配置访问控制,以提供对您的电子邮件基础架构的安全访问。

电子邮件合规策略

部署了电子邮件之后,您可以通过添加访问控制,进一步加强对移动电子邮件的保护。访问控制功能只允许安全和合规设备访问您的邮件基础架构。访问控制是借助电子邮件合规策略强制实施的。

电子邮件合规策略通过将电子邮件访问权限限定于不合规、未加密、非活跃或未纳管设备来提高安全性。这些策略允许您只向所需设备和已批准设备提供电子邮件访问权限。电子邮件策略还会根据设备型号和操作系统限制电子邮件访问权限。

这些策略分为常规电子邮件策略、纳管设备策略和电子邮件安全策略。下表列出了属于每个类别的不同策略及其适用的部署。

下表列出了受支持的电子邮件合规策略。

表 1. 受支持的电子邮件合规策略
  SEG(Exchange、HCL Traveler、G Suite) PowerShell (Exchange) 密码管理 (Gmail) 直接集成 (Gmail)
常规电子邮件策略
同步设置 Y
纳管设备 Y Y
邮件客户端 Y Y
用户 Y Y
EAS 设备类型 Y Y
纳管设备策略
非活跃状态 Y Y
破解设备 Y Y
加密 Y Y
型号 Y Y
操作系统 Y Y
需要 ActiveSync 配置文件 Y Y
电子邮件安全策略
电子邮件安全等级 Y
附件(纳管设备) Y
附件(未纳管设备) Y
超链接 Y

激活电子邮件合规策略

Workspace ONE UEM console 上可用的电子邮件合规策略包括常规电子邮件策略、纳管设备策略和电子邮件安全策略。您可以激活其中任何电子邮件合规策略,也可以编辑这些电子邮件策略的规则以允许或阻止设备。

  1. 导航到电子邮件 > 合规策略
  2. 使用操作列下的编辑策略图标可编辑策略的任何规则。
    注: 常规电子邮件策略将对所有访问电子邮件的设备强制执行策略。选择用户组时,策略将应用于该组的所有用户。
    电子邮件策略 说明
    同步设置

    防止设备与特定 EAS 文件夹同步。

    • 无论其他合规策略如何规定,Workspace ONE UEM 都禁止设备与选定的文件夹同步。
    • 要让此策略生效,必须向设备重新发布 EAS 配置文件(从而强迫设备与电子邮件服务器重新进行同步)
    纳管设备 仅将电子邮件访问限定在纳管设备。
    邮件客户端 将电子邮件访问限定于一组邮件客户端。
    • 您可以基于自定义已发现等客户端类型来允许或屏蔽各种邮件客户端
    • 您还可以为邮件客户端以及未显示在“邮件客户端”下拉菜单中的新发现的邮件客户端设置默认操作。对于自定义客户端类型,可支持通配符 (*) 字符和自动完成功能。
    用户 将电子邮件访问限定于一组用户。您可以允许或阻止包括“自定义”、“已发现”、“Workspace ONE UEM 用户帐户”和“用户组”在内的用户类型。您还可以为未显示在“用户名”或“组”下拉菜单中的电子邮件用户名设置默认操作。对于自定义用户类型,可支持通配符 (*) 字符和自动完成功能。
    EAS 设备类型 根据最终用户设备报告的 EAS 设备类型属性,将设备分别列入允许列表或拒绝列表。您可以基于客户端类型(包括自定义和已发现的邮件客户端)来允许或屏蔽设备。您还可以为未显示在“设备类型”下拉字段中的 EAS 设备类型设置默认操作。对于自定义客户端类型,可支持通配符 (*) 字符和自动完成功能。
    纳管设备策略将对访问电子邮件的纳管设备强制执行策略。
    电子邮件策略 说明
    非活跃状态 禁止非活跃的纳管设备访问电子邮件。您可以指定在 Workspace ONE UEM 禁止访问电子邮件之前设备显示为非活跃状态(即未签入 VMware AirWatch)的天数。接受的最小值为 1,最大值为 32767。
    破解设备 禁止破解设备访问电子邮件。此策略不会阻止尚未向 AirWatch 报告破解状态的设备访问电子邮件。
    加密 禁止未加密的设备访问电子邮件。此策略只适用于已向 VMware AirWatch 报告数据保护状态的设备。
    型号 根据设备的平台和型号限制电子邮件访问。
    操作系统 将电子邮件访问限定于一组特定平台的操作系统。
    需要 ActiveSync 配置文件 将电子邮件访问限定于并非通过 Exchange ActiveSync 配置文件管理的设备。对于通过应用程序配置而非 ActiveSync 配置文件配置的电子邮件客户端,将应用程序配置发送到受管电子邮件客户端可确保电子邮件客户端符合合规策略。
    电子邮件安全策略将对附件和超链接强制执行策略。该策略仅适用于 SEG 部署。有关详细信息,请参阅电子邮件访问控制强制实施部分。
    电子邮件策略 说明
    电子邮件安全等级 定义 SEG 对有标签和无标签电子邮件采取的策略。您可以使用预定义标签,或使用自定义选项创建标签。根据等级的不同,您可以在电子邮件客户端中选择允许或屏蔽电子邮件。
    附件(纳管设备)

