Mobile E-Mail-Verwaltung - VMware Workspace ONE UEM
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Mobile E-Mail-Verwaltung VMware Workspace ONE UEM
Mobile E-Mail-Verwaltung
Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:
https://docs.vmware.com/de/
VMware, Inc. VMware Global, Inc.
3401 Hillview Ave. Zweigniederlassung Deutschland
Palo Alto, CA 94304 Willy-Brandt-Platz 2
www.vmware.com 81829 München
Germany
Tel.: +49 (0) 89 3706 17 000
Fax: +49 (0) 89 3706 17 333
www.vmware.com/de
©
Copyright 2020 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.
VMware, Inc. 2
Inhalt
1 Einführung in Mobile Email Management 4
2 Bereitstellungsmodelle für die E-Mail-Infrastrukturverwaltung 6
3 Migrieren von E-Mail zu Workspace ONE UEM 15
4 Konfigurieren der Bereitstellung der mobilen E-Mail-Verwaltung 18
5 Zuweisen von Geräten zur mobilen E-Mail-Verwaltung 22
6 Konfigurieren von E-Mail-Profilen 25
7 Durchsetzen der E-Mail-Zugriffssteuerung 33
8 Überwachen des E-Mail-Datenverkehrs 43
VMware, Inc. 3
Einführung in Mobile Email
Management 1
Verwenden Sie Workspace ONE UEM powered by AirWatch, um Ihre mobile E-Mail-Bereitstellung
zu verwalten.
Die Möglichkeit der Anzeige von Unternehmensdaten auf Ihrem Gerät erleichtert die Arbeit
und erhöht die Produktivität, stellt Sie jedoch gleichzeitig auch vor neue Herausforderungen im
Hinblick auf die Sicherheit und die Bereitstellung. Die Lösung Workspace ONE UEM powered
by AirWatch Mobile Email Management (MEM) behebt dieses Problem, indem sie umfangreiche
Sicherheit für Ihre Infrastruktur für geschäftliche E-Mails gewährleistet.
Herausforderungen
Mobile E-Mail bietet Vorteile und bewirkt gleichzeitig auch größere Herausforderungen wie etwa
folgende:
n Bereitstellen von E-Mail über verschiedene Gerätetypen, Betriebssysteme und E-Mail-Clients
n Absichern von E-Mail-Zugriff über ungesicherte Netzwerke
n Schützen von vertraulichen Informationen vor Drittanbieteranwendungen
n Verhindern von E-Mail-Zugriff von nicht autorisierten, verlorenen oder gestohlenen Geräten
n Verhindern, dass E-Mail-Anlagen verloren gehen und durch Leseanwendungen von
Drittanbietern verteilt werden, wenn sie gelesen werden
Vorteile von Mobile Email Management (MEM)
Workspace ONE UEM powered by AirWatch MEM bietet alle Hauptfaktoren, die für eine
erfolgreiche und sichere mobile E-Mail-Bereitstellung erforderlich sind. Die Verwendung von MEM
bietet unter anderem folgende Vorteile:
n Durchsetzen von SSL-Sicherheit
n Konfigurieren von E-Mail Over-the-Air
n Vorhandene, nicht verwaltete Geräte erkennen
n Schutz der E-Mail vor Datenverlust
n Blockieren von E-Mail-Zugriff durch nicht verwaltete Geräte
VMware, Inc. 4
Mobile E-Mail-Verwaltung
n Einschränken des E-Mail-Zugriffs auf ausschließlich von Ihrem Unternehmen genehmigte
Geräte
n Verwenden von Zertifikatsintegration und -widerruf
MEM-Anforderungen
Überprüfen Sie die in diesem Abschnitt genannten Browseranforderungen, bevor Sie mit der
® ®
Lösung VMware AirWatch Mobile Email Management (MEM) fortfahren.
Haftungsausschluss
Integration in das Produkt eines Drittanbieters wird nicht garantiert und hängt von der
ordnungsgemäßen Funktion der Lösungen jenes Drittanbieters ab.
Unterstützte Browser
Die Workspace ONE UEM Konsole unterstützt die aktuellen stabilen Builds der folgenden
Webbrowser:
n Chrome
n Firefox
n Safari
n Internet Explorer 11
n Microsoft Edge
Hinweis Falls Sie IE zum Zugriff auf die UEM-Konsole verwenden, navigieren Sie zu
Systemsteuerung > Einstellungen > Internetoptionen > Sicherheit und stellen Sie sicher, dass
Sie eine (benutzerdefinierte) Sicherheitsstufe haben, bei der Schriftartdownload auf Aktiviert
gestellt ist.
Falls Sie einen älteren Browser verwenden als oben aufgeführt, wird empfohlen, diesen zu
aktualisieren, um die volle Leistung der Workspace ONE UEM-Konsole zu gewährleisten.
Umfangreiche Plattformtests wurden ausgeführt, um die Funktionstüchtigkeit bei der
Verwendung dieser Webbrowser zu gewährleisten. Bei nicht zertifizierten Browsern können
unter Umständen geringfügige Probleme in der UEM-Konsole auftreten.
VMware, Inc. 5Bereitstellungsmodelle für die E-
Mail-Infrastrukturverwaltung 2
Workspace ONE UEM bietet zwei Arten von Bereitstellungsmodellen für den Schutz und die
Verwaltung Ihrer E-Mail-Infrastruktur: das Proxymodell und das Direktmodell.
Sie können eines der folgenden E-Mail-Bereitstellungsmodelle mit den E-Mail-Richtlinien
kombinieren, die Sie in der UEM-Konsole definieren. Auf diese Weise können Sie Ihre mobilen
Geräte effektiv verwalten.
n Im Proxy-Bereitstellungsmodell wird ein eigener Server, der so genannte SEG-Proxyserver
(Secure Email Gateway), zwischen dem Workspace ONE-Server und dem E-Mail-Server des
Unternehmens platziert. Dieser Proxyserver filtert alle Anforderungen von den Geräten an
den E-Mail-Server heraus und leitet den Datenverkehr nur von den genehmigten Geräten
weiter. Auf diese Weise ist der E-Mail-Server des Unternehmens geschützt und kommuniziert
nicht direkt mit den mobilen Geräten.
n Beim direkten Bereitstellungsmodell gibt es keinen Proxyserver und Workspace ONE UEM
kommuniziert direkt mit den E-Mail-Servern. Da kein Proxyserver vorhanden ist, vereinfacht
dies die Installations- und Konfigurationsschritte in diesem Modell.
Hinweis Das Proxy-Bereitstellungsmodell hat zwei Varianten: die SEG-Plattformen Classic
und V2. Die SEG-Plattform Classic wird nicht mehr unterstützt, da die V2-Plattform bessere
Leistung bietet. Die SEG-Plattform V2 kann mit minimalen Ausfallzeiten auf einem vorhandenen
SEG-Server installiert werden, und bei Upgrades sind keine Profiländerungen oder Endbenutzer-
Interaktionen erforderlich.
VMware, Inc. 6Mobile E-Mail-Verwaltung
Bereitstellungsmodell Konfigurationsmodus E-Mail-Infrastruktur
Proxy-Bereitstellungsmodell Microsoft Exchange Microsoft Exchange 2010/2013/2016/2019
2010/2013/2016 Exchange Office 365
Exchange Office 365 HCL Domino mit HCL
Gmail
Direktes Bereitstellungsmodell – PowerShell-Modell Microsoft Exchange 2010/2013/2016/2019
PowerShell Microsoft Office 365
Direktes Bereitstellungsmodell – Gmail
Gmail
Hinweis Workspace ONE UEM unterstützt nur diejenigen Versionen von Drittanbieter-E-Mail-
Servern, die zurzeit auch von dem Anbieter des E-Mail-Servers unterstützt werden. Sobald
der Anbieter seine Unterstützung für eine Serverversion beendet, unterstützt auch Workspace
ONE UEM die Integration in diese veraltete Version nicht mehr.
Secure Email Gateway-Proxymodell
Der Secure Email Gateway-Proxyserver (SEG) ist ein separater Server, der im Einklang mit
Ihrem vorhandenen E-Mail-Server installiert wird und sämtlichen, zu Mobilgeräten gehenden E-
Mail-Verkehr per Proxy weiterleitet. Auf Grundlage der Einstellungen, die Sie in der UEM-Konsole
festlegen, trifft der SEG-Proxyserver für jedes von ihm verwaltete Mobilgerät Entscheidungen
darüber, ob und welche Daten zugelassen oder blockiert werden.
