Bereitstellungsmodelle für die E-Mail-Infrastrukturverwaltung

Um Ihre E-Mail-Infrastruktur zu schützen und zu verwalten, bietet Workspace ONE UEM zwei Arten von Bereitstellungsmodellen: das Proxymodell und das direkte Modell.

Sie können eines der folgenden E-Mail-Bereitstellungsmodelle mit den E-Mail-Richtlinien kombinieren, die Sie in der UEM-Konsole definieren. Auf diese Weise können Sie Ihre mobilen Geräte effektiv verwalten.

Im Proxy-Bereitstellungsmodell wird ein eigener Server, der so genannte SEG-Proxyserver (Secure Email Gateway), zwischen dem Workspace ONE-Server und dem E-Mail-Server des Unternehmens platziert. Dieser Proxyserver filtert alle Anforderungen von den Geräten an den E-Mail-Server heraus und leitet den Datenverkehr nur von den genehmigten Geräten weiter. Auf diese Weise ist der E-Mail-Server des Unternehmens geschützt und kommuniziert nicht direkt mit den mobilen Geräten.
Beim direkten Bereitstellungsmodell gibt es keinen Proxyserver und Workspace ONE UEM kommuniziert direkt mit den E-Mail-Servern. Da kein Proxyserver vorhanden ist, vereinfacht dies die Installations- und Konfigurationsschritte in diesem Modell.

Hinweis: Das Proxy-Bereitstellungsmodell hat zwei Varianten: die SEG-Plattformen Classic und V2. Die SEG-Plattform Classic wird nicht mehr unterstützt, da die V2-Plattform bessere Leistung bietet. Die SEG-Plattform V2 kann mit minimalen Ausfallzeiten auf einem vorhandenen SEG-Server installiert werden, und bei Upgrades sind keine Profiländerungen oder Endbenutzer-Interaktionen erforderlich.


Bereitstellungsmodell	Konfigurationsmodus	E-Mail-Infrastruktur
Proxy-Bereitstellungsmodell	Microsoft Exchange 2010/2013/2016 Exchange Office 365	Microsoft Exchange 2010/2013/2016/2019 Exchange Office 365 HCL Domino mit HCL Gmail
Direktes Bereitstellungsmodell – PowerShell	PowerShell-Modell	Microsoft Exchange 2010/2013/2016/2019 Microsoft Office 365
Direktes Bereitstellungsmodell – Gmail	Gmail

Hinweis: Workspace ONE UEM unterstützt nur diejenigen Versionen von Drittanbieter-E-Mail-Servern, die zurzeit auch von dem Anbieter des E-Mail-Servers unterstützt werden. Sobald der Anbieter seine Unterstützung für eine Serverversion beendet, unterstützt auch Workspace ONE UEM die Integration in diese veraltete Version nicht mehr.

Secure Email Gateway-Proxymodell

Der Secure Email Gateway-Proxyserver (SEG) ist ein separater Server, der im Einklang mit Ihrem vorhandenen E-Mail-Server installiert wird und sämtlichen, zu Mobilgeräten gehenden E-Mail-Verkehr per Proxy weiterleitet. Auf Grundlage der Einstellungen, die Sie in der UEM-Konsole festlegen, trifft der SEG-Proxyserver für jedes von ihm verwaltete Mobilgerät Entscheidungen darüber, ob und welche Daten zugelassen oder blockiert werden.

Der SEG Proxy-Server filtert alle Kommunikationsanforderungen an den E-Mail-Server des Unternehmens heraus und leitet den Verkehr nur von genehmigten Geräten weiter. Diese Art der Übertragung schützt den E-Mail-Server des Unternehmens, indem allen Geräten die Kommunikation damit untersagt wird.

Installieren Sie den SEG-Server in Ihrem Netzwerk, damit er mit dem E-Mail-Verkehr Ihres Unternehmens im Einklang steht. Sie können den SEG-Server auch in einer Demilitarized Zone (DMZ) oder hinter einem Reverseproxy installieren. Sie müssen den SEG-Server in Ihrem Rechenzentrum hosten, unabhängig davon, ob sich Ihr Workspace ONE-MDM-Server in der Cloud oder lokal befindet.

