E メール インフラストラクチャへのセキュアなアクセスを提供するためのアクセス コントロールを構成します。

E メール順守ポリシー

E メールの展開後、アクセス コントロールを追加することでモバイル メールの保護を強化することができます。アクセス コントロール機能は、セキュアで順守状態にあるデバイスのみに貴社のメール インフラへのアクセスを許可します。アクセス コントロールは、E メール順守ポリシーを使用して適用します。

E メール順守ポリシーを使用すると、非順守状態のデバイス、暗号化されていないデバイス、非アクティブなデバイス、または管理外のデバイスに対する E メール アクセスを制限することによって、セキュリティを強化できます。これらのポリシーを使用することで、必要かつ承認済みのデバイスのみに E メール アクセスを提供できるようになります。E メール ポリシーでは、デバイス モデルおよび OS に基づいて E メール アクセスを制限することもできます。

これらのポリシーは、全般 E メール ポリシー 、管理デバイス ポリシー、E メール セキュリティ ポリシーに分類されます。各カテゴリに該当するさまざまなポリシーおよびそれらのポリシーが適用される展開を、次の表に示します。

次の表に、サポートされている E メール遵守ポリシーを示します。

表 1. サポートされている E メール遵守ポリシー
  SEG (Exchange、IBM Traveler、G Suite) PowerShell (Exchange) パスワード管理 (Gmail) 直接統合 (Gmail)
[全体の Eメールポリシ]
同期設定 Y N
管理デバイス Y Y
メール クライアント Y Y
ユーザー Y Y
EAS デバイス タイプ Y Y
管理デバイス ポリシー
非アクティブ Y Y
侵害状態デバイス Y Y
暗号化 Y Y
モデル Y Y
オペレーティング システム Y Y
ActiveSync プロファイルを必須にする Y Y
E メール セキュリティ ポリシー
E メール セキュリティ分類 Y N
添付ファイル(管理デバイス) Y N
添付ファイル(管理外デバイス) Y N
ハイパーリンク Y N

E メール順守ポリシーのアクティブ化

Workspace ONE UEM Console で利用可能な E メール順守ポリシーは、全般 E メール ポリシー、管理デバイス ポリシー、および E メール セキュリティ ポリシーです。これらの E メール順守ポリシーをアクティブ化するか、デバイスを許可または禁止するようにこれらの E メール ポリシーのルールを編集することができます。

  1. [E メール] > [順守ポリシー] の順に進みます。
  2. ポリシーのルールを編集するには、[アクション] カラムの下にあるポリシー編集アイコンを使用します。
    注: [全般 E メールポリシー] を選択すると、E メールにアクセスするすべてのデバイスにポリシーを適用します。ユーザー グループを選択すると、そのグループに属するすべてのユーザーにポリシーが適用されます。
    E メール ポリシー 説明
    同期設定