Der SEG Proxy-Server filtert alle Kommunikationsanforderungen an den E-Mail-Server des
Unternehmens heraus und leitet den Verkehr nur von genehmigten Geräten weiter. Diese
Art der Übertragung schützt den E-Mail-Server des Unternehmens, indem allen Geräten die
Kommunikation damit untersagt wird.
Installieren Sie den SEG-Server in Ihrem Netzwerk, damit er mit dem E-Mail-Verkehr Ihres
Unternehmens im Einklang steht. Sie können den SEG-Server auch in einer Demilitarized
Zone (DMZ) oder hinter einem Reverseproxy installieren. Sie müssen den SEG-Server in Ihrem
Rechenzentrum hosten, unabhängig davon, ob sich Ihr Workspace ONE-MDM-Server in der Cloud
oder lokal befindet.
VMware, Inc. 7Mobile E-Mail-Verwaltung
Direkte Bereitstellung – PowerShell-Modell
Im PowerShell-Modell nimmt Workspace ONE UEM eine PowerShell-Administratorrolle an und
erteilt Befehle an die EAS-Infrastruktur (Exchange ActiveSync), den Zugriff auf E-Mail nach
den in der UEM console festgelegten Richtlinien zuzulassen oder zu verweigern. PowerShell-
Bereitstellungen erfordern keinen separaten E-Mail-Proxyserver, und der Installationsvorgang ist
einfacher.
PowerShell-Bereitstellungen sind für Unternehmen geeignet, die Microsoft Exchange 2010, 2013,
2016, 2019 oder Office 365 einsetzen.
Es gibt zwei Methoden, bei denen die Ausgabe der PowerShell-Befehle davon abhängt, wo sich
der Workspace ONE UEM-Server und der Exchange-Server befinden:
n Der Workspace ONE-Server ist in der Cloud eingerichtet, der Exchange-Server jedoch lokal:
Die PowerShell-Befehle werden vom Workspace ONE UEM-Server erteilt. VMware Enterprise
Systems Connector richtet die PowerShell-Sitzung mit dem E-Mail-Server ein.
VMware, Inc. 8Mobile E-Mail-Verwaltung
n Der Workspace ONE UEM-Server und der E-Mail-Server sind lokal eingerichtet: Der
Workspace ONE UEM-Server richtet die PowerShell-Sitzung direkt mit dem E-Mail-Server
ein. Hier ist ein VMware Enterprise Systems Connector-Server nur erforderlich, wenn der
Workspace ONE UEM-Server mit dem E-Mail-Server nicht direkt kommunizieren kann.
Wenn Sie Unterstützung bei der Wahl zwischen dem Secure Email Gateway- und PowerShell-
Bereitstellungsmodell benötigen, finden Sie Hinweise unter „Empfehlungen von Workspace
ONE UEM“.
Direktes Gmail-Modell
Integrieren Sie den Workspace ONE UEM-Server in Google.
Organisationen, die die Gmail-Infrastruktur verwenden, wissen meistens, wie schwierig es ist,
E-Mail-Endpunkte für Gmail abzusichern und E-Mails daran zu hindern, den sicheren Endpunkt zu
umgehen. Workspace ONE UEM adressiert diese Herausforderungen durch Bereitstellung einer
flexiblen und sicheren Integrationsmethode für Ihre E-Mail-Infrastruktur.
Im direkten Gmail-Bereitstellungsmodell kommuniziert der Workspace ONE UEM-Server direkt
mit Google. Abhängig von den Sicherheitsanforderungen kann Workspace ONE das Google-
Kennwort eines Benutzers verwalten und den Zugriff auf die Mailbox des Benutzers steuern.
VMware, Inc. 9Mobile E-Mail-Verwaltung
API-Aufrufe für Google Suite – Sie können die in API-Aufrufen für Google Suite verwendeten
Attribute anpassen, indem Sie anstelle der E-Mail-Adresse des Benutzers ein alternatives
Attribut angeben. Standardmäßig wird die E-Mail-Adresse des Benutzers verwendet. Weitere
Informationen zum Konfigurieren des direkten Gmail-Modells finden Sie unter Integrieren des
direkten Modells mit Kennwortverwaltung.
MEM-Einsatzmodellmatrix
Verwenden Sie die folgende Funktionsmatrix, um die in den verschiedenen MEM-
Bereitstellungsmodellen verfügbaren Funktionen zu vergleichen.
Office 365 verlangt eine weitergehende Konfiguration für das SEG-Proxymodell. Für
cloudbasierte E-Mail-Server empfiehlt Workspace ONE UEM das Direktmodell der Integration.
Weitere Informationen finden Sie im Abschnitt „Empfehlungen von Workspace ONE UEM“.
✓ Unterstützt □ Nicht von Workspace ONE UEM unterstützt
X Funktion nicht verfügbar Entf. Nicht zutreffend
Tabelle 2-1. Bereitstellungsmatrix
SEG-Proxymodell Direktmodell
Exchange HCL Exchange
2010/2013/2016/2019 Notes Office 365 2010/2013/2016/2019
Office 365 Traveler Google (PowerShell) (PowerShell) Gmail
E-Mail-Sicherheitstools
Durchgesetzte
Sicherheitseinstellungen
Digitale Signaturen ✓ □ □ ✓ ✓ Entf.
durch S/MIME-Fähigkeit
verwenden
Vertrauliche Daten ✓ ✓ ✓ ✓ ✓ ✓
mit durchgesetzter
Verschlüsselung
schützen
SSL-Sicherheit ✓ ✓ ✓ ✓ ✓ ✓
durchsetzen
E-Mail-Anlagen- &
Hyperlinksicherheit
Durchsetzen, dass ✓ ✓ ✓ x x x
Anlagen und Hyperlinks
ausschließlich in
VMware AirWatch
Content Locker oder
Workspace ONE Web
geöffnet werden
VMware, Inc. 10Mobile E-Mail-Verwaltung
Tabelle 2-1. Bereitstellungsmatrix (Fortsetzung)
SEG-Proxymodell Direktmodell
Exchange HCL Exchange
2010/2013/2016/2019 Notes Office 365 2010/2013/2016/2019
Office 365 Traveler Google (PowerShell) (PowerShell) Gmail
Automatische E-Mail-
Konfiguration
Konfigurieren von E-Mail ✓ ✓ ✓ ✓ ✓ ✓
Over-the-Air auf dem
Gerät
E-Mail-Zugriffskontrolle
Blockieren von E-Mail- ✓ ✓ ✓ ✓ ✓ ✓
Zugriff durch nicht
verwaltete Geräte
Vorhandene, nicht ✓ ✓ ✓ ✓ ✓ Entf.
verwaltete Geräte
erkennen
E-Mail-Zugriff ✓ ✓ ✓ ✓ ✓ ✓
mit anpassbaren
Konformitätsrichtlinien
Geräteverschlüsselung ✓ ✓ ✓ ✓ ✓ ✓
für E-Mail-Zugriff
verwenden
E-Mail-Zugriff durch ✓ ✓ ✓ ✓ ✓ ✓
kompromittierte Geräte
verhindern
E-Mail zulassen/ ✓ ✓ ✓ ✓ ✓ x
blockieren – Mailclient
E-Mail-Zugriffskontrolle
E-Mails zulassen/ ✓ ✓ ✓ ✓ ✓ x
blockieren – Benutzer
E-Mails zulassen/ ✓ ✓ ✓ ✓ ✓ ✓
blockieren –
Gerätemodell
E-Mails zulassen/ ✓ ✓ ✓ ✓ ✓ ✓
blockieren – Geräte-BS
E-Mails zulassen/ ✓ ✓ ✓ ✓ ✓ x
blockieren – EAS-
Gerätetyp
Verwaltungstransparenz
Statistiken zum E-Mail- ✓ ✓ ✓ x x x
Verkehr
VMware, Inc. 11Mobile E-Mail-Verwaltung
Tabelle 2-1. Bereitstellungsmatrix (Fortsetzung)
SEG-Proxymodell Direktmodell
Exchange HCL Exchange
2010/2013/2016/2019 Notes Office 365 2010/2013/2016/2019
Office 365 Traveler Google (PowerShell) (PowerShell) Gmail
Statistiken zu den E- ✓ ✓ ✓ x x x
Mail-Clients
Zertifikatsverwaltung
ZS-Integration/- ✓ □ □ ✓ ✓ Entf.
