移动电子邮件管理 - VMware Workspace ONE UEM 2001...移动电子邮件管理概览 1 使用...

移动电子邮件管理

VMware Workspace ONE UEM 2001

您可以从 VMware 网站下载新的技术文档：

https://docs.vmware.com/cn/。

如果您对本文档有任何意见或建议，请将反馈信息发送至：

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

威睿信息技术（中国）有限公司北京办公室北京市朝阳区新源南路 8 号启皓北京东塔 8 层 801www.vmware.com/cn

上海办公室上海市淮海中路 333 号瑞安大厦 804-809 室www.vmware.com/cn

广州办公室广州市天河路 385 号太古汇一座 3502 室www.vmware.com/cn

版权所有 © 2020 VMware, Inc. 保留所有权利。版权和商标信息


VMware, Inc. 2

https://docs.vmware.com/cn/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目录

1 移动电子邮件管理概览 5MEM 的要求 6

2 电子邮件基础架构管理部署模式 7安全电子邮件网关代理模式 8

直接部署 - PowerShell 模式 8

直接 Gmail 模式 9

MEM 部署模式列表 10

Workspace ONE UEM 建议 13

3 电子邮件迁移到 Workspace ONE UEM 15迁移到 Secure Email Gateway (SEG) 15

迁移到 PowerShell 16

将 Gmail 与 Workspace ONE UEM 集成 17

迁移设备 17

4 配置移动电子邮件管理部署 18

5 设备分配到移动电子邮件管理 20同步设备 21

6 配置电子邮件配置文件 22为本机邮件客户端配置 EAS 邮件配置文件 23

Exchange ActiveSync 配置文件（Windows 桌面） 25

配置 Exchange ActiveSync 配置文件 (Windows 桌面) 25

7 配置对 Google Suite 进行 MEM 调用的用户属性 27

8 启用基于证书的电子邮件 28

9 配置电子邮件访问控制强制实施 29激活电子邮件合规策略 30

电子邮件内容、附件和超链接保护 32

启用电子邮件安全等级 32

启用电子邮件附件保护 33

启用超链接保护 34

VMware, Inc. 3

10 监控电子邮件流量 36查看设备和用户信息 36


VMware, Inc. 4

移动电子邮件管理概览 1使用 Workspace ONE UEM powered by AirWatch 管理移动电子邮件部署。

在设备上查看企业数据既可以提供便利，又可以提高工作效率，但同时也会带来安全性和部署方面的挑

战。为了克服这些挑战，Workspace ONE UEM powered by AirWatch 移动电子邮件管理 (MEM) 解决方案

为贵公司的电子邮件基础架构提供了全方位的安全保障。

质询

移动电子邮件提供了诸多好处，同时也带来更大的挑战，例如：

n 如何跨不同设备类型、操作系统和电子邮件客户端预置电子邮件。

n 如何保障通过不安全网络访问电子邮件的安全性。

n 如何防止第三方应用访问敏感信息。

n 如何限制未授权、丢失或被盗设备访问电子邮件。

n 如何防止通过第三方阅读器应用所查看的电子邮件附件被丢失或对外传播。

移动电子邮件管理 (MEM) 的优点

Workspace ONE UEM powered by AirWatch MEM 提供了成功和安全的移动电子邮件部署所需的所有关键

因素。下面是使用 MEM 的一些优势：

n 强制实施 SSL 安全性

n 通过无线方式配置电子邮件

n 发现现有的未纳管设备

n 防止电子邮件数据丢失。

n 屏蔽未纳管设备对电子邮件的访问

n 限制电子邮件，使其只能访问改善批准的设备

n 使用证书集成和吊销。

本章讨论了以下主题：

n MEM 的要求

VMware, Inc. 5

MEM 的要求

在继续使用 VMware AirWatch® Mobile Email Management® (MEM) 解决方案之前，请先验证本部分中给

出的浏览器要求。

免责声明

不对能否与第三方产品进行集成作任何保证，且此类集成取决于第三方解决方案能否正常运行。

支持的浏览器

Workspace ONE UEM Console 支持下列 Web 浏览器的新稳定版本：

n Chrome

n Firefox

n Safari

n Internet Explorer 11

n Microsoft Edge

注如果使用 IE 访问 UEM Console，请导航到控制面板 > 设置 > Internet 选项 > 安全性，并确保您的安

全级别或自定义安全级别中的字体下载选项被设为启用。

如果您使用的浏览器版本比上述浏览器旧，建议您升级浏览器，以确保 Workspace ONE UEM Console 正常运行。我们使用这些 Web 浏览器进行了全面的平台测试，以确保功能正常。如果您选择在未经验证的浏

览器中运行 UEM Console，UEM Console 可能会出现一些小问题。


VMware, Inc. 6

电子邮件基础架构管理部署模式 2Workspace ONE UEM 提供两种类型的部署模式来保护和管理您的电子邮件基础架构，即代理模式和直接

模式。

您可以结合使用以下其中一种电子邮件部署模式和您在 UEM console 中定义的电子邮件策略来高效地管理

您的移动设备。

n 在代理部署模式中，将在 Workspace ONE 服务器与企业电子邮件服务器之间放置一个称为安全电子邮

件网关 (SEG) 代理服务器的独立服务器。此代理服务器将筛选从设备到电子邮件服务器的所有请求，

并仅中继来自已批准设备的流量。这样，企业电子邮件服务器就会受到保护，因为它不与移动设备直接

通信。

n 在直接部署模式中，不使用代理服务器，Workspace ONE UEM 直接与电子邮件服务器通信。此模式

中不使用代理服务器，从而简化了安装和配置步骤。

注代理部署模式有两种变体，即经典和 SEG v2 平台。经典 SEG 平台不再受支持，而 SEG V2 平台的性

能得到提升，超越了经典平台。SEG V2 平台可以在升级期间安装在现有 SEG 服务器上，停机时间短，

无需进行任何配置文件更改或终用户交互。

部署模式配置模式邮件基础架构

代理部署模式 Microsoft Exchange 2010/2013/2016

Exchange Office 365

Microsoft Exchange 2010/2013/2016/2019

Exchange Office 365

IBM Domino w/ Lotus

Gmail

直接部署模式 - PowerShell PowerShell 模式 Microsoft Exchange 2010/2013/2016/2019

Microsoft Office 365

直接部署模式 - Gmail Gmail

注 Workspace ONE UEM 目前仅支持受电子邮件服务器提供商支持的第三方电子邮件服务器版本。提供

商弃用某个服务器版本后，Workspace ONE UEM 就不再支持与已弃用的版本集成。


n 安全电子邮件网关代理模式

n 直接部署 - PowerShell 模式

n 直接 Gmail 模式

VMware, Inc. 7

n MEM 部署模式列表

n Workspace ONE UEM 建议

安全电子邮件网关代理模式

安全电子邮件网关 (SEG) 代理服务器是为了与您现有电子邮件服务器配合使用而安装的一个独立的服务

器，其功能是代理所有通往移动设备的电子邮件流量。根据您在 UEM Console 定义的设置，SEG 代理服

务器为其管理的每个移动设备做出允许或阻止的决定。

此 SEG 代理服务器筛选对企业电子邮件服务器的所有通信请求，并仅从已批准的设备中继流量。这种中继

通过不允许任何设备与其通信来保护企业电子邮件服务器的安全。

您可以将 SEG 服务器安装在您的网络内，使之与企业的电子邮件流量保持内联。您还可以将其安装在隔离

区 (DMZ) 或反向代理的后面。无论您的 Workspace ONE MDM 服务器是在云中还是在本地，您都必须在

数据中心内托管 SEG 服务器。

直接部署 - PowerShell 模式

在 PowerShell 模式下，Workspace ONE UEM 使用 PowerShell 管理员角色并向 Exchange ActiveSync (EAS) 基础架构发出命令，从而根据在 UEM console 中定义的策略允许或拒绝进行电子邮件访问。

