Configure o controle de acesso para fornecer acesso seguro à sua infraestrutura de e-mail.

Políticas de conformidade de e-mail

Uma vez que o e-mail tenha sido implementado, é possível ampliar a proteção do seu e-mail móvel com a adição do controle de acesso. O recurso de controle de acesso permite que apenas dispositivos protegidos e em conformidade possam acessar sua infraestrutura de e-mail. O controle de acesso é implementado com a ajuda de políticas de conformidade de e-mail.

As políticas de conformidade de e-mail aprimoram a segurança restringindo o acesso de e-mail a dispositivos não compatíveis, não criptografados, inativos ou não gerenciados. Essas políticas de e-mail permitem que você forneça acesso ao e-mail apenas para os dispositivos necessários e aprovados. As políticas de e-mail também restringem o acesso ao e-mail com base no modelo de dispositivo e nos sistemas operacionais.

Essas políticas são categorizadas como políticas gerais de e-mail, política de dispositivo gerenciado e política de segurança de e-mail. As diferentes políticas que se enquadram em cada categoria e as implementações a que se aplicam são listadas na tabela.

A tabela a seguir lista as políticas de conformidade de e-mail compatíveis.

Tabela 1. Políticas de conformidade de e-mail compatíveis
  SEG(Exchange, HCL Traveler, G Suite) PowerShell (Exchange) Gerenciamento de senhas (Gmail) Integração direta (Gmail)
Políticas gerais de e-mail
Configurações de sincronização S N
Dispositivo gerenciado S S
Cliente de e-mail S S
Usuário S S
Tipo de dispositivo EAS S S
Políticas para dispositivos gerenciados
Inatividade S S
Dispositivos comprometidos S S
Criptografia S S
Modelo S S
Sistema operacional S S
Exigir perfil ActiveSync S S
Políticas de segurança de e-mail
Classificação de segurança de e-mail S N
Anexos (dispositivos gerenciados) S N
Anexos (dispositivos não gerenciados) S N
Hyperlink S N

Ative a política de conformidade de e-mail

As políticas de conformidade de e-mail disponíveis no Workspace ONE UEM console são políticas gerais de e-mail, de dispositivo gerenciado e de segurança de e-mail. Você pode ativar qualquer uma dessas políticas de conformidade de e-mail ou editar as regras dessas políticas de e-mail para permitir ou bloquear os dispositivos.

  1. Vá para E-mail > Políticas de conformidade.
  2. Use o ícone "Editar política" na coluna Ações para editar qualquer regra da política.
    Observação: As Políticas gerais de e-mail reforçam as políticas em todos os dispositivos que acessam os e-mails. Ao escolher um grupo de usuários, a política se aplica a todos os usuários desse grupo.
    Política de e-mail Descrição
    Configurações de sincronização

    Evita que o dispositivo sincronize com pastas específicas do EAS.

    • A Workspace ONE UEM impede que os dispositivos façam sincronização com as pastas selecionadas independente de qualquer outra política de conformidade.
    • Para que a política entre em vigor, é necessário publicar novamente o perfil do EAS para os dispositivos (ação que obriga os dispositivos a uma ressincronização com o servidor de e-mail).
    Dispositivo gerenciado Restringe o acesso ao e-mail somente para os dispositivos gerenciados.
    Cliente de e-mail Restringe o acesso ao e-mail para um conjunto de clientes de e-mail.
    • Você pode permitir ou bloquear clientes de e-mail com base no tipo de cliente, tal como Personalizado e Descoberto.
    • Também é possível definir ações padrão para o cliente de e-mail e para os clientes de e-mail recém-descobertos, que não são exibidos no menu suspenso "cliente de e-mail”. Os caracteres curinga (*) e o preenchimento automático são compatíveis com o tipo de cliente personalizado.
    Usuário Restringe o acesso ao e-mail para um conjunto de usuários. Você pode permitir ou bloquear o tipo de usuário que incluir Personalizado, Descoberto, Conta de usuário do Workspace ONE UEM e Grupo de usuários da AirWatch. Também é possível definir ações padrão para os nomes de usuários de e-mail que não são exibidos nos menus suspensos Nome de usuário ou Grupo. Os caracteres curinga (*) e o preenchimento automático são compatíveis com o tipo de usuário personalizado.
    Tipo de dispositivo EAS Dispositivos são permitidos ou bloqueados com base no atributo de Tipo de dispositivo EAS relatado pelo usuário final. Você pode permitir ou bloquear dispositivos com base no tipo de cliente, que inclui "Personalizado" e "Cliente de e-mail descoberto". Pode, também, definir ações padrão para tipos de dispositivos EAS que não são exibidos no campo de lista suspensa de “Tipo de dispositivo”. Os caracteres curinga (*) e o preenchimento automático são compatíveis com o tipo de cliente personalizado.
    As Políticas para dispositivos gerenciados reforçam as políticas e dispositivos gerenciados para acessar o e-mail.
    Política de e-mail Descrição
    Inatividade Impede que dispositivos gerenciados inativos tenham acesso ao e-mail. É possível especificar o número de dias que um dispositivo aparece como inativo (ou seja, que não faz o check-in no sistema da VMware AirWatch), antes do Workspace ONE UEM impedir o acesso ao e-mail. O valor mínimo aceito é 1 e o valor máximo é 32767.
    Dispositivos comprometidos Impede que dispositivos comprometidos tenham acesso ao e-mail. Esta política não bloqueia o acesso ao e-mail para aqueles dispositivos que não tenham informado um status de comprometido para a AirWatch.
    Criptografia Impede que dispositivos não criptografados tenham acesso a e-mail. Esta política é válida somente para dispositivos que tenham informado seu status de proteção de dados para a VMware AirWatch.
    Modelo Restringe o acesso ao e-mail segundo o modelo e a plataforma do dispositivo.
    Sistema operacional Restringe o acesso ao e-mail a um conjunto de sistemas operacionais de plataformas especificas.
    Exigir perfil ActiveSync Restringe o acesso de e-mail a dispositivos que não são gerenciados utilizando o perfil Exchange ActiveSync. Para clientes de e-mail configurados por meio de uma configuração de aplicativo em vez de um perfil do ActiveSync, o envio de uma configuração de aplicativo para um cliente de e-mail gerenciado garante que o cliente de e-mail esteja adequado à política de conformidade.
    As Políticas de segurança de e-mail impõem as políticas em anexos e hyperlinks. Esta política é aplicável apenas para implementações SEG. Para obter mais informações, consulte a seção Aplicação de controle de acesso ao E-mail.
    Política de e-mail Descrição
    Classificação de segurança de e-mail Define a política para o SEG utilizar em e-mails com e sem etiquetas. Você pode utilizar etiquetas predefinidas ou criar novas usando a opção Personalizar. Com base na classificação, você pode optar por permitir ou bloquear e-mails nos clientes de e-mail.
    Anexos (dispositivos gerenciados)