SEG-Architektur für Cloud/lokal

Direkte Bereitstellung – PowerShell-Modell

Im PowerShell-Modell nimmt Workspace ONE UEM eine PowerShell-Administratorrolle an und erteilt Befehle an die EAS-Infrastruktur (Exchange ActiveSync), den Zugriff auf E-Mail nach den in der UEM console festgelegten Richtlinien zuzulassen oder zu verweigern. PowerShell-Bereitstellungen erfordern keinen separaten E-Mail-Proxyserver, und der Installationsvorgang ist einfacher.

PowerShell-Bereitstellungen sind für Unternehmen geeignet, die Microsoft Exchange 2010, 2013, 2016, 2019 oder Office 365 einsetzen.

PowerShell Office 365 - Bereitstellungsmodell

Es gibt zwei Methoden, bei denen die Ausgabe der PowerShell-Befehle davon abhängt, wo sich der Workspace ONE UEM-Server und der Exchange-Server befinden:

Der Workspace ONE-Server ist in der Cloud eingerichtet, der Exchange-Server jedoch lokal: Die PowerShell-Befehle werden vom Workspace ONE UEM-Server erteilt. VMware Enterprise Systems Connector richtet die PowerShell-Sitzung mit dem E-Mail-Server ein.
Der Workspace ONE UEM-Server und der E-Mail-Server sind lokal eingerichtet: Der Workspace ONE UEM-Server richtet die PowerShell-Sitzung direkt mit dem E-Mail-Server ein. Hier ist ein VMware Enterprise Systems Connector-Server nur erforderlich, wenn der Workspace ONE UEM-Server mit dem E-Mail-Server nicht direkt kommunizieren kann.

PowerShell Microsoft 2010 Exchange-Modell in der Cloud und lokal bereitgestellt

Wenn Sie Unterstützung bei der Wahl zwischen dem Secure Email Gateway- und PowerShell-Bereitstellungsmodell benötigen, finden Sie Hinweise unter „Empfehlungen von Workspace ONE UEM“.

Direktes Gmail-Modell

Integrieren Sie den Workspace ONE UEM-Server in Google.

Organisationen, die die Gmail-Infrastruktur verwenden, wissen meistens, wie schwierig es ist, E-Mail-Endpunkte für Gmail abzusichern und E-Mails daran zu hindern, den sicheren Endpunkt zu umgehen. Workspace ONE UEM adressiert diese Herausforderungen durch Bereitstellung einer flexiblen und sicheren Integrationsmethode für Ihre E-Mail-Infrastruktur.

Im direkten Gmail-Bereitstellungsmodell kommuniziert der Workspace ONE UEM-Server direkt mit Google. Abhängig von den Sicherheitsanforderungen kann Workspace ONE das Google-Kennwort eines Benutzers verwalten und den Zugriff auf die Mailbox des Benutzers steuern.

Direktes Google- Bereitstellungsmodell

API-Aufrufe für Google Suite – Sie können die in API-Aufrufen für Google Suite verwendeten Attribute anpassen, indem Sie anstelle der E-Mail-Adresse des Benutzers ein alternatives Attribut angeben. Standardmäßig wird die E-Mail-Adresse des Benutzers verwendet. Weitere Informationen zum Konfigurieren des direkten Gmail-Modells finden Sie unter Integrieren des direkten Modells mit Kennwortverwaltung.

MEM-Einsatzmodellmatrix

Verwenden Sie die folgende Funktionsmatrix, um die in den verschiedenen MEM-Bereitstellungsmodellen verfügbaren Funktionen zu vergleichen.

Office 365 verlangt eine weitergehende Konfiguration für das SEG-Proxymodell. Für cloudbasierte E-Mail-Server empfiehlt Workspace ONE UEM das Direktmodell der Integration. Weitere Informationen finden Sie im Abschnitt „Empfehlungen von Workspace ONE UEM“.


