Управление мобильными устройствами

Управление защитой мобильными устройствами через Kaspersky Security Center выполняется с помощью компонента Управление мобильными устройствами. Если вы планируете управлять мобильными устройствами, принадлежащими сотрудникам вашей организации, вы должны включить Управление мобильными устройствами.

В этом разделе приведены инструкции по включению, настройке и отключению Управления мобильными устройствами. В этом разделе также описано управление мобильными устройствами, подключенными к Серверу администрирования.

Подробнее о Kaspersky Security для мобильных устройств см. в справке Kaspersky Security для мобильных устройств.

Сценарий: развертывание Управления мобильными устройствами

В этом разделе приведен сценарий для настройки возможностей Управления мобильными устройствами в Kaspersky Security Center.

Предварительные требования

Убедитесь, что ваша лицензия предоставляет доступ к возможностям Управления мобильными устройствами.

Этапы

Развертывание возможностей Управления мобильными устройствами состоит из следующих этапов:

1. Подготовка портов

   Убедитесь, что на Сервере администрирования доступен порт 13292. Этот порт требуется для подключения мобильных устройств. Также вы можете сделать доступным порт 17100. Этот порт требуется только для активации прокси-сервера для управляемых мобильных устройств; если управляемые мобильные устройства имеют доступ в интернет, этот порт доступным делать не требуется.

2. Включение Управления мобильными устройствами

   Вы можете включить Управление мобильными устройствами во время запуска мастера первоначальной настройки Сервера администрирования или позже.

3. Указание внешнего адреса Сервера администрирования

   Вы можете указать внешний адрес во время запуска мастера первоначальной настройки Сервера администрирования или позже. Если вы не выбрали Управление мобильными устройствами для установки и не указали адрес в мастере установки программы, укажите внешний адрес в свойствах инсталляционного пакета.

4. Добавление мобильных устройств в группу Управляемые устройства

   Добавьте мобильные устройства в группу Управляемые устройства, чтобы управлять этими устройствами с помощью политик. Вы можете создать правило перемещения на одном из шагов мастера первоначальной настройки Сервера администрирования. Также вы можете создать правило перемещения позже. Если вы не создадите такое правило, вы можете добавить мобильные устройства в группу Управляемые устройства вручную.

   Вы можете добавить мобильные устройства в группу Управляемые устройства напрямую или создать для них подгруппу (или несколько подгрупп).

   Позже, в любое время вы можете подключить новое мобильное устройство к Серверу администрирования с помощью мастера подключения нового мобильного устройства.

5. Создание политики для мобильных устройств

   Чтобы управлять мобильными устройствами, создайте политику (или несколько политик) для этих устройств в группе, к которой они принадлежат. Вы можете изменить параметры политики в любое время.

Результаты

После завершения сценария вы сможете управлять устройствами Android и iOS, используя Kaspersky Security Center. Вы можете работать с сертификатами мобильных устройств и отправлять команды на мобильные устройства.

О групповых политиках для управления iOS MDM и EAS-устройствами

Для управления iOS MDM и EAS-устройствами вы можете использовать плагин управления Kaspersky Device Management для iOS, входящий в комплект поставки Kaspersky Security Center. Kaspersky Device Management для iOS позволяет создавать групповые политики для настройки конфигурационных параметров iOS MDM и EAS-устройств без использования iPhone Configuration Utility и профиля управления Exchange ActiveSync.

Групповая политика для управления iOS MDM и EAS-устройствами позволяет администратору:

• Для управления EAS-устройствами:
  • настраивать параметры пароля для разблокирования устройства;
  • настраивать хранение данных на устройстве в зашифрованном виде;
  • настраивать параметры синхронизации корпоративной почты;
  • настраивать аппаратные функции мобильных устройств, например, использование съемных дисков, использование камеры, использование Bluetooth;
  • настраивать ограничения для использования мобильных приложений на устройстве.
• Для управления iOS MDM-устройствами:
  • настраивать параметры безопасности использования пароля на устройстве;
  • настраивать ограничения для использования аппаратных функций устройства, а также ограничения на установку, удаление мобильных приложений;
  • настраивать ограничения для использования на устройстве встроенных мобильных приложений, например, YouTube, iTunes Store или Safari;
  • настраивать ограничения просмотра медиаконтента (например, фильмов и тв-шоу) по региону местоположения устройства;
  • настраивать параметры подключения устройства к интернету через прокси-сервер (Глобальный HTTP-прокси);
  • настраивать параметры единой учетной записи, с помощью которой пользователь может получить доступ к корпоративным программам и сервисам (технология единого входа);
  • контролировать использование интернета (посещение веб-сайтов) на мобильных устройствах;
  • настраивать параметры беспроводных сетей (Wi-Fi), точек доступа (APNs), виртуальных частных сетей (VPN) с использованием различных механизмов аутентификации и сетевых протоколов;
  • настраивать параметры подключения к устройствам AirPlay для потоковой передачи фотографий, музыки и видео;
  • настраивать параметры подключения к принтерам AirPrint для печати документов с устройства беспроводным способом;
  • настраивать параметры синхронизации с сервером Microsoft Exchange, а также учетные записи пользователей для использования корпоративной почты на устройствах;
  • настраивать учетные данные пользователя для синхронизации со службой каталогов LDAP;
  • настраивать учетные данные пользователя для подключения к сервисам CalDAV и CardDAV, что позволяет пользователю использовать корпоративные календари и списки контактов;
  • настраивать параметры интерфейса iOS на устройстве пользователя, например, шрифты или иконки для избранных веб-сайтов;
  • добавлять новые сертификаты безопасности на устройство;
  • настраивать параметры SCEP-сервера (Simple Certificate Enrollment Protocol) для автоматического получения устройством сертификатов из Центра сертификации;
  • добавление собственных параметров для работы мобильных приложений.

Особенностью политики управления iOS MDM и EAS-устройствами является то, что она назначается группе администрирования, в которую входят Сервер iOS MDM и Сервер мобильных устройств Exchange ActiveSync (далее "серверы мобильных устройств"). Все параметры, заданные в этой политике, сначала распространяются на серверы мобильных устройств, затем на мобильные устройства, которыми управляют эти серверы. В случае использования иерархической структуры групп администрирования подчиненные серверы мобильных устройств получают параметры политики от главных серверов мобильных устройств и распространяют их на мобильные устройства.

Дополнительную информацию об использовании групповой политики для управления iOS MDM и EAS-устройствами с помощью Консоли администрирования Kaspersky Security Center см. в справке Kaspersky Security для мобильных устройств.

Включение Управления мобильными устройствами

Развернуть все | Свернуть все

Для управления мобильными устройствами необходимо включить Управление мобильными устройствами. Если вы не включили Управление мобильными устройствами в мастере первоначальной настройки, вы можете сделать это позже. Управление мобильными устройствами требует лицензии.

Включение Управления мобильными устройствами доступно только на главном Сервере администрирования.

Чтобы включить Управление мобильными устройствами:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. По кнопке Включить Управление мобильными устройствами в рабочей области папки запустите мастер создания задачи. Эта кнопка доступна, только если вы ранее не включали Управление мобильными устройствами.

   Отобразится окно Дополнительные компоненты мастера первоначальной настройки Сервера администрирования.

3. Для управления мобильными устройствами выберите Включить Управление мобильными устройствами.
4. В окне Выбор способа активации программы произведите активацию программы с помощью файла ключа или кода активации.

   Управление мобильными устройствами будет недоступно, пока вы не активируете возможность Управления мобильными устройствами.

5. На странице Параметры прокси-сервера для получения доступа в интернет установите флажок Использовать прокси-сервер, если вы хотите использовать прокси-сервер для подключения к интернету. Если флажок установлен, становятся доступны поля ввода параметров. Настройте параметры подключения к прокси-серверу.
6. На странице Проверка обновлений для плагинов и инсталляционных пакетов выберите один из следующих вариантов:
   • Проверить актуальность плагинов и инсталляционных пакетов

     Запуск проверки на актуальность. Если проверка обнаружит использование устаревших версий плагинов или инсталляционных пакетов, мастер предложит загрузить актуальные версии вместо устаревших.

   • Пропустить проверку

     Продолжение работы без проверки плагинов и инсталляционных пакетов на актуальность. Этот вариант можно выбрать, например, если у вас нет доступа в интернет или вы по какой-то причине хотите продолжить пользоваться устаревшей версией программы.

     Пропуск проверки актуальности плагинов может привести к некорректной работе программы.

7. В окне Доступные последние версии плагинов загрузите и установите последние версии плагинов на необходимом вам языке. Для обновления плагина не требуется лицензии.

   После установки плагинов и пакетов программа проверяет, все ли необходимые плагины для корректной работы мобильных устройств были установлены. Если обнаружатся устаревшие версии плагинов, то мастер предложит загрузить актуальные версии вместо устаревших.

8. На странице Параметры подключения мобильных устройств настройте порты Сервера администрирования Сервера администрирования.

После завершения работы мастера будут выполнены следующие изменения:

• создана политика Kaspersky Endpoint Security для Android;
• создана политика Kaspersky Device Management для iOS;
• открыты порты Сервера администрирования для мобильных устройств.

Изменение параметров Управления мобильными устройствами

Развернуть все | Свернуть все

Чтобы включить поддержку мобильных устройств:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В рабочей области папки перейдите по ссылке Порты подключения для мобильных устройств.

   Отобразится раздел Дополнительные порты окна свойств Сервера администрирования.

3. В разделе Дополнительные порты измените необходимые вам параметры:
   • SSL-порт для прокси-сервера активации
   • Открыть порт для мобильных устройств

     Открывается порт, по которому мобильные устройства будут подключаться к Серверу лицензирования. Вы можете задать номер порта и другие настройки в полях ниже.

