モバイルデバイス管理ソリューションとの統合

Amazon WorkMail は、モバイルデバイスポリシーとモバイルデバイスアクセスルールを通じて、いくつかの基本的なモバイルデバイス管理機能をサポートしています。ただし、これらの機能は Microsoft Exchange ActiveSync (EAS) プロトコルを介してのみモバイルデバイスとやり取りできるため、デバイスのセキュリティ体制のイントロスペクションと強制の機能は限られています。デバイスのセキュリティとコンプライアンスをより詳細に制御する必要がある管理者は、サードパーティーのモバイルデバイス管理 (MDM) ソリューションを使用できます。

モバイルデバイス管理ソリューションの概要

MDM ソリューションは、代理または直接の 2 つのモードで構成できます。ソリューションがサポートするモードについては、MDM のドキュメントを参照してください。

プロキシモードでは、モバイルデバイスは MDM ソリューション経由で Exchange Active Sync (EAS) プロトコルを使用して Amazon WorkMail にアクセスします。MDM ソリューションでは、デバイス体制を使用して Amazon WorkMail データへのアクセスを許可または拒否します。Amazon WorkMail 側では、MDM ソリューションの IP アドレスからのみ EAS アクセスを許可するアクセスコントロールルールを使用します。詳細については、アクセスコントロールルールの使用を参照してください。

次の図は、一般的なプロキシモードの設定を示しています。

ダイレクトモードでは、モバイルデバイスは EAS を使用して Amazon WorkMail に直接アクセスします。MDM ソリューションはデバイスのポスチャの変更を受け取り、各デバイスがこれらの要件を満たしているかどうかを継続的に評価します。MDM ソリューションは、デバイスのコンプライアンス違反などの体制の変更を検出すると、いくつかのアクションを実行し、通常は通知またはイベントを発行します。Amazon WorkMail 管理者は、これらのコンプライアンスステータスイベントを聞くようにシステムを設定し、MDM デバイス要件に準拠していないときにデバイスへのアクセスを許可または拒否するモバイルデバイスアクセスオーバーライドを自動的に作成できます。

次の図は、一般的なダイレクトモードの設定を示しています。

ダイレクトモードでサードパーティー MDM ソリューションと統合するように WorkMail 組織を構成する

ダイレクトモードでサードパーティーのモバイルデバイス管理 (MDM) ソリューションと統合するには、次の要件を満たす必要があります。

• ユーザーデバイスへのアクセスを ActiveSync プロトコルのみに制限するアクセス制御ルールを作成します。

• デフォルトで「すべて拒否」モバイルデバイスアクセスルールを作成し、すべての未知または管理対象外のモバイルデバイスがデフォルトで拒否されるようにします。

• デバイスがセキュリティ体制を変更したとき、つまりコンプライアンス違反になったときにカスタム通知またはイベントを発行するモバイルデバイス管理ソリューションを採用します。

• これらの通知を聞くカスタムソフトウェアコンポーネントを作成し、Amazon WorkMail SDK を呼び出してモバイルデバイスのアクセスオーバーライドを作成します。

これらのコンポーネントは、Amazon WorkMail メールボックスへのアクセスを許可する前に、すべてのユーザーデバイスが MDM コンプライアンス要件を満たしていることを確認します。

アクセス制御ルールを使用して ActiveSync へのモバイルデバイスアクセスを制限する

すべてのデバイスが ActiveSync プロトコルのみを使用していることを確認する必要があります。また、確認にはアクセスコントロールルールを使用することもできます。例えば、社内の IP アドレス範囲からのみ他のメールプロトコルへのアクセスを許可し、社内のファイアウォールの外部から E メールにアクセスするときに ActiveSync のみを許可できます。ActiveSync だけがデバイス ID を使用してデバイスを識別できるので、この操作を行う必要があります。インターネットメッセージアクセスプロトコル (IMAP) や Exchange Web サービスなどのプロトコルは使用できません。詳細については、「アクセスコントロールルールの使用」を参照してください。

デフォルトで「すべて拒否」アクセスルールを作成する

すべてのモバイルデバイスのアクセス決定をサードパーティーのモバイルデバイス管理ソリューションに任せるには、ユーザー単位またはデバイス単位で上書きされない限り、すべてのデバイスを自動的に拒否するアクセスルールを作成します。詳細については、「モバイルデバイスアクセスルールの管理」を参照してください。

この例では、「すべて拒否」ルールを示します。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY

デバイス体制の変更に対応し、モバイルデバイスのアクセスオーバーライドを作成する

デバイス体制の変更に関する通知を送信するように MDM ソリューションを設定する必要があります。これらの通知は、Amazon WorkMail SDK を使用してモバイルデバイスのアクセスオーバーライドを作成または更新できるコンポーネントによって消費される必要があります。デフォルトでは、このトピックで前述したデフォルトで「すべて拒否」モバイルデバイスアクセスルールにより、Amazon WorkMail は管理対象外または新しくプロビジョニングされたデバイスへのアクセスを拒否します。MDM ソリューションがデバイスがすべての要件を満たしていると判断し、デバイスが準拠していることを示す通知を発行すると、このコンポーネントは指定されたユーザーとデバイスに対して ALLOW の効果を持つモバイルデバイスアクセスオーバーライドを作成して、この通知に応答できます。デバイスが後でコンプライアンス違反になった場合、モバイルデバイス管理ソリューションは別の通知を発行し、アクセスオーバーライドを削除または変更して、そのデバイスへのアクセスを拒否できます。詳細については、「モバイルデバイスのアクセスオーバーライドの管理」を参照してください。

MDM と統合された Amazon WorkMail の例については、AWS サンプルアプリケーションを参照してください。