Workspace ONE UEM предлагает два типа моделей развертывания для защиты и управления вашей инфраструктурой эл. почты — модель прокси и прямую модель.

Вы можете использовать одну из этих моделей развертывания совместно с политиками эл. почты, заданными в UEM console, для эффективного управления мобильными устройствами.
  • В рамках модели прокси между сервером Workspace ONE и корпоративным почтовым сервером размещается отдельный сервер, который называется прокси-сервером SEG (Secure Email Gateway). Прокси-сервер фильтрует все запросы, поступающие из устройств на почтовый сервер, и пропускает трафик только от авторизованных устройств. Благодаря этому обеспечивается защита корпоративного почтового сервера, так как он не взаимодействует непосредственно с мобильными устройствами.
  • В прямой модели прокси-сервера нет, и Workspace ONE UEM взаимодействует непосредственно с почтовыми серверами. Благодаря отсутствию прокси-сервера упрощается процедура установки и настройки.
Примечание: В качестве модели развертывания прокси-серверов предлагаются два варианта — классическая платформа и платформа SEG v2. Классическая платформа SEG больше не поддерживается, так как платформа SEG v2 обеспечивает более высокую производительность по сравнению с классической платформой. Платформу SEG v2 можно установить на существующем сервере SEG с минимальным временем отключения, а при модернизации не нужно изменять профиль и не требуется никаких действий конечного пользователя.
Модель развертывания Режим настройки Инфраструктура эл. почты
Модель развертывания прокси-серверов

Microsoft Exchange 2010/2013/2016

Exchange Office 365

Microsoft Exchange 2010/2013/2016/2019

Exchange Office 365

IBM Domino с Lotus

Gmail

Модель прямого развертывания — PowerShell

Модель PowerShell

Microsoft Exchange 2010/2013/2016/2019

Microsoft Office 365

Модель прямого развертывания — Gmail

Gmail
Примечание: Workspace ONE UEM поддерживает только те версии сторонних почтовых серверов, которые на данный момент поддерживаются провайдером почтового сервера. Когда поставщик объявляет версию почтового сервера устаревшей, платформа Workspace ONE UEM перестает поддерживать интеграцию с этой устаревшей версией.

Модель прокси-сервера Secure Email Gateway

Прокси-сервер Secure Email Gateway (SEG) — это отдельный сервер, установленный в соответствии с вашим существующим почтовым сервером и пропускающий весь поток данных на мобильные устройства. На основе параметров, заданных в консоли EM, прокси-сервер SEG разрешает или блокирует передачу данных для каждого управляемого мобильного устройства.

Прокси-сервер SEG фильтрует все запросы связи, поступающие на корпоративный почтовый сервер, и пропускает трафик только от авторизованных устройств. Такая ретрансляция защищает корпоративный почтовый сервер, запрещая устройствам связь с ним.

Установите сервер SEG в сети, чтобы поток данных эл. почты предприятия проходил через него. Его также можно установить в демилитаризованной зоне (DMZ) или после обратного прокси-сервера. Сервер SEG должен быть установлен в вашем центре обработки данных вне зависимости от того, находится ли ваш сервер Workspace ONE MDM в локальной среде или в облаке.

Облачная архитектура SEG Локальная архитектура

Прямая модель развертывания PowerShell

В модели PowerShell приложение Workspace ONE UEM принимает на себя роль администратора PowerShell и дает инфраструктуре Exchange ActiveSync (EAS) команды разрешить или запретить доступ к эл. почте на основе политик, определенных в UEM console. Развертывания PowerShell не нуждаются в дополнительном прокси-сервере, и процесс установки довольно простой.

Развертывания PowerShell предназначены для организаций, в которых используется Microsoft Exchange 2010, 2013, 2016, 2019 или Office 365.

