Содержание
Подготовка к управлению мобильными устройствами
Этот раздел содержит информацию:
- о сервере мобильных устройств Exchange ActiveSync для управления мобильными устройствами по протоколу Exchange ActiveSync;
- о сервере iOS MDM для управления iOS-устройствами путем установки на них специализированных iOS MDM-профилей;
- об управлении мобильными устройствами с установленным приложением Kaspersky Endpoint Security для Android.
Сервер мобильных устройств Exchange ActiveSync
Сервер мобильных устройств Exchange ActiveSync позволяет управлять мобильными устройствами, которые подключаются к Серверу администрирования по протоколу Exchange ActiveSync (EAS-устройствами).
Способы развертывания Сервера мобильных устройств Exchange ActiveSync
Если в организации развернуто несколько серверов Microsoft Exchange с ролью клиентского доступа, объединенных в массив (Client Access Server Array), то Сервер мобильных устройств Exchange ActiveSync следует устанавливать на каждый сервер в массиве. В мастере установки Сервера мобильных устройств Exchange ActiveSync необходимо выбрать Режим кластера. В этом случае совокупность экземпляров Сервера мобильных устройств Exchange ActiveSync, установленных на серверы массива, будет называться кластером Серверов мобильных устройств Exchange ActiveSync.
Если в организации не развернут массив серверов Microsoft Exchange с ролью клиентского доступа, то Сервер мобильных устройств Exchange ActiveSync следует устанавливать на сервер Microsoft Exchange, имеющий роль Client Access. При этом в мастере установки Сервера мобильных устройств Exchange ActiveSync необходимо выбрать Обычный режим.
Вместе с Сервером мобильных устройств Exchange ActiveSync на устройство необходимо установить Агент администрирования, с помощью которого осуществляется интеграция Сервера с Kaspersky Security Center.
По умолчанию область проверки Сервера мобильных устройств Exchange ActiveSync – это текущий домен Active Directory, в котором он установлен. В случае развертывания Сервера мобильных устройств Exchange ActiveSync на сервере Microsoft Exchange 2010–2013 имеется возможность расширить область сканирования на весь лес доменов, см. раздел Настройка области проверки. Запрашиваемая при проверке информация включает в себя учетные записи пользователей сервера Microsoft Exchange, политики Exchange ActiveSync и мобильные устройства пользователей, подключенные к серверу Microsoft Exchange по протоколу Exchange ActiveSync.
В пределах одного домена недопустима установка нескольких экземпляров Сервера мобильных устройств Exchange ActiveSync, работающих в Обычный режим и управляемых одним и тем же Сервером администрирования. В пределах одного леса доменов Active Directory также недопустима установка нескольких экземпляров Сервера мобильных устройств Exchange ActiveSync (или нескольких кластеров Сервера мобильных устройств Exchange ActiveSync), работающих в Обычный режим, с расширенной областью проверки на весь лес доменов и подключенных к одному и тому же Серверу администрирования.
Необходимые права для развертывания Сервера мобильных устройств Exchange ActiveSync
Для развертывания Сервера мобильных устройств Exchange ActiveSync на серверах Microsoft Exchange 2010–2013 требуются права доменного администратора и роль Organization Management. Для развертывания Сервера мобильных устройств Exchange ActiveSync на сервере Microsoft Exchange 2007 требуются права доменного администратора и членство в группе безопасности Exchange Organization Administrators.
Учетная запись для работы службы Exchange ActiveSync
В процессе установки Сервера мобильных устройств Exchange ActiveSync в Active Directory автоматически создается учетная запись:
- на сервере Microsoft Exchange 2010–2013 – учетная запись KLMDM4ExchAdmin***** с ролью KLMDM Role Group;
- на сервере Microsoft Exchange 2007 – учетная запись KLMDM4ExchAdmin*****, являющаяся членом группы безопасности KLMDM Secure Group.
Под этой учетной записью работает служба Сервера мобильных устройств Exchange ActiveSync.
Если вы хотите отказаться от автоматического создания учетной записи, то необходимо создать собственную учетную запись, обладающую следующими правами:
- В случае использования сервера Microsoft Exchange 2010–2013 учетная запись должна обладать ролью, для которой разрешено выполнение следующих командлетов:
- Get-CASMailbox;
- Set-CASMailbox;
- Remove-ActiveSyncDevice;
- Clear-ActiveSyncDevice;
- Get-ActiveSyncDeviceStatistics;
- Get-AcceptedDomain;
- Set-AdServerSettings;
- Get-ActiveSyncMailboxPolicy;
- New-ActiveSyncMailboxPolicy;
- Set-ActiveSyncMailboxPolicy;
- Remove-ActiveSyncMailboxPolicy.
