Konfigurieren Sie die Zugriffssteuerung, um einen sicheren Zugriff auf Ihre E-Mail-Infrastruktur zu ermöglichen.

E-Mail-Konformitätsrichtlinien

Da Ihre E-Mail nun erfolgreich eingesetzt ist, können Sie noch weiter gehen und Ihre mobile Mail durch das Hinzufügen von Zugriffssteuerung schützen. Diese Kontrollfunktion genehmigt nur gesicherten, konformen Geräten den Zugriff auf Ihre E-Mail-Infrastruktur. Die Zugriffssteuerung wird mithilfe von E-Mail-Konformitätsrichtlinien durchgesetzt.

Die E-Mail-Konformitätsrichtlinien erweitern die Sicherheit, indem der E-Mail-Zugriff von nicht kompatiblen, nicht verschlüsselten, inaktiven oder nicht verwalteten Geräten eingeschränkt wird. Diese Richtlinien ermöglichen Ihnen, E-Mail-Zugriff auf ausschließlich erforderliche und berechtigte Geräte zu gewähren. E-Mail-Richtlinien beschränken auch den E-Mail-Zugriff basierend auf dem Gerätemodell und den Betriebssystemen.

Diese Richtlinien werden als allgemeine E-Mail-Richtlinien, Richtlinien für verwaltete Geräte und E-Mail-Sicherheitsrichtlinien kategorisiert. Die in die einzelnen Kategorien fallenden Richtlinien und die Bereitstellungen, für die sie verwendbar sind, werden in der Tabelle aufgeführt.

In der folgenden Tabelle sind die unterstützten E-Mail-Konformitätsrichtlinien aufgeführt.

Tabelle 1. Unterstützte E-Mail-Konformitätsrichtlinien
  SEG (Exchange, HCL Traveler, G Suite) PowerShell (Exchange) Kennwortverwaltung (Gmail) Direkte Integration (Gmail)
Allgemeine E-Mail-Richtlinien
Synchronisierungseinstellungen J N
Verwaltetes Gerät J J
E-Mail-Client J J
Benutzer J J
EAS-Gerätetyp J J
Richtlinien für verwaltete Geräte
Inaktivität J J
Gerät kompromittiert J J
Verschlüsselung J J
Modell J J
Betriebssystem J J
ActiveSync-Profil verlangen J J
E-Mail-Sicherheitsrichtlinien
E-Mail-Sicherheitseinstufung J N
Anlagen (verwaltete Geräte) J N
Anlagen (nicht verwaltete Geräte) J N
Hyperlink J N

Aktivieren einer Konformitätsrichtlinie für E-Mail

Die Workspace ONE UEM Console stellt E-Mail-Konformitätsrichtlinien bereit, darunter allgemeine E-Mail-Richtlinien, Richtlinien für verwaltete Geräte und E-Mail-Sicherheitsrichtlinien. Sie können diese E-Mail-Konformitätsrichtlinien aktivieren oder die Regeln für die E-Mail Richtlinien bearbeiten, um Geräte freizugeben oder zu sperren.

  1. Navigieren Sie zu E-Mail > Konformitätsrichtlinien.
  2. Bearbeiten Sie eine Richtlinie mithilfe des Symbols „Richtlinie bearbeiten“ unter der Spalte Aktionen.
    Hinweis: Allgemeine E-Mail-Richtlinien setzen Richtlinien auf allen Geräten durch, die auf E-Mail zugreifen. Wenn Sie eine Benutzergruppe auswählen, gilt die Richtlinie für alle Benutzer dieser Gruppe.
    E-Mail-Richtlinie Beschreibung
    Synchronisierungseinstellungen

    Verhindern Sie die Synchronisierung des Geräts mit bestimmten EAS-Ordnern.