     По умолчанию параметр включен.

   • Порт для синхронизации мобильных устройств

     Номер порта, по которому мобильные устройства подключаются к Серверу администрирования и обмениваются с ним информацией. По умолчанию установлен порт 13292.

     Вы можете назначить другой порт, если порт 13292 используется в каких-то других целях.

   • Порт для активации мобильных устройств

     Порт подключения Kaspersky Endpoint Security для Android к серверам активации "Лаборатории Касперского".

     По умолчанию установлен порт 17100.

4. Нажмите на кнопку ОК.

Выключение Управления мобильными устройствами

Выключение Управления мобильными устройствами доступно только на главном Сервере администрирования.

Чтобы выключить Управления мобильными устройствами:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В рабочей области папки перейдите по ссылке Настроить дополнительные компоненты.

   Отобразится окно Дополнительные компоненты мастера первоначальной настройки Сервера администрирования.

3. Выберите пункт Не включать Управление мобильными устройствами, если вы больше не хотите управлять мобильными устройствами.
4. Нажмите на кнопку ОК.

Ранее подключенные мобильные устройства не смогут подключиться к Серверу администрирования. Порт подключения мобильных устройств и порт активации мобильных устройств будут закрыты автоматически.

Созданные политики Kaspersky Endpoint Security для Android и Kaspersky Device Management для iOS не будут удалены. Правила выпуска сертификатов не изменяются. Установленные плагины не удаляются. Правило перемещения мобильных устройств не будет удалено.

После повторного включения Управления мобильными устройствами на управляемых мобильных устройствах может потребоваться переустановка мобильных приложений, которые необходимы для управления мобильными устройствами.

Работа с командами для мобильных устройств

Этот раздел содержит информацию о командах для управления мобильными устройствами, которые поддерживает Kaspersky Security Center. В разделе приведены инструкции по отправке команд на мобильные устройства, а также по просмотру статуса выполнения команд в журнале команд.

Команды для управления мобильными устройствами

Kaspersky Security Center поддерживает команды для управления мобильными устройствами.

Команды используются для дистанционного управления мобильными устройствами. Например, в случае потери мобильного устройства с помощью команды можно удалить корпоративные данные с устройства.

Вы можете использовать команды для следующих типов управляемых мобильных устройств:

• iOS MDM-устройства;
• KES-устройства;
• EAS-устройства.

Каждый тип устройства поддерживает свой набор команд.

Особенности некоторых команд

• Для всех типов устройств в случае успешного выполнения команды Сбросить настройки до заводских все данные будут удалены с устройства, настройки устройства будут сброшены до заводских.
• Для iOS MDM-устройств в случае успешного выполнения команды Удалить корпоративные данные с устройства будут удалены все установленные конфигурационные профили, provisioning-профили, iOS MDM-профиль и приложения, для которых был установлен флажок Удалять вместе с iOS MDM-профилем.
• Для KES-устройств в случае успешного выполнения команды Удалить корпоративные данные с устройства будут удалены корпоративные данные, записи в Контактах, история SMS, журнал вызовов, календарь, параметры подключения к интернету, учетные записи пользователя, кроме учетной записи Google. Для KES-устройств дополнительно будут удалены данные с карты памяти.
• Перед отправкой команды Определить местоположение на KES-устройство вам потребуется подтвердить, что вы используете эту команду для санкционированного поиска потерянного устройства, принадлежащего вашей организации или одному из сотрудников. Мобильное устройство, принимающее команду Определить местоположение не заблокировано.

Список команд для мобильных устройств

В таблице ниже приведен список команд для iOS MDM-устройств.

Список поддерживаемых команд для управления мобильными устройствами: iOS MDM-устройства

В таблице ниже приведен список команд для KES-устройств.

Список поддерживаемых команд для управления мобильными устройствами: iOS MDM-устройства

В таблице ниже приведен список команд для EAS-устройств.

Список поддерживаемых команд для управления мобильными устройствами: iOS MDM-устройства

Использование Google Firebase Cloud Messaging

Для своевременной доставки команд на KES-устройства под управлением операционной системы Android в Kaspersky Security Center используется механизм push-нотификаций. Push-нотификации между KES-устройствами и Сервером администрирования осуществляются с помощью сервиса Google Firebase Cloud Messaging. В Консоли администрирования Kaspersky Security Center вы можете указать параметры сервиса Google Cloud Messaging, чтобы подключить KES-устройства к этому сервису.

Для получения параметров Google Firebase Cloud Messaging вам необходимо иметь учетную запись Google.

Чтобы настроить параметры Google Firebase Cloud Messaging:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.

   В результате откроется окно свойств папки Мобильные устройства.

3. Выберите раздел Параметры Google Firebase Cloud Messaging.
4. В поле Идентификатор отправителя укажите номер проекта Google API, полученный вами при создании проекта в консоли разработчика Google.
5. В поле Ключ сервера введите обычный ключ сервера, который вы создали в консоли разработчика Google.

При следующей синхронизации с Сервером администрирования KES-устройства под управлением операционной системы Android будут подключены к службе Google Firebase Cloud Messaging.

Вы можете изменить параметры Google Firebase Cloud Messaging по кнопке Сбросить параметры.

Отправка команд

Чтобы отправить команду на мобильное устройство пользователя:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. Выберите мобильное устройство пользователя, на которое нужно отправить команду.
3. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
4. В окне Команды для управления мобильным устройством перейдите в раздел с названием команды, которую нужно отправить на мобильное устройство, и нажмите на кнопку Отправить команду.

   В зависимости от выбранной команды после нажатия на кнопку Отправить команду может открыться окно настройки дополнительных параметров команды. Например, при отправке команды на удаление с мобильного устройства provisioning-профиля программа предлагает выбрать provisioning-профиль, который нужно удалить с мобильного устройства. Укажите в окне дополнительные параметры команды и подтвердите свой выбор. После этого команда будет отправлена на мобильное устройство.

   По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.

   По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.

   В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.

5. Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.

Просмотр статусов команд в журнале команд

Программа сохраняет информацию о всех командах, отправленных на мобильные устройства, в журнале команд. В журнале команд сохраняется информация о времени и дате отправления команд на мобильное устройство, статусы команд, а также подробные описания результатов выполнения команд. Например, в случае неудачного выполнения команды в журнале отображается причина ошибки. Записи в журнале команд хранятся не более 30 дней.

Команды, отправленные на мобильные устройства, могут иметь следующие статусы:

• Выполняется – команда отправлена на мобильное устройство.
• Завершена – выполнение команды успешно завершено.
• Завершена с ошибкой – выполнить команду не удалось.
• Удаляется – команда удаляется из очереди команд, отправленных на мобильное устройство.
• Удалена – команда успешно удалена из очереди команд, отправленных на мобильное устройство.
• Удаление завершено с ошибкой – команду не удалось удалить из очереди команд, отправленных на мобильное устройство.

Программа ведет журнал команд для каждого мобильного устройства.

Чтобы просмотреть журнал команд, отправленных на мобильное устройство:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. Выберите в списке мобильное устройство, для которого вы хотите просмотреть журнал команд.
3. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.

   Откроется окно Команды для управления мобильным устройством. Разделы окна Команды для управления мобильным устройством соответствуют командам, которые можно отправить на мобильное устройство.

4. Выбирайте разделы с нужными вам командами и просматривайте информацию об отправке и выполнении команд в блоке Журнал команд.

В блоке Журнал команд можно просмотреть список команд, отправленных на мобильное устройство, и информацию о командах. С помощью фильтра Показать команды можно показывать в списке только команды с выбранным статусом.

Работа с сертификатами для мобильных устройств

Этот раздел содержит информацию о работе с сертификатами мобильных устройств.

Срок действия корневого сертификата для мобильных устройств составляет 700 дней после его создания. Резервный сертификат создается за 60 дней до истечения срока действия. Вы можете изменить время создания резервного сертификата с помощью следующей команды:

klscflag.exe -fset -pv klserver -n KLSRV_AKLWNGT_MDM_CERT_CHANGE_TIMEOUT -t d -v <время ожидания в секундах>

Время создания резервного сертификата должно быть достаточным, чтобы все управляемые мобильные устройства синхронизировались с Сервером администрирования и получили сертификат.

Утилита klscflag расположена в папке установки Сервера администрирования. Путь установки по умолчанию: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Обновление корневого сертификата для мобильных устройств вручную не поддерживается.

Запуск мастера установки сертификата

Вы можете устанавливать на мобильное устройство пользователя сертификаты следующих типов:

• общие сертификаты для идентификации мобильного устройства;
• почтовые сертификаты для настройки на мобильном устройстве корпоративной почты;
• VPN-сертификат для настройки на мобильном устройстве доступа к виртуальной частной сети.

Чтобы установить сертификат на мобильное устройство пользователя:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
2. В рабочей области папки Сертификаты по ссылке Добавить сертификат запустите мастер установки сертификата.

Следуйте далее указаниям мастера.

В результате работы мастера сертификат будет создан, добавлен в список сертификатов пользователя, кроме того, будет отправлено уведомление пользователю со ссылкой для загрузки и установки сертификата на мобильное устройство. Список всех сертификатов можно просмотреть и экспортировать в файл. Можно удалять и перевыпускать сертификаты, а также просматривать их свойства.

Шаг 1. Выбор типа сертификата

Укажите тип сертификата, который необходимо установить на мобильное устройство пользователя:

• Мобильный сертификат – для идентификации мобильного устройства.
• Почтовый сертификат – для настройки на мобильном устройстве корпоративной почты.
• VPN-сертификат – для настройки на мобильном устройстве доступа к виртуальной частной сети.

Шаг 2. Выбор типа устройства

Это окно отображается, только если ранее был выбран тип сертификата Почтовый сертификат или VPN-сертификат.