Sperrung
Architektur
Inline Gateway (Proxy) ✓ ✓ ✓ Entf. Entf. ✓
Exchange PowerShell Entf. Entf. Entf. ✓ ✓ Entf.
Kennwortverwaltung für Entf. Entf. ✓ Entf. Entf. ✓
Gmail
Verzeichnis-API- Entf. Entf. Entf. Entf. Entf. ✓
Integration für Gmail
Unterstützt
Workspace ONE Boxer ✓ ✓ ✓ ✓ ✓ ✓
für iOS und Android [^]
iOS-eigener E-Mail- ✓ ✓ ✓ ✓ ✓ ✓
Client
Android-eigener E-Mail- ✓ ✓ ✓ ✓ ✓ ✓
Client (Gmail)
Android HCL Notes Entf. ✓ Entf. Entf. Entf. Entf.
Client*
*E-Mail-Anlagen- und Hyperlinksicherheit wird auf dem Android HCL Notes-Client nicht
unterstützt.
+ Exchange 2003 wird nicht unterstützt.
^ Exchange 2003, "ActiveSync-Profil verlangen" sowie Multi-MEM werden für Workspace ONE
Boxer nicht unterstützt.
Empfehlungen von Workspace ONE UEM
In diesem Abschnitt werden die von Workspace ONE UEM unterstützten Funktionen und die
geeigneten Bereitstellungsgrößen aufgeführt. Verwenden Sie die Entscheidungsmatrix, um den
für Sie am besten geeigneten Bereitstellungstyp zu wählen.
Anlagenverschlüsselung
VMware, Inc. 12Mobile E-Mail-Verwaltung
Mit durchgesetzter Anlagenverschlüsselung auf Ihren Mobilgeräten kann Workspace ONE UEM
bei der Absicherung Ihrer E-Mail-Anlagen helfen, ohne dabei die Endbenutzererfahrung zu
beeinträchtigen.
Workspace ONE
Systemeigen Traveler Boxer
iOS ✓
Android ✓
SEG unterstützt die Anlagenverschlüsselung und
Hyperlinktransformation in Workspace ONE Boxer nur, wenn diese
Funktionen für die Boxer-App-Konfiguration in der UEM-Konsole
aktiviert werden.
SEG unterstützt Anlagenverschlüsselung bei Exchange
2010/2013/2016/2019 und Office 365.
Hinweis SEG verschlüsselt keine Anlagen für Workspace ONE Boxer, aber DLP kann auf
Anwendungsebene erzwungen werden.
E-Mail-Verwaltung
In der Liste erfahren Sie, wie Sie die größtmögliche Sicherheit bei einfachstem Bereitstellungs-
und Verwaltungsaufwand erzielen können.
E-Mail-Infrastruktur Gmail PowerShell Secure Email Gateway (SEG)
Cloud Mail-Infrastruktur
Office 365 ✓ ✓
Gmail ✓ ✓
Lokale E-Mail-Infrastruktur
Exchange 2010 ✓ ✓
Exchange 2013 ✓ ✓
Exchange 2016 ✓ ✓
Exchange 2019 ✓ ✓
HCL Notes ✓
^Verwenden Sie Secure Email GatewaySecure Email Gateway (SEG) für alle lokalen E-Mail-
Infrastrukturen mit Bereitstellungen von über 100.000 Geräten. Für Einsätze mit weniger als
100.000 Geräten bietet sich PowerShell als Alternativlösung für Ihre E-Mail-Verwaltung an. Lesen
Sie die Entscheidungsmatrix mit dem Vergleich zwischen Secure Email Gateway und PowerShell.
VMware, Inc. 13Mobile E-Mail-Verwaltung
**Die Schwelle für PowerShell-Implementierungen hängt von den neuesten abgeschlossenen
Leistungstests ab und kann sich daher von einer Version zur nächsten ändern. Bei Einsätzen mit
bis zu 50.000 Geräten können relativ kurze Synchronisierungs- und Konformitätstestzeitrahmen
erwartet werden (unter drei Stunden). Je weiter sich die Bereitstellungsgröße 100.000 Geräten
nähert, desto mehr können Administratoren damit rechnen, dass sich ihre Synchronisierungs- und
Konformitätstestabläufe im Zeitrahmen von 3–7 Stunden erhöhen werden.
Entscheidungsmatrix – Secure Email Gateway im Vergleich zu PowerShell
Die Matrix informiert Sie über die Bereitstellungsfunktionen von SEG und PowerShell, um Sie bei
der Wahl der Bereitstellung, die Ihren Bedürfnissen am besten gerecht wird, zu unterstützen.
Vorteile Nachteile
SEG n Echtzeitkonformität n Zusätzliche(r) Server erforderlich
n Anlagenverschlüsselung
n Hyperlinktransformation
PowerShell n Es werden keine zusätzlichen lokalen n Keine Konformitätssynchronisierung
Server zur E-Mail-Verwaltung benötigt in Echtzeit
n E-Mail-Datenverkehr wird nicht zu einem n Nicht für große Einsätze (> 100.000)
lokalen Server geleitet, bevor er Office geeignet
365 erreicht. ADFS sind daher nicht
erforderlich.
Microsoft empfiehlt die
Verwendung von Active
Directory Federated
Services (ADFS), um
den direkten Zugriff auf
Office 365-E-Mail-Konten
zu verhindern.
VMware, Inc. 14Migrieren von E-Mail zu
Workspace ONE UEM 3
Sie können Ihre E-Mail zu einem Mobile Email Management (MEM)-Modell mit Workspace ONE
UEM migrieren.
Durch die Migration zu einem der folgenden Modelle erzwingen Sie Richtlinien für die E-Mail-
Zugriffssteuerung und sorgen dafür, dass der Zugriff auf E-Mails nur für genehmigte Benutzer
und Geräte möglich ist.
n Secure Email Gateway (SEG)
n PowerShell
n Gmail
Zum Secure Email Gateway migrieren
Die E-Mail-Migration zu Secure Email Gateway (SEG) ermöglicht den Zugriff von Benutzern auf
E-Mails nur über den SEG-Proxy.
Durch die Verwendung von SEG werden E-Mail-Zugriffskontrollrichtlinien durchgesetzt und somit
nur der Zugriff für zulässige Benutzer und Geräte genehmigt. Richtlinien für die Verschlüsselung
von Anlagen sorgen für Datensicherheit.
1 Konfigurieren Sie SEG in Ihrer vorgeschriebenen Organisationsgruppe unter „Global“ in der
Workspace ONE UEM Console. .
2 Laden Sie das SEG herunter und installieren Sie es..
3 Testen Sie die SEG-Funktionalität anhand der E-Mail-Konformitätsrichtlinie.
a Deaktivieren Sie kurzfristig alle Konformitätsrichtlinien.
b Bitten Sie alle Benutzer, ihre Geräte bei Workspace ONE UEM zu registrieren.
c Stellen Sie für sämtliche Geräte ein neues E-Mail-Profil (mit der SEG-Server-URL als
Hostname) bereit.
d Erinnern Sie Benutzer mit nicht verwalteten Geräten regelmäßig daran, ihre Geräte bei
Workspace ONE UEM zu registrieren.
VMware, Inc. 15Mobile E-Mail-Verwaltung
e Wenn Sie den EAS-Zugang zum Mailserver an einem bestimmten Datum blockieren
möchten, ändern Sie die Regeln der Firewall (oder die Regeln von Threat Management
Gateway) entsprechend. Dies gewährleistet, dass Mobilgeräte daran gehindert werden,
direkt auf den Mailserver zuzugreifen.
f Aktivieren Sie alle Compliance-Richtlinien.
Hinweis Bestehende Webmail-, Outlook Web Access- (OWA) und andere Mailclients können
weiterhin auf den Mailserver zugreifen.
Migrieren zu PowerShell
Durch die Migration zu PowerShell können Sie Ihre Geräte sichern und Exchange oder Office 365
für E-Mails synchronisieren.
