Integration mit Verwaltungslösungen für mobile Geräte - Amazon WorkMail
Überblick über die Verwaltungslösungen für mobile GeräteKonfiguration einer WorkMail Organisation für die Integration mit einer MDM-Lösung eines Drittanbieters im Direktmodus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration mit Verwaltungslösungen für mobile Geräte

Amazon WorkMail unterstützt einige grundlegende Funktionen zur Verwaltung mobiler Geräte durch Richtlinien für mobile Geräte und Zugriffsregeln für mobile Geräte. Diese Funktionen können jedoch nur über das Microsoft Exchange ActiveSync (EAS) -Protokoll mit Mobilgeräten interagieren, sodass sie nur begrenzt in der Lage sind, den Sicherheitsstatus der Geräte zu überprüfen und durchzusetzen. Administratoren, die mehr Kontrolle über Gerätesicherheit und Compliance benötigen, können eine MDM-Lösung (Mobile Device Management) eines Drittanbieters verwenden.

Überblick über die Verwaltungslösungen für mobile Geräte

Sie können Ihre MDM-Lösung in zwei Modi konfigurieren: Proxy oder Direct. Schlagen Sie in Ihrer MDM-Dokumentation nach, welche Modi Ihre Lösung unterstützt.

Im Proxymodus verwenden mobile Geräte das Exchange Active Sync (EAS) -Protokoll über Ihre MDM-Lösung, um auf Amazon WorkMail zuzugreifen. Die MDM-Lösung verwendet die Geräteposition, um den Zugriff auf WorkMail Amazon-Daten zuzulassen oder zu verweigern. Verwenden Sie auf WorkMail Amazon-Seite eine Zugriffskontrollregel, die den EAS-Zugriff nur von der oder den IP-Adressen der MDM-Lösung aus erlaubt. Weitere Informationen finden Sie unter Arbeiten mit Zugriffskontrollregeln.

Die folgende Abbildung zeigt eine typische Konfiguration im Proxymodus.

Eine typische MDM-Lösung im Proxymodus. Diese Lösung verwendet die Geräteposition, um den Zugriff zu kontrollieren.

Im Direktmodus verwenden Mobilgeräte EAS, um WorkMail direkt auf Amazon zuzugreifen. Ihre MDM-Lösung empfängt Änderungen des Gerätestatus und bewertet kontinuierlich, ob jedes Gerät diese Anforderungen erfüllt. Wenn die MDM-Lösung feststellt, dass sich die Systemeinstellungen ändern, z. B. wenn ein Gerät nicht mehr richtlinientreu ist, kann sie verschiedene Maßnahmen ergreifen und sendet in der Regel Benachrichtigungen oder Ereignisse aus. Ein WorkMail Amazon-Administrator kann ein System einrichten, das diese Compliance-Status-Ereignisse abhört und automatisch Überschreibungen für den Zugriff auf mobile Geräte erstellt, die den Zugriff auf Geräte ermöglichen oder verweigern, wenn diese die MDM-Geräteanforderungen erfüllen oder nicht.

Die folgende Abbildung zeigt eine typische Konfiguration im Direktmodus.

Eine typische MDM-Lösung im Direktmodus. Diese Lösung verwendet EAS für den Zugriff auf Amazon WorkMail.

Konfiguration einer WorkMail Organisation für die Integration mit einer MDM-Lösung eines Drittanbieters im Direktmodus

Für die Integration mit einer MDM-Lösung (Mobile Device Management) eines Drittanbieters im Direktmodus müssen Sie die folgenden Anforderungen erfüllen:

  • Erstellen Sie Zugriffskontrollregeln, die den Zugriff auf Benutzergeräte nur auf das ActiveSync Protokoll beschränken.

  • Erstellen Sie eine Standardregel für den Zugriff auf mobile Geräte deny-to-all "", um sicherzustellen, dass allen unbekannten oder nicht verwalteten Mobilgeräten standardmäßig verweigert wird.