Укажите тип операционной системы устройства:

• iOS MDM-устройство. Выберите этот вариант, если необходимо установить сертификат на мобильное устройство, которое подключается к Серверу iOS MDM по протоколу iOS MDM.
• KES-устройство под управлением Kaspersky Security для мобильных устройств. Выберите этот вариант, если необходимо установить сертификат на KES-устройство. В этом случае сертификат будет использоваться при подключении к Серверу администрирования для идентификации пользователя.
• KES-устройство, которое подключается к Серверу администрирования без аутентификации по пользовательскому сертификату. Выберите этот вариант, если необходимо установить сертификат на KES-устройство без аутентификации по сертификату. В этом случае на последнем шаге мастера в окне Способ уведомления пользователей администратор должен выбрать тип авторизации пользователя при подключении к Серверу администрирования.

Шаг 3. Выбор пользователя

Выберите в списке пользователей, группы безопасности или группы безопасности Active Directory, для которых вы хотите установить сертификат.

В окне Выбор пользователя можно выполнить поиск

Шаг 4. Выбор источника сертификата

В окне можно выбрать источник сертификата, с помощью которого Сервер администрирования идентифицирует мобильное устройство. Можно задать сертификат одним из следующих способов:

• Автоматически создать сертификат средствами Сервера администрирования и доставить сертификат на устройство.
• Укажите файл ранее созданного сертификата. Этот способ недоступен, если на предыдущем шаге было выбрано несколько пользователей.

Установите флажок Опубликовать сертификат, если необходимо отправить уведомление пользователю о создании сертификата для его мобильного устройства.

Если мобильное устройство пользователя уже было авторизовано по сертификату ранее и нет необходимости указывать имя учетной записи и пароль для получения нового сертификата, снимите флажок Опубликовать сертификат. В этом случае окно Способ уведомления пользователей отображаться не будет.

Шаг 5. Назначение тега сертификатам

Окно Тег сертификата отображается, если в поле Тип устройства выбрано значение iOS MDM-устройство.

В раскрывающемся списке вы можете назначить тег для сертификата iOS MDM-устройства пользователя. Сертификат с назначенным тегом может иметь специальные параметры, установленные для этого тега в свойствах политики Kaspersky Device Management для iOS.

Для выбора в раскрывающемся списке доступны теги Шаблон сертификата 1, Шаблон сертификата 2 и Шаблон сертификата 3, параметры которых могут быть настроены в следующих разделах: Вы можете настроить теги в следующих разделах:

• Если в окне Тип сертификата был выбран тип Почтовый сертификат, параметры тегов для него настраиваются в свойствах учетной записи Exchange ActiveSync для мобильных устройств (Управляемые устройства → Политики → Свойства политики Kaspersky Device Management для iOS → Раздел Exchange ActiveSync → Добавить → Дополнительно).
• Если в окне Тип сертификата был выбран тип VPN-сертификат, параметры тегов для него настраиваются в свойствах сети VPN для мобильных устройств (Управляемые устройства → Политики → Свойства политики Kaspersky Device Management для iOS → Раздел VPN → Добавить → Дополнительно). Настройка тегов, используемых для VPN-сертификатов, недоступна, если для сети VPN выбран тип соединения L2TP, PPTP, или IPSec (Cisco).

Шаг 6. Описание параметров публикации сертификата

Развернуть все | Свернуть все

В этом окне вы можете указать следующие параметры публикации сертификата:

• Не уведомлять пользователя о новом сертификате

  Включите этот параметр, если вы не хотите отправлять пользователю уведомление о создании сертификата для его мобильного устройства. В этом случае окно Способ уведомления пользователя отображаться не будет.

  Этот параметр применим только к устройствам с установленным приложением Kaspersky Endpoint Security для Android.

  Возможно, вы захотите включить этот параметр, например, если мобильное устройство пользователя уже было идентифицировано с помощью сертификата, поэтому нет необходимости указывать имя учетной записи и пароль для получения нового сертификата.

• Разрешить устройству получать один и тот же сертификат несколько раз (только для устройств с установленным Kaspersky Endpoint Security для Android)

  Включите этот параметр, чтобы Kaspersky Security Center автоматически повторно отправлял сертификат каждый раз, когда срок его действия истекает в ближайшее время или не найден на целевом устройстве.

  Сертификат автоматически отправляется повторно за несколько дней до истечения срока действия сертификата. Вы можете установить количество дней в окне Правила выпуска сертификатов.

  В некоторых случаях сертификаты не могут быть найдены на устройствах. Например, это может произойти, если пользователь заново установит приложение безопасности "Лаборатории Касперского" на устройство или сбросит настройки устройства до заводских. В этом случае Kaspersky Security Center проверяет идентификатор устройства при следующей попытке устройства подключиться к Серверу администрирования. Если устройство имеет такой же идентификатор, как и при выдаче сертификата, программа передает сертификат на устройство.

Шаг 7. Выбор способа уведомления пользователей

Развернуть все | Свернуть все

Это окно не отображается, если в качестве типа устройства выбран вариант iOS MDM-устройство или если выбран вариант Не уведомлять пользователя о новом сертификате.

В окне Способ уведомления пользователей можно настроить параметры уведомления пользователя об установке сертификата на мобильное устройство.

В поле Тип авторизации укажите тип аутентификации пользователя:

• Учетные данные (доменные или псевдонима)

  В этом случае пользователь использует доменный пароль или пароль внутреннего пользователя Kaspersky Security Center, для того чтобы получить новый сертификат.

• Одноразовый пароль

  В этом случае пользователь получит одноразовый пароль, который будет выслан на электронную почту или с помощью SMS. Этот пароль необходимо будет указать для получения нового сертификата.

  Этот параметр изменится на Пароль, если вы включили параметр Разрешить устройству получать один и тот же сертификат несколько раз (только для устройств с установленными приложениями безопасности "Лаборатории Касперского") в окне Параметры публикации сертификатов.

• Пароль

  В этом случае пароль используется каждый раз, когда сертификат отправляется пользователю.

  Этот параметр изменится на Одноразовый пароль, если вы включили параметр Разрешить устройству получать один и тот же сертификат несколько раз (только для устройств с установленными приложениями безопасности "Лаборатории Касперского") в окне Параметры публикации сертификатов.

Это поле отображается, если в окне Тип сертификата выбрано значение Мобильный сертификат или если в качестве типа устройства выбрано KES-устройство, которое подключается к Серверу администрирования без аутентификации по пользовательскому сертификату.

Выберите вариант уведомления пользователя:

• Показать пароль после завершения работы мастера

  Если вы выберете этот параметр, имя пользователя, SAM-имя пользователя (Security Account Manager) и пароль для получения сертификата для каждого из выбранных пользователей будут отображаться на последнем шаге мастера установки сертификата. Настройка параметров уведомления пользователя об установленном сертификате будет недоступна.

  Если вы добавляете сертификаты для нескольких пользователей, вы можете сохранить предоставленные учетные данные в файл, нажав на кнопку Экспорт на последнем шаге мастера установки сертификата.

  Этот параметр недоступен, если вы выбрали Учетные данные (доменные или псевдонима) на шаге Способ уведомления пользователя мастера установки сертификата.

• Сообщить пользователю о новом сертификате

  При выборе этого варианта вы можете настроить параметры уведомления пользователя о новом сертификате.

  • По электронной почте

    В блоке параметров По электронной почте вы можете настроить параметры уведомления пользователя об установке сертификата на его мобильное устройство с помощью сообщений электронной почты. Этот способ оповещения доступен, только если настроен SMTP-сервер.

    Перейдите по ссылке Изменить сообщение, чтобы просмотреть и изменить сообщение, если это необходимо.

  • С помощью SMS

    В этом блоке параметров вы можете настроить параметры уведомления пользователя об установке сертификата на его мобильное устройство с помощью SMS-сообщений. Этот способ оповещения доступен, только если настроено SMS-оповещение.

    Перейдите по ссылке Изменить сообщение, чтобы просмотреть и изменить сообщение, если это необходимо.

Шаг 8. Генерация сертификата

На этом шаге создается сертификат.

Вы можете нажать на кнопку Готово, чтобы выйти из мастера.

Сгенерированный сертификат отображается в списке сертификатов в рабочей области папки Сертификаты.

Настройка правил выпуска сертификатов

Сертификаты используются для аутентификации устройств на Сервере администрирования. Все управляемые мобильные устройства должны иметь сертификаты. Можно настроить способ выпуска сертификатов.

Чтобы настроить правила выпуска сертификатов:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
3. Перейдите в раздел с названием типа сертификата:

   Выпуск мобильных сертификатов – для настройки выпуска сертификатов для мобильных устройств.

   Выпуск почтовых сертификатов – для настройки выпуска почтовых сертификатов.

   Выпуск VPN-сертификатов – для настройки выпуска VPN-сертификатов.

4. В блоке Параметры выпуска настройте выпуск сертификата:
   • Укажите срок действия сертификата в днях.

     Сертификаты для мобильных устройств ограничены сроком действия корневого сертификата. Если вы укажете срок действия сертификата дольше, чем срок действия корневого сертификата, срок действия сертификата будет автоматически изменен при создании.

   • Выберите источник сертификатов (Сервер администрирования или Сертификаты задаются вручную).

     По умолчанию источником сертификатов выбран Сервер администрирования.

   • Задайте шаблон сертификатов (Шаблон по умолчанию, Другой шаблон).

     Настройка шаблонов доступна, если в разделе Интеграция с PKI настроена интеграция с инфраструктурой открытых ключей.

