Настройка управления доступом для обеспечения безопасного доступа к вашей почтовой инфраструктуре.

Политики соответствия электронной почты

После того как электронная почта была развернута, вы можете дополнительно защитить мобильную почту, установив контроль над доступом к эл. почте. Благодаря функции контроля доступ к вашей инфраструктуре эл. почты могут получать только безопасные и соответствующие устройства. Для контроля доступа применяются политики соответствия эл. почты.

Политики соответствия эл. почты повышают уровень безопасности, блокируя доступ к эл. почте с несоответствующих, незашифрованных, неактивных или неуправляемых устройств. Политики эл. почты позволяют предоставить доступ к эл. почте только необходимым и авторизованным устройствам. Политики эл. почты также запрещают доступ к эл. почте с учетом модели устройства и операционных систем.

Существуют следующие категории политик: общие политики эл. почты, политики управляемых устройств и политики безопасности эл. почты. В таблице ниже указаны политики в каждой категории и модели развертывания, в которых они применяются.

В следующей таблице перечислены поддерживаемые политики соответствия электронной почты.

Табл. 1. Поддерживаемые политики соответствия электронной почты
  SEG (Exchange, HCL Traveler, G Suite) PowerShell (Exchange) Управление паролями (Gmail) Прямая интеграция (Gmail)
Общие политики эл. почты
Параметры синхронизации Д Н
Управляемое устройство Д Д
Почтовый клиент Д Д
Пользователь Д Д
Тип устройства EAS Д Д
Политики управляемых устройств
Неактивность Д Д
Устройство уязвимо Д Д
Шифрование Д Д
Модель Д Д
Операционная система Д Д
Требование профиля ActiveSync Д Д
Политики безопасности эл. почты
Классификация безопасности электронной почты Д Н
Вложения (управляемые устройства) Д Н
Вложения (неуправляемые устройства) Д Н
Гиперссылка Д Н

Активация политики соответствия электронной почты

Workspace ONE UEM Console предоставляет разные политики соответствия эл. почты: общие политики эл. почты, политики для управляемых устройств и политики безопасности эл. почты. Вы можете активировать любую доступную политику соответствия эл. почты или изменить правила для этих политик, чтобы разрешить устройства или блокировать их.

  1. Перейдите в раздел Эл. почта > Политики соответствия.
  2. Чтобы изменить любое правило для политики, используйте значок изменения политики в столбце Действия.
    Примечание: Общие политики эл. почты применяются на всех устройствах, использующих эл. почту. При выборе группы пользователей политика распространяется на всех пользователей в выбранной группе.
    Политика эл. почты Описание
    Параметры синхронизации

    Ограничение синхронизации устройства с определенными папками EAS.

    • Workspace ONE UEM предотвращает синхронизацию устройств с указанными папками вне зависимости от прочих политик соответствия.
    • Чтобы политика действовала, вам понадобится повторно распространить профиль EAS на устройства (для повторной синхронизации устройств с сервером эл. почты).
    Управляемое устройство Доступ к электронной почте только для управляемых устройств.
    Почтовый клиент Доступ к почте открыт только для почтовых клиентов.
    • Вы можете разрешить или запретить доступ с помощью почтовых клиентов в зависимости от их типа, например Настраиваемый и Обнаруженный.
    • Вы также можете установить действия по умолчанию для почтового клиента и обнаруженных почтовых клиентов, которые не отображаются в раскрывающемся меню Почтового клиента. Для настраиваемого клиента поддерживаются подстановочные знаки (*) и автозавершение.
    Пользователь Почта доступна только определенным пользователям. Вы можете разрешить или запретить тип пользователей, например "Настраиваемый", "Обнаруженный", "Аккаунт пользователя Workspace ONE UEM" и "Группа пользователей". Вы также можете установить действия по умолчанию для имен пользователей в электронной почте, которые не отображаются в раскрывающемся меню «Имя пользователя» или «Группа». Для настраиваемого типа пользователей поддерживаются подстановочные знаки (*) и автозавершение.
    Тип устройства EAS Внесение устройств в разрешенный или запрещенный список в зависимости от атрибута «Тип устройства EAS», передаваемого устройством конечного пользователя. Можно разрешить или блокировать устройства в зависимости от типа почтового клиента, например "Настраиваемый" и "Обнаруженный". Кроме того, можно установить действия по умолчанию для типов устройств EAS, которые не отображаются в раскрывающемся меню "Тип устройства". Для настраиваемого клиента поддерживаются подстановочные знаки (*) и автозавершение.
    Политики управляемых устройств применяются на управляемых устройствах, использующих эл. почту.
    Политика эл. почты Описание
    Неактивность Ограничивает доступ к почте для неактивных управляемых устройств. Можно указать период (в днях) отображения устройства как неактивного (т. е. когда с устройства не выполняется вход в VMware AirWatch), по истечении которого Workspace ONE UEM будет блокировать доступ к эл. почте. Диапазон допустимых значений: 1–32 767.
    Устройство уязвимо Ограничивает доступ к почте для скомпрометированных устройств. Эта политика не блокирует доступ устройствам к эл. почте, для которых в системе AirWatch не указан статус уязвимости.
    Шифрование Блокирует доступ к почте для незашифрованных устройств. Эта политика применяется только к устройствам, которые сообщили свой статус защиты данных системе VMware AirWatch.
    Модель Блокирует доступ к почте в зависимости от платформы и модели устройства.
    Операционная система Разрешение доступа к почте заданным операционным системам для определенных платформ.
    Требование профиля ActiveSync Запрет доступа к электронной почте для устройств, которые не управляются с помощью профиля Exchange ActiveSync. Для почтовых клиентов, настроенных через конфигурацию приложения, а не через профиль ActiveSync, отправка конфигурации приложения в управляемый клиент электронной почты обеспечивает соответствие клиента электронной почты политике соответствия.
    Политики безопасности эл. почты применяются к вложениям и гиперссылкам. Эта политика применяется только для развертываний SEG. Подробнее см. в разделе Принудительный контроль доступа к электронной почте.
    Политика эл. почты Описание
    Классификация безопасности электронной почты Определите политику SEGобработки электронных писем с тегами и без тегов. Вы можете использовать предопределенные теги или создавать новые теги с помощью опции "Кастомизация". Исходя из этой классификации, можно разрешить или блокировать эл. почту на почтовых клиентах.
    Вложения (управляемые устройства)

