Configurez le contrôle d'accès pour fournir un accès sécurisé à votre infrastructure de messagerie.

Politiques de conformité des e-mails

Une fois la messagerie déployée, vous pouvez protéger davantage vos e-mails en ajoutant le contrôle d'accès. Cette fonctionnalité autorise uniquement les terminaux protégés et conformes à accéder à votre infrastructure de messagerie. Le contrôle d'accès est appliqué avec l'aide des politiques de conformité.

Ces dernières améliorent la sécurité en limitant l'accès à la messagerie pour les terminaux non gérés, inactifs, non chiffrés ou non conformes. Ces politiques vous autorisent à donner accès à la messagerie uniquement pour les terminaux approuvés et obligatoires. Elles limitent également l'accès aux e-mails en fonction du modèle de terminal et des systèmes d'exploitation.

Les catégories de ces politiques sont les suivantes : politiques générales des e-mails, politiques des terminaux gérés et politiques de sécurité des e-mails. Les différentes politiques correspondant à chaque catégorie et les déploiements auxquels elles s'appliquent sont listés dans le tableau :

Le tableau suivant répertorie les stratégies de conformité des e-mails prises en charge.

Tableau 1. Politiques de conformité des e-mails prises en charge
  SEG (Exchange, HCL Traveler, G suite) PowerShell (Exchange) Gestion des mots de passe (Gmail) Intégration directe (Gmail)
Stratégies générales des e-mails
Paramètres de synchronisation O N
Terminal géré O O
Client de messagerie O O
Utilisateur O O
Type de terminal EAS O O
Politiques de terminaux gérés
Inactivité O O
Terminal compromis O O
Chiffrement O O
Modèle O O
Système d'exploitation O O
Profil ActiveSync requis O O
Politiques de sécurité des e-mails
Classification de la sécurité des e-mails O N
Pièces jointes (terminaux gérés) O N
Pièces jointes (terminaux non gérés) O N
Lien hypertexte O N

Activer une politique de conformité des e-mails

Les stratégies de conformité des e-mails disponibles dans Workspace ONE UEM Console sont les politiques générales des e-mails, la politique des terminaux gérés et la politique de sécurité des e-mails. Vous pouvez activer chacune de ces politiques de conformité ou en modifier les règles afin d'autoriser ou bloquer les terminaux.

  1. Accédez à E-mail > Stratégies de conformité.
  2. Utilisez l'icône Modifier la politique sous la colonne Actions pour modifier n'importe quelle règle de politique.
    Note : Les Politiques générales des e-mails appliquent les politiques d'accès à la messagerie pour tous les terminaux. En choisissant un groupe d'utilisateurs, la politique s'applique à tous les utilisateurs de ce groupe.
    Politique de messagerie Description
    Paramètres de synchronisation

    Empêche la synchronisation des terminaux avec des fichiers EAS spécifiques.

