與行動裝置管理解決方案整合

Amazon WorkMail 透過行動裝置政策和行動裝置存取規則支援一些基本的行動裝置管理功能。不過，這些功能只能透過 Microsoft Exchange ActiveSync (EAS) 通訊協定與行動裝置互動，因此其自我檢查和強制執行裝置安全狀態的能力有限。需要更好地控制裝置安全和合規的管理員可以使用第三方行動裝置管理 (MDM) 解決方案。

行動裝置管理解決方案概觀

您可以將 MDM 解決方案設定為兩種模式：代理或直接。請參閱 MDM 文件，了解您的解決方案支援哪些模式。

在代理模式中，行動裝置會透過 MDM 解決方案使用 Exchange Active Sync (EAS) 通訊協定來存取 Amazon WorkMail。MDM 解決方案使用裝置狀態來允許或拒絕存取 Amazon WorkMail 資料。在 Amazon WorkMail 端，使用存取控制規則，僅允許從 MDM 解決方案的 IP 地址進行 EAS 存取。如需詳細資訊，請參閱使用存取控制規則。

下圖顯示典型的代理模式組態。

在直接模式下，行動裝置使用 EAS 直接存取 Amazon WorkMail。您的 MDM 解決方案會收到裝置狀態變更，並持續評估每個裝置是否符合這些要求。當 MDM 解決方案偵測到狀態變更時，例如裝置不合規，它可以採取數個動作，通常發出通知或事件。Amazon WorkMail 管理員可以設定系統來接聽這些合規狀態事件，並自動建立行動裝置存取覆寫，以便在裝置進入或不符合 MDM 裝置要求時允許或拒絕存取裝置。

下圖顯示典型的直接模式組態。

設定 WorkMail 組織以直接模式與第三方 MDM 解決方案整合

若要以直接模式與第三方行動裝置管理 (MDM) 解決方案整合，您必須符合下列要求：

• 建立存取控制規則，將使用者裝置的存取限制為僅限 ActiveSync 通訊協定。

• 建立預設「deny-to-all」行動裝置存取規則，以確保預設會拒絕所有未知或未受管的行動裝置。

• 採用行動裝置管理解決方案，在裝置變更安全狀態時發出自訂通知或事件，這表示它會進入或不符合規範。

• 建立自訂軟體元件以聆聽這些通知，並呼叫 Amazon WorkMail SDK 以建立行動裝置存取覆寫。

這些元件可確保所有使用者裝置都符合 MDM 合規要求，才能存取其 Amazon WorkMail 信箱。

使用存取控制規則來限制行動裝置對 ActiveSync 的存取

您必須確保所有裝置僅使用 ActiveSync 通訊協定，而且您可以使用存取控制規則來執行此操作。例如，您只能從內部公司 IP 地址範圍授予對其他郵件通訊協定的存取權，然後在從公司防火牆外部存取 eamil 時僅允許 ActiveSync。您必須這樣做，因為只有 ActiveSync 允許您使用裝置 ID 來識別裝置。您無法使用網際網路訊息存取通訊協定 (IMAP) 或 Exchange Web Services 等通訊協定。如需詳細資訊，請參閱使用存取控制規則。

建立預設「拒絕所有」存取規則

若要將所有行動裝置存取決策延遲到第三方行動裝置管理解決方案，請建立存取規則，自動拒絕所有裝置，除非依每個使用者或每個裝置覆寫。如需詳細資訊，請參閱 管理行動裝置存取規則。

此範例顯示「拒絕所有」規則。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY

對裝置狀態變更做出反應並建立行動裝置存取覆寫

您必須設定 MDM 解決方案，以傳送裝置狀態變更的通知。這些通知必須由可使用 Amazon WorkMail SDK 建立或更新行動裝置存取覆寫的元件使用。根據預設，Amazon WorkMail 拒絕存取未受管或新佈建的裝置，因為本主題稍早顯示的預設「拒絕所有」行動裝置存取規則。當 MDM 解決方案判斷裝置符合所有需求，並發出通知指出裝置合規時，此元件可以透過ALLOW為指定的使用者和裝置建立具有 效果的行動裝置存取覆寫來回應此通知。如果裝置之後不合規，行動裝置管理解決方案會發出另一個通知，並且可以刪除或修改存取覆寫以拒絕該裝置的存取。如需詳細資訊，請參閱管理行動裝置存取覆寫。

如需與 MDM 整合的 Amazon WorkMail 範例，請參閱此AWS 範例應用程式。