設定存取控制,以提供安全存取 Email 基礎結構的方式。
Email 合規原則
完成 Email 的部署之後,您可加入存取權的控管更進一步地保護您的行動 Email。存取權的控管功能,僅允許安全及合規的裝置來存取您郵件的基礎結構。系統會根據 Email 合規原則的說明而強制執行存取控制。
Email 合規原則能針對不合規、未加密、非使用中或未受管的裝置限制其 Email 存取權,從而增強安全性。這些原則讓您能夠把 Email 的存取權只提供給必要而且已核准的裝置。Email 原則也能根據裝置的型號與作業系統來限制 Email 的存取權。
這些原則可分類為一般 Email 原則、受管裝置原則和 Email 安全性原則。下表列出不同原則的分類方式及其適用的部署類型:
下表列出支援的 Email 合規性原則。
| SEG (Exchange、HCL Traveler、G Suite) | PowerShell (Exchange) | 密碼管理 (Gmail) | 直接整合 (Gmail) | |
|---|---|---|---|---|
| 一般 Email 原則 | ||||
| 同步設定 | 是 | 否 | ||
| 受管裝置 | 是 | 是 | ||
| 郵件用戶端 | 是 | 是 | ||
| 使用者 | 是 | 是 | ||
| EAS 裝置類型 | 是 | 是 | ||
| 受管裝置原則 | ||||
| 非使用狀態 | 是 | 是 | ||
| 遭破解的裝置 | 是 | 是 | ||
| 加密 | 是 | 是 | ||
| 型號 | 是 | 是 | ||
| 作業系統 | 是 | 是 | ||
| 需要 ActiveSync 設定檔 | 是 | 是 | ||
| Email 安全性原則 | ||||
| Email 安全性分級 | 是 | 否 | ||
| 附件 (受管裝置) | 是 | 否 | ||
| 附件 (未受管裝置) | 是 | 否 | ||
| 超連結 | 是 | 否 |
啟用 Email 合規原則
可在 Workspace ONE UEM Console上取得的 Email 合規性原則包括一般 Email 原則、受管理裝置原則和 Email 安全性原則。您可以個別啟用上述 Email 合規原則,也可以編輯其規則以允許或封鎖裝置。
- 導覽至。
- 使用動作欄位下的編輯原則圖示,來編輯某項原則之規定。
備註: 一般 Email 原則會在所有存取 Email 的裝置上,強制執行原則。當您選擇一個使用者群組時,此原則會套用在該群組的所有使用者上。
受管裝置原則會在存取電子郵件的受管裝置上,強制執行原則。Email原則 描述 同步設定 禁止裝置與特定的 EAS 資料夾同步。
- 無論其他合規性原則為何,Workspace ONE UEM 禁止裝置與所選資料夾同步。
- 為了要讓原則生效,必須重新將 EAS 設定檔發佈到裝置上。(這會強制裝置重新與 Email 伺服器同步)。
受管裝置 將 Email 存取侷限於受管裝置。 郵件用戶端 將 Email 存取權限制在一組郵件用戶端。 - 您可以根據用戶端類型 (例如自訂和已偵測到的) 來允許或封鎖郵件用戶端
- 您也可以替郵件用戶端和最新偵測到但並未顯示在「郵件用戶端」下拉式功能表中的郵件用戶,設定預設動作。對自訂用戶端類型,支援萬用字元 (*) 和自動完成的功能。
使用者 將 Email 存取權限定在某組使用者。您可以允許或封鎖的使用者類型包含自訂、已偵測到、Workspace ONE UEM 使用者帳戶,以及使用者群組。還可以替「使用者名稱」或「群組」下拉式功能表中未顯示的 Email 使用者名稱,設定預設動作。對自訂使用者類型,支援萬用字元 (*) 和自動完成的功能。 EAS 裝置類型 根據終端使用者裝置所呈報的 EAS 裝置類型屬性,將裝置列入允許清單或封鎖清單。您可以依用戶端類型 (包含自訂及已偵測到的郵件用戶端),來允許或封鎖裝置。還可以替「裝置類型」下拉式欄位中未顯示的 EAS 裝置類型,設定預設動作。對自訂用戶端類型,支援萬用字元 (*) 和自動完成的功能。
