Управление мобильной электронной почтой - VMware Workspace ONE UEM 1903 - VMware Docs
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
Управление мобильной электронной почтой VMware Workspace ONE UEM 1903
Управление мобильной электронной почтой
Актуальная техническая документация доступна на веб-сайте VMware:
https://docs.vmware.com/ru/
Также на веб-сайте VMware доступны последние обновления продуктов.
Все замечания по данной документации можно отправлять по адресу:
docfeedback@vmware.com
VMware, Inc. VMware Россия
3401 Hillview Ave. Россия, 125284, г. Москва
Palo Alto, CA 94304 ул. Беговая, д.3, стр.1
www.vmware.com Бизнес-центр "NORDSTAR TOWER" 30й этаж
Телефон: +7 495 212 29 00
www.vmware.com/ru
©
2019 VMware, Inc. Все права защищены. Информация об авторских правах и товарных знаках.
VMware, Inc. 2
Содержание
1. Обзор Mobile Email Management 4
Требования MEM 5
2. Управление инфраструктурой эл. почты 6
Модель прокси-сервера Secure Email Gateway 7
Прямая модель развертывания PowerShell 8
Прямая модель Gmail 10
Таблица моделей развертывания MEM 11
Рекомендации по использованию Workspace ONE UEM 13
3. Миграция эл. почты в Workspace ONE UEM 16
Миграция на Secure Email Gateway (SEG) 16
Миграция на PowerShell 17
Интеграция Gmail с Workspace ONE UEM 18
Миграция устройств 19
4. Настройка развертывания Mobile Email Management 20
5. Назначение устройств для решения «Mobile Email Management» MEM 23
Синхронизация устройств 24
6. Профили эл. почты 26
Настройка профиля электронной почты EAS для внутреннего почтового клиента 28
Профиль Exchange ActiveSync (Windows Desktop) 30
7. Включение эл. почты на основе сертификатов 32
8. Применение контроля доступа к эл. почте 33
Активация политики соответствия электронной почты 33
Защита контента, ссылок и вложений электронной почты 36
Включение классификации безопасности электронной почты 37
Включение защиты вложений электронной почты 37
Включение защиты гиперссылок 39
9. Управление электронной почтой 41
Просмотр сведений об устройстве и пользователе 41
VMware, Inc. 3
Обзор Mobile Email Management 1
Используйте Workspace ONE UEM для управления развертыванием мобильной эл. почты.
Возможность просмотра корпоративных данных на устройстве обеспечивает удобство и повышает
производительность работы, однако при этом возникают проблемы, связанные с безопасностью и
®
развертыванием. Для преодоления этих трудностей решение VMware AirWatch Mobile Email
®
Management (MEM) обеспечивает комплексную безопасность корпоративной инфраструктуры для
эл. почты.
Проблемы
Мобильная эл. почта обеспечивает значительные преимущества и в то же время является
источником больших проблем, например:
n Поддержка эл. почты на устройствах разного типа, в разных операционных системах и
почтовых клиентах.
n Безопасность доступа к эл. почте по незащищенным сетям.
n Защита конфиденциальной информации от сторонних приложений.
n Запрет доступа к эл. почте с неавторизованных, утерянных или украденных устройств.
n Предотвращение потери вложений или их распространения через сторонние приложения при
просмотре.
Преимущества Mobile Email Management (MEM)
®
Решение VMware AirWatch MEM предоставляет все основные компоненты, необходимые для
успешного и безопасного развертывания мобильной эл. почты. Ниже приведены некоторые из
преимуществ использования MEM:
n Использование SSL
n Дистанционная настройка электронной почты на устройстве
n Обнаружение неуправляемых устройств
n Защита электронной почты от потери данных
n Блокировка доступа к эл. почте на неуправляемых устройствах
VMware, Inc. 4
Управление мобильной электронной почтой
n Доступ к электронной почте только для устройств разрешенных компанией
n Интеграция и удаление сертификатов
Требования MEM
® ®
Прежде чем приступить к работе с решением VMware AirWatch Mobile Email Management (MEM),
проверьте требования к браузеру, приведенные в этом разделе.
Заявление об отказе от ответственности
Интеграция со сторонними продуктами не гарантируется и зависит от правильного
функционирования решений сторонних производителей.
Поддерживаемые браузеры
Консоль Workspace ONE UEM поддерживает последние стабильные сборки следующих веб-
браузеров:
n Chrome
n Firefox
n Safari
n Internet Explorer 11
n Microsoft Edge
Примечание Если вы используете IE для доступа к консоли UEM, перейдите в раздел Панель
управления > Параметры > Настройки Internet > Безопасность и убедитесь, что вы используете
уровень безопасности или пользовательский уровень безопасности, в котором для параметра
Загрузка шрифтов установлено значение Включено.
Если вы используете более старые версии указанных выше браузеров, обновите их, чтобы
гарантировать все возможности и функции консоли Workspace ONE UEM. В последних версиях
веб-браузеров было проведено тщательное тестирование всех возможностей. В
несертифицированных браузерах консоль UEM может работать с некоторыми ограничениями.
VMware, Inc. 5Управление инфраструктурой эл.
почты 2
Workspace ONE UEM предлагает два типа моделей развертывания для защиты и управления
вашей инфраструктурой эл. почты — модель прокси и модель развертывания прокси-серверов
SEG.
Вы можете использовать одну из этих моделей развертывания совместно с политиками эл. почты,
заданными в консоли UEM, для эффективного управления мобильными устройствами.
n В рамках модели прокси между сервером Workspace ONE и корпоративным почтовым
сервером размещается отдельный сервер, который называется прокси-сервером SEG. Прокси-
сервер фильтрует все запросы, поступающие из устройств на почтовый сервер, и пропускает
трафик только от авторизованных устройств. Благодаря этому обеспечивается защита
корпоративного почтового сервера, так как он не взаимодействует непосредственно с
мобильными устройствами.
n Модель развертывания прокси-серверов SEG можно настроить на двух платформах:
классической платформе или платформе V2. Хотя функциональность обеих платформ
одинакова, платформа V2 обеспечивает улучшенную производительность по сравнению с
классической платформой. Данная модель является прямой: это означает, что прокси-сервер
отсутствует, а платформа Workspace ONE UEM взаимодействует напрямую с серверами эл.
почты. Благодаря отсутствию прокси-сервера упрощается процедура установки и настройки.
Модель развертывания Режим настройки Инфраструктура эл. почты
Модель прокси Secure Email Gateway — Microsoft Exchange 2003/2007/2010/2013/2016
Классическая платформа Exchange Office 365
IBM Domino с Lotus Notes
Novell GroupWise (с EAS)
Gmail
Secure Email Gateway — Microsoft Exchange 2010/2013/2016 Microsoft Exchange 2010/2013/2016
Платформа V2 Exchange Office 365 Exchange Office 365
VMware, Inc. 6Управление мобильной электронной почтой
Модель развертывания Режим настройки Инфраструктура эл. почты
Прямая модель Модель PowerShell Microsoft Exchange 2010/2013/2016
Microsoft Office 365
Модель Gmail Gmail
Примечание Платформа Workspace ONE UEMWorkspace ONE UEM поддерживает только те
версии сторонних серверов эл. почты, которые поддерживаются в настоящее время поставщиком
почтовых серверов. Когда поставщик объявляет версию почтового сервера устаревшей,
платформа Workspace ONE UEM перестает поддерживать интеграцию с этой устаревшей версией.
