Управление мобильной электронной почтой - VMware Workspace ONE UEM 1907 - VMware ...

Страница создана Алан Ежов
 
ПРОДОЛЖИТЬ ЧТЕНИЕ
Управление мобильной электронной почтой - VMware Workspace ONE UEM 1907 - VMware ...
Управление мобильной
электронной почтой
VMware Workspace ONE UEM 1907
Управление мобильной электронной почтой - VMware Workspace ONE UEM 1907 - VMware ...
Управление мобильной электронной почтой

Актуальная техническая документация доступна на веб-сайте VMware:

https://docs.vmware.com/ru/

Все замечания по данной документации можно отправлять по адресу:

docfeedback@vmware.com

VMware, Inc.                                   VMware Россия
3401 Hillview Ave.                             Россия, 125284, г. Москва
Palo Alto, CA 94304                            ул. Беговая, д.3, стр.1
www.vmware.com                                 Бизнес-центр "NORDSTAR TOWER" 30й этаж
                                               Телефон: +7 495 212 29 00
                                               www.vmware.com/ru

©
    2019 VMware, Inc. Все права защищены. Информация об авторских правах и товарных знаках.

VMware, Inc.                                                                                  2
Управление мобильной электронной почтой - VMware Workspace ONE UEM 1907 - VMware ...
Содержание

      1 Обзор Mobile Email Management                   5
               Требования MEM       6

      2 Управление инфраструктурой эл. почты 7
               Модель прокси-сервера Secure Email Gateway             8
               Прямая модель развертывания PowerShell        8
               Прямая модель Gmail      10
               Таблица моделей развертывания MEM        11
               Рекомендации по использованию Workspace ONE UEM                      14

      3 Миграция эл. почты в Workspace ONE UEM 16
               Миграция на Secure Email Gateway (SEG)            16
               Миграция на PowerShell        17
               Интеграция Gmail с Workspace ONE UEM          18
               Миграция устройств       19

      4 Настройка развертывания Mobile Email Management 20

      5 Назначение устройств для решения «Mobile Email Management»MEM 23
               Синхронизация устройств       24

      6 Профили эл. почты               26
               Настройка профиля электронной почты EAS для внутреннего почтового клиента            28
               Профиль Exchange ActiveSync (Windows Desktop)                   29
                  Настройка профиля Exchange ActiveSync (Windows Desktop)                      30

      7 Настройка атрибута пользователя для вызовов MEM в Google Suite 32

      8 Включение эл. почты на основе сертификатов 34

      9 Применение контроля доступа к эл. почте 35
               Активация политики соответствия электронной почты                36
               Защита контента, ссылок и вложений электронной почты                  39
               Включение классификации безопасности электронной почты                     39
               Включение защиты вложений электронной почты                40
               Включение защиты гиперссылок       41

    10 Управление электронной почтой                   43

VMware, Inc.                                                                                             3
Управление мобильной электронной почтой - VMware Workspace ONE UEM 1907 - VMware ...
Управление мобильной электронной почтой

               Просмотр сведений об устройстве и пользователе   43

VMware, Inc.                                                         4
Управление мобильной электронной почтой - VMware Workspace ONE UEM 1907 - VMware ...
Обзор Mobile Email Management                                                                     1
Используйте Workspace ONE UEM powered by AirWatch для управления развертыванием мобильной эл.
почты.

Возможность просмотра корпоративных данных на устройстве обеспечивает удобство и повышает
производительность работы, однако при этом возникают проблемы, связанные с безопасностью и
развертыванием. Для преодоления этих трудностей решение Mobile Email Management (MEM) Workspace
ONE UEM powered by AirWatch обеспечивает комплексную безопасность корпоративной инфраструктуры
для электронной почты.

Проблемы
Мобильная эл. почта обеспечивает значительные преимущества и в то же время является источником
больших проблем, например:

n    Поддержка эл. почты на устройствах разного типа, в разных операционных системах и почтовых
     клиентах.

n    Безопасность доступа к эл. почте по незащищенным сетям.

n    Защита конфиденциальной информации от сторонних приложений.

n    Запрет доступа к эл. почте с неавторизованных, утерянных или украденных устройств.

n    Предотвращение потери вложений или их распространения через сторонние приложения при
     просмотре.

Преимущества Mobile Email Management (MEM)
Решение MEM Workspace ONE UEM powered by AirWatch предоставляет все основные компоненты,
необходимые для успешного и безопасного развертывания мобильной электронной почты. Ниже приведены
некоторые из преимуществ использования MEM:

n    Использование SSL

n    Дистанционная настройка электронной почты на устройстве

n    Обнаружение неуправляемых устройств

n    Защита электронной почты от потери данных

n    Блокировка доступа к эл. почте на неуправляемых устройствах

n    Доступ к электронной почте только для устройств разрешенных компанией

VMware, Inc.                                                                                      5
Управление мобильной электронной почтой

n    Интеграция и удаление сертификатов

В эту главу входят следующие разделы:

n    Требования MEM

Требования MEM
                                                               ®                       ®
Прежде чем приступить к работе с решением VMware AirWatch Mobile Email Management (MEM),
проверьте требования к браузеру, приведенные в этом разделе.

Заявление об отказе от ответственности
Интеграция со сторонними продуктами не гарантируется и зависит от правильного функционирования
решений сторонних производителей.

Поддерживаемые браузеры
Консоль Workspace ONE UEM поддерживает последние стабильные сборки следующих веб-браузеров:

n    Chrome

n    Firefox

n    Safari

n    Internet Explorer 11

n    Microsoft Edge

Примечание Если вы используете IE для доступа к консоли UEM, перейдите в раздел Панель
управления > Параметры > Настройки Internet > Безопасность и убедитесь, что вы используете
уровень безопасности или пользовательский уровень безопасности, в котором для параметра Загрузка
шрифтов установлено значение Включено.

Если вы используете более старые версии указанных выше браузеров, обновите их, чтобы гарантировать
все возможности и функции консоли Workspace ONE UEM. В последних версиях веб-браузеров было
проведено тщательное тестирование всех возможностей. В несертифицированных браузерах консоль UEM
может работать с некоторыми ограничениями.

VMware, Inc.                                                                                         6
Управление инфраструктурой эл.
почты                                                                                                         2
Workspace ONE UEM предлагает два типа моделей развертывания для защиты и управления вашей
инфраструктурой эл. почты — модель прокси и прямую модель.

Вы можете использовать одну из этих моделей развертывания совместно с политиками эл. почты,
заданными в UEM console, для эффективного управления мобильными устройствами.

n    В рамках модели прокси между сервером Workspace ONE и корпоративным почтовым сервером
     размещается отдельный сервер, который называется прокси-сервером SEG (Secure Email Gateway).
     Прокси-сервер фильтрует все запросы, поступающие из устройств на почтовый сервер, и пропускает
     трафик только от авторизованных устройств. Благодаря этому обеспечивается защита корпоративного
     почтового сервера, так как он не взаимодействует непосредственно с мобильными устройствами.

n    В прямой модели прокси-сервера нет, и Workspace ONE UEM взаимодействует непосредственно с
     почтовыми серверами. Благодаря отсутствию прокси-сервера упрощается процедура установки и
     настройки.

Примечание В качестве модели развертывания прокси-серверов предлагаются два варианта —
классическая платформа и платформа SEG v2. Классическая платформа SEG больше не поддерживается,
так как платформа SEG v2 обеспечивает более высокую производительность по сравнению с классической
платформой. Платформу SEG v2 можно установить на существующем сервере SEG с минимальным
временем отключения, а при модернизации не нужно изменять профиль и не требуется никаких действий
конечного пользователя.

