Пользователи и роли пользователей

В этом разделе описана работа с пользователями и ролями пользователей, а также приведены инструкции по их созданию и изменению, назначению пользователям ролей и групп и связи профилей политики с ролями.

Об учетных записях пользователей

Kaspersky Security Center Cloud Console позволяет управлять учетными записями пользователей и группами учетных записей. Приложение поддерживает два типа учетных записей:

• Учетные записи сотрудников организации. Сервер администрирования получает данные об учетных записях этих локальных пользователей при опросе сети организации.
• Учетные записи внутренних пользователей Kaspersky Security Center Cloud Console. Вы можете создавать учетные записи внутренних пользователей на портале. Эти учетные записи используются только в Kaspersky Security Center Cloud Console.

Чтобы просмотреть таблицы учетных записей пользователей и групп безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы.
2. Перейдите на вкладку Пользователи или Группы.

Откроется таблица пользователей или групп безопасности. По умолчанию открытая таблица фильтруется по столбцам Подтип и Имеет назначенные роли. В таблице показаны внутренние пользователи или группы, которым назначены роли.

Если вы хотите просмотреть таблицу только с учетными записями локальных пользователей, установите в фильтре Подтип критерий Локальный.

Если вы переключитесь на подчиненный Сервер администрирования версии 14.2 или ниже, а затем откроете список пользователей или групп безопасности, то открытая таблица будет отфильтрована только по столбцу Подтип. Фильтр по столбцу Имеет назначенные роли не будет применяться по умолчанию. Отфильтрованная таблица будет содержать всех внутренних пользователей или группы безопасности с назначенной ролью и без нее.

Добавление учетной записи внутреннего пользователя

Вы можете добавить внутренних пользователей вашей рабочей области на портале. После добавления внутреннего пользователя вы можете назначить ему роль в Kaspersky Security Center Cloud Console.

О ролях пользователей

Роль пользователя (далее также роль) это объект, содержащий набор прав и разрешений. Роль может быть связана с параметрами приложениями "Лаборатории Касперского", которые установлены на устройстве пользователя. Вы можете назначить роль набору пользователей или набору групп безопасности на любом уровне иерархии групп администрирования, Серверов администрирования либо на уровне конкретных объектов.

Если вы управляете устройствами с помощью иерархии Серверов администрирования, в которую входят виртуальные Серверы администрирования, обратите внимание, что вы можете создавать, изменять и удалять пользовательские роли только на физическом Сервере администрирования. Затем вы можете распространить пользовательские роли на подчиненные Серверы администрирования, в том числе виртуальные Серверы.

Вы можете связывать роли с профилями политик. Если пользователю назначена роль, этот пользователь получает параметры безопасности, требуемые для выполнения служебных обязанностей.

Роль пользователя может быть связана с устройствами пользователей заданной группы администрирования

Область роли пользователя

Область роли пользователя – это комбинация пользователей и групп администрирования. Параметры, связанные с ролью пользователя, применяются только к устройствам, принадлежащим тем пользователям, которым назначена эта роль, и только если эти устройства принадлежат к группам, которым назначена эта роль, включая дочерние группы.

Преимущество использования ролей

Преимущество использования ролей заключается в том, что вам не нужно указывать параметры безопасности для каждого управляемого устройства или для каждого из пользователей отдельно. Количество пользователей и устройств в компании может быть большим, но количество различных функций работы, требующих разных настроек безопасности, значительно меньше.

Отличия от использования профилей политики

Профили политики – это свойства политики, созданной для каждого приложения "Лаборатории Касперского" отдельно. Роль связана со многими профилями политики, которые созданы для разных приложений. Таким образом, роль – это метод объединения параметров для определенного типа пользователя.

Настройка прав доступа к функциям приложения. Управление доступом на основе ролей

Kaspersky Security Center Cloud Console предоставляет доступ на основе ролей к функциям Kaspersky Security Center Cloud Console и к функциям управляемых приложений "Лаборатории Касперского".

Вы можете настроить права доступа к функциям приложения для пользователей Kaspersky Security Center Cloud Console одним из следующих способов:

• настраивать права каждого пользователя или группы пользователей индивидуально;
• создавать типовые роли пользователей с заранее настроенным набором прав и присваивать роли пользователям в зависимости от их служебных обязанностей.

Применение ролей пользователей облегчает и сокращает рутинные действия по настройке прав доступа пользователей к приложению. Права доступа в роли настраивают в соответствии с типовыми задачами и служебными обязанностями пользователей.

Ролям пользователя можно давать названия, соответствующие их назначению. В приложение можно создавать неограниченное количество ролей.

Вы можете использовать предопределенные роли пользователей с уже настроенным набором прав или создавать роли и самостоятельно настраивать необходимые права.

Права доступа к функциям приложения

В таблице ниже приведены функции Kaspersky Security Center Cloud Console с правами доступа для управления задачами, отчетами, параметрами и для выполнения действий пользователя.

Для выполнения действий пользователя, перечисленных в таблице, у пользователя должно быть право, указанное рядом с действием.

