AirWatch Руководство VMware почтой...Руководство VMware AirWatch по...

Руководство VMwareAirWatch по управлениюмобильной электроннойпочтойVMware Workspace ONE UEM 1810VMware AirWatch Mobile Email Management

Руководство VMware AirWatch по управлению мобильной электронной почтой

VMware, Inc. 2

Актуальная техническая документация доступна на веб-сайте VMware:

https://docs.vmware.com/ru/

Также на веб-сайте VMware доступны последние обновления продуктов.

Все замечания по данной документации можно отправлять по адресу:

[email protected]

© 2018 VMware, Inc. Все права защищены. Информация об авторских правах и товарных знаках.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware РоссияРоссия, 125284, г. Москваул. Беговая, д.3, стр.1Бизнес-центр "NORDSTAR TOWER" 30й этажТелефон: +7 495 212 29 00www.vmware.com/ru

https://docs.vmware.com/ru/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Содержание

1. Обзор Mobile Email Management 5

Требования MEM 6

2. Управление инфраструктурой эл. почты 7

Модель прокси-сервера Secure Email Gateway 8

Прямая модель развертывания PowerShell 9

Прямая модель Gmail 11

Таблица моделей развертывания MEM 11

Рекомендации по использованию Workspace ONE UEM 14

3. Миграция эл. почты в Workspace ONE UEM 17

Миграция на Secure Email Gateway (SEG) 17

Миграция на PowerShell 18

Интеграция Gmail с Workspace ONE UEM 19

Миграция устройств 20

4. Настройка развертывания Mobile Email Management 21

5. Назначение устройств для решения «Mobile Email Management» MEM 24

Синхронизация устройств 25

6. Профили эл. почты 27

Развертывание EAS Mail с помощью AirWatch Inbox для Android 29

Настройка профиля почты EAS с помощью внутреннего почтового клиента (iOS) 32

Настройка профиля почты EAS с помощью AirWatch Inbox (iOS) 34

Профиль Exchange ActiveSync (Windows Desktop) 36

Настройка профиля EAS для AirWatch Inbox (Windows Desktop) 37

Настройка профиля Exchange ActiveSync (Windows Desktop) 40

7. Включение эл. почты на основе сертификатов 42

8. Применение контроля доступа к эл. почте 43

Активация политики соответствия электронной почты 45

Защита контента, ссылок и вложений электронной почты 47

Включение классификации безопасности электронной почты 48

Включение защиты вложений электронной почты 48

Включение защиты гиперссылок 50

VMware, Inc. 3

9. Управление электронной почтой 51Просмотр сведений об устройстве и пользователе 51


VMware, Inc. 4

Обзор Mobile Email Management 1Используйте Workspace ONE UEM для управления развертыванием мобильной эл. почты.

Возможность просмотра корпоративных данных на устройстве обеспечивает удобство и повышаетпроизводительность работы, однако при этом возникают проблемы, связанные с безопасностью иразвертыванием. Для преодоления этих трудностей решение VMware AirWatch® Mobile EmailManagement® (MEM) обеспечивает комплексную безопасность корпоративной инфраструктуры дляэл. почты.

ПроблемыМобильная эл. почта обеспечивает значительные преимущества и в то же время являетсяисточником больших проблем, например:

n Поддержка эл. почты на устройствах разного типа, в разных операционных системах ипочтовых клиентах.

n Безопасность доступа к эл. почте по незащищенным сетям.

n Защита конфиденциальной информации от сторонних приложений.

n Запрет доступа к эл. почте с неавторизованных, утерянных или украденных устройств.

n Предотвращение потери вложений или их распространения через сторонние приложения припросмотре.

Преимущества Mobile Email Management (MEM)Решение VMware AirWatch® MEM предоставляет все основные компоненты, необходимые дляуспешного и безопасного развертывания мобильной эл. почты. Ниже приведены некоторые изпреимуществ использования MEM:

n Использование SSL

n Дистанционная настройка электронной почты на устройстве

n Обнаружение неуправляемых устройств

n Защита электронной почты от потери данных

n Блокировка доступа к эл. почте на неуправляемых устройствах

VMware, Inc. 5

n Доступ к электронной почте только для устройств разрешенных компанией

n Интеграция и удаление сертификатов

Требования MEMПрежде чем приступить к работе с решением VMware AirWatch® Mobile Email Management® (MEM),проверьте требования к браузеру, приведенные в этом разделе.

Заявление об отказе от ответственностиИнтеграция со сторонними продуктами не гарантируется и зависит от правильногофункционирования решений сторонних производителей.

Поддерживаемые браузерыКонсоль Workspace ONE UEM поддерживает последние стабильные сборки следующих веб-браузеров:

n Chrome

n Firefox

n Safari

n Internet Explorer 11

n Microsoft Edge

Примечание Если вы используете IE для доступа к консоли UEM, перейдите в раздел Панельуправления > Параметры > Настройки Internet > Безопасность и убедитесь, что вы используетеуровень безопасности или пользовательский уровень безопасности, в котором для параметраЗагрузка шрифтов установлено значение Включено.

Если вы используете более старые версии указанных выше браузеров, обновите их, чтобыгарантировать все возможности и функции консоли Workspace ONE UEM. В последних версияхвеб-браузеров было проведено тщательное тестирование всех возможностей. Внесертифицированных браузерах консоль UEM может работать с некоторыми ограничениями.


VMware, Inc. 6

Управление инфраструктурой эл.почты 2Workspace ONE UEM предлагает два типа моделей развертывания для защиты и управлениявашей инфраструктурой эл. почты — модель прокси и модель развертывания прокси-серверовSEG.

Вы можете использовать одну из этих моделей развертывания совместно с политиками эл. почты,заданными в консоли UEM, для эффективного управления мобильными устройствами.n В рамках модели прокси между сервером Workspace ONE и корпоративным почтовым

сервером размещается отдельный сервер, который называется прокси-сервером SEG. Прокси-сервер фильтрует все запросы, поступающие из устройств на почтовый сервер, и пропускаеттрафик только от авторизованных устройств. Благодаря этому обеспечивается защитакорпоративного почтового сервера, так как он не взаимодействует непосредственно смобильными устройствами.

n Модель развертывания прокси-серверов SEG можно настроить на двух платформах:классической платформе или платформе V2. Хотя функциональность обеих платформодинакова, платформа V2 обеспечивает улучшенную производительность по сравнению склассической платформой. Данная модель является прямой: это означает, что прокси-серверотсутствует, а платформа Workspace ONE UEM взаимодействует напрямую с серверами эл.почты. Благодаря отсутствию прокси-сервера упрощается процедура установки и настройки.

Модель развертывания Режим настройки Инфраструктура эл. почты

Модель прокси Secure Email Gateway —Классическая платформа

Microsoft Exchange 2003/2007/2010/2013/2016

Exchange Office 365

IBM Domino с Lotus Notes

Novell GroupWise (с EAS)

Gmail

Secure Email Gateway —Платформа V2

Microsoft Exchange 2010/2013/2016

Exchange Office 365

Microsoft Exchange 2010/2013/2016

Exchange Office 365

VMware, Inc. 7

Модель развертывания Режим настройки Инфраструктура эл. почты

Прямая модель Модель PowerShell Microsoft Exchange 2010/2013/2016

Microsoft Office 365

Модель Gmail Gmail

Примечание Платформа Workspace ONE UEMWorkspace ONE UEM поддерживает только теверсии сторонних серверов эл. почты, которые поддерживаются в настоящее время поставщикомпочтовых серверов. Когда поставщик объявляет версию почтового сервера устаревшей,платформа Workspace ONE UEM перестает поддерживать интеграцию с этой устаревшей версией.

В эту главу входят следующие разделы:

n Модель прокси-сервера Secure Email Gateway

n Прямая модель развертывания PowerShell

n Прямая модель Gmail

n Таблица моделей развертывания MEM

n Рекомендации по использованию Workspace ONE UEM

Модель прокси-сервера Secure Email GatewayПрокси-сервер Secure Email Gateway (SEG) — это отдельный сервер, установленный всоответствии с вашим существующим почтовым сервером и пропускающий весь поток данных намобильные устройства. На основе параметров, заданных в консоли EM, прокси-сервер SEGразрешает или блокирует передачу данных для каждого управляемого мобильного устройства.

Прокси-сервер SEG фильтрует все запросы связи, поступающие на корпоративный почтовыйсервер, и пропускает трафик только от авторизованных устройств. Такая ретрансляция защищаеткорпоративный почтовый сервер, запрещая устройствам связь с ним.


VMware, Inc. 8

Установите сервер SEG в сети, чтобы поток данных эл. почты предприятия проходил через него.Его также можно установить в демилитаризованной зоне (DMZ) или после обратного прокси-сервера. Сервер SEG должен быть установлен в вашем центре обработки данных вне зависимостиот того, находится ли ваш сервер Workspace ONE MDM в локальной среде или в облаке.

Прямая модель развертывания PowerShellВ модели PowerShell платформа Workspace ONE UEM принимает на себя роль администратораPowerShell и выполняет команды для инфраструктуры Exchange ActiveSync (EAS), чтобыразрешить или запретить доступ к электронной почте на основе политик, определенных в консолиUEM. Развертывания PowerShell не нуждаются в дополнительном прокси-сервере, и процессустановки довольно простой.

Развертывания PowerShell предназначены для организаций, использующих Microsoft Exchange2010, 2013, 2016 или Office 365.

В конфигурации, где используется облачный сервер электронной почты Office 365, серверWorkspace ONE устанавливает сеанс PowerShell напрямую с сервером электронной почты.


VMware, Inc. 9

Существует два способа выполнения команд PowerShell в зависимости от взаимного расположениясервера Workspace ONE UEM и сервера Exchange:

n Сервер Workspace ONE находится в облаке, а сервер Exchange в локальной среде — в этомслучае сервер Workspace ONE UEM выполняет команды PowerShell. VMware EnterpriseSystems Connector устанавливает сеанс PowerShell с почтовым сервером.

n Сервер Workspace ONE UEM и сервер эл. почты находятся в локальной среде — в этом случаесервер Workspace ONE UEM устанавливает сеанс PowerShell напрямую с почтовым сервером.В такой конфигурации не требуется наличия сервера VMware Enterprise Systems Connector заисключением тех случаев, когда сервер Workspace ONE UEM не может взаимодействоватьнапрямую с сервером эл. почты.

Дополнительные сведения о выборе между моделями развертывания Secure Email Gateway иPowerShell см. в разделе «Рекомендации по использованию Workspace ONE UEM».


VMware, Inc. 10

Прямая модель GmailИнтеграция сервера Workspace ONE с Google.

Организации, где используется инфраструктура Gmail, могут быть знакомы проблемы защитыпочтовых конечных точек для Gmail и предотвращения неавторизованного трафика.Workspace ONE UEM решает эти проблемы, предоставляя гибкий и безопасный метод дляинтеграции вашей инфраструктуры электронной почты.

В прямой модели развертывания Gmail сервер Workspace ONE взаимодействует напрямую сGoogle.