В эту главу входят следующие разделы:
n Модель прокси-сервера Secure Email Gateway
n Прямая модель развертывания PowerShell
n Прямая модель Gmail
n Таблица моделей развертывания MEM
n Рекомендации по использованию Workspace ONE UEM
Модель прокси-сервера Secure Email Gateway
Прокси-сервер Secure Email Gateway (SEG) — это отдельный сервер, установленный в
соответствии с вашим существующим почтовым сервером и пропускающий весь поток данных на
мобильные устройства. На основе параметров, заданных в консоли EM, прокси-сервер SEG
разрешает или блокирует передачу данных для каждого управляемого мобильного устройства.
Прокси-сервер SEG фильтрует все запросы связи, поступающие на корпоративный почтовый
сервер, и пропускает трафик только от авторизованных устройств. Такая ретрансляция защищает
корпоративный почтовый сервер, запрещая устройствам связь с ним.
VMware, Inc. 7Управление мобильной электронной почтой Установите сервер SEG в сети, чтобы поток данных эл. почты предприятия проходил через него. Его также можно установить в демилитаризованной зоне (DMZ) или после обратного прокси- сервера. Сервер SEG должен быть установлен в вашем центре обработки данных вне зависимости от того, находится ли ваш сервер Workspace ONE MDM в локальной среде или в облаке. Прямая модель развертывания PowerShell В модели PowerShell приложение Workspace ONE UEM принимает на себя роль администратора PowerShell и дает инфраструктуре Exchange ActiveSync (EAS) команды разрешить или запретить доступ к эл. почте на основе политик, определенных в UEM console. Развертывания PowerShell не нуждаются в дополнительном прокси-сервере, и процесс установки довольно простой. Развертывания PowerShell предназначены для организаций, использующих Microsoft Exchange 2010, 2013, 2016 или Office 365. В конфигурации, где используется облачный сервер электронной почты Office 365, сервер Workspace ONE UEM устанавливает сеанс PowerShell напрямую с сервером электронной почты. VMware, Inc. 8
Управление мобильной электронной почтой
Существует два способа выполнения команд PowerShell в зависимости от взаимного расположения
сервера Workspace ONE UEM и сервера Exchange:
n Сервер Workspace ONE находится в облаке, а сервер Exchange в локальной среде — в этом
случае сервер Workspace ONE UEM выполняет команды PowerShell. VMware Enterprise
Systems Connector устанавливает сеанс PowerShell с почтовым сервером.
n Сервер Workspace ONE UEM и сервер эл. почты находятся в локальной среде — в этом случае
сервер Workspace ONE UEM устанавливает сеанс PowerShell напрямую с почтовым сервером.
В такой конфигурации не требуется наличия сервера VMware Enterprise Systems Connector за
исключением тех случаев, когда сервер Workspace ONE UEM не может взаимодействовать
напрямую с сервером эл. почты.
Дополнительные сведения о выборе между моделями развертывания Secure Email Gateway и
PowerShell см. в разделе «Рекомендации по использованию Workspace ONE UEM».
VMware, Inc. 9Управление мобильной электронной почтой
Прямая модель Gmail
Интеграция сервера Workspace ONE UEM с Google.
Организации, где используется инфраструктура Gmail, могут быть знакомы проблемы защиты
почтовых конечных точек для Gmail и предотвращения неавторизованного трафика.
Workspace ONE UEM решает эти проблемы, предоставляя гибкий и безопасный метод для
интеграции вашей инфраструктуры электронной почты.
В прямой модели развертывания Gmail сервер Workspace ONE UEM взаимодействует напрямую с
Google.
В зависимости от требований безопасности можно выбрать одну из следующих моделей хранения
пароля:
n Сохранять пароль Google в базе данных Workspace ONE UEM: если устройство не
соответствует требованиям, платформа Workspace ONE UEM сбрасывает пароль для Google,
не позволяя пользователю войти в систему на другом устройстве. Если устройство снова
получает статус соответствующего нормативным требованиям, Workspace ONE UEM
сбрасывает старый пароль на сервере Google и пользователь может войти с помощью старого
пароля.
n Не сохранять пароль Google в базе данных Workspace ONE UEM: если устройство не
соответствует требованиям, профиль эл. почты будет удален с устройства пользователя, при
этом пользователь не сможет получать электронные письма. Если устройство снова получает
статус соответствующего нормативным требованиям, Workspace ONE UEM активирует новый
пароль, отправляет его в Google и на устройство через профиль эл. почты.
VMware, Inc. 10Управление мобильной электронной почтой
Таблица моделей развертывания MEM
Используйте приведенную ниже таблицу функций для сравнения компонентов, доступных в
различных моделях развертывания MEM.
Для Office 365 требуется дополнительная настройка при использовании модели прокси-серверов
SEG. Workspace ONE UEM рекомендует прямую модель интеграции для облачных серверов эл.
почты. Подробнее см. в разделе «Рекомендации по использованию Workspace ONE UEM».