PowerShell erkennt verwaltete und nicht verwaltete Geräte. Mithilfe der Richtlinien zur E-Mail-
Zugriffskontrolle erteilt sie Zugriffsrechte ausschließlich für genehmigte Benutzer und Geräte.
1 Konfigurieren Sie die PowerShell-Integration in Ihrer vorgeschriebenen Organisationsgruppe
in der Workspace ONE UEM-Konsole unter „Global“.
2 Konfigurieren Sie die Integration mit Anwendergruppen (entweder anwender- oder
vordefiniert).
3 Testen Sie PowerShell-Funktionalität mit einer Untergruppe an Anwendern (z.B.
Testanwendern), um zu gewährleisten, dass Folgendes funktioniert:
a Synchronisierung mit dem E-Mail-Server zur Erkennung von Geräten
b Zugriffskontrolle in Echtzeit
4 Deaktivieren Sie kurzfristig alle Konformitätsrichtlinien.
5 Stellen Sie ein neues E-Mail-Profil für alle Geräte bereit, die bei Workspace ONE UEM mit dem
E-Mail-Serverhostnamen registriert wurden.
6 Führen Sie eine Synchronisierung mit dem E-Mail-Server aus, um alle (verwalteten und nicht
verwalteten) Geräte zur E-Mail-Synchronisierung zu erkennen.
7 Erinnern Sie Benutzer mit nicht verwalteten Geräten regelmäßig daran, ihre Geräte bei
Workspace ONE UEM zu registrieren.
8 Aktivieren und setzen Sie an einem bestimmten Datum Konformitätsrichtlinien durch, die
für alle nicht konformen Geräte, einschließlich nicht verwalteter Geräte, den E-Mail-Zugriff
blockieren.
9 Richten Sie den E-Mail-Server so ein, dass alle Geräte standardmäßig blockiert werden.
Hinweis Im E-Mail-Dashboard wird die Liste der nicht verwalteten Geräte als blockierte und
verwaltete Geräte angezeigt, die für E-Mail zugelassen sind.
VMware, Inc. 16Mobile E-Mail-Verwaltung
Integrieren von Gmail in Workspace ONE UEM
Durch die Migration zu Gmail können Sie Ihre Geräte mit dem Gmail-Server synchronisieren.
Sie können Ihre Gmail mit oder ohne ein Secure Email Gateway (SEG) oder direkt mit den
Verzeichnis-APIs integrieren.
1 Aktivieren Sie die SSO-Option (Single Sign-On) auf Gmail oder erstellen Sie das
Dienstkontozertifikat.
2 Konfigurieren Sie mithilfe des MEM-Konfigurationsassistenten die Gmail-Integration über
Workspace ONE UEM Console.
3 Stellen Sie mit einem neuen, zufallsgenerierten Kennwort EAS-Profile für die Anwender bereit.
Geräten, die dieses Profil nicht erhalten, wird der Zugriff auf Gmail automatisch verwehrt.
Geräte migrieren
Sie können Geräte mithilfe von Workspace ONE UEM zwischen Organisationsgruppen und MEM-
Bereitstellungen migrieren.
1 Navigieren Sie in der Workspace ONE UEM Console zu E-Mail-Dashboard.
2 Filtern Sie die in Ihrer aktuellen MEM-Bereitstellung verwalteten Geräte heraus.
3 Wählen Sie auf der Seite Listenansicht alle Geräte aus und wählen Sie im Dropdown-Menü
Administration > Geräte migrieren.
4 Geben Sie auf der Seite Bestätigung der Gerätemigration den Schlüsselcode ein, um die
Migration zu bestätigen, und wählen Sie die Konfiguration, in der Sie die Geräte bereitstellen
möchten.
5 Klicken Sie auf Weiter.
Ergebnisse:
Nach Abschluss der oben genannten Schritte entfernt Workspace ONE UEM automatisch
das frühere Exchange ActiveSync (EAS)-Profil und überträgt das neue EAS-Profil zur
Zielbereitstellungsgruppe. Das Gerät verbindet sich daraufhin mit seiner neuen Einsatzgruppe.
Der aktualisierte MEM-Konfigurationsname für das Gerät wird auf dem E-Mail-Dashboard
angezeigt.
VMware, Inc. 17Konfigurieren der Bereitstellung
der mobilen E-Mail-Verwaltung 4
Integrieren Sie Ihre E-Mail-Infrastruktur in wenigen Schritten mit dem Mobile Email Management
(MEM)-Konfigurationsassistenten.
MEM kann nur in einer übergeordneten Organisationsgruppe konfiguriert und in keiner
untergeordneten Organisationsgruppe überschrieben werden. Eine MEM-Konfiguration kann mit
einem oder mehr EAS-Profilen (Exchange ActiveSync) assoziiert werden.
1 Navigieren Sie zu E-Mail > Einstellungen und wählen Sie dann Konfigurieren.
2 Wählen Sie das Einsatzmodell und dann den E-Mail-Typ. Wählen Sie Weiter.
a Wenn „Proxy“ das Bereitstellungsmodell ist, wählen Sie den E-Mail-Typ aus.
Zur Auswahl:
n Exchange
n Google
n HCL Notes
b Wenn „Direkt“ das Bereitstellungsmodell ist, wählen Sie den E-Mail-Typ aus.
Zur Auswahl:
n Exchange
n Google Anwendung mit Direct API
n Google Anwendung mit Kennwortbereitstellung – Wählen Sie für den Gmail-
Bereitstellungstyp „Mit Kennwortspeicherung“ oder „Ohne Kennwortspeicherung“.
Weitere Informationen über die Bereitstellungsmodelle finden Sie im Abschnitt über E-Mail-
Bereitstellungstypen.
3 Geben Sie die Details des ausgewählten Bereitstellungstyps ein.
Zur Auswahl:
n Bei SEG-Bereitstellungen:
1 Geben Sie einen Anzeigenamen für diese Bereitstellung ein.
2 Geben Sie die SEG-Proxyserver-Details ein.
VMware, Inc. 18Mobile E-Mail-Verwaltung
n Für PowerShell-Einsätze:
1 Geben Sie einen Anzeigenamen für diese Bereitstellung ein.
2 Geben Sie die Details der PowerShell-Server-, Authentifizierungs- und
Synchronisierungseinstellungen ein.
n Für Gmail:
1 Geben Sie einen Anzeigenamen für diese Bereitstellung ein.
2 Geben Sie die Gmail-, Authentifizierungs-, Gmail-Verzeichnis-APIs-Integrations-, sowie
SEG-Proxy-Einstellungen ein.
4 Ordnen Sie der MEM-Bereitstellung ein EAS-Vorlagenprofil zu und wählen Sie Weiter.
a Erstellen Sie eine EAS-Profilvorlage für diese Bereitstellung.
Neue Vorlagenprofile werden nicht automatisch auf den Geräten veröffentlicht. Sie
können diese Profile auf Ihren Geräten über die Seite „Profile“ veröffentlichen.
b (Optional) Ordnen Sie dieser Bereitstellung ein vorhandenes Profil zu, wenn mehr als eine
Bereitstellung von MEM bei einer einzigen Organisationsgruppe konfiguriert werden soll.
Die Seite MEM-Konfigurationsüberblick zeigt die Konfigurationsdetails an.
5 Speichern Sie die Einstellungen.
6 Nach dem Speichern können Sie dieser Bereitstellung die erweiterten Einstellungen
hinzufügen.
a Wählen Sie das Symbol Erweiterungen , das Ihrer Bereitstellung entspricht.
b Konfigurieren Sie je nach Bedarf verfügbare Einstellungen für Benutzermailboxen auf der
Seite Mobile Email Management – Erweiterte Konfiguration.
c Wählen Sie Speichern.
Nächste Schritte
Zur Konfiguration mehrerer MEM-Bereitstellungen wählen Sie Hinzufügen (verfügbar auf der
Hauptseite der Mobile Email Management-Konfiguration) und führen die Schritte 2 – 7 durch.
In einer SEG-Bereitstellung können Sie eine bestimmte Konfiguration als Standard zuweisen,
indem Sie die Option Als Standard festlegen nutzen, die unter verfügbar ist.