В зависимости от требований безопасности можно выбрать одну из следующих моделей храненияпароля:n Сохранять пароль Google в базе данных Workspace ONE: если устройство не соответствует

требованиям, платформа Workspace ONE UEM сбрасывает пароль для Google, не позволяяпользователю войти в систему на другом устройстве. Если устройство снова получает статуссоответствующего нормативным требованиям, Workspace ONE UEM сбрасывает старый парольна сервере Google и пользователь может войти с помощью старого пароля.

n Не сохранять пароль Google в базе данных Workspace ONE: если устройство не соответствуеттребованиям, профиль эл. почты будет удален с устройства пользователя, при этомпользователь не сможет получать электронные письма. Если устройство снова получает статуссоответствующего нормативным требованиям, Workspace ONE UEM активирует новый пароль,отправляет его в Google и на устройство через профиль эл. почты.

Таблица моделей развертывания MEMИспользуйте приведенную ниже таблицу функций для сравнения компонентов, доступных вразличных моделях развертывания MEM.


VMware, Inc. 11

Для Office 365 требуется дополнительная настройка при использовании модели прокси-серверовSEG. Workspace ONE UEM рекомендует прямую модель интеграции для облачных серверов эл.почты. Подробнее см. в разделе «Рекомендации по использованию Workspace ONE UEM».

✓ Поддерживается □ Не поддерживается Workspace ONE UEM

X Возможность недоступна Н/п Неприменимо

Таблица 2‑1. Таблица развертывания

Модель SEG-прокси

Прямаямодель

Exchange2010/2013/2016

LotusTraveler

NovellGroupWise

Office 365(PowerShell)

Exchange2010/2013/2016(PowerShell) Gmail

Средства безопасности эл. почты

Применяемые параметры безопасности

Использование цифровыхподписей на основе S/MIME

✓ □ □ ✓ ✓ Н/п

Защита конфиденциальныхданных с помощьюпринудительногошифрования

✓ ✓ ✓ ✓ ✓ ✓

Использование SSL ✓ ✓ ✓ ✓ ✓ ✓

Безопасность вложений и гиперссылок в эл. почте

Принудительное открытиевложений и гиперссылоктолько вVMware Content Locker илиVMware Browser

✓ ✓ ✓ x x x

Автоматическая настройка эл. почты

Дистанционная настройкаэл. почты на устройстве

✓ ✓ ✓ ✓ ✓ ✓

Контроль доступа к эл. почте

Блокировка доступа к эл.почте на неуправляемыхустройствах

✓ ✓ ✓ ✓ ✓ ✓

Обнаружениенеуправляемых устройств

✓ ✓ ✓ ✓ ✓ Н/п

Доступ к эл. почте спомощью настраиваемыхполитик соответствия

✓ ✓ ✓ ✓ ✓ ✓

Обязательное шифрованиеустройства для доступа кэл. почте

✓ ✓ ✓ ✓ ✓ ✓


VMware, Inc. 12

Таблица 2‑1. Таблица развертывания (продолжение)



Exchange2010/2013/2016

LotusTraveler

NovellGroupWise



Блокировка доступа к эл.почте на уязвимыхустройствах

✓ ✓ ✓ ✓ ✓ ✓

Разрешение/блокировка эл.почты: почтовый клиент

✓ ✓ ✓ ✓ ✓ x

Контроль доступа к эл. почте

Разрешение/блокировка эл.почты: пользователь

✓ ✓ ✓ ✓ ✓ x

Разрешение/блокировка эл.почты: модель устройства

✓ ✓ ✓ ✓ ✓ ✓

Разрешение/блокировка эл.почты: ОС устройства

✓ ✓ ✓ ✓ ✓ ✓

Разрешение/блокировка эл.почты: тип устройства EAS

✓ ✓ ✓ ✓ ✓ x

Видимость систем управления

Статистика трафика эл.почты

✓ ✓ ✓ x x x

Статистика по почтовымклиентам

✓ ✓ ✓ x x x

Управление сертификатами

Интеграция/отзыв ЦС ✓ □ □ ✓ ✓ Н/п

Архитектура

Встроенный шлюз (прокси) ✓ ✓ ✓ Н/п Н/п ✓

Exchange PowerShell Н/п Н/п Н/п ✓ ✓ Н/п

Управление паролями Gmail Н/п Н/п Н/п Н/п Н/п ✓

Интеграция DirectoryAPI для Gmail

Н/п Н/п Н/п Н/п Н/п ✓

Поддерживается

VMware Boxer для iOS иAndroid [^]

✓ □ □ ✓ ✓ □

AirWatch Inbox для iOS ✓ ✓ □ ✓ ✓ □

AirWatch Inbox для Android ✓ ✓ □ ✓ ✓ ✓

AirWatch Inbox для WindowsDesktop

✓ □ □ ✓ ✓ Н/п


VMware, Inc. 13

Таблица 2‑1. Таблица развертывания (продолжение)



Exchange2010/2013/2016

LotusTraveler

NovellGroupWise



Внутренний почтовыйклиент iOS

✓ ✓ ✓ ✓ ✓ ✓

Внутренний почтовыйклиент Android**

✓ ✓ ✓ ✓ ✓ ✓

Внутренний почтовыйклиент Windows Mobile

✓ ✓ ✓ ✓ ✓ x

Windows Phone ✓ ✓ ✓ ✓ ✓ ✓

Blackberry 10*** ✓ ✓ ✓ ✓ ✓ Н/п

iOS Touchdown* ✓ ✓ ✓ ✓ ✓ ✓

Android Touchdown ✓ ✓ ✓ ✓ ✓ ✓

Клиент Android для LotusNotes*

Н/п ✓ Н/п Н/п Н/п Н/п

*Безопасность вложений и гиперссылок электронной почты не поддерживается в клиенте Android для Lotus Notes иклиенте iOS Touchdown

** В настоящее время внутренний почтовый клиент Android поддерживается только на устройствах SAFE, HTC Pro2, LGOptimus Pro и Intuition.

*** Профиль EAS не поддерживается.

+ Exchange 2003 не поддерживается.

^ Exchange 2003, обязательный профиль ActiveSync и использование нескольких экземпляров MEM не поддерживаютсядля VMware Boxer.

Рекомендации по использованию Workspace ONE UEMВ этом разделе перечислены возможности, поддерживаемые Workspace ONE UEM, исоответствующие размеры развертываний. Используйте таблицу сравнения для выбораоптимального развертывания.

Шифрование вложенийБлагодаря принудительному шифрованию вложений на мобильных устройствах, платформаWorkspace ONE UEM может помочь сохранить вложения вашей эл. почты в безопасности, незатрудняя при этом работу конечных пользователей.

Внутренние AirWatch Inbox Touchdown Traveler VMware Boxer

iOS ✓ ✓ ✓

Android ✓ ✓ ✓ ✓


VMware, Inc. 14

Внутренние AirWatch Inbox Touchdown Traveler VMware Boxer

Windows Phone * ✓

* Если ваша среда включает устройства Windows Phone 8/8.1/RT, рекомендуем использовать шифрование вложений.

SEG поддерживает шифрование вложений и преобразование гиперссылок в Boxer лишь в том случае, если эти функциивключены для конфигурации приложения Boxer в UEM.

SEG поддерживает шифрование вложений для Exchange 2010/2013/2016 и Office 365.

Управление электронной почтойПеречисленные рекомендации обеспечивают максимальный уровень защиты, удобстваразвертывания и управления.

Gmail PowerShellSecure Email Gateway(SEG)

Инфраструктура облачной эл. почты

Office 365 ✓ ✓

Gmail ✓ ✓

Инфраструктура локальной эл. почты

Exchange 2010 ✓ ✓



Lotus Notes ✓

Novel GroupWise ✓

^Используйте Secure Email GatewaySecure Email Gateway (SEG) для всех локальных инфраструктур электронной почты сразвертыванием более 100 000 устройств. При развертывании менее 100 000 устройств для управления электроннойпочтой также можно использовать PowerShell. См. таблицу сравнения Secure Email Gateway и PowerShell.

**Порог для внедрения PowerShell основан на последнем наборе выполненных тестов производительности и можетменяться от версии к версии. При развертывании не более 50 000 устройств процесс синхронизации и проверки насоответствие не должен занять много времени (предположительно не более 3 часов). При увеличении количестваустройств в развертывании (например, до 100 000 устройств) время выполнения синхронизации и проверки насоответствие возрастет примерно до 3–7 часов.

Secure Email Gateway по сравнению с таблицей решений PowerShellВ таблице приведены функции развертывания SEG и PowerShell, чтобы помочь вам выбратьвариант развертывания, соответствующий вашим потребностям.


VMware, Inc. 15

Преимущества Недостатки

SEG n Соответствие в реальном времениn Шифрование вложений.n Преобразование гиперссылок.

n Необходимость дополнительных серверов.n Компонент ADFS необходимо настроить таким

образом, чтобы конечные пользователи не моглиподключаться напрямую к Office 365 (только черезSEG)

PowerShell n Нет необходимости в дополнительномлокальном сервере для управления эл.почтой.

n Нет необходимости в ADFS, так какпочтовый трафик направляется напрямуюв Office 365, не проходя через локальныйсервер.

n Нет необходимости в синхронизации с правиламисоответствия в режиме реального времени

n Не подходит для больших сред (свыше 100 000устройств).

n AirWatch Inbox должен использоваться дляконтейнеризации вложений и гиперссылок вVMware Content Locker и VMware Browserсоответственно

Корпорация Майкрософт предлагает использовать службы Active Directory Federated Services (ADFS) дляпредотвращения прямого доступа к учетным записям электронной почты Office 365.

Подключение к серверу IBM Notes Traveler с помощью AirWatch InboxЕсли вы используете профиль Exchange ActiveSync в Workspace ONE UEM для подключения ксерверу IBM Notes Traveler с помощью Android AirWatch Inbox, то вы можете получить от сервераответ "HTTP 449". Этот ответ отображается, когда устройство Android пытается подключиться ксерверу Traveler. Ошибка "HTTP 449" возникает в том случае, если заголовки политики ActiveSync,отправленные клиентом (и применяемые через консоль Workspace ONE UEM), не соответствуютзаголовкам политики, поддерживаемым сервером Traveler.

Для устранения подобных проблем выполните следующие действия.

1. Добавьте следующий флаг в файл notes.ini на сервере Traveler.

NTS_AS_PROVISION_EXEMPT_USER_AGENT_REGEX =(AirWatch*) | (Apple*; AWInbox*)

1. Затем перезапустите сервер Traveler.

Добавление этого флага отключает применение сервером Traveler любых политик к AirWatch Inbox.Вы должны использовать Workspace ONE UEM для применения требуемых политик к приложению.

Устройства, которые используют политики, предоставляемые непосредственно сервером Traveler(то есть, не настроенные с помощью Workspace ONE UEM), при этом не затрагиваются.

Примечание Если вы используете сервер IBM Notes Traveler с SEG 7.3+, то для него потребуетсяподдержка веб-сайта Microsoft-Server-ActiveSync.


VMware, Inc. 16

Миграция эл. почты вWorkspace ONE UEM 3Вы можете перенести свою эл. почту в модель Mobile Email Management (MEM) с помощьюWorkspace ONE UEM

Выполняя переход на одну из следующих моделей MEM, вы можете применить политикиуправления доступом к электронной почте, гарантирующие, что доступ к электронной почтепредоставляется только утвержденным пользователям и устройствам:

n Secure Email Gateway (SEG)

n PowerShell

n Gmail

В эту главу входят следующие разделы:n Миграция на Secure Email Gateway (SEG)

n Миграция на PowerShell

n Интеграция Gmail с Workspace ONE UEM

n Миграция устройств

Миграция на Secure Email Gateway (SEG)Миграция эл. почты на Secure Email Gateway (SEG) позволяет пользователям получать доступ кэлектронным сообщениям только через прокси-сервер SEG.