✓ Поддерживается □ Не поддерживается Workspace ONE UEM
X Возможность недоступна Н/п Неприменимо
Таблица 2‑1. Таблица развертывания
Модель SEG- Прямая
прокси модель
Exchange
Exchange Lotus Novell Office 365 2010/2013/2016
2010/2013/2016 Traveler GroupWise (PowerShell) (PowerShell) Gmail
Средства безопасности эл. почты
Применяемые параметры безопасности
Использование цифровых ✓ □ □ ✓ ✓ Н/п
подписей на основе S/MIME
Защита конфиденциальных ✓ ✓ ✓ ✓ ✓ ✓
данных с помощью
принудительного
шифрования
Использование SSL ✓ ✓ ✓ ✓ ✓ ✓
Безопасность вложений и гиперссылок в эл. почте
Принудительное открытие ✓ ✓ ✓ x x x
вложений и гиперссылок в
VMware AirWatch Content
Locker или только в
Workspace ONE Web
Автоматическая настройка эл. почты
Дистанционная настройка ✓ ✓ ✓ ✓ ✓ ✓
эл. почты на устройстве
Контроль доступа к эл. почте
Блокировка доступа к эл. ✓ ✓ ✓ ✓ ✓ ✓
почте на неуправляемых
устройствах
Обнаружение ✓ ✓ ✓ ✓ ✓ Н/п
неуправляемых устройств
VMware, Inc. 11Управление мобильной электронной почтой
Таблица 2‑1. Таблица развертывания (продолжение)
Модель SEG- Прямая
прокси модель
Exchange
Exchange Lotus Novell Office 365 2010/2013/2016
2010/2013/2016 Traveler GroupWise (PowerShell) (PowerShell) Gmail
Доступ к эл. почте с ✓ ✓ ✓ ✓ ✓ ✓
помощью настраиваемых
политик соответствия
Обязательное шифрование ✓ ✓ ✓ ✓ ✓ ✓
устройства для доступа к
эл. почте
Блокировка доступа к эл. ✓ ✓ ✓ ✓ ✓ ✓
почте на уязвимых
устройствах
Разрешение/блокировка эл. ✓ ✓ ✓ ✓ ✓ x
почты: почтовый клиент
Контроль доступа к эл. почте
Разрешение/блокировка эл. ✓ ✓ ✓ ✓ ✓ x
почты: пользователь
Разрешение/блокировка эл. ✓ ✓ ✓ ✓ ✓ ✓
почты: модель устройства
Разрешение/блокировка эл. ✓ ✓ ✓ ✓ ✓ ✓
почты: ОС устройства
Разрешение/блокировка эл. ✓ ✓ ✓ ✓ ✓ x
почты: тип устройства EAS
Видимость систем управления
Статистика трафика эл. ✓ ✓ ✓ x x x
почты
Статистика по почтовым ✓ ✓ ✓ x x x
клиентам
Управление сертификатами
Интеграция/отзыв ЦС ✓ □ □ ✓ ✓ Н/п
Архитектура
Встроенный шлюз (прокси) ✓ ✓ ✓ Н/п Н/п ✓
Exchange PowerShell Н/п Н/п Н/п ✓ ✓ Н/п
Управление паролями Gmail Н/п Н/п Н/п Н/п Н/п ✓
Интеграция Directory Н/п Н/п Н/п Н/п Н/п ✓
API для Gmail
Поддерживается
VMware Boxer для iOS и ✓ □ □ ✓ ✓ □
Android [^]
VMware, Inc. 12Управление мобильной электронной почтой
Таблица 2‑1. Таблица развертывания (продолжение)
Модель SEG- Прямая
прокси модель
Exchange
Exchange Lotus Novell Office 365 2010/2013/2016
2010/2013/2016 Traveler GroupWise (PowerShell) (PowerShell) Gmail
Внутренний почтовый ✓ ✓ ✓ ✓ ✓ ✓
клиент iOS
Внутренний почтовый ✓ ✓ ✓ ✓ ✓ ✓
клиент Android**
Внутренний почтовый ✓ ✓ ✓ ✓ ✓ x
клиент Windows Mobile
Windows Phone ✓ ✓ ✓ ✓ ✓ ✓
Blackberry 10*** ✓ ✓ ✓ ✓ ✓ Н/п
iOS Touchdown* ✓ ✓ ✓ ✓ ✓ ✓
Android Touchdown ✓ ✓ ✓ ✓ ✓ ✓
Клиент Android для Lotus Н/п ✓ Н/п Н/п Н/п Н/п
Notes*
*Безопасность вложений и гиперссылок электронной почты не поддерживается в клиенте Android для Lotus Notes и
клиенте iOS Touchdown
** В настоящее время внутренний почтовый клиент Android поддерживается только на устройствах SAFE, HTC Pro2, LG
Optimus Pro и Intuition.
*** Профиль EAS не поддерживается.
+ Exchange 2003 не поддерживается.
^ Exchange 2003, обязательный профиль ActiveSync и использование нескольких экземпляров MEM не поддерживаются
для Workspace ONE Boxer.
Рекомендации по использованию Workspace ONE UEM
В этом разделе перечислены возможности, поддерживаемые Workspace ONE UEM, и
соответствующие размеры развертываний. Используйте таблицу сравнения для выбора
оптимального развертывания.
Шифрование вложений
Благодаря принудительному шифрованию вложений на мобильных устройствах, платформа
Workspace ONE UEM может помочь сохранить вложения вашей эл. почты в безопасности, не
затрудняя при этом работу конечных пользователей.
VMware
Внутренние Touchdown Traveler Boxer
iOS ✓ ✓
Android ✓ ✓ ✓
VMware, Inc. 13Управление мобильной электронной почтой
VMware
Внутренние Touchdown Traveler Boxer
Windows Phone * ✓
* Если ваша среда включает устройства Windows Phone 8/8.1/RT,
рекомендуем использовать шифрование вложений.
SEG поддерживает шифрование вложений и преобразование
гиперссылок в Boxer лишь в том случае, если эти функции
включены для конфигурации приложения Boxer в UEM.
SEG поддерживает шифрование вложений для Exchange
2010/2013/2016 и Office 365.
Управление электронной почтой
Перечисленные рекомендации обеспечивают максимальный уровень защиты, удобства
развертывания и управления.
Secure Email Gateway
Gmail PowerShell (SEG)
Инфраструктура облачной эл. почты
Office 365 ✓ ✓
Gmail ✓ ✓
Инфраструктура локальной эл. почты
Exchange 2010 ✓ ✓
Exchange 2013 ✓ ✓
Exchange 2016 ✓ ✓
Lotus Notes ✓
Novel GroupWise ✓
^Используйте Secure Email GatewaySecure Email Gateway (SEG) для всех локальных инфраструктур электронной почты с
развертыванием более 100 000 устройств. При развертывании менее 100 000 устройств для управления электронной
почтой также можно использовать PowerShell. См. таблицу сравнения Secure Email Gateway и PowerShell.
**Порог для внедрения PowerShell основан на последнем наборе выполненных тестов производительности и может
меняться от версии к версии. При развертывании не более 50 000 устройств процесс синхронизации и проверки на
соответствие не должен занять много времени (предположительно не более 3 часов). При увеличении количества
устройств в развертывании (например, до 100 000 устройств) время выполнения синхронизации и проверки на
соответствие возрастет примерно до 3–7 часов.
Secure Email Gateway по сравнению с таблицей решений PowerShell
В таблице приведены функции развертывания SEG и PowerShell, чтобы помочь вам выбрать
вариант развертывания, соответствующий вашим потребностям.
VMware, Inc. 14Управление мобильной электронной почтой
Преимущества Недостатки
SEG n Соответствие в реальном времени n Необходимость дополнительных серверов.
n Шифрование вложений. n Компонент ADFS необходимо настроить таким
n Преобразование гиперссылок. образом, чтобы конечные пользователи не могли
подключаться напрямую к Office 365 (только через
SEG)
PowerShell n Нет необходимости в дополнительном n Нет необходимости в синхронизации с правилами
локальном сервере для управления эл. почтой. соответствия в режиме реального времени
n Нет необходимости в ADFS, так как почтовый n Не подходит для больших сред (свыше 100 000
трафик направляется напрямую в Office 365, устройств).
не проходя через локальный сервер.
Корпорация Майкрософт предлагает использовать службы Active Directory Federated Services (ADFS) для
предотвращения прямого доступа к учетным записям электронной почты Office 365.