VMware, Inc. 19Mobile E-Mail-Verwaltung
Hinweis
n Bei Verbindung mehrerer PowerShell-Umgebungen mit demselben Exchange-Server, sollten
Sie Anwendergruppen erstellen, die sich gegenseitig ausschließen.
n Benutzen Sie bei der Verbindungsherstellung mehrerer Gmail-Umgebungen verschiedene
Domänen in der Konfiguration.
n Erwägen Sie die Verbindung der SEG- und PowerShell-Integration mit derselben E-Mail-
Umgebung nur während der Migration von MEM-Bereitstellungen mit ordnungsgemäßen
Einstellungen. Der Support von Workspace ONE kann Sie bei dieser Implementierung
unterstützen.
Aktivieren von zertifikatbasierter E-Mail
Die zusätzliche Verwendung von Zertifikaten zu den Standard-Anmeldedaten mit Benutzername
und Kennwort bringt bestimmte Vorteile, weil Zertifikate eine stärkere Authentifizierung gegen
unerlaubten Zugriff ermöglichen. Sie vermeiden damit auch, dass Endanwender ein Kennwort
eingeben oder monatlich erneuern müssen. Sensible E-Mails zwischen Empfängern können
über S/MIME verschlüsselt werden oder enthalten einen Identitätsnachweis in Form einer
Nachrichtensignatur.
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile.
2 Wählen Sie Hinzufügen > Profil hinzufügen und anschließend die erforderliche Plattform.
3 Wählen Sie die Anmeldedaten-Profileinstellungen und konfigurieren Sie diese.
a Treffen Sie für Anmeldedatenquelle in der Liste der verfügbaren Quellen Ihre Auswahl.
Zur Auswahl:
n Hochladen – Laden Sie ein Zertifikat hoch und geben Sie einen Namen dafür ein.
n Festgelegte Zertifizierungsstelle – Wählen Sie die ZS und die Zertifikatvorlage aus
dem Dropdown- Menü für Ihre Organisationsgruppe.
Die Zertifizierungsstellen und die Vorlagen werden für eine Organisationsgruppe unter
Geräte > Zertifikate > Zertifizierungsstellen hinzugefügt.
4 Speichern und veröffentlichen Sie die Einstellungen.
VMware, Inc. 20Mobile E-Mail-Verwaltung
Konfigurieren des Benutzerattributs für MEM-Aufrufe an
Google Suite
Gmail-Bereitstellungen verwenden standardmäßig Google APIs für die Zugriffsverwaltung
auf Gmail. Sie können den Registrierungsbenutzer mit der E-Mail-Adresse des Benutzers
identifizieren, während Befehle an Google gesendet werden. Alternativ kann ein Administrator
auch ein benutzerdefiniertes Active Directory-Attribut anstelle der E-Mail-Adresse des Benutzers
auswählen, um den Benutzer bei Google zu identifizieren.
Dieses benutzerdefinierte Attribut kann verwendet werden, wenn sich die Google E-Mail-
Adresse in einem benutzerdefinierten Attributfeld des Active Directory des Kunden befindet.
Die Einstellungen für benutzerdefinierte Attribute gelten für Google Apps unter Verwendung
der Kennwortbereitstellung, Google Apps mit Direct API und SEG v2 mit automatischen
Kennwortbereitstellungsmethoden.
1 Navigieren Sie zu Konten > Administratoren > Administratoreinstellungen >
Verzeichnisdienste > Benutzer. Der Workspace ONE UEM-Administrator kann die Werte für
benutzerdefinierte Attribute zuordnen und den Zuordnungswert aus dem Active Directory
des Kunden verwenden.
2 Aktivieren Sie das benutzerdefinierte Attribut auf der Seite Verzeichnisdienste, geben
Sie einen Zuordnungswert ein und synchronisieren Sie die Active Directory-Benutzer,
um das benutzerdefinierte Attribut des Registrierungsbenutzers zu aktualisieren. Weitere
Informationen zum Aktivieren des benutzerdefinierten Attributs finden Sie unter Zuordnen
von Verzeichnisdienst-Benutzerinformationen im Verzeichnisdienst-Integrationshandbuch.
3 Navigieren Sie zu E-Mail > E-Mail-Einstellungen und wählen Sie Konfigurieren aus.
Konfigurieren Sie das Plattform-Gateway, und wählen Sie Weiter aus.
4 Wählen Sie auf der Seite E-Mail-Konfiguration hinzufügen das Bereitstellungsmodell als
Direct, den E-Mail-Typ als Google Apps mit Direct API aus und klicken Sie auf Weiter.
5 Geben Sie einen Anzeigenamen für diese Bereitstellung auf der Seite „Bereitstellung“ ein.
Geben Sie die Gmail-, Authentifizierungs-, Gmail-Verzeichnis-APIs-Integrations-, sowie SEG-
Proxy-Einstellungen ein.
6 Geben Sie die Google-Benutzer E-Mail-Adresse ein. Der Standardwert für die Google-
Benutzer E-Mail-Adresse ist „E-Mail-Adresse“. Ein-Administrator kann ein benutzerdefiniertes
Attribut anstelle der standardmäßigen Mail-Adresse auswählen.
7 Konfigurieren Sie E-Mail-Profile. Siehe Kapitel 6 Konfigurieren von E-Mail-Profilen .
Ergebnisse:
Sie können dieses benutzerdefinierte Attribut verwenden, wenn sich die Google E-Mail-Adresse
in einem benutzerdefinierten Attributfeld des Active Directory des Kunden befindet.
VMware, Inc. 21Zuweisen von Geräten zur mobilen E-Mail-Verwaltung 5 Die Registrierung von Geräten, die Zuweisung von E-Mail-Profilen zu Geräten und die Änderung des Gerätekonformitätsstatus haben Auswirkungen. MEM-Konfigurationen werden Geräten auf der Grundlage der EAS-Profile der Geräte zugewiesen. Die Konformitätsrichtlinien „Verwaltet“ und „ActiveSync-Profil verlangen“ stellen sicher, dass nicht verwaltete und manuelle Konfigurationen unzulässig bleiben. Geräte mit dem Profil Exchange ActiveSync (EAS) Wenn ein Gerät mit einem EAS-Profil einer bestimmten MEM-Konfiguration zugeordnet ist, werden Richtlinienaktualisierungen von Workspace ONE UEM an diese MEM-Konfiguration gesendet. Diese Funktion erleichtert Migrationen und Mehrfach-MEM-Konfigurationen, bei denen mehrere E-Mail-Umgebungen verwaltet werden können Ungeachtet des E-Mail-Clients benötigen alle Google MEM-Modelle ein EAS-Profil. Bei Neuinstallationen muss ein EAS-Profil mit einer MEM-Konfiguration verknüpft werden. Bei Upgrades muss der Administrator nach Beendigung des Aktualisierungsvorgangs der MEM- Konfiguration ein EAS-Profil zuordnen. SEG-Proxy-integriert Workspace ONE UEM sendet eine Broadcast-Nachricht an alle MEM-Konfigurationen der Organisationsgruppe, bei der sich das Gerät registriert hat. In dieser Nachricht wird der Konformitätsstatus des Geräts angegeben. Wenn sich die Konformität ändert, wird eine aktualisierte Nachricht gesendet. Wenn das Gerät mit einem bestimmten SEG-Server Verbindung aufnimmt, erkennt SEG das Gerät aufgrund der zuvor gesendeten Nachricht. Der SEG-Proxy meldet VMware AirWatch das Gerät dann als erkannt. Workspace ONE UEM ordnet das Gerät daraufhin der MEM-Konfiguration für SEG zu und zeigt es im E-Mail-Dashboard an. Bei mehreren SEG-Servern mit Lastenausgleich treffen Broadcast-Nachrichten hinsichtlich einzelner Richtlinien nur auf ein SEG zu. Dazu gehören die Nachrichten, die von der Workspace ONE UEM Console nach einer Registrierung, einem Konformitätsverstoß oder einer Korrektur an das SEG gesendet werden. Verwenden Sie DeltaSync mit einem aktualisierten Intervall von zehn Minuten zur Erleichterung für neu registrierte oder konforme Geräte. Die E-Mail dieser Geräte beginnt nach maximal zehn Minuten zu synchronisieren. Vorteile: n Aktualisierte Richtlinien von derselben API-Quelle für alle SEG-Server VMware, Inc. 22
Mobile E-Mail-Verwaltung
n Geringerer Leistungseinfluss auf API-Server
n Reduzierte Komplexität hinsichtlich der Implementierung bzw. Instandhaltung im Vergleich zu
dem SEG-Clustering-Modell
n Weniger Problempunkte, da jedes SEG für seine eigenen Richtliniensätze verantwortlich ist
n Verbessertes Benutzererlebnis
PowerShell-integriert
PowerShell-MEM-Konfigurationen verhalten sich in Bezug auf Richtlinienaktualisierungen genauso
wie SEG. Bei Migrationen nach PowerShell ist es wichtig, der PowerShell-MEM-Konfiguration neue
Profile zuzuordnen. Durch die Zuordnung eines neuen Profils wird unnötige Kommunikation mit
der vorherigen MEM-Konfiguration vermieden.
