企业移动电子邮件管理(MEM)加强数据安全保护
什么是移动电子邮件管理
电子邮件是组织内部官方通信的主要方法,为了保持移动工作人员的连接和工作效率,必须在移动设备上访问其公司邮箱。通过移动电子邮件管理,IT 管理员可以促进在员工的智能手机、平板电脑和笔记本电脑上安全访问企业电子邮件,从而保护业务关键型文件免受潜在的安全威胁。
为什么要管理企业移动邮箱
移动设备在工作场所的广泛使用使得公司电子邮件必须在这些设备上访问,但是移动访问可能会对公司数据构成安全威胁。员工可能会使用不受信任的设备、未经批准的应用程序或不安全的 Wi-Fi 连接来访问其邮箱,或者他们可能会无意中共享敏感的公司电子邮件附件,从而导致公司数据泄露给未经授权的第三方。除此之外,电子邮件本身可能包含恶意软件或其他隐藏的威胁,这些威胁会损害设备上企业数据的机密性,为了应对这些安全风险,企业移动电子邮件需要由 IT 团队管理。
企业移动电子邮件管理面临哪些困难
由于组织中使用了各种设备类型和平台,因此很难仅允许受信任的移动设备访问企业电子邮件,为了保护传输中的企业数据免受安全风险的影响,IT 管理员必须确保在这些设备上访问电子邮件时使用安全通信协议。自动备份到第三方云服务器以及使用未经批准的应用程序查看公司电子邮件和附件,使未经授权的应用程序提供商和云服务可以访问敏感的公司数据。
在 BYOD 环境中,确保安全性变得更加复杂,因为离开组织的员工仍然可以将公司电子邮件附件下载到其个人设备上。此外,如果设备丢失或被盗,其上的公司数据就有落入坏人之手的风险。通过使用移动电子邮件管理工具来管理和保护企业移动电子邮件,可以克服这些困难。
移动电子邮件管理工具的主要功能
移动电子邮件管理工具和服务通过以下方式简化企业电子邮件管理:
- 允许管理员远程和批量地在设备上预配置企业电子邮件。
- 确保只有受信任的设备和批准的应用程序才能用于访问公司邮箱。
- 限制与未经授权的设备、用户和应用共享电子邮件数据。
- 在用户访问其邮箱时强制使用安全协议。
- 在 BYOD 上虚拟容器化企业工作区和电子邮件。
如何利用MDM工具进行移动电子邮件管理
一个全面的移动设备管理解决方案(Mobile Device Manager Plus)可以让 IT 管理员通过以下方式管理移动电子邮件:
- 为员工配置公司电子邮件帐户
- 配置电子邮件限制
- 确保安全通信
- 保护电子邮件附件
- 保护对 Exchange 的访问
- 预配置应用设置和权限
为员工配置公司电子邮件帐户
IT 管理员需要确保每个员工都有一个公司电子邮件帐户,用于内部通信,以及与客户、供应商和协作者的外部交互。使用 MDM,可以通过将电子邮件策略与员工的设备 (Android、iOS、Windows),为每个员工创建单独的电子邮件帐户很乏味;动态变量通过在注册期间自动获取映射到设备的电子邮件地址来简化此任务。此外,MDM 还允许配置电子邮件签名,并为用户设置默认电子邮件帐户。
配置电子邮件限制
许多发件人使用 HTML 向电子邮件添加图形和链接。这些HTML电子邮件以隐藏的病毒和其他可能自动下载的恶意软件的形式对设备构成潜在威胁。使用 MDM,可以通过完全限制电子邮件中使用 HTML 格式而仅支持纯文本来消除此威胁。自动电子邮件转发是管理员需要处理的另一个重要安全问题。如果员工启用了电子邮件转发到外部地址并离开公司,则属于组织的敏感数据可能会丢失。当关键信息通过电子邮件泄露给未经授权的第三方时,情况会变得更加严重,防止这些情况的可行方法是使用 MDM 限制电子邮件的转发,MDM 还允许管理电子邮件地址与第三方云服务的同步、非电子邮件 App 中电子邮件帐户的使用、电子邮件通知等。
确保安全通信
电子邮件通信主要使用电子邮件配置标准(如 POP 或 IMAP)来检索电子邮件,这通常涉及以纯文本形式传输电子邮件内容,可能使机密数据容易受到窃听攻击和其他网络攻击。解决方案是使用 SSL/TLS 连接,以确保电子邮件流量在传输过程中得到加密和安全。除了通过 S/MIME 提供额外的加密层(可保持邮件完整性并增强数据隐私)外,MDM 还允许管理员通过启用 SSL/TLS 连接或使用 SSL 证书来为电子邮件建立安全的通信通道(Android、iOS、Windows)。
保护电子邮件附件
电子邮件附件通常包括包含敏感数据的重要文档,下载这些附件后,可以使用任何非托管应用程序打开它们,共享到另一台设备,甚至可以备份到第三方云服务上,从而导致数据泄露。借助 MDM,电子邮件附件不仅在传输过程中受到保护,而且在下载后也会受到保护。
保护对 Exchange 的访问
