Развертывание системы управления по протоколу Exchange ActiveSync

Kaspersky Security Center позволяет управлять мобильными устройствами, которые подключаются к Серверу администрирования по протоколу Exchange ActiveSync. Мобильными устройствами Exchange ActiveSync (EAS-устройствами) называются мобильные устройства, подключенные к Серверу мобильных устройств Exchange ActiveSync и находящиеся под управлением Сервера администрирования.

Протокол Exchange ActiveSync поддерживает следующие операционные системы:

• Windows Phone 8.
• Windows Phone 8.1.
• Windows 10 Mobile.
• Android. 
• iOS.

Набор параметров управления устройством Exchange ActiveSync зависит от операционной системы, под управлением которой находится мобильное устройство. С особенностями поддержки протокола Exchange ActiveSync для конкретной операционной системы можно ознакомиться в документации для этой операционной системы.

Развертывание системы управления мобильными устройствами по протоколу Exchange ActiveSync выполняется в следующей последовательности:

1. Администратор устанавливает на выбранное клиентское устройство Сервер мобильных устройств Exchange ActiveSync.
2. Администратор создает в Консоли администрирования профиль (профили) управления EAS-устройствами и добавляет профиль к почтовым ящикам пользователей Exchange ActiveSync.

   Профиль управления мобильными устройствами Exchange ActiveSync – это политика ActiveSync, которая используется на сервере Microsoft Exchange для управления мобильными устройствами Exchange ActiveSync. Почтовому ящику Microsoft Exchange может быть назначен только один профиль управления EAS-устройствами.

   Пользователи мобильных EAS-устройств подключаются к своим почтовым ящикам Exchange. Профиль управления накладывает ограничения на мобильные устройства.

Установка Сервера мобильных устройств Exchange ActiveSync

Сервер мобильных устройств Exchange ActiveSync устанавливается на клиентское устройство с установленным сервером Microsoft Exchange. Рекомендуется устанавливать Сервер мобильных устройств Exchange ActiveSync на сервер Microsoft Exchange с ролью Client Access. Если в одном домене несколько серверов Microsoft Exchange с ролью Client Access объединены в массив (Client Access Array), то рекомендуется устанавливать Сервер мобильных устройств Exchange ActiveSync в режиме кластера на каждый сервер Microsoft Exchange в массиве.

Чтобы установить Сервер мобильных устройств Exchange ActiveSync на локальном устройстве:

1. Запустите исполняемый файл setup.exe.

   Откроется окно с выбором программ "Лаборатории Касперского" для установки.

2. В окне с выбором программ по ссылке Установить Сервер мобильных устройств Exchange ActiveSync запустите мастер установки Сервера мобильных устройств Exchange ActiveSync.
3. В окне Настройка установки выберите тип установки Сервера мобильных устройств Exchange ActiveSync:
   • Если вы хотите установить Сервер мобильных устройств Exchange ActiveSync с использованием параметров по умолчанию, выберите вариант Стандартная установка и нажмите на кнопку Далее.
   • Если вы хотите задать вручную значения параметров установки Сервера мобильных устройств Exchange ActiveSync, выберите вариант Расширенная установка и нажмите на кнопку Далее. Затем выполните следующие действия:
     1. В окне Папка назначения выберите папку назначения. По умолчанию это <Диск>:\Program Files\Kaspersky Lab\Mobile Device Management for Exchange. Если такой папки нет, она будет создана автоматически в процессе установки. Вы можете изменить папку назначения с помощью кнопки Обзор.
     2. В окне Режим установки выберите режим установки Сервера мобильных устройств Exchange ActiveSync: обычный режим или режим кластера.
     3. В окне Выбор учетной записи выберите учетную запись, которая будет использоваться для управления мобильными устройствами:
        • Создать учетную запись и ролевую группу автоматически. Учетная запись будет создана автоматически.
        • Задать учетную запись. Учетную запись следует выбрать вручную. Нажмите на кнопку Обзор, чтобы выбрать пользователя, учетная запись которого будет использоваться, и укажите пароль. Выбранный пользователь должен входить в группу с правами на управление мобильными устройствами через ActiveSync.
     4. В окне Настройка IIS разрешите или запретите автоматическую настройку параметров веб-сервера Internet Information Services (IIS).

        Если вы запретили автоматическую настройку параметров IIS, включите вручную механизм аутентификации "Windows authentication" в параметрах IIS для виртуальной директории PowerShell. Если механизм аутентификации "Windows authentication" не будет включен, установленный Сервер мобильных устройств Exchange ActiveSync будет неработоспособен. Информацию о работе с параметрами IIS можно прочитать в документации для этого веб-сервера.

     5. Нажмите Далее.
4. В открывшемся окне проверьте значения параметров установки Сервера мобильных устройств Exchange ActiveSync и нажмите на кнопку Установить.