Права на Чтение, Запись и Выполнение применимы к любой задаче, отчету или параметрам. В дополнение к этим правам у пользователя должно быть право Выполнение операций с выборками устройств для управления задачами, отчетами или изменения параметров выборок устройств.

Функциональная область Общие функции: Доступ к объектам независимо от их списков ACL предназначена для аудита. Когда пользователям предоставляется право Чтение в этой функциональной области, они получают полный доступ на Чтение ко всем объектам и могут выполнять любые созданные задачи на выбранных устройствах, подключенных к Серверу администрирования через Агент администрирования с правами локального администратора (root для Linux). Рекомендуется предоставлять эти права ограниченному кругу пользователей, которым они нужны для выполнения своих служебных обязанностей.

Все задачи, отчеты, параметры и инсталляционные пакеты, отсутствующие в таблице, относятся к области Общие функции: Базовая функциональность.

Права доступа к функциям приложения

Предопределенные роли пользователей

Роли пользователей, назначенные пользователям Kaspersky Security Center Cloud Console, предоставляют им набор прав доступа к функциям приложения.

Пользователям, которые были созданы на виртуальном Сервере, невозможно назначить роли на Сервере администрирования.

Вы можете использовать предопределенные роли пользователей с уже настроенным набором прав или создавать роли и самостоятельно настраивать необходимые права. Некоторые из предопределенных ролей пользователей, доступных в Kaspersky Security Center Cloud Console, могут быть связаны с определенными должностями, например, Аудитор, Специалист по безопасности, Контролер (эти роли присутствуют в Kaspersky Security Center начиная с версии 11). Права доступа этих ролей предварительно настраиваются в соответствии со стандартными задачами и обязанностями соответствующих должностей. В таблице ниже показано как роли могут быть связаны с определенными должностями.

Примеры ролей для определенных должностей

В таблице ниже приведены права для каждой предопределенной роли пользователя.

Права предопределенных ролей пользователей

Назначение прав доступа к набору объектов

В дополнение к назначению прав доступа на уровне сервера, вы можете настроить доступ к конкретным объектам, например, к требуемой задаче. Приложение позволяет указать права доступа к следующим типам объектов:

• Группы администрирования
• Задачи
• Отчеты
• Выборки устройств
• Выборки событий

Чтобы назначить права доступа к конкретному объекту:

1. В зависимости от типа объекта в главном меню перейдите в соответствующий раздел:
   • Активы (Устройства) → Иерархия групп.
   • Активы (Устройства) → Задачи.
   • Мониторинг и отчеты → Отчеты.
   • Активы (Устройства) → Выборки устройств.
   • Мониторинг и отчеты → Выборки событий.
2. Откройте свойства объекта, к которому вы хотите настроить права доступа.

   Чтобы открыть окно свойств группы администрирования или задачи, нажмите на название объекта. Свойства других объектов можно открыть с помощью кнопки в панели инструментов.

3. В окне свойств откройте раздел Права доступа.

   Откроется список пользователей. Перечисленные пользователи и группы безопасности имеют права доступа к объекту. Если вы используете иерархию групп администрирования или Серверов, список и права доступа по умолчанию наследуются от родительской группы администрирования или главного Сервера.

4. Чтобы иметь возможность изменять список, включите параметр Использовать права пользователей.
5. Настройте права доступа:
   • Используйте кнопки Добавить и Удалить для изменения списка.
   • Укажите права доступа для пользователя или группы безопасности. Выполните одно из следующих действий:
     • Если вы хотите указать права доступа вручную, выберите пользователя или группу безопасности, нажмите на кнопку Права доступа и укажите права доступа.
     • Если вы хотите назначить пользовательскую роль пользователю или группе безопасности, выберите пользователя или группу безопасности, нажмите на кнопку Роли и выберите роль для назначения.
6. Нажмите на кнопку Сохранить.

Права доступа к объекту настроены.

Назначение прав пользователям или группам безопасности

Вы можете назначить права доступа пользователям или группам безопасности, чтобы использовать различные возможности Сервера администрирования, например Kaspersky Endpoint Security для Linux.

Чтобы назначить права доступа пользователю или группе безопасности:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Права доступа установите флажок рядом с именем пользователя или группы безопасности, которым нужно назначить права, а затем нажмите на кнопку Права доступа.

   Вы не можете выбрать несколько пользователей или групп безопасности одновременно. Если вы выберете более одного объекта, кнопка Права доступа будет неактивна.

3. Настройте набор прав для пользователя или группы:
   1. Разверните узел с функциями Сервера администрирования или другого приложения "Лаборатории Касперского".
   2. Установите флажок Разрешить или Запретить рядом с нужной функцией или правом доступа.

      Пример 1: Установите флажок Разрешить рядом с узлом Интеграции приложения, чтобы предоставить пользователю или группе все доступные права доступа к функции интеграции приложения (Чтение, Запись и Выполнение).

      Пример 2: Разверните узел Управление ключами шифрования и установите флажок Разрешить рядом с разрешением Запись, чтобы предоставить пользователю или группе право доступа на Запись к функции управления ключами шифрования.

