Modelos de implantação para gerenciamento de infraestrutura de e-mail

O Workspace ONE UEM oferece dois tipos de modelos de implantação para proteger e gerenciar sua infraestrutura de e-mail, o modelo de proxy e o modelo direto.

Você pode usar um dos seguintes modelos de implantação de e-mail junto com as políticas de e-mail que você define no UEM console, para gerenciar com eficiência seus dispositivos móveis.

No modelo de implantação de proxy, um servidor separado chamado servidor proxy Secure Email Gateway (SEG) é colocado entre o servidor Workspace ONE e o servidor de e-mail corporativo. O servidor proxy do SEG filtra todos os pedidos de solicitação feitos ao servidor de e-mail corporativo e transmite o tráfego apenas dos dispositivos aprovados. Desta forma, o servidor de e-mail corporativo está protegido, pois não se comunica diretamente com os dispositivos móveis.
No modelo de implantação direta, não há nenhum servidor proxy envolvido e o Workspace ONE UEM se comunica diretamente com os servidores de e-mail. A ausência de servidor proxy simplifica as etapas de instalação e configuração neste modelo.

Observação: O modelo de implementação de proxy tem duas variantes: as plataformas Classic e SEG v2. A plataforma Classic SEG não é mais compatível, pois a plataforma SEG v2 garante um melhor desempenho na plataforma Classic. A plataforma SEG V2 pode ser instalada em um servidor SEG existente com tempo de inatividade mínimo e, durante uma atualização, não é necessária nenhuma alteração de perfil ou interação do usuário final.


Modelo de implementação	Modo de configuração	Infraestrutura de e-mail
Modelo de implementação de proxy	Microsoft Exchange 2010/2013/2016 Exchange Office 365	Microsoft Exchange 2010/2013/2016/2019 Exchange Office 365 HCL Domino com HCL Gmail
Modelo de implantação direta - PowerShell	Modelo do PowerShell	Microsoft Exchange 2010/2013/2016/2019 Microsoft Office 365
Modelo de implantação direta - Gmail	Gmail

Observação: O Workspace ONE UEM suporta apenas as versões de servidores de e-mail de terceiros suportados atualmente pelo provedor do servidor de e-mail. Quando o provedor substitui uma versão de servidor, o Workspace ONE UEM deixa de oferecer suporte técnico à integração com a versão substituída.

Modelo de proxy do Secure Email Gateway

O servidor proxy do Secure Email Gateway (SEG) é um servidor separado, instalado em alinhamento com o seu servidor de e-mail existente, para representar todo o tráfego de e-mail enviado para os dispositivos móveis. Segundo as configurações definidas no console do UEM, o servidor proxy do SEG toma decisões de permissão ou bloqueio para todos os dispositivos móveis que gerencia.

O servidor proxy do SEG filtra todos os pedidos de comunicação feitos ao servidor de e-mail corporativo e transmite o tráfego apenas de dispositivos aprovados. Esta retransmissão protege o servidor corporativo de e-mail não permitindo que nenhum dispositivo se comunique diretamente com ele.

Instale o servidor do SEG em sua rede para alinhá-lo ao tráfego de e-mail corporativo. Você também pode instalá-lo em uma zona desmilitarizada (DMZ) ou por trás de um proxy reverso. É preciso hospedar o servidor do SEG no centro de dados do cliente, independentemente do seu servidor do Workspace ONE MDM estar instalado localmente ou na nuvem.

Arquitetura no local e em nuvem do SEG

Implantação direta em modelo do PowerShell

No modelo do PowerShell, o Workspace ONE UEM adota a função de administrador do PowerShell e emite comandos para a infraestrutura do Exchange ActiveSync (EAS) para permitir ou negar acesso ao e-mail, segundo as políticas definidas no console da UEM console. As implementações do PowerShell não requerem um servidor proxy separado de e-mail e seu processo de instalação é simples.

As implantações do PowerShell são para as empresas que usam o Microsoft Exchange 2010, 2013, 2016, 2019 ou o Office 365.

Modelo de implementação do PowerShell do Office 365

Há duas maneiras de emitir os comandos do PowerShell, dependendo do local em que o servidor Workspace ONE UEM e o servidor do Exchange estão:

O servidor do Workspace ONE está na nuvem e o servidor do Exchange está no local – o servidor Workspace ONE UEM emite os comandos do PowerShell. O VMware Enterprise Systems Connector configura a sessão do PowerShell com o servidor de e-mail.
O servidor de Workspace ONE UEM e o servidor de e-mail estão no local – o servidor Workspace ONE UEM configura a sessão do PowerShell diretamente com o servidor de e-mail. Aqui, não existe nenhum servidor de VMware Enterprise Systems Connector necessário, a menos que o servidor da Workspace ONE UEM não possa se comunicar diretamente com o servidor de e-mail.