Модель развертывания                        Режим настройки                     Инфраструктура эл. почты

Модель развертывания прокси-серверов        Microsoft Exchange 2010/2013/2016   Microsoft Exchange 2010/2013/2016/2019
                                            Exchange Office 365                 Exchange Office 365
                                                                                IBM Domino с Lotus
                                                                                Gmail

Модель прямого развертывания — PowerShell   Модель PowerShell                   Microsoft Exchange 2010/2013/2016/2019
                                                                                Microsoft Office 365

Модель прямого развертывания — Gmail        Gmail

Примечание Workspace ONE UEM поддерживает только те версии сторонних почтовых серверов,
которые на данный момент поддерживаются провайдером почтового сервера. Когда поставщик объявляет
версию почтового сервера устаревшей, платформа Workspace ONE UEM перестает поддерживать
интеграцию с этой устаревшей версией.

VMware, Inc.                                                                                                             7
Управление мобильной электронной почтой

В эту главу входят следующие разделы:

n    Модель прокси-сервера Secure Email Gateway

n    Прямая модель развертывания PowerShell

n    Прямая модель Gmail

n    Таблица моделей развертывания MEM

n    Рекомендации по использованию Workspace ONE UEM

Модель прокси-сервера Secure Email Gateway
Прокси-сервер Secure Email Gateway (SEG) — это отдельный сервер, установленный в соответствии с
вашим существующим почтовым сервером и пропускающий весь поток данных на мобильные устройства.
На основе параметров, заданных в консоли EM, прокси-сервер SEG разрешает или блокирует передачу
данных для каждого управляемого мобильного устройства.

Прокси-сервер SEG фильтрует все запросы связи, поступающие на корпоративный почтовый сервер, и
пропускает трафик только от авторизованных устройств. Такая ретрансляция защищает корпоративный
почтовый сервер, запрещая устройствам связь с ним.

Установите сервер SEG в сети, чтобы поток данных эл. почты предприятия проходил через него. Его также
можно установить в демилитаризованной зоне (DMZ) или после обратного прокси-сервера. Сервер SEG
должен быть установлен в вашем центре обработки данных вне зависимости от того, находится ли ваш
сервер Workspace ONE MDM в локальной среде или в облаке.

Прямая модель развертывания PowerShell
В модели PowerShell приложение Workspace ONE UEM принимает на себя роль администратора
PowerShell и дает инфраструктуре Exchange ActiveSync (EAS) команды разрешить или запретить доступ
к эл. почте на основе политик, определенных в UEM console. Развертывания PowerShell не нуждаются в
дополнительном прокси-сервере, и процесс установки довольно простой.

VMware, Inc.                                                                                         8
Управление мобильной электронной почтой

Развертывания PowerShell предназначены для организаций, в которых используется Microsoft Exchange
2010, 2013, 2016, 2019 или Office 365.

В конфигурации, где используется облачный сервер электронной почты Office 365, сервер Workspace ONE
UEM устанавливает сеанс PowerShell напрямую с сервером электронной почты.

Существует два способа выполнения команд PowerShell в зависимости от взаимного расположения сервера
Workspace ONE UEM и сервера Exchange:

n    Сервер Workspace ONE находится в облаке, а сервер Exchange в локальной среде — в этом случае
     сервер Workspace ONE UEM выполняет команды PowerShell. VMware Enterprise Systems
     Connector устанавливает сеанс PowerShell с почтовым сервером.

n    Сервер Workspace ONE UEM и сервер эл. почты находятся в локальной среде — в этом случае сервер
     Workspace ONE UEM устанавливает сеанс PowerShell напрямую с почтовым сервером. В такой
     конфигурации не требуется наличия сервера VMware Enterprise Systems Connector за исключением
     тех случаев, когда сервер Workspace ONE UEM не может взаимодействовать напрямую с сервером эл.
     почты.

VMware, Inc.                                                                                          9
Управление мобильной электронной почтой

Дополнительные сведения о выборе между моделями развертывания Secure Email Gateway и PowerShell
см. в разделе «Рекомендации по использованию Workspace ONE UEM».

Прямая модель Gmail
Интеграция сервера Workspace ONE UEM с Google.

Организации, где используется инфраструктура Gmail, могут быть знакомы проблемы защиты почтовых
конечных точек для Gmail и предотвращения неавторизованного трафика. Workspace ONE UEM решает
эти проблемы, предоставляя гибкий и безопасный метод для интеграции вашей инфраструктуры
электронной почты.

В прямой модели развертывания Gmail сервер Workspace ONE UEM взаимодействует напрямую с Google.

В зависимости от требований безопасности можно выбрать одну из следующих моделей хранения пароля:

n    Сохранять пароль Google в базе данных Workspace ONE UEM: если устройство не соответствует
     требованиям, платформа Workspace ONE UEM сбрасывает пароль для Google, не позволяя
     пользователю войти в систему на другом устройстве. Если устройство снова получает статус
     соответствующего нормативным требованиям, Workspace ONE UEM сбрасывает старый пароль на
     сервере Google и пользователь может войти с помощью старого пароля.

n    Не сохранять пароль Google в базе данных Workspace ONE UEM: если устройство не соответствует
     требованиям, профиль эл. почты будет удален с устройства пользователя, при этом пользователь не
     сможет получать электронные письма. Если устройство снова получает статус соответствующего
     нормативным требованиям, Workspace ONE UEM активирует новый пароль, отправляет его в Google
     и на устройство через профиль эл. почты.

VMware, Inc.                                                                                           10
Управление мобильной электронной почтой

Вызовы API для Google Suite — можно настроить атрибуты, используемые в вызовах API для Google
Suite, указав альтернативный атрибут вместо адреса электронной почты пользователя. По умолчанию
используется адрес электронной почты пользователя. См. Глава 7 Настройка атрибута пользователя для
вызовов MEM в Google Suite.

Таблица моделей развертывания MEM
Используйте приведенную ниже таблицу функций для сравнения компонентов, доступных в различных
моделях развертывания MEM.

Для Office 365 требуется дополнительная настройка при использовании модели прокси-серверов SEG.
Workspace ONE UEM рекомендует прямую модель интеграции для облачных серверов эл. почты.
Подробнее см. в разделе «Рекомендации по использованию Workspace ONE UEM».

✓    Поддерживается               □       Не поддерживается Workspace ONE UEM

X    Возможность недоступна       Н/п     Неприменимо

Таблица 2-1. Таблица развертывания

                            Модель SEG-прокси                               Прямая модель

                            Exchange                                                        Exchange
                            2010/2013/2016/2019         Lotus               Office 365      2010/2013/2016/2019
                            Office 365                  Traveler   Google   (PowerShell)    (PowerShell)          Gmail

Средства безопасности эл. почты

Применяемые параметры безопасности

Использование               ✓                           □          □        ✓               ✓                     Н/п
цифровых подписей на
основе S/MIME

VMware, Inc.                                                                                                            11
Управление мобильной электронной почтой

                            Модель SEG-прокси                         Прямая модель

                            Exchange                                                  Exchange
                            2010/2013/2016/2019   Lotus               Office 365      2010/2013/2016/2019
                            Office 365            Traveler   Google   (PowerShell)    (PowerShell)          Gmail

Защита                      ✓                     ✓          ✓        ✓               ✓                     ✓
конфиденциальных
данных с помощью
принудительного
шифрования

Использование SSL           ✓                     ✓          ✓        ✓               ✓                     ✓

Безопасность вложений и гиперссылок в эл. почте

Принудительное              ✓                     ✓          ✓        x               x                     x
открытие вложений и
гиперссылок в VMware
AirWatch Content
Locker или только в
Workspace ONE Web

Автоматическая настройка эл. почты

Дистанционная               ✓                     ✓          ✓        ✓               ✓                     ✓
настройка эл. почты на
устройстве

Контроль доступа к эл. почте

Блокировка доступа к        ✓                     ✓          ✓        ✓               ✓                     ✓
эл. почте на
неуправляемых
устройствах

Обнаружение                 ✓                     ✓          ✓        ✓               ✓                     Н/п
неуправляемых
устройств

Доступ к эл. почте с        ✓                     ✓          ✓        ✓               ✓                     ✓
помощью
настраиваемых политик
соответствия

Обязательное                ✓                     ✓          ✓        ✓               ✓                     ✓
шифрование устройства
для доступа к эл. почте

