Modelos de implantação para gerenciamento de infraestrutura de e-mail

O Workspace ONE UEM oferece dois tipos de modelos de implantação para proteger e gerenciar sua infraestrutura de e-mail, o modelo de proxy e o modelo direto.

Você pode usar um dos seguintes modelos de implantação de e-mail junto com as políticas de e-mail que você define no UEM console, para gerenciar com eficiência seus dispositivos móveis.

No modelo de implantação de proxy, um servidor separado chamado servidor proxy Secure Email Gateway (SEG) é colocado entre o servidor Workspace ONE e o servidor de e-mail corporativo. O servidor proxy do SEG filtra todos os pedidos de solicitação feitos ao servidor de e-mail corporativo e transmite o tráfego apenas dos dispositivos aprovados. Desta forma, o servidor de e-mail corporativo está protegido, pois não se comunica diretamente com os dispositivos móveis.
No modelo de implantação direta, não há nenhum servidor proxy envolvido e o Workspace ONE UEM se comunica diretamente com os servidores de e-mail. A ausência de servidor proxy simplifica as etapas de instalação e configuração neste modelo.

Observação: O modelo de implementação de proxy tem duas variantes: as plataformas Classic e SEG v2. A plataforma Classic SEG não é mais compatível, pois a plataforma SEG v2 garante um melhor desempenho na plataforma Classic. A plataforma SEG V2 pode ser instalada em um servidor SEG existente com tempo de inatividade mínimo e, durante uma atualização, não é necessária nenhuma alteração de perfil ou interação do usuário final.


Modelo de implementação	Modo de configuração	Infraestrutura de e-mail
Modelo de implementação de proxy	Microsoft Exchange 2010/2013/2016 Exchange Office 365	Microsoft Exchange 2010/2013/2016/2019 Exchange Office 365 HCL Domino com HCL Gmail
Modelo de implantação direta - PowerShell	Modelo do PowerShell	Microsoft Exchange 2010/2013/2016/2019 Microsoft Office 365
Modelo de implantação direta - Gmail	Gmail

Observação: O Workspace ONE UEM suporta apenas as versões de servidores de e-mail de terceiros suportados atualmente pelo provedor do servidor de e-mail. Quando o provedor substitui uma versão de servidor, o Workspace ONE UEM deixa de oferecer suporte técnico à integração com a versão substituída.

Modelo de proxy do Secure Email Gateway

O servidor proxy do Secure Email Gateway (SEG) é um servidor separado, instalado em alinhamento com o seu servidor de e-mail existente, para representar todo o tráfego de e-mail enviado para os dispositivos móveis. Segundo as configurações definidas no console do UEM, o servidor proxy do SEG toma decisões de permissão ou bloqueio para todos os dispositivos móveis que gerencia.

O servidor proxy do SEG filtra todos os pedidos de comunicação feitos ao servidor de e-mail corporativo e transmite o tráfego apenas de dispositivos aprovados. Esta retransmissão protege o servidor corporativo de e-mail não permitindo que nenhum dispositivo se comunique diretamente com ele.

Instale o servidor do SEG em sua rede para alinhá-lo ao tráfego de e-mail corporativo. Você também pode instalá-lo em uma zona desmilitarizada (DMZ) ou por trás de um proxy reverso. É preciso hospedar o servidor do SEG no centro de dados do cliente, independentemente do seu servidor do Workspace ONE MDM estar instalado localmente ou na nuvem.

Arquitetura local de nuvem do SEG

Implantação direta em modelo do PowerShell

No modelo do PowerShell, o Workspace ONE UEM adota a função de administrador do PowerShell e emite comandos para a infraestrutura do Exchange ActiveSync (EAS) para permitir ou negar acesso ao e-mail, segundo as políticas definidas no console da UEM console. As implementações do PowerShell não requerem um servidor proxy separado de e-mail e seu processo de instalação é simples.

As implantações do PowerShell são para as empresas que usam o Microsoft Exchange 2010, 2013, 2016, 2019 ou o Office 365.

Modelo do PowerShell do Office 365

Há duas maneiras de emitir os comandos do PowerShell, dependendo do local em que o servidor Workspace ONE UEM e o servidor do Exchange estão:

O servidor do Workspace ONE está na nuvem e o servidor do Exchange está no local – o servidor Workspace ONE UEM emite os comandos do PowerShell. O VMware Enterprise Systems Connector configura a sessão do PowerShell com o servidor de e-mail.
O servidor de Workspace ONE UEM e o servidor de e-mail estão no local – o servidor Workspace ONE UEM configura a sessão do PowerShell diretamente com o servidor de e-mail. Aqui, não existe nenhum servidor de VMware Enterprise Systems Connector necessário, a menos que o servidor da Workspace ONE UEM não possa se comunicar diretamente com o servidor de e-mail.