PowerShell 部署不需要单独的电子邮件代理服务器，而且安装过程更加简单。

PowerShell 部署适用于使用 Microsoft Exchange 2010、2013、2016、2019 或 Office 365 的组织。

在云电子邮件服务器使用 Office 365 的设置中，Workspace ONE UEM 服务器会设置直接与电子邮件服务

器建立 PowerShell 会话。


VMware, Inc. 8

可通过两种方法发出 PowerShell 命令，具体取决于 Workspace ONE UEM 服务器和 Exchange 服务器的

位置：

n Workspace ONE 服务器位于云端，而 Exchange 服务器在本地 - 则 Workspace ONE UEM 服务器会

发出 PowerShell 命令。VMware Enterprise Systems Connector 将设置与电子邮件服务器的

PowerShell 会话。

n Workspace ONE UEM 服务器和电子邮件服务器在本地 - Workspace ONE UEM 服务器会直接与电子

邮件服务器建立 PowerShell 会话。此处，除非 Workspace ONE UEM 服务器无法与电子邮件服务器

直接通信，否则不需要 VMware Enterprise Systems Connector 服务器。

如果不知道如何在 Secure Email Gateway 和 PowerShell 部署模式之间做出选择，请参阅“Workspace ONE UEM 建议”部分。

直接 Gmail 模式

将 Workspace ONE UEM 服务器与 Google 相集成。

使用 Gmail 基础架构的组织可能对保护 Gmail 的电子邮件端点并防止邮件绕过安全端点所面临的挑战有所

了解。Workspace ONE UEM 可提供一种即灵活又安全的方式以集成您的电子邮件基础架构，以此来应对

上述挑战。

在直接 Gmail 部署模式中，Workspace ONE UEM 服务器与 Google 直接通信。


VMware, Inc. 9

根据安全需求，您可以选择以下密码配置模式之一：

n 将 Google 密码存储在 Workspace ONE UEM 数据库中 - 当设备不合规时，Workspace ONE UEM 会重置 Google 上的密码以防用户登录其他设备。当设备恢复到合规状态时，Workspace ONE UEM 会重

置 Google 服务器上的旧密码，并且用户可以使用旧密码登录。

n 不将 Google 密码存储在 Workspace ONE UEM 数据库中 - 当设备不合规时，系统会从用户设备中移

除电子邮件配置文件防止用户接收电子邮件。当设备恢复到合规状态时，Workspace ONE UEM 会触

发新密码，然后通过电子邮件配置文件将其发送到 Google 和设备。

对 Google Suite 进行 API 调用 - 您可以通过指定替代属性（而不是用户的电子邮件地址）来自定义在对

Google Suite 进行 API 调用时使用的属性。默认情况下，将使用用户的电子邮件地址。请参阅第 7 章配置对 Google Suite 进行 MEM 调用的用户属性。

MEM 部署模式列表

使用以下功能列表比较不同 MEM 部署模式中提供的功能。

Office 365 要求对 SEG 代理模式进行更多配置。Workspace ONE UEM 建议针对基于云的电子邮件服务器

使用直接集成模式。有关详情，请参阅“Workspace ONE UEM 建议”部分。

✓ 支持 □ Workspace ONE UEM 不支持

X 功能不可用 N/A 不适用

表 2-1. 部署列表

SEG 代理模式直接模式

Exchange 2010/2013/2016/2019 Office 365

Lotus Traveler 双向

Office 365 (PowerShell)

Exchange 2010/2013/2016/2019(PowerShell) Gmail

电子邮件安全工具

强制执行的安全设置

通过 S/MIME 功能使

用数字签名

✓ □ □ ✓ ✓ N/A

通过强制加密保护敏

感数据

✓ ✓ ✓ ✓ ✓ ✓


VMware, Inc. 10

表 2-1. 部署列表（续）


Exchange 2010/2013/2016/2019 Office 365




强制实施 SSL 安全性 ✓ ✓ ✓ ✓ ✓ ✓

电子邮件附件和超链接安全性

强制要求在 VMware AirWatch Content Locker 或只能在

Workspace ONE Web 中打开附件和超

链接

✓ ✓ ✓ x x x

自动电子邮件配置

在设备上隔空配置电

子邮件

✓ ✓ ✓ ✓ ✓ ✓

电子邮件访问控制

屏蔽未纳管设备对电

子邮件的访问

✓ ✓ ✓ ✓ ✓ ✓

发现现有的未纳管设

备

✓ ✓ ✓ ✓ ✓ N/A

具有可定制合规策略

的电子邮件访问

✓ ✓ ✓ ✓ ✓ ✓

需要加密设备以访问

电子邮件

✓ ✓ ✓ ✓ ✓ ✓

禁止被破解设备访问

电子邮件

✓ ✓ ✓ ✓ ✓ ✓

允许/屏蔽电子邮件 - 邮件客户端

✓ ✓ ✓ ✓ ✓ x

电子邮件访问控制

允许/屏蔽电子邮件 - 用户

✓ ✓ ✓ ✓ ✓ x

允许/屏蔽电子邮件 - 设备型号

✓ ✓ ✓ ✓ ✓ ✓

允许/屏蔽电子邮件 - 设备操作系统

✓ ✓ ✓ ✓ ✓ ✓

允许/屏蔽电子邮件 - EAS 设备类型

✓ ✓ ✓ ✓ ✓ x

管理可见性

电子邮件流量统计 ✓ ✓ ✓ x x x

电子邮件客户端统计 ✓ ✓ ✓ x x x

证书管理


VMware, Inc. 11

表 2-1. 部署列表（续）


Exchange 2010/2013/2016/2019 Office 365




CA 集成/吊销 ✓ □ □ ✓ ✓ N/A

体系结构

内联网关（代理） ✓ ✓ ✓ N/A N/A ✓

Exchange PowerShell

N/A N/A N/A ✓ ✓ N/A

Gmail 密码管理 N/A N/A ✓ N/A N/A ✓

Gmail 目录 API 集成 N/A N/A N/A N/A N/A ✓

支持

iOS 和 Android 版

VMware Boxer [^]✓ ✓ ✓ ✓ ✓ ✓

iOS 本机电子邮件客

户端

✓ ✓ ✓ ✓ ✓ ✓

Android 原生电子邮

件客户端**✓ ✓ ✓ ✓ ✓ ✓

Windows Mobile 本机电子邮件客户端

✓ ✓ ✓ ✓ ✓ x

Windows Phone ✓ ✓ ✓ ✓ ✓ ✓

Blackberry 10*** ✓ ✓ ✓ ✓ ✓ N/A

iOS Touchdown* ✓ ✓ ✓ ✓ ✓ ✓

Android Touchdown ✓ ✓ ✓ ✓ ✓ ✓

Android Lotus Notes 客户端*

N/A ✓ N/A N/A N/A N/A

*Android Lotus Notes 客户端和 iOS Touchdown 客户端不支持电子邮件附件和超链接安全性

**Android 本机电子邮件客户端仅支持 SAFE、HTC Pro2、LG Optimus Pro 和 Intuition 设备

***不支持 EAS 配置文件

+ 不支持 Exchange 2003

^ Workspace ONE Boxer 不支持 Exchange 2003、“需要 ActiveSync 配置文件”和多个 MEM。


VMware, Inc. 12

Workspace ONE UEM 建议

本部分列出了 Workspace ONE UEM 所支持的功能以及合适的部署规模。使用决策列表来选择适合您需

要的部署。

附件加密

通过在您的移动设备上强制执行附件加密，Workspace ONE UEM 可以帮助您保护电子邮件附件的安全，

而又不会妨碍终用户的使用体验。

本机 Touchdown TravelerVMware Boxer

iOS ✓ ✓

Android ✓ ✓ ✓

Windows Phone* ✓

*如果您的部署包括 Windows Phone 8/8.1/RT 设备，请使用附件加密。

仅当在 UEM console 上为 Boxer 应用配置启用了附件加密和超链接转换功能时，

SEG 才支持 Boxer 上的这些功能。

SEG 支持在 Exchange 2010/2013/2016/2019 和 Office 365 中使用附件加密功

能。

电子邮件管理

该列表中的方案使您能够以简单的部署和管理方式获得高级别的安全防护。

Gmail PowerShell 安全电子邮件网关 (SEG)