4. После настройки набора прав доступа нажмите на кнопку ОК.

Набор прав для пользователя или группа пользователей настроен.

Права Сервера администрирования (или группы администрирования) разделены на следующие области:

• Общие функции:
  • Управление группами администрирования
  • Доступ к объектам независимо от их списков ACL
  • Базовая функциональность
  • Удаленные объекты
  • Управление ключами шифрования
  • Обработка событий
  • Операции с Сервером администрирования (только в окне свойств Сервера администрирования)
  • Теги устройств
  • Развертывание приложений "Лаборатории Касперского"
  • Управление лицензионными ключами
  • Интеграция приложения
  • Управление отчетами
  • Иерархия Серверов администрирования
  • Права пользователей
  • Виртуальные Серверы администрирования
• Управление мобильными устройствами:
  • Общие
  • Self Service Portal
• Управление системой:
  • Подключения
  • Удаленное выполнение скриптов
  • Инвентаризация оборудования
  • Network Access Control
  • Развертывание операционной системы
  • Системное администрирование
  • Удаленная установка
  • Инвентаризация приложений

Если для права не выбрано ни Разрешить, ни Запретить, оно считается неопределенным: право отклоняется до тех пор, пока оно не будет явно отклонено или разрешено для пользователя.

Права пользователей являются суммой следующего:

• собственных прав пользователя;
• прав всех ролей, назначенных пользователю;
• прав всех групп безопасности, в которые входит пользователь;
• прав всех ролей, назначенных группам, в которые входит пользователь.

Если хотя бы в одном наборе прав есть запрещенное право (для права установлен флажок Запретить), тогда для пользователя это право запрещено, даже если в других наборах прав оно разрешено или не определено.

Также вы можете добавить пользователей и группы безопасности в область пользовательской роли, чтобы использовать различные возможности Сервера администрирования. Параметры, связанные с ролью пользователя, применяются только к устройствам, принадлежащим тем пользователям, которым назначена эта роль, и только если эти устройства принадлежат к группам, которым назначена эта роль, включая дочерние группы.

Назначение роли пользователю или группе безопасности

Чтобы назначить роли пользователю или группе безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи или Группы.
2. Выберите имя пользователя или группы безопасности, которой нужно назначить роль.

   Можно выбрать несколько имен.

3. В меню нажмите на кнопку Назначить роль.

   Будет запущен мастер назначения роли.

4. Следуйте инструкциям мастера: выберите роль, которую вы хотите назначить выбранным пользователям или группам безопасности, и выберите область действия роли.

   Область роли пользователя – это комбинация пользователей и групп администрирования. Параметры, связанные с ролью пользователя, применяются только к устройствам, принадлежащим тем пользователям, которым назначена эта роль, и только если эти устройства принадлежат к группам, которым назначена эта роль, включая дочерние группы.

В результате роль с набором прав для работы с Сервером администрирования будет назначена пользователю (или пользователям, или группе безопасности). В списке пользователей или групп безопасности отображается флажок в столбце Имеет назначенные роли.

Создание роли пользователя

Чтобы создать роль пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Нажмите на кнопку Добавить.
3. В открывшемся окне Имя новой роли укажите имя новой роли.
4. Нажмите на кнопку ОК, чтобы применить изменения.
5. В открывшемся окне измените параметры роли:
   • На вкладке Общие измените имя роли.

     Вы не можете изменять имена предопределенных ролей.

   • На вкладке Параметры измените область действия роли, а также политики и профили политик, связанные с ролью.
   • На вкладке Права доступа измените права доступа к приложениям "Лаборатории Касперского".
6. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Созданная роль появится в списке ролей пользователей.

Изменение роли пользователя

Чтобы изменить роль пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Выберите роль, которую требуется изменить.
3. В открывшемся окне измените параметры роли:
   • На вкладке Общие измените имя роли.

     Вы не можете изменять имена предопределенных ролей.

   • На вкладке Параметры измените область действия роли, а также политики и профили политик, связанные с ролью.
   • На вкладке Права доступа измените права доступа к приложениям "Лаборатории Касперского".
4. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Обновленная роль появится в списке ролей пользователей.

Изменение области для роли пользователя

Область роли пользователя – это комбинация пользователей и групп администрирования. Параметры, связанные с ролью пользователя, применяются только к устройствам, принадлежащим тем пользователям, которым назначена эта роль, и только если эти устройства принадлежат к группам, которым назначена эта роль, включая дочерние группы.

Чтобы добавить пользователей, группы пользователей и группы администрирования в область роли пользователя, воспользуйтесь одним из следующих способов:

Способ 1:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи или Группы.
2. Установите флажки напротив имен пользователей или групп пользователей, которые требуется добавить в область роли.
3. Нажмите на кнопку Назначить роль.

   Будет запущен мастер назначения роли. Для продолжения работы мастера нажмите на кнопку Далее.