Блокировка доступа к        ✓                     ✓          ✓        ✓               ✓                     ✓
эл. почте на уязвимых
устройствах

Разрешение/блокировка       ✓                     ✓          ✓        ✓               ✓                     x
эл. почты: почтовый
клиент

Контроль доступа к эл. почте

Разрешение/блокировка       ✓                     ✓          ✓        ✓               ✓                     x
эл. почты: пользователь

VMware, Inc.                                                                                                      12
Управление мобильной электронной почтой

                            Модель SEG-прокси                         Прямая модель

                            Exchange                                                  Exchange
                            2010/2013/2016/2019   Lotus               Office 365      2010/2013/2016/2019
                            Office 365            Traveler   Google   (PowerShell)    (PowerShell)          Gmail

Разрешение/блокировка       ✓                     ✓          ✓        ✓               ✓                     ✓
эл. почты: модель
устройства

Разрешение/блокировка       ✓                     ✓          ✓        ✓               ✓                     ✓
эл. почты: ОС
устройства

Разрешение/блокировка       ✓                     ✓          ✓        ✓               ✓                     x
эл. почты: тип
устройства EAS

Видимость систем управления

Статистика трафика эл.      ✓                     ✓          ✓        x               x                     x
почты

Статистика по почтовым      ✓                     ✓          ✓        x               x                     x
клиентам

Управление сертификатами

Интеграция/отзыв ЦС         ✓                     □          □        ✓               ✓                     Н/п

Архитектура

Встроенный шлюз             ✓                     ✓          ✓        Н/п             Н/п                   ✓
(прокси)

Exchange PowerShell         Н/п                   Н/п        Н/п      ✓               ✓                     Н/п

Управление паролями         Н/п                   Н/п        ✓        Н/п             Н/п                   ✓
Gmail

Интеграция Directory        Н/п                   Н/п        Н/п      Н/п             Н/п                   ✓
API для Gmail

Поддерживается

VMware Boxer для iOS        ✓                     ✓          ✓        ✓               ✓                     ✓
и Android [^]

Внутренний почтовый         ✓                     ✓          ✓        ✓               ✓                     ✓
клиент iOS

Внутренний почтовый         ✓                     ✓          ✓        ✓               ✓                     ✓
клиент Android**

Внутренний почтовый         ✓                     ✓          ✓        ✓               ✓                     x
клиент Windows Mobile

Windows Phone               ✓                     ✓          ✓        ✓               ✓                     ✓

Blackberry 10***            ✓                     ✓          ✓        ✓               ✓                     Н/п

iOS Touchdown*              ✓                     ✓          ✓        ✓               ✓                     ✓

Android Touchdown           ✓                     ✓          ✓        ✓               ✓                     ✓

VMware, Inc.                                                                                                      13
Управление мобильной электронной почтой

                            Модель SEG-прокси                              Прямая модель

                            Exchange                                                         Exchange
                            2010/2013/2016/2019    Lotus                   Office 365        2010/2013/2016/2019
                            Office 365             Traveler      Google    (PowerShell)      (PowerShell)              Gmail

Клиент Android для          Н/п                    ✓             Н/п       Н/п               Н/п                       Н/п
Lotus Notes*

*Безопасность вложений и гиперссылок электронной почты не поддерживается в клиенте Android для Lotus Notes и клиенте iOS
Touchdown
** В настоящее время внутренний почтовый клиент Android поддерживается только на устройствах SAFE, HTC Pro2, LG Optimus
Pro и Intuition.
*** Профиль EAS не поддерживается.
+ Exchange 2003 не поддерживается.
^ Exchange 2003, обязательный профиль ActiveSync и использование нескольких экземпляров MEM не поддерживаются для
Workspace ONE Boxer.

Рекомендации по использованию Workspace ONE UEM
В этом разделе перечислены возможности, поддерживаемые Workspace ONE UEM, и соответствующие
размеры развертываний. Используйте таблицу сравнения для выбора оптимального развертывания.

Шифрование вложений
Благодаря принудительному шифрованию вложений на мобильных устройствах, платформа Workspace
ONE UEM может помочь сохранить вложения вашей эл. почты в безопасности, не затрудняя при этом
работу конечных пользователей.

                                                                                                                 VMware
                                                                          Внутренние   Touchdown      Traveler   Boxer

iOS                                                                       ✓                                      ✓

Android                                                                   ✓            ✓                         ✓

Windows Phone *                                                           ✓

* Если ваша среда включает устройства Windows Phone 8/8.1/RT,
рекомендуем использовать шифрование вложений.
SEG поддерживает шифрование вложений и преобразование гиперссылок в
Boxer лишь в том случае, если эти функции включены для конфигурации
приложения Boxer в UEM.
SEG поддерживает шифрование вложений для Exchange
2010/2013/2016/2019 и Office 365.

Управление электронной почтой
Перечисленные рекомендации обеспечивают максимальный уровень защиты, удобства развертывания и
управления.

VMware, Inc.                                                                                                                 14
Управление мобильной электронной почтой

                                                                                                    Secure Email Gateway
                                    Gmail                          PowerShell                       (SEG)

Инфраструктура облачной эл. почты

Office 365                                                         ✓                                ✓

Gmail                               ✓                                                               ✓

Инфраструктура локальной эл. почты

Exchange 2010                                                      ✓                                ✓

Exchange 2013                                                      ✓                                ✓

Exchange 2016                                                      ✓                                ✓

Exchange 2019                                                      ✓                                ✓

Lotus Notes                                                                                         ✓

^Используйте Secure Email GatewaySecure Email Gateway (SEG) для всех локальных инфраструктур электронной почты с
развертыванием более 100 000 устройств. При развертывании менее 100 000 устройств для управления электронной почтой также
можно использовать PowerShell. См. таблицу сравнения Secure Email Gateway и PowerShell.
**Порог для внедрения PowerShell основан на последнем наборе выполненных тестов производительности и может меняться от
версии к версии. При развертывании не более 50 000 устройств процесс синхронизации и проверки на соответствие не должен
занять много времени (предположительно не более 3 часов). При увеличении количества устройств в развертывании (например, до
100 000 устройств) время выполнения синхронизации и проверки на соответствие возрастет примерно до 3–7 часов.

Secure Email Gateway по сравнению с таблицей решений PowerShell
В таблице приведены функции развертывания SEG и PowerShell, чтобы помочь вам выбрать вариант
развертывания, соответствующий вашим потребностям.

               Преимущества                                              Недостатки

SEG            n   Соответствие в реальном времени                       n   Необходимость дополнительных серверов.
               n   Шифрование вложений.                                  n   Компонент ADFS необходимо настроить таким образом,
               n   Преобразование гиперссылок.                               чтобы конечные пользователи не могли подключаться
                                                                             напрямую к Office 365 (только через SEG)

PowerShell     n   Нет необходимости в дополнительном локальном          n   Нет необходимости в синхронизации с правилами
                   сервере для управления эл. почтой.                        соответствия в режиме реального времени
               n   Нет необходимости в ADFS, так как почтовый            n   Не подходит для больших сред (свыше 100 000
                   трафик направляется напрямую в Office 365, не             устройств).
                   проходя через локальный сервер.

Корпорация Майкрософт предлагает использовать службы Active Directory Federated Services (ADFS) для предотвращения
прямого доступа к учетным записям электронной почты Office 365.

VMware, Inc.                                                                                                                     15
Миграция эл. почты в Workspace
ONE UEM                                                                                      3
Вы можете перенести свою эл. почту в модель Mobile Email Management (MEM) с помощью Workspace
ONE UEM

Выполняя переход на одну из следующих моделей MEM, вы можете применить политики управления
доступом к электронной почте, гарантирующие, что доступ к электронной почте предоставляется только
утвержденным пользователям и устройствам:

n    Secure Email Gateway (SEG)

n    PowerShell

n    Gmail

В эту главу входят следующие разделы:

n    Миграция на Secure Email Gateway (SEG)

n    Миграция на PowerShell

n    Интеграция Gmail с Workspace ONE UEM

n    Миграция устройств

Миграция на Secure Email Gateway (SEG)
Миграция эл. почты на Secure Email Gateway (SEG) позволяет пользователям получать доступ к
электронным сообщениям только через прокси-сервер SEG.