5. В блоке Параметры автоматического обновления настройте автоматическое обновление сертификата:
   • В поле Обновлять, когда до истечения срока действия осталось (сут) укажите, за какое количество дней до истечения срока действия нужно обновлять сертификат.
   • Чтобы включить автоматическое обновление сертификатов, установите флажок Автоматически перевыпускать сертификат, если это возможно.
6. В блоке Защита паролем включите и настройте использование пароля при расшифровке сертификатов.

   Защита паролем доступна только для мобильных сертификатов.

   1. Установите флажок Запрашивать пароль при установке сертификата.
   2. С помощью ползунка настройте максимальное количество символов в пароле для шифрования.
7. Нажмите на кнопку ОК.

Интеграция с инфраструктурой открытых ключей

Интеграция программы с инфраструктурой открытых ключей (Public Key Infrastructure, PKI) необходима для упрощения выписки доменных сертификатов пользователей. В результате интеграции выписка сертификатов происходит автоматически.

Минимально поддерживаемая версия сервера PKI – Windows Server 2008.

Для интеграции с PKI необходимо настроить учетную запись. Учетная запись должна соответствовать следующим требованиям:

• быть доменным пользователем и администратором устройства, на котором установлен Сервер администрирования;
• иметь привилегию SeServiceLogonRight на устройстве с установленным Сервером администрирования.

Под настроенной учетной записью нужно хотя бы один раз выполнить вход на устройстве с установленным Сервером администрирования для того, чтобы создать постоянный профиль пользователя. В хранилище сертификатов этого пользователя, на устройстве с Сервером администрирования, необходимо установить сертификат агента регистрации, предоставленный администраторами домена.

Чтобы настроить интеграцию с инфраструктурой открытых ключей:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
2. В рабочей области нажмите на кнопку Интегрировать с инфраструктурой открытых ключей, чтобы открыть раздел Интеграция с PKI окна Правила выпуска сертификатов.

   Откроется раздел Интеграция с PKI окна Правила выпуска сертификатов.

3. Установите флажок Интегрировать выписку сертификатов с PKI.
4. В поле Учетная запись укажите имя учетной записи пользователя, которая будет использоваться для интеграции с инфраструктурой открытых ключей.
5. В поле Пароль укажите доменный пароль учетной записи.
6. В списке Имя шаблона сертификата в системе PKI выберите шаблон сертификата, который будет использоваться для выпуска сертификатов пользователям домена.

   Под указанной учетной записью в Kaspersky Security Center запускается специализированная служба. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.

7. Нажмите на кнопку ОК, чтобы сохранить параметры.

В результате интеграции выписка сертификатов происходит автоматически.

Включение поддержки Kerberos Constrained Delegation

Программа поддерживает использование Kerberos Constrained Delegation.

Чтобы включить поддержку Kerberos Constrained Delegation:

1. В дереве консоли откройте папку Управление мобильными устройствами.
2. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
4. В контекстном меню Сервера iOS MDM выберите пункт Свойства.
5. В окне свойств Сервера iOS MDM выберите раздел Параметры.
6. В разделе Параметры установите флажок Обеспечить совместимость с Kerberos constrained delegation.
7. Нажмите на кнопку ОК.

Добавление мобильных устройств iOS в список управляемых устройств

Развернуть все | Свернуть все

Чтобы добавить мобильное устройство iOS в список управляемых устройств, на устройство нужно доставить и установить общий сертификат. Общие сертификаты используются для идентификации мобильных устройств Сервером администрирования. Общий сертификат для мобильного устройства iOS доставляется в составе iOS MDM-профиля. После доставки и установки общего сертификата на мобильном устройстве, мобильное устройство отображается в списке управляемых устройств.

"Лаборатория Касперского" больше не поддерживает Kaspersky Safe Browser.

Вы можете добавить мобильные устройства пользователей в список управляемых устройств с помощью мастера подключения нового мобильного устройства.

Чтобы подключить iOS-устройство к Серверу администрирования, с использованием общего сертификата:

1. Запустите мастер подключения мобильного устройства одним из следующих способов:
   • В контекстом меню папки Учетные записи пользователей:
     1. В дереве консоли в папке Дополнительно выберите вложенную папку Учетные записи пользователей.
     2. В рабочей области папки Учетные записи пользователей выберите пользователей, группы безопасности или группы безопасности Active Directory пользователей, для которых вы хотите добавить мобильные устройства в список управляемых устройств.
     3. В контекстном меню учетной записи пользователя выберите пункт Добавить мобильное устройство.

        Запустится мастер подключения мобильного устройства.

   • Нажмите на кнопку Добавить мобильное устройство в рабочей области папки Мобильные устройства:
     1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.
     2. В рабочей области вложенной папки Мобильные устройства нажмите на кнопку Добавить мобильное устройство.

        Запустится мастер подключения мобильного устройства.

2. В окне мастера Операционная система выберите тип операционной системы мобильного устройства iOS.
3. На странице Выбор Сервера iOS MDM выберите Сервер iOS MDM.
4. В рабочей области папки Выбор пользователей, мобильными устройствами которых вы хотите управлять выберите пользователей, группы безопасности или группы безопасности Active Directory пользователей, для которых вы хотите добавить мобильные устройства в список управляемых устройств.

   Если вы запустили мастер выбрав пункт Добавить мобильное устройство в контекстном меню папки Учетные записи пользователей, этот шаг пропускается.

   Если вы хотите добавить учетную запись пользователя в список, нажмите на кнопку Добавить и в открывшемся окне укажите параметры учетной записи пользователя. Если вы хотите изменить или просмотреть свойства учетной записи пользователя, выберите учетную запись пользователя из списка и нажмите на кнопку Свойства.

5. На странице мастера Источник сертификата укажите способ создания общего сертификата, с помощью которого Сервер администрирования идентифицирует мобильное устройство. Вы можете задать общий сертификат одним из двух способов:
   • Выписать сертификат средствами Сервера администрирования

     Выберите этот параметр, чтобы создать сертификат с помощью инструментов Сервера администрирования, если вы не создавали его ранее.

     Если выбран этот вариант, то iOS MDM-профиль будет автоматически подписан сертификатом, созданным Сервером администрирования.

     По умолчанию этот вариант выбран.

   • Указать файл сертификата

     Выберите этот параметр, чтобы указать файл сертификата, который был создан ранее.

     Этот способ недоступен, если на предыдущем шаге было выбрано несколько пользователей.

6. На странице мастера Способ уведомления пользователей настройте параметры уведомления пользователя мобильного устройства о создании сертификата с помощью SMS-сообщения или по электронной почте:
   • Показать ссылку в мастере

     При выборе этого варианта ссылка на инсталляционный пакет будет отображена на последнем шаге работы мастера подключения нового устройства.

     Этот вариант недоступен, если было выбрано несколько пользователей для подключения устройства.

   • Отправить ссылку пользователю

     При выборе этого варианта можно настроить параметры оповещения пользователя о подключении нового мобильного устройства.

     Можно выбрать тип адреса электронной почты, указать дополнительный адрес и отредактировать текст сообщения. Можно также выбрать тип телефона пользователя для отправки SMS-сообщения, указать дополнительный номер телефона и отредактировать текст отправляемого SMS-сообщения.

     Если не настроен SMTP-сервер, отправка сообщений электронной почты пользователям невозможна. Если не настроено SMS-оповещение, отправка SMS-сообщений пользователям невозможна.

7. На странице мастера Результат нажмите на кнопку Готово для завершения работы мастера.

В результате iOS MDM-профиль автоматически публикуется на Веб-сервере Kaspersky Security Center. Пользователь мобильного устройства получит уведомление со ссылкой для загрузки iOS MDM-профиля c Веб-сервера. Пользователь самостоятельно переходит по полученной ссылке. После этого операционная система мобильного устройства запрашивает у пользователя согласие на установку iOS MDM-профиля. Чтобы iOS MDM-профиль загрузился на мобильное устройство, пользователь должен согласиться на установку iOS MDM-профиля. После загрузки iOS MDM-профиля и синхронизации с Сервером администрирования мобильное устройство будет отображаться в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Для перехода пользователем по полученной ссылке на Веб-сервере Kaspersky Security Center необходимо, чтобы с его мобильного устройства было доступно соединение с Сервером администрирования по порту 8061.

Добавление мобильных устройств Android в список управляемых устройств

Развернуть все | Свернуть все

Чтобы добавить мобильное устройство Android в список управляемых устройств, на устройство нужно доставить Kaspersky Endpoint Security для Android и установить общий сертификат. Общие сертификаты используются для идентификации мобильных устройств Сервером администрирования. После доставки и установки общего сертификата на мобильном устройстве, мобильное устройство отображается в списке управляемых устройств.

Вы можете добавить мобильные устройства пользователей в список управляемых устройств с помощью мастера подключения нового мобильного устройства. Мастер подключения нового мобильного устройства предоставляет два способа доставки и установки общего сертификата и Kaspersky Endpoint Security для Android:

• По ссылке на Google Play.
• По ссылке на Веб-сервер Kaspersky Security Center.

  Для установки используется инсталляционный пакет Kaspersky Endpoint Security для Android, сохраненный для распространения на Сервере администрирования.

Запуск мастера подключения мобильного устройства

Запустите мастер подключения нового мобильного устройства одним из следующих способов:

• В контекстом меню папки Учетные записи пользователей:
  1. В дереве консоли в папке Дополнительно выберите вложенную папку Учетные записи пользователей.
  2. В рабочей области папки Учетные записи пользователей выберите пользователей, группы безопасности или группы безопасности Active Directory пользователей, для которых вы хотите добавить мобильные устройства в список управляемых устройств.
  3. В контекстном меню учетной записи пользователя выберите пункт Добавить мобильное устройство.

     Запустится мастер подключения мобильного устройства.

• Нажмите на кнопку Добавить мобильное устройство в рабочей области папки Мобильные устройства:
  1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.
  2. В рабочей области вложенной папки Мобильные устройства нажмите на кнопку Добавить мобильное устройство.

