Integración con soluciones de administración de dispositivos móviles - Amazon WorkMail
Información general sobre soluciones de administración de dispositivos móvilesConfigurar una WorkMail organización para que se integre con una solución de MDM de terceros en modo directo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración con soluciones de administración de dispositivos móviles

Amazon WorkMail admite algunas funciones básicas de administración de dispositivos móviles mediante políticas de dispositivos móviles y reglas de acceso a dispositivos móviles. Sin embargo, esas funciones solo pueden interactuar con los dispositivos móviles a través del protocolo Microsoft Exchange ActiveSync (EAS), por lo que tienen una capacidad limitada de introspección y aplicación de la postura de seguridad del dispositivo. Los administradores que necesiten un mayor control de la seguridad y el cumplimiento de los dispositivos pueden utilizar una solución de administración de dispositivos móviles (MDM) de terceros.

Información general sobre soluciones de administración de dispositivos móviles

Puede configurar su solución MDM en dos modos, proxy o directo. Consulte la documentación de MDM para informarse de los modos que su solución admite.

En el modo proxy, los dispositivos móviles utilizan el protocolo Exchange Active Sync (EAS) a través de su solución MDM para acceder a Amazon WorkMail. La solución MDM utiliza la postura del dispositivo para permitir o denegar el acceso a los WorkMail datos de Amazon. WorkMail Por parte de Amazon, utilice una regla de control de acceso que permita el acceso de EAS únicamente desde la dirección o direcciones IP de la solución MDM. Para obtener más información, consulte Uso de reglas de control de acceso.

En la siguiente imagen se muestra una configuración típica en modo proxy.

Una solución MDM típica en modo proxy. Esta solución utiliza la postura del dispositivo para controlar el acceso.

En el modo directo, los dispositivos móviles utilizan EAS para acceder WorkMail directamente a Amazon. Su solución MDM recibe los cambios de postura del dispositivo y evalúa continuamente si cada dispositivo cumple esos requisitos. Cuando la solución MDM detecta un cambio de postura, como que un dispositivo no cumple los requisitos, puede tomar varias medidas y suele emitir notificaciones o eventos. Un WorkMail administrador de Amazon puede configurar un sistema para escuchar estos eventos de estado de conformidad y crear automáticamente anulaciones de acceso a los dispositivos móviles que permitan o denieguen el acceso a los dispositivos cuando entran o no cumplen con los requisitos de los dispositivos MDM.

En la siguiente imagen se muestra una configuración típica en modo directo.

Una solución MDM típica en modo directo. Esta solución utiliza EAS para acceder a Amazon WorkMail.

Configurar una WorkMail organización para que se integre con una solución de MDM de terceros en modo directo

Para integrarse con una solución de administración de dispositivos móviles (MDM) de terceros en modo directo, debe cumplir estos requisitos:

  • Cree reglas de control de acceso que restrinjan el acceso a los dispositivos de los usuarios únicamente al ActiveSync protocolo.

  • Cree una regla de acceso a dispositivos móviles deny-to-all «» predeterminada para garantizar que se deniegue de forma predeterminada a todos los dispositivos móviles desconocidos o no gestionados.

  • Adopte una solución de administración de dispositivos móviles que emita notificaciones o eventos personalizados cuando un dispositivo cambie de postura de seguridad, es decir, al entrar o salir de la conformidad.

  • Crea un componente de software personalizado para escuchar esas notificaciones y llama al Amazon WorkMail SDK para crear anulaciones de acceso desde dispositivos móviles.

Estos componentes garantizan que todos los dispositivos de los usuarios cumplan con sus requisitos de conformidad con la MDM antes de que se les permita acceder a sus WorkMail buzones de Amazon.

Utilice las reglas de control de acceso para restringir el acceso de los dispositivos móviles a ActiveSync

Debe asegurarse de que todos los dispositivos utilicen únicamente el ActiveSync protocolo y, para ello, puede utilizar las reglas de control de acceso. Por ejemplo, puede conceder acceso a otros protocolos de correo únicamente desde un rango interno de direcciones IP corporativas y, a continuación, permitir únicamente el acceso ActiveSync al correo electrónico desde fuera del firewall corporativo. Debe hacerlo porque solo ActiveSync le permite identificar los dispositivos mediante un ID de dispositivo. No puede utilizar protocolos como el Protocolo de Acceso a Mensajes de Internet (IMAP) o Exchange Web Services. Para obtener más información, consulte Uso de reglas de control de acceso.

Creación de una regla de acceso predeterminada “denegar a todos”

Para aplazar todas las decisiones de acceso de dispositivos móviles a la solución de administración de dispositivos móviles de terceros, cree una regla de acceso que deniegue automáticamente el acceso a todos los dispositivos a menos que se anule por usuario o por dispositivo. Para obtener más información, consulta Administración de reglas de acceso de dispositivos móviles.

En este ejemplo se muestra una regla “denegar a todos”.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY
Reacción a cambios de postura de dispositivos y creación de anulaciones de acceso de dispositivos móviles

Debe configurar su solución MDM para que envíe notificaciones sobre los cambios de postura de un dispositivo. Estas notificaciones deben ser consumidas por un componente que pueda usar el Amazon WorkMail SDK para crear o actualizar las anulaciones de acceso de los dispositivos móviles. De forma predeterminada, Amazon WorkMail deniega el acceso a los dispositivos no gestionados o recién aprovisionados debido a la regla predeterminada de «denegar el acceso a todos los dispositivos móviles» que se muestra anteriormente en este tema. Cuando la solución MDM determine que el dispositivo cumple todos los requisitos y emita una notificación indicando que el dispositivo es conforme, este componente puede reaccionar a esta notificación creando una anulación de acceso de dispositivos móviles con un efecto de ALLOW para el usuario y el dispositivo especificados. Si posteriormente el dispositivo deja de ser conforme, la solución de administración de dispositivos móviles emite otra notificación, y la anulación de acceso puede eliminarse o modificarse para denegar el acceso de ese dispositivo. Para obtener más información, consulte Administración de anulaciones de acceso de dispositivos móviles.

Para ver un ejemplo de Amazon WorkMail integrado con MDM, consulta este AWS ejemplo de aplicación.