    加密所选文件类型的电子邮件附件。这些附件在设备上是安全的,并且只能在 VMware AirWatch Content Locker 上查看。

    当前,此功能仅在带有 VMware AirWatch Content Locker 应用程序的受管 iOS 和 Android 设备中可用。对于其他纳管设备,您可以选择允许加密的附件、屏蔽附件或允许未加密的附件。
    附件(未纳管设备)

    加密和屏蔽附件,或允许非纳管设备未加密的附件。

    未纳管的设备无法查看加密的电子邮件附件。此功能旨在维护电子邮件的完整性。如果从未纳管设备转发具有加密附件的电子邮件,则收件人仍然可以在计算机或其他移动设备上查看附件。
    超链接

    允许设备用户使用设备上安装的 VMware Browser 直接打开电子邮件中包含的超链接。Secure Email Gateway 可动态修改超链接以在 VMware Browser 中打开。您可以选择以下“修改类型”之一:

    • 全部 - 选择使用 VMware Browser 打开所有超链接。
    • 排除 - 如果您不希望设备用户通过 VMware Browser 打开提及的域,则选择该选项。在修改所有超链接,但这些域名除外字段中提及被排除的域。您也可以使用一份 .csv 文件批量上传域名。
    • 包含 - 如果您希望设备用户通过 VMware Browser 打开指定域的超链接,则选择该选项。在仅修改这些域名的超链接字段中提及所包含的域。您还可以使用 .csv 文件批量上传域名。
  3. 创建您的合规规则,然后单击保存
  4. 选择活跃列下的灰色圆圈以激活合规策略。系统将显示一个包含密钥代码的页面。
  5. 在相应字段输入密钥代码,然后选择继续

结果:此时策略已激活,并在活跃列下显示为绿色圆圈。

电子邮件内容、附件和超链接保护

使用 Workspace ONE UEM Web 和 Workspace ONE UEM Content 确保电子邮件安全。

Workspace ONE UEM 可帮助您保护和控制易导致纳管和未纳管设备数据丢失的移动电子邮件附件。Workspace ONE UEM 允许设备用户直接使用设备上安装的 Workspace ONE Web 打开电子邮件中的超链接。Secure Email Gateway 可动态修改超链接以在 Workspace ONE Web 中打开。

您必须安装以下应用程序才能开始保护电子邮件附件:

  • Secure Email Gateway (SEG)
  • VMware Content Locker(iOS 和 Android)
  • 支持 Microsoft Exchange 2010/2013/2016/2019、HCL Notes、Novell GroupWise 和 Gmail