При использовании SEG принудительно применяются политики управления доступом кэлектронной почте, при этом доступ предоставляется только утвержденным пользователям иустройствам. Политики шифрования вложений гарантируют безопасность данных.

Процедура

1. Настройте SEG в требуемой организационной группе в разделе «Глобальные настройки» вКонсоль Workspace ONE UEM. .

2. Загрузите и установите SEG..

VMware, Inc. 17

3. Проверьте функциональность SEG с помощью политики соответствия эл. почты.

а) Временно отключите все политики соответствия.

б) Попросите всех пользователей зарегистрировать свои устройства в Workspace ONE UEM.

в) Предоставьте новый профиль эл. почты (с URL-адресом сервера SEG в качестве имениузла) всем зарегистрированным устройствам.

г) Периодически напоминайте пользователям с неуправляемыми устройствами онеобходимости регистрации в Workspace ONE UEM.

д) Чтобы заблокировать доступ EAS к почтовому серверу с определенной даты,скорректируйте правила брандмауэра (или Threat Management Gateway). Благодаря этомумобильные устройства не смогут получать доступ непосредственно к почтовому серверу.

Существующие веб-клиенты, Outlook Web Access (OWA) и другие клиенты эл. почты могутпродолжать обращаться к почтовому серверу.

Миграция на PowerShellВы можете защитить свои устройства и синхронизировать их с Exchange или Office 365 для работыс электронной почтой, выполнив миграцию на PowerShell.

Среда PowerShell обнаруживает управляемые и неуправляемые устройства и с помощью политикуправления доступом к электронной почте предоставляет доступ только утвержденнымпользователям и устройствам.

Необходимые условия

Процедура

1. Настройте интеграцию с PowerShell в требуемой организационной группе в разделе«Глобальные настройки» консоли Workspace ONE UEM.

2. Настройте интеграцию с группами пользователей (настраиваемыми или предопределенными).

3. Протестируйте функциональность PowerShell на подмножестве пользователей (например, стестовыми пользователями), чтобы обеспечить работу следующих функций:

а) Синхронизация с сервером эл. почты для обнаружения устройств.

б) Управление доступом в реальном времени.

4. Временно отключите все политики соответствия.

5. Подготовьте новый профиль электронной почты для всех устройств, которыезарегистрировались в Workspace ONE UEM с использованием имени хоста сервера эл. почты.

6. Проведите синхронизацию с почтовым сервером, чтобы обнаружить все устройства(управляемые и неуправляемые), которые синхронизируются для эл. почты.

7. Периодически напоминайте пользователям с неуправляемыми устройствами о необходимостирегистрации в Workspace ONE UEM.


VMware, Inc. 18

8. Активируйте и обеспечьте соблюдение правил соответствия, чтобы заблокировать доступ к эл.почте со всех несовместимых устройств с определенной даты, включая неуправляемыеустройства.

9. Настройте почтовый сервер для блокировки всех устройств по умолчанию.

10. Выполните синхронизацию с почтовым сервером для получения списка разрешенных иблокированных устройств (в результате предыдущего изменения политики) и Выполнитепроверку на соответствие для этих устройств.

Панель управления эл. почтой отображает список неуправляемых устройств, для которыхзаблокирована работа с эл. почтой, и управляемых устройств, для которых разрешена работа сэл. почтой.

Следующие шаги

Обходной прием для гибкого развертывания Boxer:

Гибкое развертывание Boxer позволяет создавать различные назначения для смарт-групп ворганизационной группе.

Если PowerShell используется для управления электронной почтой, то при миграции междусредами Exchange или в Office 365 доступ к электронной почте может быть заблокирован дляBoxer. Чтобы избежать блокировки доступа к электронной почте, создайте правило доступа кустройству в Exchange, чтобы разрешить использованиеWorkspace ONE UEMуправляемыхWorkspace ONE Boxer конфигураций.

Выполните следующие действия, чтобы настроить правило доступа к устройству для Office 365,разрешающее доступ к электронной почте устройствам, установленным с помощью Boxer:

1. Выполните вход в панель управления Exchange.

2. Выберите Мобильные.

3. Чтобы добавить правило, нажмите значок с плюсом в разделе Правила доступа кустройству.

4. В разделе «Семейство устройств» нажмите кнопку Обзор, после чего выберитеBoxerManagediPhone, BoxerManaged iPad или BoxerManagedAndroid. Нажмите кнопку OK.Повторите это действие для других устройств под управлением Boxer.

5. В разделе Только эта модель выберите Все модели.

6. Выберите правило Разрешить доступ.

Чтобы отключить действие ограничения, связанного с соответствием, во время миграции на MEM,следуйте приведенным выше инструкциям в других версиях Exchange.

Интеграция Gmail с Workspace ONE UEMПри миграции на Gmail вы можете синхронизировать свои устройства с сервером Gmail. Вы можетеинтегрировать свой сервер Gmail с сервером Secure Email Gateway или без него либо напрямую сDirectory API.


VMware, Inc. 19

Процедура

1. Включите параметр единого входа (SSO) для Gmail либо создайте сертификат учетной записислужбы.

2. Настройте интеграцию Gmail из Консоль Workspace ONE UEM с помощью мастера настройкиMEM MEM.

3. Предоставьте пользователям профили EAS с новым произвольным паролем. Для устройств,которые этот профиль не получают, доступ к Gmail автоматически блокируется.

Миграция устройствВы можете переносить устройства между организационными группами и развертываниями MEM спомощью Workspace ONE UEM.

Процедура

1. В Консоль Workspace ONE UEM перейдите к панели управления эл. почтой.

2. Отфильтруйте управляемые устройства, находящиеся в текущем развертывании MEM.

3. На странице Представление списка выберите все устройства, после чего в выпадающемменю выберите Администрирование > Миграция устройств.

4. На странице Подтверждение переноса устройств введите заданный код ключа дляподтверждения переноса и выберите конфигурацию, в которой вы хотите развернутьустройства.

5. Выберите Продолжить.

После выполнения описанных выше действий Workspace ONE UEM автоматически удаляетпредыдущий профиль Exchange ActiveSync (EAS) и отправляет новый профиль EAS с целевойгруппой развертывания. После этого устройство будет подключено к новой группе развертывания.Обновленное значение memconfigID для устройства будет отображено на панели управления эл.почтой.


VMware, Inc. 20

Настройка развертывания MobileEmail Management 4Инфраструктуру эл. почты можно легко интегрировать с помощью мастера настройки Mobile EmailManagement (MEM).

MEMНастройка возможна только в родительской организационной группе и не может бытьпереопределена в дочерней организационной группе. Конфигурацию MEM можно связать с однимили несколькими профилями Exchange ActiveSync (EAS).

Настройка развертывания MEM:

1. Откройте Эл. почта > Настройки и выберите пункт Конфигурация.

2. Выберите модель развертывания, а затем тип эл. почты. Нажмите кнопку Далее.

3. n Если выбрана модель развертывания "Прокси", выберите платформу Gateway:

n Для классической платформы можно выбрать следующие типы электронной почты.

n Exchange;

n Приложения Google, использующие подготовку пароля

n Novell GroupWise

n IBM Notes

n Для платформы версии 2 доступен тип электронной почты Exchange.

n Если выбрана модель развертывания "Прямая", можно выбрать следующие типы эл. почты.

n Exchange;

n Google Apps с прямым API;

n Приложения Google, использующие предоставление пароля: в качестве типаразвертывания Gmail выберите "С сохранением пароля" или "Без сохранения пароля".

Дополнительную информацию о методах развертывания см. в разделе Типы развертывания эл.почты.

1. Введите данные для выбранного типа развертывания:

2. n Для развертывания SEG:

n Введите понятное имя для этого развертывания;n Введите сведения о прокси-сервере SEG.

VMware, Inc. 21

3. n для развертываний PowerShell:

n Введите понятное имя для этого развертывания;

n Введите параметры аутентификации и синхронизации для сервера PowerShell.

4. n для Gmail:

n Введите понятное имя для этого развертывания;

n Введите параметры Gmail, аутентификации, интеграции Directory API для Gmail, а такжепараметры прокси-сервера SEG.

5. Сопоставьте шаблон профиля EAS с MEM-развертыванием и нажмите кнопку Далее.

6. n Создайте шаблон профиля EAS для этого развертывания. Новые профили шаблонов нераспространяются на устройства автоматически. Распространить профили на своиустройства можно на странице "Профили".

n Свяжите существующий профиль с этим развертыванием. Эта операция обязательна, еслинесколько MEM-развертываний настраиваются в рамках одной организационной группы.

7. На странице Сводные данные по конфигурации MEM отображаются параметрыконфигурации. Нажмите Сохранить, чтобы сохранить настройки.

8. После сохранения в это развертывание можно добавить дополнительные настройки.

9. n

Нажмите значок Дополнительно для своего развертывания.

n Настройте доступные параметры почтовых ящиков пользователей в соответствии стребованием на странице Дополнительная настройка MEM.

n Нажмите Сохранить.

10. Чтобы настроить несколько MEM-развертываний, нажмите Добавить (на главной страницеНастройка управления мобильной эл. почтой) и выполните шаги 2–7. Для развертыванияSEG можно назначить конфигурацию по умолчанию с помощью команды Установить по

умолчанию в разделе .


VMware, Inc. 22

Примечание a. При подключении нескольких сред PowerShell к одному серверу Exchange следуетсоздать взаимоисключающие группы пользователей.b. При подключении нескольких сред Gmailследует использовать разные домены в конфигурации. Рассмотрите возможность подключенияSEG и интеграции PowerShell в одну и ту же среду эл. почты только в ходе миграции MEMразвертываний с соответствующими настройками. Workspace ONE может помочь с внедрением.


VMware, Inc. 23

Назначение устройств для решения«Mobile Email Management»MEM 5Регистрация устройств, назначение профилей электронной почты устройствам и изменения всостоянии соответствия устройств — все эти операции оказывают влияние на работу решения.Конфигурации MEM назначаются устройствам на основе профилей EAS, находящихся на них.Политики соответствия «Под управлением» и «Необходим профиль ActiveSync» исключаютнеуправляемые и ручные конфигурации.

Устройства с профилем Exchange Active Sync (EAS)Когда устройство с профилем EAS связывается с определенной конфигурацией MEM, платформаWorkspace ONE UEM отправляет обновления политики в эту конфигурацию MEM. Эта функцияупрощает миграцию и работу с несколькими конфигурациями MEM при управлении одной илинесколькими средами для электронной почты.

Независимо от используемого почтового клиента для всех моделей Google в MEM требуетсяпрофиль EAS. Для новых установок связывание профиля EAS с конфигурацией MEM являетсяобязательным. При выполнении обновлений администратор должен связать профиль EAS сконфигурацией MEM после завершения процесса обновления.