Gmail-integriert
Profile sind bei dieser Art von Einsatz Pflicht, mit Ausnahme der Integration in Google
Verzeichnis-APIs. Sofern die Geräte nicht mit den Profilen bereitgestellt wurden, kann die
konfigurierte Gmail-Bereitstellung die Geräte weder identifizieren noch verwalten.
Synchronisieren von Geräten
Verwenden Sie MEM, um Geräte zu synchronisieren, die einer Organisationsgruppe zugeordnet
sind.
Nachdem Sie eine Mobile Email Management-Bereitstellung (MEM) konfiguriert haben, führen die
Geräte der zugewiesenen Organisationsgruppe eine Aufwärtssynchronisierung mit MEM durch.
Sie können den Status der Geräte und weitere Details auf der Seite E-Mail-Dashboard der
Workspace ONE UEM Consoleanzeigen.
Wann die Geräte auf dem Dashboard erscheinen, hängt von den Bereitstellungsmodellen ab,
denen die Geräte zugewiesen sind.
n SEG-Proxy: Geräte, die mit dem SEG-Proxy verwaltet werden, erscheinen erst auf dem
Dashboard, wenn der SEG-Proxy das Gerät als verbunden und verwaltet meldet.
n PowerShell: Geräte, die mit PowerShell verwaltet werden, erscheinen erst auf dem
Dashboard, wenn Workspace ONE UEM ein PowerShell cmdlet sendet, um dem Gerät die
Verbindung zu E-Mail zu gewähren.
n Gmail: Geräte, die mit Gmail verwaltet werden, erscheinen auf dem Dashboard, wenn das
Workspace ONE UEM-EAS-Profil für das Gerät in der Warteschlange ist.
Auf dem E-Mail-Dashboard wird eine der folgenden Statusmeldungen angezeigt:
n Verwaltet – Zugewiesen: Registrierte Geräte mit identifizierter memconfigID.
n Verwaltet – Nicht zugewiesen: Registrierte Geräte, deren memConfigID bis jetzt weder durch
Profilzuweisung noch durch AutoErmittlung identifiziert wurde.
VMware, Inc. 23Mobile E-Mail-Verwaltung
n Nicht verwaltet – Erkannt: Geräte, die noch nicht bei Workspace ONE UEM registriert
sind, aber von einer bestimmten MEM-Konfiguration in dieser Organisationsgruppe erkannt
wurden.
VMware, Inc. 24Konfigurieren von E-Mail-Profilen
6
Um EAS-Mail über den Gmail-Client (Android) bereitzustellen, erstellen Sie ein Konfigurationsprofil
für den Gmail-Client.
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil
hinzufügen > Android.
2 Wählen Sie Gerät aus, um Ihr Profil für ein Gerät einzusetzen.
3 Konfigurieren Sie die Einstellungen des Profils unter Allgemein. Diese Einstellungen
bestimmen, wie das Profil bereitgestellt wird und wer es erhält.
4 Wählen Sie die Exchange ActiveSync-Nutzlast.
5 Konfigurieren Sie die Exchange ActiveSync-Einstellungen.
Einstellung Beschreibung
E-Mail-Client Wählen Sie Gmail als Mailclienttyp aus.
Kontoname Geben Sie eine Beschreibung für das Mailkonto ein.
Exchange ActiveSync Host Geben Sie die externe URL des ActiveSync-Servers Ihres
Unternehmens ein.
Beim ActiveSync-Server kann es sich um jeden
beliebigen Mail-Server handeln, der das ActiveSync-
Protokoll implementiert, wie HCL Notes Traveler, Novell
Data Synchronizer und Microsoft Exchange. Im Fall von
SEG-Einsätzen (Secure Email Gateway) verwenden Sie
die SEG-URL anstelle der E-Mail-Server-URL.
SSL-Fehler ignorieren Aktivieren Sie diese Option, um zuzulassen, dass Geräte
SSL-Fehler für Workspace ONE Intelligent Hub-Prozesse
ignorieren.
Domäne Geben Sie die Domäne des Endbenutzers ein.
Dazu können Sie die Suchwerte verwenden, anstatt
individuelle Profile für jeden Endbenutzer zu erstellen.
Benutzer Geben Sie den Benutzernamen des Endbenutzers ein.
Dazu können Sie die Suchwerte verwenden, anstatt
individuelle Profile für jeden Endbenutzer zu erstellen.
VMware, Inc. 25Mobile E-Mail-Verwaltung
Einstellung Beschreibung
E-Mail-Adresse Geben Sie die E-Mail-Adresse des Endbenutzers ein.
Dazu können Sie die Suchwerte verwenden, anstatt
individuelle Profile für jeden Endbenutzer zu erstellen.
Hinweis Wenn Sie das benutzerdefinierte Attribut für
GSuite verwenden, müssen Sie den Lookup-Wert für das
benutzerdefinierte Attribut für das Feld E-Mail-Adresse
im Exchange ActiveSync E-Mail-Profil verwenden. Siehe
„Konfigurieren des Benutzerattributs für MEM-Aufrufe an
Google Suite“.
Kennwort Geben Sie das Kennwort für den Endbenutzer ein.
Dazu können Sie die Suchwerte verwenden, anstatt
individuelle Profile für jeden Endbenutzer zu erstellen.
Identitätszertifikat Wählen Sie, falls gewünscht, ein Identitätszertifikat
vom Dropdown-Menü, wenn die Endbenutzer ein
Zertifikat übergeben müssen, um eine Verbindung mit
Exchange ActiveSync herzustellen. Andernfalls wählen
Sie Keine(r/s) (Standardeinstellung).
Weitere Informationen zur Auswahl eines Zertifikats
für diese Nutzlast finden Sie unter „Bereitstellen eines
Anmeldedatenprofils“.
Vergangene Tage mit ausstehender Wählen Sie die Anzahl der vergangenen Tage mit Mail,
Mailsynchronisierung die mit dem Gerät synchronisiert werden soll.
Vergangene Tage mit ausstehender Wählen Sie die Anzahl der vergangenen Tage, die auf
Kalendersynchronisierung dem Gerätekalender synchronisiert werden sollen.
Kalender synchronisieren Aktivieren Sie diese Option, um die
Kalendersynchronisierung mit Geräten zuzulassen.
Kontakte synchronisieren Aktivieren Sie diese Option, um die
Kontaktesynchronisierung mit Geräten zuzulassen.
Aufgabensynchronisierung zulassen Aktivieren Sie diese Option, um die
Aufgabensynchronisierung mit Geräten zuzulassen.
Maximale E-Mail-Trunkierungsgröße Geben Sie die Größe an, über die E-Mail-Nachrichten
trunkiert werden, wenn Sie auf Geräte synchronisiert
werden.
E-Mail-Signatur Geben Sie die E-Mail-Signatur ein, die in ausgehenden
E-Mails angezeigt werden soll.
Anlagen zulassen Aktivieren Sie diese Option, um E-Mail-Anlagen
zuzulassen.
Maximale Anlagengröße Geben Sie die maximale Anlagengröße in MB an.
E-Mail-Weiterleitung zulassen Aktivieren Sie diese Option, um die Weiterleitung von
E-Mails zuzulassen.
HTML-Format zulassen Geben Sie an, ob die auf das Gerät synchronisierte E-Mail
im HTML-Format sein darf.
Sollte diese Einstellung auf „Falsch“ gestellt sein, wird die
gesamte E-Mail in Nur-Text-Format konvertiert.
VMware, Inc. 26Mobile E-Mail-Verwaltung
Einstellung Beschreibung
Screenshots deaktivieren Aktivieren Sie diese Option, um Screenshots auf dem
Gerät zu unterbinden.