VMware, Inc. 15Миграция эл. почты в Workspace ONE UEM 3 Вы можете перенести свою эл. почту в модель Mobile Email Management (MEM) с помощью Workspace ONE UEM Выполняя переход на одну из следующих моделей MEM, вы можете применить политики управления доступом к электронной почте, гарантирующие, что доступ к электронной почте предоставляется только утвержденным пользователям и устройствам: n Secure Email Gateway (SEG) n PowerShell n Gmail В эту главу входят следующие разделы: n Миграция на Secure Email Gateway (SEG) n Миграция на PowerShell n Интеграция Gmail с Workspace ONE UEM n Миграция устройств Миграция на Secure Email Gateway (SEG) Миграция эл. почты на Secure Email Gateway (SEG) позволяет пользователям получать доступ к электронным сообщениям только через прокси-сервер SEG. При использовании SEG принудительно применяются политики управления доступом к электронной почте, при этом доступ предоставляется только утвержденным пользователям и устройствам. Политики шифрования вложений гарантируют безопасность данных. Процедура 1. Настройте SEG в требуемой организационной группе в разделе «Глобальные настройки» в Консоль Workspace ONE UEM. . 2. Загрузите и установите SEG.. VMware, Inc. 16
Управление мобильной электронной почтой
3. Проверьте функциональность SEG с помощью политики соответствия эл. почты.
а) Временно отключите все политики соответствия.
б) Попросите всех пользователей зарегистрировать свои устройства в Workspace ONE UEM.
в) Предоставьте новый профиль эл. почты (с URL-адресом сервера SEG в качестве имени
узла) всем зарегистрированным устройствам.
г) Периодически напоминайте пользователям с неуправляемыми устройствами о
необходимости регистрации в Workspace ONE UEM.
д) Чтобы заблокировать доступ EAS к почтовому серверу с определенной даты,
скорректируйте правила брандмауэра (или Threat Management Gateway). Благодаря этому
мобильные устройства не смогут получать доступ непосредственно к почтовому серверу.
Существующие веб-клиенты, Outlook Web Access (OWA) и другие клиенты эл. почты могут
продолжать обращаться к почтовому серверу.
Миграция на PowerShell
Вы можете защитить свои устройства и синхронизировать их с Exchange или Office 365 для работы
с электронной почтой, выполнив миграцию на PowerShell.
Среда PowerShell обнаруживает управляемые и неуправляемые устройства и с помощью политик
управления доступом к электронной почте предоставляет доступ только утвержденным
пользователям и устройствам.
Необходимые условия
Процедура
1. Настройте интеграцию с PowerShell в требуемой организационной группе в разделе
«Глобальные настройки» консоли Workspace ONE UEM.
2. Настройте интеграцию с группами пользователей (настраиваемыми или предопределенными).
3. Протестируйте функциональность PowerShell на подмножестве пользователей (например, с
тестовыми пользователями), чтобы обеспечить работу следующих функций:
а) Синхронизация с сервером эл. почты для обнаружения устройств.
б) Управление доступом в реальном времени.
4. Временно отключите все политики соответствия.
5. Подготовьте новый профиль электронной почты для всех устройств, которые
зарегистрировались в Workspace ONE UEM с использованием имени хоста сервера эл. почты.
6. Проведите синхронизацию с почтовым сервером, чтобы обнаружить все устройства
(управляемые и неуправляемые), которые синхронизируются для эл. почты.
7. Периодически напоминайте пользователям с неуправляемыми устройствами о необходимости
регистрации в Workspace ONE UEM.
VMware, Inc. 17Управление мобильной электронной почтой
8. Активируйте и обеспечьте соблюдение правил соответствия, чтобы заблокировать доступ к эл.
почте со всех несовместимых устройств с определенной даты, включая неуправляемые
устройства.
9. Настройте почтовый сервер для блокировки всех устройств по умолчанию.
10. Выполните синхронизацию с почтовым сервером для получения списка разрешенных и
блокированных устройств (в результате предыдущего изменения политики) и Выполните
проверку на соответствие для этих устройств.
Панель управления эл. почтой отображает список неуправляемых устройств, для которых
заблокирована работа с эл. почтой, и управляемых устройств, для которых разрешена работа с
эл. почтой.
Следующие шаги
Обходной прием для гибкого развертывания Boxer:
Гибкое развертывание Boxer позволяет создавать различные назначения для смарт-групп в
организационной группе.
Если PowerShell используется для управления электронной почтой, то при миграции между
средами Exchange или в Office 365 доступ к электронной почте может быть заблокирован для
Boxer. Чтобы избежать блокировки доступа к электронной почте, создайте правило доступа к
устройству в Exchange, чтобы разрешить использование
Workspace ONE UEMуправляемыхWorkspace ONE Boxer конфигураций.
Выполните следующие действия, чтобы настроить правило доступа к устройству для Office 365,
разрешающее доступ к электронной почте устройствам, установленным с помощью Boxer:
1. Выполните вход в панель управления Exchange.
2. Выберите Мобильные.
3. Чтобы добавить правило, нажмите значок с плюсом в разделе Правила доступа к
устройству.
4. В разделе «Семейство устройств» нажмите кнопку Обзор, после чего выберите
BoxerManagediPhone, BoxerManaged iPad или BoxerManagedAndroid. Нажмите кнопку OK.
Повторите это действие для других устройств под управлением Boxer.
5. В разделе Только эта модель выберите Все модели.
6. Выберите правило Разрешить доступ.
Чтобы отключить действие ограничения, связанного с соответствием, во время миграции на MEM,
следуйте приведенным выше инструкциям в других версиях Exchange.
Интеграция Gmail с Workspace ONE UEM
При миграции на Gmail вы можете синхронизировать свои устройства с сервером Gmail. Вы можете
интегрировать свой сервер Gmail с сервером Secure Email Gateway или без него либо напрямую с
Directory API.
VMware, Inc. 18Управление мобильной электронной почтой Процедура 1. Включите параметр единого входа (SSO) для Gmail либо создайте сертификат учетной записи службы. 2. Настройте интеграцию Gmail из Консоль Workspace ONE UEM с помощью мастера настройки MEM MEM. 3. Предоставьте пользователям профили EAS с новым произвольным паролем. Для устройств, которые этот профиль не получают, доступ к Gmail автоматически блокируется. Миграция устройств Вы можете переносить устройства между организационными группами и развертываниями MEM с помощью Workspace ONE UEM. Процедура 1. В Консоль Workspace ONE UEM перейдите к панели управления эл. почтой. 2. Отфильтруйте управляемые устройства, находящиеся в текущем развертывании MEM. 3. На странице Представление списка выберите все устройства, после чего в выпадающем меню выберите Администрирование > Миграция устройств. 4. На странице Подтверждение переноса устройств введите заданный код ключа для подтверждения переноса и выберите конфигурацию, в которой вы хотите развернуть устройства. 5. Выберите Продолжить. После выполнения описанных выше действий Workspace ONE UEM автоматически удаляет предыдущий профиль Exchange ActiveSync (EAS) и отправляет новый профиль EAS с целевой группой развертывания. После этого устройство будет подключено к новой группе развертывания. Обновленное значение memconfigID для устройства будет отображено на панели управления эл. почтой. VMware, Inc. 19
Настройка развертывания Mobile
Email Management 4
Инфраструктуру эл. почты можно легко интегрировать с помощью мастера настройки Mobile Email
Management (MEM).
MEMНастройка возможна только в родительской организационной группе и не может быть
переопределена в дочерней организационной группе. Конфигурацию MEM можно связать с одним
или несколькими профилями Exchange ActiveSync (EAS).
Процедура
1. Откройте Эл. почта > Настройки и выберите пункт Конфигурация.
