Integrazione con soluzioni di gestione dei dispositivi mobili

Amazon WorkMail supporta alcune funzionalità di base per la gestione dei dispositivi mobili tramite policy e regole di accesso ai dispositivi mobili. Tuttavia, tali funzionalità possono interagire con i dispositivi mobili solo tramite il protocollo Microsoft Exchange ActiveSync (EAS), quindi hanno una capacità limitata di introspezione e applicazione della posizione di sicurezza dei dispositivi. Gli amministratori che necessitano di un maggiore controllo sulla sicurezza e sulla conformità dei dispositivi possono utilizzare una soluzione di gestione dei dispositivi mobili (MDM) di terze parti.

Panoramica delle soluzioni di gestione dei dispositivi mobili

È possibile configurare la soluzione MDM in due modalità, proxy o diretta. Consultate la documentazione MDM per vedere quali modalità sono supportate dalla vostra soluzione.

In modalità proxy, i dispositivi mobili utilizzano il protocollo Exchange Active Sync (EAS) tramite la soluzione MDM per accedere ad Amazon WorkMail. La soluzione MDM utilizza la postura del dispositivo per consentire o negare l'accesso ai dati di Amazon. WorkMail Per quanto WorkMail riguarda Amazon, utilizza una regola di controllo degli accessi che consenta l'accesso EAS solo dall'indirizzo o dagli indirizzi IP della soluzione MDM. Per ulteriori informazioni, consulta Lavorare con le regole di controllo degli accessi.

L'immagine seguente mostra una configurazione tipica della modalità proxy.

In modalità diretta, i dispositivi mobili utilizzano EAS per accedere WorkMail direttamente ad Amazon. La tua soluzione MDM riceve le modifiche alla postura del dispositivo e valuta continuamente se ciascun dispositivo soddisfa tali requisiti. Quando la soluzione MDM rileva cambiamenti di postura, ad esempio un dispositivo che non è conforme, può intraprendere diverse azioni e in genere emette notifiche o eventi. Un WorkMail amministratore Amazon può configurare un sistema per ascoltare questi eventi relativi allo stato di conformità e creare automaticamente eccezioni di accesso ai dispositivi mobili che consentono o negano l'accesso ai dispositivi quando entrano o non sono conformi ai requisiti dei dispositivi MDM.

L'immagine seguente mostra una tipica configurazione in modalità diretta.

Configurazione di un' WorkMail organizzazione per l'integrazione con una soluzione MDM di terze parti in modalità diretta

Per l'integrazione con una soluzione di gestione dei dispositivi mobili (MDM) di terze parti in modalità diretta, è necessario soddisfare i seguenti requisiti:

• Crea regole di controllo degli accessi che limitino l'accesso ai dispositivi degli utenti solo al ActiveSync protocollo.

• Crea una regola di accesso ai dispositivi mobili predefinita deny-to-all "" per garantire che tutti i dispositivi mobili sconosciuti o non gestiti vengano negati per impostazione predefinita.

• Adotta una soluzione di gestione dei dispositivi mobili che emetta notifiche o eventi personalizzati quando un dispositivo cambia posizione di sicurezza, vale a dire che entra o non è conforme.

• Crea un componente software personalizzato per ascoltare tali notifiche e chiama Amazon WorkMail SDK per creare eccezioni di accesso ai dispositivi mobili.

Questi componenti assicurano che tutti i dispositivi utente soddisfino i requisiti di conformità MDM prima di poter accedere alle loro caselle di WorkMail posta Amazon.

Utilizza le regole di controllo degli accessi per limitare l'accesso dei dispositivi mobili a ActiveSync

È necessario assicurarsi che tutti i dispositivi utilizzino solo il ActiveSync protocollo e a tale scopo è possibile utilizzare le regole di controllo dell'accesso. Ad esempio, è possibile concedere l'accesso ad altri protocolli di posta solo da un intervallo di indirizzi IP aziendale interno e quindi consentirlo solo ActiveSync quando si accede alla posta elettronica dall'esterno del firewall aziendale. È necessario eseguire questa operazione perché ActiveSync consente di identificare i dispositivi solo utilizzando un ID dispositivo. Non è possibile utilizzare protocolli come l'Internet Message Access Protocol (IMAP) o i servizi Web di Exchange. Per ulteriori informazioni, consulta Utilizzo delle regole di controllo degli accessi.

Crea una regola di accesso predefinita «nega a tutti»

Per rimandare tutte le decisioni di accesso ai dispositivi mobili alla soluzione di gestione dei dispositivi mobili di terze parti, crea una regola di accesso che neghi automaticamente tutti i dispositivi a meno che non venga sostituita per utente o per dispositivo. Per ulteriori informazioni, vedi Gestione delle regole di accesso ai dispositivi mobili.

Questo esempio mostra una regola «nega a tutti».

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY

Reagisci ai cambiamenti di postura del dispositivo e crea eccezioni di accesso ai dispositivi mobili

È necessario configurare la soluzione MDM per inviare notifiche per le modifiche alla postura del dispositivo. Queste notifiche devono essere utilizzate da un componente in grado di utilizzare Amazon WorkMail SDK per creare o aggiornare le eccezioni di accesso ai dispositivi mobili. Per impostazione predefinita, Amazon WorkMail nega l'accesso a dispositivi non gestiti o di nuova fornitura a causa della regola di accesso predefinita «nega a tutti» ai dispositivi mobili mostrata in precedenza in questo argomento. Quando la soluzione MDM stabilisce che il dispositivo soddisfa tutti i requisiti ed emette una notifica che indica che il dispositivo è conforme, questo componente può reagire a questa notifica creando un override di accesso ai dispositivi mobili con effetto per l'utente e il dispositivo specificati. ALLOW Se successivamente il dispositivo non è più conforme, la soluzione di gestione dei dispositivi mobili emette un'altra notifica e l'override di accesso può essere eliminata o modificata per negare l'accesso a quel dispositivo. Per ulteriori informazioni, consulta La gestione delle eccezioni di accesso ai dispositivi mobili.

Per un esempio di Amazon WorkMail integrato con MDM, consulta questa applicazione AWS di esempio.