独立的 EAS 代理

您可以设置 EAS 代理,以控制托管设备对电子邮件服务器的访问。您的托管设备的电子邮件数据流将通过该代理进行传输。您可以阻止设备,如违反合规性规则的设备访问电子邮件。

必须将设备配置为使用 EAS 代理作为接收和发送电子邮件的电子邮件服务器。如果设备在 Sophos Mobile 中是已知设备,并且与要求的策略相匹配,EAS 代理将只转发数据流到实际的电子邮件服务器。这可以确保更高的安全性,因为电子邮件服务器不需要从 Internet 访问,并且只有经过授权 (经过正确配置,如按密码原则) 的设备可以访问。此外,还可以配置 EAS 代理,以阻止来自特定设备的访问。

有两种类型的 EAS 代理:
  • Sophos Mobile 自动安装的内部 EAS 代理。它支持 Microsoft Exchange 或 IBM Notes Traveler for iOS 和 Samsung Knox 设备使用的传入 ActiveSync 数据流。
  • 可以下载并单独安装的独立 EAS 代理。它通过 HTTPS Web 接口与 Sophos Mobile 服务器通信。
警告: 有关如何将独立 EAS 代理集成到您的网络架构的信息,请参阅 Sophos Mobile 服务器部署指南。在设置独立 EAS 代理前,我们建议您先阅读该信息。
限制: 因为 macOS 不支持 ActiveSync 协议,因此您不能使用内部或独立的 EAS 代理来筛选来自 Mac 设备的电子邮件数据流。

有关独立 EAS 代理支持的邮件服务器的列表,请参阅Sophos Mobile 发行说明

功能

与内部版本相比,独立的 EAS 代理具有额外的功能:

  • 支持用于非 iOS 设备 (如 Android) 的 IBM Notes Traveler。用于这些设备的 Traveler 客户端使用内部 EAS 代理不支持的协议 (不是 ActiveSync)。
  • 支持多个 Microsoft Exchange 或 IBM Notes Traveler 电子邮件服务器。可以为每个电子邮件服务器设置一个 EAS 代理实例。
  • 支持负载平衡器。可以在多台计算机上设置独立的 EAS 代理实例,然后使用负载平衡器在它们中间分配客户端请求。
  • 支持基于证书的客户端身份验证。可以选择来自证书颁发机构 (CA) 的证书,客户端证书必须从该证书派生出来。
  • 支持通过 PowerShell 控制电子邮件访问。在这种方案下,EAS 代理服务通过 PowerShell 与电子邮件服务器进行通信,从而控制您的托管设备的电子邮件访问。电子邮件数据流将直接从设备传输到电子邮件服务器,不通过代理进行传输。请参阅通过 PowerShell 设置电子邮件访问控制
  • EAS 代理会记住设备状态 24 小时。如果 Sophos Mobile 服务器离线,例如在升级过程中,电子邮件数据流将根据最后已知的设备状态进行过滤。24 小时后,将阻止所有电子邮件数据流。
注: 对于非 iOS 设备,由于 IBM Notes Traveler 协议的要求,独立 EAS 代理的筛选能力会受到限制。非 iOS 设备上的 Traveler 客户端不会随每个请求发送设备 ID。即使 EAS 代理不能验证设备是否获得授权,不带设备 ID 的请求也会转发到 Traveler 服务器。