Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración con soluciones de administración de dispositivos móviles

Amazon WorkMail admite algunas funciones básicas de administración de dispositivos móviles mediante políticas de dispositivos móviles y reglas de acceso de dispositivos móviles. Sin embargo, esas características solo pueden interactuar con los dispositivos móviles a través del protocolo Microsoft Exchange ActiveSync (EAS), por lo que tienen una capacidad limitada de introspección y aplicación de la postura de seguridad de los dispositivos. Los administradores que necesiten un mayor control de la seguridad y el cumplimiento de los dispositivos pueden utilizar una solución de administración de dispositivos móviles (MDM) de terceros.

Información general sobre soluciones de administración de dispositivos móviles

Puede configurar su solución MDM en dos modos, proxy o directo. Consulte la documentación de MDM para informarse de los modos que su solución admite.

En el modo proxy, los dispositivos móviles utilizan el protocolo Exchange Active Sync (EAS) a través de su solución MDM para acceder a Amazon WorkMail. La solución MDM utiliza la postura del dispositivo para permitir o denegar el acceso a los datos de Amazon WorkMail. En el lado de Amazon WorkMail, utilice una regla de control de acceso que permita el acceso EAS solo desde las direcciones IP de la solución MDM. Para obtener más información, consulte Uso de reglas de control de acceso.

En la siguiente imagen se muestra una configuración típica en modo proxy.

En modo directo, los dispositivos móviles utilizan EAS para acceder directamente a Amazon WorkMail. Su solución MDM recibe los cambios de postura del dispositivo y evalúa continuamente si cada dispositivo cumple esos requisitos. Cuando la solución MDM detecta un cambio de postura, como que un dispositivo no cumple los requisitos, puede tomar varias medidas y suele emitir notificaciones o eventos. Un administrador de Amazon WorkMail puede configurar un sistema para que escuche estos eventos de estado de conformidad y cree automáticamente anulaciones de acceso de dispositivos móviles que permitan o denieguen el acceso a los dispositivos cuando entren o salgan de la conformidad con los requisitos MDM del dispositivo.

En la siguiente imagen se muestra una configuración típica en modo directo.

Configuración de una organización de WorkMail para integrarse con una solución MDM de terceros en modo directo

Para integrarse con una solución de administración de dispositivos móviles (MDM) de terceros en modo directo, debe cumplir estos requisitos:

Estos componentes garantizan que todos los dispositivos de usuario cumplan los requisitos de conformidad de MDM antes de que se les permita acceder a sus buzones de correo de Amazon WorkMail.

Uso de reglas de control de acceso para restringir el acceso de dispositivos móviles a ActiveSync

Debe asegurarse de que todos los dispositivos utilicen solo el protocolo ActiveSync, y para ello puede utilizar reglas de control de acceso. Por ejemplo, puede conceder acceso a otros protocolos de correo solo desde un intervalo de direcciones IP corporativas internas y permitir solo ActiveSync cuando se acceda al correo electrónico desde fuera del cortafuegos corporativo. Debe hacer esto porque solo ActiveSync le permite identificar dispositivos mediante un ID de dispositivo. No puede utilizar protocolos como el Protocolo de Acceso a Mensajes de Internet (IMAP) o Exchange Web Services. Para obtener más información, consulte Uso de reglas de control de acceso.

Creación de una regla de acceso predeterminada “denegar a todos”

Para aplazar todas las decisiones de acceso de dispositivos móviles a la solución de administración de dispositivos móviles de terceros, cree una regla de acceso que deniegue automáticamente el acceso a todos los dispositivos a menos que se anule por usuario o por dispositivo. Para obtener más información, consulta Administración de reglas de acceso de dispositivos móviles.

En este ejemplo se muestra una regla “denegar a todos”.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY

Reacción a cambios de postura de dispositivos y creación de anulaciones de acceso de dispositivos móviles

Debe configurar su solución MDM para que envíe notificaciones sobre los cambios de postura de un dispositivo. Estas notificaciones deben ser consumidas por un componente que pueda utilizar el SDK de Amazon WorkMail para crear o actualizar anulaciones de acceso de dispositivos móviles. De forma predeterminada, Amazon WorkMail deniega el acceso a los dispositivos no administrados o recién preparados debido a la regla predeterminada de acceso de dispositivos móviles “denegar a todos” explicada anteriormente en este tema. Cuando la solución MDM determine que el dispositivo cumple todos los requisitos y emita una notificación indicando que el dispositivo es conforme, este componente puede reaccionar a esta notificación creando una anulación de acceso de dispositivos móviles con un efecto de ALLOW para el usuario y el dispositivo especificados. Si posteriormente el dispositivo deja de ser conforme, la solución de administración de dispositivos móviles emite otra notificación, y la anulación de acceso puede eliminarse o modificarse para denegar el acceso de ese dispositivo. Para obtener más información, consulte Administración de anulaciones de acceso de dispositivos móviles.

Para ver un ejemplo de Amazon WorkMail integrado con MDM, consulte esta Aplicación de muestra de AWS.