Aviso de fim do suporte: em 31 de março de 2027, AWS encerrará o suporte para a Amazon WorkMail. Depois de 31 de março de 2027, você não poderá mais acessar o WorkMail console da Amazon ou os WorkMail recursos da Amazon. Para obter mais informações, consulte [ WorkMail Fim do suporte da Amazon](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Integração com soluções de gerenciamento de dispositivos móveis
<a name="mdm-integration"></a>

O Amazon WorkMail oferece suporte a alguns recursos básicos de gerenciamento de dispositivos móveis por meio de políticas e regras de acesso a dispositivos móveis. No entanto, esses atributos só podem interagir com dispositivos móveis por meio do protocolo Microsoft Exchange ActiveSync (EAS), portanto, eles têm capacidade limitada de introspectar e impor a postura de segurança do dispositivo. Os administradores que precisam de maior controle sobre a segurança e a conformidade dos dispositivos podem usar uma solução de gerenciamento de dispositivos móveis (MDM) de terceiros.

## Visão geral das soluções de gerenciamento de dispositivos móveis
<a name="mdm-overview"></a>

Você pode configurar sua solução de MDM em dois modos, *proxy* ou *direto*. Consulte a documentação do MDM para ver quais modos sua solução suporta.

No modo proxy, os dispositivos móveis usam o protocolo Exchange Active Sync (EAS) por meio de sua solução MDM para acessar o Amazon WorkMail. A solução MDM usa a postura do dispositivo para permitir ou negar acesso aos dados do Amazon WorkMail. No lado do Amazon WorkMail, use uma regra de controle de acesso que permita o acesso ao EAS somente a partir do endereço ou endereços IP da solução MDM. Para obter mais informações, consulte [Trabalhar com regras de controle de acesso](https://docs.aws.amazon.com/workmail/latest/adminguide/access-rules.html).

A imagem a seguir mostra uma configuração típica do modo proxy.

![\[\]](http://docs.aws.amazon.com/pt_br/workmail/latest/adminguide/images/mdm-proxy.png)


No modo direto, os dispositivos móveis usam o EAS para acessar o Amazon WorkMail diretamente. Sua solução de MDM recebe mudanças na postura do dispositivo e avalia continuamente se cada dispositivo atende a esses requisitos. Quando a solução MDM detecta uma mudança de postura, como um dispositivo que está saindo de conformidade, ela pode realizar várias ações e normalmente emite notificações ou eventos. Um administrador do Amazon WorkMail pode configurar um sistema para ouvir esses eventos de status de conformidade e criar automaticamente substituições de acesso a dispositivos móveis que permitem ou negam acesso aos dispositivos quando eles entram ou saem de conformidade com os requisitos do dispositivo MDM. 

A imagem a seguir mostra uma configuração típica do modo direto.

![\[\]](http://docs.aws.amazon.com/pt_br/workmail/latest/adminguide/images/mdm-direct.png)


## Configurar uma organização do WorkMail para integrar-se a uma solução MDM de terceiros no modo direto
<a name="configure-mdm"></a>

Para se integrar a uma solução de gerenciamento de dispositivos móveis (MDM) de terceiros no modo direto, você deve atender aos seguintes requisitos:
+ Crie regras de controle de acesso que restrinjam o acesso aos dispositivos do usuário somente para o protocolo ActiveSync.
+ Crie uma regra de acesso padrão a dispositivos móveis de "negar a todos" para garantir que todos os dispositivos móveis desconhecidos ou não gerenciados sejam negados por padrão.
+ Adote uma solução de gerenciamento de dispositivos móveis que emita notificações ou eventos personalizados quando um dispositivo muda a postura de segurança, o que significa que ele entra ou sai de conformidade.
+ Crie um componente de software personalizado para receber essas notificações e chamar o SDK do Amazon WorkMail para criar substituições de acesso a dispositivos móveis.

Esses componentes garantem que todos os dispositivos do usuário atendam aos requisitos de conformidade do MDM antes de serem autorizados a acessar suas caixas de correio do Amazon WorkMail.

**Use regras de controle de acesso para restringir o acesso de dispositivos móveis ao ActiveSync**  
Você deve garantir que todos os dispositivos usem somente o protocolo ActiveSync, e você pode usar as regras de controle de acesso para fazer isso. Por exemplo, você pode conceder acesso a outros protocolos de e-mail somente a partir de um intervalo interno de endereços IP corporativos e, em seguida, permitir somente o ActiveSync ao acessar e-mails de fora do firewall corporativo. Você deve fazer isso porque somente o ActiveSync permite identificar dispositivos usando um ID de dispositivo. Você não pode usar protocolos como o Internet Message Access Protocol (IMAP) ou o Exchange Web Services. Para obter mais informações, consulte [Trabalhar com regras de controle de acesso](access-rules.md). 

**Criar uma regra de acesso padrão de "negar a todos"**  
Para transferir todas as decisões de acesso a dispositivos móveis para a solução de gerenciamento de dispositivos móveis de terceiros, crie uma regra de acesso que negue automaticamente todos os dispositivos, a menos que seja substituída para cada usuário ou dispositivo. Para obter mais informações, consulte [Gerenciar regras de acesso a dispositivos móveis](manage-mobile-access.md).

Este exemplo mostra uma regra de "negar a todos".

```
aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY
```

**Reagir a mudanças de postura do dispositivo e criar substituições de acesso a dispositivos móveis**  
Você deve configurar sua solução de MDM para enviar notificações sobre alterações na postura do dispositivo. Essas notificações devem ser consumidas por um componente que pode usar o SDK do Amazon WorkMail para criar ou atualizar substituições de acesso a dispositivos móveis. Por padrão, o Amazon WorkMail nega acesso a dispositivos não gerenciados ou recém-provisionados devido à regra de acesso padrão a dispositivos móveis de "negar a todos" mostrada anteriormente neste tópico. Quando a solução de MDM determina que o dispositivo atende a todos os requisitos e emite uma notificação indicando que o dispositivo está em conformidade, esse componente pode reagir a essa notificação criando uma substituição de acesso ao dispositivo móvel com um efeito de `ALLOW` para o usuário e o dispositivo específicos. Se o dispositivo sair de conformidade posteriormente, a solução de gerenciamento de dispositivos móveis emitirá outra notificação e a substituição do acesso poderá ser excluída ou modificada para negar o acesso a esse dispositivo. Para obter mais informações, consulte [Gerenciar substituições de acesso a dispositivos móveis](mobile-overrides.md).

[Para ver um exemplo do Amazon WorkMail integrado ao MDM, consulte este exemplo de aplicação da AWS](https://github.com/aws-samples/amazon-workmail-lambda-templates/tree/master/workmail-ws1-integration).