云邮件基础结构

Office 365 ✓ ✓

Gmail ✓ ✓

本地部署电子邮件基础架构

Exchange 2010 ✓ ✓




Lotus Notes ✓

^对于部署规模达 100,000 台以上设备的所有内部部署电子邮件基础架构，请使用安全电子邮件网关 Secure Email Gateway (SEG)。对于设备数量少于 100,000 台的部署，还可选择使用 PowerShell 进行电子邮件管理。请参阅“安全电子邮件网关与

PowerShell 决策列表”。

**实施 PowerShell 的阈值是根据近完成的一组性能测试得出的，并可能会根据具体发行版本而改变。设备数量多达 50,000 台的

部署预期可实现相当短的同步和运行合规性时间范围（三个小时之内）。当部署规模扩大至约 100,000 台设备时，管理员可预计同

步和运行合规性流程的时间范围持续增加到 3-7 个小时。


VMware, Inc. 13

Secure Email Gateway 与 PowerShell 决策列表

该列表可告诉您 SEG 和 PowerShell 的部署特征，以帮助您选择符合您的需要的部署套件。

优点缺点

SEG n 实时合规性

n 附件加密

n 超链接转换

n 需要额外服务器

n 必须配置 ADFS 以防止终用户直接连接到 Office 365（使用 SEG）

PowerShell n 无需为电子邮件管理另增其他本地服务器

n 在路由到 Office 365 之前，邮件流量不会路由到本地

服务器，因此不需要 ADFS

n 无实时合规同步

n 不可用于大型部署（设备数超过 100,000）

Microsoft 建议使用 Active Directory 联合服务 (ADFS) 防止对 Office 365 电子邮件帐户的直接访问。


VMware, Inc. 14

电子邮件迁移到 Workspace ONE UEM 3您可以使用 Workspace ONE UEM 将电子邮件迁移到 Mobile Email Management (MEM) 模式

通过迁移到以下 MEM 模式之一，您可以强制实施电子邮件访问控制策略，确保仅向已批准的用户和设备

提供电子邮件访问权限：

n Secure Email Gateway (SEG)

n PowerShell

n Gmail


n 迁移到 Secure Email Gateway (SEG)

n 迁移到 PowerShell

n 将 Gmail 与 Workspace ONE UEM 集成

n 迁移设备

迁移到 Secure Email Gateway (SEG)电子邮件迁移到 Secure Email Gateway (SEG) 时，用户只能通过 SEG 代理服务器访问电子邮件。

使用 SEG 强制执行电子邮件访问控制策略，以仅向获批准的用户和设备授予访问权限。附件加密策略可确

保数据安全。

步骤

1 在 Workspace ONE UEM console 中“全局”下所需的组织组层级配置 SEG。。

2 下载并安装 SEG。。

3 通过电子邮件合规策略测试 SEG 功能。

a 暂时禁用所有合规策略。

b 要求所有用户将其设备注册到 Workspace ONE UEM。

c 向所有注册的设备预置一份新的电子邮件配置文件 (将 SEG 服务器 URL 作为主机名)。

VMware, Inc. 15

d 定期提醒用户将未纳管设备注册到 Workspace ONE UEM。

e 要在特定日期阻止对邮件服务器的 EAS 访问，请修改防火墙（或威胁管理网关）规则。这可以确

保阻止移动设备直接访问邮件服务器。

现有 Webmail、Outlook Web Access (OWA) 及其他电子邮件客户端可继续访问邮件服务器。

迁移到 PowerShell您可以通过迁移到 PowerShell 保护您的设备并在设备与 Exchange 或 Office 365 之间同步电子邮件。

PowerShell 可发现纳管和未纳管设备，并借助电子邮件访问控制策略仅为已批准的用户和设备提供访问权

限。

前提条件

步骤

1 在 Workspace ONE UEM Console 中“全局”下所需的组织组层级配置 PowerShell 集成。

2 通过用户组 (自定义或预定义)配置集成。

3 让部分用户（例如，测试用户）测试 PowerShell 的功能以确保各项功能均能正常工作

a 与电子邮件服务器同步以发现设备。

b 实时访问控制。

4 暂时禁用所有合规策略。

5 为已通过电子邮件服务器主机名在 Workspace ONE UEM 中注册的所有设备预置新的电子邮件配置文

件。

6 与电子邮件服务器同步，以发现正在同步获取电子邮件的所有设备（纳管和未纳管设备）。

7 定期提醒用户将未纳管设备注册到 Workspace ONE UEM。

8 激活并强制执行合规策略，在特定日期屏蔽所有违规设备，未纳管设备包括在内的电子邮件访问。

9 设置电子邮件服务器默认屏蔽所有设备。

10 与电子邮件服务器同步，以检索允许和阻止的设备列表（由以前的策略变更所致），并对这些设备运行

合规策略。

电子邮件仪表板显示了被屏蔽的未纳管设备列表以及允许接收电子邮件的纳管设备列表。

后续步骤

Boxer 灵活部署解决方案：

借助 Boxer 的灵活部署功能，您可以为组织组中的智能组创建不同的分配。

如果您正在使用 PowerShell 进行电子邮件管理，则在 Exchange 环境之间或在其与 Office 365 之间进行迁

移时，可能会对 Boxer 阻止电子邮件访问。为避免阻止访问电子邮件，请在 Exchange 中创建一个设备访

问规则，以允许使用 Workspace ONE UEM 管理的 Workspace ONE Boxer 配置。


VMware, Inc. 16

您可以按照以下步骤来配置 Office 365 的设备访问规则，以便允许安装了 Boxer 的设备访问电子邮件：

1 登录 Exchange 控制面板。

2 选择移动。

3 要添加规则，请选择设备访问规则下的“+”图标。

4 从设备系列中，选择浏览，然后选择 BoxerManagediPhone、BoxerManaged iPad 或

BoxerManagedAndroid。选择确定。对于其他 Boxer 受管设备，重复该步骤。

5 从仅此模式中，选择所有模式。

6 对于此规则，选择允许访问。

要避免 MEM 迁移过程中的合规性限制，请在其他 Exchange 版本上按照上述说明进行操作。

将 Gmail 与 Workspace ONE UEM 集成

通过迁移到 Gmail，您可以将您的设备与 Gmail 服务器同步。您可以将您的 Gmail 与或不与 Secure Email Gateway (SEG) 集成或直接与目录 API 集成。