При использовании SEG принудительно применяются политики управления доступом к электронной почте,
при этом доступ предоставляется только утвержденным пользователям и устройствам. Политики
шифрования вложений гарантируют безопасность данных.

Процедура

1. Настройте SEG в требуемой организационной группе в разделе «Глобальные настройки» в Workspace
     ONE UEM Console. .

2. Загрузите и установите SEG..

3. Проверьте функциональность SEG с помощью политики соответствия эл. почты.

     а)   Временно отключите все политики соответствия.

     б) Попросите всех пользователей зарегистрировать свои устройства в Workspace ONE UEM.

VMware, Inc.                                                                                         16
Управление мобильной электронной почтой

     в) Предоставьте новый профиль эл. почты (с URL-адресом сервера SEG в качестве имени узла) всем
          зарегистрированным устройствам.

     г)   Периодически напоминайте пользователям с неуправляемыми устройствами о необходимости
          регистрации в Workspace ONE UEM.

     д) Чтобы заблокировать доступ EAS к почтовому серверу с определенной даты, скорректируйте
          правила брандмауэра (или Threat Management Gateway). Благодаря этому мобильные устройства
          не смогут получать доступ непосредственно к почтовому серверу.
     Существующие веб-клиенты, Outlook Web Access (OWA) и другие клиенты эл. почты могут
     продолжать обращаться к почтовому серверу.

Миграция на PowerShell
Вы можете защитить свои устройства и синхронизировать их с Exchange или Office 365 для работы с
электронной почтой, выполнив миграцию на PowerShell.

Среда PowerShell обнаруживает управляемые и неуправляемые устройства и с помощью политик
управления доступом к электронной почте предоставляет доступ только утвержденным пользователям и
устройствам.

Необходимые условия

Процедура

1. Настройте интеграцию с PowerShell в требуемой организационной группе в разделе «Глобальные
     настройки» консоли Workspace ONE UEM.

2. Настройте интеграцию с группами пользователей (настраиваемыми или предопределенными).

3. Протестируйте функциональность PowerShell на подмножестве пользователей (например, с тестовыми
     пользователями), чтобы обеспечить работу следующих функций:

     а)   Синхронизация с сервером эл. почты для обнаружения устройств.

     б) Управление доступом в реальном времени.

4. Временно отключите все политики соответствия.

5. Подготовьте новый профиль электронной почты для всех устройств, которые зарегистрировались в
     Workspace ONE UEM с использованием имени хоста сервера эл. почты.

6. Проведите синхронизацию с почтовым сервером, чтобы обнаружить все устройства (управляемые и
     неуправляемые), которые синхронизируются для эл. почты.

7. Периодически напоминайте пользователям с неуправляемыми устройствами о необходимости
     регистрации в Workspace ONE UEM.

8. Активируйте и обеспечьте соблюдение правил соответствия, чтобы заблокировать доступ к эл. почте со
     всех несовместимых устройств с определенной даты, включая неуправляемые устройства.

9. Настройте почтовый сервер для блокировки всех устройств по умолчанию.

VMware, Inc.                                                                                       17
Управление мобильной электронной почтой

10. Выполните синхронизацию с почтовым сервером для получения списка разрешенных и блокированных
     устройств (в результате предыдущего изменения политики) и Выполните проверку на соответствие
     для этих устройств.

     Панель управления эл. почтой отображает список неуправляемых устройств, для которых
     заблокирована работа с эл. почтой, и управляемых устройств, для которых разрешена работа с эл.
     почтой.

Следующие шаги

Обходной прием для гибкого развертывания Boxer:

Гибкое развертывание Boxer позволяет создавать различные назначения для смарт-групп в
организационной группе.

Если PowerShell используется для управления электронной почтой, то при миграции между средами
Exchange или в Office 365 доступ к электронной почте может быть заблокирован для Boxer. Чтобы
избежать блокировки доступа к электронной почте, создайте правило доступа к устройству в Exchange,
чтобы разрешить использование Workspace ONE UEMуправляемыхWorkspace ONE Boxer конфигураций.

Выполните следующие действия, чтобы настроить правило доступа к устройству для Office 365,
разрешающее доступ к электронной почте устройствам, установленным с помощью Boxer:

1. Выполните вход в панель управления Exchange.

2. Выберите Мобильные.

3. Чтобы добавить правило, нажмите значок с плюсом в разделе Правила доступа к устройству.

4. В разделе «Семейство устройств» нажмите кнопку Обзор, после чего выберите
     BoxerManagediPhone, BoxerManaged iPad или BoxerManagedAndroid. Нажмите кнопку OK.
     Повторите это действие для других устройств под управлением Boxer.

5. В разделе Только эта модель выберите Все модели.

6. Выберите правило Разрешить доступ.

Чтобы отключить действие ограничения, связанного с соответствием, во время миграции на MEM, следуйте
приведенным выше инструкциям в других версиях Exchange.

Интеграция Gmail с Workspace ONE UEM
При миграции на Gmail вы можете синхронизировать свои устройства с сервером Gmail. Вы можете
интегрировать свой сервер Gmail с сервером Secure Email Gateway или без него либо напрямую с
Directory API.

Процедура

1. Включите параметр единого входа (SSO) для Gmail либо создайте сертификат учетной записи службы.

2. Настройте интеграцию Gmail из Workspace ONE UEM Console с помощью мастера настройки MEM
     MEM.

VMware, Inc.                                                                                          18
Управление мобильной электронной почтой

3. Предоставьте пользователям профили EAS с новым произвольным паролем. Для устройств, которые
     этот профиль не получают, доступ к Gmail автоматически блокируется.

Миграция устройств
Вы можете переносить устройства между организационными группами и развертываниями MEM с
помощью Workspace ONE UEM.

Процедура

1. В Workspace ONE UEM Console перейдите к панели управления эл. почтой.

2. Отфильтруйте управляемые устройства, находящиеся в текущем развертывании MEM.

3. На странице Представление списка выберите все устройства, после чего в выпадающем меню
     выберите Администрирование > Миграция устройств.

4. На странице Подтверждение переноса устройств введите заданный код ключа для подтверждения
     переноса и выберите конфигурацию, в которой вы хотите развернуть устройства.

5. Выберите Продолжить.

После выполнения описанных выше действий Workspace ONE UEM автоматически удаляет предыдущий
профиль Exchange ActiveSync (EAS) и отправляет новый профиль EAS с целевой группой развертывания.
После этого устройство будет подключено к новой группе развертывания. Обновленное значение
memconfigID для устройства будет отображено на панели управления эл. почтой.

VMware, Inc.                                                                                     19
Настройка развертывания Mobile
Email Management                                                                               4
Инфраструктуру эл. почты можно легко интегрировать с помощью мастера настройки Mobile Email
Management (MEM).

MEMНастройка возможна только в родительской организационной группе и не может быть переопределена
в дочерней организационной группе. Конфигурацию MEM можно связать с одним или несколькими
профилями Exchange ActiveSync (EAS).

Процедура

1. Откройте Эл. почта > Настройки и выберите пункт Конфигурация.

2. Выберите модель развертывания, а затем тип эл. почты. Нажмите кнопку Далее.

     а)   Если выбрана модель развертывания «Прокси-сервер», выберите тип электронной почты.

          u    n   Exchange

               n   Google

               n   IBM Notes

     б) Если выбрана модель развертывания «Прямая», выберите тип эл. почты.

          n    Exchange

          n    Google Apps с прямым API;

          n    Приложения Google, использующие предоставление пароля: в качестве типа развертывания
               Gmail выберите "С сохранением пароля" или "Без сохранения пароля".
     Дополнительную информацию о методах развертывания см. в разделе Типы развертывания эл. почты.