     Запустится мастер подключения мобильного устройства.

Добавление мобильного устройства Android с помощью ссылки Google Play

Чтобы установить Kaspersky Endpoint Security для Android и общий сертификат на мобильное устройство, используя ссылку на Google Play:

1. Запустите мастер подключения мобильного устройства.
2. В окне мастера Операционная система выберите тип операционной системы мобильного устройства Android.
3. На странице Способ установки Kaspersky Endpoint Security для Android в мастере выберите По ссылке на Google Play.
4. На странице мастера Выбор пользователей, мобильными устройствами которых вы хотите управлять выберите пользователей, группы безопасности или группы безопасности Active Directory пользователей, для которых вы хотите добавить мобильные устройства в список управляемых устройств.

   Этот шаг пропущен, если в контекстном меню папки Учетные записи пользователей выбран пункт Добавить мобильное устройство.

   Если вы хотите добавить учетную запись пользователя в список, нажмите на кнопку Добавить и в открывшемся окне укажите параметры учетной записи пользователя. Если вы хотите изменить или просмотреть свойства учетной записи пользователя, выберите учетную запись пользователя из списка и нажмите на кнопку Свойства.

5. На странице мастера Источник сертификата укажите способ создания общего сертификата, с помощью которого Сервер администрирования идентифицирует мобильное устройство. Вы можете задать общий сертификат одним из двух способов:
   • Выписать сертификат средствами Сервера администрирования

     Выберите этот параметр, чтобы создать сертификат с помощью инструментов Сервера администрирования, если вы не создавали его ранее.

     Если выбран этот параметр, сертификат автоматически выписывается средствами Сервера администрирования.

     По умолчанию этот вариант выбран.

   • Указать файл сертификата

     Выберите этот параметр, чтобы указать файл сертификата, который был создан ранее.

     Этот способ недоступен, если на предыдущем шаге было выбрано несколько пользователей.

6. На странице мастера Способ уведомления пользователей настройте параметры уведомления пользователя мобильного устройства о создании сертификата с помощью SMS-сообщения или по электронной почте:
   • Показать ссылку в мастере

     При выборе этого варианта ссылка на инсталляционный пакет будет отображена на последнем шаге работы мастера подключения нового устройства.

     Этот вариант недоступен, если было выбрано несколько пользователей для подключения устройства.

   • Отправить ссылку пользователю

     При выборе этого варианта можно настроить параметры оповещения пользователя о подключении нового мобильного устройства.

     Можно выбрать тип адреса электронной почты, указать дополнительный адрес и отредактировать текст сообщения. Можно также выбрать тип телефона пользователя для отправки SMS-сообщения, указать дополнительный номер телефона и отредактировать текст отправляемого SMS-сообщения.

     Если не настроен SMTP-сервер, отправка сообщений электронной почты пользователям невозможна. Если не настроено SMS-оповещение, отправка SMS-сообщений пользователям невозможна.

7. На странице мастера Результат нажмите на кнопку Готово для завершения работы мастера.

В результате работы мастера на мобильное устройство пользователя будет отправлена ссылка и QR-код для загрузки Kaspersky Endpoint Security для Android. Пользователь переходит по ссылке или сканирует QR-код. После этого операционная система мобильного устройства запрашивает у пользователя согласие на установку Kaspersky Endpoint Security для Android. После загрузки и установки Kaspersky Endpoint Security для Android мобильное устройство подключается к Серверу администрирования и загружает общий сертификат. После установки сертификата на мобильное устройство это устройство будет отображаться в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Добавление мобильного устройства Android с помощью ссылки на Веб-сервер Kaspersky Security Center Web

Для установки используется инсталляционный пакет Kaspersky Endpoint Security для Android, опубликованный на Сервере администрирования.

Чтобы установить Kaspersky Endpoint Security для Android и общий сертификат на мобильное устройство, используя ссылку на Веб-сервер:

1. Запустите мастер подключения мобильного устройства.
2. В окне мастера Операционная система выберите тип операционной системы мобильного устройства Android.
3. На странице Способ установки Kaspersky Endpoint Security для Android в мастере выберите По ссылке на Веб-сервер.

   В появившемся ниже поле выберите инсталляционный пакет или создайте новый инсталляционный пакет по кнопке Новый.

4. На странице мастера Выбор пользователей, мобильными устройствами которых вы хотите управлять выберите пользователей, группы безопасности или группы безопасности Active Directory пользователей, для которых вы хотите добавить мобильные устройства в список управляемых устройств.

   Этот шаг пропущен, если в контекстном меню папки Учетные записи пользователей выбран пункт Добавить мобильное устройство.

   Если вы хотите добавить учетную запись пользователя в список, нажмите на кнопку Добавить и в открывшемся окне укажите параметры учетной записи пользователя. Если вы хотите изменить или просмотреть свойства учетной записи пользователя, выберите учетную запись пользователя из списка и нажмите на кнопку Свойства.

5. На странице мастера Источник сертификата укажите способ создания общего сертификата, с помощью которого Сервер администрирования идентифицирует мобильное устройство. Вы можете задать общий сертификат одним из двух способов:
   • Выписать сертификат средствами Сервера администрирования

     Выберите этот параметр, чтобы создать сертификат с помощью инструментов Сервера администрирования, если вы не создавали его ранее.

     Если выбран этот параметр, сертификат автоматически выписывается средствами Сервера администрирования.

     По умолчанию этот вариант выбран.

   • Указать файл сертификата

     Выберите этот параметр, чтобы указать файл сертификата, который был создан ранее.

     Этот способ недоступен, если на предыдущем шаге было выбрано несколько пользователей.

6. На странице мастера Способ уведомления пользователей настройте параметры уведомления пользователя мобильного устройства о создании сертификата с помощью SMS-сообщения или по электронной почте:
   • Показать ссылку в мастере

     При выборе этого варианта ссылка на инсталляционный пакет будет отображена на последнем шаге работы мастера подключения нового устройства.

     Этот вариант недоступен, если было выбрано несколько пользователей для подключения устройства.

   • Отправить ссылку пользователю

     При выборе этого варианта можно настроить параметры оповещения пользователя о подключении нового мобильного устройства.

     Можно выбрать тип адреса электронной почты, указать дополнительный адрес и отредактировать текст сообщения. Можно также выбрать тип телефона пользователя для отправки SMS-сообщения, указать дополнительный номер телефона и отредактировать текст отправляемого SMS-сообщения.

     Если не настроен SMTP-сервер, отправка сообщений электронной почты пользователям невозможна. Если не настроено SMS-оповещение, отправка SMS-сообщений пользователям невозможна.

7. На странице мастера Результат нажмите на кнопку Готово для завершения работы мастера.

В результате пакет мобильного приложения Kaspersky Endpoint Security для Android автоматически публикуется на Веб-сервере Kaspersky Security Center. Пакет мобильного приложения содержит приложение, параметры подключения мобильного устройства к Серверу администрирования и сертификат. Пользователь мобильного устройства получит уведомление со ссылкой для загрузки пакета c Веб-сервера. Пользователь самостоятельно переходит по полученной ссылке. После этого операционная система устройства запрашивает у пользователя согласие на установку пакета мобильного приложения. Если пользователь соглашается, пакет загружается на мобильное устройство. После загрузки пакета и синхронизации с Сервером администрирования мобильное устройство будет отображаться в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Управление мобильными устройствами Exchange ActiveSync

В этом разделе описаны дополнительные возможности управления EAS-устройствами с помощью Kaspersky Security Center.

Кроме управления EAS-устройствами с помощью команд, администратор может использовать следующие возможности:

• Создавать профили управления EAS-устройствами, назначать их почтовым ящикам пользователей. Профиль управления EAS-устройствами – это политика Exchange ActiveSync, которая используется на сервере Microsoft Exchange для управления EAS-устройствами. В профиле управления EAS-устройствами вы можете настраивать следующие группы параметров:
  • параметры управления паролем пользователя;
  • параметры синхронизации почты;
  • ограничения для использования функций мобильного устройства;
  • ограничения для использования мобильных приложений на мобильном устройстве.

  В зависимости от модели мобильного устройства параметры профиля управления могут применяться частично. Статус применения политики Exchange ActiveSync вы можете посмотреть в свойствах мобильного устройства.

• Просматривать информацию о параметрах управления EAS-устройствами. Например, в свойствах мобильного устройства администратор может посмотреть время последней синхронизации мобильного устройства с сервером Microsoft Exchange, идентификатор EAS-устройства, название политики Exchange ActiveSync и статус ее применения на мобильном устройстве.
• Отключать неиспользуемые пользователями EAS-устройства от управления.
• Настраивать параметры опроса Active Directory Сервером мобильных устройств Exchange ActiveSync, в результате которого обновляется информация о почтовых ящиках пользователей и их мобильных устройствах.

Добавление профиля управления

Для управления EAS-устройствами вы можете создавать профили управления EAS-устройствами и назначать их выбранным почтовым ящикам Microsoft Exchange.

Почтовому ящику Microsoft Exchange может быть назначен только один профиль управления EAS-устройствами.

Чтобы добавить профиль управления EAS-устройствами для почтового ящика Microsoft Exchange:

1. В дереве консоли откройте папку Управление мобильными устройствами.
2. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер мобильных устройств Exchange ActiveSync.
4. В контекстном меню Сервера мобильных устройств Exchange ActiveSync выберите пункт Свойства.

   Откроется окно свойств Сервера мобильных устройств.

5. В окне свойств Сервер мобильных устройств Exchange ActiveSync выберите раздел Почтовые ящики.
6. Выберите почтовый ящик и нажмите на кнопку Назначить профиль.

   Откроется окно Профили политики.