Email 安全性原則會在附件和超連結上強制執行原則。此原則僅適用於 SEG 部署。如需詳細資訊,請參閱 Email 存取權的強制控管一節。Email原則 描述 非使用狀態 禁止非使用中的受管裝置存取 Email。您可指定裝置顯示「非使用中」(也就是未簽入 VMware AirWatch) 而 Workspace ONE UEM 不會禁止存取 Email 的天數。系統所能接受的最小值為 1,而最大值為 32767。 遭破解的裝置 禁止遭破解的裝置存取 Email。若是裝置尚未向 AirWatch 呈報已遭破解的狀態,此原則便不會封鎖該裝置存取 Email 的權限。 加密 禁止未加密的裝置存取 Email。此原則僅適用於那些已向 VMware AirWatch 呈報資料防護狀態的裝置。 型號 根據裝置的平台和型號來限制 Email 的存取權。 作業系統 限制某特定平台僅能使用一組作業系統來存取 Email。 需要 ActiveSync 設定檔 限制只有非使用 Exchange ActiveSync 設定檔來管理的裝置,才可存取 Email。對於透過應用程式組態而非 ActiveSync 設定檔進行設定的電子郵件用戶端,將應用程式組態傳送至受管理的電子郵件用戶端,可確保電子郵件用戶端符合合規性原則。 Email原則 描述 Email 安全性分級 定義 SEG 對有標記和無標記的 Email 所採取的原則。您可以使用預先定義的標籤,或者使用自訂選項來建立新標籤。您可以根據分類方式,選擇允許或封鎖 Email 用戶端的 Email。 附件 (受管裝置) 將所選檔案類型的 Email 附件加密。裝置上的這些附件都已受到保護,而且僅能在 VMware AirWatch Content Locker 中檢視這些附件。
目前此功能僅適用於已安裝 VMware AirWatch Content Locker 應用程式的受管理 iOS 裝置與 Android 裝置。至於其他的受管裝置,您可選擇允許已加密的附件、封鎖附件,或是允許未加密的附件。
附件 (未受管裝置) 加密和封鎖附件,或允許使用未受管裝置上之未加密的附件。
您無法在未受管的裝置上查看加密的 Email 附件。此功能是為了保持 Email 的完整性。如果未受管的裝置轉寄了一封含有加密附件的 Email,收件者還是可以從 PC 或其他行動裝置上檢視此附件。
超連結 允許裝置使用者透過裝置上的 VMware Browser 來直接開啟 Email 中的超連結。Secure Email Gateway 會動態修改超連結,以便在 VMware Browser 中開啟。您可以選擇下列其中一種修改類型:
- 全部 - 選擇透過 VMware Browser 開啟所有的超連結。
- 排除 - 如果您不想要裝置使用者透過 VMware Browser 開啟特定網域之連結,請選擇此項目。在修改除了這些網域之外的所有超連結的欄位中,提及所要排除的網域。您也可以從 .csv 檔案,大量上傳網域名稱。
- 包含 - 如果您希望裝置使用者透過 VMware Browser 開啟特定網域之連結,請選擇此項目。在僅修改這些網域的超連結欄位中提及包含的網域。您也可以從 .csv 檔案,大量上傳網域名稱。
- 建立您的合規原則,然後再儲存。
- 選擇使用中欄位下的合規原則灰色圓圈來啟用該合規原則。出現一個含有金鑰代碼的頁面。
- 在對應的欄位中輸入金鑰代碼,並選擇繼續。
結果:使用中欄位下的圓圈如顯示為綠色,則表示該原則已啟用。
Email 內容、附件與超連結防護
使用 Workspace ONE UEM Web 和 Workspace ONE UEM Content 確保 Email 安全。
Workspace ONE UEM 協助您保護與控制行動 Email 的附件,防止受管理與未受管理的裝置發生資料遺失的狀況。Workspace ONE UEM 允許裝置使用者透過裝置上的 Workspace ONE Web 來直接開啟 Email 中的超連結。Secure Email Gateway會動態地修改超連結,以便在 Workspace ONE Web 中開啟。
在您開始保護 Email 附件之前,必須先安裝下列應用程式:
- Secure Email Gateway (SEG)
