Модели развертывания для управления инфраструктурой электронной почты

Чтобы защитить инфраструктуру эл. почты и управлять ею, Workspace ONE UEM предлагает модели развертывания двух типов: модель «прокси-сервер» и прямую модель.

Вы можете использовать одну из этих моделей развертывания совместно с политиками эл. почты, заданными в UEM console, для эффективного управления мобильными устройствами.

В рамках модели прокси между сервером Workspace ONE и корпоративным почтовым сервером размещается отдельный сервер, который называется прокси-сервером SEG (Secure Email Gateway). Прокси-сервер фильтрует все запросы, поступающие из устройств на почтовый сервер, и пропускает трафик только от авторизованных устройств. Благодаря этому обеспечивается защита корпоративного почтового сервера, так как он не взаимодействует непосредственно с мобильными устройствами.
В прямой модели прокси-сервера нет, и Workspace ONE UEM взаимодействует непосредственно с почтовыми серверами. Благодаря отсутствию прокси-сервера упрощается процедура установки и настройки.

Примечание: В качестве модели развертывания прокси-серверов предлагаются два варианта — классическая платформа и платформа SEG v2. Классическая платформа SEG больше не поддерживается, так как платформа SEG v2 обеспечивает более высокую производительность по сравнению с классической платформой. Платформу SEG v2 можно установить на существующем сервере SEG с минимальным временем отключения, а при модернизации не нужно изменять профиль и не требуется никаких действий конечного пользователя.


Модель развертывания	Режим настройки	Инфраструктура эл. почты
Модель развертывания прокси-серверов	Microsoft Exchange 2010/2013/2016 Exchange Office 365	Microsoft Exchange 2010/2013/2016/2019 Exchange Office 365 HCL Domino с HCL Gmail
Модель прямого развертывания — PowerShell	Модель PowerShell	Microsoft Exchange 2010/2013/2016/2019 Microsoft Office 365
Модель прямого развертывания — Gmail	Gmail

Примечание: Workspace ONE UEM поддерживает только те версии сторонних почтовых серверов, которые на данный момент поддерживаются провайдером почтового сервера. Когда поставщик объявляет версию почтового сервера устаревшей, платформа Workspace ONE UEM перестает поддерживать интеграцию с этой устаревшей версией.

Модель прокси-сервера Secure Email Gateway

Прокси-сервер Secure Email Gateway (SEG) — это отдельный сервер, установленный в соответствии с вашим существующим почтовым сервером и пропускающий весь поток данных на мобильные устройства. На основе параметров, заданных в консоли EM, прокси-сервер SEG разрешает или блокирует передачу данных для каждого управляемого мобильного устройства.

Прокси-сервер SEG фильтрует все запросы связи, поступающие на корпоративный почтовый сервер, и пропускает трафик только от авторизованных устройств. Такая ретрансляция защищает корпоративный почтовый сервер, запрещая устройствам связь с ним.

Установите сервер SEG в сети, чтобы поток данных эл. почты предприятия проходил через него. Его также можно установить в демилитаризованной зоне (DMZ) или после обратного прокси-сервера. Сервер SEG должен быть установлен в вашем центре обработки данных вне зависимости от того, находится ли ваш сервер Workspace ONE MDM в локальной среде или в облаке.

Облачная и локальная архитектура SEG

Прямая модель развертывания PowerShell

В модели PowerShell приложение Workspace ONE UEM принимает на себя роль администратора PowerShell и дает инфраструктуре Exchange ActiveSync (EAS) команды разрешить или запретить доступ к эл. почте на основе политик, определенных в UEM console. Развертывания PowerShell не нуждаются в дополнительном прокси-сервере, и процесс установки довольно простой.

Развертывания PowerShell предназначены для организаций, в которых используется Microsoft Exchange 2010, 2013, 2016, 2019 или Office 365.

Модель развертывания PowerShell для Office 365

Существует два способа выполнения команд PowerShell в зависимости от взаимного расположения сервера Workspace ONE UEM и сервера Exchange:

Сервер Workspace ONE находится в облаке, а сервер Exchange в локальной среде — в этом случае сервер Workspace ONE UEM выполняет команды PowerShell. VMware Enterprise Systems Connector устанавливает сеанс PowerShell с почтовым сервером.
Сервер Workspace ONE UEM и сервер эл. почты находятся в локальной среде — в этом случае сервер Workspace ONE UEM устанавливает сеанс PowerShell напрямую с почтовым сервером. В такой конфигурации не требуется наличия сервера VMware Enterprise Systems Connector за исключением тех случаев, когда сервер Workspace ONE UEM не может взаимодействовать напрямую с сервером эл. почты.