3. Введите данные для выбранного типа развертывания.

     n    Для развертывания SEG:

          а)   Введите понятное имя для этого развертывания;

          б) Введите сведения о прокси-сервере SEG.

     n    для развертываний PowerShell:

          а)   Введите понятное имя для этого развертывания;

          б) Введите параметры аутентификации и синхронизации для сервера PowerShell.

VMware, Inc.                                                                                          20
Управление мобильной электронной почтой

     n    для Gmail:

          а)   Введите понятное имя для этого развертывания;

          б) Введите параметры Gmail, аутентификации, интеграции Directory API для Gmail, а также
               параметры прокси-сервера SEG.

4. Сопоставьте шаблон профиля EAS с MEM-развертыванием и нажмите кнопку Далее.

     а)   Создайте шаблон профиля EAS для этого развертывания.

          Новые профили шаблонов не распространяются на устройства автоматически. Распространить
          профили на свои устройства можно на странице "Профили".

     б) Свяжите существующий профиль с этим развертыванием.

          Эта операция обязательна, если несколько развертываний MEM настраиваются в рамках одной
          организационной группы.

     На странице Сводные данные по конфигурации MEM отображаются параметры конфигурации.

5. Нажмите Сохранить, чтобы сохранить настройки.

6. После сохранения в это развертывание можно добавить дополнительные настройки.

     а)   Нажмите значок Дополнительно         для своего развертывания.

     б) Настройте доступные параметры почтовых ящиков пользователей в соответствии с требованием на
          странице Дополнительная настройка MEM.

     в) Нажмите Сохранить.

Следующие шаги

Чтобы настроить несколько MEM-развертываний, нажмите Добавить (на главной странице Настройка
управления мобильной эл. почтой) и выполните шаги 2–7.

Для развертывания SEG можно назначить конфигурацию по умолчанию с помощью команды Установить

по умолчанию в разделе              .

VMware, Inc.                                                                                        21
Управление мобильной электронной почтой

Примечание
n    При подключении нескольких окружений PowerShell к одному серверу Exchange, необходимо создать
     взаимно исключающиеся группы пользователей.

n    При подключении нескольких окружений Gmail используйте разные домены в настройках.

n    Помните, что возможен вариант подключения SEG и интеграции PowerShell в одной и той же среде
     эл. почты только во время миграции развертываний MEM с соответствующими настройками.
     Workspace ONE может помочь с внедрением.

VMware, Inc.                                                                                        22
Назначение устройств для решения
«Mobile Email
Management»MEM                                                                                5
Регистрация устройств, назначение профилей электронной почты устройствам и изменения в состоянии
соответствия устройств — все эти операции оказывают влияние на работу решения. Конфигурации MEM
назначаются устройствам на основе профилей EAS, находящихся на них. Политики соответствия «Под
управлением» и «Необходим профиль ActiveSync» исключают неуправляемые и ручные конфигурации.

Устройства с профилем Exchange Active Sync (EAS)
Когда устройство с профилем EAS связывается с определенной конфигурацией MEM, платформа
Workspace ONE UEM отправляет обновления политики в эту конфигурацию MEM. Эта функция упрощает
миграцию и работу с несколькими конфигурациями MEM при управлении одной или несколькими средами
для электронной почты.

Независимо от используемого почтового клиента для всех моделей Google в MEM требуется профиль EAS.
Для новых установок связывание профиля EAS с конфигурацией MEM является обязательным. При
выполнении обновлений администратор должен связать профиль EAS с конфигурацией MEM после
завершения процесса обновления.

Встроенный прокси-сервер SEG

Платформа Workspace ONE UEM отправляет широковещательное сообщение всем конфигурациям MEM
организационной группы, в которой было зарегистрировано устройство. Это сообщение содержит статус
соответствия устройства. Если этот статус изменяется, отправляется обновленное сообщение. Когда
устройство подключается к определенному серверу SEG, сервер SEG распознает это устройство по
широковещательному сообщению, отправленному ранее. Затем прокси-сервер SEG сообщает об
обнаруженном устройстве решению VMware AirWatch. После этого платформа Workspace ONE UEM
связывает устройство с конфигурацией MEM для SEG и отображает его на панели управления эл. почтой.

Если балансировка нагрузки выполняется для нескольких серверов SEG, то широковещательные
сообщения одной политики применяются только к одному серверу SEG. Сюда входят сообщения,
отправленные из Workspace ONE UEM Console в SEG после регистрации устройств, нарушений
соответствия или исправления таких нарушений. Используйте Delta Sync с интервалом обновления десять
минут для обеспечения работы недавно зарегистрированных устройств или устройств, соответствующих
требованиям. Эти устройства проходят период ожидания максимум десять минут перед тем, как начнется
синхронизация эл. почты.

VMware, Inc.                                                                                         23
Управление мобильной электронной почтой

Преимущества

n    Обновление политик из одного API-источника для всех серверов SEG.

n    Меньшее влияние на производительность сервера API.

n    Снижение сложности реализации и обслуживания по сравнению с моделью кластеризации SEG.

n    Меньшее количество точек отказа, поскольку каждый сервер SEG отвечает за свои собственные наборы
     политик.

n    Улучшенные условия работы пользователей.

Встроенная среда PowerShell

Конфигурации PowerShell в MEM действуют аналогично SEG с точки зрения обновлений политики. При
миграции на PowerShell следует выполнить связывание новых профилей с конфигурацией PowerShell в
MEM. Связывание нового профиля позволяет уменьшить объем ненужного взаимодействия с предыдущей
конфигурацией MEM.

Встроенная почта Gmail

Для этого типа развертывания необходимо использовать профили, кроме случаев интеграции с
интерфейсами API Каталога Google. Если устройства не связаны с профилями, настроенное развертывание
Gmail не сможет распознать эти устройства или управлять ими.

В эту главу входят следующие разделы:

n    Синхронизация устройств

Синхронизация устройств
Используйте MEM для синхронизации устройств, связанных с организационной группой.

После настройки развертывания решения Mobile Email Management (MEM) устройства связанной
организационной группы синхронизируются с MEM. Статус устройств и другие сведения можно
просмотреть на странице Панели управления эл. почтой в Workspace ONE UEM Console.

Устройства появляются на панели управления в зависимости от моделей развертывания, которые были
назначены для них.

n    SEG Прокси-сервер — устройства, управляемые с помощью прокси-сервера SEG, появляются на
     панели управления, когда прокси-сервер SEG сообщает о том, что устройство подключено и находится
     под его управлением.

n    PowerShell — устройства, управляемые с помощью PowerShell, появляются на панели управления,
     когда платформа Workspace ONE UEM отправляет командлет PowerShell, разрешающий подключение
     устройства к электронной почте.

n    Gmail — устройства, управляемые с помощью Gmail, появляются на панели управления, когда
     профиль EAS в Workspace ONE UEM для устройства помещается в очередь.

VMware, Inc.                                                                                        24
Управление мобильной электронной почтой

На панели управления эл. почтой отображается один из следующих статусов.

n    Управляемые назначенные — зарегистрированные устройства с идентифицированным значением
     memconfigID.

n    Управляемые неназначенные — зарегистрированные устройства, для которых значение
     memConfigID еще не было идентифицировано с помощью назначения профиля или функции
     автоматического обнаружения.

n    Неуправляемые обнаруженные — устройства, которые еще не были зарегистрированы в Workspace
     ONE UEM и определенной конфигурации MEM в рамках организационной группы, которая
     обнаружила эти устройства.

VMware, Inc.                                                                                  25
Профили эл. почты                                                                                                 6
Чтобы развернуть почту EAS с помощью внутреннего почтового клиента (Android (старые версии)),
создайте профиль конфигурации для внутреннего почтового клиента.

Процедура

1. Перейдите в раздел Устройства > Профили и ресурсы > Профили > Добавить > Добавить профиль
     > Android (Legacy).

2. Выберите Устройство, чтобы развернуть на нем профиль.