Встроенный прокси-сервер SEG

Платформа Workspace ONE UEM отправляет широковещательное сообщение всем конфигурациямMEM организационной группы, в которой было зарегистрировано устройство. Это сообщениесодержит статус соответствия устройства. Если этот статус изменяется, отправляется обновленноесообщение. Когда устройство подключается к определенному серверу SEG, серверSEG распознает это устройство по широковещательному сообщению, отправленному ранее. Затемпрокси-сервер SEG сообщает об обнаруженном устройстве решению VMware AirWatch. Послеэтого платформа Workspace ONE UEM связывает устройство с конфигурацией MEM для SEG иотображает его на панели управления эл. почтой.

Если балансировка нагрузки выполняется для нескольких серверов SEG, то широковещательныесообщения одной политики применяются только к одному серверу SEG. Сюда входят сообщения,отправленные из Консоль Workspace ONE UEM в SEG после регистрации устройств, нарушенийсоответствия или исправления таких нарушений. Используйте Delta Sync с интервалом обновлениядесять минут для обеспечения работы недавно зарегистрированных устройств или устройств,соответствующих требованиям. Эти устройства проходят период ожидания максимум десять минутперед тем, как начнется синхронизация эл. почты.

VMware, Inc. 24

Преимущества

n Обновление политик из одного API-источника для всех серверов SEG.

n Меньшее влияние на производительность сервера API.

n Снижение сложности реализации и обслуживания по сравнению с моделью кластеризацииSEG.

n Меньшее количество точек отказа, поскольку каждый сервер SEG отвечает за своисобственные наборы политик.

n Улучшенные условия работы пользователей.

Встроенная среда PowerShell

Конфигурации PowerShell в MEM действуют аналогично SEG с точки зрения обновлений политики.При миграции на PowerShell следует выполнить связывание новых профилей с конфигурациейPowerShell в MEM. Связывание нового профиля позволяет уменьшить объем ненужноговзаимодействия с предыдущей конфигурацией MEM.

Встроенная почта Gmail

Для этого типа развертывания необходимо использовать профили, кроме случаев интеграции синтерфейсами API Каталога Google. Если устройства не связаны с профилями, настроенноеразвертывание Gmail не сможет распознать эти устройства или управлять ими.

Синхронизация устройствИспользуйте MEM для синхронизации устройств, связанных с организационной группой.

После настройки развертывания решения Mobile Email Management (MEM) устройства связаннойорганизационной группы синхронизируются с MEM. Статус устройств и другие сведения можнопросмотреть на странице Панели управления эл. почтой в Консоль Workspace ONE UEM.

Устройства появляются на панели управления в зависимости от моделей развертывания, которыебыли назначены для них.

n SEG Прокси-сервер — устройства, управляемые с помощью прокси-сервера SEG, появляютсяна панели управления, когда прокси-сервер SEG сообщает о том, что устройство подключено инаходится под его управлением.

n PowerShell — устройства, управляемые с помощью PowerShell, появляются на панелиуправления, когда платформа Workspace ONE UEM отправляет командлет PowerShell,разрешающий подключение устройства к электронной почте.

n Gmail — устройства, управляемые с помощью Gmail, появляются на панели управления, когдапрофиль EAS в Workspace ONE UEM для устройства помещается в очередь.

На панели управления эл. почтой отображается один из следующих статусов.

n Управляемые назначенные — зарегистрированные устройства с идентифицированнымзначением memconfigID.


VMware, Inc. 25

n Управляемые неназначенные — зарегистрированные устройства, для которых значениеmemConfigID еще не было идентифицировано с помощью назначения профиля или функцииавтоматического обнаружения.

n Неуправляемые обнаруженные — устройства, которые еще не были зарегистрированы вWorkspace ONE UEM и определенной конфигурации MEM в рамках организационной группы,которая обнаружила эти устройства.


VMware, Inc. 26

Профили эл. почты 6Профили эл. почты MEM

Профили EASРазвертывание EAS Mail с помощью внутреннего почтового клиента (Android (Legacy))

Используйте следующие шаги, чтобы создать профиль настройки для внутреннего почтовогоклиента.

1. Перейдите в раздел Устройства > Профили и ресурсы > Профили > Добавить > Добавитьпрофиль > Android (Legacy).

2. Выберите Устройство, чтобы развернуть на нем профиль.

3. Настройте Общие параметры профиля.

4. Выберите полезную нагрузку Exchange ActiveSync.

5. Настройте параметры Exchange ActiveSync.

Настройка Описание

Почтовый клиент Выберите Внутренний почтовый клиент в качестве типа аккаунта.

Название аккаунта Введите описание для аккаунта эл. почты.

Узел Exchange ActiveSync Введите внешний URL-адрес сервера ActiveSync своей компании.

Сервер ActiveSync может быть любым почтовым сервером, который работает спротоколом ActiveSync, например IBM Notes Traveler, Novell Data Synchronizer иMicrosoft Exchange.В случае развертывания Secure Email Gateway (SEG)используйте URL-адрес SEG, а не почтового сервера.

Игнорировать ошибки SSL Включите, чтобы разрешить устройствам игнорировать ошибки SSL для процессовWorkspace ONE Intelligent Hub.

Данные для входа

Домен Введите домен пользователя.

Вместо создания индивидуальных профилей для каждого конечного пользователяможно использовать подстановочные значения.

Пользователь Введите имя пользователя.


VMware, Inc. 27


Адрес эл. почты Введите электронный адрес пользователя.


Пароль Введите пароль для пользователя.


Сертификат удостоверения Если необходимо, в раскрывающемся списке выберите сертификат удостоверения,если пользователь должен его передавать для подключения к Exchange ActiveSync.В противном случае выберите Ничего (по умолчанию).

Настройки

Количество прошлых днейдля синхронизации почты.

Выберите количество прошлых дней для синхронизации почты с устройством.

Количество прошлых днейкалендаря длясинхронизации.

Позволяет задать число дней, прошедших с момента синхронизации, в календареустройства.

Синхронизироватькалендарь

Включите, чтобы разрешить синхронизацию календаря на устройстве.

Синхронизироватьконтакты

Включите, чтобы разрешить синхронизацию контактов на устройстве.

Разрешить синхронизациюзадач

Включите, чтобы разрешить синхронизацию задач на устройстве.

Максимальный размерусечения эл. почты

Позволяет указать размер, при превышении которого синхронизированные сустройством электронные сообщения будут укорачиваться.

Подпись эл. почты. Позволяет задать подпись, которая будет отображаться в исходящих электронныхсообщениях.

Ограничения

Разрешить вложения Позволяет разрешить прикрепление вложений к сообщениям электронной почты.

Максимальный размервложения

Позволяет задать максимальный размер вложения в МБ.

Разрешить переадресациюпочты

Позволяет разрешить переадресацию электронной почты.

Разрешить форматированиеHTML

Позволяет разрешить формат HTML для электронной почты, синхронизируемой сустройством.

Если для этой настройки задано значение false, электронные сообщенияпреобразуются в обычный текст.

Отключить снимки экрана Позволяет отключить возможность делать снимки экрана на устройстве.

Интервал синхронизации Позволяет задать промежуток времени в минутах между синхронизациями.

Дни пиковой загрузки для расписания синхронизации


VMware, Inc. 28


n Позволяет запланировать синхронизацию в дни малой загрузки, а также времяначала и время окончания синхронизации в выбранные дни.

n Позволяет задать расписание синхронизации на пике загрузки ирасписание синхронизации при спаде загрузки.n Автоматически: синхронизировать электронную почту при любом

обновлении.n Вручную: синхронизировать только выбранные электронные сообщения.n Если задать время, синхронизация электронной почты будет выполняться

по расписанию.n Позволяет использовать настройки Использовать SSL, Использовать TLS и

Аккаунт по умолчанию при необходимости.

Настройки S/MIME

Позволяет использовать S/MIME. Здесь можно назначить сертификат S/MIMEпользовательским сертификатом в полезной нагрузке Учетные данные.n Сертификат S/MIME — выберите сертификат, который будет использован.n Необходимо шифрование S/MIME сообщений — включите, чтобы требовать

шифрование.n Необходимы подписанные S/MIME сообщения — позволяет запрашивать

подписанные сообщения S/MIME.

Если для шифрования используются сертификаты S/MIME, необходимо задатьцентр миграции.

Нажмите Сохранить, чтобы сохранить настройки, или Сохранить ираспространить, чтобы сохранить и передать настройки профиля на требуемоеустройство.

6. Нажмите Сохранить, чтобы сохранить настройки, или Сохранить и распространить, чтобысохранить и передать настройки профиля на требуемое устройство.


n Развертывание EAS Mail с помощью AirWatch Inbox для Android

n Настройка профиля почты EAS с помощью внутреннего почтового клиента (iOS)

n Настройка профиля почты EAS с помощью AirWatch Inbox (iOS)

n Профиль Exchange ActiveSync (Windows Desktop)

Развертывание EAS Mail с помощью AirWatch Inbox дляAndroidВыполните следующие действия для создания профиля конфигурации для AirWatch Inbox:

1. Перейдите в раздел Устройства > Профили и ресурсы > Профили > Добавить > Добавитьпрофиль > Android.


3. Выберите протокол Exchange ActiveSync, после чего выберите Почтовый ящик AirWatch ввыпадающем списке Почтовый клиент.


VMware, Inc. 29

4. Установите настройки полезных данных:

Таблица 6‑1. Настройки полезной нагрузки


Название аккаунта Задайте название аккаунта Exchange ActiveSync.

Узел Exchange ActiveSync Задайте внешнее имя узла для сервера.

Игнорировать ошибки SSL Установите данный флажок, чтобы позволить устройству игнорировать ошибкисертификата SSL для процессов приложения Hub.

Использовать SSL Позволяет полный обмен информацией через безопасный сокет и уровень (SSL).

Использовать S/MIME Сохраняет S/MIME сертификаты пользователя, которые используются спрофилями с поддержкой S/MIME.


Домен Используйте подстановочные значения, которые берутся из данныхпользовательских аккаунтов.

Профиль поддерживает подстановочные поля для вставки информациизачисления пользователя и регистрационную информацию. Подробнее см. вразделе «Имя пользователя и пароль» в нижней части этой страницы.

Пользователь Используйте подстановочные значения, которые берутся из данныхпользовательских аккаунтов.

Адрес эл. почты Используйте подстановочные значения, которые берутся из данныхпользовательских аккаунтов.

Пароль Задайте пароль, который будет предоставлен пользователям для входа в аккаунтэл. почты. Оставив это поле не заполненным, пользователи смогут сами создатьпароль для входа.

Сертификат удостоверения Выберите данный пункт в выпадающем меню, чтобы предоставить учетныеданные для проверки подлинности на основе сертификатов после добавлениясертификата к полезной нагрузке для учетных данных.

Настройки эл. почты

Количество прошлых дней Укажите количество прошлых дней для синхронизации эл. почты.

Интервал синхронизации Определите, как часто данные на устройстве будут синхронизированы.

Количество прошлых днейкалендаря для синхронизации

Укажите количество прошлых дней для синхронизации календаря.

Подпись эл. почты. Определите параметры подписи эл. почты.

Контакты и календари

Приложение Контакты Синхронизирует приложения «Календарь» и «Контакты» с AirWatch Inbox.

Приложения VMware AirWatch Контакты и Календарь представляют собойнадстройки для почтового ящика AirWatch. Эти приложения загружаются вместекак единое приложение из Play Store. В отличие от собственных приложений«Контакты» и «Календарь» приложения «Контакты» и «Календарь» дляVMware AirWatch шифруют данные контактов и календаря.