- VMware Content Locker (iOS 與 Android)
- 支援 Microsoft Exchange 2010/2013/2016/2019、HCL Notes、Novell GroupWise 和 Gmail
啟用 Email 安全性分類
您可以在 UEM 主控台Workspace ONE UEM Console上選取特定的安全性分類,使 Secure Email Gateway 針對這些分類採取動作。
下表提供了預先定義的安全性分類讓您選擇,以及供您用來建立自訂分類的的選項。
- 導覽至 。
- 選擇使用中欄位下 Email 安全性分類合規原則的灰色圓圈。出現一個含有金鑰代碼的頁面。
- 在對應的欄位中輸入金鑰代碼,並選擇繼續。已啟用的原則會在使用中欄位下以綠色圓圈表示。
- 選擇動作欄位下方的編輯選項。
- 選擇新增,再從類型下拉式功能表中選擇標籤類型。
預先定義及自訂為可用的選項。從下列項目中選擇:
- 選取「事先定義」的標籤類型,從安全分類的下拉式功能表中,取得適用的標籤之清單。
- 選取「自訂」的標籤類型,並在安全分類欄位中輸入您自訂的標籤。
- 輸入標籤的描述,然後選擇下一步。
- 配置 SEG 對有標記或無標記的 Email 所該採取的動作。點選下一步。
您可以選擇允許或封鎖 Email 用戶端的 Email。
- 檢視摘要並按一下儲存。
啟用 Email 附件保護功能
使用 Workspace ONE UEM 保護 Email 附件。
Email 附件可能包括各類型的檔案。您可以在 UEM 主控台選取特定的檔案類型,使該類型的檔案須先經過 Secure Email Gateway 加密才能做為 Email 附件。這些已加密的附件能在行動裝置上獲得保護,且只能使用 VMware AirWatch Content Locker 應用程式檢視。
有細微的設定可供受管理 iOS 與 Android 裝置使用。至於其它的受管裝置和所有未受管裝置,您可以禁止在第三方應用程式中開啟 (大量) 其附件。
- 導覽至 。
- 選擇使用中欄位下之附件 (受管裝置) 或附件 (未受管裝置) 合規原則的灰色圓圈。
結果:出現一個含有金鑰代碼的頁面。
- 在對應的欄位中輸入金鑰代碼,並選擇繼續。
結果:使用中欄位下的綠色圓圈表示已啟用並使用該原則。
- 選擇動作欄位下方的編輯選項。
- 在每個檔案類別中 (僅限受管理 iOS 與 Android 裝置),選取是否要加密並允許附件、封鎖附件,或者允許不加密的附件 。
- 勾選允許在 Content Locker 中儲存附件的方格,以便在 Content Locker 中儲存附件。
結果:附件保持加密狀態,並會套用 Content Locker 的原則。
- 您也可以為尚未在此處提及的其他檔案選擇適用的原則。
- 在排除清單中,輸入仍需被排除在其他檔案所配置的動作之外的副檔名。
- 輸入封鎖附件的自訂訊息,以便通知收件者某附件已被封鎖。
- 儲存設定。
啟用超連結防護
您可以使用超連結 Email 安全性原則來控制並修改 Email 中的超連結,使其能夠直接在 Workspace ONE Web 中開啟。
- 導覽至 。
- 選擇使用中欄位下之超連結合規原則的灰色圓圈。
結果:出現一個含有金鑰代碼的頁面。
- 在對應的欄位中輸入金鑰代碼,並選擇繼續。
結果:使用中欄位下的綠色圓圈表示已啟用並使用原則。
- 選擇動作欄位下方的編輯選項。
- 選取您要略過超連結轉換的平台。
- 選擇下列其中一種修改類型
從下列項目中選擇:
- 全部 - 選擇透過 Workspace ONE Web 開啟所有超連結。
- 包含 - 如果您要讓裝置使用者透過 Workspace ONE Web 開啟指定網域的超連結,請選擇此項目。在僅修改這些網域的超連結欄位中提及包含的網域。您也可以從 CSV 檔案,大量上傳網域名稱。
- 不包含 - 如果您不想讓裝置使用者透過 Workspace ONE Web 開啟指定網域,請選擇此項目。在修改除了這些網域之外的所有超連結的文字方塊中,提及所要排除的網域。您也可以從 CSV 檔案,大量上傳網域名稱。
- 儲存設定。