2. Выберите модель развертывания, а затем тип эл. почты. Нажмите кнопку Далее.
а) Если выбрана модель развертывания «Прокси», выберите платформу Gateway.
n Для классической платформы можно выбрать следующие типы электронной почты.
n Exchange;
n Приложения Google, использующие подготовку пароля
n Novell GroupWise
n IBM Notes
n Для платформы версии 2 доступен тип электронной почты Exchange.
б) Если выбрана модель развертывания «Прямая», выберите тип эл. почты.
n Exchange;
n Google Apps с прямым API;
n Приложения Google, использующие предоставление пароля: в качестве типа
развертывания Gmail выберите "С сохранением пароля" или "Без сохранения пароля".
Дополнительную информацию о методах развертывания см. в разделе Типы развертывания эл.
почты.
3. Введите данные для выбранного типа развертывания.
n Для развертывания SEG:
а) Введите понятное имя для этого развертывания;
VMware, Inc. 20Управление мобильной электронной почтой
б) Введите сведения о прокси-сервере SEG.
n для развертываний PowerShell:
а) Введите понятное имя для этого развертывания;
б) Введите параметры аутентификации и синхронизации для сервера PowerShell.
n для Gmail:
а) Введите понятное имя для этого развертывания;
б) Введите параметры Gmail, аутентификации, интеграции Directory API для Gmail, а также
параметры прокси-сервера SEG.
4. Сопоставьте шаблон профиля EAS с MEM-развертыванием и нажмите кнопку Далее.
а) Создайте шаблон профиля EAS для этого развертывания.
Новые профили шаблонов не распространяются на устройства автоматически.
Распространить профили на свои устройства можно на странице "Профили".
б) Свяжите существующий профиль с этим развертыванием.
Эта операция обязательна, если несколько развертываний MEM настраиваются в рамках
одной организационной группы.
На странице Сводные данные по конфигурации MEM отображаются параметры
конфигурации.
5. Нажмите Сохранить, чтобы сохранить настройки.
6. После сохранения в это развертывание можно добавить дополнительные настройки.
а)
Нажмите значок Дополнительно для своего развертывания.
б) Настройте доступные параметры почтовых ящиков пользователей в соответствии с
требованием на странице Дополнительная настройка MEM.
в) Нажмите Сохранить.
Следующие шаги
Чтобы настроить несколько MEM-развертываний, нажмите Добавить (на главной странице
Настройка управления мобильной эл. почтой) и выполните шаги 2–7.
Для развертывания SEG можно назначить конфигурацию по умолчанию с помощью команды
Установить по умолчанию в разделе .
VMware, Inc. 21Управление мобильной электронной почтой
Примечание
n При подключении нескольких окружений PowerShell к одному серверу Exchange, необходимо
создать взаимно исключающиеся группы пользователей.
n При подключении нескольких окружений Gmail используйте разные домены в настройках.
n Помните, что возможен вариант подключения SEG и интеграции PowerShell в одной и той же
среде эл. почты только во время миграции развертываний MEM с соответствующими
настройками. Workspace ONE может помочь с внедрением.
VMware, Inc. 22Назначение устройств для решения «Mobile Email Management» MEM 5 Регистрация устройств, назначение профилей электронной почты устройствам и изменения в состоянии соответствия устройств — все эти операции оказывают влияние на работу решения. Конфигурации MEM назначаются устройствам на основе профилей EAS, находящихся на них. Политики соответствия «Под управлением» и «Необходим профиль ActiveSync» исключают неуправляемые и ручные конфигурации. Устройства с профилем Exchange Active Sync (EAS) Когда устройство с профилем EAS связывается с определенной конфигурацией MEM, платформа Workspace ONE UEM отправляет обновления политики в эту конфигурацию MEM. Эта функция упрощает миграцию и работу с несколькими конфигурациями MEM при управлении одной или несколькими средами для электронной почты. Независимо от используемого почтового клиента для всех моделей Google в MEM требуется профиль EAS. Для новых установок связывание профиля EAS с конфигурацией MEM является обязательным. При выполнении обновлений администратор должен связать профиль EAS с конфигурацией MEM после завершения процесса обновления. Встроенный прокси-сервер SEG Платформа Workspace ONE UEM отправляет широковещательное сообщение всем конфигурациям MEM организационной группы, в которой было зарегистрировано устройство. Это сообщение содержит статус соответствия устройства. Если этот статус изменяется, отправляется обновленное сообщение. Когда устройство подключается к определенному серверу SEG, сервер SEG распознает это устройство по широковещательному сообщению, отправленному ранее. Затем прокси-сервер SEG сообщает об обнаруженном устройстве решению VMware AirWatch. После этого платформа Workspace ONE UEM связывает устройство с конфигурацией MEM для SEG и отображает его на панели управления эл. почтой. Если балансировка нагрузки выполняется для нескольких серверов SEG, то широковещательные сообщения одной политики применяются только к одному серверу SEG. Сюда входят сообщения, отправленные из Консоль Workspace ONE UEM в SEG после регистрации устройств, нарушений соответствия или исправления таких нарушений. Используйте Delta Sync с интервалом обновления десять минут для обеспечения работы недавно зарегистрированных устройств или устройств, соответствующих требованиям. Эти устройства проходят период ожидания максимум десять минут перед тем, как начнется синхронизация эл. почты. VMware, Inc. 23
Управление мобильной электронной почтой
Преимущества
n Обновление политик из одного API-источника для всех серверов SEG.
n Меньшее влияние на производительность сервера API.
n Снижение сложности реализации и обслуживания по сравнению с моделью кластеризации
SEG.
n Меньшее количество точек отказа, поскольку каждый сервер SEG отвечает за свои
собственные наборы политик.
n Улучшенные условия работы пользователей.
Встроенная среда PowerShell
Конфигурации PowerShell в MEM действуют аналогично SEG с точки зрения обновлений политики.
При миграции на PowerShell следует выполнить связывание новых профилей с конфигурацией
PowerShell в MEM. Связывание нового профиля позволяет уменьшить объем ненужного
взаимодействия с предыдущей конфигурацией MEM.
Встроенная почта Gmail
Для этого типа развертывания необходимо использовать профили, кроме случаев интеграции с
интерфейсами API Каталога Google. Если устройства не связаны с профилями, настроенное
развертывание Gmail не сможет распознать эти устройства или управлять ими.
Синхронизация устройств
Используйте MEM для синхронизации устройств, связанных с организационной группой.
После настройки развертывания решения Mobile Email Management (MEM) устройства связанной
организационной группы синхронизируются с MEM. Статус устройств и другие сведения можно
просмотреть на странице Панели управления эл. почтой в Консоль Workspace ONE UEM.
Устройства появляются на панели управления в зависимости от моделей развертывания, которые
были назначены для них.
n SEG Прокси-сервер — устройства, управляемые с помощью прокси-сервера SEG, появляются
на панели управления, когда прокси-сервер SEG сообщает о том, что устройство подключено и
находится под его управлением.
n PowerShell — устройства, управляемые с помощью PowerShell, появляются на панели
управления, когда платформа Workspace ONE UEM отправляет командлет PowerShell,
разрешающий подключение устройства к электронной почте.
n Gmail — устройства, управляемые с помощью Gmail, появляются на панели управления, когда
профиль EAS в Workspace ONE UEM для устройства помещается в очередь.
