Подключение автономных устройств

В этом разделе описано, как подключить автономные устройства к Серверу администрирования (то есть управляемые устройства, находящиеся вне основной сети).

Сценарий: Подключение автономных устройств через шлюз соединения

В этом сценарии описано, как подключить к Серверу администрирования управляемые устройства, находящиеся вне основной сети.

Предварительные требования

Сценарий имеет следующие предварительные требования:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут в корпоративной сети.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   Это устройство будет использоваться в качестве шлюза соединения. Выбранное устройство должно соответствовать требованиям для шлюзов соединения.

2. Установка Агента администрирования в роли шлюза соединения

   Для установки Агента администрирования на выбранное устройство рекомендуем использовать локальную установку.

   По умолчанию установочный файл находится по адресу: \\<Имя Сервера>\KLSHARE\PkgInst\NetAgent_<номер версии>.

   В окне Шлюз соединения мастера установки Агента администрирования выберите параметр Использовать в качестве шлюза соединения в демилитаризованной зоне. Этот режим одновременно активирует роль шлюза соединения и предписывает Агенту администрирования ждать соединений от Сервера администрирования, а не устанавливать соединения с Сервером администрирования.

   Также вы можете установить Агент администрирования на устройство под управлением Linux и настроить Агент администрирования для работы в качестве шлюза соединения. Обратите внимание на список ограничений Агента администрирования, работающего на устройствах под управлением Linux.

3. Разрешение соединения на сетевом экране шлюза соединения

   Чтобы Сервер администрирования мог подключаться к шлюзу соединения в демилитаризованной зоне, разрешите подключения к TCP-порту 13000 во всех сетевых экранах между Сервером администрирования и шлюзом соединения.

   Если шлюз соединения не имеет реального IP-адреса в интернете, но вместо этого расположен за Network Address Translation (далее также NAT), настройте правило для пересылки подключений через NAT.

4. Создание группы администрирования для внешних устройств

   Создайте группу внутри группы Управляемые устройства. Эта новая группа будет содержать внешние управляемые устройства.

5. Подключение шлюза соединения к Серверу администрирования

   Настроенный вами шлюз соединения ожидает соединения от Сервера администрирования. Однако Сервер администрирования не перечисляет устройство со шлюзом соединения среди управляемых устройств. Это связано с тем, что шлюз соединения не пытался установить соединение с Сервером администрирования. Следовательно, вам потребуется особая процедура, чтобы Сервер администрирования инициировал соединение со шлюзом соединения.

   Выполните следующие действия:

   1. Добавьте шлюз соединения в качестве точки распространения.
   2. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.

   Шлюз соединения подключен и настроен.

6. Подключение внешних настольных компьютеров к Серверу администрирования

   Обычно внешние настольные компьютеры не перемещаются внутрь периметра сети. Поэтому вам необходимо настроить их для подключения к Серверу администрирования через шлюз соединения при установке Агента администрирования.

7. Настройка обновлений для внешних настольных компьютеров

   Если обновления программ безопасности настроены на загрузку с Сервера администрирования, внешние компьютеры загружают обновления через шлюз соединения. Это имеет два недостатка:

   • Это лишний трафик, занимающий пропускную способность интернет-канала компании.
   • Это не обязательно самый быстрый способ получать обновления. Возможно для внешних компьютеров будет удобнее получать обновления с серверов обновлений "Лаборатории Касперского".

   Выполните следующие действия:

   1. Переместите все внешние компьютеры в отдельную группу администрирования, которую вы создали ранее.
   2. Исключить группу с внешними устройствами из задачи обновления.
   3. Создайте отдельную задачу обновления для группы с внешними устройствами.
8. Подключение ноутбуков к Серверу администрирования

   Иногда ноутбуки находятся внутри сети, а в другое время – вне сети. Для эффективного управления вам необходимо, чтобы они по-разному подключались к Серверу администрирования в зависимости от своего местоположения. Для эффективного использования трафика им также необходимо получать обновления из разных источников в зависимости от их местоположения.

