本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与移动设备管理解决方案集成
Amazon WorkMail 通过移动设备策略和移动设备访问规则支持一些基本的移动设备管理功能。但是,这些功能只能通过 Microsoft Exchange ActiveSync (EAS) 协议与移动设备交互,因此它们自检和实施设备安全态势的能力有限。需要更好地控制设备安全性和合规性的管理员可以使用第三方移动设备管理 (MDM) 解决方案。
移动设备管理解决方案概述
您可以在两种模式下配置 MDM 解决方案:“代理”或“直接”。请查阅您的 MDM 文档,了解您的解决方案支持哪些模式。
在代理模式下,移动设备通过您的 MDM 解决方案使用 Exchange 活动同步 (EAS) 协议来访问 Amazon WorkMail。MDM 解决方案使用设备状态来允许或拒绝对 Amazon WorkMail 数据的访问。在 Amazon WorkMail 端,请使用一个访问控制规则,该规则仅允许从 MDM 解决方案的一个或多个 IP 地址进行 EAS 访问。有关更多信息,请参阅使用访问控制规则。
下图显示了典型的代理模式配置。
在直接模式下,移动设备使用 EAS 直接访问 Amazon WorkMail。您的 MDM 解决方案会接收设备状态更改,并持续评估每台设备是否满足这些要求。当 MDM 解决方案检测到状态更改(例如设备不合规)时,它可以采取多项操作,并且通常会发出通知或事件。Amazon WorkMail 管理员可以设置一个系统来侦听这些合规性状态事件,并自动创建移动设备访问覆盖,以便在设备符合或不符合 MDM 设备要求时允许或拒绝对设备的访问。
下图显示了典型的直接模式配置。
将 WorkMail 组织配置为在直接模式下与第三方 MDM 解决方案集成
要在直接模式下与第三方移动设备管理 (MDM) 解决方案集成,必须满足以下要求:
创建访问控制规则,限制只能通过 ActiveSync 协议访问用户设备。
创建默认的“拒绝全部”移动设备访问规则,以确保默认情况下拒绝所有未知或非托管移动设备。
采用移动设备管理解决方案,当设备更改安全态势(即设备符合或不符合要求)时,该解决方案会发出自定义通知或事件。
创建自定义软件组件以侦听这些通知,并调用 Amazon WorkMail SDK 以创建移动设备访问覆盖。
这些组件可确保所有用户设备在被允许访问其 Amazon WorkMail 邮箱之前均符合其 MDM 合规性要求。
使用访问控制规则限制移动设备对 ActiveSync 的访问
您必须确保所有设备仅使用 ActiveSync 协议,并且您可以使用访问控制规则来执行此操作。例如,您可以仅从公司内部 IP 地址范围内授予对其他邮件协议的访问权限,然后在从公司防火墙外部访问电子邮件时仅允许 ActiveSync。您必须执行此操作,因为只有 ActiveSync 允许您使用设备 ID 标识设备。不能使用互联网邮件访问协议 (IMAP) 或 Exchange Web Services 等协议。有关更多信息,请参阅 使用访问控制规则。
创建默认的“拒绝全部”访问规则
要将所有移动设备访问决策交给第三方移动设备管理解决方案,请创建一个访问规则,该规则会自动拒绝所有设备,除非按用户或按设备进行覆盖。有关更多信息,请参阅管理移动设备访问规则。
此示例显示了“拒绝全部”规则。
aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56--name DefaultDenyAll --effect DENY
对设备状态更改做出反应并创建移动设备访问覆盖
您必须将 MDM 解决方案配置为发送有关设备状态更改的通知。这些通知必须由可使用 Amazon WorkMail SDK 创建或更新移动设备访问覆盖的组件来使用。由于本主题前面所示的默认“拒绝全部”移动设备访问规则,默认情况下,Amazon WorkMail 会拒绝访问未托管或新配置的设备。当 MDM 解决方案确定设备符合所有要求并发出指示设备符合要求的通知时,此组件可以通过为指定用户和设备创建具有 ALLOW 权限的移动设备访问覆盖来对此通知做出反应。如果设备之后不符合要求,移动设备管理解决方案会发出另一个通知,并且可能会删除或修改访问覆盖以拒绝该设备的访问。有关更多信息,请参阅 管理移动设备访问覆盖。
有关与 MDM 集成的 Amazon WorkMail 的示例,请参阅此 AWS 示例应用程序