    そのデバイスで特定の EAS フォルダの同期を禁止します。

    • Workspace ONE UEM は他の順守ポリシーとは無関係に、選択したフォルダとデバイスの同期をブロックしますのでご注意ください。
    • このポリシーが効力を発揮するためには、EAS プロファイルをデバイスに再発行する必要があります (そうすることでデバイスが Eメールサーバと強制的に再同期されます)。
    管理デバイス E メール アクセスを管理デバイスのみに制限します。
    メール クライアント E メール アクセスを特定のメール クライアントのみに制限します。
    • [カスタム][検出済み] などのクライアント タイプに基づいて、メール クライアントを許可または禁止することができます。
    • メールクライアント、またはメールクライアントドロップダウン欄に表示されない新たに検出されたメールクライアントに既定アクションを設定することもできます。カスタム クライアント タイプでは、ワイルドカード (*) の使用とオートコンプリート機能がサポートされます。
    ユーザー E メール アクセスを特定のユーザーのみに制限します。カスタム、検出済み、Workspace ONE UEM ユーザー アカウント、およびユーザー グループなど、ユーザー タイプに基づいてユーザーを許可/ブロックできます。「ユーザー名」 または 「グループ」 ドロップダウン メニューに表示されない E メールのユーザー名に対する既定のアクションを設定することもできます。カスタム ユーザー タイプでは、ワイルドカード (*) の使用とオートコンプリート機能がサポートされます。
    EAS デバイス タイプ エンドユーザー デバイスから報告される EAS デバイス タイプ属性に基づいて、デバイスを許可リストまたは拒否リストに登録します。カスタムや検出済みなどのクライアント タイプに基づいてデバイスを許可またはブロックすることができます。「デバイス タイプ」 ドロップダウン メニューに表示されない EAS デバイス タイプに対する既定のアクションを設定することもできます。カスタム クライアント タイプでは、ワイルドカード (*) の使用とオートコンプリート機能がサポートされます。
    [管理デバイス ポリシー] を選択すると、E メールにアクセスする管理デバイスにポリシーを適用します。
    E メール ポリシー 説明
    非アクティブ アクティブでない管理デバイスの E メール アクセスを禁止します。デバイスが非アクティブ(つまり、VMware AirWatch にチェックインしていない)とみなされてから、Workspace ONE UEM によって E メール アクセスが遮断されるまでの経過日数を指定できます。入力できる最小値は 1、最大値は 32767 です。
    侵害状態デバイス 侵害状態のデバイスの E メール アクセスを禁止します。このポリシーは AirWatch に侵害状態を報告していないデバイスの E メール アクセスはブロックしませんのでご注意ください。
    暗号化 暗号化されていないデバイスの E メール アクセスを禁止します。このポリシーは、VMware AirWatch にデータ保護状態を報告したデバイスのみに適用されます。
    モデル デバイスのプラットフォームおよびモデルに応じて E メール アクセスを制限します。
    オペレーティング システム 指定するプラットフォームの特定の OS のみに E メール アクセスを制限します。
    ActiveSync プロファイルを必須にする Exchange ActiveSync プロファイルを使用して管理されているデバイスのみに E メール アクセスを制限します。ActiveSync プロファイルではなくアプリケーション構成を使用して構成された E メール クライアントの場合は、アプリケーション構成を管理対象 E メール クライアントに送信することで、その E メール クライアントが遵守ポリシーに準拠していることが保証されます。
    [E メール セキュリティ ポリシー] を選択すると、添付ファイルとハイパーリンクにポリシーを適用します。このポリシーは SEG 展開のみに適用されます。詳細については、「E メール アクセス コントロールの適用」セクションを参照してください。
    E メール ポリシー 説明
    E メール セキュリティ分類 E メールのタグの有無に応じて SEG が行う措置のポリシーを定義します。事前定義されたタグを使用することも、カスタム オプションでタグを作成することもできます。分類に基づいて、E メール クライアントの E メールを許可またはブロックすることができます。
    添付ファイル(管理デバイス)

    選択したファイル タイプの E メール添付ファイルを暗号化します。これらの添付ファイルはデバイス上でセキュアに保たれ、VMware AirWatch Content Locker 内でのみ閲覧できます。

    現在、この機能は VMware AirWatch Content Locker アプリケーションがインストールされた管理 iOS および Android デバイスと Windows Phone のみで利用できます。それ以外の管理デバイスには、暗号化添付ファイルを許可する、添付ファイルをブロックする、暗号化されていない添付ファイルを許可する、のいずれかを選択できます。

    添付ファイル(管理外デバイス)

    管理外デバイスに対しては、添付ファイルを暗号化して禁止するか、暗号化されていない添付ファイルを許可することができます。

    暗号化された Eメール添付ファイルは管理外デバイスでは閲覧できません。これは E メールの安全性を維持するための機能です。暗号化されたファイルを添付した E メールを管理外デバイスから転送した場合、受信者は、そのファイルを PC またはその他のモバイル デバイス上で閲覧することができます。

