Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration aux solutions de gestion des appareils mobiles

Amazon WorkMail prend en charge certaines fonctionnalités de base de gestion des appareils mobiles par le biais de politiques relatives aux appareils mobiles et de règles d'accès aux appareils mobiles. Cependant, ces fonctionnalités ne peuvent interagir avec les appareils mobiles que par le biais du protocole Microsoft Exchange ActiveSync (EAS), de sorte qu'elles ont une capacité limitée d'introspection et de renforcement de la posture de sécurité des appareils. Les administrateurs qui ont besoin d'un meilleur contrôle de la sécurité et de la conformité des appareils peuvent utiliser une solution tierce de gestion des appareils mobiles (MDM).

Présentation des solutions de gestion des appareils mobiles

Vous pouvez configurer votre solution MDM en deux modes, proxy ou direct. Consultez votre documentation MDM pour connaître les modes pris en charge par votre solution.

En mode proxy, les appareils mobiles utilisent le protocole Exchange Active Sync (EAS) via votre solution MDM pour accéder à Amazon WorkMail. La solution MDM utilise la position de l'appareil pour autoriser ou refuser l'accès aux WorkMail données Amazon. WorkMail Du côté d'Amazon, utilisez une règle de contrôle d'accès qui autorise l'accès EAS uniquement à partir de l'adresse ou des adresses IP de la solution MDM. Pour plus d'informations, reportez-vous à la section Utilisation des règles de contrôle d'accès.

L'image suivante montre une configuration typique du mode proxy.

En mode direct, les appareils mobiles utilisent EAS pour accéder WorkMail directement à Amazon. Votre solution MDM reçoit les changements de posture des appareils et évalue en permanence si chaque appareil répond à ces exigences. Lorsque la solution MDM détecte un changement de posture, comme la non-conformité d'un appareil, elle peut prendre plusieurs mesures et émet généralement des notifications ou des événements. Un WorkMail administrateur Amazon peut configurer un système pour écouter ces événements relatifs à l'état de conformité et créer automatiquement des dérogations d'accès aux appareils mobiles qui autorisent ou refusent l'accès aux appareils lorsqu'ils entrent ou ne sont pas conformes aux exigences des appareils MDM.

L'image suivante montre une configuration typique du mode direct.

Configuration d'une WorkMail organisation pour l'intégrer à une solution MDM tierce en mode direct

Pour intégrer une solution tierce de gestion des appareils mobiles (MDM) en mode direct, vous devez répondre aux exigences suivantes :

Ces composants garantissent que tous les appareils des utilisateurs répondent à leurs exigences de conformité MDM avant d'être autorisés à accéder à leurs WorkMail boîtes aux lettres Amazon.

Utilisez des règles de contrôle d'accès pour restreindre l'accès des appareils mobiles à ActiveSync

Vous devez vous assurer que tous les appareils utilisent uniquement le ActiveSync protocole, et vous pouvez utiliser les règles de contrôle d'accès pour ce faire. Par exemple, vous pouvez autoriser l'accès à d'autres protocoles de messagerie uniquement à partir d'une plage d'adresses IP internes à l'entreprise, puis autoriser uniquement ActiveSync lorsque vous accédez au courrier électronique depuis l'extérieur du pare-feu de l'entreprise. Vous devez le faire car cela vous ActiveSync permet uniquement d'identifier les appareils à l'aide d'un identifiant d'appareil. Vous ne pouvez pas utiliser de protocoles tels que le protocole IMAP (Internet Message Access Protocol) ou les services Web Exchange. Pour de plus amples informations, veuillez consulter Utilisation des règles de contrôle d'accès.

Créez une règle d'accès « refuser à tout » par défaut

Pour renvoyer toutes les décisions d'accès aux appareils mobiles à la solution de gestion des appareils mobiles tierce, créez une règle d'accès qui refuse automatiquement tous les appareils, sauf si elle est annulée par utilisateur ou par appareil. Pour plus d’informations, consultez Gestion des règles d'accès aux appareils mobiles.

Cet exemple montre une règle « refuser à tout ».

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name DefaultDenyAll --effect DENY

Réagissez aux changements de posture de l'appareil et créez des annulations d'accès aux appareils mobiles

Vous devez configurer votre solution MDM pour envoyer des notifications en cas de modification de la position de l'appareil. Ces notifications doivent être consommées par un composant capable d'utiliser le WorkMail SDK Amazon pour créer ou mettre à jour les dérogations d'accès aux appareils mobiles. Par défaut, Amazon WorkMail refuse l'accès aux appareils non gérés ou récemment configurés en raison de la règle d'accès par défaut « refuser à tous » les appareils mobiles présentée plus haut dans cette rubrique. Lorsque la solution MDM détermine que l'appareil répond à toutes les exigences et émet une notification indiquant que l'appareil est conforme, ce composant peut réagir à cette notification en créant une dérogation d'accès au périphérique mobile avec un effet ALLOW pour l'utilisateur et l'appareil spécifiés. Si l'appareil n'est plus conforme par la suite, la solution de gestion des appareils mobiles émet une autre notification, et la dérogation d'accès peut être supprimée ou modifiée pour refuser l'accès à cet appareil. Pour de plus amples informations, veuillez consulter Gestion des annulations d'accès aux appareils mobiles.

Pour un exemple d' WorkMail intégration d'Amazon au MDM, consultez cet AWS exemple d'application.