Synchronisierungsintervall Geben Sie die Anzahl der Minuten zwischen den
Synchronisierungen ein.
Hauptbelastungstage für Synchronisierungszeitplan n Planen Sie die Wochentage mit Hauptbelastung für
die Synchronisierung sowie Startzeit und Endzeit für
die Synchronisierung an den ausgewählten Tagen.
n Legen Sie die Frequenz des
Synchronisierungszeitplans bei hoher Belastung
sowie des Synchronisierungszeitplans bei geringer
Belastung fest.
n Wenn Sie Automatisch wählen, werden E-Mails
bei jedem Update synchronisiert.
n Wenn Sie Manuell wählen, werden E-Mails nur bei
Auswahl synchronisiert.
n Wenn Sie einen Zeitwert wählen, werden E-Mails
nach einem festgelegten Zeitplan synchronisiert.
n Aktivieren Sie auf Wunsch SSL verwenden, TLS
verwenden und Standardkonto.
S/MIME-Einstellungen Wählen Sie S/MIME benutzen: Von hier aus
können Sie ein S/MIME-Zertifikat auswählen, das
Sie als Benutzerzertifikat der Anmeldedaten-Nutzlast
zuordnen.
n S/MIME-Zertifikat – Wählen Sie das zu verwendende
Zertifikat.
n Verschlüsselte S/MIME-Nachrichten verlangen –
Aktivieren Sie diese Option, um Verschlüsselung
durchzusetzen.
n Signierte S/MIME-Nachrichten verlangen –
Aktivieren Sie diese Option, um signierte S/MIME-
Nachrichten durchzusetzen.
Stellen Sie einen Migrationshost bereit, falls Sie zur
Verschlüsselung S/MIME-Zertifikate verwenden.
Wählen Sie Speichern, um die Einstellungen zu
speichern, oder Speichern und veröffentlichen, um
die Profileinstellungen zu speichern und auf das
erforderliche Gerät zu übertragen.
6 Wählen Sie Speichern, um die Einstellungen zu speichern, oder Speichern und
veröffentlichen, um die Profileinstellungen zu speichern und auf das erforderliche Gerät zu
übertragen.
VMware, Inc. 27Mobile E-Mail-Verwaltung
Konfigurieren eines EAS Mail-Profils für den systemeigenen
Mailclient
Erstellen Sie ein E-Mail-Konfigurationsprofil für den systemeigenen Mailclient auf iOS-Geräten.
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen. Wählen Sie Apple
iOS.
2 Konfigurieren Sie die Einstellungen des Profils unter Allgemein.
3 Wählen Sie die Exchange ActiveSync-Nutzlast.
4 Wählen Sie Systemeigener Mailclient als Mailclient. Geben Sie in das Textfeld Kontoname
eine Beschreibung dieses Mailkontos ein. Füllen Sie das Feld Exchange ActiveSync Host mit
der externen URL des ActiveSync-Servers Ihres Unternehmens aus.
Hinweis Beim ActiveSync-Server kann es sich um jeden beliebigen Mail-Server handeln, der
das ActiveSync-Protokoll implementiert, wie HCL Notes Traveler, Novell Data Synchronizer
und Microsoft Exchange. Im Fall von SEG-Bereitstellungen (Secure Email Gateway)
verwenden Sie die SEG-URL anstelle der E-Mail-Server-URL.
5 Aktivieren Sie das Kontrollkästchen SSL verwenden, um Secure Sockets Layer-Nutzung für
eingehenden E-Mail-Verkehr zu aktivieren.
6 Aktivieren Sie zur Benutzung weiterer Verschlüsselungszertifikate das Kontrollkästchen S/
MIME verwenden. Stellen Sie vor Aktivieren dieser Option unter den Profileinstellungen für
die Anmeldedaten sicher, dass Sie die erforderlichen Zertifikate hochgeladen haben.
a Wählen Sie das S/MIME-Zertifikate zum Signieren der E-Mail-Nachrichten.
b Wählen Sie das S/MIME-Verschlüsselungszertifikat sowohl zum Signieren als auch zum
Verschlüsseln von E-Mail-Nachrichten.
c Wählen Sie das Kontrollkästchen Pro-Nachricht-Schalter, damit Endbenutzer auswählen
können, welche individuellen E-Mail-Nachrichten mit dem systemeigenen iOS-Mailclient
signiert oder verschlüsselt werden sollen (nur überwachte Geräte ab iOS 8).
7 Tragen Sie die Anmeldedaten, einschließlich Domänenname, Benutzername und E-Mail-
Adresse, unter Verwendung von Suchwerten ein. Suchwerte beziehen die Informationen
direkt vom Datensatz des Benutzerkontos. Bei der Verwendung der Suchwerte
{EmailDomain}, {EmailUserName} und {EmailAddress} stellen Sie sicher, dass Ihre Workspace
ONE UEM-Benutzerkonten festgelegte E-Mail-Adressen und E-Mail-Benutzernamen haben.
8 Lassen Sie das Feld Kennwort leer, um den Benutzer zum Eingeben eines Kennworts
aufzufordern.
9 Wählen Sie das Nutzlastzertifikat, um ein Zertifikat zur zertifikatbasierten Authentifizierung
zu bestimmen, nachdem das Zertifikat der Anmeldedaten-Nutzlast hinzugefügt wurde.
VMware, Inc. 28Mobile E-Mail-Verwaltung
10 Konfigurieren Sie nach Bedarf folgende optionale Einstellungen unter Einstellungen und
Sicherheit:
a Vergangene Tage mit ausstehender Mail-Synchronisierung – Lädt die festgelegte Menge
an Mail herunter. Beachten Sie, dass längere Zeitperioden höheren Datenverbrauch zur
Folge haben, während das Gerät Mail herunterlädt.
b Verhindern, dass Nachrichten verschoben werden – Verhindert, dass Mail von einer
Exchange-Mailbox in eine andere Mailbox auf dem Gerät verschoben wird.
c Nutzung in Drittanbieteranwendungen verhindern – Verhindert, dass andere
Anwendungen die Exchange-Mailbox zum Senden von Nachrichten verwenden.
d Synchronisierung jüngster Adressen verhindern – Verhindert Kontaktempfehlungen
beim Senden von Mail in Exchange.
e Mail Drop verhindern – Deaktiviert die Funktion von Apple Mail Drop.
f (iOS 13) Mail aktivieren – Aktiviert die Konfiguration einer separaten Mail-App für das
Exchange-Konto.
g (iOS 13) Umschalten von Mail zulassen – Wenn diese Option deaktiviert ist, können
Benutzer Mails nicht ein- oder ausschalten.
h (iOS 13) Kontakte aktivieren – Aktiviert die Konfiguration einer separaten Kontakt-App für
das Exchange-Konto.
i (iOS 13) Umschalten von Kontakten zulassen – Wenn diese Option deaktiviert ist, können
Benutzer Kontakte nicht ein- oder ausschalten.
j (iOS 13) Kalender aktivieren – Aktiviert die Konfiguration einer separaten Kalender-App
für das Exchange-Konto.
k (iOS 13) Umschalten von Kalendern zulassen – Wenn diese Option deaktiviert ist, können
Benutzer Kalender nicht ein- oder ausschalten.
l Notizen aktivieren – Aktiviert die Konfiguration einer separaten Notizen-App für das
Exchange-Konto.
m (iOS 13) Umschalten von Notizen zulassen – Wenn diese Option deaktiviert ist, können
Benutzer Notizen nicht ein- oder ausschalten.
n (iOS 13) Erinnerungen aktivieren – Aktiviert die Konfiguration einer separaten
Erinnerungs-App für das Exchange-Konto.
o (iOS 13) Umschalten von Erinnerungen zulassen – Wenn diese Option deaktiviert ist,
können Benutzer Erinnerungen nicht ein- oder ausschalten.
11 Weisen Sie eine Standardanwendung für Audio-Anrufe zu, die Ihr systemeigenes EAS-Konto
verwendet, um Anrufe durchzuführen, wenn Sie eine Telefonnummer in einer Nachricht
auswählen.