步骤

1 在 Gmail 上启用单点登录 (SSO) 选项或创建服务帐户证书。

2 从 Workspace ONE UEM console 使用 MEMMEM 配置向导来配置 Gmail 集成。

3 使用新的随机密码为用户预置 EAS 配置文件。将自动阻止不接收此配置文件的设备访问 Gmail。

迁移设备

您可以使用 Workspace ONE UEM 在组织组和 MEM 部署之间迁移设备。

步骤

1 在 Workspace ONE UEM console 中，导航到电子邮件仪表板。

2 筛选您当前的 MEM 部署下的纳管设备。

3 在列表视图页面，选择所有设备，然后再从下拉菜单中选择管理 > 迁移设备。

4 在迁移设备确认页面中，输入给定的密钥代码以确认迁移，然后选择您要用来部署设备的配置。

5 单击继续。

结果

执行这些步骤之后，Workspace ONE UEM 将自动移除以前的 Exchange ActiveSync (EAS) 配置文件并将

新 EAS 配置文件推送到目标部署组。设备随后会连接到新的部署组。设备的已更新 memconfigID 显示在

“电子邮件仪表板”上。


VMware, Inc. 17

配置移动电子邮件管理部署 4使用移动电子邮件管理 (MEM) 配置向导通过几个简单步骤集成电子邮件基础架构。

MEM 只能在父级组织组级别进行配置，而且不能在子组织组级别覆盖。一个 MEM 配置可以和一个或多个

Exchange ActiveSync (EAS) 配置文件相关联。

步骤

1 导航到电子邮件 > 设置，然后选择配置。

2 选择部署模式，然后选择电子邮件类型。选择下一步。

a 如果部署模式是“代理”，请选择电子邮件类型。

u n Exchange

n 双向

n IBM Notes

b 如果部署模式是“直接”，请选择电子邮件类型。

n Exchange

n 具有直接 API 的 Google 应用

n 使用密码预置的 Google 应用 - 选择“保留密码”或“不保留密码”作为 Gmail 部署类型。

有关部署方法的更多信息，请参阅“电子邮件部署类型”部分。

3 输入所选部署类型的详细信息。

n 对于 SEG 部署：

a 为此部署输入一个友好名称。

b 输入 SEG 代理服务器详细信息。

n 针对 PowerShell 部署：


b 输入 PowerShell 服务器、身份验证和同步设置的详细信息。

n 对于 Gmail：


VMware, Inc. 18

b 输入 Gmail 设置、身份验证、Gmail 目录 API 集成和 SEG 代理设置的详细信息。

4 让模板 EAS 配置文件与 MEM 部署建立关联并选择下一步。

a 为此部署创建一个模板 EAS 配置文件。

新模板配置文件不会自动向设备发布。但您可以从“配置文件”页面向您的设备推送配置文件。

b 将现有的配置文件与此部署关联起来。

如果要在单个组织组级别配置一个以上 MEM 部署，此模板则为强制性的。

MEM 配置摘要页面会显示配置的详细信息。

5 保存设置。

6 保存后，您可以向此部署中添加高级设置。

a 选择与您的部署相对应的高级图标。

b 根据移动电子邮件管理高级配置页面的要求，为用户邮箱配置可用设置。

c 选择保存。

后续步骤

若要配置多个 MEM 部署，请选择添加（位于移动电子邮件管理配置主页上），然后执行步骤 2 至 7。

在 SEG 部署中，您可以使用下面的设为默认选项将特定的配置指派为默认。

注 n 在将多个 PowerShell 环境连接到同一 Exchange 服务器时，应当使用相互排斥的用户组。

n 连接多个 Gmail 环境时，在配置中使用不同的域。

n 只有在迁移 MEM 部署及相应设置期间，才考虑将 SEG 和 PowerShell 集成连接到同一个电子邮件环

境。Workspace ONE 支持部门可以帮助您实施这个环境。


VMware, Inc. 19

设备分配到移动电子邮件管理 5设备注册、向设备分配电子邮件配置文件以及更改设备合规状态都会造成影响。向设备分配 MEM 配置的

依据是设备上存在的 EAS 配置文件。受管和要求 ActiveSync 配置文件合规策略可确保不允许非受管配置

和手动配置。

具有 Exchange Active Sync (EAS) 配置文件的设备

当具有 EAS 配置文件的设备与特定 MEM 配置关联时，Workspace ONE UEM 会将策略更新发送到该

MEM 配置。当管理一个或多个电子邮件环境时，此功能用利于迁移和维护多个 MEM 配置。

无论使用何种电子邮件客户端，所有 Google MEM 模式均需要 EAS 配置文件。对于新的安装，必须将

EAS 配置文件与 MEM 配置相关联。对于升级配置，管理员必须在升级过程完成后将 EAS 配置文件关联到

MEM 配置。

集成 SEG 代理

Workspace ONE UEM 会向设备已注册到的组织组的所有 MEM 配置发送广播消息。这条消息说明了设备

的合规状态。合规状态变更时，将发送更新的消息。当设备连接到特定 SEG 服务器时，SEG 会根据先前

发送的广播消息识别设备。然后，SEG 代理将向 VMware AirWatch 报告设备已发现。接着，Workspace ONE UEM 将设备与 SEG 的 MEM 配置关联起来，并将其显示在电子邮件仪表板中。

如果多个 SEG 服务器处于负载平衡状态，则只能向一个 SEG 应用单个策略广播消息。其中包括在注册、

违规或修正违规时从 Workspace ONE UEM console 向 SEG 发送的消息。使用设有十分钟刷新间隔时间

的增量同步，为新注册或合规的设备提供便利。这些设备会在电子邮件开始同步之前出现长不超过十分

钟的等待时间。

优势：

n 从相同的 API 源更新所有 SEG 服务器的策略。

n 对 API 服务器造成更小的性能影响。

n 相比 SEG 聚类分析模型，减少了实施或维护的复杂程度。

n 更少出现故障点，因为每个 SEG 仅负责其自己的策略集。

n 改善了用户体验。

集成 PowerShell

VMware, Inc. 20

在策略更新方面，PowerShell MEM 配置的行为与 SEG 相同。如果要迁移到 PowerShell，务必将新的配

置文件与 PowerShell MEM 配置相关联。关联新的配置文件可减少与之前的 MEM 配置之间的不必要通

讯。

集成 Gmail

除非是与 Google Directory API 集成，否则此类部署必须使用配置文件。如果不为设备预置配置文件，所

配置的 Gmail 部署将无法标识或管理设备。


n 同步设备

同步设备

使用 MEM 同步与组织组相关联的设备。

配置 Mobile Email Management (MEM) 部署后，相关组织组的设备将与 MEM 同步。您可以在

Workspace ONE UEM console 的电子邮件仪表板页面上查看设备状态和其他详细信息。

仪表板上显示的设备取决于设备所分配的部署模式。

n SEG 代理 - 当 SEG 代理将设备报告为已连接且纳管的状态时，SEG 使用代理管理的设备会显示在仪

表板上。

n PowerShell - 当 Workspace ONE UEM 发送 PowerShell cmdlet，允许设备连接到电子邮件时，使用

PowerShell 管理的设备会显示在仪表板上。

n Gmail - 当设备的 Workspace ONE UEM EAS 配置文件被排入队列时，使用 Gmail 管理的设备会显示

在仪表板上。

电子邮件仪表板显示以下状态之一：

n 纳管已分配 - 具备已标识的 memconfigID 的注册设备。

n 纳管未分配 - 尚未通过配置文件分配或自动发现标识 memConfigID 的注册设备。

n 未纳管已发现 - 尚未在 Workspace ONE UEM 中注册的设备，但已被其所在组织组的某一特定 MEM 配置所发现。


VMware, Inc. 21

配置电子邮件配置文件 6要使用原生邮件客户端（Android（旧版））部署 EAS 邮件，请为原生邮件客户端创建配置文件。

步骤

1 导航到设备 > 配置文件与资源 > 配置文件 > 添加 > 添加配置文件 > Android（旧版）。

2 选择设备，将您的配置文件部署到设备。

3 为配置文件配置常规设置。这些设置决定配置文件的部署方式和接收对象。

4 选择 Exchange ActiveSync 负载。

5 配置 Exchange ActiveSync 设置。

设置说明

邮件客户端选择原生邮件客户端作为帐户类型。

账户名称输入邮件帐户的描述。

Exchange ActiveSync 主机输入贵公司的 ActiveSync 服务器的外部 URL。

ActiveSync 服务器可以是实施 ActiveSync 协议的任何邮件服务器，如 IBM Notes Traveler、Novell Data Synchronizer 以及 Microsoft Exchange。如果要实施安全电