   Вам необходимо настроить правила для автономных пользователей: профили подключения и описания сетевых расположений. Каждое правило определяет экземпляр Сервера администрирования, к которому должны подключаться ноутбуки в зависимости от их местоположения, и экземпляр Сервера администрирования, с которого они должны получать обновления.

Сценарий: подключение автономных устройств через подчиненный Сервер администрирования в демилитаризованной зоне

Если вы хотите подключить управляемые устройства, расположенные вне основной сети, к Серверу администрирования, вы можете сделать это с помощью подчиненного Сервера администрирования, расположенного в демилитаризованной зоне (DMZ).

Предварительные требования

Прежде чем приступать, убедитесь, что вы выполнили следующее:

• В сети вашей организации организована демилитаризованная зона (DMZ).
• Сервер администрирования Kaspersky Security Center развернут во внутренней сети организации.

Этапы

Этот сценарий состоит из следующих этапов:

1. Выбор клиентского устройства в демилитаризованной зоне

   В демилитаризованной зоне (DMZ) выберите клиентское устройство, которое будет использоваться в качестве подчиненного Сервера администрирования.

2. Установка Сервера администрирования Kaspersky Security Center.

   Установите Сервер администрирования Kaspersky Security Center на этом клиентском устройстве.

3. Создание иерархии Серверов администрирования

   Если вы размещаете подчиненный Сервер администрирования в демилитаризованной зоне, подчиненный Сервер администрирования должен принимать подключение от главного Сервера администрирования. Для этого добавьте новый Сервер администрирования в качестве подчиненного Сервера так, чтобы главный Сервер подключался к подчиненному Серверу по порту 13000. При объединении Серверов в иерархию необходимо, чтобы порт 13291 обоих Серверов был доступен. Через порт 13291 происходит подключение Консоли администрирования к Серверу администрирования.

4. Подключение автономных управляемых устройств к подчиненному Серверу администрирования

   Вы можете подключить автономные устройства к Серверу администрирования в демилитаризованной зоне аналогично тому, как устанавливается соединение между Сервером администрирования и управляемыми устройствами находящимися в основной сети. Автономные устройства инициируют подключение через порт 13000.

О подключении автономных устройств

Некоторые управляемые устройства, которые всегда находятся вне основной сети (например, компьютеры в региональных филиалах компании; киоски, банкоматы и терминалы, установленные в различных точках продаж; компьютеры в домашних офисах сотрудников), не могут быть подключены к Серверу администрирования напрямую. Некоторые устройства время от времени выходят за пределы периметра сети (например, ноутбуки пользователей, которые посещают региональные филиалы или офис клиента).

Вам по-прежнему необходимо отслеживать и управлять защитой устройств вне офиса – получать актуальную информацию об их статусе защиты и поддерживать программы безопасности на них в актуальном состоянии. Это необходимо, например, потому, что если такое устройство будет скомпрометировано, находясь вдали от основной сети, то оно может стать платформой для распространения угроз, как только подключится к основной сети. Для подключения автономных устройств к Серверу администрирования вы можете использовать два способа:

• Шлюз соединения в демилитаризованной зоне (DMZ).

  См. схему трафика данных: Сервер администрирования внутри локальной сети (LAN), управляемые устройства в интернете; использование шлюза соединения.

• Сервер администрирования в демилитаризованной зоне (DMZ)

  См. схему трафика данных: Сервер администрирования внутри демилитаризованной зоны (DMZ), управляемые устройства в интернете.

Шлюз соединения в демилитаризованной зоне

Рекомендуемый способ подключения автономных устройств к Серверу администрирования это создание демилитаризованной зоны в сети организации и установка шлюза соединения в демилитаризованной зоне. Внешние устройства будут подключаться к шлюзу соединения, а Сервер администрирования внутри сети инициирует подключение к устройствам через шлюз соединения.

По сравнению с другим способ этот является более безопасным:

• Вам не нужно открывать доступ к Серверу администрирования извне.
• Скомпрометированный шлюз соединения не представляет большого риска для безопасности сетевых устройств. Шлюз соединения ничем не управляет и не устанавливает никаких соединений.