    Шифрование вложений электронной почты для выбранных типов файлов. Защита этих вложений выполняется на устройстве. Их можно просматривать только в VMware AirWatch Content Locker.

    В настоящее время эта функция доступна только на управляемых устройствах iOS и Android с приложением VMware AirWatch Content Locker. Для других управляемых устройств можно установить разрешение на шифрованные вложения, блокировку вложений или разрешение на незашифрованные вложения.

    Вложения (неуправляемые устройства)

    Шифрование и блокировка вложений или разрешение незашифрованных вложений для устройств вне управления.

    Зашифрованные вложения почты недоступны для просмотра на неуправляемых устройствах. Эта функция позволяет обеспечивать целостность эл. почты. Если электронное письмо с зашифрованным вложением переслать с неуправляемого устройства, получатель все равно сможет просмотреть это вложение на своем ПК или другом мобильном устройстве.

    Гиперссылка

    Разрешение пользователям открывать ссылки из электронных писем напрямую в VMware Browser на устройстве. Secure Email Gateway динамически изменяет гиперссылки, которые открываются в VMware Browser. Можно выбрать один из следующих типов изменения:

    • Все: выберите, чтобы открывать все гиперссылки с помощью VMware Browser.
    • Исключить: выберите, чтобы пользователи устройства не могли открыть упомянутые домены с помощью VMware Browser. Внесите исключенные домены в поле Изменить все гиперссылки, кроме этих доменов. Вы также можете массово загрузить названия доменов из файла .csv.
    • Включить: выберите, чтобы пользователи устройств могли открыть гиперссылки с определенных доменов с помощью VMware Browser. Внесите включенные домены в поле Изменять гиперссылки только для этих доменов. Также доступна групповая загрузка имен доменов из файла .csv.
  3. Создайте свое правило соответствия и нажмите Сохранить.
  4. Нажмите серый кружок в столбце Активный, чтобы активировать политику соответствия. Появится страница с кодом ключа.
  5. Введите код ключа в соответствующее поле и нажмите Продолжить.

Результат: политика активируется и отмечается в виде зеленого кружка в столбце Активные.

Защита контента, ссылок и вложений электронной почты

Обеспечьте защиту своей электронной почты с помощью решений Workspace ONE UEM Web и Workspace ONE UEM Content.

Workspace ONE UEM позволяет обеспечить защиту и управление вложениями мобильной эл. почты, которые являются уязвимыми к потере данных как для управляемых, так и для неуправляемых устройств. Workspace ONE UEM позволяет пользователям устройства открывать гиперссылки в электронных сообщениях непосредственно с помощью приложения Workspace ONE Web, находящегося на устройстве. Secure Email Gateway динамически изменяет гиперссылки, чтобы их можно было открыть в Workspace ONE Web.

Прежде чем приступить к защите вложений эл. почты, необходимо установить следующие приложения:

  • Secure Email Gateway (SEG)
  • VMware Content Locker (iOS и Android)
  • Поддержка Microsoft Exchange 2010, 2013, 2016 и 2019, HCL Notes, Novell GroupWise и Gmail

Включение классификации безопасности электронной почты

Выберите классификации безопасности в консоли UEMWorkspace ONE UEM Console, для которых требуется принимать меры со стороны Secure Email Gateway.