子邮件网关 (SEG) 部署，请使用 SEG URL 而非电子邮件服务器 URL。

忽略 SSL 错误启用此选项可允许设备在 Workspace ONE Intelligent Hub 进程中忽略 SSL 错误。

域输入终用户的域。

您可以使用查找值，而不是为每个终用户创建单独的配置文件。

用户输入终用户的用户名。


电子邮件地址输入终用户的电子邮件地址。


注如果您使用的是 GSuite 的自定义属性，则必须对 Exchange ActiveSync 电子邮

件配置文件上的电子邮件地址字段使用自定义属性查找值。请参阅第 7 章配置对

Google Suite 进行 MEM 调用的用户属性。

密码输入终用户的密码。


标识证书如果您需要终用户传递证书以连接到 Exchange ActiveSync，请从下拉列表中选

择（如果需要）标识证书，否则请选择无（默认值）。

要同步邮件的天数选择要将过去多少天的邮件同步到设备。

VMware, Inc. 22

设置说明

要同步日历的天数选择要将过去多少天的日历内容同步到设备。

同步日历启用以允许将日历同步到设备。

同步联系人启用以允许将联系人同步到设备。

允许同步任务启用以允许将任务同步到设备。

电子邮件截断大小上限指定电子邮件同步到设备时会被截断的大小。

电子邮件签名输入要显示在待发邮件上的电子邮件签名。

允许附件启用以允许在电子邮件中添加附件。

附件大小的上限指定附件大小上限 (MB)。

允许电子邮件转发启用以允许转发电子邮件。

允许 HTML 格式指定同步到设备的电子邮件是否可以为 HTML 格式。

如果将该设置设为 False，则所有电子邮件都会转换为纯文本。

禁用屏幕截图启用此选项以禁止在设备上进行屏幕截图。

同步间隔输入同步间隔的分钟数。

同步日程的高峰日 n 安排进行同步的高峰工作日，以及在所选日期进行同步的开始时间和结束时间。

n 设置高峰日同步日程和非高峰日同步日程的频率。

n 选择自动，每当发生更新时同步电子邮件。

n 选择手动，仅在选定时同步电子邮件。

n 选择某个时间值，按设定的日程同步电子邮件。

n 根据需要启用使用 SSL、使用 TLS 和默认账户。

S/MIME 设置选择使用 S/MIME，您在此可以选择您在凭证负载中作为用户证书加以关联的 S/MIME 证书。

n S/MIME 证书 – 选择要使用的证书。

n 需要加密的 S/MIME 消息 – 启用之后即要求加密。

n 需要签字的 S/MIME 消息 – 启用之后即要求 S/MIME 签字的消息。

如果您要使用 S/MIME 证书加密，则提供一个迁移主机。

选择保存以保存设置，或者选择保存并发布，将配置文件设置保存并推送到所需的

设备。

6 选择保存以保存设置，或者选择保存并发布，将配置文件设置保存并推送到所需的设备。

为本机邮件客户端配置 EAS 邮件配置文件

在 iOS 设备上为本机邮件客户端创建一个电子邮件配置文件。

步骤

1 导航到设备 > 配置文件与资源 > 配置文件 > 添加。选择 Apple iOS。

2 为配置文件配置常规设置。



VMware, Inc. 23

4 为邮件客户端选择本机邮件客户端。在账户名称文本框中填写此邮件账户的描述。在 Exchange ActiveSync 主机中填写您公司的 ActiveSync 服务器的外部 URL。

ActiveSync 服务器可以是实施 ActiveSync 协议的任何邮件服务器，如 Lotus Notes Traveler、Novell Data Synchronizer 和 Microsoft Exchange。如果要实施安全电子邮件网关 (SEG) 部署，请使用 SEG URL 而非电子邮件服务器 URL。

5 选中使用 SSL 复选框为传入的电子邮件流量启用安全套接层。

6 选中 S/MIME 复选框以使用更多加密证书。在启用此选项之前，请确保您已在凭据配置文件设置下上

传了必要的证书。

a 选取 S/MIME 证书为电子邮件消息签名。

b 选取 S/MIME 加密证书为电子邮件消息签名和加密。

c 勾选每消息切换复选框以允许终用户通过本机 iOS 邮件客户端（仅适用于 iOS 8+ 受监督设备）

挑选为哪些个别电子邮件签名和加密。

7 使用查找值填写登录信息，包括域名、用户名和电子邮件地址。系统直接从用户账户记录中获取查阅

值。若要使用 {EmailDomain}、{EmailUserName} 和 {EmailAddress} 查找值，请确保您的 Workspace ONE UEM 用户帐户已定义电子邮件地址和电子邮件用户名。

8 将密码字段留空以便提示用户输入密码。

9 将证书添加到证书负载后，选择负载证书以定义证书，用于基于证书的身份验证。

10 根据需要配置以下设置和安全性可选设置：

a 要同步邮件的已过天数 – 下载限定的邮件数量。请注意，设备下载邮件时，持续时间越长，数据

消耗就会越大。

b 禁止移动邮件 — 不允许将邮件从 Exchange 邮箱移到设备上的其他邮箱。

c 禁止在第三方应用中使用 — 不允许其他应用使用 Exchange 邮箱发送邮件。

d 防止近期地址同步 — 禁止在 Exchange 发送邮件时使用联系人建议功能。

e 禁用邮箱功能 — 禁止使用 Apple 的 Mail Drop 功能。

f (iOS 13) 启用邮件 – 支持为 Exchange 帐户单独配置“邮件”应用。

g (iOS 13) 允许邮件切换 – 如果禁用，将阻止用户开启或关闭“邮件”。

h (iOS 13) 启用联系人 – 支持为 Exchange 帐户单独配置“联系人”应用。

i (iOS 13) 允许联系人切换 – 如果禁用，将阻止用户开启或关闭“联系人”。

j (iOS 13) 启用日历 – 支持为 Exchange 帐户单独配置“日历”应用。

k (iOS 13) 允许日历切换 – 如果禁用，将阻止用户开启或关闭“日历”。

l 启用便笺 – 支持为 Exchange 帐户单独配置“便笺”应用。

m (iOS 13) 允许便笺切换 – 如果禁用，将阻止用户开启或关闭“便笺”。


VMware, Inc. 24

n (iOS 13) 启用提醒 – 支持为 Exchange 帐户单独配置“提醒”应用

o (iOS 13) 允许提醒切换 – 如果禁用，将阻止用户开启或关闭“提醒”。

11 分配一个默认音频通话应用，当您在电子邮件中选择电话号码时，本机 EAS 账户将使用该应用拨打电

话。

12 选择保存并发布，以将配置文件推送到可用设备。

Exchange ActiveSync 配置文件（Windows 桌面）

Exchange ActiveSync 配置文件允许您配置 Windows 桌面设备，以访问 Exchange ActiveSync 服务器，以

便使用电子邮件和日历。

使用由受信任的第三方证书颁发机构 (CA) 签名的证书。证书中的错误会暴露您原本安全的网络，并因此遭

致潜在的中间人攻击。此类攻击会降低产品组件间所传输数据的机密性和完整性，并且可能会允许攻击程

序对传输中的数据进行拦截或修改。

Exchange ActiveSync 配置文件支持 Windows 桌面专用的原生邮件客户端。配置将根据您所使用的邮件客

户端而发生变化。

移除配置文件或执行企业擦除

如果使用移除配置文件命令、合规策略或者通过执行企业擦除来移除配置文件，则所有电子邮件数据均会

被删除，包括：

n 用户帐户/登录信息。

n 电子邮件数据。

n 通讯录和日历信息。

n 保存到内部应用程序存储中的附件。

用户名和密码

如果电子邮件用户名与用户的电子邮件地址不同，则可使用 {EmailUserName} 文本框，此文本框与进行

目录服务集成时导入的电子邮件用户名相对应。即使用户的用户名与他们的电子邮件地址相同，仍使用

{EmailUserName} 文本框，因为此文本框会使用通过目录服务集成导入的电子邮件地址。

配置 Exchange ActiveSync 配置文件 (Windows 桌面)创建 Exchange ActiveSync 配置文件，使 Windows 桌面设备能够访问 Exchange ActiveSync 服务器以使