3. Настройте Общие параметры профиля. Эти настройки определяют, каким образом проводится
     развертывание профиля, и кто получает этот профиль.

4. Выберите полезную нагрузку Exchange ActiveSync.

5. Настройте параметры Exchange ActiveSync.

     Настройка                           Описание

     Почтовый клиент                     Выберите Внутренний почтовый клиент в качестве типа аккаунта.

     Название аккаунта                   Введите описание для аккаунта эл. почты.

     Узел Exchange ActiveSync            Введите внешний URL-адрес сервера ActiveSync своей компании.
                                         Сервер ActiveSync может быть любым почтовым сервером, который работает с
                                         протоколом ActiveSync, например IBM Notes Traveler, Novell Data Synchronizer и
                                         Microsoft Exchange.В случае развертывания Secure Email Gateway (SEG)
                                         используйте URL-адрес SEG, а не почтового сервера.

     Игнорировать ошибки протокола SSL   Включите, чтобы разрешить устройствам игнорировать ошибки SSL для процессов
                                         Workspace ONE Intelligent Hub.

     Домен                               Введите домен пользователя.
                                         Вместо создания индивидуальных профилей для каждого конечного пользователя
                                         можно использовать подстановочные значения.

     Пользователь                        Введите имя пользователя.
                                         Вместо создания индивидуальных профилей для каждого конечного пользователя
                                         можно использовать подстановочные значения.

     Электронный адрес                   Введите электронный адрес пользователя.
                                         Вместо создания индивидуальных профилей для каждого конечного пользователя
                                         можно использовать подстановочные значения.

                                         Примечание Если используется пользовательский атрибут для GSuite, необходимо
                                         использовать подстановочное значение пользовательского атрибута в поле
                                         Электронный адрес профиля электронной почты Exchange ActiveSync. См. Глава
                                         7 Настройка атрибута пользователя для вызовов MEM в Google Suite.

VMware, Inc.                                                                                                          26
Управление мобильной электронной почтой

     Настройка                            Описание

     Пароль                               Введите пароль для пользователя.
                                          Вместо создания индивидуальных профилей для каждого конечного пользователя
                                          можно использовать подстановочные значения.

     Сертификат удостоверения             Если необходимо, в раскрывающемся списке выберите сертификат удостоверения,
                                          если пользователь должен его передавать для подключения к Exchange ActiveSync.
                                          В противном случае выберите Ничего (по умолчанию).

     Количество прошлых дней для          Выберите количество прошлых дней для синхронизации почты с устройством.
     синхронизации почты

     Количество прошлых дней календаря    Позволяет задать число дней, прошедших с момента синхронизации, в календаре
     для синхронизации                    устройства.

     Синхронизировать календарь           Включите, чтобы разрешить синхронизацию календаря на устройстве.

     Синхронизировать контакты            Включите, чтобы разрешить синхронизацию контактов на устройстве.

     Разрешить синхронизацию задач        Включите, чтобы разрешить синхронизацию задач на устройстве.

     Максимальный размер усечения эл.     Позволяет указать размер, при превышении которого синхронизированные с
     почты                                устройством электронные сообщения будут укорачиваться.

     Подпись эл. почты                    Позволяет задать подпись, которая будет отображаться в исходящих электронных
                                          сообщениях.

     Разрешить вложения                   Позволяет разрешить прикрепление вложений к сообщениям электронной почты.

     Максимальный размер вложения         Позволяет задать максимальный размер вложения в МБ.

     Разрешить переадресацию эл. почты    Позволяет разрешить переадресацию электронной почты.

     Разрешить формат HTML                Позволяет разрешить формат HTML для электронной почты, синхронизируемой с
                                          устройством.
                                          Если для этой настройки задано значение false, электронные сообщения
                                          преобразуются в обычный текст.

     Отключить снимки экрана              Позволяет отключить возможность делать снимки экрана на устройстве.

     Интервал синхронизации               Позволяет задать промежуток времени в минутах между синхронизациями.

VMware, Inc.                                                                                                             27
Управление мобильной электронной почтой

     Настройка                             Описание

     Дни пиковой загрузки для расписания   n   Позволяет запланировать синхронизацию в дни малой загрузки, а также время
     синхронизации                             начала и время окончания синхронизации в выбранные дни.
                                           n   Позволяет задать расписание синхронизации на пике загрузки и расписание
                                               синхронизации при спаде загрузки.
                                               n   Автоматически: синхронизировать электронную почту при любом
                                                   обновлении.
                                               n   Вручную: синхронизировать только выбранные электронные сообщения.
                                               n   Если задать время, синхронизация электронной почты будет выполняться по
                                                   расписанию.
                                           n   Позволяет использовать настройки Использовать SSL, Использовать TLS и
                                               Аккаунт по умолчанию при необходимости.

     Настройки S/MIME                      Позволяет использовать S/MIME. Здесь можно назначить сертификат S/MIME
                                           пользовательским сертификатом в полезной нагрузке Учетные данные.
                                           n   Сертификат S/MIME — выберите сертификат, который будет использован.
                                           n   Необходимо шифрование S/MIME сообщений — включите, чтобы требовать
                                               шифрование.
                                           n   Необходимы подписанные S/MIME сообщения — позволяет запрашивать
                                               подписанные сообщения S/MIME.
                                           Если для шифрования используются сертификаты S/MIME, необходимо задать центр
                                           миграции.
                                           Нажмите Сохранить, чтобы сохранить настройки, или Сохранить и
                                           распространить, чтобы сохранить и передать настройки профиля на требуемое
                                           устройство.

6. Нажмите Сохранить, чтобы сохранить настройки, или Сохранить и распространить, чтобы
     сохранить и передать настройки профиля на требуемое устройство.

Настройка профиля электронной почты EAS для внутреннего
почтового клиента
Создайте профиль конфигурации эл. почты для внутреннего почтового клиента на устройствах iOS.

Процедура

1. Откройте раздел Устройства > Профили и ресурсы > Профили > Добавить. Выберите пункт Apple
     iOS.

2. Настройте Общие параметры профиля.

3. Выберите полезную нагрузку Exchange ActiveSync.

4. Выберите Внутренний почтовый клиент в пункте Почтовый клиент. Внесите в текстовое поле
     Название аккаунта описание этого аккаунта эл. почты. В поле Узел Exchange ActiveSync введите
     внешний URL-адрес сервера ActiveSync вашей компании.

     Сервер ActiveSync может быть любым почтовым сервером, работающим с протоколом ActiveSync,
     например: Lotus Notes Traveler, Novell Data Synchronizer или Microsoft Exchange. В случае
     развертывания Secure Email Gateway (SEG) используйте URL-адрес SEG, а не почтового сервера.

VMware, Inc.                                                                                                               28
Управление мобильной электронной почтой

5. Установите флажок Использовать SSL, чтобы включить использование протокола SSL для входящего
     трафика эл. почты.

6. Установите флажок S/MIME, чтобы использовать дополнительные сертификаты шифрования. Перед
     установкой данного флажка убедитесь, что вы загрузили необходимые сертификаты в параметрах
     профиля Учетные данные.

     а)   Выберите Сертификат S/MIME, чтобы разрешить подпись сообщений эл. почты.

     б) Выберите Сертификат шифрования S/MIME, чтобы разрешить подпись сообщений эл. почты.

     в) Отметьте флажком Переключатель на сообщение, чтобы конечные пользователи могли выбирать,
          какие сообщения подписывать и шифровать, используя внутренний клиент iOS эл. почты (только
          под управлением iOS 8+).

7. Введите данные в поле Сведения о входе, включая имя домена, имя пользователя и электронный
     адрес, используя подстановочные значения. Эти значения подставляются непосредственно из аккаунта
     пользователя. Чтобы использовать подстановочные значения {EmailDomain}, {EmailUserName} и
     {EmailAddress}, необходимо, чтобы Workspace ONE UEM-аккаунты пользователей имели
     соответствующую информацию.

8. Оставьте поле Пароль пустым, чтобы система предлагала пользователю ввести пароль.

