Modèles de déploiement pour la gestion de l'infrastructure de messagerie

Workspace ONE UEM propose deux types de modèles de déploiement pour protéger et gérer votre infrastructure de messagerie, le modèle de proxy et le modèle direct.

Vous pouvez utiliser le modèle de votre choix de déploiement de messagerie, ainsi que les stratégies de messagerie que vous définissez dans la console UEM pour gérer efficacement vos terminaux mobiles.

Avec le modèle de déploiement de proxy, un serveur à part appelé serveur proxy Secure Email Gateway (SEG) est placé entre le serveur Workspace ONE et le serveur de messagerie d'entreprise. Ce serveur proxy filtre toutes les requêtes des terminaux au serveur de messagerie et relaie le trafic des terminaux approuvés uniquement. Le serveur de messagerie d'entreprise est ainsi protégé, car il ne communique pas directement avec les terminaux mobiles.
Avec le modèle de déploiement direct, aucun serveur proxy n'est impliqué et Workspace ONE UEM communique directement avec les serveurs de messagerie. L'absence de serveur proxy simplifie les étapes de configuration et d'installation avec ce modèle.

Note : Le modèle de déploiement de proxy dispose de deux variantes : les plates-formes classique et SEG v2. La plate-forme SEG classique n'est plus prise en charge, car la plate-forme SEG v2 garantit de meilleures performances sur la plate-forme classique. La plate-forme SEG v2 peut être installée sur un serveur SEG existant avec une interruption de service minimale et lors d'une mise à niveau. Aucune modification de profil ou interaction d'utilisateur final n'est requise.


Modèle de déploiement	Mode de configuration	Infrastructure de messagerie
Modèle de déploiement de proxy	Microsoft Exchange 2010/2013/2016 Exchange Office 365	Microsoft Exchange 2010/2013/2016/2019 Exchange Office 365 HCL Domino avec HCL Gmail
Modèle de déploiement direct – PowerShell	Modèle PowerShell	Microsoft Exchange 2010/2013/2016/2019 Microsoft Office 365
Modèle de déploiement direct - Gmail	Gmail

Note : Workspace ONE UEM ne prend en charge que les versions des serveurs de messagerie tiers supportées par le fournisseur de serveurs de messagerie. Lorsque le fournisseur déconseille une version de serveur, Workspace ONE UEM ne prend plus en charge l'intégration avec cette version obsolète.

Modèle de proxy SEG (Secure Email Gateway)

Le serveur proxy Secure Email Gateway (SEG) est un serveur à part installé avec votre serveur de messagerie existant pour proxifier tout le trafic de messagerie destiné aux terminaux mobiles. En fonction des paramètres définis dans UEM Console, le serveur proxy SEG prend des décisions d'autorisation ou de blocage pour chaque terminal qu'il gère.

Le serveur proxy SEG filtre toutes les requêtes de communication au serveur de messagerie et relaie le trafic des terminaux approuvés uniquement. Ce relais protège la messagerie professionnelle en n'autorisant pas tous les terminaux à communiquer avec lui.

Installez le serveur SEG sur votre réseau afin qu'il s'aligne sur le trafic de messagerie de l'entreprise. Vous pouvez aussi l'installer dans une DMZ ou derrière un proxy inverse. Vous devez héberger le serveur SEG dans votre centre de données, que votre serveur Workspace ONE MDM soit sur site ou dans le Cloud.

Architecture SEG sur site et dans le Cloud

Déploiement direct du modèle PowerShell

Dans le modèle PowerShell, Workspace ONE UEM remplit un rôle d'administrateur PowerShell et émet des commandes vers l'infrastructure Exchange ActiveSync (EAS) pour autoriser ou interdire l'accès aux e-mails selon les stratégies définies dans UEM console. Les déploiements PowerShell ne nécessitent pas de serveur proxy de messagerie et le processus d'installation est plus simple.

Les déploiements PowerShell sont adaptés aux entreprises qui utilisent Microsoft Exchange 2010, 2013, 2016, 2019 ou Office 365.

Modèle de déploiement PowerShell Office 365

Il existe deux façons selon lesquelles les commandes PowerShell sont émises en fonction de l'emplacement du serveur Workspace ONE UEM et du serveur Exchange :

Le serveur Workspace ONE se trouve dans le Cloud et le serveur Exchange sur site – Le serveur Workspace ONE UEM émet les commandes PowerShell. VMware Enterprise Systems Connector configure la session PowerShell avec le serveur de messagerie.
Le serveur Workspace ONE UEM et le serveur de messagerie se trouvent sur le site – Le serveur Workspace ONE UEM configure la session PowerShell directement avec le serveur de messagerie. Ici, aucun serveur VMware Enterprise Systems Connector n'est nécessaire sauf si le serveur Workspace ONE UEM ne peut pas communiquer directement avec le serveur de messagerie.