    • Workspace ONE UEM verhindert die Synchronisierung der Geräte mit den ausgewählten Ordnern ungeachtet anderer Konformitätsrichtlinien.
    • Damit die Richtlinie in Kraft treten kann, ist es nötig, dass die EAS-Profile für die Geräte erneut veröffentlicht werden. (Dies bedingt, dass Geräte mit dem E-Mail-Server erneut synchronisiert werden.)
    Verwaltetes Gerät Schränken Sie den E-Mail-Zugriff auf verwaltete Geräte ein.
    E-Mail-Client Beschränken Sie den E-Mail-Zugriff auf eine Reihe von Mailclients.
    • Sie können Mailclients nach Clienttyp genehmigen oder blockieren, beispielsweise nach Benutzerdefiniert und Erkannt.
    • Sie können auch Standardaktionen für den Mailclient sowie neu ermittelte Mailclients festlegen, die nicht im Mailclient-Dropdown-Menü angezeigt werden. Bei benutzerdefinierten Clienttypen werden Platzhalter (*) sowie AutoVervollständigung unterstützt.
    Benutzer Beschränken Sie den E-Mail-Zugriff auf eine Reihe von Benutzern. Sie können Benutzertypen zulassen oder blockieren, darunter „Benutzerdefiniert“, „Erkannt“, „Workspace ONE UEM-Benutzerkonto“ und „Workspace ONE UEM-Benutzergruppe“. Sie können auch Standardaktionen für E-Mail-Benutzernamen festlegen, die nicht im Dropdown-Menü „Benutzername“ oder „Gruppe“ angezeigt werden. Bei benutzerdefinierten Benutzertypen werden Platzhalter (*) sowie AutoVervollständigung unterstützt.
    EAS-Gerätetyp Einfügen der Geräte in eine Positiv- oder Negativliste, je nach dem von dem Endbenutzergerät berichteten EAS-Gerätetyp-Attribut. Sie können Geräte nach dem Clienttyp, einschließlich eines benutzerdefinierten oder erkannten Mailclients, genehmigen oder blockieren. Sie können auch Standardaktionen für die EAS-Gerätetypen festlegen, die nicht im Dropdown-Feld „Gerätetyp“ angezeigt werden. Bei benutzerdefinierten Clienttypen werden Platzhalter (*) sowie AutoVervollständigung unterstützt.
    Richtlinien für verwaltete Geräte setzen Richtlinien auf verwalteten Geräten durch, die auf E-Mails zugreifen.
    E-Mail-Richtlinie Beschreibung
    Inaktivität Verhindern Sie, dass inaktive verwaltete Geräte auf E-Mail zugreifen. Sie können die Anzahl der Tage bestimmen, die ein Gerät als inaktiv angezeigt wird (d. h. nicht bei VMware AirWatch eincheckt), bevor Workspace ONE UEM den E-Mail-Zugriff sperrt. Der akzeptierte Minimalwert ist 1 und der Maximalwert ist 32767.
    Gerät kompromittiert Verhindern Sie, dass kompromittierte Geräte auf E-Mail zugreifen. Diese Richtlinie blockiert den E-Mail-Zugriff nicht für Geräte, die AirWatch ihren Status nicht als kompromittiert gemeldet haben.
    Verschlüsselung Verhindern des E-Mail-Zugriffs für unverschlüsselte Geräte. Diese Richtlinie gilt nur für Geräte, die VMware AirWatch den Datenschutzstatus gemeldet haben.
    Modell Schränken Sie E-Mail-Zugriff nach Geräteplattform und -modell ein.
    Betriebssystem Einschränken des E-Mail-Zugriffs auf eine Reihe von Betriebssystemen für bestimmte Plattformen.
    ActiveSync-Profil verlangen Einschränken des E-Mail-Zugriffs auf Geräte, die nicht mithilfe eines Exchange ActiveSync-Profils verwaltet werden. Für E-Mail-Clients, die über eine Anwendungskonfiguration anstelle eines ActiveSync-Profils konfiguriert werden, stellt das Versenden einer Anwendungskonfiguration an einen verwalteten E-Mail-Client sicher, dass der E-Mail-Client mit der Konformitätsrichtlinie übereinstimmt.
    E-Mail-Sicherheitsrichtlinien setzen Richtlinien für Anlagen und Hyperlinks durch. Diese Richtlinie gilt ausschließlich für SEG-Einsätze. Weitere Informationen finden Sie im Abschnitt Durchsetzung der E-Mail-Zugriffskontrolle.
    E-Mail-Richtlinie Beschreibung
    E-Mail-Sicherheitseinstufung Legen Sie die Richtlinie fest, anhand welcher der SEG E-Mails mit und ohne Tags annehmen soll. Sie können die vordefinierten Tags verwenden oder über die Option „Benutzerdefiniert“ neue Tags erstellen. Auf Grundlage der Einstufung können Sie die E-Mail in E-Mail-Clients entweder zulassen oder blockieren.
    Anlagen (verwaltete Geräte)

