یکی از ویژگیهای برجسته تجربه Workspace ONE تکنولوژی موبایل SSO است که امکان Sign In کردن یکباره و دریافت دسترسی به تمامی برنامههای کاربردی مجاز را فراهم میکند که شامل برنامههای کاربردی SaaS میشود. این ویژگی اساسی میتواند در رسیدگی به مسائل امنیتی و چک کردن رمزهای عبور موثر باشد و تجربه End-User را برای کاربران موبایل ساده سازد. برخی روشها این قابلیت را برای Workspace ONE Access و Workspace ONE UEM فعال میکنند. SAML به یک پل به سوی برنامههای کاربردی بدل میشود اما هر پلتفرم موبایل Native نیازمند تکنولوژیهای مختلف برای فعالسازی SSO است.
SSO موبایل برای iOS
SSO مبتنی بر Kerberos تجربه پیشنهادی SSO در تجهیزات مدیریت شده iOS است. Workspace ONE Access یک آداپتور Built-In از Kerberos ارائه میدهد که میتواند احرازهویت iOS را بدون نیاز به ارتباط تجهیزات با سرورهای درونی Active Directory انجام دهد. علاوه بر آن، Workspace ONE UEM میتواند Certificateهای هویت را به تجهیزاتی که از Workspace ONE UEM Certificate Authority Built-In استفاده میکنند توزیع کرده و نیاز به نگهداری On-Premises CA را حذف کند.
متناوبا شرکتها میتوانند از یک مرکز توزیع کلید یا KDC اولیه برای احرازهویت SSO استفاده نمایند اما این امر معمولا نیازمند آمادهسازی یک On-Demand VPN است. هر گزینه میتواند در مدل Standard Deployment پیکربندی شود اما Built-In KDC باید در مدل Simplified Deployment استفاده شود.
SSO موبایل برای Android
Workspace ONE ارائه دهنده SSO موبایل Android است که به کاربران امکان Sign In کردن ایمن و بدون نیاز به رمز عبور را به برنامههای کاربردی سازمانی میدهد. تکنولوژی SSO موبایل Android نیازمند ثبت تجهیزات و استفاده از Workspace ONE Tunnel برای احرازهویت کاربران در برابر برنامههای کاربردی SaaS است.
SSO macOS و Windows 10
SSO مبتنی بر Certificate تجربه پیشنهادی برای لپتاپها و دسکتاپهای مدیریت شده Mac و Windows است. Active Directory Certificate Services یا CA دیگر برای توزیع Certificateها لازم است. Workspace ONE UEM میتواند از طریقAirWatch Cloud Connector یا یک On-Demand VPN با On-Premises CA یکپارچه شود.
یکپارچگی ایمیل
Workspace ONE گزینههای بسیاری را برای Clientهای تجهیزات و ایمیل پیشنهاد میکند. با وجود اینکه این انعطاف گزینههای زیادی برای Clientهای ایمیل فراهم میکند، بخاطر کمبود کنترل پس از آنکه ایمیل به تجهیزات رسید، دادهها بطور بنیادین رسوخ پیدا میکنند.
بیشتر بخوانید: معماری Workspace ONE UEM چیست؟ بررسی ویژگی های آن – قسمت اول
چالش دیگر این است که بسیاری از سازمانها به سرویسهای ایمیل مبتنی بر Cloud وارد میشوند مانند Microsoft Office 365 و G Suite یا همان Google Apps for Work سابق. این سرویسها گزینههای کنترل ایمیل کمتری نسبت به مدلهای On-Premises که سازمانها با آن آشنا هستند فراهم میکنند. این بخش به مدلهای اتصال ایمیل پرداخته و مزیتها و معایب هر یک را بررسی میکند.
مدل Secure Email Gateway Proxy
سرور پروکسی Workspace ONE UEM Secure Email Gateway یک سرور جداگانه است که درکنار سرور ایمیل موجود نصب شده تا تمامی ترافیک ورودی به تجهیزات موبایل را پروکسی کند. براساس تنظیماتی که در Workspace ONE UEM Console تعریف میشود، سرور پروکسی Workspace ONE UEM Secure Email Gateway ایمیلها را در تمامی تجهیزاتی که مدیریت میکند بلاک نموده یا تایید کرده و ترافیک را از تجهیزات مورد تایید Relay میکند. با کمی پیکربندی اضافی، هیچ تجهیزاتی مجاز به ارتباط مستقیم با سرور ایمیل سازمانی نیست. شکل زیر معماری Workspace ONE UEM Secure Email Gateway را نمایش می دهد. Workspace ONE UEM Secure Email Gateway به عنوان یک سرویس در Unified Access Gateway اجرا میشود.
مدل PowerShell مستقیم
در این مدل، Workspace ONE UEM یک نقش مدیریتی PowerShell را اتخاذ نموده و جهت تایید یا رد دسترسی ایمیل براساس Policyهای تعریف شده در Workspace ONE UEM Console فرمانها را به Exchange ActiveSync صادر میکند. پیادهسازیهای PowerShell نیازمند سرور پروکسی جداگانه نیستند و فرآیند نصب آسانتری دارند. درصورت داشتن سرور On-Premises Exchange، میتواند به منظور جلوگیری از جریان ترافیک ورودی از AirWatch Cloud Connector یا ACC بهره برد. شکل زیر معماری Microsoft Office 365 Email را نمایش می دهد.