用电子邮件和日历。

注 Workspace ONE UEM 不支持 Outlook 2016 for Exchange ActiveSync 配置文件。

步骤

1 导航到设备 > 配置文件 > 列表视图 > 添加，然后选择添加配置文件。

2 选择 Windows，然后选择 Windows 桌面作为平台。


VMware, Inc. 25

3 选择用户配置文件。

4 为配置文件配置常规设置。


6 配置 Exchange ActiveSync 设置：

设置说明

邮件客户端选择 EAS 配置文件所配置的邮件客户端。

Workspace ONE UEM 支持原生邮件客户端。

账户名称输入 Exchange ActiveSync 帐户名称。

Exchange ActiveSync 主机输入托管 EAS 服务器的服务器的 URL 或 IP 地址。

使用 SSL 启用该设置以通过安全套接字层发送所有通信。

域输入电子邮件域。

此配置文件支持用于插入注册用户登录信息的查找值。有关详细信息，请参阅页面

底部的“用户名和密码”部分。

用户名输入电子邮件用户名。

电子邮件地址输入电子邮件地址。此文本框为必填设置。

密码输入电子邮件密码。

标识证书选择 EAS 负载的证书。

下一次同步间隔 (分钟) 选择设备与 EAS 服务器同步的频率（以分钟为单位）。

要同步邮件的天数选择将过去多少天的电子邮件同步到设备上。

诊断日志记录启用此选项，可记录关于故障排查目的的信息。

需要在锁定状态下使用数据保护启用此选项，可要求数据在设备锁定时得到保护。

允许电子邮件同步启用此选项，可允许同步电子邮件消息。

允许通讯录同步启用此选项，可允许同步通讯录。

允许日历同步启用此选项，可允许同步日历事件。

7 选择保存，可将配置文件保留在 Workspace ONE UEM 控制台，或者选择保存并发布，可将配置文件

推送到设备。


VMware, Inc. 26

配置对 Google Suite 进行 MEM 调用的用户属性 7默认情况下，Gmail 部署使用 Google API 管理对 Gmail 的访问。在向 Google 发送命令时，您可以通过

用户的电子邮件地址识别注册用户。或者，管理员也可以选择 Active Directory 自定义属性替代用户的电子

邮件地址来识别 Google 的用户。当 Google 电子邮件地址位于客户的 Active Directory 的自定义属性字段

中时，可以使用此自定义属性。自定义属性设置适用于使用密码置备的 Google 应用、具有直接 API 的

Google 应用以及采用自动密码置备部署方法的 SEG V2。

步骤

1 导航到帐户 > 管理员 > 管理员设置 > 目录服务 > 用户。Workspace ONE UEM 管理员可以映射自定义

属性值，并使用客户 Active Directory 中的映射值。

2 在目录服务页面中启用自定义属性，输入映射值，然后同步 Active Directory 用户以更新注册用户自定

义属性。有关启用自定义属性的更多信息，请参阅《目录服务集成指南》中的“映射目录服务用户信

息”。

3 导航到电子邮件 > 电子邮件设置，然后选择配置。配置平台网关，然后选择下一步。

4 在添加电子邮件配置页面中，选择部署模式为直接、电子邮件类型为具有直接 API 的 Google 应用，

然后选择下一步。

5 在“部署”页面中为此部署输入一个友好名称。输入 Gmail 设置、身份验证、Gmail 目录 API 集成和

SEG 代理设置的详细信息。

6 输入 Google 用户电子邮件地址。“Google 用户电子邮件地址”的默认值为电子邮件地址。管理员可

以选择自定义属性替代默认电子邮件地址。

7 配置电子邮件配置文件。请参阅第 6 章配置电子邮件配置文件。

结果

示例：

当 Google 电子邮件地址位于客户的 Active Directory 的自定义属性字段中时，您可以使用自定义属性。

VMware, Inc. 27

启用基于证书的电子邮件 8通过标准用户名和密码凭证使用证书有一定的好处，因为证书提供更强的身份验证以防止未经授权的访

问。而且终用户无需每月输入密码或更新密码。收件人之间的敏感电子邮件可以通过 S/MIME 加密或通

过邮件签名证明您的身份。

步骤

1 导航到设备 > 配置文件与资源 > 配置文件。

2 选择添加 > 添加配置文件，然后选择所需平台。

3 选择凭证配置文件设置，并对其进行配置。

a 对于凭证来源，请从可用列表中任选一项。

n 上传 — 上传一个证书，然后为证书输入一个名称。

n 定义的证书颁发机构 - 从组织组的下拉菜单中选择 CA 和证书模板。

可在设备 > 证书 > 证书颁发机构下为组织组添加证书颁发机构和模板。

b 对于用户证书，请选择 S/MIME 证书的类型。

n S/MIME 签名证书

n S/MIME 加密证书

4 保存并发布设置。

VMware, Inc. 28

配置电子邮件访问控制强制实施 9配置访问控制，以提供对您的电子邮件基础架构的安全访问。

电子邮件合规策略

部署了电子邮件之后，您可以通过添加访问控制，进一步加强对移动电子邮件的保护。访问控制功能只允

许安全和合规设备访问您的邮件基础架构。访问控制是借助电子邮件合规策略强制实施的。

电子邮件合规策略通过将电子邮件访问权限限定于不合规、未加密、非活跃或未纳管设备来提高安全性。

这些策略允许您只向所需设备和已批准设备提供电子邮件访问权限。电子邮件策略还会根据设备型号和操

作系统限制电子邮件访问权限。

这些策略分为常规电子邮件策略、纳管设备策略和电子邮件安全策略。下表列出了属于每个类别的不同策

略及其适用的部署。

下表列出了受支持的电子邮件合规策略。

表 9-1. 受支持的电子邮件合规策略

SEG（Exchange、IBM Traveler、G Suite） PowerShell (Exchange)

常规电子邮件策略

同步设置 Y 否

纳管设备 Y Y

邮件客户端 Y Y

用户 Y Y

EAS 设备类型 Y Y

纳管设备策略

非活跃状态 Y Y

破解设备 Y Y

加密 Y Y

型号 Y Y

操作系统 Y Y

需要 ActiveSync 配置文件 Y Y

电子邮件安全策略

电子邮件安全等级 Y 否

VMware, Inc. 29

表 9-1. 受支持的电子邮件合规策略（续）

SEG（Exchange、IBM Traveler、G Suite） PowerShell (Exchange)