- В случае использования сервера Microsoft Exchange 2007, для учетной записи должны быть назначены права доступа к объектам Active Directory (см. таблицу ниже).
Права доступа к объектам Active Directory
Доступ
Объект
Командлет
Полный
Ветка "CN=Mobile Mailbox Policies,CN=<
Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"Add-ADPermission -User <Имя пользователя или группы> -Identity "CN=Mobile Mailbox Policies,CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>" -InheritanceType All -AccessRight GenericAllЧтение
Ветка "CN=<
Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"Add-ADPermission -User <Имя пользователя или группы> -Identity "CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>" -InheritanceType All -AccessRight GenericReadЧтение и запись
Свойства msExchMobileMailboxPolicyLink и msExchOmaAdminWirelessEnable для объектов в Active Directory
Add-ADPermission -User <Имя пользователя или группы> -Identity "DC=<Имя домена>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnableРасширенное право ms-Exch-Store-Active
Хранилища почтовых ящиков Exchange-сервера, ветка "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<
Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"Get-MailboxDatabase | Add-ADPermission -User <Имя пользователя или группы> -ExtendedRights ms-Exch-Store-Admin
Сервер iOS MDM
Сервер iOS MDM позволяет осуществлять управление iOS-устройствами путем установки на них специализированных iOS MDM-профилей. Поддерживаются следующие функции:
- блокирование устройства;
- сброс пароля;
- удаление данных устройства;
- установка или удаление приложений;
- применение iOS MDM-профиля с дополнительными параметрами (такими как параметры VPN, почты, Wi-Fi, камеры, сертификаты, и так далее).
Сервер iOS MDM представляет собой веб-службу, которая принимает входящие соединения от мобильных устройств на свой TLS-порт (по умолчанию порт 443) и управляется со стороны Kaspersky Security Center с помощью Агента администрирования. Агент администрирования устанавливается локально на устройстве с развернутым Сервером iOS MDM.
В процессе развертывания Сервера iOS MDM администратору необходимо выполнить следующие действия:
- обеспечить Агенту администрирования доступ к Серверу администрирования;
- обеспечить мобильным устройствам доступ к TCP-порту Сервера iOS MDM.
В этом разделе рассмотрены две типовые конфигурации Сервера iOS MDM.
Типовая конфигурация: Kaspersky Device Management для iOS в демилитаризованной зоне
Сервер iOS MDM располагается в демилитаризованной зоне сети организации с доступом в интернет. Особенностью данного подхода является отсутствие проблем с доступностью веб-службы iOS MDM из интернета со стороны устройств.
Так как для управления Сервером iOS MDM требуется локально установленный Агент администрирования, необходимо обеспечить взаимодействие этого Агента администрирования с Сервером администрирования. Это можно сделать следующими способами:
- Поместить Сервер администрирования в демилитаризованную зону.
- Использовать шлюз соединений:
- На устройстве с развернутым Сервером iOS MDM подключить Агент администрирования к Серверу администрирования через шлюз соединений.
- На устройстве с развернутым Сервером iOS MDM назначить Агент администрирования шлюзом соединений.
Типовая конфигурация: Сервер iOS MDM в локальной сети организации
Сервер iOS MDM располагается во внутренней сети организации. Порт 443 (порт по умолчанию) должен быть доступным извне, например, путем публикации веб-службы iOS MDM на обратном прокси-сервере, который поддерживает использование Kerberos Constrained Delegation.
В любой типовой конфигурации потребуется обеспечить доступность для Сервера iOS MDM веб-сервисов Apple (диапазон адресов 17.0.0.0/8) по порту TCP 2197. Этот порт используется для оповещения устройств о новых командах через специализированный сервис APNs.
В началоУправление мобильными устройствами с установленным Kaspersky Endpoint Security для Android
Управление мобильными устройствами с установленным приложением Kaspersky Endpoint Security для Android (далее KES-устройства) осуществляется с помощью Сервера администрирования. Kaspersky Security Center поддерживает следующие возможности управления KES-устройствами:
- работа с мобильными устройствами как с клиентскими устройствами:
- членство в группах администрирования;
- мониторинг, например просмотр статусов, событий и отчетов;
- изменение локальных параметров и назначение политик для приложения Kaspersky Endpoint Security для Android;
- централизованная отправка команд;
- удаленная установка пакетов мобильных приложений.
Сервер администрирования управляет KES-устройствами по протоколу TLS, TCP-порт 13292.