Кроме того, шлюз соединения не требует много аппаратных ресурсов.

Однако этот способ имеет более сложный процесс настройки:

• Чтобы устройство выполняло роль шлюза соединения в демилитаризованной зоне, вам необходимо установить Агент администрирования и подключить его к Серверу администрирования особым образом.
• Вы не сможете использовать один и тот же адрес подключения к Серверу администрирования для ситуаций. С внешней стороны периметра вам нужно будет использовать не только другой адрес (адрес шлюза соединения), но и другой режим подключения: через шлюз соединения.
• Вам также необходимо определить разные параметры подключения для ноутбуков в разных месторасположениях.

Чтобы добавить шлюз соединения в ранее настроенную сеть:

1. Установите Агент администрирования в режиме шлюза соединения.
2. Переустановите Агент администрирования на устройствах, которые вы хотите подключить к вновь добавленному шлюзу соединения.

Сервер администрирования в демилитаризованной зоне (DMZ)

Другой способ это установка единого Сервера администрирования в демилитаризованной зоне.

Эта конфигурация менее безопасна, чем конфигурация первого способа. В этом случае для управления внешними ноутбуками Сервер администрирования должен принимать соединения с любого адреса из интернета. Сервер администрирования управляет всеми устройствами во внутренней сети, но из демилитаризованной зоны. Поэтому скомпрометированный Сервер может нанести огромный ущерб, несмотря на низкую вероятность такого события.

Риск значительно снижается, если Сервер администрирования в демилитаризованной зоне не управляет устройствами внутренней сети. Такая конфигурация может использоваться, например, поставщиком услуг для управления устройствами клиентов.

Вы можете использовать этот способ в следующих случаях:

• Если вы знакомы с установкой и настройкой Сервера администрирования и не хотите выполнять другую процедуру по установке и настройке шлюза соединения.
• Если вам нужно управлять большим количеством устройств. Максимальное количество устройств, которыми может управлять Сервер администрирования – 100 000 устройств, шлюз соединения может поддерживать до 10 000 устройств.

Это решение также имеет некоторые сложности:

• Серверу администрирования требуется больше аппаратных ресурсов и еще одна база данных.
• Информация об устройствах будет храниться в двух несвязанных между собой базах данных (для Сервера администрирования внутри сети и другой в демилитаризованной зоне), что усложняет контроль.
• Для управления всеми устройствами Сервер администрирования необходимо объединить в иерархию, что усложняет и контроль и управление. Экземпляр подчиненного Сервера администрирования накладывает ограничения на возможные структуры групп администрирования. Вам нужно решить, как и какие задачи и политики распространять на подчиненный Сервер администрирования.
• Настройка внешних устройств для использования Сервера администрирования в демилитаризованной зоне извне и для использования главного Сервера администрирования изнутри не проще, чем настройка подключения через шлюз.
• Высокие риски безопасности. Скомпрометированный Сервер администрирования упрощает взлом управляемых ноутбуков. Если это произойдет, хакерам просто нужно дождаться, пока один из ноутбуков вернется в корпоративную сеть, чтобы продолжить атаку на локальную сеть.

Подключение внешних настольных компьютеров к Серверу администрирования

Настольные компьютеры, которые всегда находятся вне основной сети (например, компьютеры в региональных филиалах компании; киоски, банкоматы и терминалы, установленные в различных точках продаж; компьютеры в домашних офисах сотрудников), не могут быть подключены к Серверу администрирования напрямую. Они должны быть подключены к Серверу администрирования через шлюз соединения, установленный в демилитаризованной зоне (DMZ). Такая конфигурация выполняется при установке Агента администрирования на эти устройства.

Чтобы подключить внешние настольные компьютеры к Серверу администрирования:

1. Создание инсталляционного пакета Агента администрирования.
2. Откройте свойства созданного инсталляционного пакета, перейдите в раздел Дополнительно и выберите параметр Подключаться к Серверу администрирования через шлюз соединения.