Модель PowerShell Microsoft 2010 Exchange, развернутая в облаке и локально

Дополнительные сведения о выборе между моделями развертывания Secure Email Gateway и PowerShell см. в разделе «Рекомендации по использованию Workspace ONE UEM».

Прямая модель Gmail

Интеграция сервера Workspace ONE UEM с Google.

Организации, где используется инфраструктура Gmail, могут быть знакомы проблемы защиты почтовых конечных точек для Gmail и предотвращения неавторизованного трафика. Workspace ONE UEM решает эти проблемы, предоставляя гибкий и безопасный метод для интеграции вашей инфраструктуры электронной почты.

В прямой модели развертывания Gmail сервер Workspace ONE UEM взаимодействует напрямую с Google. В зависимости от требований безопасности решение Workspace ONE может управлять паролем пользователя Google и доступом к почтовому ящику пользователя.

Прямая модель развертывания Google

Вызовы API для Google Suite — можно настроить атрибуты, используемые в вызовах API для Google Suite, указав альтернативный атрибут вместо адреса электронной почты пользователя. По умолчанию используется адрес электронной почты пользователя. Подробнее о настройке прямой модели Gmail см. в разделе Интеграция прямой модели с использованием функции управления паролями.

Таблица моделей развертывания MEM

Используйте приведенную ниже таблицу функций для сравнения компонентов, доступных в различных моделях развертывания MEM.

Для Office 365 требуется дополнительная настройка при использовании модели прокси-серверов SEG. Workspace ONE UEM рекомендует прямую модель интеграции для облачных серверов эл. почты. Подробнее см. в разделе «Рекомендации по использованию Workspace ONE UEM».


✓	Поддерживается	□	Не поддерживается Workspace ONE UEM
X	Возможность недоступна	Н/п	Неприменимо

Табл. 1. Таблица развертывания
	Модель SEG-прокси			Прямая модель
	Exchange 2010/2013/2016/2019 Office 365	HCL Notes Traveler	Google	Office 365 (PowerShell)	Exchange 2010/2013/2016/2019 (PowerShell)	Gmail
Средства безопасности эл. почты
Применяемые параметры безопасности
Использование цифровых подписей на основе S/MIME	✓	□	□	✓	✓	Н/п
Защита конфиденциальных данных с помощью принудительного шифрования	✓	✓	✓	✓	✓	✓
Использование SSL	✓	✓	✓	✓	✓	✓
Безопасность вложений и гиперссылок в эл. почте
Принудительное открытие вложений и гиперссылок в VMware AirWatch Content Locker или только в Workspace ONE Web	✓	✓	✓	x	x	x
Автоматическая настройка эл. почты
Дистанционная настройка эл. почты на устройстве	✓	✓	✓	✓	✓	✓
Контроль доступа к эл. почте
Блокировка доступа к эл. почте на неуправляемых устройствах	✓	✓	✓	✓	✓	✓
Обнаружение неуправляемых устройств	✓	✓	✓	✓	✓	Н/п
Доступ к эл. почте с помощью настраиваемых политик соответствия	✓	✓	✓	✓	✓	✓
Обязательное шифрование устройства для доступа к эл. почте	✓	✓	✓	✓	✓	✓
Блокировка доступа к эл. почте на уязвимых устройствах	✓	✓	✓	✓	✓	✓
Разрешение/блокировка эл. почты: почтовый клиент	✓	✓	✓	✓	✓	x
Контроль доступа к эл. почте
Разрешение/блокировка эл. почты: пользователь	✓	✓	✓	✓	✓	x
Разрешение/блокировка эл. почты: модель устройства	✓	✓	✓	✓	✓	✓
Разрешение/блокировка эл. почты: ОС устройства	✓	✓	✓	✓	✓	✓
Разрешение/блокировка эл. почты: тип устройства EAS	✓	✓	✓	✓	✓	x
Видимость систем управления
Статистика трафика эл. почты	✓	✓	✓	x	x	x
Статистика по почтовым клиентам	✓	✓	✓	x	x	x
Управление сертификатами
Интеграция/отзыв ЦС	✓	□	□	✓	✓	Н/п
Архитектура
Встроенный шлюз (прокси)	✓	✓	✓	Н/п	Н/п	✓
Exchange PowerShell	Н/п	Н/п	Н/п	✓	✓	Н/п
Управление паролями Gmail	Н/п	Н/п	✓	Н/п	Н/п	✓
Интеграция Directory API для Gmail	Н/п	Н/п	Н/п	Н/п	Н/п	✓
Поддерживается
Workspace ONE Boxer для iOS и Android [^]	✓	✓	✓	✓	✓	✓
Внутренний почтовый клиент iOS	✓	✓	✓	✓	✓	✓
Внутренний почтовый клиент Android (Gmail)	✓	✓	✓	✓	✓	✓
Клиент Android HCL Notes*	Н/п	✓	Н/п	Н/п	Н/п	Н/п

