Workspace ONE UEM 提供兩種類型的部署模式,可用來保護和管理您的 Email 基礎結構、Proxy 模式和直接模式。

您可使用下列 Email 部署模式之一,與您在 UEM console 中定義的 Email 原則,來有效管理您的行動裝置。
  • 在 Proxy 部署模式中,會在 Workspace ONE 伺服器與公司 Email 伺服器之間放置個別的伺服器,稱為 Secure Email Gateway (SEG) Proxy 伺服器。 所有由裝置送往 Email 伺服器的要求,都會經過這部代理伺服器的篩選,且只會為經核准的裝置轉送流量。公司的 Email 伺服器無需直接與行動裝置通訊,便能藉此獲得保護。
  • 在直接部署模式中,不再有 Proxy 伺服器的參與,且 Workspace ONE UEM 會直接與 Email 伺服器通訊。由於這種模式沒有代理伺服器,因此安裝與配置的步驟都會簡化。
備註: Proxy 部署模式有兩個變體,即 [傳統] 和 [SEG v2] 平台。不再支援傳統的 SEG 平台,因為 SEG V2 平台可確保提供高於傳統平台的效能。SEG V2 平台可安裝在現有 SEG 伺服器上,只需要最少的停機時間,並可在升級期間執行,不必變更設定檔,也不需要與終端使用者互動。
部署模式 配置模式 郵件基礎結構
Proxy 部署模式

Microsoft Exchange 2010/2013/2016

Exchange Office 365

Microsoft Exchange 2010/2013/2016/2019

Exchange Office 365

IBM Domino w/ Lotus

Gmail

直接部署模式 - PowerShell

PowerShell 模式

Microsoft Exchange 2010/2013/2016/2019

Microsoft Office 365

直接部署模式 - Gmail

Gmail
備註: Workspace ONE UEM 僅支援 Email 伺服器提供者目前支援的第三方 Email 伺服器版本。提供者取代伺服器版本時,Workspace ONE UEM 將不再支援與已淘汰版本整合。

安全 Email 閘道 Proxy 模式

安全 Email 閘道 (SEG) 代理伺服器是一個單獨的伺服器,與您現有的 Email 伺服器一併安裝以代理所有通到行動裝置上的 Email 流量。根據您在 UEM 主控台中所定義的設定,SEG Proxy 伺服器會允許或封鎖其所管理的每台行動裝置。

所有由裝置送往 Email 伺服器的要求,都會經過 SEG 代理伺服器的篩選,且只會為經核准的裝置轉送流量。此轉送功能不允許任何裝置與公司的 Email 伺服器通訊,以保護該伺服器。

將 SEG 伺服器安裝在您的網路上,使其與企業的 Email 流量一致。您也可以將該伺服器安裝在 DMZ 區中,或是安裝在反向代理伺服器後方。無論您的 Workspace ONE MDM 伺服器是在雲端或是在內部部署,您都必須在資料中心內裝載 SEG 伺服器。

SEG 雲端內部部署架構

直接部署 PowerShell 模式

在 PowerShell 模式中,Workspace ONE UEM 採用 PowerShell 管理員身份,將指令發送到 Exchange ActiveSync (EAS) 基礎結構,再依照 UEM console 定義的原則來允許或拒絕存取 Email。PowerShell 部署不需要使用單獨的 Email 代理伺服器,而且其安裝過程也較爲容易。

PowerShell 部署適用於使用 Microsoft Exchange 2010、2013、2016、2019 或 Office 365 的組織。

PowerShell Office 365 模式  

根據 Workspace ONE UEM 伺服器與 Exchange 伺服器的所在位置,而有兩種發送 PowerShell 指令的方式:
  • 當 Workspace ONE 伺服器部署於雲端而 Exchange 伺服器部署於內部時 - Workspace ONE UEM 伺服器會發送 PowerShell 指令。VMware 企業系統 Connector 會使用 Email 伺服器來設定 PowerShell 工作階段。
  • Workspace ONE UEM 伺服器與 Email 伺服器在內部部署 - Workspace ONE UEM 伺服器會直接與 Email 伺服器設定 PowerShell 工作階段。此情形便不需要使用 VMware Enterprise Systems Connector 伺服器,除非 Workspace ONE UEM 伺服器無法直接與 Email 伺服器通訊。

PowerShell Exchange 模式

若需要在 Secure Email Gateway 與 PowerShell 部署模式之間作抉擇,請參閱〈Workspace ONE UEM 建議〉一節,以取得相關的協助。

Gmail 直接模式

整合 Workspace ONE UEM 伺服器與 Google。

使用 Gmail 基礎結構的企業,或許已相當瞭解保護 Gmail 的 Email 端點和防止郵件繞過安全端點所面臨的挑戰。Workspace ONE UEM 提供您安全又有彈性的方法來整合並保護您的 Email 基礎結構,以應付這些挑戰。

在直接 Gmail 部署模式中,Workspace ONE UEM 伺服器能與 Google 直接通訊。根據安全性需求,Workspace ONE 可以管理使用者的 Google 密碼,並控制使用者信箱的存取權。

Google 直接模式

API 呼叫 Google 套件 - 您可以藉由指定備用屬性而非使用者電子郵件地址,自訂用於 Google 套件的 API 呼叫。依預設,會採用使用者的電子郵件地址。如需如何設定 Gmail 直接模式的詳細資訊,請參閱使用密碼管理的直接整合模式

