讨论这个话题之前,先蹭一蹭现在爆火的ChatGPT的热度,问问AIGC这个问题,哈哈哈。

问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_客户端

   之所以有这个话题,是因为随着国内Exchange Online邮件服务的弃用基本验证的期限逐步逼近,很多企业和组织的邮件系统管理员开始不得不评估这一改变对系统和最终用户的影响,并且需要尽快确认变更方案。

问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_移动设备_02

同为协作服务,SharePoint老司机一定很熟悉MOSS吧


   那弃用基本验证到底是怎么回事呢?咱们接着往下说。


微软已弃用邮件服务的基本身份验证

   实际上弃用基本验证这个事情,笔者早在2020年就参与到Exchange Online的产品组的讨论了。因为确实涉及面太广,非常多的客户和邮件专家都觉得应该缓行。但在ExchangeOnline的团队Blog中,他们解释了为什么需要迈出这重要的一步——传统的基本验证基于密码逻辑,而“密码攻击“已经是代价很低且频率非常高的攻击手段。为了确保组织核心的信息系统的安全,弃用基本验证而使用现代认证,成了不得不作出的选择。

   微软也给了比较长的时间,帮助客户逐步从基本验证转换到现代认证。在其官方文档可以看到对这一切换的预设时间节点。


问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_移动设备_03

   完整文档可在如下地址查看:

https://learn.microsoft.com/zh-cn/exchange/clients-and-mobile-in-exchange-online/deprecation-of-basic-authentication-exchange-online


邮件系统管理员需要做些什么呢?

   既然已是必然,作为组织管理邮件等系统的管理员(出于简化的目的,我们凸显了邮件管理角色,实际上关心弃用基本验证的,还有可能是统一通信管理员、IT部门经理、CIO/CTO以及业务部门),在弃用基本验证的变化下,应该提前(哦不,尽快)做些怎样的准备工作呢?以下列出我们建议的一些必要步骤供参考。

1、计划邮件验证方式的变更

   本文更主要的目的是帮助邮件系统管理员更方便更高效地解决移动客户端在弃用基本验证的情况下遇到的问题,因此仅提供对后端邮件系统的快速参考链接。

   Exchange Online的变更参考——Basic Authentication Deprecation in Exchange Online – Time’s Up

https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-time-s-up/ba-p/3695312

   Exchange服务器的变更参考——Disabling Legacy Authentication in Exchange Server 2019

https://techcommunity.microsoft.com/t5/exchange-team-blog/disabling-legacy-authentication-in-exchange-server-2019/ba-p/712048

   毕竟,后端的变更基本上比较好控制,但面向最终用户的时候,问题就广泛和复杂得多了。

2、为最终用户准备移动客户端

   复杂和棘手的工作大多在最终用户一侧,毕竟不能影响任何一位最终用户的正常工作。因此,如何减少弃用基本验证对最终用户带来的影响就显得极为重要。良好的用户沟通(比如邮件通知、易拉宝之类)自然必不可少,但作为邮件系统管理角色,考虑完整的技术方案是本职啊。

   为什么单说移动客户端呢?实际上运行于PC的邮件客户端,例如Outlook等,在弃用基本验证的过程中最终用户基本没有太大影响。使用移动设备访问邮件时,原本也没有什么问题,只需要将使用的邮件客户端注册到Azure AD的企业应用中即可。这个过程在Global Azure AD中其实是后台自动完成的。但目前国内21V的 Office 365 (实际是Azure AD)暂时还不能添加第三方的应用,除了Outlook之外的邮件客户端,无法通过这个简单的方式切换到现代认证。这也导致一些终端用户习惯使用的原生邮件客户端(如iOS和安卓自带的邮件功能)或者其他邮件客户端应用,在切换现代认证后无法正常收发邮件

   那么,使用移动设备的用户就真的只有Outlook应用这一个选择了吗?

   当然不,VMware的Workspace ONE产品中的Boxer安全邮件客户端能够支持全球或大陆地区现代验证方式,并实现更多的安全管控功能。现在都不用我来介绍了~我们继续有请ChatGPT回答一下:

问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_移动设备_04

   既然弃用基本验证而转向现代验证是为了更加安全的邮件访问,那何不一步到位,选择一个更好的安全邮件客户端,彻底解决邮件访问便利与信息泄漏安全的矛盾?

3、为最终用户确认邮件提示

   移动设备收发邮件的一个重要功能,是及时获得邮件通知,以免错过重要的邮件。在PC上,Outlook能够通过弹出窗口、声音等方式提示新邮件的到达,也可以在邮件文件加上显示未读邮件数量。

   移动设备当然也希望具备这个能力——应用图标上的小红点总让我忍不住去都读一遍把它清除掉…

   在iOS系统的移动设备上,这一功能是通过ENS(邮件通知服务,基于APNS的消息推送)实现的。但是到安卓系统的移动设备上,这个问题就比较复杂了。因为众所周知的原因,谷歌的一些服务是无法在大陆地区使用的,所以通知服务必须另想办法。并且安卓系统里对后台进程会使用休眠等处理,甚至常见的系统清理小程序,也会关闭邮件应用以腾出更多的内存空间。所以为了确保用户能收到邮件提示,需要邮件客户端在不同厂商的安卓系统上实现邮件客户端的进程保活,也就是确保邮件应用不会被休眠和关闭。这就是很多邮件客户端无法收到邮件提示的原因

   目前VMware的Workspace ONE产品中Boxer安全邮件客户端是可以在大陆地区实现邮件提示的,至于全球?那就更不是问题了。

4、计划引入邮件条件访问控制

   我们变更了邮件系统的验证方式,我们也使用了安全邮件客户端,是不是已经完成了所有的工作呢?