Модель PowerShell для Office 365  

Существует два способа выполнения команд PowerShell в зависимости от взаимного расположения сервера Workspace ONE UEM и сервера Exchange:
  • Сервер Workspace ONE находится в облаке, а сервер Exchange в локальной среде — в этом случае сервер Workspace ONE UEM выполняет команды PowerShell. VMware Enterprise Systems Connector устанавливает сеанс PowerShell с почтовым сервером.
  • Сервер Workspace ONE UEM и сервер эл. почты находятся в локальной среде — в этом случае сервер Workspace ONE UEM устанавливает сеанс PowerShell напрямую с почтовым сервером. В такой конфигурации не требуется наличия сервера VMware Enterprise Systems Connector за исключением тех случаев, когда сервер Workspace ONE UEM не может взаимодействовать напрямую с сервером эл. почты.

Модель PowerShell для Exchange

Дополнительные сведения о выборе между моделями развертывания Secure Email Gateway и PowerShell см. в разделе «Рекомендации по использованию Workspace ONE UEM».

Прямая модель Gmail

Интеграция сервера Workspace ONE UEM с Google.

Организации, где используется инфраструктура Gmail, могут быть знакомы проблемы защиты почтовых конечных точек для Gmail и предотвращения неавторизованного трафика. Workspace ONE UEM решает эти проблемы, предоставляя гибкий и безопасный метод для интеграции вашей инфраструктуры электронной почты.

В прямой модели развертывания Gmail сервер Workspace ONE UEM взаимодействует напрямую с Google. В зависимости от требований безопасности решение Workspace ONE может управлять паролем пользователя Google и доступом к почтовому ящику пользователя.

Прямая модель Google

Вызовы API для Google Suite — можно настроить атрибуты, используемые в вызовах API для Google Suite, указав альтернативный атрибут вместо адреса электронной почты пользователя. По умолчанию используется адрес электронной почты пользователя. Подробнее о настройке прямой модели Gmail см. в разделе Интеграция прямой модели с использованием функции управления паролями.

Таблица моделей развертывания MEM

Используйте приведенную ниже таблицу функций для сравнения компонентов, доступных в различных моделях развертывания MEM.

Для Office 365 требуется дополнительная настройка при использовании модели прокси-серверов SEG. Workspace ONE UEM рекомендует прямую модель интеграции для облачных серверов эл. почты. Подробнее см. в разделе «Рекомендации по использованию Workspace ONE UEM».

Поддерживается Не поддерживается Workspace ONE UEM
X Возможность недоступна Н/п Неприменимо
Табл. 1. Таблица развертывания
  Модель SEG-прокси Прямая модель
 

Exchange 2010/2013/2016/2019 Office 365

Lotus Traveler

Google

Office 365 (PowerShell)

Exchange 2010/2013/2016/2019

(PowerShell)

Gmail

Средства безопасности эл. почты
Применяемые параметры безопасности

Использование цифровых подписей на основе S/MIME

Н/п

Защита конфиденциальных данных с помощью принудительного шифрования

Использование SSL

Безопасность вложений и гиперссылок в эл. почте

Принудительное открытие вложений и гиперссылок в VMware AirWatch Content Locker или только в Workspace ONE Web

x x x

Автоматическая настройка эл. почты

Дистанционная настройка эл. почты на устройстве

Контроль доступа к эл. почте

Блокировка доступа к эл. почте на неуправляемых устройствах

Обнаружение неуправляемых устройств

Н/п

Доступ к эл. почте с помощью настраиваемых политик соответствия

Обязательное шифрование устройства для доступа к эл. почте

Блокировка доступа к эл. почте на уязвимых устройствах

Разрешение/блокировка эл. почты: почтовый клиент

x
Контроль доступа к эл. почте

Разрешение/блокировка эл. почты: пользователь

x

Разрешение/блокировка эл. почты: модель устройства

Разрешение/блокировка эл. почты: ОС устройства

Разрешение/блокировка эл. почты: тип устройства EAS

x

Видимость систем управления

Статистика трафика эл. почты

x x x

Статистика по почтовым клиентам

x x x

Управление сертификатами

Интеграция/отзыв ЦС

Н/п

Архитектура

Встроенный шлюз (прокси)

Н/п Н/п

Exchange PowerShell

Н/п Н/п Н/п Н/п

Управление паролями Gmail

Н/п Н/п Н/п Н/п
Интеграция Directory API для Gmail Н/п Н/п Н/п Н/п Н/п

Поддерживается

VMware Boxer для iOS и Android [^]