7. В окне Профили политики нажмите на кнопку Добавить.

   Откроется окно Новый профиль.

8. Выполните настройку параметров профиля на закладках окна Новый профиль.
   • Если вы хотите задать имя профиля и период его обновления, выберите закладку Общие.
   • Если вы хотите настроить параметры пароля пользователя мобильного устройства, выберите закладку Пароль.
   • Если вы хотите настроить параметры синхронизации с сервером Microsoft Exchange, выберите закладку Синхронизация.
   • Если вы хотите настроить параметры ограничения функций мобильного устройства, выберите закладку Ограничения функций.
   • Если вы хотите настроить параметры ограничения использования мобильных приложений на мобильном устройстве, выберите закладку Ограничения приложений.
9. Нажмите на кнопку ОК.

   Новый профиль отобразится в списке профилей в окне Профили политики.

   Если вы хотите, чтобы этот профиль автоматически присваивался новым почтовым ящикам и почтовым ящикам, профиль которых был удален, выберите его в списке профилей и нажмите на кнопку Сделать профилем по умолчанию.

   Профиль по умолчанию нельзя удалить. Чтобы удалить текущий профиль по умолчанию, необходимо назначить свойство "профиль по умолчанию" другому профилю.

10. В окне Профили политики нажмите на кнопку ОК.

    Параметры профиля управления будут применены на EAS-устройстве при следующей синхронизации устройства с Сервером мобильных устройств Exchange ActiveSync.

Удаление профиля управления

Чтобы удалить профиль управления EAS-устройствами для почтового ящика Microsoft Exchange:

1. В дереве консоли откройте папку Управление мобильными устройствами.
2. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер мобильных устройств Exchange ActiveSync.
4. В контекстном меню Сервера мобильных устройств Exchange ActiveSync выберите пункт Свойства.

   Откроется окно свойств Сервера мобильных устройств.

5. В окне свойств Сервера мобильных устройств Exchange ActiveSync выберите раздел Почтовые ящики.
6. Выберите почтовый ящик и нажмите на кнопку Изменить профили.

   Откроется окно Профили политики.

7. В окне Профили политики выберите профиль, который вы хотите удалить, и нажмите на кнопку удаления с красным крестом.

   Выбранный профиль будет удален из списка профилей управления. К EAS-устройствам, находящимся под управлением удаленного профиля, будет применен текущий профиль по умолчанию.

   Если вы хотите удалить текущий профиль по умолчанию, назначьте свойство "профиль по умолчанию" другому профилю, затем удалите профиль.

Работа с политиками Exchange ActiveSync

После установки Сервера мобильных устройств Exchange ActiveSync в разделе Почтовые ящики окна свойств этого Сервера вы можете посмотреть информацию об учетных записях сервера Microsoft Exchange, полученных в результате опроса текущего домена либо леса доменов.

Кроме того, в окне свойств Сервера мобильных устройств Exchange ActiveSync вы можете использовать следующие кнопки:

• Изменить профили – позволяет открыть окно Профили политики, содержащее список политик, полученных с сервера Microsoft Exchange. В этом окне можно создавать, изменять или удалять политики Exchange ActiveSync. Окно Профили политики почти полностью соответствует окну редактирования политик в консоли Exchange Management Console.
• Назначить профили мобильным устройствам – позволяет назначить выбранную политику Exchange ActiveSync одной или нескольким учетным записям.
• Вкл/выкл ActiveSync – позволяет включить или выключить HTTP протокол Exchange ActiveSync для одной или нескольких учетных записей.

Настройка области проверки

В свойствах установленного Сервера мобильных устройств Exchange ActiveSync в разделе Параметры вы можете настроить область проверки. По умолчанию область проверки – это текущий домен, в котором установлен Сервер мобильных устройств Exchange ActiveSync. При выборе значения Весь лес доменов область проверки расширится на весь лес доменов.

Работа с EAS-устройствами

Устройства, полученные в результате сканирования сервера Microsoft Exchange, попадают в единый список устройств, который находится в узле Управление мобильными устройствами в папке Мобильные устройства.

Если вы хотите, чтобы в папке Мобильные устройства отображались только устройства Exchange ActiveSync (далее EAS-устройства), отфильтруйте список устройств по ссылке Exchange ActiveSync (EAS), расположенной над ним.

Вы можете управлять EAS-устройствами с помощью команд. Например, команда Сбросить настройки до заводских позволяет удалить все данные с устройства и сбросить настройки устройства до заводских. Эта команда полезна в случае кражи или потери устройства, когда необходимо избежать попадания корпоративных или персональных данных к третьим лицам.

Если с устройства были удалены все данные, то при следующем подключении этого устройства к серверу Microsoft Exchange с него снова будут удалены все данные. Команда будет повторяться до тех пор, пока устройство не будет удалено из списка устройств. Такое поведение обусловлено особенностями работы сервера Microsoft Exchange.

Чтобы удалить EAS-устройство из списка, в контекстном меню устройства выберите пункт Удалить. Если с EAS-устройства не будет удалена учетная запись Exchange ActiveSync, то при последующей синхронизации устройства с сервером Microsoft Exchange оно снова появится в списке устройств.

Просмотр информации о EAS-устройстве

Чтобы просмотреть информацию о EAS-устройстве:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте EAS-устройства по типу протокола управления (по ссылке Exchange ActiveSync (EAS)).
3. В контекстном меню мобильного устройства выберите пункт Свойства.

   В результате откроется окно свойств EAS-устройства.

В окне свойств мобильного устройства отображается информация о подключенном EAS-устройстве.

Отключение EAS-устройства от управления

Чтобы отключить EAS-устройство от управления Сервером мобильных устройств Exchange ActiveSync:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте EAS-устройства по типу протокола управления (по ссылке Exchange ActiveSync (EAS)).
3. Выберите мобильное устройство, которое вы хотите отключить от управления Сервером мобильных устройств Exchange ActiveSync.
4. В контекстном меню мобильного устройства выберите пункт Удалить.

В результате EAS-устройство будет отмечено на удаление значком с красным крестом. Фактическое удаление мобильного устройства из списка управляемых устройств произойдет после его удаления из базы данных Сервера мобильных устройств Exchange ActiveSync. Для этого администратору необходимо удалить учетную запись пользователя на сервере Microsoft Exchange.

Права пользователя для управления мобильными устройствами Exchange ActiveSync

Для управления мобильными устройствами, которые работают по протоколу Exchange ActiveSync с сервером Microsoft Exchange Server 2010 или Microsoft Exchange Server 2013, необходимо, чтобы пользователь был членом ролевой группы, для которой разрешены выполнения следующих командлетов:

• Get-CASMailbox;
• Set-CASMailbox;
• Remove-ActiveSyncDevice;
• Clear-ActiveSyncDevice;
• Get-ActiveSyncDeviceStatistics;
• Get-AcceptedDomain;
• Set-AdServerSettings;
• Get-ActiveSyncMailboxPolicy;
• New-ActiveSyncMailboxPolicy;
• Set-ActiveSyncMailboxPolicy;
• Remove-ActiveSyncMailboxPolicy.

Для управления мобильными устройствами, которые работают по протоколу Exchange ActiveSync с сервером Microsoft Exchange Server 2007, необходимо, чтобы пользователь обладал административными правами. В случае их отсутствия выполните командлеты для наделения административными правами пользователя (см. таблицу ниже).

Административные права для управления мобильными устройствами Exchange ActiveSync для Microsoft Exchange Server 2007

Подробную информацию об использовании командлетов в консоли Exchange Management Shell см. на веб-сайте технической поддержки Microsoft Exchange Server.

Управление iOS MDM-устройствами

В этом разделе описаны дополнительные возможности управления iOS MDM-устройствами с помощью Kaspersky Security Center. Для управления iOS MDM-устройствами программа поддерживает следующие возможности:

• Централизованно настраивать параметры управляемых iOS MDM-устройств и ограничивать функции устройств с помощью конфигурационных профилей. Вы можете добавлять и изменять конфигурационные профили и устанавливать профили на мобильные устройства.
• Устанавливать приложения на мобильные устройства не через App Store с помощью provisioning-профилей. Например, с помощью provisioning-профилей можно устанавливать на мобильные устройства пользователей корпоративные приложения, разработанные внутри компании. Provisioning-профиль содержит информацию о приложении и мобильном устройстве.
• Устанавливать приложения на iOS MDM-устройство через App Store. Перед установкой приложения на iOS MDM-устройство приложение необходимо добавить на Сервер iOS MDM.

Каждые 24 часа всем подключенным iOS MDM-устройствам отправляется PUSH-нотификация для синхронизации данных с Сервером iOS MDM.

Информацию о конфигурационном профиле и provisioning–профиле, а также о приложениях, установленных на iOS MDM-устройстве, можно просмотреть в окне свойств устройства.

Подписание iOS MDM-профиля сертификатом

Вы можете подписать iOS MDM-профиль сертификатом. Вы можете использовать сертификат, выписанный вами самостоятельно, или получить сертификат от доверенного центра сертификации.

iOS-устройства отображают отказ от ответственности для неподписанных профилей и предлагают пользователю доверять подписывающему лицу при установке профиля.

Чтобы подписать iOS MDM-профиль сертификатом:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.
3. В окне свойств папки выберите раздел Параметры подключения iOS-устройств.
4. Нажмите на кнопку Обзор под полем Выбрать файл сертификата.

   Откроется окно Сертификат.

5. В поле Тип сертификата выберите открытый или закрытый тип сертификата:
   • Если выбрано значение Контейнер PKCS#12, укажите файл сертификата и пароль.
   • Если выбрано значение X.509-сертификат:
     1. укажите файл закрытого ключа (файл с расширением prk или pem);
     2. укажите пароль закрытого ключа;
     3. укажите файл открытого ключа (файл с расширением cer).
6. Нажмите на кнопку ОК.

iOS MDM-профиль подписан сертификатом.