附件（纳管设备） Y 否

附件（未纳管设备） Y 否

超链接 Y 否


n 激活电子邮件合规策略

n 电子邮件内容、附件和超链接保护

n 启用电子邮件安全等级

n 启用电子邮件附件保护

n 启用超链接保护

激活电子邮件合规策略

Workspace ONE UEM console 上可用的电子邮件合规策略包括常规电子邮件策略、纳管设备策略和电子

邮件安全策略。您可以激活其中任何电子邮件合规策略，也可以编辑这些电子邮件策略的规则以允许或阻

止设备。

步骤

1 导航到电子邮件 > 合规策略。

2 使用操作列下的编辑策略图标可编辑策略的任何规则。

常规电子邮件策略将对所有访问电子邮件的设备强制执行策略。选择用户组时，策略将应用于该组的所

有用户。

电子邮件策略说明

同步设置防止设备与特定 EAS 文件夹同步。

n 无论其他合规策略如何规定，Workspace ONE UEM 都禁止设备与选定的文件

夹同步。

n 要让此策略生效，必须向设备重新发布 EAS 配置文件（从而强迫设备与电子邮

件服务器重新进行同步）

纳管设备仅将电子邮件访问限定在纳管设备。

邮件客户端将电子邮件访问限定于一组邮件客户端。

n 您可以基于自定义和已发现等客户端类型来允许或屏蔽各种邮件客户端

n 您还可以为邮件客户端以及未显示在“邮件客户端”下拉菜单中的新发现的邮件

客户端设置默认操作。对于自定义客户端类型，可支持通配符 (*) 字符和自动完

成功能。


VMware, Inc. 30


用户将电子邮件访问限定于一组用户。您可以允许或阻止包括“自定义”、“已发

现”、“Workspace ONE UEM 用户帐户”和“用户组”在内的用户类型。您还可

以为未显示在“用户名”或“组”下拉菜单中的电子邮件用户名设置默认操作。对

于自定义用户类型，可支持通配符 (*) 字符和自动完成功能。

EAS 设备类型根据终用户设备报告的 EAS 设备类型属性，将设备分别列入白名单或黑名单。您

可以基于客户端类型（包括自定义和已发现的邮件客户端）来允许或屏蔽设备。您

还可以为未显示在“设备类型”下拉字段中的 EAS 设备类型设置默认操作。对于自

定义客户端类型，可支持通配符 (*) 字符和自动完成功能。

纳管设备策略将对访问电子邮件的纳管设备强制执行策略。


非活跃状态禁止非活跃的纳管设备访问电子邮件。您可以指定在 Workspace ONE UEM 禁止访

问电子邮件之前设备显示为非活跃状态（即未签入 VMware AirWatch）的天数。接

受的小值为 1，大值为 32767。

破解设备禁止破解设备访问电子邮件。此策略不会阻止尚未向 AirWatch 报告破解状态的设备

访问电子邮件。

加密禁止未加密的设备访问电子邮件。此策略只适用于已向 VMware AirWatch 报告数据

保护状态的设备。

型号根据设备的平台和型号限制电子邮件访问。

操作系统将电子邮件访问限定于一组特定平台的操作系统。

需要 ActiveSync 配置文件将电子邮件访问限定于并非通过 Exchange ActiveSync 配置文件管理的设备。

电子邮件安全策略将对附件和超链接强制执行策略。该策略仅适用于 SEG 部署。有关详细信息，请参

阅电子邮件内容、附件和超链接保护。


电子邮件安全等级定义 SEG 对有标签和无标签电子邮件采取的策略。您可以使用预定义标签，或使用

自定义选项创建标签。根据等级的不同，您可以在电子邮件客户端中选择允许或屏

蔽电子邮件。

附件（纳管设备）加密所选文件类型的电子邮件附件。这些附件在设备上是安全的，并且只能在

VMware AirWatch Content Locker 上查看。

目前，此功能仅可在纳管的 iOS 和 Android 设备，以及安装了 VMware AirWatch Content Locker 应用的 Windows Phone 等设备上使用。对于其他纳管设备，您可以

选择允许加密的附件、屏蔽附件或允许未加密的附件。


VMware, Inc. 31


附件（未纳管设备）加密和屏蔽附件，或允许非纳管设备未加密的附件。

未纳管的设备无法查看加密的电子邮件附件。此功能旨在维护电子邮件的完整性。

如果从未纳管设备转发具有加密附件的电子邮件，则收件人仍然可以在计算机或其

他移动设备上查看附件。

超链接允许设备用户使用设备上安装的 VMware Browser 直接打开电子邮件中包含的超链

接。Secure Email Gateway 可动态修改超链接以在 VMware Browser 中打开。您可

以选择以下“修改类型”之一：

n 全部 - 选择使用 VMware Browser 打开所有超链接。

n 排除 - 如果您不希望设备用户通过 VMware Browser 打开提及的域，则选择该选

项。在修改所有超链接，但这些域名除外字段中提及被排除的域。您也可以使用

一份 .csv 文件批量上传域名。

n 包含 - 如果您希望设备用户通过 VMware Browser 打开指定域的超链接，则选择

该选项。在仅修改这些域名的超链接字段中提及所包含的域。您还可以使

用 .csv 文件批量上传域名。

3 创建您的合规规则，然后单击保存。

4 选择活跃列下的灰色圆圈以激活合规策略。

系统将显示一个包含密钥代码的页面。

5 在相应字段输入密钥代码，然后选择继续。

结果

此时策略已激活，并在活跃列下显示为绿色圆圈。

电子邮件内容、附件和超链接保护

使用 Workspace ONE UEM Web 和 Workspace ONE UEM Content 确保电子邮件安全。

Workspace ONE UEM 可帮助您保护和控制易导致纳管和未纳管设备数据丢失的移动电子邮件附件。

Workspace ONE UEM 允许设备用户直接使用设备上安装的 Workspace ONE Web 打开电子邮件中的超链

接。Secure Email Gateway 可动态修改超链接以在 Workspace ONE Web 中打开。

您必须安装以下应用程序才能开始保护电子邮件附件：

n Secure Email Gateway (SEG)

n VMware Content Locker (iOS、Android 和 Windows Phone)