  • Verwenden Sie eine Lösung für die Verwaltung mobiler Geräte, die benutzerdefinierte Benachrichtigungen oder Ereignisse ausgibt, wenn sich die Sicherheitslage eines Geräts ändert, d. h., dass es die Richtlinien erfüllt oder nicht.

  • Erstellen Sie eine benutzerdefinierte Softwarekomponente, um diese Benachrichtigungen abzuhören, und rufen Sie das Amazon WorkMail SDK auf, um Überschreibungen für den Zugriff auf mobile Geräte zu erstellen.

Diese Komponenten stellen sicher, dass alle Benutzergeräte ihre MDM-Konformitätsanforderungen erfüllen, bevor sie auf ihre WorkMail Amazon-Postfächer zugreifen dürfen.

Verwenden Sie Zugriffskontrollregeln, um den Zugriff von Mobilgeräten auf zu beschränken ActiveSync

Sie müssen sicherstellen, dass alle Geräte nur das ActiveSync Protokoll verwenden, und Sie können dazu Zugriffskontrollregeln verwenden. Beispielsweise können Sie den Zugriff auf andere E-Mail-Protokolle nur von einem internen IP-Adressbereich aus gewähren und dann nur zulassen, ActiveSync wenn Sie von außerhalb der Unternehmensfirewall auf E-Mails zugreifen. Sie müssen dies tun, da Sie Geräte nur anhand einer Geräte-ID identifizieren ActiveSync können. Sie können keine Protokolle wie das Internet Message Access Protocol (IMAP) oder Exchange Web Services verwenden. Weitere Informationen finden Sie unter Arbeiten mit Zugriffssteuerungsregeln.

Erstellen Sie eine Standardzugriffsregel „Allen verweigern“

Um alle Entscheidungen über den Zugriff auf mobile Geräte auf die Verwaltungslösung für mobile Geräte eines Drittanbieters zu übertragen, erstellen Sie eine Zugriffsregel, die automatisch alle Geräte verweigert, sofern sie nicht pro Benutzer oder pro Gerät außer Kraft gesetzt wird. Weitere Informationen finden Sie unter Zugriffsregeln für mobile Geräte verwalten.

Dieses Beispiel zeigt eine Regel „Allen verweigern“.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY
Reagieren Sie auf Änderungen der Gerätehaltung und erstellen Sie Überschreibungen für den Zugriff auf mobile Geräte

Sie müssen Ihre MDM-Lösung so konfigurieren, dass Benachrichtigungen über Änderungen der Gerätehaltung gesendet werden. Diese Benachrichtigungen müssen von einer Komponente verarbeitet werden, die das Amazon WorkMail SDK verwenden kann, um Zugriffsüberschreibungen für mobile Geräte zu erstellen oder zu aktualisieren. Standardmäßig WorkMail verweigert Amazon den Zugriff auf nicht verwaltete oder neu bereitgestellte Geräte aufgrund der Standardregel „Allen verweigern“ für den Zugriff auf mobile Geräte, die weiter oben in diesem Thema beschrieben wurde. Wenn die MDM-Lösung feststellt, dass das Gerät alle Anforderungen erfüllt, und eine Benachrichtigung ausgibt, die darauf hinweist, dass das Gerät konform ist, kann diese Komponente auf diese Benachrichtigung reagieren, indem sie eine Überschreibung des Zugriffs auf mobile Geräte mit Wirkung von ALLOW für den angegebenen Benutzer und das angegebene Gerät erstellt. Wenn das Gerät später nicht mehr richtlinientreu ist, sendet die Lösung für die Verwaltung mobiler Geräte eine weitere Benachrichtigung aus, und die Zugriffsüberschreibung kann gelöscht oder geändert werden, um dem Gerät den Zugriff zu verweigern. Weitere Informationen finden Sie unter Überschreibungen für den Zugriff auf mobile Geräte verwalten.

Ein Beispiel für die WorkMail Integration von Amazon mit MDM finden Sie in dieser AWS Beispielanwendung.