Workspace ONE UEM 提供兩種類型的部署模式,可用來保護和管理您的 Email 基礎結構、Proxy 模式和直接模式。
- 在 Proxy 部署模式中,會在 Workspace ONE 伺服器與公司 Email 伺服器之間放置個別的伺服器,稱為 Secure Email Gateway (SEG) Proxy 伺服器。 所有由裝置送往 Email 伺服器的要求,都會經過這部代理伺服器的篩選,且只會為經核准的裝置轉送流量。公司的 Email 伺服器無需直接與行動裝置通訊,便能藉此獲得保護。
- 在直接部署模式中,不再有 Proxy 伺服器的參與,且 Workspace ONE UEM 會直接與 Email 伺服器通訊。由於這種模式沒有代理伺服器,因此安裝與配置的步驟都會簡化。
| 部署模式 | 配置模式 | 郵件基礎結構 |
|---|---|---|
| Proxy 部署模式 | Microsoft Exchange 2010/2013/2016 Exchange Office 365 |
Microsoft Exchange 2010/2013/2016/2019 Exchange Office 365 HCL Domino w/ HCL Gmail |
| 直接部署模式 - PowerShell |
PowerShell 模式 |
Microsoft Exchange 2010/2013/2016/2019 Microsoft Office 365 |
| 直接部署模式 - Gmail |
Gmail |
安全 Email 閘道 Proxy 模式
安全 Email 閘道 (SEG) 代理伺服器是一個單獨的伺服器,與您現有的 Email 伺服器一併安裝以代理所有通到行動裝置上的 Email 流量。根據您在 UEM 主控台中所定義的設定,SEG Proxy 伺服器會允許或封鎖其所管理的每台行動裝置。
所有由裝置送往 Email 伺服器的要求,都會經過 SEG 代理伺服器的篩選,且只會為經核准的裝置轉送流量。此轉送功能不允許任何裝置與公司的 Email 伺服器通訊,以保護該伺服器。
將 SEG 伺服器安裝在您的網路上,使其與企業的 Email 流量一致。您也可以將該伺服器安裝在 DMZ 區中,或是安裝在反向代理伺服器後方。無論您的 Workspace ONE MDM 伺服器是在雲端或是在內部部署,您都必須在資料中心內裝載 SEG 伺服器。
直接部署 PowerShell 模式
在 PowerShell 模式中,Workspace ONE UEM 採用 PowerShell 管理員身份,將指令發送到 Exchange ActiveSync (EAS) 基礎結構,再依照 UEM console 定義的原則來允許或拒絕存取 Email。PowerShell 部署不需要使用單獨的 Email 代理伺服器,而且其安裝過程也較爲容易。
PowerShell 部署適用於使用 Microsoft Exchange 2010、2013、2016、2019 或 Office 365 的組織。
- 當 Workspace ONE 伺服器部署於雲端而 Exchange 伺服器部署於內部時 - Workspace ONE UEM 伺服器會發送 PowerShell 指令。VMware 企業系統 Connector 會使用 Email 伺服器來設定 PowerShell 工作階段。
- Workspace ONE UEM 伺服器與 Email 伺服器在內部部署 - Workspace ONE UEM 伺服器會直接與 Email 伺服器設定 PowerShell 工作階段。此情形便不需要使用 VMware Enterprise Systems Connector 伺服器,除非 Workspace ONE UEM 伺服器無法直接與 Email 伺服器通訊。
若需要在 Secure Email Gateway 與 PowerShell 部署模式之間作抉擇,請參閱〈Workspace ONE UEM 建議〉一節,以取得相關的協助。
Gmail 直接模式
整合 Workspace ONE UEM 伺服器與 Google。
使用 Gmail 基礎結構的企業,或許已相當瞭解保護 Gmail 的 Email 端點和防止郵件繞過安全端點所面臨的挑戰。Workspace ONE UEM 提供您安全又有彈性的方法來整合並保護您的 Email 基礎結構,以應付這些挑戰。
在直接 Gmail 部署模式中,Workspace ONE UEM 伺服器能與 Google 直接通訊。根據安全性需求,Workspace ONE 可以管理使用者的 Google 密碼,並控制使用者信箱的存取權。
API 呼叫 Google 套件 - 您可以藉由指定備用屬性而非使用者電子郵件地址,自訂用於 Google 套件的 API 呼叫。依預設,會採用使用者的電子郵件地址。如需如何設定 Gmail 直接模式的詳細資訊,請參閱使用密碼管理的直接整合模式。
MEM 部署模式矩陣
使用以下功能對照表比較不同 MEM 部署模式中可用的功能。
Office 365 對於 SEG Proxy 模式需要其他額外的配置。Workspace ONE UEM 建議針對雲端式 Email 伺服器使用直接整合模式。如需詳細資訊,請參閱〈Workspace ONE UEM 建議〉一節。
| ✓ | 支援 | □ | 不受 Workspace ONE UEM 支援 |
| X | 不提供該功能 | N/A | 不適用 |
| SEG 代理伺服器模式 | 直接模式 | |||||
|---|---|---|---|---|---|---|
| Exchange 2010/2013/2016/2019 Office 365 |
HCL Notes Traveler |
Office 365 (PowerShell) |
Exchange 2010/2013/2016/2019 (PowerShell) |
Gmail |
||
| Email 安全性工具 | ||||||
| 加強的安全性設定 | ||||||
| 透過 S/MIME 功能來使用數位簽名 |
✓ | □ | □ | ✓ | ✓ | N/A |
| 強制加密來保護機密資料 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 強制執行 SSL 的安全性 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Email 附件和超連結的安全性 |
||||||
| 強制附件和超連結只能在 VMware AirWatch Content Locker 或 Workspace ONE Web 中開啟 |