На панели управления эл. почтой отображается один из следующих статусов.
n Управляемые назначенные — зарегистрированные устройства с идентифицированным
значением memconfigID.
VMware, Inc. 24Управление мобильной электронной почтой
n Управляемые неназначенные — зарегистрированные устройства, для которых значение
memConfigID еще не было идентифицировано с помощью назначения профиля или функции
автоматического обнаружения.
n Неуправляемые обнаруженные — устройства, которые еще не были зарегистрированы в
Workspace ONE UEM и определенной конфигурации MEM в рамках организационной группы,
которая обнаружила эти устройства.
VMware, Inc. 25Профили эл. почты 6
Профили эл. почты MEM
Профили EAS
Развертывание EAS Mail с помощью внутреннего почтового клиента (Android (Legacy))
Используйте следующие шаги, чтобы создать профиль настройки для внутреннего почтового
клиента.
1. Перейдите в раздел Устройства > Профили и ресурсы > Профили > Добавить > Добавить
профиль > Android (Legacy).
2. Выберите Устройство, чтобы развернуть на нем профиль.
3. Настройте Общие параметры профиля.
4. Выберите полезную нагрузку Exchange ActiveSync.
5. Настройте параметры Exchange ActiveSync.
Настройка Описание
Почтовый клиент Выберите Внутренний почтовый клиент в качестве типа аккаунта.
Название аккаунта Введите описание для аккаунта эл. почты.
Узел Exchange ActiveSync Введите внешний URL-адрес сервера ActiveSync своей компании.
Сервер ActiveSync может быть любым почтовым сервером, который работает с
протоколом ActiveSync, например IBM Notes Traveler, Novell Data Synchronizer и
Microsoft Exchange.В случае развертывания Secure Email Gateway (SEG)
используйте URL-адрес SEG, а не почтового сервера.
Игнорировать ошибки SSL Включите, чтобы разрешить устройствам игнорировать ошибки SSL для процессов
Workspace ONE Intelligent Hub.
Данные для входа
Домен Введите домен пользователя.
Вместо создания индивидуальных профилей для каждого конечного пользователя
можно использовать подстановочные значения.
Пользователь Введите имя пользователя.
Вместо создания индивидуальных профилей для каждого конечного пользователя
можно использовать подстановочные значения.
VMware, Inc. 26Управление мобильной электронной почтой
Настройка Описание
Адрес эл. почты Введите электронный адрес пользователя.
Вместо создания индивидуальных профилей для каждого конечного пользователя
можно использовать подстановочные значения.
Пароль Введите пароль для пользователя.
Вместо создания индивидуальных профилей для каждого конечного пользователя
можно использовать подстановочные значения.
Сертификат удостоверения Если необходимо, в раскрывающемся списке выберите сертификат удостоверения,
если пользователь должен его передавать для подключения к Exchange ActiveSync.
В противном случае выберите Ничего (по умолчанию).
Настройки
Количество прошлых дней Выберите количество прошлых дней для синхронизации почты с устройством.
для синхронизации почты.
Количество прошлых дней Позволяет задать число дней, прошедших с момента синхронизации, в календаре
календаря для устройства.
синхронизации.
Синхронизировать Включите, чтобы разрешить синхронизацию календаря на устройстве.
календарь
Синхронизировать Включите, чтобы разрешить синхронизацию контактов на устройстве.
контакты
Разрешить синхронизацию Включите, чтобы разрешить синхронизацию задач на устройстве.
задач
Максимальный размер Позволяет указать размер, при превышении которого синхронизированные с
усечения эл. почты устройством электронные сообщения будут укорачиваться.
Подпись эл. почты. Позволяет задать подпись, которая будет отображаться в исходящих электронных
сообщениях.
Ограничения
Разрешить вложения Позволяет разрешить прикрепление вложений к сообщениям электронной почты.
Максимальный размер Позволяет задать максимальный размер вложения в МБ.
вложения
Разрешить переадресацию Позволяет разрешить переадресацию электронной почты.
почты
Разрешить форматирование Позволяет разрешить формат HTML для электронной почты, синхронизируемой с
HTML устройством.
Если для этой настройки задано значение false, электронные сообщения
преобразуются в обычный текст.
Отключить снимки экрана Позволяет отключить возможность делать снимки экрана на устройстве.
Интервал синхронизации Позволяет задать промежуток времени в минутах между синхронизациями.
Дни пиковой загрузки для расписания синхронизации
VMware, Inc. 27Управление мобильной электронной почтой
Настройка Описание
n Позволяет запланировать синхронизацию в дни малой загрузки, а также время
начала и время окончания синхронизации в выбранные дни.
n Позволяет задать расписание синхронизации на пике загрузки и
расписание синхронизации при спаде загрузки.
n Автоматически: синхронизировать электронную почту при любом
обновлении.
n Вручную: синхронизировать только выбранные электронные сообщения.
n Если задать время, синхронизация электронной почты будет выполняться
по расписанию.
n Позволяет использовать настройки Использовать SSL, Использовать TLS и
Аккаунт по умолчанию при необходимости.
Настройки S/MIME
Позволяет использовать S/MIME. Здесь можно назначить сертификат S/MIME
пользовательским сертификатом в полезной нагрузке Учетные данные.
n Сертификат S/MIME — выберите сертификат, который будет использован.
n Необходимо шифрование S/MIME сообщений — включите, чтобы требовать
шифрование.
n Необходимы подписанные S/MIME сообщения — позволяет запрашивать
подписанные сообщения S/MIME.
Если для шифрования используются сертификаты S/MIME, необходимо задать
центр миграции.
Нажмите Сохранить, чтобы сохранить настройки, или Сохранить и
распространить, чтобы сохранить и передать настройки профиля на требуемое
устройство.
6. Нажмите Сохранить, чтобы сохранить настройки, или Сохранить и распространить, чтобы
сохранить и передать настройки профиля на требуемое устройство.
В эту главу входят следующие разделы:
n Настройка профиля электронной почты EAS для внутреннего почтового клиента
n Профиль Exchange ActiveSync (Windows Desktop)
Настройка профиля электронной почты EAS для внутреннего
почтового клиента
Создайте профиль конфигурации эл. почты для внутреннего почтового клиента на устройствах iOS.
Процедура
1. Откройте раздел Устройства > Профили и ресурсы > Профили > Добавить. Выберите пункт
Apple iOS.
2. Настройте Общие параметры профиля.
3. Выберите полезную нагрузку Exchange ActiveSync.
VMware, Inc. 28Управление мобильной электронной почтой
4. Выберите Внутренний почтовый клиент в пункте Почтовый клиент. Внесите в текстовое
поле Название аккаунта описание этого аккаунта эл. почты. В поле Узел Exchange
ActiveSync введите внешний URL-адрес сервера ActiveSync вашей компании.
Сервер ActiveSync может быть любым почтовым сервером, работающим с протоколом
ActiveSync, например: Lotus Notes Traveler, Novell Data Synchronizer или Microsoft Exchange. В
случае развертывания Secure Email Gateway (SEG) используйте URL-адрес SEG, а не
почтового сервера.