    • Workspace ONE UEM empêche les terminaux de se synchroniser avec les dossiers sélectionnés quelles que soient les autres stratégies de conformité.
    • Pour que cette politique soit effective, le profil EAS doit être republié sur les terminaux, ce qui contraint ces derniers à se resynchroniser au serveur de messagerie.
    Terminal géré Limite l'accès aux e-mails pour les terminaux gérés uniquement.
    Client de messagerie Limite l'accès aux e-mails pour un ensemble de clients de messagerie.
    • Vous pouvez autoriser ou non les clients de messagerie selon le type de client, tel que personnalisé et détecté.
    • Vous pouvez également définir des actions par défaut pour le client de messagerie et des clients de messagerie nouvellement découverts qui n'apparaissent pas dans le champ Client de messagerie. Pour le type de client personnalisé, les caractères génériques (*) et le remplissage automatique sont pris en charge.
    Utilisateur Limite l'accès aux e-mails pour un ensemble d'utilisateurs. Vous pouvez autoriser ou non le type d'utilisateur suivant : Personnalisé, Détecté, Compte utilisateur et Groupe d'utilisateurs Workspace ONE UEM. Vous pouvez également définir des actions par défaut pour les noms d'utilisateur de messagerie qui ne s'affichent pas dans le menu déroulant Groupe ou Nom d'utilisateur. Pour le type d'utilisateur personnalisé, les caractères génériques (*) et le remplissage automatique sont pris en charge.
    Type de terminal EAS Autorise ou bloque les terminaux selon l'attribut du type de terminal EAS signalé par le terminal. Vous pouvez autoriser ou non les terminaux selon le type de client, tel que le client de messagerie personnalisé ou détecté. Vous pouvez également définir des actions par défaut pour les types de terminaux EAS qui n'apparaissent pas dans le menu déroulant Type de terminal. Pour le type de client personnalisé, les caractères génériques (*) et le remplissage automatique sont pris en charge.
    Les Politiques des terminaux gérés appliquent les politiques aux terminaux gérés accédant à la messagerie.
    Politique de messagerie Description
    Inactivité Empêchez les terminaux gérés inactifs d'accéder aux e-mails. Vous pouvez indiquer le nombre de jours durant lesquels un terminal apparaît comme inactif (c'est-à-dire qu'il n'effectue pas de check-in dans VMware AirWatch) avant que Workspace ONE UEM n'empêche l'accès à la messagerie. La valeur minimum acceptée est 1 et la valeur maximum est 32767.
    Terminal compromis Empêchez les terminaux compromis d'accéder à la messagerie. Cette politique ne bloque pas l'accès à la messagerie pour les terminaux dont le statut « compromis » n'a pas été rapporté à AirWatch.
    Chiffrement Empêchez l'accès aux e-mails pour les terminaux non chiffrés. Cette politique s'applique seulement aux terminaux dont le statut de protection des données a été rapporté à VMware AirWatch.
    Modèle Limitez l'accès à la messagerie en fonction de la plateforme et du modèle de terminal.
    Système d'exploitation Limitez l'accès à la messagerie pour un ensemble de systèmes d'exploitation sur des plateformes spécifiques.
    Profil ActiveSync requis Empêchez l'accès à la messagerie pour les terminaux qui ne sont pas gérés avec un profil Exchange ActiveSync. Pour les clients de messagerie configurés par l'intermédiaire d'une configuration d'application plutôt qu'un profil ActiveSync, l'envoi d'une configuration d'application à un client de messagerie géré garantit que le client de messagerie est conforme à la stratégie de conformité.
    Les Politiques de sécurité de la messagerie appliquent les politiques aux pièces jointes et aux liens hypertextes. Cette stratégie s'applique aux déploiements SEG uniquement. Pour plus d'informations, reportez-vous à la section Application du contrôle d'accès à la messagerie.
    Politique de messagerie Description
    Classification de la sécurité des e-mails Définissez la stratégie à appliquer par SEG pour les e-mails avec et sans étiquettes. Vous pouvez utiliser les étiquettes prédéfinies ou en créer à l'aide de l'option Personnalisé. En fonction de la classification, vous pouvez choisir d'autoriser ou de bloquer les e-mails dans des clients de messagerie.
    Pièces jointes (terminaux gérés)

    Chiffrez les pièces jointes des types de fichiers sélectionnés. Ces pièces jointes sont protégées sur le terminal et ne sont disponibles qu'à l'affichage dans VMware AirWatch Content Locker.

    Actuellement, cette fonctionnalité n'est disponible que pour les périphériques Android et iOS gérés disposant de l'application VMware AirWatch Content Locker. Pour les autres terminaux gérés, vous pouvez choisir d'autoriser les pièces jointes chiffrées, de bloquer les pièces jointes ou d'autoriser les pièces jointes non chiffrées.
    Pièces jointes (terminaux non gérés)

    Chiffrez et bloquez les pièces jointes ou autorisez les pièces jointes non chiffrées pour les terminaux non gérés.