4. На шаге Выбор роли выберите роль, которую требуется назначить.
5. На шаге Определение области выберите группу администрирования, которую требуется добавить в область роли.
6. Нажмите на кнопку Назначить роль, чтобы закрыть окно мастера.

Выбранные пользователи, группы пользователей и группы администрирования добавлены в область роли.

Способ 2:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Выберите роль, для которой требуется задать область.
3. В открывшемся окне свойств роли выберите вкладку Параметры.
4. В разделе Область действия роли нажмите на кнопку Добавить.

   Будет запущен мастер назначения роли. Для продолжения работы мастера нажмите на кнопку Далее.

5. На шаге Определение области выберите группу администрирования, которую требуется добавить в область роли.
6. На шаге Выбор пользователей выберите пользователей и группы пользователей, которые требуется добавить в область роли.
7. Нажмите на кнопку Назначить роль, чтобы закрыть окно мастера.
8. Закройте окно свойств роли.

Выбранные пользователи, группы пользователей и группы администрирования добавлены в область роли.

Способ 3:

1. В главном меню нажмите на значок параметров () рядом с именем требуемого Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Права доступа установите флажок рядом с именем пользователя или группы безопасности, которым вы хотите добавить область пользовательской роли, и нажмите на кнопку Роли.

   Вы не можете выбрать несколько пользователей или групп безопасности одновременно. Если вы выберете более одного объекта, кнопка Роли будет неактивна.

3. В окне Роли выберите пользовательскую роль, которую вы хотите назначить, и нажмите на кнопку ОК, чтобы сохранить изменения.

   Выбранные пользователи или группы безопасности добавлены в область роли.

Удаление роли пользователя

Чтобы удалить роль пользователя:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Установите флажок напротив роли, которую требуется удалить.
3. Нажмите на кнопку Удалить.
4. В появившемся окне нажмите на кнопку ОК.

Роль пользователя будет удалена.

Связь профилей политики с ролями

Вы можете связывать роли с профилями политик. В этом случае правило активации для профиля политики определяется в зависимости от роли: профиль политики становится активным для пользователя с определенной ролью.

Например, политика запрещает запуск приложений городской навигации для всех устройств группы администрирования. Приложения городской навигации необходимы для работы только одного устройства пользователя, выполняющего роль курьера, в группе администрирования "Пользователи". В этом случае можно назначить роль "Курьер" владельцу этого устройства и создать профиль политики, разрешающий использовать приложения городской навигации на устройствах, владельцам которых назначена роль "Курьер". Все остальные параметры политики остаются без изменений. Только пользователям с ролью "Курьер" разрешено использовать приложения городской навигации. Затем, если другому сотруднику будет назначена роль "Курьер", этот сотрудник также сможет использовать приложения городской навигации на устройстве, принадлежащем вашей организации. Однако использование приложений городской навигации будет запрещено на других устройствах этой группы администрирования.

Чтобы связать роль с профилем политики:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Роли.
2. Выберите роль, которую требуется связать с профилем политики.

   Откроется окно свойств роли на вкладке Общие.

3. Перейдите на вкладку Параметры и прокрутите вниз до раздела Политики и профили политик.
4. Нажмите на кнопку Изменить.
5. Чтобы связать роль с:
   • Существующим профилем политики – нажмите на значок () рядом с именем требуемой политики, а затем установите флажок рядом с профилем политики, с которым вы хотите связать роль.
   • Новым профилем политики:
     1. Установите флажок около политики, для которой вы хотите создать профиль политики.
     2. Нажмите на кнопку Новый профиль политики.
     3. Укажите имя нового профиля политики и настройте параметры профиля политики.
     4. Нажмите на кнопку Сохранить.
     5. Установите флажок рядом с новым профилем политики.
6. Нажмите на кнопку Назначить роли.

Выбранный профиль политики связывается с ролью и появляется в свойствах роли. Профиль автоматически применяется ко всем устройствам, владельцам которых назначена эта роль.

Создание группы безопасности

Чтобы создать группу безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Группы.
2. Нажмите на кнопку Новая группа.
3. В окне Новая группа укажите следующие параметры для новой группы безопасности:
   • Имя
   • Описание
4. Нажмите на кнопку ОК, чтобы сохранить изменения.

Группа безопасности добавлена в список групп безопасности.

Изменение группы безопасности

Чтобы изменить группу безопасности:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Группы.
2. Выберите группу безопасности, которую требуется изменить.
3. В открывшемся окне измените параметры группы безопасности:
   • На вкладке Общие можно изменить параметры Имя и Описание. Эти параметры доступны только для внутренних групп безопасности.
   • На вкладке Пользователи можно добавить пользователей в группу безопасности. Эти параметры доступны только для внутренних пользователей и внутренних групп безопасности.
   • На вкладке Роли можно назначить роль группе безопасности.
4. Нажмите на кнопку Сохранить, чтобы сохранить изменения.

Изменения применены к группе безопасности.

Добавление учетных записей пользователей во внутреннюю группу

Учетные записи внутренних пользователей можно добавлять только во внутреннюю группу.