9. Выберите Сертификат полезной нагрузки, чтобы указать сертификат для аутентификации после
     добавления сертификата в полезную нагрузку Учетные данные.

10. При необходимости настройте следующие дополнительные параметры в разделе Настройки и
     безопасность.

     а)   Количество прошлых дней для синхронизации почты — загрузите определенное количество эл.
          почты. Обратите внимание: расширенные временные рамки приведут к большему потреблению
          данных при загрузке почты.

     б) Запретить перемещение сообщений — блокирует перемещение почты из ящика Exchange в
          другие ящики на устройстве.

     в) Запретить использование в сторонних приложениях — запрещает другим приложениям
          отправлять сообщения используя почтовый ящик Exchange.

     г)   Запретить синхронизацию последних адресов — отключает предложение вариантов контактов
          при отправке почты в Exchange.

     д) Запретить сбор почты — отключает использование функции Apple "Сброс почты".

11. Назначьте Приложение по умолчанию для голосового звонка, которое ваш внутренний аккаунт EAS
     будет использовать для отправки вызовов при выборе номера телефона в электронном письме.

12. Нажмите Сохранить и распространить, чтобы передать профиль на доступные устройства.

Профиль Exchange ActiveSync (Windows Desktop)
Профили Exchange ActiveSync позволяют настроить устройства Windows Desktop для доступа к серверу
Exchange ActiveSync для использования почты и календаря.

VMware, Inc.                                                                                           29
Управление мобильной электронной почтой

Используйте сертификаты, подписанные сторонним доверенным центром сертификации (ЦС). Ошибки в
сертификатах делают ваше соединение уязвимым для потенциальных атак типа "злоумышленник в
середине". Такие атаки снижают уровень конфиденциальности и целостности данных, передаваемых между
компонентами продукта, и могут позволить злоумышленникам перехватывать или изменять данные во
время их передачи.

Профиль Exchange ActiveSync поддерживает внутренний почтовый клиент для рабочего стола Windows.
Настройки меняются в зависимости от используемого почтового клиента.

Удаление профиля или корпоративная очистка
Если профиль удален через команду удаления профиля с использованием политики соответствия или
корпоративной очистки, то все данные эл. почты будут удалены, включая следующее.

n    Информация об аккаунте пользователя или сведения для входа.

n    Сообщения электронной почты.

n    Контакты и сведения из календаря.

n    Вложения, сохраненные во внутреннем хранилище приложения.

Имя пользователя и пароль
Если у вас есть имена пользователей эл. почты, которые отличаются от адресов эл. почты пользователя,
можно использовать текстовое поле {EmailUserName}, соответствующее именам пользователей эл. почты,
импортированным во время интеграции службы каталогов. Даже в том случае, если ваши имена
пользователей совпадают с их адресами эл. почты, используйте текстовое поле {EmailUserName}, так как
оно использует адреса эл. почты, импортированные путем интеграции службы каталогов.

Настройка профиля Exchange ActiveSync (Windows Desktop)
Создайте профиль Exchange ActiveSync, чтобы предоставить устройствам Windows Desktop доступ к
серверу Exchange ActiveSync для использования почты и календаря.

Примечание Workspace ONE UEM не поддерживает Outlook 2016 для профилей Exchange ActiveSync.

Процедура

1. Откройте Устройства > Профили > Список > Добавить и выберите Добавить профиль.

2. Выберите Windows, а затем платформу Windows Desktop.

3. Выберите Профиль пользователя.

4. Настройте Общие параметры профиля.

5. Выберите полезную нагрузку Exchange ActiveSync.

VMware, Inc.                                                                                           30
Управление мобильной электронной почтой

6. Настройте параметры Exchange ActiveSync.

     Настройки                            Описания

     Почтовый клиент                      Выберите почтовый клиент для настройки профиля EAS.
                                          Workspace ONE UEM поддерживает внутренний почтовый клиент.

     Название аккаунта                    Задайте имя аккаунта Exchange ActiveSync.

     Узел Exchange ActiveSync             Введите URL или IP-адрес сервера, на котором расположен сервер EAS.

     Использовать SSL                     Позволяет полный обмен информацией посредством протокола безопасного
                                          соединения (SSL).

     Домен                                Введите домен эл. почты.
                                          Профиль поддерживает подстановочные значения для вставки регистрационной
                                          информации пользователя. Для получения дополнительной информации см. раздел
                                          "Имя пользователя и пароль" в нижней части страницы.

     Имя пользователя                     Введите эл. почту пользователя.

     Электронный адрес                    Введите электронный адрес. Обязательное поле.

     Пароль                               Введите пароль электронной почты.

     Сертификат удостоверения             Выберите сертификат для полезных данных EAS.

     Следующий интервал синхронизации     Позволяет задать интервал в минутах для синхронизации устройства с сервером
     (мин)                                EAS.

     Количество прошлых дней для          Укажите количество прошлых дней для синхронизации эл. почты на устройстве.
     синхронизации почты

     Сбор данных диагностики              Позволяет включить сбор данных для устранения неполадок.

     Требовать защиту данных при          Включите, чтобы требовать защиту данных при блокировке устройства.
     блокировке

     Разрешить синхронизацию эл. почты    Включите, чтобы разрешить синхронизацию сообщений электронной почты.

     Разрешить синхронизацию контактов    Включите, чтобы разрешить синхронизацию контактов.

     Разрешить синхронизацию календаря    Включите, чтобы разрешить синхронизацию событий календаря.

7. Выберите Сохранить, чтобы сохранить профиль на консоли Workspace ONE UEM, или Сохранить и
     распространить, чтобы распространить профиль на устройства.

VMware, Inc.                                                                                                            31
Настройка атрибута пользователя
для вызовов MEM в Google Suite                                                                    7
В развертываниях Gmail по умолчанию используются API-интерфейсы Google для управления доступом к
Gmail. При отправке команд в Google можно идентифицировать пользователя регистрации по его адресу
электронной почты. Другой способ: администратор может также для идентификации пользователя в Google
выбрать настраиваемый атрибут Active Directory, а не адрес электронной почты пользователя. Этот
настраиваемый атрибут можно использовать, если адрес электронной почты Google находится в поле
настраиваемого атрибута в Active Directory заказчика. Параметры настраиваемого атрибута применимы к
Google Apps с подготовкой пароля, Google Apps с прямым API и SEG v2 с методами развертывания
автоматической подготовки пароля.

Процедура

1. Перейдите в раздел Аккаунты > Администраторы > Настройки администратора > Службы
     каталогов > Пользователь. Администратор Workspace ONE UEM может сопоставлять значения
     настраиваемых атрибутов и использовать значение сопоставления из Active Directory заказчика.

2. Включите настраиваемый атрибут на странице Службы каталогов, введите значение сопоставления и
     синхронизируйте пользователей Active Directory, чтобы обновить настраиваемый атрибут пользователя
     для регистрации. Для получения дополнительных сведений о том, как включить пользовательский
     атрибут, см. Руководство по интеграции службы каталогов в руководстве, раздел Сопоставление
     информации о пользователе службы каталогов.

3. Перейдите в раздел Электронная почта > Настройки эл. почты и выберите Настроить. Настройте
     шлюз платформы и выберите Далее.

4. На странице Добавить конфигурацию эл. почты выберите модель развертывания Прямая, тип эл.
     почты — Google Apps с прямым API и выберите Далее.

5. Введите понятное имя для этого развертывания на странице Развертывание. Введите параметры Gmail,
     аутентификации, интеграции Directory API для Gmail, а также параметры прокси-сервера SEG.

6. Введите Адрес эл. почты пользователя Google. Значение по умолчанию для адреса электронной
     почты пользователя Google — адрес эл. почты. Администратор может выбрать настраиваемый атрибут
     вместо используемого по умолчанию адреса эл. почты.

7. Настройте профили эл. почты. См. Глава 6 Профили эл. почты .