    ハイパーリンク

    デバイスのユーザーが、E メールに含まれるハイパーリンクをデバイスの VMware Browser で直接開封できるようにします。Secure Email Gateway は、ハイパーリンクを動的に編集し、VMware Browser で開くようにします。以下のような編集タイプがあります。

    • すべて - すべてのハイパーリンクを VMware Browser で開く場合に選択します。
    • 除外する - 指定したドメインを、デバイス ユーザーが VMware Browser で開けないようにする場合に選択します。除外するドメインを [これらのドメイン以外のすべてのハイパーリンクを編集する] 欄に入力します。.csv ファイルからドメイン名を一括アップロードすることもできます。
    • 含む - 指定したドメインのハイパーリンクを、デバイス ユーザーに VMware Browser で開かせる場合に選択します。許可するドメインを [これらのドメインのみハイパーリンクを編集する] 欄に入力します。.csv ファイルからドメイン名を一括アップロードすることもできます。
  3. 順守ルールを作成し、[保存] します
  4. [アクティブ] カラムの下の灰色の丸を選択して、順守ポリシーをアクティブ化します。キー コードの記載された画面が表示されます。
  5. 対応する欄にキー コードを入力し、[続行] をクリックします。

[結果]:ポリシーがアクティブ化され、[アクティブ] カラムの下の色付きの丸が緑色になります。

E メール コンテンツ、添付ファイル、およびハイパーリンクの保護

Workspace ONE UEM Web、および Workspace ONE UEM Content を使用して E メールを保護します。

Workspace ONE UEM では、管理デバイスと管理外デバイスの両方について、データ漏洩の可能性があるモバイル E メールの添付ファイルを保護、制御することができます。Workspace ONE UEM は、デバイスのユーザーが、E メールに含まれるハイパーリンクをデバイスの Workspace ONE Web で直接開くことができるようにします。Secure Email Gateway は、ハイパーリンクを動的に編集し、Workspace ONE Web で開くようにします。

E メールの添付ファイルの保護を続行する前に、次のアプリケーションをインストールする必要があります。

  • Secure Email Gateway (SEG)
  • VMware Content Locker (iOS、Android、および Windows Phone)
  • Microsoft Exchange 2010/2013/2016/2019、IBM Notes、Novell GroupWise、Gmail のサポート

E メール セキュリティ分類を有効にする

Secure Email Gateway がアクションを実行する UEM Console Workspace ONE UEM Console のセキュリティ分類を選択します。

定義済みのセキュリティ分類のリストから選択することも、独自のカスタム分類を作成することもできます。

  1. [E メール] > [順守ポリシー] > [Eメール セキュリティ ポリシー] の順に進みます。
  2. [E メール セキュリティ分類] 順守ポリシーに対応する [アクティブ] カラムの下にある灰色の丸を選択します。キー コードの記載された画面が表示されます。
  3. 対応する欄にキー コードを入力し、[続行] をクリックします。ポリシーがアクティブ化され、[アクティブ] カラムの下の色付きの丸が緑色になります。
  4. [アクション] カラムの下にある [編集] オプションを選択します。
  5. [追加] を選択し、[タイプ] ドロップダウン メニューからタグのタイプを選択します。

    事前定義とカスタムのいずれかを選択できます。選択元:

    • タグのタイプとして事前定義を選択する場合は、[セキュリティ分類] ドロップダウン メニューから利用できるタグのリストを取得します。
    • タグのタイプとしてカスタムを選択する場合は、[セキュリティ分類] フィールドに独自のカスタム タグを入力します。
  6. タグの [説明] を入力して [次へ] を選択します。
  7. タグでマークされている/されていない E メールに対して SEG が取るアクションを構成します。[次へ] を選択します。