✓	Unterstützt	□	Nicht von Workspace ONE UEM unterstützt
X	Funktion nicht verfügbar	Entf.	Nicht zutreffend

Tabelle 1. Bereitstellungsmatrix
	SEG-Proxymodell			Direktmodell
	Exchange 2010/2013/2016/2019 Office 365	HCL Notes Traveler	Google	Office 365 (PowerShell)	Exchange 2010/2013/2016/2019 (PowerShell)	Gmail
E-Mail-Sicherheitstools
Durchgesetzte Sicherheitseinstellungen
Digitale Signaturen durch S/MIME-Fähigkeit verwenden	✓	□	□	✓	✓	Entf.
Vertrauliche Daten mit durchgesetzter Verschlüsselung schützen	✓	✓	✓	✓	✓	✓
SSL-Sicherheit durchsetzen	✓	✓	✓	✓	✓	✓
E-Mail-Anlagen- & Hyperlinksicherheit
Durchsetzen, dass Anlagen und Hyperlinks ausschließlich in VMware AirWatch Content Locker oder Workspace ONE Web geöffnet werden	✓	✓	✓	x	x	x
Automatische E-Mail-Konfiguration
Konfigurieren von E-Mail Over-the-Air auf dem Gerät	✓	✓	✓	✓	✓	✓
E-Mail-Zugriffskontrolle
Blockieren von E-Mail-Zugriff durch nicht verwaltete Geräte	✓	✓	✓	✓	✓	✓
Vorhandene, nicht verwaltete Geräte erkennen	✓	✓	✓	✓	✓	Entf.
E-Mail-Zugriff mit anpassbaren Konformitätsrichtlinien	✓	✓	✓	✓	✓	✓
Geräteverschlüsselung für E-Mail-Zugriff verwenden	✓	✓	✓	✓	✓	✓
E-Mail-Zugriff durch kompromittierte Geräte verhindern	✓	✓	✓	✓	✓	✓
E-Mail zulassen/blockieren – Mailclient	✓	✓	✓	✓	✓	x
E-Mail-Zugriffskontrolle
E-Mails zulassen/blockieren – Benutzer	✓	✓	✓	✓	✓	x
E-Mails zulassen/blockieren – Gerätemodell	✓	✓	✓	✓	✓	✓
E-Mails zulassen/blockieren – Geräte-BS	✓	✓	✓	✓	✓	✓
E-Mails zulassen/blockieren – EAS-Gerätetyp	✓	✓	✓	✓	✓	x
Verwaltungstransparenz
Statistiken zum E-Mail-Verkehr	✓	✓	✓	x	x	x
Statistiken zu den E-Mail-Clients	✓	✓	✓	x	x	x
Zertifikatsverwaltung
ZS-Integration/-Sperrung	✓	□	□	✓	✓	Entf.
Architektur
Inline Gateway (Proxy)	✓	✓	✓	Entf.	Entf.	✓
Exchange PowerShell	Entf.	Entf.	Entf.	✓	✓	Entf.
Kennwortverwaltung für Gmail	Entf.	Entf.	✓	Entf.	Entf.	✓
Verzeichnis-API-Integration für Gmail	Entf.	Entf.	Entf.	Entf.	Entf.	✓
Unterstützt
Workspace ONE Boxer für iOS und Android [^]	✓	✓	✓	✓	✓	✓
iOS-eigener E-Mail-Client	✓	✓	✓	✓	✓	✓
Android-eigener E-Mail-Client (Gmail)	✓	✓	✓	✓	✓	✓
Android HCL Notes Client*	Entf.	✓	Entf.	Entf.	Entf.	Entf.

*E-Mail-Anlagen- und Hyperlinksicherheit wird auf dem Android HCL Notes-Client nicht unterstützt.

+ Exchange 2003 wird nicht unterstützt.

^ Exchange 2003, "ActiveSync-Profil verlangen" sowie Multi-MEM werden für Workspace ONE Boxer nicht unterstützt.