VMware, Inc.                                                                                          32
Управление мобильной электронной почтой

Пример.
Этот настраиваемый атрибут можно использовать, если адрес электронной почты Google находится в поле
настраиваемого атрибута в Active Directory заказчика.

VMware, Inc.                                                                                      33
Включение эл. почты на основе
сертификатов                                                                                 8
Применение сертификатов, помимо стандартных учетных данных в виде имени пользователя и пароля,
предоставляет определенные преимущества, так как сертификаты обеспечивают более надежную
аутентификацию в случае несанкционированного доступа. Это также избавляет пользователей от
необходимости вводить пароль или ежемесячно его обновлять. Конфиденциальные электронные письма
между получателями можно шифровать с помощью S/MIME. Для удостоверения личности также можно
использовать подпись в сообщении.

Процедура

1. Перейдите в раздел Устройства > Профили и ресурсы > Профили.

2. Выберите ДОБАВИТЬ > Добавить профиль, после чего выберите требуемую платформу.

3. Выберите параметры профиля Учетные данные и настройте их.

     а)   В поле Источник учетных данных выберите любой доступный вариант из списка.

          n    Загрузить — загрузите сертификат и укажите его имя.

          n    Определенный центр сертификации — выберите ЦС и шаблон сертификата в
               раскрывающемся меню для своей организационной группы.

               Добавить центры сертификации и шаблоны для организационной группы можно в пункте
               Устройства > Сертификаты > Центры сертификации.

     б) В поле Сертификат пользователя выберите тип сертификата S/MIME.

          n    Сертификат подписи S/MIME

          n    Сертификат шифрования S/MIME

4. Сохраните и опубликуйте настройки.

VMware, Inc.                                                                                      34
Применение контроля доступа к эл.
почте                                                                                           9
Настройка управления доступом для обеспечения безопасного доступа к вашей почтовой инфраструктуре.

Политики соответствия электронной почты
После того как электронная почта была развернута, вы можете дополнительно защитить мобильную почту,
установив контроль над доступом к эл. почте. Благодаря функции контроля доступ к вашей инфраструктуре
эл. почты могут получать только безопасные и соответствующие устройства. Для контроля доступа
применяются политики соответствия эл. почты.

Политики соответствия эл. почты повышают уровень безопасности, блокируя доступ к эл. почте с
несоответствующих, незашифрованных, неактивных или неуправляемых устройств. Политики эл. почты
позволяют предоставить доступ к эл. почте только необходимым и авторизованным устройствам. Политики
эл. почты также запрещают доступ к эл. почте с учетом модели устройства и операционных систем.

Существуют следующие категории политик: общие политики эл. почты, политики управляемых устройств и
политики безопасности эл. почты. В таблице ниже указаны политики в каждой категории и модели
развертывания, в которых они применяются.

В следующей таблице перечислены поддерживаемые политики соответствия электронной почты.

Таблица 9-1. Поддерживаемые политики соответствия электронной почты

                                                                         Управление      Прямая
                                   SEG (Exchange, IBM   PowerShell       паролями        интеграция
                                   Traveler, G Suite)   (Exchange)       (Gmail)         (Gmail)

Общие политики эл. почты

Параметры синхронизации            Д                    Н

Управляемое устройство             Д                    Д

Почтовый клиент                    Д                    Д

Пользователь                       Д                    Д

Тип устройства EAS                 Д                    Д

Политики управляемых устройств

Неактивность                       Д                    Д

Устройство уязвимо                 Д                    Д

Шифрование                         Д                    Д

Модель                             Д                    Д

VMware, Inc.                                                                                          35
Управление мобильной электронной почтой

                                                                            Управление   Прямая
                                          SEG (Exchange, IBM   PowerShell   паролями     интеграция
                                          Traveler, G Suite)   (Exchange)   (Gmail)      (Gmail)

Операционная система                      Д                    Д

Требование профиля ActiveSync             Д                    Д

Политики безопасности эл. почты

Классификация безопасности электронной    Д                    Н
почты

Вложения (управляемые устройства)         Д                    Н

Вложения (неуправляемые устройства)       Д                    Н

Гиперссылка                               Д                    Н

В эту главу входят следующие разделы:

n    Активация политики соответствия электронной почты

n    Защита контента, ссылок и вложений электронной почты

n    Включение классификации безопасности электронной почты

n    Включение защиты вложений электронной почты

n    Включение защиты гиперссылок

Активация политики соответствия электронной почты
Workspace ONE UEM Console предоставляет разные политики соответствия эл. почты: основные
политики эл. почты, политики для управляемых устройств и политики безопасности эл. почты. Вы можете
активировать любую доступную политику соответствия эл. почты или изменить правила для этих политик,
чтобы разрешить устройства или блокировать их.

Процедура

1. Перейдите в раздел Эл. почта > Политики соответствия.

VMware, Inc.                                                                                          36
Управление мобильной электронной почтой

2. Чтобы изменить любое правило для политики, используйте значок изменения политики в столбце
     Действия.

     Основные политики эл. почты применяются на всех устройствах, использующих эл. почту. При
     выборе группы пользователей политика распространяется на всех пользователей в выбранной группе.

     Политика эл. почты                   Описание

     Параметры синхронизации              Ограничение синхронизации устройства с определенными папками EAS.
                                          n   Workspace ONE UEM предотвращает синхронизацию устройств с указанными
                                              папками вне зависимости от прочих политик соответствия.
                                          n   Чтобы политика действовала, вам понадобится повторно распространить
                                              профиль EAS на устройства (для повторной синхронизации устройств с
                                              сервером эл. почты).

     Управляемое устройство               Доступ к электронной почте только для управляемых устройств.

     Почтовый клиент                      Доступ к почте открыт только для почтовых клиентов.
                                          n   Вы можете разрешить или запретить доступ с помощью почтовых клиентов в
                                              зависимости от их типа, например Настраиваемый и Обнаруженный.
                                          n   Вы также можете установить действия по умолчанию для почтового клиента и
                                              обнаруженных почтовых клиентов, которые не отображаются в раскрывающемся
                                              меню Почтового клиента. Для настраиваемого клиента поддерживаются
                                              подстановочные знаки (*) и автозавершение.

     Пользователь                         Почта доступна только определенным пользователям. Вы можете разрешить или
                                          запретить тип пользователей, например "Настраиваемый", "Обнаруженный",
                                          "Аккаунт пользователя Workspace ONE UEM" и "Группа пользователей". Вы также
                                          можете установить действия по умолчанию для имен пользователей в электронной
                                          почте, которые не отображаются в раскрывающемся меню «Имя пользователя» или
                                          «Группа». Для настраиваемого типа пользователей поддерживаются подстановочные
                                          знаки (*) и автозавершение.

     Тип устройства EAS                   Допуск или блокирование устройств в зависимости от значения атрибута "Тип
                                          устройства EAS", передаваемого пользовательским устройством. Можно разрешить
                                          или блокировать устройства в зависимости от типа почтового клиента, например
                                          "Настраиваемый" и "Обнаруженный". Кроме того, можно установить действия по
                                          умолчанию для типов устройств EAS, которые не отображаются в раскрывающемся
                                          меню "Тип устройства". Для настраиваемого клиента поддерживаются
                                          подстановочные знаки (*) и автозавершение.

     Политики управляемых устройств применяются на управляемых устройствах, использующих эл.
     почту.

     Политика эл. почты                   Описание

     Неактивность                         Ограничивает доступ к почте для неактивных управляемых устройств. Можно
                                          указать период (в днях) отображения устройства как неактивного (т. е. когда с
                                          устройства не выполняется вход в VMware AirWatch), по истечении которого
                                          Workspace ONE UEM будет блокировать доступ к эл. почте. Диапазон допустимых
                                          значений: 1–32 767.

     Устройство уязвимо                   Ограничивает доступ к почте для скомпрометированных устройств. Эта политика не
                                          блокирует доступ устройствам к эл. почте, для которых в системе AirWatch не
                                          указан статус уязвимости.

VMware, Inc.                                                                                                              37
Вы также можете почитать