✓ | ✓ | ✓ | x | x | x |
| 自動的 Email 配置 |
||||||
| 隔空配置裝置上的 Email |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Email 存取權的控管 |
||||||
| 封鎖未受管裝置存取 Email 的權限 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 偵測現有的未受管裝置 |
✓ | ✓ | ✓ | ✓ | ✓ | N/A |
| 透過自訂的合規原則來存取 Email |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 需要加密裝置以存取 Email |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 禁止遭破解的裝置存取 Email |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 允許/封鎖 Email - 郵件用戶端 |
✓ | ✓ | ✓ | ✓ | ✓ | x |
| Email 存取權的控管 | ||||||
| 允許/封鎖 Email - 使用者 |
✓ | ✓ | ✓ | ✓ | ✓ | x |
| 允許/封鎖 Email - 裝置型號 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 允許/封鎖 Email - 裝置作業系統 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| 允許/封鎖 Email - EAS 裝置類型 |
✓ | ✓ | ✓ | ✓ | ✓ | x |
| 管理可見度 | ||||||
| Email 流量統計資料 |
✓ | ✓ | ✓ | x | x | x |
| Email 用戶端統計資料 |
✓ | ✓ | ✓ | x | x | x |
| 憑證管理 | ||||||
| CA 整合/撤銷 |
✓ | □ | □ | ✓ | ✓ | N/A |
| 架構 |
||||||
| 內嵌閘道 (代理伺服器) |
✓ | ✓ | ✓ | N/A | N/A | ✓ |
| Exchange PowerShell |
N/A | N/A | N/A | ✓ | ✓ | N/A |
| Gmail 密碼管理 |
N/A | N/A | ✓ | N/A | N/A | ✓ |
| Gmail 目錄 API 整合 | N/A | N/A | N/A | N/A | N/A | ✓ |
| 支援 |
||||||
| Workspace ONE Boxer iOS 版和 Android 版 [^] | ✓ | ✓ | ✓ | ✓ | ✓ |
✓ |
| iOS 本機 Email 用戶端 |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Android 原生 Email 用戶端 (Gmail) |
✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Android HCL Notes 用戶端* |
N/A | ✓ | N/A | N/A | N/A | N/A |
*Android HCL Notes 用戶端並不支援電子郵件附件和超連結的安全性。
+ 不支援 Exchange 2003
^ Workspace ONE Boxer 不支援 Exchange 2003、必要的 ActiveSync 設定檔及多重 MEM。
Workspace ONE UEM 建議事項
本節將列出 Workspace ONE UEM 所支援的功能與適合的部署大小。用決策矩陣來選擇最符合您需求之部署方式。
附件加密
透過在行動裝置上強制執行附件的加密,Workspace ONE UEM 可幫助您保持 Email 附件的安全性,而不會妨礙使用者的操作體驗。
| 本機 | Traveler | Workspace ONE Boxer | |
|---|---|---|---|
| iOS | ✓ | ||
| Android | ✓ | ||
| 只有已經在 UEM 主控台上對於 Boxer 應用程式組態啟用附件加密和超連結轉換的情況下,SEG 才支援 Workspace ONE Boxer 的這些功能。 SEG 支援 Exchange 2010/2013/2016/2019 和 Office 365 的附件加密。 |
SEG 不會加密 Workspace ONE Boxer 的附件,但可以在應用程式層級強制執行 DLP。
Email 管理
該清單列出能夠為您提供最輕鬆的部署和管理方法,以及最高層次的安全性。
| 電子郵件基礎結構 | Gmail | PowerShell | 安全 Email 閘道 (SEG) |
|---|---|---|---|
| 雲端郵件基礎結構 | |||
| Office 365 | ✓ | ✓ | |
| Gmail | ✓ | ✓ | |
| 內部部署 Email 基礎結構 | |||
| Exchange 2010 | ✓ | ✓ | |
| Exchange 2013 | ✓ | ✓ | |
| Exchange 2016 | ✓ | ✓ | |
| Exchange 2019 | ✓ | ✓ | |
| HCL Notes | ✓ |
所有部署超過十萬台裝置的內部部署 Email 基礎架構,^請使用 Secure Email GatewaySecure Email Gateway (SEG)。少於十萬台裝置的部署,亦可選擇使用 PowerShell 來管理 Email。詳情請參閱安全 Email 閘道與 PowerShell 決策矩陣的比較。
**PowerShell 實行閾值是根據最新且完整的效能測試組而取得的,此值可能會在每次新版本發行時有所變動。當部署規模不超過五萬台裝置時,預期同步和執行合規性的時間會相當快速 (不到 3 小時)。部署將近十萬台裝置時,管理員所預期同步和執行合規程序的時間會隨之增加到 3 – 7 小時。
安全 Email 閘道與 PowerShell 決策矩陣的比較
下方對照表說明 SEG 和 PowerShell 的部署功能,協助您選擇符合您需求的部署模式。
| 優點 | 缺點 | |
|---|---|---|
| SEG |
|
|
| PowerShell |
|
|
| Microsoft 建議您使用 Active Directory Federated Services (ADFS) 來禁止直接存取 Office 365 的 Email 帳戶。 |