Empfehlungen von Workspace ONE UEM

In diesem Abschnitt werden die von Workspace ONE UEM unterstützten Funktionen und die geeigneten Bereitstellungsgrößen aufgeführt. Verwenden Sie die Entscheidungsmatrix, um den für Sie am besten geeigneten Bereitstellungstyp zu wählen.

Anlagenverschlüsselung

Mit durchgesetzter Anlagenverschlüsselung auf Ihren Mobilgeräten kann Workspace ONE UEM bei der Absicherung Ihrer E-Mail-Anlagen helfen, ohne dabei die Endbenutzererfahrung zu beeinträchtigen.


	Systemeigen	Traveler	Workspace ONE Boxer
iOS	✓
Android	✓
SEG unterstützt die Anlagenverschlüsselung und Hyperlinktransformation in Workspace ONE Boxer nur, wenn diese Funktionen für die Boxer-App-Konfiguration in der UEM-Konsole aktiviert werden. SEG unterstützt Anlagenverschlüsselung bei Exchange 2010/2013/2016/2019 und Office 365.

Hinweis:

SEG verschlüsselt keine Anlagen für Workspace ONE Boxer, aber DLP kann auf Anwendungsebene erzwungen werden.

E-Mail-Verwaltung

In der Liste erfahren Sie, wie Sie die größtmögliche Sicherheit bei einfachstem Bereitstellungs- und Verwaltungsaufwand erzielen können.


E-Mail-Infrastruktur	Gmail	PowerShell	Secure Email Gateway (SEG)
Cloud Mail-Infrastruktur
Office 365		✓	✓
Gmail	✓		✓
Lokale E-Mail-Infrastruktur
Exchange 2010		✓	✓
Exchange 2013		✓	✓
Exchange 2016		✓	✓
Exchange 2019		✓	✓
HCL Notes			✓

^Verwenden Sie Secure Email GatewaySecure Email Gateway (SEG) für alle lokalen E-Mail-Infrastrukturen mit Bereitstellungen von über 100.000 Geräten. Für Einsätze mit weniger als 100.000 Geräten bietet sich PowerShell als Alternativlösung für Ihre E-Mail-Verwaltung an. Lesen Sie die Entscheidungsmatrix mit dem Vergleich zwischen Secure Email Gateway und PowerShell.

**Die Schwelle für PowerShell-Implementierungen hängt von den neuesten abgeschlossenen Leistungstests ab und kann sich daher von einer Version zur nächsten ändern. Bei Einsätzen mit bis zu 50.000 Geräten können relativ kurze Synchronisierungs- und Konformitätstestzeitrahmen erwartet werden (unter drei Stunden). Je weiter sich die Bereitstellungsgröße 100.000 Geräten nähert, desto mehr können Administratoren damit rechnen, dass sich ihre Synchronisierungs- und Konformitätstestabläufe im Zeitrahmen von 3–7 Stunden erhöhen werden.

Entscheidungsmatrix – Secure Email Gateway im Vergleich zu PowerShell

Die Matrix informiert Sie über die Bereitstellungsfunktionen von SEG und PowerShell, um Sie bei der Wahl der Bereitstellung, die Ihren Bedürfnissen am besten gerecht wird, zu unterstützen.


	Vorteile	Nachteile
SEG	Echtzeitkonformität Anlagenverschlüsselung Hyperlinktransformation	Zusätzliche(r) Server erforderlich
PowerShell	Es werden keine zusätzlichen lokalen Server zur E-Mail-Verwaltung benötigt E-Mail-Datenverkehr wird nicht zu einem lokalen Server geleitet, bevor er Office 365 erreicht. ADFS sind daher nicht erforderlich.	Keine Konformitätssynchronisierung in Echtzeit Nicht für große Einsätze (> 100.000) geeignet
Microsoft empfiehlt die Verwendung von Active Directory Federated Services (ADFS), um den direkten Zugriff auf Office 365-E-Mail-Konten zu verhindern.