n 支持 Microsoft Exchange 2010/2013/2016/2019、IBM Notes、Novell GroupWise 和 Gmail

启用电子邮件安全等级

在 UEM Console Workspace ONE UEM console 上选择希望 Secure Email Gateway 对其采取措施的安全

等级。

系统提供了一个可供选择的预定义安全等级的列表，以及用于创建您自己的自定义等级的选项。


VMware, Inc. 32

步骤

1 导航到电子邮件 > 合规策略 > 电子邮件安全策略。

2 选择电子邮件安全等级合规策略的活跃列下的灰色圆圈。



此时策略已激活，并在活跃列下显示为绿色圆圈。

4 在操作列下选择编辑选项。

5 选择添加，然后从类型下拉菜单中选择标记类型。

可用选项为“预定义”和“自定义”。

n 选取“预定义”作为标记类型会在安全等级下拉菜单中显示一个可用标记列表。

n 选择“自定义”作为标记类型，在安全等级字段中输入您自己的自定义标记。

6 输入标记的描述，然后选择下一步。

7 配置 SEG 应对带标记或不带标记的电子邮件采取的操作。选择下一步。

您可以在电子邮件客户端上选择允许或阻止电子邮件。

8 查看摘要，然后单击保存。

启用电子邮件附件保护

使用 Workspace ONE UEM 保护电子邮件附件。

电子邮件附件具有各种文件类型。在 UEM Console 上，您可以选择必须通过 Secure Email Gateway 加密

的电子邮件附件的文件类型。这些加密的附件在移动设备上是安全的，并且可以使用 VMware AirWatch Content Locker 应用程序进行查看。

可为纳管的 iOS、Android 及 Windows Phone 设备提供粒度设置。可对其他纳管设备和所有未纳管设备的

附件 (批量)加以保护，使之无法在第三方应用中打开。

步骤


2 选择附件（纳管设备）或附件（未纳管设备）合规策略的活跃列下的灰色圆圈。



此时策略已激活，并在活跃列下表示为绿色圆圈。


5 针对每个文件类别选择是要“加密并允许附件”、“屏蔽附件”还是“允许未加密附件”（仅适用于纳

管的 iOS、Android 和 Windows 设备）。


VMware, Inc. 33

6 选中允许将附件保存在 Content Locker 复选框，以便在 Content Locker 内保存附件。

附件将保持加密状态，且 Content Locker 策略适用。

7 为此处未提及的任何其他文件选择策略。

8 在其他文件向排除列表的配置过程中，输入应从操作排除的文件扩展名。

9 输入屏蔽附件的自定义消息，通知收件人附件已被屏蔽。

10 保存设置。

启用超链接保护

使用超链接电子邮件安全策略，您可以控制电子邮件中要修改的超链接，以便可以使用 Workspace ONE Web 直接打开这些超链接。

步骤


2 选择超链接合规策略的活跃列下的灰色圆圈。



此时策略已激活，并在活跃列下表示为绿色圆圈。


5 选择要忽略超链接转换的平台。


VMware, Inc. 34

6 选择其中一种修改类型：

n 全部 - 选择使用 Workspace ONE Web 打开所有超链接。

n 包含 - 如果您希望设备用户通过 Workspace ONE Web 打开指定域的超链接，则选择该选项。在仅

修改这些域名的超链接字段中提及所包含的域。您还可以使用 CSV 文件批量上传域名。

n 排除 - 如果您不希望设备用户通过 Workspace ONE Web 打开提及的域，则选择该选项。在修改所

有超链接，但这些域名除外字段中提及被排除的域。您还可以使用 CSV 文件批量上传域名。

7 保存设置。


VMware, Inc. 35

监控电子邮件流量 10通过电子邮件仪表板监控用户组的电子邮件流量和设备。

电子邮件 > 仪表板为您提供连接到电子邮件服务器的设备的实时状态摘要。

您还可以使用可用的图表来筛选搜索。例如，如果您要查看某个组织组的所有纳管设备，请选择“纳管设

备”图。图表会在“列表视图”页面显示结果。


n 查看设备和用户信息

查看设备和用户信息

查看详细的设备和用户特定信息。

您可以从电子邮件 > 列表视图页面中查看通过 Mobile Email Management (MEM) 管理的终用户设备的

所有实时更新。

在设备和用户选项卡之间切换以查看用户和设备信息。要查看信息的摘要或自定义列表，请更改布局。

n 查看设备的纳管、未纳管、合规、不合规、屏蔽或允许情况。

VMware, Inc. 36

n 查看设备的详细信息，如操作系统、型号、平台、电话号码、IMEI 及 IP 地址。

您可以根据需要以汇总列表或自定义列表查看设备或用户特定的信息。

列表视图页面提供了以下详细信息：

设置说明

上次请求来自 Workspace ONE UEM 或 PowerShell 集成环境中的 Exchange 的近一次设备状态更改。在 SEG 集成环

境中，此列将显示设备上次同步邮件的时间。

用户用户帐户名称。

友好名称设备的友好名称。

MEM 配置用来管理设备的已配置 MEM 部署。

电子邮件地址用户帐户的电子邮件地址。

标识符与设备相关联的唯一字母数字标识码。

邮件客户端电子邮件客户端与设备邮件同步的

上次命令设备的上次状态变更及填充上次请求列。

上次的网关服务器与设备连接的服务器。

状态设备的实时状态，以及按照定义的策略是否屏蔽或允许设备访问电子邮件。

原因允许或屏蔽设备访问电子邮件的原因代码。

n 当组织的默认“允许/屏蔽/隔离”策略定义访问状态时，原因代码为“全局”。当 Exchange 管理员或

Workspace ONE UEM 为给定的邮箱显式设置设备 ID 时，原因代码为“个别”。如果任一 EAS 策略屏蔽了

设备，则原因代码为“策略”。

n Workspace ONE UEM 为您提供了在不合规设备（例如，安装了黑名单应用的设备）上屏蔽电子邮件的选

项。设备合规后便会启用电子邮件。您可以在电子邮件仪表板上查看以“MDM 合规性”原因标签标注的不

合规设备列表。

n 平台、型号、操作系统、IMEI、EAS 设备类型、IP 地址 - 这些字段分别显示相关设备信息。

n 邮箱标识 - 用户邮箱在 Active Directory 中的位置。

筛选器

使用“列表视图”页面上的筛选器选项缩小设备搜索范围。

设置说明

后上线时间全部、少于 24 小时、12 小时、6 小时、2 小时。

纳管全部、纳管、未纳管。

允许全部、允许、屏蔽。

策略覆盖全部、黑名单、白名单、默认。

策略违规被破解、非活跃设备、无数据防护/未注册/不符合 MDM 策略、未获批准的 EAS 设备类型/电子邮件帐户/邮件客

户端/型号/操作系统

MEM 配置根据配置的 MEM 部署筛选设备。

EAS 设备类型根据设备类型进行筛选。


VMware, Inc. 37

电子邮件地址根据电子邮件地址进行筛选。

上次的网关服务器根据可用安全电子邮件网关进行筛选。根据可用安全电子邮件网关进行筛选。

电子邮件操作

覆盖、操作及管理下拉菜单内集中了可对设备执行的多种操作。

重要事项这些操作不可撤消。

覆盖

选中与设备对应的复选框以对其执行操作。无论合规策略如何，都将设备列入白名单或黑名单，并在必要

时恢复为策略设置。

n 白名单 - 允许设备接收电子邮件。

n 黑名单 - 阻止设备接收电子邮件。

n 默认 - 根据设备合规与否来允许或阻止设备。

操作

n 同步邮箱 - 查询 Exchange 服务器以查找已尝试同步电子邮件（直接 PowerShell 模式）的设备的更新

列表。如果您不选择该选项，则未纳管设备列表将不会发生变化，除非将其中一个未纳管设备注册到

Workspace ONE UEM 中，或者将某台设备手动列入白名单或黑名单以启动状态更改命令。

Workspace ONE UEM 在自助服务门户 (SSP) 内提供“电子邮件同步”选项，以便终用户能够将他

们的设备与邮件服务器同步，同时为他们的所有设备运行预配置的合规策略。这一过程通常比在所有设

备上执行批量同步快得多。

n 运行合规策略 - 触发合规引擎针对所选的 MEM 配置运行。当使用 PowerShell 模式与 SEG 模式时，

此命令的操作方式不同。

n 如果配置了 SEG，此命令则会使用新的合规策略对 SEG 进行更新。

n 如果配置了 PowerShell 模式，则此命令手动对所有设备执行合规检查，并阻止或允许设备访问电

子邮件。

配置直接 PowerShell 模式后，Workspace ONE UEM 通过从控制台服务器或 VMware Enterprise Systems Connector（取决于部署架构）建立的远程签名 PowerShell 会话直接与 CAS 阵列通信。使用

远程签名会话时，系统会根据设备在 Workspace ONE UEM 中的合规状态发送 PowerShell 命令，以

将 Exchange 2010/2013 中给定的用户 CAS 邮箱上的设备 ID 列入黑名单（屏蔽）或白名单（允

许）。

n 启用测试模式 – 测试电子邮件策略，但并不将它们应用到已集成 SEG 的部署中的设备上。

管理

选中与设备对应的复选框以对其执行操作。

设置说明

注册电子邮件向用户发送附有注册所需的所有详细信息的电子邮件。

发现未纳管设备后，发送一份要求用户注册设备的注册电子邮件 (仅适用于 PowerShell)。


VMware, Inc. 38

开启 Dx 模式对选定的用户邮箱运行诊断，为您提供该设备活动的历史记录。该功能仅适用于 SEG。

关闭 Dx 模式关闭对选定用户邮箱的诊断。

更新加密密钥重置加密，然后重新同步所选设备的电子邮件。

远程擦除将设备重置为出厂设置。

在含有敏感信息的丢失或被盗设备上执行企业重置 (重置为出厂设置) (仅限 PowerShell)。

删除未纳管设备从仪表板删除选定的未纳管设备记录。

迁移设备在组织组和 MEM 部署之间迁移设备。

同步选定的邮箱同步所选设备的邮箱。同时仅有一台设备的邮箱可以同步。

注此记录可能会在下次同步后重新出现。

查找未纳管的设备

若要确保您的所有设备都在纳管和监控之下，请导航到“列表视图”页面。从“列表视图”页面筛选未纳

管设备，然后从“管理”下拉菜单发送注册邮件。


VMware, Inc. 39

移动电子邮件管理 - VMware Workspace ONE UEM 2001...移动电子邮件管理概览 1 使用...

Documents

Transcript of 移动电子邮件管理 - VMware Workspace ONE UEM 2001...移动电子邮件管理概览 1 使用...