    Encripta anexos de e-mail dos tipos de arquivos selecionados. Estes anexos estão protegidos no dispositivo e estão somente disponíveis para visualização no VMware AirWatch Content Locker.

    Atualmente, este recurso só está disponível para dispositivos iOS e Android gerenciados com o aplicativo VMware AirWatch Content Locker. Para outros dispositivos, você pode permitir anexos de e-mail criptografados, bloquear anexos ou permitir anexos sem criptografia.
    Anexos (dispositivos não gerenciados)

    Você pode criptografar e bloquear anexos ou permitir anexos não criptografados para dispositivos não gerenciados.

    Anexos de e-mail criptografados não são visualizáveis em dispositivos não gerenciados. Este recurso destina-se a manter a integridade do e-mail. Se um e-mail com um anexo criptografado é encaminhado de um dispositivo não gerenciado, o destinatário ainda pode visualizá-lo em um PC ou outro dispositivo móvel.
    Hyperlink

    Permite que os usuários abram hyperlinks contidos em e-mails diretamente no VMware Browser, que está no dispositivo. O Secure Email Gateway modifica dinamicamente o hyperlink para abri-lo no VMware Browser. Você pode escolher o seguinte tipo de modificação:

    • Todos – Escolha este tipo para abrir todos os hyperlinks com o VMware Browser.
    • Excluir – Escolha este se não quiser que os usuários abram os domínios mencionados através do VMware Browser. Indique os domínios excluídos no campo Modifique todos os hiperlinks com exceção destes domínios. Você também pode carregar em massa os nomes de domínio usando um arquivo .csv.
    • Incluir – Decida se quer que os usuários abram os hyperlinks através do VMware Browser. Especifique os domínios incluídos no campo Apenas modifique os hyperlinks para estes domínios. Também é possível carregar nomes de domínio em massa usando também um arquivo .csv.
  3. Crie a sua regra de conformidade e clique em Salvar.
  4. Selecione o círculo cinza na coluna Ativo para ativar a política de conformidade. Uma página será exibida com um código-chave.
  5. Digite o código-chave no campo correspondente e selecione Continuar.

Resultados: a política é ativada e exibe um círculo colorido verde sob a coluna Ativo.

Proteção do conteúdo de e-mail, anexos e hyperlink

Proteja e-mail usando Workspace ONE UEM Web e Workspace ONE UEM Content.

A Workspace ONE UEM ajuda a proteger e controlar os anexos de e-mail móveis que são vulneráveis à perda de dados para dispositivos gerenciados e não gerenciados. A Workspace ONE UEM permite que os usuários abram hyperlinks em um e-mails diretamente no Workspace ONE Web presente no dispositivo. O Secure Email Gateway modifica dinamicamente o hyperlink para abri-lo no Workspace ONE Web.

Você deve ter instalado os aplicativos a seguir antes de poder começar a proteger seus anexos de e-mail:

  • Secure Email Gateway (SEG)
  • VMware Content Locker (iOS e Android)
  • Suporte para Microsoft Exchange 2010/2013/2016/2019, HCL Notes, Novell GroupWise e Gmail

Ativação da classificação de segurança de e-mail

Selecione as classificações de segurança no console UEMWorkspace ONE UEM console para o qual você deseja que o Secure Email Gateway realize uma ação.

