Integração com soluções de gerenciamento de dispositivos móveis

A Amazon WorkMail oferece suporte a alguns recursos básicos de gerenciamento de dispositivos móveis por meio de políticas de dispositivos móveis e regras de acesso a dispositivos móveis. No entanto, esses recursos só podem interagir com dispositivos móveis por meio do protocolo Microsoft Exchange ActiveSync (EAS), portanto, eles têm capacidade limitada de introspectar e impor a postura de segurança do dispositivo. Os administradores que precisam de maior controle sobre a segurança e a conformidade dos dispositivos podem usar uma solução de gerenciamento de dispositivos móveis (MDM) de terceiros.

Visão geral das soluções de gerenciamento de dispositivos móveis

Você pode configurar sua solução de MDM em dois modos, proxy ou direto. Consulte a documentação do MDM para ver quais modos sua solução suporta.

No modo proxy, os dispositivos móveis usam o protocolo Exchange Active Sync (EAS) por meio de sua solução MDM para acessar a Amazon WorkMail. A solução MDM usa a postura do dispositivo para permitir ou negar acesso aos dados da Amazon WorkMail. No WorkMail lado da Amazon, use uma regra de controle de acesso que permita o acesso ao EAS somente a partir do endereço ou endereços IP da solução MDM. Para obter mais informações, consulte Trabalhar com regras de controle de acesso.

A imagem a seguir mostra uma configuração típica do modo proxy.

No modo direto, os dispositivos móveis usam o EAS para acessar a Amazon WorkMail diretamente. Sua solução de MDM recebe mudanças na postura do dispositivo e avalia continuamente se cada dispositivo atende a esses requisitos. Quando a solução MDM detecta uma mudança de postura, como um dispositivo que está saindo de conformidade, ela pode realizar várias ações e normalmente emite notificações ou eventos. Um WorkMail administrador da Amazon pode configurar um sistema para ouvir esses eventos de status de conformidade e criar automaticamente substituições de acesso a dispositivos móveis que permitem ou negam acesso aos dispositivos quando eles entram ou não estão em conformidade com os requisitos do dispositivo MDM.

A imagem a seguir mostra uma configuração típica do modo direto.

Configurando uma WorkMail organização para se integrar a uma solução MDM de terceiros no modo direto

Para se integrar a uma solução de gerenciamento de dispositivos móveis (MDM) de terceiros no modo direto, você deve atender aos seguintes requisitos:

• Crie regras de controle de acesso que restrinjam o acesso aos dispositivos do usuário somente ao ActiveSync protocolo.

• Crie uma regra padrão de acesso a dispositivos móveis deny-to-all "" para garantir que todos os dispositivos móveis desconhecidos ou não gerenciados sejam negados por padrão.

• Adote uma solução de gerenciamento de dispositivos móveis que emita notificações ou eventos personalizados quando um dispositivo muda a postura de segurança, o que significa que ele entra ou sai de conformidade.

• Crie um componente de software personalizado para ouvir essas notificações e ligue para o Amazon WorkMail SDK para criar substituições de acesso a dispositivos móveis.

Esses componentes garantem que todos os dispositivos do usuário atendam aos requisitos de conformidade do MDM antes de serem autorizados a acessar suas caixas de WorkMail correio da Amazon.

Use regras de controle de acesso para restringir o acesso de dispositivos móveis a ActiveSync

Você deve garantir que todos os dispositivos usem somente o ActiveSync protocolo, e você pode usar as regras de controle de acesso para fazer isso. Por exemplo, você pode conceder acesso a outros protocolos de e-mail somente a partir de um intervalo interno de endereços IP corporativos e, em seguida, permitir somente ActiveSync ao acessar e-mails de fora do firewall corporativo. Você deve fazer isso porque só ActiveSync permite identificar dispositivos usando uma ID de dispositivo. Você não pode usar protocolos como o Internet Message Access Protocol (IMAP) ou o Exchange Web Services. Para obter mais informações, consulte Trabalhar com regras de controle de acesso.

Criar uma regra de acesso padrão de "negar a todos"

Para transferir todas as decisões de acesso a dispositivos móveis para a solução de gerenciamento de dispositivos móveis de terceiros, crie uma regra de acesso que negue automaticamente todos os dispositivos, a menos que seja substituída para cada usuário ou dispositivo. Para obter mais informações, consulte Gerenciar regras de acesso a dispositivos móveis.

Este exemplo mostra uma regra de "negar a todos".

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY

Reagir a mudanças de postura do dispositivo e criar substituições de acesso a dispositivos móveis

Você deve configurar sua solução de MDM para enviar notificações sobre alterações na postura do dispositivo. Essas notificações devem ser consumidas por um componente que pode usar o Amazon WorkMail SDK para criar ou atualizar substituições de acesso a dispositivos móveis. Por padrão, a Amazon WorkMail nega acesso a dispositivos não gerenciados ou recém-provisionados devido à regra padrão de “negar a todos” o acesso a dispositivos móveis mostrada anteriormente neste tópico. Quando a solução de MDM determina que o dispositivo atende a todos os requisitos e emite uma notificação indicando que o dispositivo está em conformidade, esse componente pode reagir a essa notificação criando uma substituição de acesso ao dispositivo móvel com um efeito de ALLOW para o usuário e o dispositivo específicos. Se o dispositivo sair de conformidade posteriormente, a solução de gerenciamento de dispositivos móveis emitirá outra notificação e a substituição do acesso poderá ser excluída ou modificada para negar o acesso a esse dispositivo. Para obter mais informações, consulte Gerenciar substituições de acesso a dispositivos móveis.

Para ver um exemplo da Amazon WorkMail integrada ao MDM, consulte este AWS exemplo de aplicativo.