   Параметр Подключаться к Серверу администрирования через шлюз соединения несовместим с параметром Использовать в качестве шлюза соединения в демилитаризованной зоне. Вы не можете включить оба этих параметра одновременно.

3. Укажите адрес шлюза соединения в поле Адрес шлюза соединений.

   Если шлюз соединения расположен за Network Address Translation (NAT) и не имеет собственного общедоступного адреса, настройте правило шлюза NAT для перенаправления соединений с общедоступного адреса на внутренний адрес шлюза соединения.

4. Создайте автономный инсталляционный пакет на основе созданного инсталляционного пакета.
5. Доставьте автономный инсталляционный пакет на целевые компьютеры в электронном виде или на съемном диске.
6. Установите Агент администрирования из автономного инсталляционного пакета.

К Серверу администрирования подключены внешние настольные компьютеры.

О профилях соединения для автономных пользователей

При работе автономных пользователей, использующих ноутбуки (далее также "устройства"), может понадобиться изменить способ подключения к Серверу администрирования или переключиться между Серверами администрирования в зависимости от текущего положения устройства в сети.

Профили подключения поддерживаются только для устройств под управлением Windows и macOS.

Использование различных адресов одного и того же Сервера администрирования

Устройства с установленным Агентом администрирования могут в разные периоды времени подключаться к Серверу администрирования как из внутренней сети организации, так и из интернета. В этой ситуации может потребоваться, чтобы Агент администрирования использовал различные адреса для подключения к Серверу администрирования: внешний адрес Сервера при подключении из интернета и внутренний адрес Сервера при подключении из внутренней сети.

Для этого в свойствах политики Агента администрирования нужно добавить профиль для подключения к Серверу администрирования из интернета. Добавьте профиль в свойствах политики (раздел Подключения, вложенный раздел Профили соединений). В окне создания профиля необходимо выключить параметр Использовать только для получения обновлений и выбрать параметр Синхронизировать параметры подключения с параметрами Сервера, указанными в этом профиле. Если для доступа к Серверу администрирования используется шлюз соединений (например, в конфигурации Kaspersky Security Center, описанной в разделе Доступ из интернета: Агент администрирования в качестве шлюза соединения в демилитаризованной зоне), в профиле подключения следует указать адрес шлюза соединения в соответствующем поле.

Переключение между Серверами администрирования в зависимости от текущей сети

Если в организации несколько офисов с различными Серверами администрирования и между ними перемещается часть устройств с установленным Агентом администрирования, то необходимо, чтобы Агент администрирования подключался к Серверу администрирования локальной сети того офиса, в котором находится устройство.

В этом случае в свойствах политики Агента администрирования следует создать профиль подключения к Серверу администрирования для каждого из офисов, за исключением домашнего офиса, в котором расположен исходный домашний Сервер администрирования. В профилях подключения следует указать адреса соответствующих Серверов администрирования и выбрать либо выключить параметр Использовать только для получения обновлений:

• выбрать параметр, если требуется, чтобы Агент администрирования синхронизировался с домашним Сервером администрирования, а локальный Сервер использовался только для загрузки обновлений;
• выключить параметр, если необходимо, чтобы Агент администрирования полностью управлялся локальным Сервером администрирования.

Далее необходимо настроить условия переключения на созданные профили: не менее одного условия для каждого из офисов, исключая "домашний офис". Смысл каждого такого условия заключается в обнаружении в сетевом окружении деталей, присущих одному из офисов. Если условие становится истинным, происходит активация соответствующего профиля. Если ни одно из условий не является истинным, Агент администрирования переключается на домашний Сервер администрирования.

Создание профиля соединения для автономных пользователей

Развернуть все | Свернуть все

Подключение профиля Агента администрирования к Серверу администрирования доступно только для устройств под управлением операционной системы Windows и macOS.