Modelo do PowerShell Exchange

Para assistência na escolha entre Secure Email Gateway e os modelos de implantação do PowerShell, consulte a seção Recomendações do Workspace ONE UEM.

Modelo direto do Gmail

Integrar o servidor Workspace ONE UEM com o Google.

As empresas que utilizam a infraestrutura de e-mail do Gmail provavelmente conhecem os desafios existentes para proteger os endpoints do Gmail e para impedir que os e-mails contornem as medidas de proteção dos mesmos. A Workspace ONE UEM ajuda a superar estes desafios oferecendo um método seguro e flexível para integrar sua infraestrutura de e-mail.

No modelo direto de implementação do Gmail, o servidor Workspace ONE UEM se comunica diretamente com o Google. Dependendo das necessidades de segurança, o Workspace ONE pode gerenciar a senha do Google de um usuário e controlar o acesso à caixa de correio do usuário.

Modelo direto do Google

Chamadas de API para o Google Suite: você pode personalizar os atributos usados nas chamadas de API para o Google Suite especificando um atributo alternativo em vez do endereço de e-mail do usuário. Por padrão, o endereço de e-mail do usuário é usado. Para obter mais informações sobre como configurar o modelo direto do Gmail, consulte Integrar o modelo direto usando gerenciamento de senha.

Matriz de modelo de implementação de MEM

Utilize a matriz de recursos abaixo para comparar os recursos disponíveis nos diferentes modelos de implantação MEM.

O Office 365 requer configuração adicional para o modelo de proxy do SEG. A Workspace ONE UEM recomenda o modelo direto de integração para servidores de e-mail com base na nuvem. Consulte a seção recomendações do Workspace ONE UEM para obter mais detalhes.


✓	Status de	□	Não é compatível com Workspace ONE UEM
X	Recurso não disponível	N/A	Não se aplica

Tabela 1. Matriz de implantação
	Modelo proxy do SEG			Modelo direto
	Exchange 2010/2013/2016/2019 Office 365	HCL Notes Traveler	Google	Office 365 (PowerShell)	Exchange 2010/2013/2016/2019 (PowerShell)	Gmail
Ferramentas de segurança para e-mail
Configurações de segurança obrigatórias
Utiliza assinaturas digitais através do recurso S/MIME	✓	□	□	✓	✓	N/A
Protege dados confidenciais através de criptografia obrigatória	✓	✓	✓	✓	✓	✓
Aplica proteção SSL	✓	✓	✓	✓	✓	✓
Anexo de e-mail e segurança de hyperlinks
Obriga anexos e hyperlinks a serem abertos somente em VMware AirWatch Content Locker ou Workspace ONE Web	✓	✓	✓	x	x	x
Configuração automática de e-mail
Configura e-mails no dispositivo de maneira remota e sem fio (over-the-air)	✓	✓	✓	✓	✓	✓
Controle de acesso ao e-mail
Impede dispositivos não gerenciados de acessar o e-mail	✓	✓	✓	✓	✓	✓
Identifica dispositivos não gerenciados	✓	✓	✓	✓	✓	N/A
Acessa e-mails com políticas de conformidade personalizáveis	✓	✓	✓	✓	✓	✓
Requer criptografia do dispositivo para acesso ao e-mail	✓	✓	✓	✓	✓	✓
Impede que dispositivos comprometidos tenham acesso ao e-mail	✓	✓	✓	✓	✓	✓
Permite/bloqueia e-mail - Cliente de e-mail	✓	✓	✓	✓	✓	x
Controle de acesso ao e-mail
Permite/bloqueia e-mail - Usuário	✓	✓	✓	✓	✓	x
Permite/bloqueia e-mail - Modelo do dispositivo	✓	✓	✓	✓	✓	✓
Permite/bloqueia e-mail - Sistema operacional do dispositivo	✓	✓	✓	✓	✓	✓
Permite/bloqueia e-mail - Tipo de dispositivo EAS	✓	✓	✓	✓	✓	x
Visibilidade do gerenciamento
Estatísticas de tráfego de e-mail	✓	✓	✓	x	x	x
Estatísticas de clientes de e-mail	✓	✓	✓	x	x	x
Gerenciamento de certificado
Integração/cancelamento de CA	✓	□	□	✓	✓	N/A
Arquitetura
Inline Gateway (Proxy)	✓	✓	✓	N/A	N/A	✓
Exchange PowerShell	N/A	N/A	N/A	✓	✓	N/A
Gerenciamento de senhas do Gmail	N/A	N/A	✓	N/A	N/A	✓
Integração de API de diretório para o Gmail	N/A	N/A	N/A	N/A	N/A	✓
Status de
Workspace ONE Boxer para iOS e Android [^]	✓	✓	✓	✓	✓	✓
Cliente de e-mail nativo do iOS	✓	✓	✓	✓	✓	✓
Cliente de e-mail nativo do Android (Gmail)	✓	✓	✓	✓	✓	✓
HCL Notes Client para Android*	N/A	✓	N/A	N/A	N/A	N/A