   并没有啊~我们还需要把不安全的邮件客户端访问进行限制:

   ** 例如不允许除了Boxer之外的邮件客户端访问邮件,即使用户知道用户名、密码和服务地址等信息;

   ** 例如未经注册到企业管理平台的设备,不允许访问邮件。即使用户知道用户名、密码和服务地址等信息;

   ** 例如已经越狱或ROOT的移动设备,或者其他定义为不合规的设备,不允许访问邮件。即使用户知道用户名、密码和服务地址等信息…

   传统上实现这样的条件访问控制比较困难,因为缺乏及时有效的设备合规状态收集和切实准确的访问限制动作。

   尤其是员工自带设备访问邮件,作为大多数组织的主要使用场景,最终用户是不希望执行完整的移动设备管理(MDM)注册的。Boxer安全邮件客户端应用可以在不需要移动设备管理模式下,以移动应用管理(MAM)模式来完成上述条件检测和访问控制,既满足了企业对信息安全的要求,也不会降低最终用户的使用体验。这可不是其他邮件客户端谁都能实现的!


管理员和最终用户可能关心的问题

1、现有基于Azure AD的条件访问控制能集成吗?

   可以。实际我们也遇到不少组织已经通过更高级别的Office 365订阅,实现了基于Azure AD的条件访问控制。抛开这个已有的条件访问控制架构显然是不必要的,利用Workspace ONE与Azure AD集成,可以为Azure AD提供设备等维度的信息,使得条件访问控制更加完整。

问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_移动设备_05

   如果组织尚未使用Azure AD的条件访问控制,那么直接使用Workspace ONE产品中的Access组件,也能够提供更灵活、更多条件管控粒度以及更具性价比的条件访问控制选择。

2、已经在使用的数据保护和合规会有影响吗?

   不会。在Office 365解决方案中,使用了Microsoft Graph API提供对信息的访问和限制。这是一种更加方便访问Microsoft云资源的、基于REST风格的Web API。

问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_客户端_06

   Microsoft Graph 还包含一组功能强大的服务,可管理用户和设备标识、访问、合规性和安全性,并帮助保护组织防止数据泄露或丢失。而 Workspace ONE 能够很好的集成 Microsoft Graph,实现全面有机的邮件、联系人、日历、文件、对象等信息的保护。

问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_最终用户_07

   目前大陆地区21V的Azure AD和Office 365实现信息保护与全球版本有些区别和限制,具体可参考官方站点的说明。

3、查看邮件到底要不要输入很复杂的密码?

   这可能是最终用户比较关心的问题。转换到现代验证,是不是需要记忆非常复杂的密码、通过移动设备访问邮件的时候是不是老要输入密码?

问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_最终用户_08

   正是由于通过移动设备来访问邮件,我们对访问便利性有了更高的要求。所以移动设备上的邮件客户端可以借助PIN码,甚至是生物识别技术例如指纹、FaceID等实现”无密码“的身份验证,使得安全的同时无比便捷。

4、移动设备上除了邮件,其他附件等也能保护吗?

   是的。Workspace ONE产品充分考虑到了移动设备上信息关联和交互的需求,能够在整个企业信息访问的循环内对信息进行有效的隔离和安全防护。

问问ChatGPT,移动设备邮件访问如何准备应对弃用基本验证?_移动设备_09

   如上图所示,当邮件客户端需要预览和处理附件时,可以将文档访问限制在制定的应用如Content里,轻松实现和邮件应用一样的限制复制黏贴、限制打印和启用水印等保护策略。当邮件客户端点击打开邮件中的链接时,也可以基于管控策略调用安全Web浏览器,甚至在应用级别隧道的加持下,直接安全的访问内网的后端网站和服务。

   这种能力还可以通过SDK嵌入的方式,提供给组织和企业自主研发的业务线应用,使得信息在邮件等系统与业务之间能够顺畅流转并兼顾企业严格的信息安全要求。


   前文提及的防止复制黏贴、限制附件访问、配置屏幕水印等功能,邮件安全专家可参考以下文档:

https://docs.vmware.com/cn/VMware-Workspace-ONE-UEM/services/Boxer_Admin_Guide/GUID-ApplicationConfigurations.html

5、对企业派发的安卓设备还有更全面的管理方式吗?

   这个问题一听就知道问得很专业啦。确实如前文所说,安卓由于框架和服务的限制,在大陆地区无法使用其自身的管理架构能力。不过使用ASOP(Android Open Source Project)提供了另一条解决方案路径。通过让国内品牌的移动设备开启对ASOP的支持,就可以在没有上述框架支持的情况下,实现大多数管理要求。

   由于篇幅有限,这个话题暂时就不展开了。如果您对这个管理方式感兴趣,或者对本文提及的验证方式切换的讨论有想说的话,不妨敬请您在评论区留言讨论。如果想多了解一些有关最终用户计算的信息,可查看TechZone站点:​​https://techzone.vmware.com/​