Uncategorized

AirWatchの基礎 第14回〜Eメールへのアクセスと管理〜

AirWatchの基礎 14回〜Eメールへのアクセスと管理〜
皆さん こんにちは。
モバイルの活用において、必ず検討される要件としてEメールアクセスがあります。ご存知の通りEメールは、社内外のコミュニケーションツールとしては重要な位置づけとなっておりますが、情報漏えいやセキュリティ等で考慮すべきポイントが多数あり、どの企業でも管理については苦労されているのではないでしょうか?その為、基本会社支給PCからのアクセスのみ許可しており、モバイルや個人所有PCからアクセスを禁止している企業も少なくありません。業務効率の向上や利便性から、モバイルからのアクセスの許可を従業員の皆さんから強く要望があがってきている中、どのようにセキュリティにアクセスさせるかを考える必要があります。
AirWatchでは、デバイス(MDM)やアプリケーション(MAM)の管理だけでなく、Eメールの管理(MEM=Mobile E-Mail Management)も提供させて頂いております。
まず、モバイル環境でのEメールにアクセス方法について考えてみましょう。アクセス方法は、WEBブラウザとアプリケーションの2種類がありますが、モバイルでのWEBブラウザアクセスは、管理や制御およびUIの利便性が低い為、本内容からは除外させて頂きます。また、3rd Partyが提供しているメールアプリケーションもAirWatchから直接コントロールできない為、同様に除外させて頂きます。
AirWatchが提供するEメールクライアントの種類

  • ネイティブメールクライアント
    • OS標準搭載のメールクライアント
    • Exchange ActiveSyncプロトコルに対応
    • デバイスレベルの DLP (データ漏洩防止)機能
    • 追加コストなし、サードパーティ製アプリ不要
    • デバイスプロファイルからの配布の為、企業情報ワイプで削除が可能
  • VMware Boxer
    • VMwareが提供するメールクライアント
    • Exchange ActiveSyncプロトコルに対応
    • 直感的なネイティブクライアント同様のエクスペリエンス
    • デバイスレベルの DLP (データ漏洩防止)機能
    • メール本文のコピーアンドペーストをはじめとした、より高度なアプリレベルでのDLP(データ漏洩防止)機能
      • メール本文のコピー/貼り付け制御
      • ハイパーリンクをAirWatch Browser(セキュアプラウザ)で開くよう強制
      • メールの添付ファイルをContent Locker(セキュアファイラ・ビューワ)で開くよう強制
    • AirWatchによるアプリ配信の為、企業情報ワイプで削除が可能
    • アプリ起動時にパスコードでの起動制限が可能

メール設定と配布ネイティブクライアント(図はiOSの場合)

  • Exchange Active SyncもしくはPOP/IMAPでの設定配布をデバイスプロファイルから可能
  • {EmailDomain}, {EmailUserName}等のルックアップ値を利用が可能

01
注意 Androidの場合、製造元および機種によって設定や制限出来る事が異なる事があります。
メール設定と配布-VMware Boxer
VMware Boxer は、AppConfig Community対応アプリの為、Eメールの設定はデバイスプロファイルを使用せず、AirWatchからアプリケーション配布時に構成する事が出来ます。

  • {EmailDomain}, {EmailUserName}等のルックアップ値を利用が可能
  • Eメール/カレンダーの同期期間の指定
  • 認証タイプ:Eメールアクセスの際の、認証方法を指定
    • ベーシック(ユーザー名・パスワードによる認証)
    • 証明書
    • 両方(ベーシックと証明書の両方)

02

  • パスコード:VMware Boxer起動時にパスコードやTouch ID(iOSの場合)の指定が可能
  • コピー/貼り付け:メール本文からのコピー/貼り付けの制御が可能
  • ハイパーリンク:本文内のハイパーリンクをAirWatch Browserでのみアクセスを強制
  • 共有:メールの添付ファイルの扱いの制御
    • プレビューのみ:他のアプリではオープンできない
    • ホワイトリスト:指定したアプリのみオープンできる
    • 制限なし:すべてのアプリでオープンできる
  • 個人アカウント/個人連絡先:ユーザーによる個人アカウントや連絡際の追加の制御

03
以上の事から、VMware Boxerの利用が、よりセキュアにアクセスする事が出来ることがお分かり頂いたのではないでしょうか?
さて、これまではデバイスもしくはアプリレベルといったエンドポイントでのDLP (データ漏洩防止)を見てきましたが、AirWatchではさらに一歩踏み込んだ制御でセキュリティを確保するためのアクセスコントロールを行う事が出来ます。
Eメールのアクセスコントロール
アクセスコントロールは、エンドポイント以外にメールサーバ側にチェックポイントを持つことでよりセキュアにアクセスさせる事が出来ます。アクセスコントロールは、以下2つの方法を準備しております。
04
プロキシモデル
プロキシモデルは、SEG(Secure Email Gateway)を別途構成し、モバイルに送られるすべてのE メールトラフィックについてプロキシとして機能します。SEGは、AirWatch コンソールで定義された設定に基づき、管理するモバイルのそれぞれに対して許可または禁止を制御します。
直接統合
直接統合は、Microsoft Exchange 2010、2013、2016、またはOffice 365向けにはPowerShellで連携、Google Gmail向けにはAirWatchサーバが直接接続し制御します。いずれも、AirWatch コンソールで定義された設定に基づき、管理するモバイルのそれぞれに対して許可または禁止を制御し、別途プロキシサーバを構成する必要はございません。
それぞれのモデルの主な機能は以下の表を参照ください。
05
Eメール順守ポリシー
アクセスコントロールはEメール順守ポリシーを使用し適応する事ができ、セキュアで順守状態にあるデバイスのみに貴社のメールインフラへのアクセスを許可します。
E メール順守ポリシーを使用すると、非順守状態のデバイス、暗号化されていないデバイス、非アクティブなデバイス、または管理外のデバイスに対するE メールアクセスを制限することによって、セキュリティを強化できます。これらのポリシーを使用することで、必要かつ承認済みのデバイスのみにE メールアクセスを提供できるようになります。E メールポリシーでは、デバイスモデルおよびOS に基づいてE メールアクセスを制限することもできます。
07
注意 モバイルのOSの種類等で、動作が違う可能性がありますので、MEMの詳細な構成や設定はMy AirWatchのVMware AirWatch Mobile Email Management Guideを参照ください。
まとめ
冒頭に記載した通り、Eメールアクセスはモバイル活用において重要な位置づけとなります。AirWatchでは、メールクライアントでのエンドポイントでセキュリティを向上させる仕組みを持っているだけでなく、メールサーバ側と連携する事で、順守されたデバイスや状態でのみアクセス許可を与えるなど、高度なセキュリティを提供する事も出来ます。企業のセキュリティポリシーと照らし合わせながら、適切な手法をご選択ください。
本ブログの内容は情報提供のみを目的としたもので、VMwareとしての正式な見解ではありません。また、モバイル製品の特性上、アップデート等が早い為、記載内容の動作・仕様が予告なく変更される事があります。最新の情報は、myAirwatchポータルサイトよりマニュアルをご参照ください。 myAirwatchへこちら

関連記事