Можно использовать список предварительно определенных классификаций безопасности или создать собственную классификацию.

  1. Перейдите в раздел Электронная почта > Политики соответствия > Политики безопасности электронной почты.
  2. Нажмите серый кружок в столбце Активные для политики соответствия Классификации безопасности эл. почты. Появится страница с кодом ключа.
  3. Введите код ключа в соответствующее поле и нажмите Продолжить. Политика активируется и отмечается в виде зеленого кружка в столбце Активные.
  4. Выберите опцию Редактировать в столбце Действия.
  5. Нажмите Добавить и выберите тип тега в раскрывающемся меню Тип.

    Существуют следующие типы: "Предопределенный" и "Настраиваемый". Выберите:

    • Выберите "Предопределенный", чтобы получить список доступных тегов в раскрывающемся меню Классификация безопасности.
    • Выберите "Настраиваемый", чтобы ввести собственный тег в поле Классификация безопасности.
  6. Введите Описание для тега и нажмите Далее.
  7. Настройте действия, которые должен выполнять SEG для электронных писем, отмеченных или не отмеченных тегом. Нажмите кнопку Далее.

    Можно разрешить или заблокировать получение электронных писем в почтовых клиентах.

  8. Просмотрите окно Сводка и нажмите кнопку Сохранить.

Включение защиты вложений электронной почты

Защита вложений электронной почты с помощью Workspace ONE UEM.

В качестве вложений эл. почты могут использоваться файлы различного типа. В консоли UEM можно выбрать типы файлов, для которых должны шифроваться вложения электронной почты с помощью Secure Email Gateway. Эти зашифрованные вложения являются защищенными на мобильных устройствах и могут быть просмотрены с помощью приложения VMware AirWatch Content Locker.

Для управляемых устройств iOS и Android доступны детализированные настройки. Для прочих управляемых устройств и всех неуправляемых устройств можно блокировать возможность открывать вложения в сторонних приложениях.

  1. Перейдите в раздел Электронная почта > Политики соответствия > Политики безопасности электронной почты.
  2. Нажмите на серый кружок в столбце Активные для политики соответствия Вложения (управляемые устройства) или Вложения (неуправляемые устройства).

    Результат: появится страница с кодом ключа.

  3. Введите код ключа в соответствующее поле и нажмите Продолжить.

    Результат: политика активируется и отмечается в виде зеленого кружка в столбце Активные.

  4. Выберите опцию Редактировать в столбце Действия.
  5. Укажите, следует ли зашифровать и разрешить, запретить или разрешить без шифрования вложение для каждой категории файлов (только для управляемых устройств iOS и Android).
  6. Установите флажок Разрешить сохранение вложений в Content Locker, чтобы сохранять там вложения.

    Результат: вложения остаются зашифрованными, и применяются политики Content Locker.

  7. Выберите политику для всех файлов в папке Другие файлы, которые здесь не отмечены.
  8. Введите расширения файлов, которые следует исключить из действий, настроенных в папке Другие файлы, в Список исключений.
  9. Введите Настраиваемое уведомление при блокировке вложений, чтобы сообщить получателю, что вложение было заблокировано.
  10. Нажмите Сохранить, чтобы сохранить настройки.

Включение защиты гиперссылок

С помощью политики безопасности гиперссылок в электронных сообщениях можно изменять гиперссылки в сообщениях электронной почты таким образом, чтобы их можно было открыть непосредственно с помощью приложения Workspace ONE Web.

  1. Перейдите в раздел Электронная почта > Политики соответствия > Политики безопасности электронной почты.
  2. Нажмите серый кружок в столбце Активные для политики соответствия Гиперссылка.

    Результат: появится страница с кодом ключа.

  3. Введите код ключа в соответствующее поле и нажмите Продолжить.

    Результат: политика активируется и отмечается в виде зеленого кружка в столбце Активные.

  4. Выберите опцию Редактировать в столбце Действия.
  5. Выберите платформу, для которой нужно игнорировать преобразования гиперссылок.
  6. В поле Тип изменения выберите один из доступных вариантов.

    Выберите:

    • Все: выберите этот вариант, чтобы все гиперссылки открывались с помощью Workspace ONE Web.
    • Включить: выберите этот вариант, если нужно, чтобы пользователи устройств открывали гиперссылки из указанных доменов с помощью Workspace ONE Web. Внесите включенные домены в поле Изменять гиперссылки только для этих доменов. Также доступна групповая загрузка имен доменов из CSV-файла.
    • Исключить: выберите этот вариант, если не нужно, чтобы пользователи устройства переходили в указанные домены с помощью Workspace ONE Web. Внесите исключенные домены в поле Изменить все гиперссылки, кроме этих доменов. Также доступна групповая загрузка имен доменов из CSV-файла.
  7. Нажмите Сохранить, чтобы сохранить настройки.