    Verschlüsseln Sie E-Mail-Anlagen für ausgewählte Dateitypen. Diese Anlagen werden auf dem Gerät gesichert und können nur in VMware AirWatch Content Locker eingesehen werden.

    Zurzeit ist diese Funktion nur auf verwalteten iOS- und Android-Geräten mit der VMware AirWatch Content Locker-Anwendung verfügbar. Für andere verwaltete Geräte können Sie wählen, ob Sie verschlüsselte Anlagen zulassen, Anlagen blockieren oder unverschlüsselte Anlagen zulassen möchten.

    Anlagen (nicht verwaltete Geräte)

    Verschlüsseln und blockieren Sie Anlagen oder genehmigen Sie unverschlüsselte Anlagen für nicht verwaltete Geräte.

    Verschlüsselte E-Mail-Anlagen sind auf nicht verwalteten Geräten nicht einsehbar. Diese Funktion ist darauf ausgerichtet, E-Mail-Integrität intakt zu halten. Sollte eine E-Mail mit einer verschlüsselten Anlage von einem nicht verwalteten Gerät weitergeleitet werden, kann der Empfänger die Anlage dennoch auf einem PC oder einem anderen Mobilgerät einsehen.

    Hyperlink

    Geben Sie Anwendern die Möglichkeit, in einer E-Mail enthaltene Hyperlinks direkt mit dem auf dem Gerät befindlichen VMware Browser zu öffnen. Das Secure Email Gateway führt eine dynamische Modifizierung des Hyperlinks aus, wodurch dieses in VMware Browser geöffnet wird. Sie können einen der folgenden Modifizierungstypen wählen:

    • Alle – Wählen Sie diese Option, wenn alle Hyperlinks mit VMware Browser geöffnet werden sollen.
    • Ausschließen – Wählen Sie diese Option, wenn die Geräteanwender die hier aufgelisteten Domänen nicht mit VMware Browser öffnen sollen. Geben Sie die ausgeschlossenen Domänen in das Feld Alle Hyperlinks mit Ausnahme dieser Domänen modifizieren ein. Falls gewünscht, können Sie die Domänennamen en masse aus einer CVS-Datei hochladen.
    • Einschließen – Wählen Sie diese Option, wenn die Geräteanwender die Hyperlinks bestimmter Domänen in VMware Browser öffnen sollen. Geben Sie die eingeschlossenen Domänen in das Feld Hyperlinks nur für folgende Domänen modifizieren ein. Falls gewünscht, können Sie die Domänennamen summarisch aus einer CSV-Datei hochladen.
  3. Erstellen Sie Ihre Konformitätsregel und Speichern Sie diese.
  4. Wählen Sie den grauen Kreis unter der Spalte Aktiv, um die Konformitätsrichtlinie zu aktivieren. Eine Seite mit einem Schlüsselcode wird eingeblendet.
  5. Geben Sie den Schlüsselcode in das entsprechende Feld ein und wählen Sie Weiter.

Ergebnisse: Die Richtlinie ist aktiviert und wird in der Spalte Aktiv als grüner Kreis angezeigt.

Schützen von E-Mail-Inhalten, -Anlagen und -Hyperlinks

Schützen Sie Ihre E-Mails mithilfe von Workspace ONE UEM Web und Workspace ONE UEM Content.