5. Установите флажок Использовать SSL, чтобы включить использование протокола SSL для
входящего трафика эл. почты.
6. Установите флажок S/MIME, чтобы использовать дополнительные сертификаты шифрования.
Перед установкой данного флажка убедитесь, что вы загрузили необходимые сертификаты в
параметрах профиля Учетные данные.
а) Выберите Сертификат S/MIME, чтобы разрешить подпись сообщений эл. почты.
б) Выберите Сертификат шифрования S/MIME, чтобы разрешить подпись сообщений эл.
почты.
в) Отметьте флажком Переключатель на сообщение, чтобы конечные пользователи могли
выбирать, какие сообщения подписывать и шифровать, используя внутренний клиент iOS
эл. почты (только под управлением iOS 8+).
7. Введите данные в поле Сведения о входе, включая имя домена, имя пользователя и
электронный адрес, используя подстановочные значения. Эти значения подставляются
непосредственно из аккаунта пользователя. Чтобы использовать подстановочные значения
{EmailDomain}, {EmailUserName} и {EmailAddress}, необходимо, чтобы Workspace ONE UEM-
аккаунты пользователей имели соответствующую информацию.
8. Оставьте поле Пароль пустым, чтобы система предлагала пользователю ввести пароль.
9. Выберите Сертификат полезной нагрузки, чтобы указать сертификат для аутентификации
после добавления сертификата в полезную нагрузку Учетные данные.
10. При необходимости настройте следующие дополнительные параметры в разделе Настройки и
безопасность.
а) Количество прошлых дней для синхронизации почты — загрузите определенное
количество эл. почты. Обратите внимание: расширенные временные рамки приведут к
большему потреблению данных при загрузке почты.
б) Запретить перемещение сообщений — блокирует перемещение почты из ящика
Exchange в другие ящики на устройстве.
в) Запретить использование в сторонних приложениях — запрещает другим приложениям
отправлять сообщения используя почтовый ящик Exchange.
г) Запретить синхронизацию последних адресов — отключает предложение вариантов
контактов при отправке почты в Exchange.
д) Запретить сбор почты — отключает использование функции Apple "Сброс почты".
VMware, Inc. 29Управление мобильной электронной почтой
11. Назначьте Приложение по умолчанию для голосового звонка, которое ваш внутренний
аккаунт EAS будет использовать для отправки вызовов при выборе номера телефона в
электронном письме.
12. Нажмите Сохранить и распространить, чтобы передать профиль на доступные устройства.
Профиль Exchange ActiveSync (Windows Desktop)
Профили Exchange ActiveSync позволяют настроить устройства Windows Desktop для доступа к
серверу Exchange ActiveSync для использования почты и календаря.
Используйте сертификаты, подписанные сторонним доверенным центром сертификации (ЦС).
Ошибки в сертификатах делают ваше соединение уязвимым для потенциальных атак типа
"злоумышленник в середине". Такие атаки снижают уровень конфиденциальности и целостности
данных, передаваемых между компонентами продукта, и могут позволить злоумышленникам
перехватывать или изменять данные во время их передачи.
Профиль Exchange ActiveSync поддерживает внутренний почтовый клиент для рабочего стола
Windows. Настройки меняются в зависимости от используемого почтового клиента.
Удаление профиля или корпоративная очистка
Если профиль удален через команду удаления профиля с использованием политики соответствия
или корпоративной очистки, то все данные эл. почты будут удалены, включая следующее.
n Информация об аккаунте пользователя или сведения для входа.
n Сообщения электронной почты.
n Контакты и сведения из календаря.
n Вложения, сохраненные во внутреннем хранилище приложения.
Имя пользователя и пароль
Если у вас есть имена пользователей эл. почты, которые отличаются от адресов эл. почты
пользователя, можно использовать текстовое поле {EmailUserName}, соответствующее именам
пользователей эл. почты, импортированным во время интеграции службы каталогов. Даже в том
случае, если ваши имена пользователей совпадают с их адресами эл. почты, используйте
текстовое поле {EmailUserName}, так как оно использует адреса эл. почты, импортированные
путем интеграции службы каталогов.
Настройка профиля Exchange ActiveSync (Windows Desktop)
Создайте профиль Exchange ActiveSync, чтобы предоставить устройствам Windows Desktop доступ
к серверу Exchange ActiveSync для использования почты и календаря.
Примечание Workspace ONE UEM не поддерживает Outlook 2016 для профилей Exchange
ActiveSync.
VMware, Inc. 30Управление мобильной электронной почтой
Процедура
1. Откройте Устройства > Профили > Список > Добавить и выберите Добавить профиль.
2. Выберите Windows, а затем платформу Windows Desktop.
3. Выберите Профиль пользователя.
4. Настройте Общие параметры профиля.
5. Выберите полезную нагрузку Exchange ActiveSync.
6. Настройте параметры Exchange ActiveSync.
Настройки Описания
Почтовый клиент Выберите почтовый клиент для настройки профиля EAS.
Workspace ONE UEM поддерживает внутренний почтовый клиент.
Название аккаунта Задайте имя аккаунта Exchange ActiveSync.
Узел Exchange ActiveSync Введите URL или IP-адрес сервера, на котором расположен сервер EAS.
Использовать SSL Позволяет полный обмен информацией посредством протокола безопасного
соединения (SSL).
Домен Введите домен эл. почты.
Профиль поддерживает подстановочные значения для вставки
регистрационной информации пользователя. Для получения
дополнительной информации см. раздел "Имя пользователя и пароль" в
нижней части страницы.
Имя пользователя Введите эл. почту пользователя.
Электронный адрес Введите электронный адрес. Обязательное поле.
Пароль Введите пароль электронной почты.
Сертификат удостоверения Выберите сертификат для полезных данных EAS.
Следующий интервал Позволяет задать интервал в минутах для синхронизации устройства с
синхронизации (мин) сервером EAS.
Количество прошлых дней для Укажите количество прошлых дней для синхронизации эл. почты на
синхронизации почты устройстве.
Сбор данных диагностики Позволяет включить сбор данных для устранения неполадок.
Требовать защиту данных при Включите, чтобы требовать защиту данных при блокировке устройства.
блокировке
Разрешить синхронизацию эл. почты Включите, чтобы разрешить синхронизацию сообщений электронной почты.
Разрешить синхронизацию Включите, чтобы разрешить синхронизацию контактов.
контактов
Разрешить синхронизацию Включите, чтобы разрешить синхронизацию событий календаря.
календаря
7. Выберите Сохранить, чтобы сохранить профиль на консоли Workspace ONE UEM, или
Сохранить и распространить, чтобы распространить профиль на устройства.
VMware, Inc. 31Включение эл. почты на основе
сертификатов 7
Применение сертификатов, помимо стандартных учетных данных в виде имени пользователя и
пароля, предоставляет определенные преимущества, так как сертификаты обеспечивают более
надежную аутентификацию в случае несанкционированного доступа. Это также избавляет
пользователей от необходимости вводить пароль или ежемесячно его обновлять.