Добавление конфигурационного профиля

Чтобы создать конфигурационный профиль, вы можете использовать приложение Apple Configurator 2, которое доступно на веб-сайте Apple Inc. Приложение Apple Configurator 2 работает только на устройствах под управлением macOS; если у вас нет таких устройств, вы можете использовать iPhone Configuration Utility на устройстве с установленной Консолью администрирования. Apple Inc. больше не поддерживает iPhone Configuration Utility.

Чтобы создать конфигурационный профиль с помощью iPhone Configuration Utility и добавить его на Сервер iOS MDM:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В рабочей области папки Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
4. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера мобильных устройств.

5. В окне свойств Сервера iOS MDM выберите раздел Конфигурационные профили.
6. В разделе Конфигурационные профили нажмите на кнопку Создать.

   Откроется окно Новый конфигурационный профиль.

7. В окне Новый конфигурационный профиль укажите название профиля и идентификатор профиля.

   Идентификатор конфигурационного профиля должен быть уникальным, значение идентификатора следует задавать в формате Reverse-DNS, например, com.companyname.identifier.

8. Нажмите на кнопку ОК.

   Запустится программа iPhone Configuration Utility, если она установлена.

9. Выполните настройку параметров профиля в программе iPhone Configuration Utility.

   Описание параметров профиля и инструкции по его настройке приведены в документации для программы iPhone Configuration Utility.

После настройки параметров профиля в программе iPhone Configuration Utility, новый конфигурационный профиль отображается в разделе Конфигурационные профили в окне свойств Сервера iOS MDM.

По кнопке Изменить конфигурационный профиль можно отредактировать.

По кнопке Импортировать можно загрузить конфигурационный профиль в программу.

По кнопке Экспортировать конфигурационный профиль можно сохранить в файле.

Созданный профиль требуется установить на iOS MDM-устройства.

Установка конфигурационного профиля на устройство

Чтобы установить конфигурационный профиль на мобильное устройство:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте iOS MDM-устройства по протоколу управления iOS MDM.
3. Выберите мобильное устройство пользователя, на которое нужно установить конфигурационный профиль

   Вы можете выбрать несколько мобильных устройств, чтобы установить на них профиль одновременно.

4. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
5. В окне Команды для управления мобильным устройством перейдите в раздел Установить профиль и нажмите на кнопку Отправить команду.

   Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню мобильного устройства пункт Все команды, затем Установить профиль.

   В результате откроется окно Выбор профилей со списком профилей. Выберите в списке профиль, который нужно установить на мобильное устройство. Вы можете выбрать и установить на мобильное устройство несколько профилей одновременно. Чтобы выбрать диапазон профилей, используйте клавишу SHIFT. Для объединения отдельных профилей в группу используйте клавишу CTRL.

6. Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.

   В результате выполнения команды выбранный конфигурационный профиль будет установлен на мобильное устройство пользователя. В случае успешного выполнения команды текущий статус команды в журнале команд примет значение Выполнено.

   По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.

   По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.

   В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.

7. Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.

Вы можете просмотреть профиль, который вы установили, и удалить его, если необходимо.

Удаление конфигурационного профиля с устройства

Чтобы удалить конфигурационный профиль с мобильного устройства:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте iOS MDM-устройства по ссылке iOS MDM.
3. Выберите мобильное устройство пользователя, с которого нужно удалить конфигурационный профиль.

   Вы можете выбрать несколько мобильных устройств, чтобы удалить с них профиль одновременно.

4. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
5. В окне Команды для управления мобильным устройством перейдите в раздел Удалить профиль и нажмите на кнопку Отправить команду.

   Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню устройства пункт Все команды, затем Удалить профиль.

   В результате откроется окно Удаление профилей со списком профилей.

6. Выберите в списке профиль, который нужно удалить с мобильного устройства. Вы можете выбрать и удалить с мобильного устройства несколько профилей одновременно. Чтобы выбрать диапазон профилей, используйте клавишу SHIFT. Для объединения отдельных профилей в группу используйте клавишу CTRL.
7. Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.

   В результате выполнения команды выбранный конфигурационный профиль будет удален с мобильного устройства пользователя. В случае успешного выполнения команды текущий статус команды примет значение Завершена.

   По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.

   По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.

   В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.

8. Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.

Добавление нового устройства посредством публикации ссылки на профиль

В Консоли администрирования с помощью мастера подключения мобильного устройства администратор создает новый iOS MDM-профиль. В результате работы мастера будут выполнены следующие действия:

• iOS MDM-профиль автоматически опубликуется на Веб-сервере.
• Пользователю будет отправлена ссылка на iOS MDM-профиль в SMS-сообщении или по электронной почте. После получения ссылки пользователь установит iOS MDM-профиль на мобильном устройстве.
• В результате мобильное устройство будет подключено к Серверу iOS MDM.

В связи с введенным компанией Apple ужесточением политики безопасности, для подключения мобильного устройства с операционной системой iOS 11 к Серверу администрирования с настроенной интеграцией с Public Key Infrastructure (PKI) необходимо настроить протоколы версий TLS 1.1 и TLS 1.2.

Добавление нового устройства посредством установки профиля администратором

Чтобы подключить мобильное устройство к Серверу iOS MDM с помощью установки iOS MDM-профиля на мобильное устройство, администратор должен выполнить следующие действия:

1. В Консоли администрирования открыть мастер подключения нового устройства.
2. Создать новый iOS MDM-профиль, установив в окне мастера создания профиля флажок Показать сертификат после завершения работы мастера.
3. Сохранить iOS MDM-профиль.
4. Установить iOS MDM-профиль на мобильное устройство пользователя с помощью утилиты Apple Configurator.

В результате мобильное устройство будет подключено к Серверу iOS MDM.

В связи с введенным компанией Apple ужесточением политики безопасности, для подключения мобильного устройства с операционной системой iOS 11 к Серверу администрирования с настроенной интеграцией с Public Key Infrastructure (PKI) необходимо настроить протоколы версий TLS 1.1 и TLS 1.2.

Добавление provisioning-профиля

Чтобы добавить provisioning-профиль на Сервер iOS MDM:

1. В дереве консоли откройте папку Управление мобильными устройствами.
2. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
4. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера мобильных устройств.

5. В окне свойств Сервера iOS MDM перейдите в раздел Provisioning-профили.
6. В разделе Provisioning-профили нажмите на кнопку Импортировать и укажите путь к файлу provisioning-профиля.

Профиль будет добавлен в параметры Сервера iOS MDM.

По кнопке Экспортировать provisioning-профиль можно сохранить в файле.

Вы можете установить provisioning-профиль, который вы импортировали, на iOS MDM-устройства.

Установка provisioning-профиля на устройство

Чтобы установить provisioning-профиль на мобильное устройство:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте iOS MDM-устройства по протоколу управления iOS MDM.
3. Выберите мобильное устройство пользователя, на которое нужно установить provisioning-профиль.

   Вы можете выбрать несколько мобильных устройств, чтобы установить на них provisioning-профиль одновременно.

4. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
5. В окне Команды для управления мобильным устройством перейдите в раздел Установить provisioning-профиль и нажмите на кнопку Отправить команду.

   Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню мобильного устройства пункт Все команды, затем Установить provisioning-профиль.

   В результате откроется окно Выбор provisioning-профилей со списком provisioning-профилей. Выберите в списке provisioning-профиль, который нужно установить на мобильное устройство. Вы можете выбрать и установить на мобильное устройство несколько provisioning-профилей одновременно. Чтобы выбрать диапазон provisioning-профилей, используйте клавишу SHIFT. Для объединения отдельных provisioning-профилей в группу используйте клавишу CTRL.

6. Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.

   В результате выполнения команды выбранный provisioning-профиль будет установлен на мобильное устройство пользователя. В случае успешного выполнения команды текущий статус команды в журнале команд принимает значение Завершена.

   По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.

   По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.

   В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.

7. Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.

Вы можете просмотреть профиль, который вы установили, и удалить его, если необходимо.

Удаление provisioning-профиля с устройства

Чтобы удалить provisioning-профиль с мобильного устройства:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте iOS MDM-устройства по протоколу управления iOS MDM.
3. Выберите мобильное устройство пользователя, с которого нужно удалить provisioning-профиль.

   Вы можете выбрать несколько мобильных устройств, чтобы удалить с них provisioning-профиль одновременно.

4. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
5. В окне Команды для управления мобильным устройством перейдите в раздел Удалить provisioning-профиль и нажмите на кнопку Отправить команду.

   Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню устройства пункт Все команды, затем Удалить provisioning-профиль.

   В результате откроется окно Удаление provisioning-профилей со списком профилей.

6. Выберите в списке provisioning-профиль, который нужно удалить с мобильного устройства. Вы можете выбрать и удалить с мобильного устройства несколько provisioning-профилей одновременно. Чтобы выбрать диапазон provisioning-профилей, используйте клавишу SHIFT. Для объединения отдельных provisioning-профилей в группу используйте клавишу CTRL.
7. Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.

   В результате выполнения команды выбранный provisioning-профиль будет удален с мобильного устройства пользователя. Приложения, связанные с удаленным provisioning-профилем, не будут работать. В случае успешного выполнения команды текущий статус команды примет значение Завершена.

   По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.

   По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.

   В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.

8. Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.

Добавление управляемого приложения

Перед установкой приложения на iOS MDM-устройство приложение необходимо добавить на Сервер iOS MDM. Приложение является управляемым, если оно было установлено на устройство с помощью Kaspersky Security Center. Управляемым приложением можно дистанционно управлять средствами Kaspersky Security Center.