Workspace ONE UEM unterstützt Sie beim Schutz und bei der Steuerung von E-Mail-Anlagen auf mobilen Geräten, bei denen Datenverlust möglich ist. Dies gilt sowohl für verwaltete als auch für nicht verwaltete Geräte. Mit Workspace ONE UEM können Gerätebenutzer in einer E-Mail enthaltene Hyperlinks öffnen – direkt mit dem auf dem Gerät befindlichen Workspace ONE Web. Das Secure Email Gateway führt eine dynamische Modifizierung des Hyperlinks aus, wodurch dieses in Workspace ONE Web geöffnet wird.

Sie müssen die folgenden Anwendungen installiert haben, bevor Sie mit dem Schutz Ihrer E-Mail-Anlagen beginnen können:

  • Secure Email Gateway (SEG)
  • VMware Content Locker (iOS und Android)
  • Unterstützung für Microsoft Exchange 2010/2013/2016/2019, HCL Notes, Novell GroupWise und Gmail

Aktivieren der E-Mail-Sicherheitseinstufung

Wählen Sie die Sicherheitseinstufungen auf der UEM-Konsole Workspace ONE UEM Console, für die das Secure Email Gateway Maßnahmen ergreifen soll.

Sie können aus einer Liste von vordefinierten Sicherheitseinstufungen auswählen oder eine eigene Sicherheitseinstufung erstellen.

  1. Navigieren Sie zu E-Mail > Konformitätsrichtlinien > E-Mail-Sicherheitsrichtlinien.
  2. Wählen Sie den grauen Kreis unter der Spalte Aktiv für die Konformitätsrichtlinie E-Mail-Sicherheitseinstufung. Eine Seite mit einem Schlüsselcode wird eingeblendet.
  3. Geben Sie den Schlüsselcode in das entsprechende Feld ein und wählen Sie Weiter. Damit wird die Richtlinie aktiviert und unter der Spalte Aktiv als grüner Kreis angezeigt.
  4. Wählen Sie die Option Bearbeiten unter der Spalte Aktionen.
  5. Wählen Sie Hinzufügen und anschließend die Art des Tags im Dropdown-Menü Typ.

    Verfügbare Optionen sind „Vordefiniert“ und „Benutzerdefiniert“. Zur Auswahl:

    • Wählen Sie den Tagtyp „Vordefiniert“, um im Dropdown-Menü Sicherheitseinstufung eine Liste der verfügbaren Tags zu erhalten.
    • Wählen Sie den Tagtyp „Benutzerdefiniert“, um im Feld Sicherheitseinstufung Ihr eigenes benutzerdefiniertes Tag einzugeben.
  6. Geben Sie für das Tag eine Beschreibung ein und wählen Sie Weiter.
  7. Konfigurieren Sie die Maßnahmen, die SEG gegen E-Mails mit bzw. ohne Tag ergreifen soll. Wählen Sie Weiter.

    Sie können beispielsweise E-Mails in E-Mail-Clients genehmigen oder blockieren.

  8. Prüfen Sie die Zusammenfassung und klicken Sie auf Speichern.

Aktivieren des E-Mail-Anlagenschutzes

Schützen Sie E-Mail-Anlagen mit Workspace ONE UEM.

E-Mail-Anhänge können unterschiedliche Dateitypen sein. Auf der UEM-Konsole können Sie die Dateitypen auswählen, für die die E-Mail-Anlagen durch das Secure Email Gateway verschlüsselt werden müssen. Diese verschlüsselten Anlagen werden auf den Mobilgeräten gesichert und können über die Anwendung VMware AirWatch Content Locker angezeigt werden.

Präzise Einstellungen sind für verwaltete iOS- und Android-Geräte verfügbar. Im Fall von anderen verwalteten und nicht verwalteten Geräten können Anlagen (summarisch) vor der Öffnung in Anwendungen von Drittanbietern geschützt werden.