Modelo do PowerShell do Microsoft Exchange 2010 implantado na nuvem e no local

Para assistência na escolha entre Secure Email Gateway e os modelos de implantação do PowerShell, consulte a seção Recomendações do Workspace ONE UEM.

Modelo direto do Gmail

Integrar o servidor Workspace ONE UEM com o Google.

As empresas que utilizam a infraestrutura de e-mail do Gmail provavelmente conhecem os desafios existentes para proteger os endpoints do Gmail e para impedir que os e-mails contornem as medidas de proteção dos mesmos. A Workspace ONE UEM ajuda a superar estes desafios oferecendo um método seguro e flexível para integrar sua infraestrutura de e-mail.

No modelo direto de implementação do Gmail, o servidor Workspace ONE UEM se comunica diretamente com o Google. Dependendo das necessidades de segurança, o Workspace ONE pode gerenciar a senha do Google de um usuário e controlar o acesso à caixa de correio do usuário.

Modelo de implementação direto do Google

Chamadas de API para o Google Suite: você pode personalizar os atributos usados nas chamadas de API para o Google Suite especificando um atributo alternativo em vez do endereço de e-mail do usuário. Por padrão, o endereço de e-mail do usuário é usado. Para obter mais informações sobre como configurar o modelo direto do Gmail, consulte Integrar o modelo direto usando gerenciamento de senha.

Matriz de modelo de implementação de MEM

Utilize a matriz de recursos abaixo para comparar os recursos disponíveis nos diferentes modelos de implantação MEM.

O Office 365 requer configuração adicional para o modelo de proxy do SEG. A Workspace ONE UEM recomenda o modelo direto de integração para servidores de e-mail com base na nuvem. Consulte a seção recomendações do Workspace ONE UEM para obter mais detalhes.


✓	Status de	□	Não é compatível com Workspace ONE UEM
X	Recurso não disponível	N/A	Não se aplica

Tabela 1. Matriz de implantação
	Modelo proxy do SEG			Modelo direto
	Exchange 2010/2013/2016/2019 Office 365	HCL Notes Traveler	Google	Office 365 (PowerShell)	Exchange 2010/2013/2016/2019 (PowerShell)	Gmail
Ferramentas de segurança para e-mail
Configurações de segurança obrigatórias
Utiliza assinaturas digitais através do recurso S/MIME	✓	□	□	✓	✓	N/A
Protege dados confidenciais através de criptografia obrigatória	✓	✓	✓	✓	✓	✓
Aplica proteção SSL	✓	✓	✓	✓	✓	✓
Anexo de e-mail e segurança de hyperlinks
Obriga anexos e hyperlinks a serem abertos somente em VMware AirWatch Content Locker ou Workspace ONE Web	✓	✓	✓	x	x	x
Configuração automática de e-mail
Configura e-mails no dispositivo de maneira remota e sem fio (over-the-air)	✓	✓	✓	✓	✓	✓
Controle de acesso ao e-mail
Impede dispositivos não gerenciados de acessar o e-mail	✓	✓	✓	✓	✓	✓
Identifica dispositivos não gerenciados	✓	✓	✓	✓	✓	N/A
Acessa e-mails com políticas de conformidade personalizáveis	✓	✓	✓	✓	✓	✓
Requer criptografia do dispositivo para acesso ao e-mail	✓	✓	✓	✓	✓	✓
Impede que dispositivos comprometidos tenham acesso ao e-mail	✓	✓	✓	✓	✓	✓
Permite/bloqueia e-mail - Cliente de e-mail	✓	✓	✓	✓	✓	x
Controle de acesso ao e-mail
Permite/bloqueia e-mail - Usuário	✓	✓	✓	✓	✓	x
Permite/bloqueia e-mail - Modelo do dispositivo	✓	✓	✓	✓	✓	✓
Permite/bloqueia e-mail - Sistema operacional do dispositivo	✓	✓	✓	✓	✓	✓
Permite/bloqueia e-mail - Tipo de dispositivo EAS	✓	✓	✓	✓	✓	x
Visibilidade do gerenciamento
Estatísticas de tráfego de e-mail	✓	✓	✓	x	x	x
Estatísticas de clientes de e-mail	✓	✓	✓	x	x	x
Gerenciamento de certificado
Integração/cancelamento de CA	✓	□	□	✓	✓	N/A
Arquitetura
Inline Gateway (Proxy)	✓	✓	✓	N/A	N/A	✓
Exchange PowerShell	N/A	N/A	N/A	✓	✓	N/A
Gerenciamento de senhas do Gmail	N/A	N/A	✓	N/A	N/A	✓
Integração de API de diretório para o Gmail	N/A	N/A	N/A	N/A	N/A	✓
Status de
Workspace ONE Boxer para iOS e Android [^]	✓	✓	✓	✓	✓	✓
Cliente de e-mail nativo do iOS	✓	✓	✓	✓	✓	✓
Cliente de e-mail nativo do Android (Gmail)	✓	✓	✓	✓	✓	✓
HCL Notes Client para Android*	N/A	✓	N/A	N/A	N/A	N/A