Чтобы добавить учетные записи пользователей в группу:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.
2. Установите флажки напротив учетных записей пользователей, которые требуется добавить в группу.
3. Нажмите на кнопку Назначить группу.
4. В открывшемся окне Назначить группу выберите группу, в которую требуется добавить учетные записи пользователей.
5. Нажмите на кнопку Назначить.

Учетные записи пользователей добавлены в группу. Также можно добавить внутренних пользователей в группу, используя параметры группы.

Удаление группы безопасности

Можно удалять только внутренние группы безопасности.

Чтобы удалить группу пользователей:

1. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Группы.
2. Установите флажок напротив группы пользователей, которую требуется удалить.
3. Нажмите на кнопку Удалить и подтвердите удаление в открывшемся окне.

Группа пользователей удалена.

Настройка ADFS-интеграции

Развернуть все | Свернуть все

Чтобы разрешить пользователям, зарегистрированным в Active Directory (AD) вашей организации, входить в Kaspersky Security Center Cloud Console, вам необходимо настроить интеграцию со службами Active Directory Federation Services (ADFS).

Kaspersky Security Center Cloud Console поддерживает ADFS 3 (Windows Server 2016) или выше. ADFS должен быть опубликован и доступен в интернете. В качестве сертификата связи служба ADFS использует публичный доверенный сертификат.

Чтобы изменить параметры ADFS-интеграции, вам нужны права доступа для изменения прав пользователей.

Прежде чем продолжить, убедитесь, что вы выполнили опрос Active Directory.

Чтобы настроить ADFS-интеграцию:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Параметры интеграции с ADFS.
3. Скопируйте URL-адрес обратного вызова.

   Этот URL-адрес понадобится вам для настройки интеграции в Консоли управления ADFS.

4. В Консоли управления ADFS добавьте группу приложений, а затем добавьте приложение, выбрав шаблон Server application (названия элементов интерфейса Microsoft приведены на английском языке).

   Консоль управления ADFS генерирует идентификатор клиента для нового приложения. Идентификатор клиента понадобится вам для настройки интеграции в Kaspersky Security Center Cloud Console.

5. В качестве URI перенаправления укажите URL-адрес обратного вызова, который вы скопировали в окне свойств Сервера администрирования.
6. Создайте секрет клиента. Секрет клиента понадобится вам для настройки интеграции с Kaspersky Security Center Cloud Console.
7. Сохраните свойства добавленного приложения.
8. Добавьте приложение в созданную группу приложений. Выберите шаблон Web API.
9. На вкладке Identifiers в список Relying party identifiers добавьте идентификатор клиента серверного приложения, которое вы добавили ранее.
10. На вкладке Client Permissions в списке Permitted scopes выберите allatclaims и openid.
11. На вкладке Issuance Transform Rules добавьте правило, выбрав шаблон Send LDAP Attributes as Claims:
    1. Укажите название правила. Например, вы можете назвать его "Group SID".
    2. Выберите Active Directory в качестве хранилища атрибутов, а затем сопоставьте Token-Groups as SIDs в качестве атрибута LDAP с "Группа SID" в качестве типа исходящего утверждения.
12. На вкладке Issuance Transform Rules добавьте правило, выбрав Send Claims Using a Custom Rule:
    1. Укажите название правила. Например, ActiveDirectoryUserSID.
    2. В поле Custom rule укажите:

       c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);

13. В Kaspersky Security Center Cloud Console снова откройте раздел Параметры интеграции с ADFS.
14. Переведите переключатель в положение Интеграция ADFS Включено.
15. Перейдите по ссылке Параметры и укажите файл содержащий сертификат или несколько сертификатов федерального сервера.
16. Перейдите по ссылке Параметры интеграции с ADFS и укажите следующие параметры:
    • URL издателя

      URL-адрес сервера федерации, работающего в вашей организации.

      В частности, Kaspersky Security Center Cloud Console добавляет ‘/.well-known/openid-configuration’ к URL-адресу эмитента и пытается открыть полученный URL-адрес (issuer_URL/.well-known/openid-configuration), чтобы узнать конфигурацию эмитента автоматически.

    • Идентификатор клиента

      Идентификатор клиента, который сервер федерации генерирует для идентификации Kaspersky Security Center Cloud Console. Вы можете найти идентификатор клиента в консоли управления ADFS в окне свойств серверного приложения, соответствующего Kaspersky Security Center Cloud Console.

    • Секрет клиента

      Вы генерируете секрет клиента в консоли управления ADFS, когда указываете свойства серверного приложения, которое соответствует Kaspersky Security Center Cloud Console.

    • Доменная аутентификация пользователей

      Участники выбранного вами домена смогут входить в Kaspersky Security Center Cloud Console, используя свои доменные учетные данные. Доменные имена появятся в списке после завершения опроса сети.

    • Имя поля для SID пользователя в идентификаторе токена

      Имя поля, которое ссылается на идентификатор безопасности (SID) пользователя в токене идентификатора. Название поля необходимо для идентификации пользователя в Kaspersky Security Center Cloud Console. По умолчанию это поле в токене идентификатора называется 'primarysid'.