Кроме того, AirWatch Inbox позволяет выполнять как единичный, так и пакетныйэкспорт контактов из приложения для корпоративных контактов в приложение«Контакты AirWatch» — для этого необходимо включить параметры Разрешитьединичный экспорт контактов и Разрешить пакетный экспорт контактов.


VMware, Inc. 30

Таблица 6‑1. Настройки полезной нагрузки (продолжение)


Разрешить единичный экспортконтактов

Разрешает экспорт индивидуальных контактов.

Разрешить пакетный экспортконтактов

Разрешает пакетный экспорт контактов.

Приложение Календарь Выберите использовать ли на устройстве календарь AirWatch или внутреннийкалендарь.

Секретный код:

Требовать секретный код Включите, чтобы потребовать от конечного пользователя ввода секретного кодапри открытии AirWatch Inbox. Секретный код не является паролем аккаунта эл.почты, это секретный код, который пользователи вводят, чтобы получить доступ кприложению.

Разрешить Единому входупереопределять секр. код

Включите, чтобы Единый вход переопределял секретный код, заданный в этомпрофиле.

Тип проверки подлинности Выберите тип аутентификации для доступа к приложениям предприятия.

Выберите Пароль Active Directory, чтобы использовать учетные данные Activedirectory для входа или выберите секр.код.

Сложность секретного кода Определите сложность секретного кода.

Минимальная длинасекретного кода

Установите минимальное число знаков для секретного кода.

Максимальный срок действиясекретного кода

Установите максимальное количество дней действительности секретного кода.

Журнал секретного кода Определите журнал используемых секретных кодов, чтобы предотвратитьповторное использование.

Автоблокировка Выберите количество минут после которого приложение будет автоматическизаблокировано.

Автоблокировка приблокировке устройства

Заблокировать приложение немедленно при блокировке устройства.

Максимальное количествонеудачных попыток

Определите количество попыток ввода секретного кода перед тем, как данныебудут удалены.


Ограничить копирование ивставку

Разрешите пользователям копирование и вставку только выбранных элементов врамках Inbox.

Разрешить вложения Запретите пользователям вложения эл. почты и просмотр вложений входящейпочты.

Максимальный размервложения (МБ)

Определите максимальный размер вложений.

Ограничивает вложенияприложений, которые могутбыть открыты

Внесите приложения в белый список. Приложениям из этого списка будетразрешено открывать вложения.

AirWatch рекомендует использовать эту настройку вместо политики SEG дляшифрования вложений где случай использования позволяет повышеннуюпроизводительность SEG.


VMware, Inc. 31

Таблица 6‑1. Настройки полезной нагрузки (продолжение)


Отключить снимки экрана Запретите пользователям делать скриншоты в приложении.

Ограничить домены Ограничьте использование доменов, создав черный или белый список доменныхимен.

Открывать все ссылки вVMware Browser

Разрешите открывать все ссылки только через VMware Browser.

AirWatch рекомендует использовать эту настройку вместо политики SEG длятрансформации гиперссылок где случай использования позволяет повышеннуюпроизводительность SEG.

5. Нажмите Сохранить и опубликовать.

Имя пользователя и парольВы можете определить имя пользователя, назначаемое пользователям для входа в почтовый ящикWorkspace ONE UEM. Имя пользователя может быть фактическим электронным адресом илиименем пользователя эл. почты, которое отличается от фактического электронного адреса. Принастройке полезных данных Exchange ActiveSync (EAS) в настройках профиляWorkspace ONE UEMПочтовый ящик в разделе Сведения для входа имеется текстовое полеПользователь, в котором можно задать предопределенное значение для поиска.

Если у вас есть имена пользователей эл. почты, которые отличаются от адресов эл. почтыпользователя, можно использовать текстовое поле {EmailUserName}, соответствующее именампользователей эл. почты, импортированным во время интеграции службы каталогов. Даже в томслучае, если ваши имена пользователей совпадают с их адресами эл. почты, используйтетекстовое поле {EmailUserName}, так как оно использует адреса эл. почты, импортированныепутем интеграции службы каталогов.

Настройка профиля почты EAS с помощью внутреннего почтовогоклиента (iOS)Используйте следующие шаги, чтобы создать профиль настройки эл. почты для внутреннегопочтового клиента на устройствах iOS.

1. Откройте раздел Устройства > Профили и ресурсы > Профили > Добавить.Выберите AppleiOS.



4. Выберите Внутренний почтовый клиент в пункте Почтовый клиент. Внесите в текстовоеполе Название аккаунта описание этого аккаунта эл. почты. В поле Узел ExchangeActiveSync введите внешний URL-адрес сервера ActiveSync вашей компании.


VMware, Inc. 32

Сервер ActiveSync может быть любым почтовым сервером, работающим с протоколомActiveSync, например: Lotus Notes Traveler, Novell Data Synchronizer или Microsoft Exchange. Вслучае развертывания Secure Email Gateway (SEG) используйте URL-адрес SEG, а непочтового сервера.

5. Установите флажок Использовать SSL, чтобы включить использование протокола SSL длявходящего трафика эл. почты.

6. Установите флажок S/MIME, чтобы использовать дополнительные сертификаты шифрования.Перед установкой данного флажка убедитесь, что вы загрузили необходимые сертификаты впараметрах профиля Учетные данные.

n Выберите Сертификат S/MIME, чтобы разрешить подпись сообщений эл. почты.

n Выберите Сертификат шифрования S/MIME, чтобы разрешить подпись сообщений эл.почты.

n Отметьте флажком Переключатель на сообщение, чтобы конечные пользователи могливыбирать, какие сообщения подписывать и шифровать, используя внутренний клиент iOSэл. почты (только под управлением iOS 8+).

7. Введите данные в поле Сведения о входе, включая имя домена, имя пользователя иэлектронный адрес, используя подстановочные значения. Эти значения подставляютсянепосредственно из аккаунта пользователя. Чтобы использовать подстановочные значения{EmailDomain}, {EmailUserName} и {EmailAddress}, необходимо, чтобы Workspace ONE UEM-аккаунты пользователей имели соответствующую информацию.

8. Оставьте поле Пароль пустым, чтобы система предлагала пользователю ввести пароль.

9. Выберите Сертификат полезной нагрузки, чтобы указать сертификат для аутентификациипосле добавления сертификата в полезную нагрузку Учетные данные.

10. При необходимости настройте следующие дополнительные параметры в разделе Настройки ибезопасность.

n Количество прошлых дней для синхронизации почты — загрузите определенноеколичество эл. почты. Обратите внимание: расширенные временные рамки приведут кбольшему потреблению данных при загрузке почты.

n Запретить перемещение сообщений — блокирует перемещение почты из ящикаExchange в другие ящики на устройстве.

n Запретить использование в сторонних приложениях — запрещает другим приложениямотправлять сообщения используя почтовый ящик Exchange.

n Запретить синхронизацию последних адресов — отключает предложение вариантовконтактов при отправке почты в Exchange.

n Запретить сбор почты — отключает использование функции Apple "Сброс почты".

11. Назначьте Приложение по умолчанию для голосового звонка, которое ваш внутреннийаккаунт EAS будет использовать для отправки вызовов при выборе номера телефона вэлектронном письме.


VMware, Inc. 33

12. Нажмите Сохранить и распространить, чтобы передать профиль на доступные устройства.

Настройка профиля почты EAS с помощью AirWatch Inbox(iOS)Используйте следующие шаги, чтобы создать профиль настройки для AirWatch Inbox.

1. Перейдите в раздел Устройства > Профили и ресурсы > Профили.

2. Нажмите Добавить и выберите платформу iOS.


4. Выберите полезную нагрузку Exchange ActiveSync, а затем выберите AirWatch Inbox враскрывающемся меню Почтовый клиент.

5. Задайте Узел Exchange ActiveSync, это данные о вашем сервере EAS. Пример:webmail.Workspace ONE UEMmdm.com.

n Включите Игнорировать ошибки SSL, чтобы разрешить устройствам игнорироватьошибки протокола SSL из-за Hub.

n Включите Использовать S/MIME, чтобы выбрать сертификат/смарт-карту для подписи ишифрования сообщений эл. почты. Перед установкой этого флажка убедитесь, что вызагрузили необходимые сертификаты в параметрах профиля Учетные данные.

Вам не нужно загружать какие-либо сертификаты, если смарт-карта выбрана в качествеисточника учетных данных в профиле настроек Учетные данные.

n Выберите сертификат или смарт-карту, чтобы только подписывать электронные письма втекстовом поле Сертификат S/MIME.

n Выберите сертификат или смарт-карту, чтобы подписывать и шифровать электронныеписьма в текстовом поле Сертификат шифрования S/MIME.

n Если выбрана смарт-карта, информация заполнится по умолчанию для полей Типчитателя смарт-карты и Тип смарт-карты.

n Выберите интервал Таймаута смарт-карты.

6. Введите Сведения о входе, эти данные используются для аутентификации подключенияпользователя к вашему узлу EAS. Профиль поддерживает подстановочные значения длявставки регистрационной информации пользователя и сведений о входе.

7. Установите дополнительные настройки:

n Включить календарь.

n Включить контакты.

n Код звонящего.

n Интервал синхронизации — частота, с которой приложение AirWatch Inboxсинхронизируется с почтовым сервером.


VMware, Inc. 34

n Уведомления эл. почты — настройте, как конечные пользователи могут получатьуведомления о новых сообщениях эл. почты. Отключено означает, что они не будутполучать уведомление. Вы можете настроить звуковые уведомления на устройстве,разрешить отображение отдельных сведений об электронном письме, таких какотправитель и тема, а также разрешить предварительный просмотр сообщений.

n Количество прошлых дней для синхронизации почты.

n Количество прошлых дней календаря для синхронизации.

n Включить эл. почту HTML.

n Подпись эл. почты.

n Включить редактирование подписи эл. почты

8. Настройте секретный код. Вы можете обязать пользователя вводить секретный код приоткрытии приложения Inbox. Секретный код не является паролем аккаунта эл. почты, этосекретный код, который пользователи вводят, чтобы получить доступ к приложению. Доступныследующие настройки секретного кода.n Тип проверки подлинности

Чтобы разрешить пользователям устройств iOS использовать свои учетные данныеWorkspace ONE UEM, выберите Имя пользователя и пароль как Тип аутентификации вразделе Секретный код.

n Сложность секретного кода — определите сложность секретного кода.

n Минимальная длина — установите минимальное количество знаков для секретного кода.

n Минимальное количество сложных знаков в случае, если в поле Сложность выбраноБуквенно-цифровая.

n Максимальный срок действия секретного кода (дни) — установите количество дней, втечение которых секретный код будет действительным.

n Журнал секретного кода — определите журнал используемых секретных кодов, чтобыпредотвратить повторное использование.

n Тайм-аут автоматической блокировки (мин.) — выберите количество минут, послекоторого приложение будет автоматически заблокировано.

n Максимальное количество неудачных попыток — укажите количество неудачныхпопыток ввода секретного кода, после которых все данные в Inbox Workspace ONE UEMбудут удалены с устройства.

9. Настройте дополнительные ограничения и параметры безопасности. Доступны следующиеограничения.n Разрешить или запретить копирование и вставку

n Отключает возможность пользователей способом длительного нажатия на текстэлектронной почты копировать его в буфер обмена.

n Отключает возможность пользователей копировать текст за пределами почтовогоклиента и вставлять его в сообщение эл. почты.