Чтобы создать профиль подключения Агента администрирования к Серверу администрирования для автономных пользователей:

1. В дереве консоли выберите группу администрирования для клиентских устройств, которой требуется создать профиль подключения Агента администрирования к Серверу.
2. Выполните одно из следующих действий:
   • Если вы хотите создать профиль подключения для всех устройств группы, в рабочей области группы на закладке Политики выберите политику Агента администрирования. Откройте окно свойств выбранной политики.
   • Если вы хотите создать профиль подключения для выбранного устройства в составе группы, в рабочей области группы на закладке Устройства выберите устройство и выполните следующие действия:
     1. Откройте окно свойств выбранного устройства.
     2. В разделе Программы окна свойств устройства выберите Агент администрирования.
     3. Откройте окно свойств Агента администрирования.
3. В окне свойств в разделе Подключения выберите вложенный раздел Профили соединений.
4. В блоке Профили подключения к Серверу администрирования нажмите на кнопку Добавить.

   По умолчанию список профилей подключения содержит профили <Офлайн-режим> и <Домашний Сервер администрирования>. Профили недоступны для изменения и удаления.

   В профиле <Офлайн-режим> не указывается Сервер для подключения. При переходе к этому профилю Агент администрирования не пытается подключиться к какому-либо Серверу, а установленные на клиентских устройствах программы используют политики для автономных пользователей. Профиль <Офлайн-режим> применяется в условиях отключения устройств от сети.

   В профиле <Домашний Сервер администрирования> указан Сервер для подключения, который был задан при установке Агента администрирования. Профиль <Домашний Сервер администрирования> применяется в условиях, когда устройство, которое работало в другой сети, вновь подключается к домашнему Серверу администрирования.

5. В открывшемся окне Новый профиль настройте параметры профиля подключения:
   • Название профиля.

     В поле ввода можно просмотреть или изменить имя профиля подключения.

   • Сервер администрирования

     Адрес Сервера администрирования, к которому должно подключаться клиентское устройство при активации профиля.

   • Порт

     Номер порта, по которому будет выполняться подключение.

   • SSL-порт

     Номер порта, по которому будет осуществляться подключение с использованием SSL-протокола.

   • Использовать SSL

     Если этот параметр включен, подключение будет выполняться через защищенный порт (с использованием SSL-протокола).

     По умолчанию параметр включен. Чтобы ваше соединение оставалось безопасным, рекомендуется не выключать этот параметр.

   • По ссылке Настроить подключение через прокси-сервер настройте параметры профиля подключения через прокси-сервер. Выберите параметр Использовать прокси-сервер, если требуется использовать прокси-сервер для подключения к интернету. Если параметр выбран, доступны поля ввода параметров. Настройте следующие параметры подключения к прокси-серверу:
     • Адрес прокси-сервера

       Адрес прокси-сервера для подключения Kaspersky Security Center к интернету.

     • Номер порта

       Номер порта, через который будет установлено прокси-подключение Kaspersky Security Center.

     • Аутентификация на прокси-сервере

       Если флажок установлен, в полях ввода можно указать учетные данные для аутентификации на прокси-сервере.

       Поле ввода доступно, если установлен флажок Использовать прокси-сервер.

     • Имя пользователя (поле доступно, если выбран параметр Аутентификация на прокси-сервере)

       Учетная запись пользователя, от имени которого будет выполняться подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

     • Пароль (поле доступно, если выбран параметр Аутентификация на прокси-сервере)

       Пароль пользователя, с помощью учетной записи которого выполняется подключение к прокси-серверу (поле доступно, если установлен флажок Аутентификация на прокси-сервере).

       Чтобы посмотреть введенный пароль, нажмите на кнопку Показать и удерживайте ее необходимое вам время.

   • Параметры шлюза соединения

     Адрес шлюза, через который устанавливается соединение клиентских устройств с Сервером администрирования.

   • Включить автономный режим

     Если параметр включен, при подключении через этот профиль программы, установленные на клиентском устройстве, будут использовать профили политик для устройств, находящихся в автономном режиме, и политики для автономных пользователей. В случае, если для программы политика для автономных пользователей не определена, программа будет использовать активную политику.

     Если параметр выключен, программы будут использовать активные политики.

     По умолчанию параметр выключен.

