Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/esg/smc/9.7/admin/it-it/index.html?contextId=eee5f782-20b0-49d2-bcf1-476372bfe66a

Proxy EAS standalone

È possibile impostare un proxy di EAS per controllare l’accesso dei dispositivi gestiti a un server di posta. Il traffico e-mail dei dispositivi gestiti verrà reindirizzato attraverso il proxy specificato. È possibile bloccare l'accesso alle e-mail per i dispositivi, ad esempio nel caso in cui sia presente un dispositivo che viola una regola di conformità.

I dispositivi devono essere configurati in modo da utilizzare il proxy di EAS come server di posta elettronica per le e-mail in entrata e in uscita. Il proxy EAS inoltrerà il traffico al server di posta elettronica solamente se il dispositivo è noto a Sophos Mobile, e se soddisfa i criteri richiesti. Ciò garantisce un livello di sicurezza più elevato, in quanto non occorre che il server di posta sia accessibile da Internet, e può essere raggiunto solamente dai dispositivi autorizzati (configurati correttamente, ad es. seguendo linee guida per il passcode). Inoltre, è anche possibile configurare il proxy di EAS in modo che impedisca l'accesso da dispositivi specifici.

Esistono due tipi di proxy di EAS:

  • Il proxy di EAS interno, che viene installato automaticamente con Sophos Mobile. Supporta il traffico di ActiveSync in entrata che viene utilizzato da Microsoft Exchange o IBM Notes Traveler per dispositivi iOS e Samsung Knox.
  • Un proxy di EAS standalone, che può essere scaricato e installato separatamente. Comunica con il server di Sophos Mobile attraverso un'interfaccia web HTTPS.

Avviso

Per informazioni su come integrare il proxy EAS standalone nella propria architettura di rete, consultare la guida alla distribuzione per server di Sophos Mobile. Si consiglia di leggere le informazioni prima di procedere con la configurazione del proxy EAS standalone.

Restrizione

Poiché macOS non supporta il protocollo ActiveSync, non è possibile utilizzare il proxy di EAS interno o standalone per filtrare il traffico e-mail proveniente dai Mac.

Per un elenco dei server di posta supportati dal proxy di EAS standalone, vedere le Note di rilascio di Sophos Mobile.

Funzioni

Il proxy EAS standalone dispone di funzionalità aggiuntive rispetto alla versione interna:

  • Supporto di IBM Notes Traveler per dispositivi non iOS (ad esempio Android). Per questi dispositivi, il client di Traveler adopera un protocollo (non ActiveSync) che non è supportato dal proxy di EAS interno.
  • Supporto di server di posta elettronica Microsoft Exchange o IBM Notes Traveler multipli. È possibile impostare un'istanza di proxy di EAS per ciascun server di posta.
  • Supporto di bilanciatori del carico. È possibile impostare istanze di proxy di EAS standalone su computer diversi, per poi utilizzare un bilanciatore del carico per distribuire tra di esse le richieste del client.
  • Supporto dell'autenticazione al client basata su certificato. È possibile selezionare, da un'autorità di certificazione (CA), un certificato dal quale devono essere derivati i certificati client.
  • Supporto del controllo dell’accesso alle e-mail tramite PowerShell. In questo scenario, il servizio proxy EAS comunica con il server di posta tramite PowerShell per controllare l’accesso alle e-mail dei dispositivi gestiti. Il traffico e-mail si verifica direttamente tra i dispositivi e i server di posta, senza essere reindirizzato tramite un proxy. Vedere Impostazione del controllo dell’accesso alle e-mail tramite PowerShell.
  • Il proxy EAS ricorderà lo stato del dispositivo per 24 ore. Se il server di Sophos Mobile dovesse essere off-line, ad esempio in caso di upgrade, il traffico e-mail verrà filtrato in base all'ultimo stato conosciuto del dispositivo. Dopo 24 ore, l'intero traffico e-mail verrà bloccato.

Nota

Per i dispositivi non iOS, le capacità di filtraggio del proxy EAS standalone sono limitate per via delle specifiche del protocollo di IBM Notes Traveler. Sui dispositivi non iOS, i client di Traveler non inviano l’ID del dispositivo con tutte le richieste. Le richieste senza un ID del dispositivo verranno comunque inoltrate al server di Traveler, anche se il proxy EAS non dovesse essere in grado di verificare che il dispositivo è autorizzato.