모바일 디바이스 관리 솔루션과 통합 - Amazon WorkMail
모바일 디바이스 관리 솔루션 개요직접 모드에서 타사 MDM 솔루션과 통합하도록 WorkMail 조직 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

모바일 디바이스 관리 솔루션과 통합

Amazon WorkMail은 모바일 디바이스 정책 및 모바일 디바이스 액세스 규칙을 통해 몇 가지 기본적인 모바일 디바이스 관리 기능을 지원합니다. 그러나 이러한 기능은 Microsoft Exchange ActiveSync(EAS) 프로토콜을 통해서만 모바일 디바이스와 상호 작용할 수 있으므로 디바이스 보안 상태를 검사하고 적용하는 기능이 제한적입니다. 디바이스 보안 및 규정 준수에 대한 제어를 강화해야 하는 관리자는 타사 모바일 디바이스 관리(MDM) 솔루션을 사용할 수 있습니다.

모바일 디바이스 관리 솔루션 개요

MDM 솔루션은 프록시 또는 다이렉트의 두 가지 모드로 구성할 수 있습니다. 솔루션이 지원하는 모드를 확인하려면 MDM 설명서를 참조하세요.

프록시 모드에서 모바일 디바이스는 MDM 솔루션을 통해 Exchange Active Sync(EAS) 프로토콜을 사용하여 Amazon WorkMail에 액세스합니다. MDM 솔루션은 디바이스 포스처를 사용하여 Amazon WorkMail 데이터에 대한 액세스를 허용하거나 거부합니다. Amazon WorkMail 측에서는 MDM 솔루션의 IP 주소 또는 주소에서만 EAS 액세스를 허용하는 액세스 제어 규칙을 사용하세요. 자세한 내용은 액세스 제어 규칙 작업을 참조하세요.

다음은 일반적인 프록시 모드 구성을 보여줍니다.

프록시 모드의 일반적인 MDM 솔루션. 이 솔루션은 디바이스 상태를 사용하여 액세스를 제어합니다.

직접 모드에서는 모바일 디바이스가 EAS를 사용하여 Amazon WorkMail에 직접 액세스합니다. MDM 솔루션은 디바이스 상태 변경을 수신하고 각 디바이스가 해당 요구 사항을 충족하는지 여부를 지속적으로 평가합니다. MDM 솔루션은 디바이스가 규정을 위반하는 등의 상태 변화를 감지하면 몇 가지 조치를 취할 수 있으며 일반적으로 알림이나 이벤트를 내보냅니다. Amazon WorkMail 관리자는 이러한 규정 준수 상태 이벤트를 수신하도록 시스템을 설정하고 MDM 디바이스 요구 사항을 준수하거나 준수하지 않을 때 디바이스에 대한 액세스를 허용하거나 거부하는 모바일 디바이스 액세스 재정의를 자동으로 생성할 수 있습니다.

다음은 일반적인 직접 모드 구성을 보여줍니다.

직접 모드의 일반적인 MDM 솔루션. 이 솔루션은 EAS를 사용하여 Amazon WorkMail에 액세스합니다.

직접 모드에서 타사 MDM 솔루션과 통합하도록 WorkMail 조직 구성

직접 모드에서 타사 모바일 디바이스 관리(MDM) 솔루션과 통합하려면 다음 요구 사항을 충족해야 합니다.

  • 사용자 디바이스에 대한 액세스를 ActiveSync 프로토콜로만 제한하는 액세스 제어 규칙을 생성합니다.

  • 기본 “모두 거부” 모바일 디바이스 액세스 규칙을 만들어 알 수 없거나 관리되지 않는 모든 모바일 디바이스가 기본적으로 거부되도록 하세요.

  • 디바이스가 보안 태세를 변경하는 경우(즉, 규정을 준수하거나 준수하지 않게 됨), 사용자 지정 알림 또는 이벤트를 발생시키는 모바일 디바이스 관리 솔루션을 채택하세요.

  • 사용자 지정 소프트웨어 구성 요소를 생성하여 이러한 알림을 수신하고 Amazon WorkMail SDK를 호출하여 모바일 디바이스 액세스 재정의를 생성합니다.

이러한 구성 요소는 모든 사용자 디바이스가 MDM 규정 준수 요구 사항을 충족하는지 확인한 후 Amazon WorkMail 사서함에 액세스할 수 있도록 합니다.

액세스 제어 규칙을 사용하여 ActiveSync에 대한 모바일 디바이스 액세스를 제한할 수 있습니다.

모든 디바이스가 ActiveSync 프로토콜만 사용하는지 확인하고 액세스 제어 규칙을 사용하여 이를 수행할 수 있어야 합니다. 예를 들어 내부 회사 IP 주소 범위에서만 다른 메일 프로토콜에 대한 액세스 권한을 부여한 다음 회사 방화벽 외부에서 이메일에 액세스할 때는 ActiveSync만 허용할 수 있습니다. ActiveSync에서만 디바이스 ID를 사용하여 디바이스를 식별할 수 있으므로 이 작업을 수행해야 합니다. IMAP(인터넷 메시지 액세스 프로토콜) 또는 Exchange 웹 서비스와 같은 프로토콜은 사용할 수 없습니다. 자세한 내용은 액세스 제어 규칙 작업 단원을 참조하십시오.

기본 '전체 거부' 액세스 규칙 만들기

모든 모바일 디바이스 액세스 결정을 타사 모바일 디바이스 관리 솔루션에 맡기려면 사용자별 또는 디바이스별로 재정의하지 않는 한 모든 디바이스를 자동으로 거부하는 액세스 규칙을 만드세요. 자세한 정보는 모바일 디바이스 액세스 규칙 관리 섹션을 참조하세요.

이 예제에서는 '전체 거부' 규칙을 보여줍니다.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY
디바이스 상태 변화에 대응하고 모바일 디바이스 액세스 재정의를 생성하세요.

디바이스 상태 변경에 대한 알림을 보내도록 MDM 솔루션을 구성해야 합니다. 이러한 알림은 Amazon WorkMail SDK를 사용하여 모바일 디바이스 액세스 재정의를 생성하거나 업데이트할 수 있는 구성 요소에서 사용해야 합니다. Amazon WorkMail은 기본적으로 이 주제의 앞부분에서 설명한 기본 “전체 거부” 모바일 디바이스 액세스 규칙 때문에 관리되지 않거나 새로 프로비저닝된 디바이스에 대한 액세스를 거부합니다. MDM 솔루션에서 디바이스가 모든 요구 사항을 충족한다고 판단하고 디바이스가 규정을 준수한다는 알림을 보내면 이 구성 요소는 지정된 사용자 및 디바이스에 대해 ALLOW 효과가 있는 모바일 디바이스 액세스 재정의를 생성하여 이 알림에 반응할 수 있습니다. 나중에 디바이스가 규정을 준수하지 않게 되면 모바일 디바이스 관리 솔루션에서 또 다른 알림을 보내며, 액세스 재정의를 삭제하거나 수정하여 해당 디바이스에 대한 액세스를 거부할 수 있습니다. 자세한 내용은 모바일 디바이스 액세스 재정의 관리 단원을 참조하십시오.

MDM과 통합된 Amazon WorkMail의 예는 이 AWS 샘플 애플리케이션을 참조하세요.