    Les pièces jointes chiffrées ne sont pas visibles sur les terminaux non gérés. Cette fonctionnalité vise à préserver l'intégrité de la messagerie. Si un e-mail contenant une pièce jointe chiffrée est transféré depuis un terminal non géré, le destinataire peut toujours l'afficher sur un PC ou un autre terminal mobile.
    Lien hypertexte

    Autorisez l'ouverture de liens hypertexte contenus dans un e-mail directement depuis VMware Browser installé sur le terminal. Secure Email Gateway modifie dynamiquement le lien hypertexte à ouvrir dans VMware Browser. Vous pouvez choisir l'un des types de modification suivant :

    • Tous/Toutes - Choisissez d'ouvrir tous les liens hypertexte avec VMware Browser.
    • Exclure - Précisez si vous ne souhaitez pas que les utilisateurs ouvrent les domaines mentionnés via VMware Browser. Indiquez les domaines exclus dans le champ Modifier tous les liens hypertexte sauf pour ces domaines. Vous pouvez également importer par lot les noms de domaine depuis un fichier .csv.
    • Inclure - Décidez si vous souhaitez que l'utilisateur ouvre les liens hypertexte depuis des domaines spécifiés via VMware Browser. Indiquez les domaines exclus dans le champ Modifier seulement les liens hypertexte pour ces domaines. Vous pouvez également importer par lot les noms de domaine depuis un fichier .csv.
  3. Créez votre règle de conformité et enregistrez-la.
  4. Sélectionnez le bouton gris sous la colonne Actif pour activer la politique de conformité. Une page s'affiche avec un code.
  5. Saisissez le code dans le champ correspondant, puis sélectionnez Continuer.

Résultat : la politique est activée, ce qui est signalé par un cercle vert dans la colonne Actif.

Protection du contenu des e-mails, des pièces jointes et des liens hypertexte

Sécurisez vos e-mails avec Workspace ONE UEM Web et Workspace ONE UEM Content.

Workspace ONE UEM vous aide à protéger et à contrôler les pièces jointes sensibles à la perte des données pour les terminaux gérés et non gérés. Workspace ONE UEM autorise l'ouverture de liens hypertexte contenus dans un e-mail directement depuis Workspace ONE Web installé sur le terminal. Secure Email Gateway modifie dynamiquement le lien hypertexte à ouvrir dans Workspace ONE Web.

Vous devez avoir installé les applications suivantes avant de pouvoir commencer à protéger vos pièces jointes :

  • Secure Email Gateway (SEG)
  • VMware Content Locker (iOS et Android)
  • Prise en charge de Microsoft Exchange 2010/2013/2016/2019, HCL Notes, Novell GroupWise et Gmail

Activer la classification de la sécurité des e-mails

Sélectionnez les classifications de sécurité sur la console UEM Workspace ONE UEM Console pour laquelle vous souhaitez que Secure Email Gateway prenne des mesures.

Il existe une liste de classifications de la sécurité prédéfinies. Vous pouvez également créer votre classification personnalisée.

  1. Accédez à E-mail > Stratégies de conformité > Stratégies de sécurité des e-mails.
  2. Sélectionnez le cercle gris sous la colonne Actif pour la politique de conformité Classification de la sécurité des e-mails. Une page s'affiche avec un code.
  3. Saisissez le code dans le champ correspondant, puis sélectionnez Continuer. La politique est activée, ce qui est signalé par un cercle vert dans la colonne Actif.
  4. Sélectionnez l'option Modifier sous la colonne Actions.
  5. Sélectionnez Ajouter, puis le type d'étiquette dans le menu déroulant Type.

    Les options disponibles sont « Prédéfini » et « Personnalisé ». Les choix sont les suivants :

    • Sélectionnez le type d'étiquette « Prédéfini » pour obtenir une liste d'étiquettes disponibles dans le menu déroulant Classification de la sécurité.
    • Sélectionnez le type d'étiquette « Personnalisé » pour saisir votre propre étiquette dans le champ Classification de la sécurité.
  6. Saisissez une description de l'étiquette, puis cliquez sur Suivant.
  7. Configurez les actions à mener par SEG à l'encontre des e-mails marqués ou non d'une étiquette. Sélectionnez Suivant.

    Vous pouvez choisir d'autoriser ou de bloquer les e-mails dans des clients de messagerie.