Чтобы добавить управляемое приложение на Сервер iOS MDM:

1. В дереве консоли откройте папку Управление мобильными устройствами.
2. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
4. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

5. В окне свойств Сервера iOS MDM выберите раздел Управляемые приложения.
6. В разделе Управляемые приложения нажмите на кнопку Добавить.

   Откроется окно Добавление приложения.

7. В окне Добавление приложения в поле Название приложения укажите название добавляемого приложения.
8. В поле Apple ID приложения или ссылка на приложение в App Store укажите Apple ID добавляемого приложения или ссылку на манифест-файл, по которой можно загрузить приложение.
9. Если вы хотите, чтобы при удалении iOS MDM-профиля одновременно с профилем с мобильного устройства пользователя было удалено и управляемое приложение, установите флажок Удалять вместе с iOS MDM-профилем.
10. Если вы хотите запретить резервное копирование данных приложения с помощью iTunes, установите флажок Запретить создавать резервные копии данных.
11. Нажмите на кнопку ОК.

Добавленное приложение отображается в разделе Управляемые приложения окна свойств Сервера iOS MDM.

Установка приложения на мобильное устройство

Чтобы установить приложение на мобильное устройство iOS MDM:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. Выберите iOS MDM-устройство, на которое нужно установить приложение.

   Вы можете выбрать несколько мобильных устройств, чтобы установить на них приложение одновременно.

3. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
4. В окне Команды для управления мобильным устройством перейдите в раздел Установить приложение и нажмите на кнопку Отправить команду.

   Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню мобильного устройства пункт Все команды, затем Установить приложение.

   В результате откроется окно Выбор приложений со списком профилей. Выберите в списке приложение, которое нужно установить на мобильное устройство. Вы можете выбрать и установить на мобильное устройство несколько приложений одновременно. Чтобы выбрать диапазон приложений, используйте клавишу SHIFT. Для объединения отдельных приложений в группу используйте клавишу CTRL.

5. Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.

   В результате выполнения команды выбранное приложение будет установлено на мобильное устройство пользователя. В случае успешного выполнения команды текущий статус команды в журнале команд принимает значение Завершена.

   По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз. По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.

   В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.

6. Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.

Информация об установленном приложении отображается в свойствах мобильного устройства iOS MDM. Вы можете удалить приложение с мобильного устройства с помощью журнала команд или из контекстного меню мобильного устройства.

Удаление приложения с устройства

Чтобы удалить приложение с мобильного устройства:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте iOS MDM-устройства по протоколу управления iOS MDM.
3. Выберите мобильное устройство пользователя, с которого нужно удалить приложение.

   Вы можете выбрать несколько мобильных устройств, чтобы удалить с них приложение одновременно.

4. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
5. В окне Команды для управления мобильным устройством перейдите в раздел Удалить приложение и нажмите на кнопку Отправить команду.

   Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню мобильного устройства пункт Все команды, затем Удалить приложение.

   В результате откроется окно Удаление приложений со списком приложений.

6. Выберите в списке приложение, которое нужно удалить с мобильного устройства. Вы можете выбрать и удалить с устройства несколько приложений одновременно. Чтобы выбрать диапазон приложений, используйте клавишу SHIFT. Для объединения отдельных приложений в группу используйте клавишу CTRL.
7. Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.

   В результате выполнения команды выбранное приложение будет удалено с мобильного устройства пользователя. В случае успешного выполнения команды текущий статус команды примет значение Завершена.

   По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.

   По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.

   В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.

8. Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.

Настройка параметров роуминга на мобильном устройстве iOS MDM

Развернуть все | Свернуть все

Чтобы настроить параметры роуминга:

1. В дереве консоли откройте папку Управление мобильными устройствами.
2. В папке Управление мобильными устройствами выберите подпапку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

3. Выберите iOS MDM-устройство пользователя, для которого нужно настроить роуминг.

   Вы можете выбрать несколько мобильных устройств, чтобы настроить для них роуминг одновременно.

4. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
5. В окне Команды для управления мобильным устройством перейдите в раздел Настроить параметры роуминга и нажмите на кнопку Отправить команду.

   Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню устройства пункт Все команды → Настроить параметры роуминга.

6. В окне Параметры роуминга укажите нужные вам параметры:
   • Включить роуминг данных

     Если параметр включен, на мобильном устройстве iOS MDM включен роуминг. Пользователь iOS MDM-устройства может пользоваться интернетом в роуминге.

     По умолчанию параметр выключен.

Параметры роуминга настроены для выбранных устройств.

Просмотр информации о iOS MDM-устройстве

Чтобы просмотреть информацию о iOS MDM-устройстве:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте iOS MDM-устройства по ссылке iOS MDM.
3. Выберите мобильное устройство, информацию о котором нужно просмотреть.
4. В контекстном меню мобильного устройства выберите пункт Свойства.

   В результате откроется окно свойств iOS MDM-устройства.

В окне свойств мобильного устройства отображается информация о подключенном iOS MDM-устройстве.

Отключение iOS MDM-устройства от управления

Чтобы отключить iOS MDM-устройство от Сервера iOS MDM:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте iOS MDM-устройства по ссылке iOS MDM.
3. Выберите мобильное устройство, которое необходимо отключить.
4. В контекстном меню мобильного устройства выберите пункт Удалить.

В результате iOS MDM-устройство будет отмечено в списке на удаление. Мобильное устройство будет автоматически удалено из списка управляемых устройств после его удаления из базы данных Сервера iOS MDM. Удаление мобильного устройства из базы данных Сервера iOS MDM происходит в течение одной минуты.

В результате отключения iOS MDM-устройства от управления с мобильного устройства будут удалены все установленные конфигурационные профили, iOS MDM-профиль и приложения, для которых был выбран параметр Удалять вместе с iOS MDM-профилем.

Отправка команд на устройство

Чтобы отправить команду на iOS MDM-устройство:

1. В Консоли администрирования разверните узел Управление мобильными устройствами.
2. Выберите папку Мобильные устройства.
3. В папке Мобильные устройства выбрать мобильное устройство, на которое необходимо отправить команды.
4. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
5. Во всплывающем списке выберите необходимую команду для отправки на мобильное устройство.

Проверка статуса исполнения отправленных команд

Чтобы проверить статус выполнения команды, отправленной на мобильное устройство:

1. В Консоли администрирования разверните узел Управление мобильными устройствами.
2. Выберите папку Мобильные устройства.
3. В папке Мобильные устройства выбрать мобильное устройство, на котором необходимо проверить статус выполнения отправленных команд.
4. В контекстном меню мобильного устройства выберите пункт Показать журнал команд.

Управление KES-устройствами

В Kaspersky Security Center вы можете управлять KES-устройствами следующими способами:

• централизованно управлять KES-устройствами с помощью команд;
• просматривать информацию о параметрах управления KES-устройствами;
• устанавливать приложения с помощью пакетов мобильных приложений;
• отключать KES-устройства от управления.

Создание пакета мобильных приложений для KES-устройств

Для создания пакета мобильных приложений для KES-устройств необходима лицензия Kaspersky Endpoint Security для Android.

Чтобы создать пакет мобильных приложений:

1. В дереве консоли в папке Удаленная установка выберите вложенную папку Инсталляционные пакеты.

   Папка Удаленная установка по умолчанию вложена в папку Дополнительно.

2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите значение Управлять пакетами мобильных приложений.
3. В окне Управление пакетами мобильных приложений нажмите на кнопку Новый.
4. Запустится мастер создания пакета мобильных приложений. Следуйте далее указаниям мастера.

Созданный пакет мобильных приложений отобразится в окне Управление пакетами мобильных приложений.

Включение проверки подлинности на основе сертификатов KES-устройств

Чтобы включить проверке подлинности на основе сертификатов KES-устройства:

1. Откройте системный реестр клиентского устройства, на котором установлен Сервер администрирования, например, локально с помощью команды regedit в меню Пуск → Выполнить.
2. Перейдите в раздел:
   • для 32-разрядной системы:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\.core\.independent\KLLIM

   • для 64-разрядной системы:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\.core\.independent\KLLIM

3. Создайте ключ с именем LP_MobileMustUseTwoWayAuthOnPort13292.
4. Укажите тип ключа REG_DWORD.
5. Установите значение ключа 1.
6. Перезапустите службу Сервера администрирования.

В результате обязательная проверка подлинности на основе сертификатов KES-устройства с использованием общего сертификата будет включена после запуска службы Сервера администрирования.

При первом подключении KES-устройства к Серверу администрирования наличие сертификата не обязательно.

По умолчанию проверка подлинности на основе сертификатов KES-устройств отключена.

Просмотр информации о KES-устройстве

Чтобы просмотреть информацию о KES-устройстве:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте KES-устройства по протоколу управления KES.
3. Выберите мобильное устройство, информацию о котором нужно просмотреть.
4. В контекстном меню мобильного устройства выберите пункт Свойства.

В результате откроется окно свойств KES-устройства.

В окне свойств мобильного устройства отображается информация о подключенном KES-устройстве.

Отключение KES-устройства от управления

Чтобы отключить KES-устройство от управления, пользователь должен удалить Агент администрирования с мобильного устройства. После удаления пользователем Агента администрирования информация о мобильном устройстве удаляется из базы данных Сервера администрирования и администратор может удалить мобильное устройство из списка управляемых устройств.

Чтобы удалить KES-устройство из списка управляемых устройств:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте KES-устройства по протоколу управления KES.
3. Выберите мобильное устройство, которое необходимо отключить от управления.
4. В контекстном меню мобильного устройства выберите пункт Удалить.

В результате мобильное устройство будет удалено из списка управляемых устройств.

Если Kaspersky Endpoint Security для Android не удален с мобильного устройства, то после синхронизации с Сервером администрирования мобильное устройство снова появится в списке управляемых устройств.