12 Klicken Sie auf Speichern und veröffentlichen, um das Profil auf Geräte zu schieben.
VMware, Inc. 29Mobile E-Mail-Verwaltung
Exchange ActiveSync-Profile (Windows Desktop)
Exchange ActiveSync-Profile ermöglichen Ihnen die Konfiguration Ihrer Windows Desktop-
Geräte, um auf Ihren Exchange ActiveSync-Server für die E-Mail- und Kalendernutzung
zuzugreifen.
Verwenden Sie nur Zertifikate, die von einer vertrauenswürdigen Drittanbieter-
Zertifizierungsstelle (ZS) signiert wurden. Fehler in Ihren Zertifikaten setzen Ihre anderweitig
sicheren Verbindungen möglichen Man-in-the-Middle-Angriffen (MITM) aus. Derartige Angriffe
beeinträchtigen die Vertrauenswürdigkeit und Integrität der zwischen Produktkomponenten
übermittelten Daten, wodurch diese von Angreifern während der Übertragung abgefangen oder
geändert werden könnten.
Das Exchange ActiveSync-Profil unterstützt den systemeigenen Mailclient für Windows Desktop.
Die Konfiguration wechselt je nachdem, welchen Mailclient Sie gewählt haben.
Entfernen des Profils oder Ausführen eines Enterprise Wipe
Wird das Profil über den Befehl „Profil entfernen“, über Konformitätsrichtlinien oder über ein
Enterprise Wipe entfernt, werden sämtliche E-Mail-Daten gelöscht, einschließlich:
n Benutzerkonto/Anmeldeinformationen
n E-Mail-Nachrichtendaten
n Informationen zu Kontakten und Kalender
n Anlagen, die im Speicher für interne Anwendungen gespeichert wurden
Benutzername und Kennwort
Falls Sie E-Mail-Benutzernamen haben, die sich von den E-Mail-Adressen der Benutzer
unterscheiden, können Sie das Textfeld {EmailUserName} verwenden, das den bei der
Verzeichnisdienstintegration importierten E-Mail-Benutzernamen entspricht. Selbst wenn die
Benutzernamen Ihrer Benutzer mit deren E-Mail-Adressen identisch sein sollten, sollten Sie
das Textfeld {EmailUserName} verwenden, da es die bei der Verzeichnisdienstintegration
importierten E-Mail-Adressen verwendet.
VMware, Inc. 30Mobile E-Mail-Verwaltung
Konfigurieren eines Exchange ActiveSync-Profils (Windows
Desktop)
Erstellen Sie ein Exchange ActiveSync-Profil, um Windows Desktop-Geräten Zugriff auf Ihre
Exchange ActiveSync-Server zum E-Mail- und Kalendergebrauch zu geben.
Hinweis Workspace ONE UEM unterstützt Outlook 2016 für Exchange ActiveSync-Profile nicht.
Die Profilkonfiguration der Exchange Web Services (EWS) für Outlook auf einem Windows
Desktop-Gerät über Workspace ONE UEM wird in der Version Microsoft Exchange 2016 nicht
mehr unterstützt.
1 Navigieren Sie zu Geräte > Profile > Listenansicht > Hinzufügen und wählen Sie Profil
hinzufügen aus.
2 Wählen Sie Windows und dann Windows Desktop als Plattform.
3 Wählen Sie Benutzerprofil.
4 Konfigurieren Sie die Profileinstellungen Allgemein.
5 Wählen Sie die Exchange ActiveSync-Nutzlast.
6 Konfigurieren Sie die Exchange ActiveSync-Einstellungen:
Einstellung Beschreibung
E-Mail-Client Wählen Sie den Mailclient, den das EAS-Profil
konfiguriert.
Workspace ONE UEM unterstützt den systemeigenen
Mailclient.
Kontoname Geben Sie den Namen für das Exchange ActiveSync-
Konto ein.
Exchange ActiveSync Host Geben Sie die URL oder die IP-Adresse für den Server
ein, der den EAS-Server hostet.
SSL verwenden Aktivieren Sie diese Option, um die gesamte
Kommunikation über Secure Socket Layer zu senden.
Domäne Geben Sie die E-Mail-Domäne ein.
Das Profil unterstützt Nachschlagewerte zum Einfügen
von Anmeldeinformationen des Registrierungsbenutzers.
Weitere Informationen finden Sie im Abschnitt über den
Benutzernamen und das Kennwort unten auf der Seite.
Benutzername Geben Sie den E-Mail-Benutzernamen ein.
E-Mail-Adresse Geben Sie die E-Mail-Adresse ein. Bei diesem Textfeld
handelt es sich um eine erforderliche Einstellung.
Kennwort Geben Sie das E-Mail-Kennwort ein.
Identitätszertifikat Wählen Sie das Zertifikat für die EAS-Nutzlast aus.
Weitere Informationen finden Sie unter „Konfigurieren
einer Anmeldedaten-Nutzlast“.
VMware, Inc. 31Mobile E-Mail-Verwaltung
Einstellung Beschreibung
Nächstes Synchronisierungsintervall (Minuten) Wählen Sie die Häufigkeit in Minuten, in der das Gerät mit
dem EAS-Server synchronisiert wird.
Vergangene Tage mit ausstehender Wählen Sie die Anzahl der vergangenen Tage, an denen
Mailsynchronisierung E-Mails mit dem Gerät synchronisiert werden sollen.
Diagnoseprotokollierung Aktivieren Sie diese Option, um Informationen zur
Fehlerbehandlung zu protokollieren.
Datenschutz bei Sperre verlangen Aktivieren Sie diese Option, um durchzusetzen, dass
Daten geschützt sind, wenn das Gerät gesperrt ist.
E-Mail-Synchronisierung zulassen Aktivieren Sie diese Option, um die Synchronisierung von
E-Mail-Nachrichten zuzulassen.
Kontaktsynchronisierung zulassen Aktivieren Sie diese Option, um die Synchronisierung von
Kontakten zuzulassen.
Kalendersynchronisierung zulassen Aktivieren Sie diese Option, um die Synchronisierung von
Kalenderereignissen zuzulassen.
7 Wählen Sie Speichern, um das Profil in der Workspace ONE UEM-Konsole beizubehalten,
oder Speichern & veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.
VMware, Inc. 32Durchsetzen der E-Mail-
Zugriffssteuerung 7
Konfigurieren Sie die Zugriffssteuerung, um einen sicheren Zugriff auf Ihre E-Mail-Infrastruktur zu
ermöglichen.
E-Mail-Konformitätsrichtlinien
Da Ihre E-Mail nun erfolgreich eingesetzt ist, können Sie noch weiter gehen und Ihre mobile
Mail durch das Hinzufügen von Zugriffssteuerung schützen. Diese Kontrollfunktion genehmigt nur
gesicherten, konformen Geräten den Zugriff auf Ihre E-Mail-Infrastruktur. Die Zugriffssteuerung
wird mithilfe von E-Mail-Konformitätsrichtlinien durchgesetzt.
Die E-Mail-Konformitätsrichtlinien erweitern die Sicherheit, indem der E-Mail-Zugriff von nicht
kompatiblen, nicht verschlüsselten, inaktiven oder nicht verwalteten Geräten eingeschränkt
wird. Diese Richtlinien ermöglichen Ihnen, E-Mail-Zugriff auf ausschließlich erforderliche und
berechtigte Geräte zu gewähren. E-Mail-Richtlinien beschränken auch den E-Mail-Zugriff
basierend auf dem Gerätemodell und den Betriebssystemen.
Diese Richtlinien werden als allgemeine E-Mail-Richtlinien, Richtlinien für verwaltete Geräte und
E-Mail-Sicherheitsrichtlinien kategorisiert. Die in die einzelnen Kategorien fallenden Richtlinien und
die Bereitstellungen, für die sie verwendbar sind, werden in der Tabelle aufgeführt.
In der folgenden Tabelle sind die unterstützten E-Mail-Konformitätsrichtlinien aufgeführt.
Tabelle 7-1. Unterstützte E-Mail-Konformitätsrichtlinien
SEG (Exchange, Direkte
HCL Traveler, G PowerShell Kennwortverwaltung Integration
Suite) (Exchange) (Gmail) (Gmail)
Allgemeine E-Mail-Richtlinien
Synchronisierungseinstellungen J N
Verwaltetes Gerät J J
E-Mail-Client J J
Benutzer J J
EAS-Gerätetyp J J
Richtlinien für verwaltete Geräte
VMware, Inc. 33Sie können auch lesen