    • Имя поля для массива SID групп пользователей в идентификаторе токена

      Имя поля, которое относится к массиву SID групп безопасности Active Directory, в которые входит пользователь. По умолчанию это поле в идентификаторе токена называется 'groupsid'.

17. Нажмите на кнопку Сохранить.

Интеграция с ADFS завершена. Чтобы войти в Kaspersky Security Center Cloud Console с учетными данными AD, используйте ссылку в разделе Параметры интеграции с ADFS (Ссылка для входа в Kaspersky Security Center Cloud Console с ADFS).

При первом входе в Kaspersky Security Center Cloud Console через ADFS, консоль может реагировать с задержкой.

Настройка интеграции с Microsoft Entra ID

Вам необходимо настроить интеграцию с Microsoft Entra ID, чтобы пользователи вашей организации могли входить в Kaspersky Security Center Cloud Console под учетными данными Microsoft Entra ID.

Интеграция с Microsoft Entra ID доступна только для главного Сервера администрирования. Вы не можете настроить интеграцию для подчиненных или виртуальных Серверов администрирования.

Чтобы настроить интеграцию с Microsoft Entra ID:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Microsoft Entra ID.
3. Включите переключатель Интеграция с Microsoft Entra ID.
4. Скопируйте ссылки из следующих полей:
   • URL-адрес обратного вызова
   • Веб-адрес выхода из переднего канала

     Эти адреса понадобятся вам для регистрации Kaspersky Security Center Cloud Console в тенанте Microsoft Entra ID.

   • Веб-адрес входа

     Этот URL понадобится вам, чтобы пользователи могли входить в рабочую область Kaspersky Security Center Cloud Console под своими учетными данными Microsoft Entra ID после завершения интеграции с Microsoft Entra ID.

5. Войдите в Microsoft Entra Admin Center и выберите тенант своей организации.

   У вас должна быть роль глобального администратора или администратора приложения в тенанте.

6. В главном меню выберите Identity → Applications → App registrations и нажмите на кнопку New registration.
7. В открывшемся окне выполните одно из следующих действий:
   • Укажите имя приложения Kaspersky Security Center Cloud Console.
   • В разделе Supported account types выберите параметр Accounts in this organizational directory only (<tenant_name> only - Single tenant).
   • В разделе Redirect URI выберите в раскрывающемся списке Web и введите URL обратного вызова, который вы скопировали в Kaspersky Security Center Cloud Console на шаге 4.
8. Нажмите на кнопку Register.

   Приложение Kaspersky Security Center Cloud Console зарегистрировано в Microsoft Entra ID, и открывается страница обзора приложения.

9. При необходимости добавьте Kaspersky Security Center Cloud Console в список приложений.

   Пользователи смогут открыть приложение Kaspersky Security Center Cloud Console, нажав на его название в списке приложений в Мои приложения и Office 365 Launcher без использования веб-адреса для входа.

10. Скопируйте Application (client) ID и Directory (tenant) ID и сохраните их любым удобным способом.

    Эти идентификаторы понадобятся вам при заполнении обязательных полей в Kaspersky Security Center Cloud Console на шаге 14.

11. В меню приложения Kaspersky Security Center Cloud Console перейдите в раздел Authentication и введите URL, которые вы скопировали из Kaspersky Security Center Cloud Console на шаге 4:
    • В разделе Web нажмите на кнопку Add URI и введите URL для входа.
    • В разделе Front-channel logout URL введите URL выхода из основного канала.
12. В меню приложения Kaspersky Security Center Cloud Console перейдите в раздел Certificates & secrets и выполните следующие действия:
    1. Перейдите на вкладку Client secrets и нажмите кнопку New client secret.
    2. В открывшемся окне укажите любое описание секрета клиента и выберите период, по истечении которого срок действия секрета истечет.

    Рекомендуется любым удобным способом скопировать дату, после которой истекает срок действия секрета, чтобы своевременно изменять секреты.

    1. Нажмите на кнопку Добавить.

       Созданный секрет отображается на вкладке Client secrets.

    2. Скопируйте информацию из столбца Value.

       Рекомендуется скопировать информацию сразу после создания секрета клиента.

13. В меню приложения Kaspersky Security Center Cloud Console перейдите в раздел Token configuration и выполните следующие действия:
    • Добавьте необязательное утверждение onprem_sid:
      1. Нажмите на кнопку Add optional claim.
      2. В открывшемся окне выберите тип токена ID и в столбце Claim установите флажок рядом с onprem_sid.
      3. Нажмите на кнопку Добавить.

      Необязательное утверждение onprem_sid отображается на странице Optional claims.

    • Добавьте необязательное утверждение preferred_username:
      1. Нажмите на кнопку Add optional claim.
      2. В открывшемся окне выберите тип токена Access и в столбце Claim установите флажок рядом с preferred_username.
      3. Нажмите на кнопку Добавить.

      Необязательное утверждение preferred_username отображается на странице Optional claims.