许多组织使用 Exchange Server 来管理企业电子邮件,这是 Exchange 持续面临安全威胁风险的主要原因之一。尽管管理员尽最大努力使用防火墙配置和其他安全工具限制对 Exchange 的访问,但许多组织并不知道他们可以使用条件访问在设备级别控制 Exchange Server 访问,为了更好地保护组织的 Exchange 环境,MDM 允许限制非托管设备对 Exchange 服务器的访问。
预配置应用设置和权限
电子邮件是企业主要的通信形式,但配置电子邮件帐户可能既困难又耗时。MDM 的托管应用配置 (Android、iOS、Windows)大大简化了该过程。管理员可以自定义任何托管电子邮件应用的功能以满足组织要求,将应用分发到设备,并预配置帐户类型、域名和电子邮件签名等参数,以使应用在安装后立即可供企业使用。
管理和保护敏感的业务电子邮件数据
- 无线配置电子邮件帐户:通过从目录服务动态加载用户名等变量来扩展电子邮件配置。
- 保护电子邮件数据:强制实施数据丢失防护 (DLP) 策略,例如对复制和粘贴、屏幕截图、共享附件和添加个人帐户的限制。
- 启用 Exchange:允许用户访问存储在 Exchange 服务器上的公司数据,如电子邮件、联系人、日历和任务,即使他们处于脱机状态也是如此。
- 强制实施条件访问:审核对 Exchange 和 Microsoft 365 邮件服务器的访问,并限制非托管设备的访问。
- 安全电子邮件附件:使用内置的电子邮件附件查看器打开附件,并仅允许批准的应用打开它们。
- 启用默认签名:在整个组织中设计和管理标准自定义签名,或为不同部门自定义电子邮件签名。
- 主动管理设备上的联系人:允许用户使用联系信息访问 vCard,将其保存到其设备,并定期将其与 CardDAV 同步同步。
- 同步日历和预定事件:允许访问具有 CalDAV 同步功能的订阅日历,以确保员工不会错过任何预定事件。
- 撤销帐户访问权限:远程删除丢失、被盗、越狱、root和停用设备的电子邮件配置。
制定电子邮件威胁预防和响应框架
- 在整个组织中自定义电子邮件客户端应用
- 安全的电子邮件通信
- 实施基于设备的访问控制
- 启用无密码身份验证
- 配置电子邮件功能
- 为电子邮件和附件创建沙盒
在整个组织中自定义电子邮件客户端应用
通过为各种电子邮件客户端(包括 Outlook、Gmail、Apple Mail、Samsung Email和 Zoho Mail)预配置帐户类型、域名和首选身份验证方法等参数,远程预定义权限并自定义功能。还要确保从一开始就实施设备访问策略和数据共享限制
安全的电子邮件通信
通过 SSL/TLS 通道在电子邮件客户端和服务器之间实现邮件的安全交换,同时使用 S/MIME 等端到端加密标准对静态和传输中的邮件进行加密。添加数字签名以验证发件人的真实性并验证邮件的完整性。
实施基于设备的访问控制
自动授予业务应用和邮箱对托管设备的访问权限,同时防止非托管设备访问 Exchange、Microsoft 365、Google Workspace 和 Zoho Workplace。提供访问宽限期,在此期间,用户可以轻松地注册其设备,指定条件访问策略的目标用户,例如所有现场员工或合同员工。
启用无密码身份验证
通过单点登录提供安全、顺畅的登录体验。允许用户仅登录一次即可访问所有必需的 Web 服务和应用程序,包括电子邮件客户端应用程序,从而消除密码疲劳。此外,根据组织的要求,利用基于证书的身份验证来确保用户甚至不需要登录一次,从而有效地使用零登录方法。
配置电子邮件功能
通过高级安全限制(例如阻止未经批准的电子邮件应用、阻止导出到其他电子邮件帐户以及限制电子邮件转发)消除电子邮件安全方程式中的人为错误。防止使用 HTML 格式,这可能会以隐藏病毒和其他恶意软件的形式对设备构成威胁。
为电子邮件和附件创建沙盒
容器化工作区,并将公司电子邮件访问限制为仅个人设备上的托管应用。使用内置文档查看器安全地查看和整理电子邮件附件。禁用与云服务和非工作应用的数据同步,以防止电子邮件内容无意中存储在不受信任的第三方服务器上。
Mobile Device Manager Plus进行移动电子邮件管理,IT 管理员可以跨各种平台远程预配置和保护设备上的企业电子邮件,所有这些都可以从单个控制台进行。通过实施安全通信协议、应用 DLP 策略以及分发受信任的应用程序来查看电子邮件附件,从而消除对第三方应用程序的需求,可以将数据泄露的可能性降至最低。通过限制 HTML 的使用,可以保护设备数据免受电子邮件中隐藏的病毒或恶意软件的侵害。使用此 MDM 工具,IT 管理员甚至可以确保仅允许合规的受信任设备访问 Exchange 服务器等公司资源。