Контроль соответствия iOS MDM-устройств требованиям корпоративной безопасности

Развернуть всё | Свернуть всё

Контроль соответствия позволяет контролировать соблюдение требований корпоративной безопасности на iOS MDM-устройствах и принимать меры в случае обнаружения несоответствия требованиям. Контроль соответствия работает на основе списка правил. Каждое правило содержит следующие компоненты:

• статус (правило включено или выключено);
• критерии несоответствия (например, отсутствие указанных приложений или версия операционной системы на устройстве);
• действия, выполняемые на устройстве, если обнаружено несоответствие (например, удалить корпоративные данные или отправить пользователю сообщение электронной почты).

Чтобы создать правило:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Контроль соответствия.
5. В разделе Правила Контроля соответствия нажмите Добавить.

   Запустится мастер создания правила контроля соответствия.

6. Установите флажок Включить правило, если хотите включить правило. Если флажок снят, правило выключено.
7. На закладке Критерии несоответствия нажмите Добавить критерий и выберите критерий несоответствия для правила. Вы можете добавить несколько критериев. Их можно объединить с помощью логического оператора "И".

   Доступны следующие критерии:

   • Список приложений на устройстве

     Проверяет список приложений на устройстве на наличие запрещенных приложений или на отсутствие обязательных приложений.

     Для этого критерия необходимо выбрать тип проверки (содержит или не содержит) и указать идентификатор пакета приложения. Как получить идентификатор пакета приложения

     Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

     Следуйте инструкциям в документации Apple.

     Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

     1. Откройте App Store.
     2. Найдите нужное приложение и откройте его страницу.

        URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

     3. Скопируйте этот идентификатор (без букв "id").
     4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

        Будет загружен текстовый файл.

     5. Откройте загруженный файл и найдите в нем "bundleId".

     Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

     Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

     1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
     2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

     В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

     Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

   • Версия операционной системы

     Проверяет версию операционной системы на устройстве.

     Для этого критерия необходимо выбрать оператор сравнения (Равно, Не равно, Меньше, Меньше или равно, Больше или Больше или равно) и указать версию iOS.

     Операторы равно и не равно проверяют полное соответствие версии операционной системы указанному значению. Например, если в правиле указать версию 15, а устройство работает на iOS 15.2, то условие равно не будет выполнено. Если необходимо указать диапазон версий, вы можете создать два критерия, использовав операторы меньше и больше.

   • Режим управления

     Проверяет режим управления устройством.

     Для этого критерия необходимо выбрать режим (Устройство в режиме supervised или Неконтролируемое устройство).

   • Тип устройства

     Проверяет тип устройства.

     Для этого критерия необходимо выбрать тип устройства (iPhone или iPad).

   • Модель устройства

     Проверяет модель устройства.

     Для этого критерия необходимо выбрать оператор (Входит в список или Не входит в список) и перечислить модели, которые будут проверяться или исключаться из проверки соответственно.

     Чтобы указать модель, введите хотя бы один символ в поле Идентификатор и выберите нужную модель из появившегося списка. Список содержит коды мобильных устройств и соответствующие им публичные названия. Например, чтобы добавить все модели iPhone 14, введите "iPhone 14". В этом случае можно выбрать любую из доступных моделей: "iPhone 14", "iPhone 14 Plus", "iPhone 14 Pro", "iPhone 14 Pro Max".

     В некоторых случаях одно публичное название может соответствовать нескольким кодам мобильных устройств (например, публичное название "iPhone 7" соответствует двум кодам мобильных устройств – "iPhone 9.1" и "iPhone 9.3"). Убедитесь, что выбрали все коды мобильных устройств, которые соответствуют нужным моделям.

     При вводе значения, отсутствующего в списке, ничего не будет найдено. Тем не менее, вы можете нажать на кнопку OK и добавить введенное значение к критерию.

   • Устройство находится в роуминге

     Проверяет, находится устройство в роуминге (если выбрано Да) или нет (если выбрано Нет).

   • Пароль устройства установлен

     Проверяет, установлен пароль (если выбрано Да) или нет (если выбрано Нет).

     При выборе Да, укажите, должен ли пароль устройства соответствовать (при выборе Соответствует политике) или не соответствовать (при выборе Не соответствует политике) параметрам, указанным в разделе Параметры пароля.

   • Свободное пространство

     Проверяет, является ли объем свободного пространства на устройстве меньше указанного порога.

     Для этого критерия укажите пороговое значение свободного пространства и выберите единицу измерения (ГБ или МБ).

   • Устройство не зашифровано

     Проверяет, зашифровано ли устройство.

     На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки > Touch ID и пароль / Face ID и пароль > Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: в дереве консоли выберите Дополнительно > Управление мобильными устройствами > Мобильные устройства и дважды щелкните мышью по нужному устройству).

   • SIM-карта заменена

     Проверяет, была ли SIM-карта устройства заменена, вставлена или извлечена относительно предыдущего состояния проверки.

     Вы также можете включить проверку установки дополнительной SIM-карты.

     На устройствах, совместимых с eSIM, обнаруженное несоответствие невозможно удалить, вставив ранее удаленную eSIM. Это связано с тем, что операционная система устройства распознает каждую добавленную карту eSIM как новую. В этом случае вам необходимо удалить правило Контроля соответствия из политики.

   • Не синхронизировалось дольше, чем

     Проверяет, как давно устройство синхронизировалось с Сервером администрирования последний раз.