VMware, Inc. 35

n Запретить открытие ссылок только в приложении VMware Browser.

Рекомендуем использовать эту настройку вместо политики SEG для преобразованиягиперссылок, когда допускается повышенный уровень производительности SEG.

n Запретить открытие вложений только в VMware Content Locker.

Рекомендуем использовать эту настройку вместо политики SEG для шифрованиявложений, когда допускается повышенный уровень производительности SEG.

n Задайте максимальный размер вложения (МБ)

n Разрешить печать

10. Нажмите Сохранить и опубликовать.

Имя пользователя и парольВы можете определить имя пользователя, назначаемое пользователям для входа в AirWatch Inbox.Имя пользователя может быть фактическим электронным адресом или именем пользователя эл.почты, которое отличается от фактического электронного адреса. При настройке полезной нагрузкиExchange ActiveSync (EAS) в профиле настроек AirWatch Inbox, вы найдете поле Пользователь вразделе Сведения для входа, в котором вы можете задать значения подстановки.


Удаление профиля или корпоративная очистка

Профиль Exchange ActiveSync (Windows Desktop)Профили Exchange ActiveSync позволяют настроить устройства Windows Desktop для доступа ксерверу Exchange ActiveSync для использования почты и календаря.

Используйте сертификаты, подписанные сторонним доверенным центром сертификации (ЦС).Ошибки в сертификатах делают ваше соединение уязвимым для потенциальных атак типа"злоумышленник в середине". Такие атаки снижают уровень конфиденциальности и целостностиданных, передаваемых между компонентами продукта, и могут позволить злоумышленникамперехватывать или изменять данные во время их передачи.

Профиль Exchange ActiveSync поддерживает внутренний почтовый клиент и AirWatch Inbox дляустройств Windows Desktop. Настройки меняются в зависимости от используемого почтовогоклиента.

Важно! Поддержка внутреннего почтового клиента доступна только для устройств Windows 10.


VMware, Inc. 36

Удаление профиля или корпоративная очисткаЕсли профиль удален через команду удаления профиля с использованием политики соответствияили корпоративной очистки, то все данные эл. почты будут удалены, включая следующее.

n Информация об аккаунте пользователя или сведения для входа.

n Сообщения электронной почты.

n Контакты и сведения из календаря.

n Вложения, сохраненные во внутреннем хранилище приложения.

Имя пользователя и парольВы можете определить имя пользователя, назначаемое пользователям для входа Workspace ONEUEM Inbox. Имя пользователя может быть фактическим электронным адресом или именемпользователя эл. почты, которое отличается от фактического электронного адреса. При настройкеполезной нагрузки Exchange ActiveSync (EAS) в параметрах Workspace ONE UEM Inboxотображается текстовое поле Пользователь в разделе Сведения о входе, в котором можноввести предварительно определенное значение подстановки.


Настройка профиля EAS для AirWatch Inbox (Windows Desktop)Создать профиль Exchange ActiveSync.

Создайте профиль Exchange ActiveSync, чтобы предоставить устройствам Windows Desktop доступк серверу Exchange ActiveSync для использования почты и календаря. Настройки изменятся, есливы используете AirWatch Inbox в качестве почтового клиента для устройств Windows Desktop.

Используйте следующие шаги, чтобы создать профиль настройки для AirWatch Inbox:

1. Откройте Устройства > Профили > Список > Добавить и выберите Добавить профиль.

2. Выберите Windows, а затем платформу Windows Desktop.

3. Выберите Профиль пользователя.


5. Выберите полезную нагрузку Exchange ActiveSync. По умолчанию в раскрывающемся менюПочтовый клиент выбран AirWatch Inbox.


VMware, Inc. 37

6. Задайте Узел Exchange ActiveSync, это данные о вашем сервере EAS. Например,webmail.airwatchmdm.com.

Настройки Описание

Использование SSL Позволяет полный обмен информацией посредством протокола безопасногосоединения (SSL).

Использовать S/MIME Позволяет сохранять сертификаты S/MIME конечного пользователя. Необходимодля профилей, поддерживающих S/MIME.


Домен Введите домен эл. почты.

Пользователь Введите эл. почту пользователя.

Адрес эл. почты Введите электронный адрес. Обязательное поле.

Пароль Введите пароль электронной почты.

Сертификат полезнойнагрузки

Выберите сертификат для полезных данных EAS.

Настройки

Требовать секретный код Если эта функция включена, необходим секретный код при открытии приложенияAirWatch Inbox.

Типы Выберите тип обязательных учетных данных для входа.n Секретный кодn Имя пользователя и пароль

Сложность Выберите уровень сложности для секретного кода.n Простойn Буквенно-цифровой

Минимальная длина Выберите минимальное количество знаков для секретного кода.

Разрешить простое значение Позволяет секретному коду не соответствовать требованиям сложности.

Минимальное количествосложных знаков

Выберите минимальное допустимое количество не буквенно-цифровых знаков.

Отображается, если в разделе Сложность выбрано Буквенно-цифровая.

Максимальный срок Выберите максимальное количество дней, в течение которых можно использоватьсекретный код.

Журнал Выберите количество ранее используемых предыдущих секретных кодов,сохраненных в памяти. Если пользователь изменит секретный код и он совпадаетс ранее используемым, секретный код не будет принят.


Включите, чтобы автоматически блокировать AirWatch Inbox при блокировкеустройства.

Льготный период Выберите количество минут, после которого приложение автоматическизаблокируется.


Выберите допустимое количество неудачных попыток ввода секретного кода,после которых данные в AirWatch Inbox будут стерты.

Секретный код:

Требовать секретный код Разрешить требовать секретный код при открытии приложения AirWatch Inbox.


VMware, Inc. 38


Типы Выберите тип обязательных учетных данных для входа.n Секретный кодn Имя пользователя и пароль

Сложность Выберите уровень сложности для секретного кода.n Простойn Буквенно-цифровой

Минимальная длина Выберите минимальное количество знаков для секретного кода.

Разрешить простое значение Позволяет секретному коду не соответствовать требованиям сложности.

Минимальное количествосложных знаков

Выберите минимальное допустимое количество не буквенно-цифровых знаков.

Отображается, если в разделе Сложность выбрано Буквенно-цифровая.

Максимальный срок Выберите максимальное количество дней, в течение которых можно использоватьсекретный код.

Журнал Выберите количество ранее используемых предыдущих секретных кодов,сохраненных в памяти.

Если пользователь изменит секр. код и он совпадает с ранее используемым,секретный код не будет принят.


Включите, чтобы автоматически блокировать AirWatch Inbox при блокировкеустройства.

Льготный период Выберите количество минут, после которого приложение автоматическизаблокируется.


Выберите допустимое количество неудачных попыток ввода секретного кода,после которых данные в AirWatch Inbox будут стерты.


Отключение копирования ивставки

Включите, чтобы ограничить копирование и вставку в AirWatch Inbox.n Отключает возможность пользователей способом длительного нажатия на

текст электронной почты копировать его в буфер обмена.n Отключает возможность пользователей копировать текст за пределами

почтового клиента и вставлять его в сообщение эл. почты.

Отключить вложения Включите, чтобы ограничить возможность пользователей открывать вложения впределах приложения AirWatch Inbox.

Максимальный размервложения (МБ)

Задайте максимальный размер (в МБ) вложения.

Ограничить домены Включите, чтобы ограничить почтовый трафик в определенные домены.

Тип ограничения Выберите тип ограничения для почтовых доменов.

Имя домена Нажмите Добавить, чтобы добавить домен в белый или черный список.

7. Выберите Сохранить, чтобы сохранить профиль на консоли, или Сохранить ираспространить, чтобы распространить профиль на устройства.


VMware, Inc. 39

Настройка профиля Exchange ActiveSync (Windows Desktop)Создайте профиль Exchange ActiveSync, чтобы предоставить устройствам Windows Desktop доступк серверу Exchange ActiveSync для использования почты и календаря.

Примечание Workspace ONE UEM не поддерживает Outlook 2016 для профилей ExchangeActiveSync.

Используйте следующие шаги, чтобы создать профиль настройки для внутреннего почтовогоклиента.

1. Откройте Устройства > Профили > Список > Добавить и выберите Добавить профиль.

2. Выберите Windows, а затем платформу Windows Desktop.

3. Выберите Профиль пользователя.



6. Настройте параметры Exchange ActiveSync.


Почтовый клиент Выберите почтовый клиент для настройки профиля EAS.

Workspace ONE UEM поддерживает внутренний почтовый клиент иAirWatch Inbox.

Название аккаунта Задайте имя аккаунта Exchange ActiveSync.

Узел Exchange ActiveSync Введите URL или IP-адрес сервера, на котором расположен сервер EAS.

Использование SSL Позволяет полный обмен информацией посредством протоколабезопасного соединения (SSL).


Домен Введите домен эл. почты.

Профиль поддерживает подстановочные значения для вставкирегистрационной информации пользователя. Для получениядополнительной информации см. раздел "Имя пользователя и пароль" внижней части страницы.

Имя пользователя Введите эл. почту пользователя.

Адрес эл. почты Введите электронный адрес. Обязательное поле.

Пароль Введите пароль электронной почты.

Сертификат удостоверения Выберите сертификат для полезных данных EAS.

Настройки

Интервал для следующейсинхронизации (мин.)

Позволяет задать интервал в минутах для синхронизации устройства ссервером EAS.

Количество прошлых дней длясинхронизации почты.

Укажите количество прошлых дней для синхронизации эл. почты наустройстве.


VMware, Inc. 40


Запись в журнал диагностическихданных

Позволяет включить сбор данных для устранения неполадок.

Тип контента

Требовать защиту данных подблокировкой

Включите, чтобы требовать защиту данных при блокировке устройства.

Разрешить синхронизациюэлектронной почты

Включите, чтобы разрешить синхронизацию сообщений электроннойпочты.

Разрешить синхронизациюконтактов

Включите, чтобы разрешить синхронизацию контактов.

Разрешить синхр. календаря Включите, чтобы разрешить синхронизацию событий календаря.

7. Выберите Сохранить, чтобы сохранить профиль на консоли Workspace ONE UEM, илиСохранить и распространить, чтобы распространить профиль на устройства.


VMware, Inc. 41

Включение эл. почты на основесертификатов 7Настройка проверки подлинности электронной почты с помощью сертификатов.

Применение сертификатов, помимо стандартных учетных данных в виде имени пользователя ипароля, предоставляет определенные преимущества, так как сертификаты обеспечивают болеенадежную аутентификацию в случае несанкционированного доступа. Это также избавляетпользователей от необходимости вводить пароль или ежемесячно его обновлять.Конфиденциальные электронные письма между получателями можно шифровать с помощьюS/MIME. Для удостоверения личности также можно использовать подпись в сообщении.

Включение эл. почты на основе сертификатов:

1. Перейдите в раздел Устройства > Профили и ресурсы > Профили.

2. Выберите ДОБАВИТЬ > Добавить профиль, после чего выберите требуемую платформу.

3. Выберите параметры профиля Учетные данные и настройте их.

4. n Источник учетных данных — выберите любой вариант из списка доступных.n Загрузить — загрузите сертификат и введите имя для него.

n Определенный центр сертификации — выберите ЦС и шаблон сертификата враскрывающемся меню для своей организационной группы.

