こんにちは。SB C&S 渡邊です。
当ブログではVMwareのWorkspace ONEという製品について、気になった内容を検証し手順、結果をまとめていきます。

＜MEM構成＞

今回はWorkspace ONE UEMのMEM機能を利用し、Eメールインフラストラクチャとの連携について検証しました。
Workspace ONE UEMではEメールインフラを制御することでユーザーに安全なEメールを利用させることが可能です。
さらにユーザーにネイティブメールアプリの代わりにWorkspace ONE Boxer（以下Boxerと表記）というVMwareが提供するEメールアプリを配布することで、データの漏洩を防ぐDLP機能やメールのアクセスコントロールを設定することができます。
以下ではMicrosoftのExchange Office 365と連携して、BoxerでExchangeのEメールを利用するための環境作成の手順を説明しています。
また併せてBoxerのDLP機能の動作も紹介していきます。

構成していく環境は下図のような形です。

初めにWorkspace ONE Boxerの概要説明をします。

• Workspace ONE Boxer
  企業所有デバイスおよび個人デバイス（BYOD） でエンタープライズ メール、カレンダー、連絡先へのアクセスを提供するエンタープライズ E メール クライアントです。
  モバイル生産性向上にフォーカスし、ネイティブ設計パターンに基づく iOS および Android デバイスの直感的なユーザー エクスペリエンスと、AES 256 ビット暗号化によるエンタープライズ レベルのセキュリティを提供します。
  

＜検証環境＞

• Workspace ONE UEM
• Airwatch Cloud Connector（ACC）
• Microsoft 365
• Android（Pixel 4a）

本環境では既にAndroidはWorkspace ONE UEMにWork管理対象で加入済みです。

<設定内容>

最初にWorkspace ONE UEMでExchange Office 365とのPowershell統合を構成します。
前提として、Powershell統合にはACCが疎通可能な状態である必要があります。
全ての設定 > システム > エンタープライズ統合 > Cloud Connector > 高度な設定よりエンタープライズサービス内のExchange Powershellを有効にします。

Eメール > Eメール設定 > Eメール > 構成 から"構成"をクリックします。
今回は展開モデルはダイレクト、EメールタイプはExchange、ExchangeバージョンはExchange Office 365を選択します。

展開モデルでプロキシを選択した場合は経由するUnified Access Gateway上で構成するSecure Access Gatewayの情報を入力します。

続いてExchange Office 365と統合するためのEメール構成情報を入力していきます。
フレンドリ名は任意の名前を入力します。
PowerShellURLにはPowershellでExchange Onlineに接続する際、接続先となるURL"https://outlook.office365.com/powershell-liveid/powershell"を入力します。

次にPoweshell認証をするための管理者を指定します。
管理者のユーザー名にMicrosoftのサービスアカウントを指定し、パスワードを入力します。
ここでは認証のタイプは最新（モダン認証）を選択しています。

今回はその他の設定はデフォルトで進行します。
設定を全て入力したら"次へ"をクリックし構成を完了します。

設定が完了すると作成したEメール構成が表示されます。
ここで"接続テスト"をクリックすることで、正しくExchange Office 365と統合ができているか確認することができます。

次にVMwareが提供するEメールアプリBoxerをデバイスに配布します。
アプリとブック > アプリ > ネイティブ > パブリックよりアプリケーションを追加します。
プラットフォームをAndroidに設定し、アプリストアよりBoxerを検索して承認します。
アプリケーションの編集はデフォルト設定で進め、"保存して割り当て"をクリックします。

アプリケーションの割り当て設定にてEメール設定の内容を編集します。
Exchange ActiveSync ホストに"outlook.office365.com"を入力します。
またここではユーザーをデフォルトの"{UserPrincipalName}"から"{EmailAddress}"に変更しています。
今回はOffice 365のログインにアカウント名としてEメールアドレスを使用します。
UEMユーザーのメールアドレス情報にOffice 365アカウントのメールアドレスを設定しておくと、BoxerでOffice 365にログインする際にアカウント名の入力を省略できます。

次にDLPを設定するためアプリポリシーを編集します。
ユーザーがBoxerのデータを他のアプリにコピー&ペーストしたり、スクリーンショットを撮り流出させる危険を防ぐため、データ漏洩防止の"コピー/貼り付け"と"スクリーンショット"を制限します。

設定が完了したら保存して、割り当てを展開します。

<動作確認>

加入済みのAndroidで動作を確認していきます。
ここでは画面の取得のためスクリーンショットの制限を解除しています。
Boxerをインストール後、アプリをタップするとアカウント追加済みと表示され、今すぐログインをタップするとパスワードの入力画面に移動します。
パスワード入力後、Exchangeの受信トレイが表示されることを確認します。

また送受信のテストとして自身のメールアドレスにテストメールを送り、問題なく受信できていることを確認します。

次にDLP機能の確認を行います。
先ほど送受信したメールの内容の一部をコピーし、メモ帳など個人アプリで貼り付けます。
内容は全て"Airwatch 制限コンテンツ"という文章に置き換わり、元の情報は読み取れなくなります。

最後にスクリーンショットの制限の動作をみていきます。
当然アプリ画像の取得ができないため、下図はイメージになります。
アプリケーション内のどの画面でもスクリーショットを実行すると、以下のようなメッセージが出て画像を取得することができないことが確認できます。

まとめ

今回の検証ではダイレクト構成でEメールインフラと統合しましたが、Secure Email Gatewayを経由させるプロキシ構成を組むことでより強固な制限をかけることができます。
また検証内では紹介しませんでしたが、Eメール順守ポリシー（email compliance policy）という機能を利用することで、Exchangeを利用できるアプリケーションや端末を制限することも可能です。

Workspace ONE UEMでは今回構成したExchange Office 365以外にも、オンプレミスのサーバーやGoogleのメールサービスとの統合も可能なので、お客様が利用されているメール環境に合わせて設定してみてはいかがでしょうか。