  1. Navigieren Sie zu E-Mail > Konformitätsrichtlinien > E-Mail-Sicherheitsrichtlinien.
  2. Wählen Sie den grauen Kreis unter der Spalte Aktiv für die Konformitätsrichtlinien Anlagen (verwaltete Geräte) oder Anlagen (nicht verwaltete Geräte) aus.

    Ergebnisse: Eine Seite mit einem Schlüsselcode wird eingeblendet.

  3. Geben Sie den Schlüsselcode in das entsprechende Feld ein und wählen Sie Weiter.

    Ergebnisse: Die Richtlinie ist aktiviert und wird in der Spalte Aktiv als grüner Kreis angezeigt.

  4. Wählen Sie die Option Bearbeiten unter der Spalte Aktionen.
  5. Wählen Sie für jede Dateikategorie, ob Anlagen verschlüsselt und zugelassen oder blockiert bzw. ohne Verschlüsselung zugelassen werden sollen (nur für verwaltete iOS- und Android-Geräte).
  6. Aktivieren Sie das Kontrollkästchen Speichern von Anlagen in Content Locker zulassen, um Anlagen in Content Locker zu speichern.

    Ergebnisse: Anlagen bleiben verschlüsselt und die Content Locker-Richtlinien gelten.

  7. Wählen Sie die Richtlinie für mögliche Andere Dateien, die hier nicht erwähnt sind.
  8. Geben Sie Dateierweiterungen, die von in Andere Dateien konfigurierten Aktionen ausgeschlossen werden sollen, in die Ausschlussliste ein.
  9. Geben Sie eine benutzerdefinierte Nachricht für blockierte Anlagen ein, um den Empfänger darüber zu informieren, dass eine Anlage blockiert wurde.
  10. Speichern Sie die Einstellungen.

    Bildschirm Anhang Sicherheitsrichtlinien für verwaltete Geräte

Aktivieren des Hyperlink-Schutzes

Mithilfe der Hyperlink-E-Mail-Sicherheitsrichtlinien können Sie Hyperlinks in den E-Mails so einrichten, dass diese direkt mit Workspace ONE Web geöffnet werden können.

  1. Navigieren Sie zu E-Mail > Konformitätsrichtlinien > E-Mail-Sicherheitsrichtlinien.
  2. Wählen Sie den grauen Kreis unter der Spalte Aktiv für die Konformitätsrichtlinie Hyperlink.

    Ergebnisse: Eine Seite mit einem Schlüsselcode wird eingeblendet.

  3. Geben Sie den Schlüsselcode in das entsprechende Feld ein und wählen Sie Weiter.

    Ergebnisse: Die Richtlinie ist aktiviert und wird in der Spalte Aktiv als grüner Kreis angezeigt.

  4. Wählen Sie die Option Bearbeiten unter der Spalte Aktion.
  5. Wählen Sie die Plattform, für die Sie die Hyperlink-Umwandlungen ignorieren möchten.
  6. Wählen Sie einen der folgenden Modifizierungstypen:

    Zur Auswahl:

    • Alle – Wählen Sie diese Option, wenn alle Hyperlinks mit Workspace ONE Web geöffnet werden sollen.
    • Einschließen – Wählen Sie diese Option, wenn die Gerätebenutzer die Hyperlinks bestimmter Domänen in Workspace ONE Web öffnen sollen. Geben Sie die eingeschlossenen Domänen in das Feld Hyperlinks nur für folgende Domänen modifizieren ein. Falls gewünscht, können Sie die Domänennamen summarisch aus einer CSV-Datei hochladen.
    • Ausschließen – Wählen Sie diese Option, wenn die Gerätebenutzer die hier aufgelisteten Domänen nicht mit dem Workspace ONE Web öffnen sollen. Geben Sie die ausgeschlossenen Domänen in das Textfeld Alle Hyperlinks mit Ausnahme dieser Domänen modifizieren ein. Falls gewünscht, können Sie die Domänennamen summarisch aus einer CSV-Datei hochladen.
  7. Speichern Sie die Einstellungen.