    E メール クライアントで E メールを許可するかブロックするかを選択します。

  8. [概要] を確認して、[保存] をクリックします。

E メール添付ファイル保護を有効にする

Workspace ONE UEM を使用して E メール添付ファイルを保護します。

E メール添付ファイルにはさまざまなファイル タイプがあります。Secure Email Gateway による E メール添付ファイルの暗号化を必須にするファイル タイプを、UEM Console で選択することができます。これらの暗号化された添付ファイルは、モバイル デバイス上でセキュアな状態に保たれ、VMware AirWatch Content Locker アプリケーションを使用して表示することができます。

管理対象の iOS、Android デバイス、および Windows Phone ではより細分化された設定が利用できます。他の管理デバイスおよび管理外デバイスに対しては、サードパーティ製アプリで開くことを防止することにより、添付ファイルを一括でセキュアにすることができます。

  1. [E メール] > [順守ポリシー] > [Eメール セキュリティ ポリシー] の順に進みます。
  2. [添付ファイル(管理デバイス)] または [添付ファイル(管理外デバイス)] の順守ポリシーに対応する [アクティブ] カラムの下にある灰色の丸を選択します。

    [結果]:キー コードの記載された画面が表示されます。

  3. 対応する欄にキー コードを入力し、[続行] をクリックします。

    [結果]:ポリシーがアクティブ化され、[アクティブ] カラムの下の色付きの丸が緑色になります。

  4. [アクション] カラムの下にある [編集] オプションを選択します。
  5. それぞれのファイル カテゴリに対して、暗号化して添付を許可する、暗号化していない添付を禁止する、または暗号化していない添付を許可するのいずれかを選択します (iOS、Android、および Windows Phone の管理デバイスのみ)。
  6. 添付ファイルを Content Locker に保存するには、[Content Locker で添付ファイルの保存を許可] にチェックを入れます。

    [結果]:添付ファイルは暗号化されたままで、Content Locker ポリシーが適用されます。

  7. ここで説明していない [その他のファイル] があれば、それに対するポリシーを選択します。
  8. [その他のファイル] で構成するアクションから除外するファイルの拡張子を、[除外リスト] に入力することができます。
  9. 受信者に添付ファイルがブロックされていることを通知する、[ブロックした添付ファイルに対するカスタマイズ メッセージ] を入力します。
  10. [保存] を選択して設定を保存します。

ハイパーリンク保護を有効にする

ハイパーリンク E メール セキュリティ ポリシーを使用して、Workspace ONE Web で直接開けるように E メール内のハイパーリンクを変更することができます。

  1. [E メール] > [順守ポリシー] > [Eメール セキュリティ ポリシー] の順に進みます。
  2. [ハイパーリンク] 順守ポリシーに対応する [アクティブ] カラムの下にある灰色の丸を選択します。

    [結果]:キー コードの記載された画面が表示されます。

  3. 対応する欄にキー コードを入力し、[続行] をクリックします。

    [結果]:ポリシーがアクティブ化され、[アクティブ] カラムの下の色付きの丸が緑色になります。

  4. [アクション] カラムの下にある [編集] オプションを選択します。
  5. ハイパーリンク変換を無視するプラットフォームを選択します。
  6. [編集タイプ] を以下から選択します。

    [選択元]

    • [すべて] - すべてのハイパーリンクを Workspace ONE Web で開く場合に選択します。
    • [含む] - 指定したドメインのハイパーリンクを、デバイス ユーザーに Workspace ONE Web で開かせる場合に選択します。許可するドメインを [これらのドメインのみハイパーリンクを編集する] 欄に入力します。CSV ファイルからドメイン名を一括アップロードすることもできます。
    • [除外する] - 指定したドメインをデバイス ユーザーが Workspace ONE Web で開けないようにする場合に選択します。除外するドメインを [これらのドメイン以外のすべてのハイパーリンクを編集する] 欄に入力します。CSV ファイルからドメイン名を一括アップロードすることもできます。
  7. [保存] を選択して設定を保存します。