     Для этого критерия укажите максимальное время с момента последней синхронизации и выберите единицы измерения (часы или дни).

     Мы не рекомендуем указывать значение меньше значения параметра Частота обновления информации об устройстве в настройках Сервера iOS MDM.

   Если указаны противоречащие друг другу критерии (например, в поле Тип устройства указано значение iPhone, выбран оператор Входит в список, а в списке значений Модель устройства указана модель iPad), отобразится сообщение об ошибке. Такое правило сохранить невозможно.

8. На закладке Действия укажите действия, которые будут выполняться на устройстве при обнаружении всех указанных критериев несоответствия.

   Действия выполняются во время проверки соблюдения правил соответствия (1 раз в 40 минут) до следующей синхронизации с Сервером администрирования. Чтобы одно и то же несоответствие не обнаруживалось при каждом выполнении повторяющихся действий, в настройках Сервера iOS MDM для параметра Частота обновления информации об устройстве установите значение 30 минут.

   Добавить действие можно одним из следующих способов:

   • Нажмите кнопку Добавить действие, если действие должно быть выполнено на устройстве сразу после обнаружения несоответствия.
   • Нажмите кнопку Добавить отложенное действие, если вы хотите установить период времени, в течение которого пользователь может устранить несоответствие. Если несоответствие не будет устранено в течение указанного периода, на устройстве будет выполнено действие.

   Доступны следующие действия:

   • Отправить сообщение пользователю

     Пользователь устройства будет проинформирован о несоответствии по электронной почте.

     Для этого действия необходимо указать адрес(-а) электронной почты пользователя. При необходимости можно отредактировать заданный по умолчанию текст сообщения электронной почты.

   • Удалить корпоративные данные

     Будут удалены все установленные конфигурационные профили, provisioning-профили, iOS MDM-профиль и приложения, для которых был установлен флажок Удалять вместе с iOS MDM-профилем. Действие выполняется с помощью отправки команды Удалить корпоративные данные.

   • Установить профиль

     Конфигурационный профиль будет установлен на устройстве. Действие выполняется с помощью отправки команды Установить профиль.

     Для этого действия необходимо указать идентификатор устанавливаемого конфигурационного профиля.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   • Удалить профиль

     Конфигурационный профиль будет удален с устройства. Действие выполняется с помощью отправки команды Удалить профиль.

     Для этого действия необходимо указать идентификатор удаляемого конфигурационного профиля.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   • Удалить все профили

     Все ранее установленные конфигурационные профили будут удалены с устройства.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные конфигурационные профили один за другим, отправив устройству соответствующую команду.

   • Обновить ОС

     Операционная система устройства обновлена.

     Для этого действия необходимо выбрать конкретную операцию (Загрузить и установить, Только загрузить или Только установить, чтобы установить ранее загруженную версию) и версию iOS для загрузки и/или установки.

   • Изменить настройки Bluetooth (только для supervised)

     Для этого действия необходимо выбрать, требуется ли включить или отключить Bluetooth на устройстве.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   • Сбросить настройки до заводских

     Удалены все данные с устройства, настройки устройства сброшены до установленных по умолчанию.

   • Удалить управляемое приложение

     Для этого действия необходимо указать идентификатор пакета управляемого приложения, которое требуется удалить с устройства. Приложение считается управляемым, если оно установлено на устройство с помощью Kaspersky Security Center. Как получить идентификатор пакета приложения

     Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

     Следуйте инструкциям в документации Apple.

     Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

     1. Откройте App Store.
     2. Найдите нужное приложение и откройте его страницу.

        URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

     3. Скопируйте этот идентификатор (без букв "id").
     4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

        Будет загружен текстовый файл.

     5. Откройте загруженный файл и найдите в нем "bundleId".

     Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

     Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

     1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
     2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

     В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

     Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   • Удалить все управляемые приложения

     Все управляемые приложения удаляются с устройства. Приложение считается управляемым, если оно установлено на устройство с помощью Kaspersky Security Center.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные приложения одно за другим, отправив устройству соответствующую команду.

   • Удалить профиль(и) указанного типа

     Для этого действия необходимо выбрать тип профиля, удаляемого с устройства (например, Веб-клипы или Подписки на календари).

     Как только критерии несоответствия правилу перестанут обнаруживаться на устройстве, удаленные профили автоматически восстановятся.

   • Изменить параметры роуминга

     Для этого действия необходимо выбрать, требуется ли включить или отключить роуминг данных на устройстве.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   Если указаны противоречащие друг другу действия (например, Включить Bluetooth и Отключить Bluetooth одновременно), отобразится сообщение об ошибке. Такое правило сохранить невозможно.

9. Нажмите на кнопку OK, чтобы сохранить правило и закрыть мастер.

   Новое правило появится в списке в разделе Правила Контроля соответствия.

10. В блоке Действия при удалении пользователей из Active Directory можно выбрать действия, которые будут выполняться на устройствах при удалении пользователей из Active Directory.

    Для этих настроек необходима интеграция с Microsoft Active Directory.

    Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из следующих действий:

    • Удалить корпоративные данные
    • Сбросить настройки до заводских

    Если вы используете профили политики, убедитесь, что вы выставили опцию удаления данных на всю политику. После удаления пользователя из Active Directory он в первую очередь удалится из группы пользователей Active Directory. Из-за того что профиль политики перестанет действовать на аккаунт пользователя, данные не удалятся с устройства.

11. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.