*Anexos de e-mail e segurança de hyperlinks não são compatíveis com o HCL Notes Client para Android.

+ Não é compatível com o Exchange 2003

^ Não há suporte para o Exchange 2003, para exigência do perfil ActiveSync e nem para o Multi MEM do Workspace ONE Boxer.

Recomendações do Workspace ONE UEM

Os recursos compatíveis com o Workspace ONE UEM e os tamanhos adequados de implementação são listados nesta seção. Utilize a matriz de decisão para escolher a implementação que melhor atende às suas necessidades.

Criptografia de anexos

Com criptografia de anexos obrigatória nos seus dispositivos móveis, o Workspace ONE UEM ajuda a manter seus anexos de e-mail seguros, sem afetar a experiência dos usuários finais.


	Nativo	Traveler	Workspace ONE Boxer
iOS	✓
Android	✓
O SEG é compatível com criptografia de anexos e transformação de hyperlink no Workspace ONE Boxer apenas se esses recursos estiverem ativados na configuração do aplicativo Boxer no console do UEM. O SEG é compatível com criptografia de anexos com Exchange 2010/2013/2016/2019 e Office 365.

Observação:

O SEG não criptografa anexos do Workspace ONE Boxer, mas a DLP pode ser imposta no nível do aplicativo.

Gerenciamento de e-mail

A lista oferece o mais alto nível de segurança e torna mais fácil a implementação e o gerenciamento.


Infraestrutura de e-mail	Gmail	PowerShell	Secure Email Gateway (SEG)
Infraestrutura de e-mail na nuvem
Office 365		✓	✓
Gmail	✓		✓
Infraestrutura de e-mail no local
Exchange 2010		✓	✓
Exchange 2013		✓	✓
Exchange 2016		✓	✓
Exchange 2019		✓	✓
HCL Notes			✓

^Usa o Secure Email GatewaySecure Email Gateway (SEG) para todas as infraestruturas de e-mail locais com implementações em mais de 100.000 dispositivos. Para implementações em menos de 100.000 dispositivos, o PowerShell é outra opção para seu gerenciamento de e-mail. Consulte a seção Secure Email Gateway versus Matriz de Decisão PowerShell.

**O limite para implementações PowerShell é baseado no conjunto mais recente de testes de desempenho e pode mudar a cada lançamento. Rápida sincronização e execução de períodos de conformidade são esperados em implementações em até 50.000 dispositivos (menos de três horas). Quando as implementações chegam perto de 100.000 dispositivos, os administradores podem esperar que o tempo de sincronização e execução de processos de conformidade passe a ser de três a sete horas.

Secure Email Gateway versus Matriz de Decisão PowerShell

A matriz informa sobre os recursos de implementação do SEG e do PowerShell para ajudá-lo a escolher o pacote de implementação mais adequado.


	Prós	Contras
SEG	Conformidade em tempo real Criptografia de anexos Transformação de hyperlinks	Servidor(es) adicional(is) exigido(s)
PowerShell	Nenhum servidor adicional local é exigido para o gerenciamento de e-mail O tráfego de e-mail não é direcionado para um servidor local antes de ser encaminhado para o Office 365, portanto o ADFS não é exigido	Sem sincronização de conformidade em tempo real Não é recomendado para grandes implementações (mais de 100.000)
A Microsoft sugere utilizar o Active Directory Federated Services (ADFS) para impedir o acesso direto às contas de e-mail do Office 365.