   • Использовать только для получения обновлений

     Если этот параметр включен, профиль будет использоваться только при загрузке обновлений программами, установленными на клиентском устройстве. Для остальных операций подключение к Серверу администрирования будет выполняться с исходными параметрами подключения, заданными при установке Агента администрирования.

     По умолчанию параметр включен.

   • Синхронизировать параметры подключения с параметрами Сервера, указанными в этом профиле

     Если этот параметр включен, Агент администрирования подключается к Серверу администрирования, используя параметры, указанные в свойствах профиля.

     Если этот параметр выключен, Агент администрирования подключается к Серверу, используя исходные параметры, указанные при установке.

     Параметр доступен, если параметр Использовать только для получения обновлений выключен.

     По умолчанию параметр выключен.

6. Выберите параметр Включить автономный режим, когда Сервер администрирования недоступен, чтобы при подключении программы, установленные на клиентском устройстве, использовали профили политик для устройств, находящихся в автономном режиме, и политики для автономных пользователей, если Сервер администрирования недоступен. В случае, если для программы политика для автономных пользователей не определена, программа будет использовать активную политику.

В результате будет создан профиль подключения Агента администрирования к Серверу администрирования для автономных пользователей. При подключении Агента администрирования к Серверу через этот профиль программы, установленные на клиентском устройстве, будут использовать политики для устройств, находящиеся в автономном режиме, или политики для автономных пользователей.

О переключении Агента администрирования на другой Сервер администрирования

Исходные параметры подключения Агента администрирования к Серверу задаются при установке Агента администрирования. Для переключения Агента администрирования на другие Серверы администрирования можно использовать правила переключения. Эта функция поддерживается только для Агентов администрирования, установленных на устройствах под управлением Windows или macOS.

Правила переключения могут срабатывать при изменении следующих параметров сети:

• Адрес шлюза соединений по умолчанию.
• IP-адрес DHCP-сервера (Dynamic Host Configuration Protocol) в сети.
• DNS-суффикс подсети.
• IP-адрес DNS-сервера в сети.
• Доступность домена Windows. Этот параметр доступен только для устройств с операционными системами Windows.
• Адрес и маска подсети.
• IP-адрес WINS-сервера в сети. Этот параметр доступен только для устройств с операционными системами Windows.
• DNS-имя или NetBIOS-имя клиентского устройства.
• Доступность адреса SSL-соединения.

Если сформированы правила переключения Агента администрирования на другие Серверы администрирования, Агент реагирует на изменение параметров сети следующим образом:

• Если характеристики сети соответствуют одному из сформированных правил, Агент администрирования подключается к указанному в этом правиле Серверу администрирования. Если это задано правилом, установленные на клиентских устройствах программы переходят на политики для автономных пользователей.
• Если ни одно из правил не выполняется, Агент администрирования возвращается к исходным параметрам подключения к Серверу администрирования, заданным при установке. Установленные на клиентских устройствах программы возвращаются к активным политикам.
• Если Сервер администрирования недоступен, Агент администрирования использует политики для автономных пользователей.

Агент администрирования переключается на политику для автономных пользователей, только если параметр Включить автономный режим, когда Сервер администрирования недоступен включен в параметрах политики Агента администрирования.

Параметры подключения Агента администрирования к Серверу администрирования сохраняются в профиле подключения. В профиле подключения вы можете создавать правила перехода клиентских устройств на политики для автономных пользователей, а также настраивать профиль таким образом, чтобы он использовался только для загрузки обновлений.

Создание правила переключения Агента администрирования по сетевому местоположению

Развернуть все | Свернуть все

Переключение Агента администрирования доступно только для устройств под управлением операционной системы Windows и macOS.