مدلها و زیرساخت ایمیل پشتیبانی شده
میتوان جهت مقایسه این مدلها و زیرساختهای ایمیلی که پشتیبانی میکنند از جدول زیر تحت عنوان مدلهای پشتیبانیشده پیادهسازی ایمیل استفاده کرد.
زیرساخت ایمیل | حالت پیکربندی | مدل پیادهسازی |
Microsoft Exchange سالهای 2010، 2013 و 2016 IBM Domino with Lotus Notes Novel GroupWise (همراه با EAS) G Suit Office 365 (برای رمزگذاری فایل ضمیمه) | Workspace ONE UEM Secure Email Gateway (پروکسی) | مدل پروکسی |
Microsoft Exchange سالهای 2010، 2013 و 2016 Microsoft Office 365 | مدل PowerShell | مدل مستقیم |
G Suit | مدل Google | مدل مستقیم |
Microsoft Office 365 نیازمند پیکربندی مضاعف برای مدل پروکسی Workspace ONE UEM Secure Email Gateway است. VMware مدل مستقیم پیکربندی با سرورهای ایمیل مبتنی بر Cloud را پیشنهاد میکند مگر آنکه رمزگذاری فایلهای ضمیمه شده مورد نیاز باشد. جدول زیر مزیتها و معایب قابلیتهای پیادهسازی Workspace ONE UEM Secure Email Gateway و PowerShell را خلاصه نموده تا انتخاب مناسبترین نوع پیادهسازی را آسانتر کند.
معایب | مزیتها | مدل |
سرورهای اضافی مورد نیاز هستند Office 365 باید با Workspace ONE هماهنگ و یکپارچه شود تا اتصال مستقیم کاربران به Office 365 منع گردد. | انتطباق Real-Time رمزگذاری ضمیمه تبدیل Hyperlink | Workspace ONE UEM Secure Email Gateway |
هماهنگسازی Real-Time انطباق وجود ندارد برای پیادهسازی در تعداد تجهیزات بالای 100000 پیشنهاد نمیشود. VMware Workspace ONE® Boxer برای Containکردن فایلهای ضمیمه و Hyperlinkها در Workspace ONE Content and Workspace ONE Web لازم است. | هیچگونه سرور اضافی On-Premises برای مدیریت ایمیل موردنیاز نیست | PowerShell |
ملاحضات کلیدی طراحی
VMware برای تمامی زیرساختهای ایمیل On-Premises با پیادهسازی تجهیزات بیشتر از 10000، Workspace ONE UEM Secure Email Gateway را پیشنهاد میکند. برای پیادهسازیهایی که مقیاس کوچکتری دارند یا ایمیل مبتنی بر Cloud، PowerShell گزینه دیگری است. در جدول پایین مدل پیادهسازی ایمیل برای معماری این مرجع نشنان داده شده است.
مدل The PowerShell همراه با Workspace ONE Boxerمورد استفاده قرار گرفت. | اقدام |
این طراحی شامل ایمیل Microsoft Office 365 است و با وجود اینکه این اقدام انتخابهای Mail Client کارمندان را محدود کرده و دسترسی ایمیل Native را در سرویس Mobile Productivity حذف میکند، بهترین محافظت را در برابر نشط دادهها ایجاد میکند. | همترازی |
گامهای بعدی:
- پیکربندی ایمیل Microsoft Office 365 از طریق PowerShell
- پیکربندی Workspace ONE Boxer به عنوان یک Email Client برای پیادهسازی به عنوان بخشی از فرآیند ثبت تجهیزات.
دسترسی مشروط پیکربندیشده برای احراز هویت اولیه Microsoft Office 365
بطور پیشفرض احرازهویت اولیه Microsoft Office 365 و احرازهویتهای مدرن آسیبپذیر هستند زیرا اطلاعات اعتباری بجای ارسال شدن به یک Identity Provider یا IdP درون کرورگر، داخل خود برنامه کاربردی وارد شدهاند. با این حال، با Workspace ONE میتوان به سادگی امنیت و کنترل بر Microsoft Office 365 را با یک جریان فعال بهبود بخشید. اکنون میتوان دسترسی به جریانهای فعال Office 365 را براساس Policyهای دسترسی زیر در Workspace ONE Access کنترل نمود:
- طیف شبکه
- نوع تجهیزات OS
- عضویت گروه
- پروتکل ایمیل
- نام Client
شکل زیر Policyهای دسترسی مشروط Microsoft Office 365 Active Flow را نشان می دهد
مدیریت محتوای موبایل یا MCM میتواند برای پیادهسازی تجهیزات حیاتی باشد زیرا اطمینان میدهد که محتوا بطور ایمن در Repositoryهای سازمانی ذخیره شده و در زمان و مکان دلخواه End Userها با کنترلهای امنیتی مناسب در دسترس خواهد بود. قابلیتهای MCM در Workspace ONE UEM محتوای مورد نیاز کاربران را برای آنها فراهم کرده و علاوه بر آن کنترلهای امنیتی مورد نیاز شرکتها را نیز تامین میکند.