Modèle PowerShell Microsoft 2010 Exchange déployé dans le Cloud et sur site

Pour vous aider à choisir entre les modèles de déploiement Secure Email Gateway et PowerShell, reportez-vous à la section Recommandations Workspace ONE UEM.

Modèle direct Gmail

Intégrez un serveur Workspace ONE UEMavec Google.

Les organisations qui utilisent l'infrastructure de messagerie Gmail connaissent peut-être déjà les défis posés par la protection des terminaux de la messagerie pour Gmail et la difficulté d'empêcher le contournement du terminal sécurisé. Workspace ONE UEM répond à ces problématiques en fournissant une approche flexible et sûre pour intégrer votre infrastructure de messagerie.

Dans le modèle de déploiement direct de Gmail, le serveur Workspace ONE UEM communique directement avec Google. En fonction des besoins de sécurité, Workspace ONE peut gérer le mot de passe Google d'un utilisateur et contrôler l'accès à la boîte de réception de l'utilisateur.

Modèle de déploiement direct Google

Appels d'API à Google Suite : vous pouvez personnaliser les attributs utilisés dans les appels d'API à Google Suite en spécifiant un autre attribut au lieu de l'adresse e-mail de l'utilisateur. Par défaut, l'adresse e-mail de l'utilisateur est utilisée. Pour plus d'informations sur la manière de configurer le modèle direct de Gmail, reportez-vous à la section Intégrer le modèle direct avec la gestion de mot de passe.

Matrice de modèles de déploiement MEM

Utilisez la matrice ci-dessous pour comparer les fonctionnalités disponibles dans les différents modèles de déploiement MEM.

Office 365 requiert une configuration supplémentaire pour le modèle de proxy SEG. Workspace ONE UEM recommande le modèle d'intégration direct pour les serveurs basés dans le Cloud. Reportez-vous à la section Recommandations Workspace ONE UEM pour plus de détails.


✓	Pris en charge	□	Non supporté par Workspace ONE UEM
X	Fonctionnalité non disponible	N/A	Non applicable

Tableau 1. Matrice de déploiement
	Modèle de proxy SEG			Modèle direct
	Exchange 2010/2013/2016/2019 Office 365	HCL Notes Traveler	Google	Office 365 (PowerShell)	Exchange 2010/2013/2016/2019 (PowerShell)	Gmail
Outils de sécurité des e-mails
Paramètres de sécurité appliqués
Utiliser les signatures numériques avec la fonctionnalité S/MIME	✓	□	□	✓	✓	N/A
Protéger les données sensibles par le chiffrement forcé	✓	✓	✓	✓	✓	✓
Appliquer la sécurité SSL	✓	✓	✓	✓	✓	✓
Sécurité des pièces jointes et des liens hypertexte
Appliquer les pièces jointes et liens hypertextes dans VMware AirWatch Content Locker ou Workspace ONE Web uniquement	✓	✓	✓	x	x	x
Configuration automatique de la messagerie
Configurer les e-mails à distance sur le terminal	✓	✓	✓	✓	✓	✓
Contrôle de l'accès à la messagerie
Empêcher les terminaux non gérés d'accéder aux e-mails	✓	✓	✓	✓	✓	✓
Détecter les terminaux non gérés existants	✓	✓	✓	✓	✓	N/A
Accès à la messagerie sans politique de conformité personnalisable	✓	✓	✓	✓	✓	✓
Demander le chiffrement du terminal pour accéder à la messagerie	✓	✓	✓	✓	✓	✓
Empêcher les terminaux compromis d'accéder à la messagerie	✓	✓	✓	✓	✓	✓
Autoriser/bloquer la messagerie - Client de messagerie	✓	✓	✓	✓	✓	x
Contrôle de l'accès à la messagerie
Autoriser/bloquer la messagerie - Utilisateur	✓	✓	✓	✓	✓	x
Autoriser/bloquer la messagerie - Modèle du terminal	✓	✓	✓	✓	✓	✓
Autoriser/bloquer la messagerie - OS du terminal	✓	✓	✓	✓	✓	✓
Autoriser/bloquer la messagerie - Type de terminal EAS	✓	✓	✓	✓	✓	x
Visibilité de la gestion
Statistiques du trafic de messagerie	✓	✓	✓	x	x	x
Statistiques du client de messagerie	✓	✓	✓	x	x	x
Gestion des certificats
Intégration/Révocation de la CA	✓	□	□	✓	✓	N/A
Architecture
Passerelle intégrée (proxy)	✓	✓	✓	N/A	N/A	✓
Exchange PowerShell	N/A	N/A	N/A	✓	✓	N/A
Gestion de mot de passe pour Gmail	N/A	N/A	✓	N/A	N/A	✓
Intégration des API d'annuaire pour Gmail	N/A	N/A	N/A	N/A	N/A	✓
Pris en charge
Workspace ONE Boxer pour iOS et Android [^]	✓	✓	✓	✓	✓	✓
Client de messagerie natif iOS	✓	✓	✓	✓	✓	✓
Client de messagerie native Android (Gmail)	✓	✓	✓	✓	✓	✓
Client Android HCL Notes*	N/A	✓	N/A	N/A	N/A	N/A