14. В меню приложения Kaspersky Security Center Cloud Console перейдите в раздел API permissions и добавьте разрешения:
    • User.Read.All
    • User.Export.All
    • GroupMember.Read.All
    • Directory.Read.All

    Чтобы добавить разрешения, выполните следующие действия:

    1. Нажмите на кнопку Add a permission и выберите вкладку Microsoft API.
    2. Выберите Microsoft Graph → Application permissions и выберите разрешение, которое вы хотите добавить.
    3. Нажмите на кнопку Add permission.

       Четыре разрешения добавлены и отображаются на странице Configured permissions.

    4. Нажмите на кнопку Grant admin consent for <tenant_name> и в открывшемся окне нажмите Yes, чтобы подтвердить согласие на добавленные вами разрешения.
15. Вернитесь в Kaspersky Security Center Cloud Console и на вкладке Общие заполните следующие обязательные поля:
    • Идентификатор тенанта. Значение поля Directory (tenant) ID, которое вы копируете на шаге 10.
    • Идентификатор клиента. Значение поля Application (client) ID, которое вы копируете на шаге 10.
    • Секрет клиента. Значение, которое вы копируете на шаге 12.
16. Нажмите на кнопку Проверить подключение, чтобы проверить правильность параметров, а затем после отображения статуса Подключено нажмите на кнопку Сохранить.

Параметры интеграции сохранены, интеграция с Microsoft Entra ID настроена.

После настройки интеграции с Microsoft Entra ID необходимо выполнить следующие действия:

1. В главном окне приложения Kaspersky Security Center Cloud Console перейти в раздел Пользователи и роли → Пользователи и группы, чтобы убедиться, что пользователи и группы из Microsoft Entra ID добавлены в Kaspersky Security Center Cloud Console.

   Если пользователи и группы в вашем тенанте Microsoft Entra ID синхронизированы из Active Directory вашей организации и настроен опрос Active Directory, то пользователи и группы уже добавлены в Kaspersky Security Center Cloud Console в результате опроса Active Directory.

   Иначе вам необходимо включить и запустить опрос Microsoft Entra ID, чтобы добавить пользователей и группы из вашего тенанта Microsoft Entra ID в Kaspersky Security Center Cloud Console.

2. Назначить необходимые роли пользователям и группам.

   При назначении ролей пользователю на виртуальном Сервере администрирования в главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи. Если вы выберете вкладку Группы и назначите роли группе, членом которой является пользователь, пользователь не сможет войти в Kaspersky Security Center Cloud Console.

3. Отправить пользователям URL для входа, который вы скопировали на шаге 4. Они будут вводить этот URL для входа в рабочую область Kaspersky Security Center Cloud Console, используя свои учетные данные Microsoft Entra ID.

   Когда пользователь выходит из учетной записи Microsoft Entra ID, которую он использовал для аутентификации в Kaspersky Security Center Cloud Console, и Kaspersky Security Center Cloud Console открыта на другой вкладке или в другом окне того же браузера, этот сеанс также заканчивается для Kaspersky Security Center Cloud Console и пользователь автоматически выходит из консоли.

   Если Kaspersky Security Center Cloud Console открыта в другом браузере или на других устройствах, сеанс продолжается, когда пользователь выходит из учетной записи Microsoft Entra ID.

Чтобы войти в Kaspersky Security Center Cloud Console с учетными данными Microsoft Entra ID, пользователи должны иметь возможность войти в свою учетную запись Microsoft Entra ID.

Включение опроса Microsoft Entra ID

Вам нужно включить опрос Microsoft Entra ID, чтобы добавить пользователей из Microsoft Entra ID в Kaspersky Security Center Cloud Console.

Чтобы включить опрос Microsoft Entra ID:

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Microsoft Entra ID.
3. В разделе Обнаружение пользователей включите переключатель Опрос Microsoft Entra ID.
4. Если вы хотите изменить расписание опроса по умолчанию, нажмите на кнопку Параметры расписания, укажите период и время опроса в открывшемся окне и нажмите на кнопку Сохранить.

   Опрос Microsoft Entra ID будет выполняться в соответствии с настроенным расписанием.

5. Если вы хотите запустить опрос Microsoft Entra ID немедленно, нажмите на кнопку Запустить сейчас.

   Начнется загрузка пользователей. Когда пользователи загрузятся, опрос Microsoft Entra ID завершится.

6. Нажмите на кнопку Сохранить.

Опрос Microsoft Entra ID завершен, пользователи из Microsoft Entra ID добавлены в Kaspersky Security Center Cloud Console.

Добавление Kaspersky Security Center Cloud Console в список приложений

Вы можете разрешить пользователям открывать приложение Kaspersky Security Center Cloud Console, нажав по его названию в списке приложений, не вводя веб-адрес для входа. Список приложений доступен в My Apps и в Office 365 Launcher.