启用电子邮件安全等级

在 UEM Console Workspace ONE UEM console 上选择希望 Secure Email Gateway 对其采取措施的安全等级。

系统提供了一个可供选择的预定义安全等级的列表,以及用于创建您自己的自定义等级的选项。

  1. 导航到电子邮件 > 合规策略 > 电子邮件安全策略
  2. 选择电子邮件安全等级合规策略的活跃列下的灰色圆圈。系统将显示一个包含密钥代码的页面。
  3. 在相应字段输入密钥代码,然后选择继续。此时策略已激活,并在活跃列下显示为绿色圆圈。
  4. 操作列下选择编辑选项。
  5. 选择添加,然后从类型下拉菜单中选择标记类型。

    可用选项为“预定义”和“自定义”。选择来源:

    • 选取“预定义”作为标记类型会在安全等级下拉菜单中显示一个可用标记列表。
    • 选择“自定义”作为标记类型,在安全等级字段中输入您自己的自定义标记。
  6. 输入标记的描述,然后选择下一步
  7. 配置 SEG 应对带标记或不带标记的电子邮件采取的操作。选择下一步

    您可以在电子邮件客户端上选择允许或阻止电子邮件。

  8. 查看摘要,然后单击保存

启用电子邮件附件保护

使用 Workspace ONE UEM 保护电子邮件附件。

电子邮件附件具有各种文件类型。在 UEM Console 上,您可以选择必须通过 Secure Email Gateway 加密的电子邮件附件的文件类型。这些加密的附件在移动设备上是安全的,并且可以使用 VMware AirWatch Content Locker 应用程序进行查看。

粒度设置适用于受管 iOS 和 Android 设备。可对其他纳管设备和所有未纳管设备的附件 (批量)加以保护,使之无法在第三方应用中打开。

  1. 导航到电子邮件 > 合规策略 > 电子邮件安全策略
  2. 选择附件(纳管设备)附件(未纳管设备)合规策略的活跃列下的灰色圆圈。

    结果:系统将显示一个包含密钥代码的页面。

  3. 在相应字段输入密钥代码,然后选择继续

    结果:此时策略已激活,并在活跃列下表示为绿色圆圈。

  4. 操作列下选择编辑选项。
  5. 针对每个文件类别选择是要“加密并允许附件”、“屏蔽附件”还是“允许未加密附件”(仅适用于受管 iOS 和 Android 设备)。
  6. 选中允许将附件保存在 Content Locker 复选框,以便在 Content Locker 内保存附件。

    结果:附件将保持加密状态,且 Content Locker 策略适用。

  7. 为此处未提及的任何其他文件选择策略。
  8. 其他文件排除列表的配置过程中,输入应从操作排除的文件扩展名。
  9. 输入屏蔽附件的自定义消息,通知收件人附件已被屏蔽。
  10. 保存设置。

    受管设备的附加安全策略屏幕

启用超链接保护

使用超链接电子邮件安全策略,您可以控制电子邮件中要修改的超链接,以便可以使用 Workspace ONE Web 直接打开这些超链接。

  1. 导航到电子邮件 > 合规策略 > 电子邮件安全策略
  2. 选择超链接合规策略的活跃列下的灰色圆圈。

    结果:系统将显示一个包含密钥代码的页面。

  3. 在相应字段输入密钥代码,然后选择继续

    结果:此时策略已激活,并在活跃列下表示为绿色圆圈。

  4. 操作列下选择编辑选项。
  5. 选择要忽略超链接转换的平台。
  6. 选择其中一种修改类型

    选择来源

    • 全部 - 选择使用 Workspace ONE Web 打开所有超链接。
    • 包含 - 如果您希望设备用户通过 Workspace ONE Web 打开指定域的超链接,则选择该选项。在仅修改这些域名的超链接字段中提及所包含的域。您还可以使用 CSV 文件批量上传域名。
    • 排除 - 如果您不希望设备用户通过 Workspace ONE Web 打开提及的域,则选择该选项。在修改所有超链接,但这些域名除外文本框中提及被排除的域。您还可以使用 CSV 文件批量上传域名。
  7. 保存设置。