MEM 部署模式矩陣

使用以下功能對照表比較不同 MEM 部署模式中可用的功能。

Office 365 對於 SEG Proxy 模式需要其他額外的配置。Workspace ONE UEM 建議針對雲端式 Email 伺服器使用直接整合模式。如需詳細資訊,請參閱〈Workspace ONE UEM 建議〉一節。

支援 不受 Workspace ONE UEM 支援
X 不提供該功能 N/A 不適用
表 1. 部署對照表
  SEG 代理伺服器模式 直接模式
 

Exchange 2010/2013/2016/2019 Office 365

Lotus Traveler

Google

Office 365 (PowerShell)

Exchange 2010/2013/2016/2019

(PowerShell)

Gmail

Email 安全性工具
加強的安全性設定

透過 S/MIME 功能來使用數位簽名

N/A

強制加密來保護機密資料

強制執行 SSL 的安全性

Email 附件和超連結的安全性

強制附件和超連結只能在 VMware AirWatch Content LockerWorkspace ONE Web 中開啟

x x x

自動的 Email 配置

隔空配置裝置上的 Email

Email 存取權的控管

封鎖未受管裝置存取 Email 的權限

偵測現有的未受管裝置

N/A

透過自訂的合規原則來存取 Email

需要加密裝置以存取 Email

禁止遭破解的裝置存取 Email

允許/封鎖 Email - 郵件用戶端

x
Email 存取權的控管

允許/封鎖 Email - 使用者

x

允許/封鎖 Email - 裝置型號

允許/封鎖 Email - 裝置作業系統

允許/封鎖 Email - EAS 裝置類型

x

管理可見度

Email 流量統計資料

x x x

Email 用戶端統計資料

x x x

憑證管理

CA 整合/撤銷

N/A

架構

內嵌閘道 (代理伺服器)

N/A N/A

Exchange PowerShell

N/A N/A N/A N/A

Gmail 密碼管理

N/A N/A N/A N/A
Gmail 目錄 API 整合 N/A N/A N/A N/A N/A

支援

VMware Boxer iOS 版和 Android 版 [^]

iOS 本機 Email 用戶端

Android 原生 Email 用戶端**

Windows 行動本機 Email 用戶端 x

Windows Phone

Blackberry 10*** N/A

iOS Touchdown*

Android Touchdown

Android Lotus Notes 用戶端*

N/A N/A N/A N/A N/A

*Android Lotus Notes 用戶端和 iOS Touchdown 用戶端並不支援 Email 附件和超連結的安全性

**Android 本機 Email 用戶端僅支援 SAFE、HTC Pro2、LG Optimus Pro 以及直觀裝置

***不支援 EAS 設定檔

+ 不支援 Exchange 2003

^ Workspace ONE Boxer 不支援 Exchange 2003、必要的 ActiveSync 設定檔及多重 MEM。

Workspace ONE UEM 建議事項

本節將列出 Workspace ONE UEM 所支援的功能與適合的部署大小。用決策矩陣來選擇最符合您需求之部署方式。

附件加密

透過在行動裝置上強制執行附件的加密,Workspace ONE UEM 可幫助您保持 Email 附件的安全性,而不會妨礙使用者的操作體驗。

  本機 Touchdown Traveler VMware Boxer
iOS    
Android  
Windows Phone*      

*如果您的部署含有 Windows Phone 8/8.1/RT 裝置,請使用附件加密功能。

只有已經在 UEM 主控台上對於 Boxer 應用程式配置啟用附件加密和超連結轉換的情況下,SEG 才支援 Boxer 的這些功能。

SEG 支援 Exchange 2010/2013/2016/2019 和 Office 365 的附件加密。

備註:

SEG 不會加密 Boxer 的附件,但可以在應用程式層級強制執行 DLP。

Email 管理

該清單列出能夠為您提供最輕鬆的部署和管理方法,以及最高層次的安全性。

電子郵件基礎結構 Gmail PowerShell 安全 Email 閘道 (SEG)
雲端郵件基礎結構
Office 365  
Gmail  
內部部署 Email 基礎結構
Exchange 2010  
Exchange 2013  
Exchange 2016  
Exchange 2019  
Lotus Notes    

所有部署超過十萬台裝置的內部部署 Email 基礎架構,^請使用 Secure Email GatewaySecure Email Gateway (SEG)。少於十萬台裝置的部署,亦可選擇使用 PowerShell 來管理 Email。詳情請參閱安全 Email 閘道與 PowerShell 決策矩陣的比較。

**PowerShell 實行閾值是根據最新且完整的效能測試組而取得的,此值可能會在每次新版本發行時有所變動。當部署規模不超過五萬台裝置時,預期同步和執行合規性的時間會相當快速 (不到 3 小時)。部署將近十萬台裝置時,管理員所預期同步和執行合規程序的時間會隨之增加到 3 – 7 小時。

安全 Email 閘道與 PowerShell 決策矩陣的比較

下方對照表說明 SEG 和 PowerShell 的部署功能,協助您選擇符合您需求的部署模式。

  優點 缺點
SEG
  • 即時合規性
  • 附件加密
  • 超連結轉換
  • 需要其他伺服器
PowerShell
  • Email 管理不需要其他的內部部署伺服器
  • 郵件流量在經路由傳送到 Office 365 之前,不會經路由傳送到內部部署伺服器,所以不需要 ADFS
  • 不需要即時合規同步
  • 不適合用於大型部署 (十萬台以上的裝置)
Microsoft 建議您使用 Active Directory Federated Services (ADFS) 來禁止直接存取 Office 365 的 Email 帳戶。