Чтобы добавить Kaspersky Security Center Cloud Console в список приложений:

1. В главном меню центра администрирования Microsoft Entra перейдите в раздел Identity → Applications → App registrations, после чего на вкладке All applications выберите приложение Kaspersky Security Center Cloud Console, которое вы ранее зарегистрировали в Microsoft Entra ID.
2. В меню Kaspersky Security Center Cloud Console перейдите в раздел Branding & properties и выполните следующие действия:
   1. В поле Home page URL введите веб-адрес для входа.
   2. При необходимости в поле Upload new logo добавьте изображение, которое будет использоваться в качестве значка приложения в списке приложений.
   3. Нажмите на кнопку Сохранить.
3. В главном меню Центра администрирования Microsoft Entra перейдите в раздел Identity → Applications → Enterprise applications и выберите Kaspersky Security Center Cloud Console.

   Откроется страница обзора приложения.

4. В меню Kaspersky Security Center Cloud Console перейдите в раздел Properties и выполните следующие действия:
   1. Установите для следующих параметров значение Да:
      • Разрешено ли пользователям входить в систему?

        Это действие необходимо, только если по умолчанию для параметра не задано значение Да.

      • Видны пользователям?
   2. Нажмите на кнопку Сохранить.
5. В меню Kaspersky Security Center Cloud Console перейдите в раздел Users and groups и выполните следующие действия:
   1. Нажмите на кнопку Add user/group и перейдите по ссылке Users and groups.
   2. В открывшемся окне выберите пользователей и группы и нажмите на кнопку Save.

      Окно закрыто.

   3. Нажмите на кнопку Назначить.

Kaspersky Security Center Cloud Console доступна в My Apps и Office 365 Launcher для выбранных пользователей. Пользователи могут открыть приложение Kaspersky Security Center Cloud Console, нажав на его название в списке, без ввода веб-адреса для входа.

Назначение пользователя владельцем устройства

Информацию о назначении пользователя владельцем мобильного устройства см. в справке Kaspersky Security для мобильных устройств.

Чтобы назначить пользователя владельцем устройства:

1. Если вы хотите назначить владельца устройства, подключенного к виртуальному Серверу администрирования, сначала переключитесь на виртуальный Сервер администрирования:
   1. В главном меню нажмите на значок шеврона () справа от текущего имени Сервера администрирования.
   2. Выберите требуемый Сервер администрирования.
2. В главном окне приложения перейдите в раздел Пользователи и роли → Пользователи и группы и выберите вкладку Пользователи.

   Откроется список пользователей. Если вы в данный момент подключены к виртуальному Серверу администрирования, в список входят пользователи текущего виртуального Сервера администрирования и главного Сервера администрирования.

3. Нажмите на учетную запись пользователя, которую требуется назначить в качестве владельца устройству.
4. В открывшемся окне свойств пользователя выберите вкладку Устройства.
5. Нажмите на кнопку Добавить.
6. Из списка устройств выберите устройство, которое вы хотите назначить пользователю.
7. Нажмите на кнопку ОК.

Выбранное устройство добавляется в список устройств, назначенных пользователю.

Также можно выполнить эту операцию в группе Активы (Устройства) → Управляемые устройства, выбрав имя устройства, которое вы хотите назначить, и перейдя по ссылке Сменить владельца устройства.

Назначение пользователя владельцем устройства Linux после установки Агента администрирования

Чтобы разрешить пользователю зарегистрироваться в качестве владельца устройства Linux:

1. В Kaspersky Security Center Cloud Console перейдите в раздел Обнаружение устройств и развертывание → Развертывание и назначение → Инсталляционные пакеты.

   Откроется список инсталляционных пакетов.

2. Нажмите на инсталляционный пакет Агента администрирования.

   Отобразится окно свойств инсталляционного пакета.

3. В открывшемся окне свойств инсталляционного пакета перейдите на вкладку Параметры → Дополнительно.
4. В разделе Регистрация пользователя в качестве владельца устройства (только для Linux) включите параметр Разрешить запуск утилиты регистрации пользователя после установки Агента администрирования и нажмите на кнопку Сохранить.

Утилиту для регистрации пользователя в качестве владельца устройства можно запустить из командной строки на клиентском устройстве.

Чтобы зарегистрировать пользователя в качестве владельца устройства Linux на клиентском устройстве:

1. Выполните следующую команду в командной строке на клиентском устройстве:
   $ /opt/kaspersky/klnagent64/bin/nagregister -set_owner
2. Если потребуется, введите учетную запись и пароль.

   Если учетная запись и пароль включены в файл ответов или инсталляционный пакет Агента администрирования, выполните следующую команду в командной строке на клиентском устройстве:
   $ /opt/kaspersky/klnagent64/bin/nagregister -set_owner -unattended

Если пользователь входит во внутреннюю группу безопасности, учетная запись должна содержать имя пользователя.

Если пользователь входит в группу безопасности Active Directory, учетная запись должна содержать имя пользователя и имя домена.

Если для пользователя включена двухэтапная проверка, вам необходимо ввести временный одноразовый пароль (TOTP) из приложения. Подробнее о двухэтапной проверке см. эту статью.

Пользователь зарегистрирован как владелец устройства.