,例如 Secure Mail 以及其他本机或第三方客户端。

对此方案而言,XenMobile 可以在三个方面增加价值:

  • 使用 MDX 策略的客户端以及通过 Secure Mail 进行的应用程序管理
  • 在受支持的本机电子邮件客户端上使用 MDM 策略配置客户端
  • 使用适用于 Exchange ActiveSync 的 Endpoint Management 连接器时的 ActiveSync 过滤选项

邮件流过滤注意事项

与面向 Internet 公开的大多数服务一样,必须确保路径安全并提供过滤功能以进行授权访问。XenMobile 解决方案包括两个设计为专用于为本机和第三方客户端提供 ActiveSync 过滤功能的组件:适用于 Exchange ActiveSync 的 Citrix Gateway 连机器和适用于 Exchange ActiveSync 的 Endpoint Management 连接器。

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器使用 Citrix ADC 作为 ActiveSync 流量的代理,在外围提供 ActiveSync 过滤功能。因此,过滤组件位于邮件通信流的路径中,在邮件进入或离开环境时截获邮件。适用于 Exchange ActiveSync 的 Citrix Gateway 连接器将用作 Citrix ADC 和 XenMobile Server 之间的中介。当某个设备通过 Citrix ADC 上的 ActiveSync 虚拟服务器与 Exchange 通信时,Citrix ADC 将对适用于 Exchange ActiveSync 的连接器服务执行 HTTP 标注。该服务随后将通过 XenMobile 检查设备状态。根据该设备的状态,适用于 Exchange ActiveSync 的连接器会答复 Citrix ADC,指示允许或拒绝连接。您可能还会配置静态规则以根据用户、代理和设备类型或 ID 过滤访问。

此设置允许在增加了安全层的情况下面向 Internet 公开 Exchange ActiveSync 服务,以阻止未经授权的访问。设计注意事项包括以下各项:

  • Windows Server: 适用于 Exchange ActiveSync 的连接器组件需要 Windows Server。
  • 过滤规则集: 适用于 Exchange ActiveSync 的连接器旨在根据设备状态和信息而非用户信息进行过滤。尽管您可以将静态规则配置为按用户 ID 进行过滤,但不存在根据(例如)Active Directory 组成员身份进行过滤的选项。如果对 Active Directory 组过滤存在要求,可以改为使用适用于 Exchange ActiveSync 的 Endpoint Management 连接器。
  • Citrix ADC 可扩展性:考虑到通过 Citrix ADC 代理 ActiveSync 流量的要求:恰当的 Citrix ADC 实例规模对支持增加的所有 ActiveSync SSL 连接的工作负载至关重要。
  • Citrix ADC 集成缓存:Citrix ADC 上的适用于 Exchange ActiveSync 的连接器配置使用集成缓存功能来缓存来自适用于 Exchange ActiveSync 的连接器的响应。该配置的结果是,Citrix ADC 不需要为给定会话中的每个 ActiveSync 事务向适用于 Exchange ActiveSync 的 Citrix Gateway 连接器发出请求。该配置对实现足够的性能和规模而言也非常重要。集成缓存在 Citrix ADC Platinum Edition 中提供,或者可以单独授权 Enterprise Edition 使用该功能。
  • 自定义过滤策略:您可能需要创建自定义 Citrix ADC 策略以限制标准本地移动客户端外部的某些 ActiveSync 客户端。此配置要求用户了解 ActiveSync HTTP 请求和 Citrix ADC 响应程序策略创建。
  • Secure Mail 客户端: Secure Mail 没有 Micro VPN 功能(使用该功能将不再需要在外围进行过滤)。通过 Citrix Gateway 进行连接时,Secure Mail 客户端通常会被视为内部(可信)ActiveSync 客户端。如果同时支持本机和第三方客户端(通过适用于 Exchange ActiveSync 的连接器)且需要 Secure Mail 客户端,Citrix 建议不要通过用于适用于 Exchange ActiveSync 的连接器的 Citrix ADC 虚拟服务器传输 Secure Mail 流量。可以通过 DNS 实现此通信流,并保持适用于 Exchange ActiveSync 的连接器策略不影响 Secure Mail 客户端。

有关 XenMobile 部署中适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的示意图,请参阅面向本地部署的参考体系结构

适用于 Exchange ActiveSync 的 Endpoint Management 连接器

适用于 Exchange ActiveSync 的 Endpoint Management 连接器是一个 XenMobile 组件,在 Exchange 服务级别提供 ActiveSync 过滤功能。因此,过滤仅在邮件抵达 Exchange 服务时发生,而不是在其进入 XenMobile 环境时发生。Mail Manager 使用 PowerShell 查询 Exchange ActiveSync 中的设备合作关系信息,并通过设备隔离操作来控制访问。这些操作可根据适用于 Exchange ActiveSync 的 Endpoint Management 连接器的规则条件隔离和取消隔离设备。与适用于 Exchange ActiveSync 的 Citrix Gateway 连接器类似,适用于 Exchange ActiveSync 的 Endpoint Management 连接器可通过 XenMobile 检查设备状态以基于设备合规性过滤访问权限。您可能还会配置静态规则以根据设备类型或 ID、代理版本和 Active Directory 组成员身份来过滤访问。

此解决方案不需要使用 Citrix ADC。您无需更改现有 ActiveSync 流量的传输方式,即可部署适用于 Exchange ActiveSync 的 Endpoint Management 连接器。设计注意事项包括:

  • Windows Server:适用于 Exchange ActiveSync 的 Endpoint Management 连接器组件需要您部署 Windows Server。
  • 过滤规则集:与适用于 Exchange ActiveSync 的 Citrix Gateway 连接器一样,适用于 Exchange ActiveSync 的 Endpoint Management 连接器包含用于评估设备状态的过滤规则。此外,适用于 Exchange ActiveSync 的 Endpoint Management 连接器还支持静态规则以根据 Active Directory 组成员身份进行过滤。
  • Exchange 集成:适用于 Exchange ActiveSync 的 Endpoint Management 连接器要求直接访问托管 ActiveSync 角色的 Exchange 客户端访问服务器 (CAS) 以及控制设备隔离操作。此要求可能会提出挑战,具体取决于环境体系结构和安全态势。提前评估此技术要求至关重要。
  • 其他 ActiveSync 客户端:由于适用于 Exchange ActiveSync 的 Endpoint Management 连接器在 ActiveSync 服务级别进行过滤,因此,请考虑 XenMobile 环境外部的其他 ActiveSync 客户端。可以配置适用于 Exchange ActiveSync 的 Endpoint Management 连接器静态规则以避免对其他 ActiveSync 客户端产生非预期的影响。
  • 扩展的 Exchange 功能:通过与 Exchange ActiveSync 直接集成,适用于 Exchange ActiveSync 的 Endpoint Management 连接器将为 XenMobile 提供在移动设备上执行 Exchange ActiveSync 擦除的功能。适用于 Exchange ActiveSync 的 Endpoint Management 连接器还允许 XenMobile 访问与黑莓设备有关的信息以及执行其他控制操作。

有关 XenMobile 部署中适用于 Exchange ActiveSync 的 Endpoint Management 连接器的示意图,请参阅面向本地部署的参考体系结构

电子邮件平台决策树

下图将帮助您区分在 XenMobile 部署中使用本机电子邮件或 Secure Mail 解决方案之间的利弊。每种选择都会考虑到关联的 XenMobile 选项以及对启用服务器、网络和数据库访问权限的要求。利弊包括与安全性、策略和用户界面注意事项有关的详细信息。

电子邮件平台决策树示意图