Внутренний почтовый клиент iOS

Внутренний почтовый клиент Android**

Внутренний почтовый клиент Windows Mobile x

Windows Phone

Blackberry 10*** Н/п

iOS Touchdown*

Android Touchdown

Клиент Android для Lotus Notes*

Н/п Н/п Н/п Н/п Н/п

*Безопасность вложений и гиперссылок электронной почты не поддерживается в клиенте Android для Lotus Notes и клиенте iOS Touchdown

** В настоящее время внутренний почтовый клиент Android поддерживается только на устройствах SAFE, HTC Pro2, LG Optimus Pro и Intuition.

*** Профиль EAS не поддерживается.

+ Exchange 2003 не поддерживается.

^ Exchange 2003, обязательный профиль ActiveSync и использование нескольких экземпляров MEM не поддерживаются для Workspace ONE Boxer.

Рекомендации по Workspace ONE UEM

В этом разделе перечислены возможности, поддерживаемые Workspace ONE UEM, и соответствующие размеры развертываний. Используйте таблицу сравнения для выбора оптимального развертывания.

Шифрование вложений

Благодаря принудительному шифрованию вложений на мобильных устройствах, платформа Workspace ONE UEM может помочь сохранить вложения вашей эл. почты в безопасности, не затрудняя при этом работу конечных пользователей.

  Внутренние Touchdown Traveler VMware Boxer
iOS    
Android  
Windows Phone *      

* Если ваша среда включает устройства Windows Phone 8/8.1/RT, рекомендуем использовать шифрование вложений.

SEG поддерживает шифрование вложений и преобразование гиперссылок в Boxer лишь в том случае, если эти функции включены для конфигурации приложения Boxer в UEM.

SEG поддерживает шифрование вложений для Exchange 2010/2013/2016/2019 и Office 365.

Примечание:

SEG не шифрует вложения для Boxer, но DLP может применяться на уровне приложения.

Управление электронной почтой

Перечисленные рекомендации обеспечивают максимальный уровень защиты, удобства развертывания и управления.

Инфраструктура эл. почты Gmail PowerShell Secure Email Gateway (SEG)
Инфраструктура облачной эл. почты
Office 365  
Gmail  
Инфраструктура локальной эл. почты
Exchange 2010  
Exchange 2013  
Exchange 2016  
Exchange 2019  
Lotus Notes    

^Используйте Secure Email GatewaySecure Email Gateway (SEG) для всех локальных инфраструктур электронной почты с развертыванием более 100 000 устройств. При развертывании менее 100 000 устройств для управления электронной почтой также можно использовать PowerShell. См. таблицу сравнения Secure Email Gateway и PowerShell.

**Порог для внедрения PowerShell основан на последнем наборе выполненных тестов производительности и может меняться от версии к версии. При развертывании не более 50 000 устройств процесс синхронизации и проверки на соответствие не должен занять много времени (предположительно не более 3 часов). При увеличении количества устройств в развертывании (например, до 100 000 устройств) время выполнения синхронизации и проверки на соответствие возрастет примерно до 3–7 часов.

Таблица сравнения Secure Email Gateway и PowerShell

В таблице приведены функции развертывания SEG и PowerShell, чтобы помочь вам выбрать вариант развертывания, соответствующий вашим потребностям.

  Преимущества Недостатки
SEG
  • Соответствие в реальном времени
  • Шифрование вложений.
  • Преобразование гиперссылок.
  • Необходимость дополнительных серверов.
PowerShell
  • Нет необходимости в дополнительном локальном сервере для управления эл. почтой.
  • Нет необходимости в ADFS, так как почтовый трафик направляется напрямую в Office 365, не проходя через локальный сервер.
  • Нет необходимости в синхронизации с правилами соответствия в режиме реального времени
  • Не подходит для больших сред (свыше 100 000 устройств).
Корпорация Майкрософт предлагает использовать службы Active Directory Federated Services (ADFS) для предотвращения прямого доступа к учетным записям электронной почты Office 365.