Центры сертификации и шаблоны добавляются в организационные группы вразделе Устройства > Сертификаты > Центры сертификации.

n Сертификат пользователя — выберите тип сертификата S/MIME.n Сертификат подписи S/MIME

n Сертификат шифрования S/MIME

5. Сохраните и опубликуйте настройки.

VMware, Inc. 42

Применение контроля доступа к эл.почте 8Настройка управления доступом для обеспечения безопасного доступа к вашей почтовойинфраструктуре.

Политики соответствия электронной почтыПосле того как электронная почта была развернута, вы можете дополнительно защититьмобильную почту, установив контроль над доступом к эл. почте. Благодаря функции контролядоступ к вашей инфраструктуре эл. почты могут получать только безопасные и соответствующиеустройства. Для контроля доступа применяются политики соответствия эл. почты.

Политики соответствия эл. почты повышают уровень безопасности, блокируя доступ к эл. почте снесоответствующих, незашифрованных, неактивных или неуправляемых устройств. Политики эл.почты позволяют предоставить доступ к эл. почте только необходимым и авторизованнымустройствам. Политики эл. почты также запрещают доступ к эл. почте с учетом модели устройстваи операционных систем.

Существуют следующие категории политик: основные политики эл. почты, политики управляемыхустройств и политики безопасности эл. почты. В таблице ниже указаны политики в каждойкатегории и модели развертывания, в которых они применяются.

- Применимо - Не применимо

SEG PowerShell Gmail

Прямаяинтеграция сиспользованиемуправленияпаролями

Прокси SEG сиспользованиемуправленияпаролем

Прямаяинтеграция сиспользованиемDirectory API

Общие политикиэл. почты

Без SEG и безочистки пароля

Без SEG ис очисткойпароля

Параметрысинхронизации

Управляемоеустройство

VMware, Inc. 43

SEG PowerShell Gmail

Почтовый клиент

Пользователь

Тип устройстваEAS

Политики управляемых устройств

Неактивность

Устройствоуязвимо

Шифрование

Модель

Операционнаясистема

ТребованиепрофиляActiveSync

Политики безопасности эл. почты

Классификациябезопасностиэлектронной почты

Вложения(управляемыеустройства)

Вложения(неуправляемыеустройства)

Гиперссылка


n Активация политики соответствия электронной почты

n Защита контента, ссылок и вложений электронной почты

n Включение классификации безопасности электронной почты

n Включение защиты вложений электронной почты

n Включение защиты гиперссылок


VMware, Inc. 44

Активация политики соответствия электронной почтыКонсоль Workspace ONE UEM предоставляет разные политики соответствия эл. почты: основныеполитики эл. почты, политики для управляемых устройств и политики безопасности эл. почты. Выможете активировать любую доступную политику соответствия эл. почты или изменить правиладля этих политик, чтобы разрешить устройства или блокировать их.

Активация политики эл. почты

1. Перейдите в раздел Эл. почта > Политики соответствия.

2. Чтобы изменить любое правило для политики, используйте значок изменения политики встолбце Действия.

n Основные политики эл. почты — внедряет политики на все устройства использующие эл.почту. При выборе группы пользователей политика распространяется на всехпользователей в выбранной группе.

Политика эл. почты Описание

Настройкисинхронизации

Ограничение синхронизации устройства с определенными папками EAS.n Workspace ONE UEM предотвращает синхронизацию устройств с указанными

папками вне зависимости от прочих политик соответствия.n Чтобы политика действовала, вам понадобится повторно распространить профиль

EAS на устройства (для повторной синхронизации устройств с сервером эл. почты).

Управляемоеустройство

Доступ к электронной почте только для управляемых устройств.

Почтовый клиент Доступ к почте открыт только для почтовых клиентов.n Вы можете разрешить или запретить доступ с помощью почтовых клиентов в

зависимости от их типа, например Настраиваемый и Обнаруженный.n Вы также можете установить действия по умолчанию для почтового клиента и

обнаруженных почтовых клиентов, которые не отображаются в раскрывающемсяменю Почтового клиента. Для настраиваемого клиента поддерживаютсяподстановочные знаки (*) и автозавершение.

Пользователь Почта доступна только определенным пользователям. Вы можете разрешить илизапретить тип пользователей, например "Настраиваемый", "Обнаруженный", "Аккаунтпользователя Workspace ONE UEM" и "Группа пользователей". Вы также можетеустановить действия по умолчанию для имен пользователей в электронной почте,которые не отображаются в раскрывающемся меню «Имя пользователя» или «Группа».Для настраиваемого типа пользователей поддерживаются подстановочные знаки (*) иавтозавершение.

Тип устройстваEAS

Допуск или блокирование устройств в зависимости от значения атрибута "Тип устройстваEAS", передаваемого пользовательским устройством. Можно разрешить или блокироватьустройства в зависимости от типа почтового клиента, например "Настраиваемый" и"Обнаруженный". Кроме того, можно установить действия по умолчанию для типовустройств EAS, которые не отображаются в раскрывающемся меню "Тип устройства".Для настраиваемого клиента поддерживаются подстановочные знаки (*) иавтозавершение.


VMware, Inc. 45

n Политики управляемых устройств — внедряет политики на устройства под управлением,использующих эл. почту.


Неактивность Ограничивает доступ к почте для неактивных управляемых устройств. Можно указатьколичество дней, в течение которых устройство определяется как неактивное(например, не выполняется вход в VMware AirWatch, по истечении которыхWorkspace ONE UEM запретит доступ к электронной почте. Диапазон допустимыхзначений: 1–32 767.

Устройствовзломано

Ограничивает доступ к почте для скомпрометированных устройств. Эта политика неблокирует доступ устройствам к эл. почте, для которых в системе AirWatch не указанстатус уязвимости.

Шифрование Блокирует доступ к почте для незашифрованных устройств. Политика применяетсятолько к устройствам, отметившим свой статус защиты в системе VMware AirWatch.

Модель Блокирует доступ к почте в зависимости от платформы и модели устройства.

Операционнаясистема

Разрешение доступа к почте заданным операционным системам для определенныхплатформ.

Требованиепрофиля ActiveSync

Запрет доступа к электронной почте для устройств, которые не управляются спомощью профиля Exchange ActiveSync.

n Политики безопасности эл. почты — внедряет политики на вложения и гиперссылки. Этаполитика применяется только для развертываний SEG. Дополнительную информацию см. вразделе Защита контента, ссылок и вложений электронной почты.


Классификациябезопасностиэлектронной почты

Определите политику SEGобработки электронных писем с тегами и без тегов. Выможете использовать предопределенные теги или создавать новые теги с помощьюопции "Кастомизация". Исходя из классификации, вы можете разрешить или запретитьэл. почту в AirWatch Inbox и других почтовых клиентах.

Вложения(управляемыеустройства)

Шифрование вложений электронной почты для выбранных типов файлов. Защита этихвложений выполняется на устройстве. Их можно просматривать только вVMware Content Locker.

В настоящее время эта функция доступна только в управляемых устройствах iOS,Android и Windows Phone с приложением VMware Content Locker. Для другихуправляемых устройств можно установить разрешение на шифрованные вложения,блокировку вложений или разрешение на незашифрованные вложения.


VMware, Inc. 46

Вложения(неуправляемыеустройства)

Шифрование и блокировка вложений или разрешение незашифрованных вложенийдля устройств вне управления.

Зашифрованные вложения почты недоступны для просмотра на неуправляемыхустройствах. Эта функция позволяет обеспечивать целостность эл. почты. Еслиэлектронное письмо с зашифрованным вложением переслать с неуправляемогоустройства, получатель все равно сможет просмотреть это вложение на своем ПК илидругом мобильном устройстве.

Для максимального использования возможностей SEG система Workspace ONE UEMрекомендует использовать SEG для шифрования вложений и преобразованиягиперссылок, доступ к которым можно получить с помощью AirWatch Inbox для iOS,Android и внутреннего почтового клиента iOS и Android.

Гиперссылка Разрешение пользователям открывать ссылки из электронных писем напрямую вVMware Browser на устройстве. Secure Email Gateway динамически изменяетгиперссылки, которые открываются в VMware Browser. Можно выбрать один изследующих типов изменения:n Все: выберите, чтобы открывать все гиперссылки с помощью VMware Browser.n Исключить: выберите, чтобы пользователи устройства не могли открыть

упомянутые домены с помощью VMware Browser. Внесите исключенные домены вполе Изменить все гиперссылки, кроме этих доменов. Вы также можетемассово загрузить названия доменов из файла .csv.

n Включить: выберите, чтобы пользователи устройств могли открыть гиперссылки сопределенных доменов с помощью VMware Browser. Внесите включенные доменыв поле Изменять гиперссылки только для этих доменов. Также доступнагрупповая загрузка имен доменов из файла .csv.

3. Создайте свое правило соответствия и нажмите Сохранить.

4. Нажмите серый кружок в столбце Активный, чтобы активировать политику соответствия.Появится страница с кодом ключа.

5. Введите код ключа в соответствующее поле и нажмите Продолжить. Политика активируется иотмечается в виде зеленого кружка в столбце Активные.

Защита контента, ссылок и вложений электронной почтыОбеспечьте защиту своей электронной почты с помощью решений Workspace ONE Web иWorkspace ONE Content.

Workspace ONE UEM позволяет обеспечить защиту и управление вложениями мобильной эл.почты, которые являются уязвимыми к потере данных как для управляемых, так и длянеуправляемых устройств. Workspace ONE UEM позволяет пользователям устройства открыватьгиперссылки в электронных сообщениях непосредственно с помощью приложенияVMware Browser, находящегося на устройстве. Secure Email Gateway динамически изменяетгиперссылки, чтобы их можно было открыть в VMware Browser.

Прежде чем приступить к защите вложений эл. почты, необходимо установить следующиеприложения:

n Secure Email Gateway (SEG)

n VMware Content Locker (iOS, Android и Windows Phone);


VMware, Inc. 47

n поддержка Microsoft Exchange 2010/2013/2016, Lotus Notes, Novell GroupWise и Gmail.

Включение классификации безопасности электронной почтыВыберите классификации безопасности в консоли UEMКонсоль Workspace ONE UEM, для которыхтребуется принимать меры со стороны Secure Email Gateway.

Можно использовать список предварительно определенных классификаций безопасности илисоздать собственную классификацию.

Включение классификации безопасности электронной почты

1. Перейдите в раздел Электронная почта > Политики соответствия > Политикибезопасности электронной почты.

2. Нажмите серый кружок в столбце Активные для политики соответствия Классификациибезопасности эл. почты. Появится страница с кодом ключа.


4. Выберите опцию Редактировать в столбце Действия.

5. Нажмите Добавить и выберите тип тега в раскрывающемся меню Тип. Существуютследующие типы: "Предопределенный" и "Настраиваемый". Выберите "Предопределенный",чтобы получить список доступных тегов в раскрывающемся меню Классификациябезопасности. Выберите "Настраиваемый", чтобы ввести собственный тег в полеКлассификация безопасности.

6. Введите Описание для тега и нажмите Далее.

7. Настройте действия, которые должен выполнять SEG для электронных писем, отмеченных илине отмеченных тегом. Вы можете разрешить или заблокировать принятие электронныхсообщений на AirWatch Inbox или других почтовых клиентах. Нажмите кнопку Далее.