Há uma lista de classificações de segurança pré-definidas para serem selecionadas, bem como a opção para criar sua própria classificação personalizada.

  1. Vá para E-mail > Políticas de conformidade > Políticas de segurança de e-mail.
  2. Clique no botão cinzento sob a coluna Ativo para a política de conformidade das Classificações da segurança de e-mail. Uma página será exibida com um código-chave.
  3. Digite o código-chave no campo correspondente e selecione Continuar. A política será ativada, o que é evidenciado pela cor verde na coluna Ativo.
  4. Selecione a opção Editar sob a coluna Ações.
  5. Opte por Adicionar e depois escolha o tipo de etiqueta no menu suspenso Tipo.

    As opções disponíveis são "Predefinido" e "Personalizado". Escolha uma das opções:

    • Selecione o tipo de etiqueta como Predefinido para obter uma lista de etiquetas disponíveis a partir do menu suspenso Classificação de segurança.
    • Selecione o tipo de etiqueta como Personalizado para inserir sua própria etiqueta personalizada no menu suspenso Classificação de segurança.
  6. Digite uma Descrição para a etiqueta e selecione Próximo.
  7. Configure as ações que o SEG deve tomar em relação aos e-mails marcados ou não com uma etiqueta. Clique em Próximo.

    Você pode optar por permitir ou bloquear e-mails em clientes de e-mail.

  8. Visualize o Resumo e clique em Salvar.

Para ativar a proteção ao anexo de e-mail

Proteja anexos de e-mail usando Workspace ONE UEM.

Os anexos de e-mail são de vários tipos de arquivo. No console do UEM, você pode selecionar os tipos de arquivos para os quais os anexos de e-mail devem ser criptografados pelo Secure Email Gateway. Esses anexos criptografados são protegidos nos dispositivos móveis e podem ser visualizados usando o aplicativo VMware AirWatch Content Locker.

Configurações granulares estão disponíveis para dispositivos iOS e Android gerenciados. Para outros dispositivos gerenciados e para todos os dispositivos não gerenciados, os anexos podem ser protegidos (em massa) contra a abertura em aplicativos de terceiros.

  1. Vá para E-mail > Políticas de conformidade > Políticas de segurança de e-mail.
  2. Clique no botão cinza sob a coluna Ativo para a política de conformidade referente aos Anexos (dispositivos gerenciados) ou Anexos (dispositivos não gerenciados).

    Resultados: uma página será exibida com um código-chave.

  3. Digite o código-chave no campo correspondente e selecione Continuar.

    Resultados: a política é ativada e exibe um círculo colorido verde sob a coluna Ativo.

  4. Selecione a opção Editar sob a coluna Ações.
  5. Escolha se deseja criptografar e permitir ou bloquear/permitir anexos sem criptografia para cada categoria de arquivo (apenas para dispositivos iOS e Android gerenciados).
  6. Marque a caixa de seleção Permitir que anexos sejam salvos no Content Locker para salvá-los no Content Locker.

    Resultados: os anexos permanecem criptografados e as políticas do Content Locker são aplicadas.

  7. Escolha a política para quaisquer Outros arquivos não mencionados aqui.
  8. Digite as extensões de arquivo que ainda devem ser excluídas das ações configuradas em Outros arquivos na Lista de exclusão.
  9. Insira uma Mensagem personalizada para anexos bloqueados para informar o destinatário de que um anexo foi bloqueado.
  10. Salve as configurações.

    Políticas de segurança de anexos para a tela de dispositivos gerenciados

Ativação da proteção de hyperlink

Ao usar a política de segurança de hyperlink de e-mail, você pode controlar os hyperlinks nos e-mails a serem modificados para que possam ser abertos diretamente com o Workspace ONE Web.

  1. Vá para E-mail > Políticas de conformidade > Políticas de segurança de e-mail.
  2. Clique no botão cinzento sob a coluna Ativo para a política de conformidade do Hyperlink.

    Resultados: uma página será exibida com um código-chave.

  3. Digite o código-chave no campo correspondente e selecione Continuar.

    Resultados: a política é ativada e exibe um círculo colorido verde sob a coluna Ativo.

  4. Selecione a opção Editar sob a coluna Ações.
  5. Selecione a plataforma para a qual deseja ignorar as transformações de hyperlink.
  6. Selecione um Tipo de modificação

    Escolha uma das opções:

    • Todos – Escolha este para abrir todos os hyperlinks com o Workspace ONE Web.
    • Incluir – Escolha este se deseja que os usuários do dispositivo abram os hyperlinks por meio dos domínios especificados por meio do Workspace ONE Web. Especifique os domínios incluídos no campo Apenas modifique os hyperlinks para estes domínios. Também é possível fazer o carregamento em massa de domínios usando um arquivo CSV.
    • Excluir – Escolha este se não quiser que os usuários do dispositivo abram os domínios mencionados por meio do Workspace ONE Web. Indique os domínios excluídos na caixa de texto Modifique todos os hiperlinks com exceção destes domínios. Também é possível fazer o carregamento em massa de domínios usando um arquivo CSV.
  7. Salve as configurações.