  8. Affichez le résumé, puis cliquez sur Enregistrer.

Protection des pièces jointes aux e-mails

Protégez les pièces jointes à l'aide de Workspace ONE UEM.

Les pièces jointes correspondent à différents types de fichiers. Dans UEM Console, vous pouvez sélectionner les types de fichiers pour lesquels les pièces jointes doivent être chiffrées par Secure Email Gateway. Ces pièces jointes chiffrées sont protégées sur les terminaux mobiles et peuvent être consultées dans l'application VMware AirWatch Content Locker.

Les paramètres granulaires sont disponibles pour les périphériques Android et iOS gérés. Pour les autres terminaux gérés et tous les terminaux non gérés, l'ouverture (en masse) des pièces jointes peut être empêchée dans les applications tierces.

  1. Accédez à E-mail > Stratégies de conformité > Stratégies de sécurité des e-mails.
  2. Sélectionnez le bouton gris sous la colonne Actif pour la stratégie de conformité des pièces jointes (terminaux gérés) ou des pièces jointes (terminaux non gérés).

    Résultat : une page s'affiche avec un code.

  3. Saisissez le code dans le champ correspondant, puis sélectionnez Continuer.

    Résultat : la politique est activée, ce qui est signalé par un cercle vert dans la colonne Actif.

  4. Sélectionnez l'option Modifier sous la colonne Actions.
  5. Choisissez de chiffrer et autoriser ou de bloquer ou autoriser, sans chiffrer les pièces jointes, pour chaque catégorie de fichiers (périphériques Android et iOS gérés uniquement).
  6. Cochez la case Autoriser l'enregistrement des pièces jointes dans le Content Locker pour enregistrer les pièces jointes dans le Content Locker.

    Résultat : les pièces jointes restent chiffrées et les politiques du Content Locker s'appliquent.

  7. Choisissez la politique pour tous les autres fichiers non mentionnés ici.
  8. Saisissez les extensions de fichier qui doivent être exclues des actions configurées dans les autres fichiers, dans la liste d'exclusions.
  9. Saisissez un Message personnalisé pour les pièces jointes bloquées afin d’informer le destinataire qu’une pièce jointe a été bloquée.
  10. Enregistrez les paramètres.

    Stratégies de sécurité liées aux pièces jointes pour l'écran des terminaux gérés

Activer la protection des liens hypertexte

Avec la politique de sécurité des liens hypertexte, vous pouvez contrôler les liens hypertexte à modifier afin qu'ils puissent être ouverts directement dans Workspace ONE Web.

  1. Accédez à E-mail > Stratégies de conformité > Stratégies de sécurité des e-mails.
  2. Sélectionnez le cercle gris sous la colonne Actif pour la politique de conformité des liens hypertexte.

    Résultat : une page s'affiche avec un code.

  3. Saisissez le code dans le champ correspondant, puis sélectionnez Continuer.

    Résultat : la politique est activée, ce qui est signalé par un cercle vert dans la colonne Actif.

  4. Sélectionnez l'option Modifier sous la colonne Actions.
  5. Sélectionnez la plate-forme pour laquelle vous souhaitez ignorer la transformation des liens hypertexte.
  6. Sélectionnez l'un des Types de modification

    Les choix sont les suivants :

    • Tous/Toutes – Choisissez d'ouvrir tous les liens hypertexte avec Workspace ONE Web.
    • Inclure – Décidez si vous souhaitez que l'utilisateur ouvre les liens hypertexte depuis des domaines spécifiés via Workspace ONE Web. Indiquez les domaines exclus dans le champ Modifier seulement les liens hypertexte pour ces domaines. Vous pouvez également importer en masse les noms de domaine depuis un fichier .csv.
    • Exclure - Précisez si vous ne souhaitez pas que les utilisateurs ouvrent les domaines mentionnés via Workspace ONE Web. Indiquez les domaines exclus dans la zone de texte Modifier tous les liens hypertexte sauf pour ces domaines. Vous pouvez également importer en masse les noms de domaine depuis un fichier .csv.
  7. Enregistrez les paramètres.