*Anexos de e-mail e segurança de hyperlinks não são compatíveis com o HCL Notes Client para Android.

+ Não é compatível com o Exchange 2003

^ Não há suporte para o Exchange 2003, para exigência do perfil ActiveSync e nem para o Multi MEM do Workspace ONE Boxer.

Recomendações do Workspace ONE UEM

Os recursos compatíveis com o Workspace ONE UEM e os tamanhos adequados de implementação são listados nesta seção. Utilize a matriz de decisão para escolher a implementação que melhor atende às suas necessidades.

Criptografia de anexos

Com criptografia de anexos obrigatória nos seus dispositivos móveis, o Workspace ONE UEM ajuda a manter seus anexos de e-mail seguros, sem afetar a experiência dos usuários finais.


	Nativo	Traveler	Workspace ONE Boxer
iOS	✓
Android	✓
O SEG é compatível com criptografia de anexos e transformação de hyperlink no Workspace ONE Boxer apenas se esses recursos estiverem ativados na configuração do aplicativo Boxer no console do UEM. O SEG é compatível com criptografia de anexos com Exchange 2010/2013/2016/2019 e Office 365.

Observação:

O SEG não criptografa anexos do Workspace ONE Boxer, mas a DLP pode ser imposta no nível do aplicativo.

Gerenciamento de e-mail

A lista oferece o mais alto nível de segurança e torna mais fácil a implementação e o gerenciamento.


Infraestrutura de e-mail	Gmail	PowerShell	Secure Email Gateway (SEG)
Infraestrutura de e-mail na nuvem
Office 365		✓	✓
Gmail	✓		✓
Infraestrutura de e-mail no local
Exchange 2010		✓	✓
Exchange 2013		✓	✓
Exchange 2016		✓	✓
Exchange 2019		✓	✓
HCL Notes			✓

^Usa o Secure Email GatewaySecure Email Gateway (SEG) para todas as infraestruturas de e-mail locais com implementações em mais de 100.000 dispositivos. Para implementações em menos de 100.000 dispositivos, o PowerShell é outra opção para seu gerenciamento de e-mail. Consulte a seção Secure Email Gateway versus Matriz de Decisão PowerShell.

**O limite para implementações PowerShell é baseado no conjunto mais recente de testes de desempenho e pode mudar a cada lançamento. Rápida sincronização e execução de períodos de conformidade são esperados em implementações em até 50.000 dispositivos (menos de três horas). Quando as implementações chegam perto de 100.000 dispositivos, os administradores podem esperar que o tempo de sincronização e execução de processos de conformidade passe a ser de três a sete horas.

Secure Email Gateway versus Matriz de Decisão PowerShell

A matriz informa sobre os recursos de implementação do SEG e do PowerShell para ajudá-lo a escolher o pacote de implementação mais adequado.


	Prós	Contras
SEG	Conformidade em tempo real Criptografia de anexos Transformação de hyperlinks	Servidor(es) adicional(is) exigido(s)
PowerShell	Nenhum servidor adicional local é exigido para o gerenciamento de e-mail O tráfego de e-mail não é direcionado para um servidor local antes de ser encaminhado para o Office 365, portanto o ADFS não é exigido	Sem sincronização de conformidade em tempo real Não é recomendado para grandes implementações (mais de 100.000)
A Microsoft sugere utilizar o Active Directory Federated Services (ADFS) para impedir o acesso direto às contas de e-mail do Office 365.