与移动设备管理解决方案集成

Amazon 通过移动设备策略和移动设备访问规则 WorkMail 支持一些基本的移动设备管理功能。但是，这些功能只能通过 Microsoft Exchange ActiveSync (EAS) 协议与移动设备交互，因此它们内省和强制执行设备安全态势的能力有限。需要更好地控制设备安全性和合规性的管理员可以使用第三方移动设备管理 (MDM) 解决方案。

移动设备管理解决方案概述

您可以在两种模式下配置 MDM 解决方案：“代理”或“直接”。请查阅您的 MDM 文档，了解您的解决方案支持哪些模式。

在代理模式下，移动设备通过您的 MDM 解决方案使用 Exchange 活动同步 (EAS) 协议访问亚马逊 WorkMail。MDM 解决方案使用设备状态来允许或拒绝对 Amazon WorkMail 数据的访问。在 Amazon WorkMail 方面，使用仅允许 EAS 从 MDM 解决方案的一个或多个 IP 地址进行访问的访问控制规则。有关更多信息，请参阅使用访问控制规则。

下图显示了典型的代理模式配置。

在直接模式下，移动设备使用 EAS WorkMail 直接访问 Amazon。您的 MDM 解决方案会接收设备状态更改，并持续评估每台设备是否满足这些要求。当 MDM 解决方案检测到状态更改（例如设备不合规）时，它可以采取多项操作，并且通常会发出通知或事件。Amazon WorkMail 管理员可以设置一个系统来监听这些合规状态事件，并自动创建移动设备访问权限覆盖，允许或拒绝在设备进入或不符合 MDM 设备要求时对其进行访问。

下图显示了典型的直接模式配置。

将 WorkMail 组织配置为在直接模式下与第三方 MDM 解决方案集成

要在直接模式下与第三方移动设备管理 (MDM) 解决方案集成，必须满足以下要求：

• 创建访问控制规则，限制用户设备的访问权限仅限于 ActiveSync协议。

• 创建默认的 “deny-to-all” 移动设备访问规则，确保默认情况下拒绝所有未知或未被管理的移动设备。

• 采用移动设备管理解决方案，当设备更改安全态势（即设备符合或不符合要求）时，该解决方案会发出自定义通知或事件。

• 创建自定义软件组件来监听这些通知，然后调用 Amazon WorkMail SDK 来创建移动设备访问权限覆盖。

这些组件可确保所有用户设备在获准访问其 Amazon WorkMail 邮箱之前都符合其 MDM 合规性要求。

使用访问控制规则限制移动设备的访问权限 ActiveSync

您必须确保所有设备仅使用该 ActiveSync 协议，并且可以使用访问控制规则来执行此操作。例如，您只能从公司内部 IP 地址范围内授予对其他邮件协议的访问权限，然后仅在从公司防火墙外部访问电子邮件 ActiveSync 时才允许。您必须这样做，因为仅 ActiveSync 允许您使用设备 ID 识别设备。不能使用互联网邮件访问协议 (IMAP) 或 Exchange Web Services 等协议。有关更多信息，请参阅 使用访问控制规则。

创建默认的“拒绝全部”访问规则

要将所有移动设备访问决策交给第三方移动设备管理解决方案，请创建一个访问规则，该规则会自动拒绝所有设备，除非按用户或按设备进行覆盖。有关更多信息，请参阅管理移动设备访问规则。

此示例显示了“拒绝全部”规则。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY

对设备状态更改做出反应并创建移动设备访问覆盖

您必须将 MDM 解决方案配置为发送有关设备状态更改的通知。这些通知必须由一个可以使用 Amazon WorkMail SDK 创建或更新移动设备访问权限覆盖的组件使用。默认情况下，由于本 WorkMail 主题前面显示了默认 “拒绝所有人” 移动设备访问规则，Amazon会拒绝访问非托管设备或新配置的设备。当 MDM 解决方案确定设备符合所有要求并发出指示设备符合要求的通知时，此组件可以通过为指定用户和设备创建具有 ALLOW 权限的移动设备访问覆盖来对此通知做出反应。如果设备之后不符合要求，移动设备管理解决方案会发出另一个通知，并且可能会删除或修改访问覆盖以拒绝该设备的访问。有关更多信息，请参阅 管理移动设备访问覆盖。

有关 Amazon 与 MDM WorkMail 集成的示例，请参阅此AWS 示例应用程序。