В результате работы мастера будет выполнена установка Сервера мобильных устройств Exchange ActiveSync на локальное устройство. Сервер мобильных устройств Exchange ActiveSync будет отображаться в папке Управление мобильными устройствами дерева консоли.

Подключение мобильных устройств к Серверу мобильных устройств Exchange ActiveSync

Перед подключением мобильных устройств должен быть настроен Microsoft Exchange Server для возможности соединения устройств по протоколу ActiveSync.

Чтобы подключить мобильное устройство к Серверу мобильных устройств Exchange ActiveSync, пользователь с мобильного устройства подключается к своему почтовому ящику Microsoft Exchange, используя ActiveSync. При подключении пользователь в клиенте ActiveSync должен указать параметры подключения, например, адрес электронной почты, пароль электронной почты.

Мобильное устройство пользователя, подключенное к серверу Microsoft Exchange, отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

После подключения мобильного устройства Exchange ActiveSync к Серверу мобильных устройств Exchange ActiveSync администратор может управлять подключенным мобильным устройством Exchange ActiveSync.

Настройка веб-сервера Internet Information Services

При использовании Microsoft Exchange Server версий 2010 и 2013 в настройках веб-сервера Internet Information Services (IIS) необходимо активировать механизм аутентификации Windows для виртуальной директории Windows PowerShell. Активация этого механизма аутентификации выполняется автоматически, если в мастере установки Сервера мобильных устройств Exchange ActiveSync выбран параметр Настроить Microsoft Internet Information Services (IIS) автоматически (поведение по умолчанию).

В противном случае необходимо активировать механизм аутентификации самостоятельно.

Чтобы активировать механизм аутентификации Windows для виртуальной директории PowerShell вручную:

1. В консоли Internet Information Services Manager откройте свойства виртуальной директории PowerShell.
2. Перейдите в раздел Authentication.
3. Выберите Microsoft Windows Authentication и нажмите на кнопку Enable.
4. Откройте дополнительные параметры Advanced Settings.
5. Выберите параметр Enable Kernel-mode authentication.
6. В раскрывающемся списке Extended protection выберите Required.

При использовании Microsoft Exchange Server версии 2007 настройка веб-сервера IIS не требуется.

Локальная установка Сервера мобильных устройств Exchange ActiveSync

Для локальной установки Сервера мобильных устройств Exchange ActiveSync администратор должен выполнить следующие действия:

1. Из дистрибутива Kaspersky Security Center скопировать содержимое папки \Server\Packages\MDM4Exchange\ на клиентское устройство.
2. Запустите исполняемый файл setup.exe.

Локальная установка подразумевает два типа инсталляции:

• Стандартная установка – упрощенная установка, не требующая со стороны администратора настройки каких-либо параметров, рекомендуется в большинстве случаев.
• Расширенная установка – установка, требующая от администратора настройки следующих параметров:
  • путь для установки Сервера мобильных устройств Exchange ActiveSync;
  • режим работы Сервера мобильных устройств Exchange ActiveSync: обычный или в режиме кластера;
  • возможность указания учетной записи, под которой будет работать служба Сервера мобильных устройств Exchange ActiveSync;
  • включение / выключение автоматической настройки веб-сервера IIS.

Мастер установки Сервера мобильных устройств Exchange ActiveSync следует запускать под учетной записью, обладающей необходимыми правами.

Удаленная установка Сервера мобильных устройств Exchange ActiveSync

Для настройки удаленной установки Сервера мобильных устройств Exchange ActiveSync администратор должен выполнить следующие действия:

1. В дереве Консоли администрирования Kaspersky Security Center выбрать папку Удаленная установка, в ней вложенную папку Инсталляционные пакеты.
2. Во вложенной папке Инсталляционные пакеты открыть свойства пакета Сервер мобильных устройств Exchange ActiveSync.
3. Перейти в раздел Параметры.

   В разделе содержатся те же параметры, что и для локальной установки программы.

После настройки удаленной установки можно приступить к установке Сервера мобильных устройств Exchange ActiveSync.

Для установки Сервера мобильных устройств Exchange ActiveSync необходимо выполнить следующие действия:

1. В дереве Консоли администрирования Kaspersky Security Center выбрать папку Удаленная установка, в ней вложенную папку Инсталляционные пакеты.
2. Во вложенной папке Инсталляционные пакеты выбрать пакет Сервер мобильных устройств Exchange ActiveSync.
3. Открыть контекстное меню пакета и выбрать пункт Установить программу.
4. В открывшемся мастере удаленной установки выбрать одно устройство (или несколько устройств при установке в режиме кластера).
5. В поле Запускать мастер установки под указанной учетной записью указать учетную запись, под которой будет запущен процесс установки на удаленном устройстве.

   Учетная запись должна обладать необходимыми правами.