Чтобы создать правило для переключения Агента администрирования с одного Сервера администрирования на другой при изменении характеристик сети:

1. В дереве консоли выберите группу администрирования, для устройств которой требуется создать правило переключения Агента администрирования по описанию сетевого местоположения.
2. Выполните одно из следующих действий:
   • Если вы хотите создать правило для всех устройств группы, в рабочей области группы на закладке Политики выберите политику Агента администрирования. Откройте окно свойств выбранной политики.
   • Если вы хотите создать правило для выбранного устройства группы, в рабочей области группы на закладке Устройства выберите устройство и выполните следующие действия:
     1. Откройте окно свойств выбранного устройства.
     2. В разделе Программы окна свойств устройства выберите Агент администрирования.
     3. Откройте окно свойств Агента администрирования.
3. В открывшемся окне Свойства в разделе Подключения выберите вложенный раздел Профили соединений.
4. В разделе Параметры сетевого местоположения нажмите на кнопку Добавить.
5. В открывшемся окне Новое описание настройте параметры описания сетевого местоположения и правила переключения. Настройте следующие параметры описания сетевого местоположения:
   • Имя описания сетевого местоположения

     Имя описания сетевого местоположения не может превышать 255 символов и содержать специальные символы ("*<>?\/:|).

   • Использовать профиль подключения

     В раскрывающемся списке можно выбрать профиль подключения Агента администрирования к Серверу администрирования. Профиль будет использоваться при выполнении условий описания сетевого местоположения. Профиль подключения содержит параметры подключения Агента администрирования к Серверу администрирования и определяет переход клиентских устройств на политики для автономных пользователей. Профиль используется только для загрузки обновлений.

6. В блоке Условия переключения нажмите на кнопку Добавить, чтобы сформировать список условий описания сетевого местоположения.

   Условия правила объединяются с использованием логического оператора AND. Чтобы правило переключения по описанию сетевого местоположения сработало, все условия переключения правила должны быть выполнены.

7. В раскрывающемся списке выберите значение, соответствующее изменению характеристики сети, к которой подключено клиентское устройство:
   • Адрес шлюза соединения по умолчанию – изменение основного шлюза сети.
   • Адрес DHCP-сервера – изменение IP-адреса DHCP-сервера (Dynamic Host Configuration Protocol) в сети.
   • DNS-домен – изменение DNS-суффикса подсети.
   • Адрес DNS-сервера – изменение IP-адреса DNS-сервера в сети.
   • Доступность Windows-домена (только Windows) – изменение статуса Windows-домена, к которому подключено клиентское устройство. Используйте этот параметр только для устройств под управлением Windows.
   • Подсеть – изменение адреса и маски подсети.
   • Адрес WINS-сервера (только Windows) – изменение IP-адреса WINS-сервера в сети. Используйте этот параметр только для устройств под управлением Windows.
   • Разрешимость имен – у клиентского устройства изменилось NetBIOS-имя или DNS-имя.
   • Доступность адреса SSL-соединения – клиентское устройство может или не может (в зависимости от выбранного вами параметра) установить SSL-соединение с Сервером (имя:порт). Для каждого Сервера вы можете дополнительно указать SSL-сертификат. В этом случае Агент администрирования проверяет сертификат Сервера администрирования в дополнение к проверке возможности SSL-соединения. Если сертификаты не совпадают, соединение не устанавливается.
8. В открывшемся окне укажите значение условия переключения Агента администрирования на другой Сервер администрирования. Название окна зависит от выбора значения на предыдущем шаге. Настройте следующие параметры условия переключения:
   • Значение

     В поле можно добавить одно или несколько значений для создаваемого условия.

   • Соответствует хотя бы одному значению списка

     Если выбран этот вариант, условие будет выполняться при любом из значений, указанных в списке Значение.

     По умолчанию выбран этот вариант.

   • Не соответствует ни одному из значений списка

     Если выбран этот вариант, условие будет выполняться, если его значение отсутствует в списке Значение.

9. В окне Новое описание выберите параметр Описание активно, чтобы включить использование нового описания сетевого местоположения.

В результате будет создано правило переключения по описанию сетевого местоположения, при выполнении условий которого Агент администрирования будет использовать для подключения к Серверу администрирования указанный в описании профиль подключения.

Описания сетевого местоположения проверяются на соответствие характеристикам сети в том порядке, в котором они представлены в списке. Если характеристики сети соответствуют нескольким описаниям, будет использоваться первое из них. Вы можете изменить порядок следования правил в списке с помощью кнопок Вверх () и Вниз ().