*La sécurité des pièces jointes et des liens hypertexte n'est pas prise en charge pour les clients Android HCL Notes.

+ Exchange 2003 n'est pas pris en charge.

^ Exchange 2003, les stratégies de chiffrement et les déploiements MEM multiples ne sont pas pris en charge pour Workspace ONE Boxer.

Recommandations de Workspace ONE UEM

Les fonctionnalités prises en charge par Workspace ONE UEM et les tailles de déploiement appropriées sont répertoriées dans cette section. Utilisez la matrice de décision afin de choisir le déploiement qui répond le mieux à vos besoins.

Chiffrement des pièces jointes

Grâce au chiffrement appliqué sur les pièces jointes de vos terminaux mobiles, Workspace ONE UEM assure leur sécurité sans altérer l'expérience de l'utilisateur.


	Applications natives	Traveler	Workspace ONE Boxer
iOS	✓
Android	✓
SEG prend en charge le chiffrement des pièces jointes et la transformation des liens hypertexte sur Workspace ONE Boxer dans la mesure où ces fonctionnalités sont activées pour la configuration de l'application Boxer dans la console UEM. SEG prend en charge le chiffrement des pièces jointes avec Exchange 2010/2013/2016/2019 et Office 365.

Note :

SEG ne chiffre pas les pièces jointes pour Workspace ONE Boxer, mais le DLP peut être appliqué au niveau de l'application.

Gestion d'e-mails

Cette liste vous offre le niveau de sécurité le plus élevé avec la gestion et le déploiement les plus simples.


Infrastructure d'e-mails	Gmail	PowerShell	Secure Email Gateway (SEG)
Infrastructure de messagerie Cloud
Office 365		✓	✓
Gmail	✓		✓
Infrastructure de messagerie sur site
Exchange 2010		✓	✓
Exchange 2013		✓	✓
Exchange 2016		✓	✓
Exchange 2019		✓	✓
HCL Notes			✓

^Utilisez Secure Email GatewaySecure Email Gateway (SEG) pour toutes les infrastructures de messagerie comprenant des déploiements supérieurs à 100 000 terminaux. Pour les déploiements inférieurs à 100 000 terminaux, vous pouvez utiliser PowerShell pour gérer votre messagerie. Reportez-vous à la section Matrice de décisions Secure Email Gateway vs PowerShell.

**Le seuil pour les installations PowerShell est basé sur les derniers tests de performances effectués et peut varier selon les versions disponibles. Les déploiements de 50 000 terminaux maximum peuvent bénéficier d'un temps relativement court de synchronisation et d'exécution de la conformité (moins de trois heures). Pour les déploiements qui s'approchent des 100 000 terminaux, les administrateurs doivent envisager un temps des processus de synchronisation et d'exécution de la conformité plus important, entre 3 et 7 heures.

Matrice de décisions Secure Email Gateway vs PowerShell

Cette matrice vous présente les fonctionnalités de déploiement de SEG et de PowerShell pour vous aider à choisir le déploiement qui répond à vos besoins.


	Avantages	Inconvénients
SEG	Conformité en temps réel Chiffrement des pièces jointes Transformation des liens hypertexte	Serveur(s) supplémentaire(s) requis
PowerShell	Aucun serveur sur site requis pour la gestion de la messagerie Le trafic de messagerie n'est pas routé vers un serveur sur site avant d'être dirigé vers Office 365. ADFS n'est donc pas obligatoire	Aucune synchronisation de conformité en temps réel Pas pour les déploiements importants (supérieurs à 100 000 terminaux)
Microsoft suggère l'utilisation d'Active Directory Federated Services (ADFS) pour empêcher l'accès direct aux comptes de messagerie Office 365.