* Безопасность вложений и гиперссылок эл. почты не поддерживается в клиенте Android HCL Notes.

+ Exchange 2003 не поддерживается.

^ Exchange 2003, обязательный профиль ActiveSync и использование нескольких экземпляров MEM не поддерживаются для Workspace ONE Boxer.

Рекомендации по Workspace ONE UEM

В этом разделе перечислены возможности, поддерживаемые Workspace ONE UEM, и соответствующие размеры развертываний. Используйте таблицу сравнения для выбора оптимального развертывания.

Шифрование вложений

Благодаря принудительному шифрованию вложений на мобильных устройствах, платформа Workspace ONE UEM может помочь сохранить вложения вашей эл. почты в безопасности, не затрудняя при этом работу конечных пользователей.


	Внутренние	Traveler	Workspace ONE Boxer
iOS	✓
Android	✓
SEG поддерживает шифрование вложений и преобразование гиперссылок в Workspace ONE Boxer лишь в том случае, если эти компоненты включены для конфигурации приложения Boxer в UEM Console. SEG поддерживает шифрование вложений для Exchange 2010/2013/2016/2019 и Office 365.

Примечание:

SEG не шифрует вложения Workspace ONE для Boxer, но на уровне приложения может применяться защита от потери данных (DLP).

Управление электронной почтой

Перечисленные рекомендации обеспечивают максимальный уровень защиты, удобства развертывания и управления.


Инфраструктура эл. почты	Gmail	PowerShell	Secure Email Gateway (SEG)
Инфраструктура облачной эл. почты
Office 365		✓	✓
Gmail	✓		✓
Инфраструктура локальной эл. почты
Exchange 2010		✓	✓
Exchange 2013		✓	✓
Exchange 2016		✓	✓
Exchange 2019		✓	✓
HCL Notes			✓

^Используйте Secure Email GatewaySecure Email Gateway (SEG) для всех локальных инфраструктур электронной почты с развертыванием более 100 000 устройств. При развертывании менее 100 000 устройств для управления электронной почтой также можно использовать PowerShell. См. таблицу сравнения Secure Email Gateway и PowerShell.

**Порог для внедрения PowerShell основан на последнем наборе выполненных тестов производительности и может меняться от версии к версии. При развертывании не более 50 000 устройств процесс синхронизации и проверки на соответствие не должен занять много времени (предположительно не более 3 часов). При увеличении количества устройств в развертывании (например, до 100 000 устройств) время выполнения синхронизации и проверки на соответствие возрастет примерно до 3–7 часов.

Таблица сравнения Secure Email Gateway и PowerShell

В таблице приведены функции развертывания SEG и PowerShell, чтобы помочь вам выбрать вариант развертывания, соответствующий вашим потребностям.


	Преимущества	Недостатки
SEG	Соответствие в реальном времени Шифрование вложений. Преобразование гиперссылок.	Необходимость дополнительных серверов.
PowerShell	Нет необходимости в дополнительном локальном сервере для управления эл. почтой. Нет необходимости в ADFS, так как почтовый трафик направляется напрямую в Office 365, не проходя через локальный сервер.	Нет необходимости в синхронизации с правилами соответствия в режиме реального времени Не подходит для больших сред (свыше 100 000 устройств).
Корпорация Майкрософт предлагает использовать службы Active Directory Federated Services (ADFS) для предотвращения прямого доступа к учетным записям электронной почты Office 365.