8. Просмотрите окно Сводка и нажмите кнопку Сохранить.

Включение защиты вложений электронной почтыЗащита вложений электронной почты с помощью Workspace ONE UEM.

В качестве вложений эл. почты могут использоваться файлы различного типа. В консоли UEMможно выбрать типы файлов, для которых должны шифроваться вложения электронной почты спомощью Secure Email Gateway. Эти зашифрованные вложения являются защищенными намобильных устройствах и могут быть просмотрены с помощью приложения VMware Content Locker.

Для управляемых устройств iOS, Android и Windows Phone доступны отдельные настройки. Дляпрочих управляемых устройств и всех неуправляемых устройств можно блокировать возможностьоткрывать вложения в сторонних приложениях.


VMware, Inc. 48

Включение защиты вложений эл. почты:


2. Нажмите серый кружок в столбце Активные для политики соответствия Вложения(управляемые устройства) или Вложения (неуправляемые устройства). Появитсястраница с кодом ключа.



5. Укажите, следует ли зашифровать и разрешить, или запретить, или разрешить безшифрования вложение для каждой категории файлов (только для управляемых устройств iOS,Android и Windows).

6. Установите флажок Разрешить сохранение вложений в Content Locker, чтобы сохранять тамвложения. Вложения остаются зашифрованными, и применяются политики Content Locker.

7. Выберите политику для всех файлов в папке Другие файлы, которые здесь не отмечены.

8. Введите расширения файлов, которые следует исключить из действий, настроенных в папкеДругие файлы, в Список исключений.

9. Введите Настраиваемое уведомление при блокировке вложений, чтобы сообщитьполучателю, что вложение было заблокировано.

10. Нажмите Сохранить, чтобы сохранить настройки.


VMware, Inc. 49

Включение защиты гиперссылокЗащита гиперссылок в электронных сообщениях.

С помощью политики безопасности гиперссылок в электронных сообщениях можно изменятьгиперссылки в сообщениях электронной почты таким образом, чтобы их можно было открытьнепосредственно с помощью приложения VMware Browser.

Включение защиты гиперссылок


2. Нажмите серый кружок в столбце Активные для политики соответствия Гиперссылка.Появится страница с кодом ключа.



5. Выберите платформу, для которой вы хотите игнорировать преобразования гиперссылок дляAirWatch Inbox.

6. Выберите один из Типов изменения.

7. n Все — выберите данный вариант, чтобы открывать все гиперссылки черезVMware Browser.

n Включить — выберите данный вариант, если хотите, чтобы пользователи устройствоткрывали гиперссылки из указанных доменов с помощью VMware Browser. Внеситевключенные домены в поле Изменять гиперссылки только для этих доменов. Такжедоступна групповая загрузка имен доменов из CSV-файла.

n Исключить: выберите, чтобы пользователи устройства не могли открыть упомянутыедомены с помощью VMware Browser. Внесите исключенные домены в поле Изменить всегиперссылки, кроме этих доменов. Также доступна групповая загрузка имен доменов изCSV-файла.

8. Нажмите Сохранить, чтобы сохранить настройки.


VMware, Inc. 50

Управление электронной почтой 9Отслеживайте устройства и трафик эл. почты группы пользователей с помощью панелиуправления эл. почтой.

Панель управления > эл. почтой предоставляет в реальном времени сводку о статусе устройств,подключенных к серверу эл. почты.

Вы также можете использовать доступные графики для фильтрации поиска. Например, если выхотите просмотреть все управляемые устройства в организационной группе, выберите график"Управляемые устройства". Результаты поиска появятся на странице списка.

Просмотр сведений об устройстве и пользователеПросмотр подробных сведений об устройстве и пользователе.

Вы можете просмотреть в реальном времени все обновления для устройств конечныхпользователей, которыми вы управляете с помощью решения Mobile Email Management (MEM), настранице Электронная почта > Представление списка.

VMware, Inc. 51

Переключайтесь между вкладками Устройство и Пользователь для просмотра сведений опользователе и устройстве. Для просмотра сводного или отдельного списка можно изменить "Видстраницы".

n Просматривать устройства, которые являются управляемыми, неуправляемыми,соответствующими, несоответствующими, заблокированными или разрешенными.

n Просматривать данные об устройстве, например ОС, модель, платформу, номер телефона,IMEI и IP-адрес.

Специфическую для устройства или пользователя информацию можно просматривать в видесводного списка или по отдельности с учетом существующих требований.

На странице Представление списка отображаются следующие подробные сведения:


Последний запрос Последнее изменение состояния устройства, полученное от Workspace ONE UEM либо отExchange в интеграции с PowerShell. При интеграции SEG этот столбец отображаетпоследнее время синхронизации эл. почты на устройстве.

Пользователь Название аккаунта пользователя.

Понятное имя Понятное имя устройства.

MEM Конфигур. Настроенная конфигурация MEM, осуществляющая управление устройством.

Адрес эл. почты Электронный адрес для аккаунта пользователя.

Идентификатор Уникальный алфавитно-цифровой идентификационный код, связанный с устройством.

Почтовый клиент Почтовый клиент, синхронизирующий электронные письма на устройстве

Последняя команда Последнее изменение состояния устройства, которое также появляется в столбцеПоследний запрос.

Последний сервершлюза

Сервер, к которому подключено устройство.

Статус Статус устройства в реальном времени. А также разрешена или блокирована на нем эл.почта в соответствии с заданной политикой.

Причина Код причины, разрешающий или блокирующий эл. почту на устройстве.n Код причины отображается как "Общий", когда статус доступа определяется по

умолчанию карантинной политикой, "Разрешить" или "Запретить". «Индивидуальный» кодпричины отображается, когда ID устройства явным образом назначен для конкретногопочтового ящика администратором Exchange или Workspace ONE UEM. Код причины"Политика" отображается в случае, если устройство заблокировано политикой EAS.

n Workspace ONE UEM предоставляет возможность блокировать почту на устройствах, несоответствующих требованиям (например, в черном списке). Обмен электроннымиписьмами становится возможен, как только устройства получают статус соответствующих.Список несоответствующих устройств можно видеть на панели управления эл. почтой.Они отмечены тегом "Соответствие MDM".

n Платформа, Модель, ОС, IMEI, Тип устройства EAS, IP-адрес — в этих полях отображаетсяинформация об устройстве.

n Идентификатор почтового ящика — расположение почтового ящика пользователя в ActiveDirectory.


VMware, Inc. 52

ФильтрыДля фильтрации результатов поиска по устройству используйте опцию Фильтр на странице"Список".


Последний вход Все, не более 24 часов, 12 часов, 6 часов, 2 часа

Под управлением Все, управляемые, неуправляемые

Разрешенные типы Все, разрешено, блокировано

Переопределение политики Все, запрещенные, разрешенные, по умолчанию

Нарушение политики Уязвимое, неактивное устройство, данные не защищены, нет регистрации, несоответствует MDM-управлению, неутвержденный тип устройства EAS/почтовыйклиент/модель/ОС

MEM Конфигур. Фильтрация устройств на основе настроенных MEM-развертываний

Тип устройства EAS Фильтрация на основе типа устройства

Адрес эл. почты Фильтрация на основе электронного адреса

Последний сервер шлюза Фильтрация на основе доступного сервера Secure Email Gateway

Действия с эл. почтойОдиночные раскрывающиеся меню Переопределение, Действия и Администрированиепозволяют выполнять различные действия на устройстве.

Важно! Эти действия невозможно отменить.

Переопределить

Установите флажок, соответствующий устройству, для выполнения на нем действий. Разрешениеили запрет устройства вне зависимости от политик соответствия и по необходимости возвратизначальных политик.

n Белый список — разрешение устройствам получать эл. почту.

n Черный список — блокировка получения электронных писем на устройстве.

n По умолчанию — разрешение или блокировка устройства на основании того, получен листатус соответствующего устройства.

Действия

n Синхронизация почтовых ящиков — запрос на сервере Exchange обновленного спискаустройств, которые предприняли попытку синхронизации электронной почты (прямая модельPowerShell). Если вы не выберете этот вариант, то список неуправляемых устройств изменитсятолько в том случае, когда одно из неуправляемых устройств зарегистрируется в WorkspaceONE UEM или вы вручную занесете устройство в белый или черный список, тем самыминициируя команду изменения состояния.


VMware, Inc. 53

Workspace ONE UEM предлагает пользователям возможность синхронизации почты с Exchangeна портале самообслуживания (SSP) и установить предоставленные политики соответствия навсе свои устройства. Обычно этот процесс гораздо быстрее, чем массовая синхронизация навсех устройствах.

n Проверить соответствие — активирует модуль соответствия для выбранной конфигурацииMEM. В рамках моделей PowerShell и SEG эта команда выполняется по-разному.n Если настроен SEG, то эта команда актуализирует SEG с последними политиками

соответствия.

n Если настроена модель PowerShell, то осуществляется ручная проверка соответствий навсех устройствах и соответственно разрешается или блокируется доступ к эл. почте.

Если настроена прямая модель PowerShell, то Workspace ONE UEM обменивается данныминепосредственно с массивом CAS через удаленные подписанные сеансы PowerShell,установленные с консоли сервера или с VMware Enterprise Systems Connector (в зависимостиот архитектуры развертывания). С помощью удаленных подписанных сеансов командыPowerShell отправляются в черный список (блокировка) и белый список (разрешение) взаданном почтовом ящике CAS пользователя в Exchange 2010/2013 на основании состояниясоответствия устройства в Workspace ONE UEM.

n Включить тестовый режим — проверка политик эл. почты без их применения на устройствахв системах с интегрированным SEG.

Администрирование

Установите флажок, соответствующий устройству, для выполнения на нем действий.


Эл. почта регистрации Отправка эл. сообщения пользователю с детальными требованиями для регистрации.

При обнаружении неуправляемого устройства — отправка пользователю письма онеобходимости регистрации (только PowerShell).

Режим Dx включен Запускает диагностику для выбранных почтовых ящиков пользователя, предоставляяжурнал активности устройства. Эта функция доступна только для SEG.

Режим Dx отключен Выключает диагностику для выбранных почтовых ящиков пользователя.

Обновить ключшифрования

Сбрасывает шифрование, а затем повторно синхронизирует эл. почту для выбранныхустройств.

Удаленная очистка Возвращает заводские настройки устройства.

Выполняет корпоративный сброс (возврат заводских настроек) на утерянном илиукраденном устройстве, содержащем конфиденциальную информацию.

Удалить неуправляемоеустройство

Удаляет записи выбранных неуправляемых устройств с панели управления.

Миграция устройств Миграция устройств в организационные группы и MEM-развертывания.

Синхр. выбранногопочтового ящика

Синхронизирует выбранный почтовый ящик. За один раз можно синхронизироватьтолько один почтовый ящик.

Примечание Эта запись может снова появиться после следующей синхронизации.


VMware, Inc. 54

Проверка наличия неуправляемых устройствЧтобы убедиться, что все ваши устройства под контролем, откройте страницу "Список". Настранице «Список» можно отфильтровать неуправляемые устройства и отправить письмо орегистрации из раскрывающегося меню «Администрирование».


VMware, Inc. 55

AirWatch Руководство VMware почтой...Руководство VMware AirWatch по...

Documents

Transcript of AirWatch Руководство VMware почтой...Руководство VMware AirWatch по...