Конфиденциальные электронные письма между получателями можно шифровать с помощью
S/MIME. Для удостоверения личности также можно использовать подпись в сообщении.
Процедура
1. Перейдите в раздел Устройства > Профили и ресурсы > Профили.
2. Выберите ДОБАВИТЬ > Добавить профиль, после чего выберите требуемую платформу.
3. Выберите параметры профиля Учетные данные и настройте их.
а) В поле Источник учетных данных выберите любой доступный вариант из списка.
n Загрузить — загрузите сертификат и укажите его имя.
n Определенный центр сертификации — выберите ЦС и шаблон сертификата в
раскрывающемся меню для своей организационной группы.
Добавить центры сертификации и шаблоны для организационной группы можно в
пункте Устройства > Сертификаты > Центры сертификации.
б) В поле Сертификат пользователя выберите тип сертификата S/MIME.
n Сертификат подписи S/MIME
n Сертификат шифрования S/MIME
4. Сохраните и опубликуйте настройки.
VMware, Inc. 32Применение контроля доступа к эл. почте 8 Настройка управления доступом для обеспечения безопасного доступа к вашей почтовой инфраструктуре. Политики соответствия электронной почты После того как электронная почта была развернута, вы можете дополнительно защитить мобильную почту, установив контроль над доступом к эл. почте. Благодаря функции контроля доступ к вашей инфраструктуре эл. почты могут получать только безопасные и соответствующие устройства. Для контроля доступа применяются политики соответствия эл. почты. Политики соответствия эл. почты повышают уровень безопасности, блокируя доступ к эл. почте с несоответствующих, незашифрованных, неактивных или неуправляемых устройств. Политики эл. почты позволяют предоставить доступ к эл. почте только необходимым и авторизованным устройствам. Политики эл. почты также запрещают доступ к эл. почте с учетом модели устройства и операционных систем. Существуют следующие категории политик: основные политики эл. почты, политики управляемых устройств и политики безопасности эл. почты. В таблице ниже указаны политики в каждой категории и модели развертывания, в которых они применяются. В эту главу входят следующие разделы: n Активация политики соответствия электронной почты n Защита контента, ссылок и вложений электронной почты n Включение классификации безопасности электронной почты n Включение защиты вложений электронной почты n Включение защиты гиперссылок Активация политики соответствия электронной почты Консоль Workspace ONE UEM предоставляет разные политики соответствия эл. почты: основные политики эл. почты, политики для управляемых устройств и политики безопасности эл. почты. Вы можете активировать любую доступную политику соответствия эл. почты или изменить правила для этих политик, чтобы разрешить устройства или блокировать их. VMware, Inc. 33
Управление мобильной электронной почтой
Процедура
1. Перейдите в раздел Эл. почта > Политики соответствия.
2. Чтобы изменить любое правило для политики, используйте значок изменения политики в
столбце Действия.
Основные политики эл. почты применяются на всех устройствах, использующих эл. почту.
При выборе группы пользователей политика распространяется на всех пользователей в
выбранной группе.
Политика эл. почты Описание
Параметры синхронизации Ограничение синхронизации устройства с определенными папками EAS.
n Workspace ONE UEM предотвращает синхронизацию устройств с
указанными папками вне зависимости от прочих политик соответствия.
n Чтобы политика действовала, вам понадобится повторно
распространить профиль EAS на устройства (для повторной
синхронизации устройств с сервером эл. почты).
Управляемое устройство Доступ к электронной почте только для управляемых устройств.
Почтовый клиент Доступ к почте открыт только для почтовых клиентов.
n Вы можете разрешить или запретить доступ с помощью почтовых
клиентов в зависимости от их типа, например Настраиваемый и
Обнаруженный.
n Вы также можете установить действия по умолчанию для почтового
клиента и обнаруженных почтовых клиентов, которые не отображаются в
раскрывающемся меню Почтового клиента. Для настраиваемого клиента
поддерживаются подстановочные знаки (*) и автозавершение.
Пользователь Почта доступна только определенным пользователям. Вы можете разрешить
или запретить тип пользователей, например "Настраиваемый",
"Обнаруженный", "Аккаунт пользователя Workspace ONE UEM" и "Группа
пользователей". Вы также можете установить действия по умолчанию для
имен пользователей в электронной почте, которые не отображаются в
раскрывающемся меню «Имя пользователя» или «Группа». Для
настраиваемого типа пользователей поддерживаются подстановочные знаки
(*) и автозавершение.
Тип устройства EAS Допуск или блокирование устройств в зависимости от значения атрибута
"Тип устройства EAS", передаваемого пользовательским устройством.
Можно разрешить или блокировать устройства в зависимости от типа
почтового клиента, например "Настраиваемый" и "Обнаруженный". Кроме
того, можно установить действия по умолчанию для типов устройств EAS,
которые не отображаются в раскрывающемся меню "Тип устройства". Для
настраиваемого клиента поддерживаются подстановочные знаки (*) и
автозавершение.
VMware, Inc. 34Управление мобильной электронной почтой
Политики управляемых устройств применяются на управляемых устройствах, использующих
эл. почту.
Политика эл. почты Описание
Неактивность Ограничивает доступ к почте для неактивных управляемых устройств.
Можно указать период (в днях) отображения устройства как неактивного
(т. е. когда с устройства не выполняется вход в VMware AirWatch), по
истечении которого Workspace ONE UEM будет блокировать доступ к эл.
почте. Диапазон допустимых значений: 1–32 767.
Устройство уязвимо Ограничивает доступ к почте для скомпрометированных устройств. Эта
политика не блокирует доступ устройствам к эл. почте, для которых в
системе AirWatch не указан статус уязвимости.
Шифрование Блокирует доступ к почте для незашифрованных устройств. Эта политика
применяется только к устройствам, которые сообщили свой статус защиты
данных системе VMware AirWatch.
Модель Блокирует доступ к почте в зависимости от платформы и модели устройства.
Операционная система Разрешение доступа к почте заданным операционным системам для
определенных платформ.
Требование профиля ActiveSync Запрет доступа к электронной почте для устройств, которые не управляются
с помощью профиля Exchange ActiveSync.
Политики безопасности эл. почты применяются к вложениям и гиперссылкам. Эта политика
применяется только для развертываний SEG. Дополнительную информацию см. в разделе
Защита контента, ссылок и вложений электронной почты.
Политика эл. почты Описание
Классификация безопасности Определите политику SEGобработки электронных писем с тегами и без
электронной почты тегов. Вы можете использовать предопределенные теги или создавать
новые теги с помощью опции "Кастомизация". Исходя из этой
классификации, можно разрешить или блокировать эл. почту на почтовых
клиентах.
Вложения (управляемые устройства) Шифрование вложений электронной почты для выбранных типов файлов.
Защита этих вложений выполняется на устройстве. Их можно просматривать
только в VMware AirWatch Content Locker.
В настоящее время эта функция доступна только в управляемых
устройствах iOS, Android и Windows Phone с приложением
VMware AirWatch Content Locker. Для других управляемых устройств можно
установить разрешение на шифрованные вложения, блокировку вложений
или разрешение на незашифрованные вложения.
VMware, Inc. 35Вы также можете почитать
