[Topic 254248]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Справка Kaspersky Secure Mobility Management

В начало

[Topic 180199]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Что нового

Версия 2.0

В этой версии мы добавили некоторые функции в плагин Консоли администрирования на базе MMC для управления Android-устройствами через приложение Kaspersky Endpoint Security для Android.

• Новые возможности в режиме device owner:
  • Kaspersky Endpoint Security для Android теперь поддерживает режим device owner на устройствах с Android версий 5 и 6. Необходимо настроить устройство через ADB, а затем установить приложение.
  • Добавлена возможность указать предпочитаемую сеть для загрузки приложения на устройство на этапе генерации QR-кода для установки приложения в Консоли администрирования. Можно указать любую сеть Wi-Fi, сохраненную на устройстве, предварительно настроенную сеть Wi-Fi или мобильную сеть.
  • В параметры политики добавлены новые ограничения функций операционной системы Android. Ограничения затрагивают:
    • Добавление и удаление аккаунтов Google.
    • Добавление и удаление пользователей.
    • Функции keyguard (камера, уведомления, доверенные агенты).
    • Изменение даты, времени и языка.
    • Регулировка громкости и яркости.
    • Изменение обоев.
    • Режим полета.
    • Сброс сетевых параметров.
    • Использование сотовых данных в роуминге.
• Новые функции в рабочем профиле Android:
  • Настройки пароля рабочего профиля (например, требования к сложности пароля, срок действия пароля, количество неудачных попыток ввода пароля, использование биометрических методов разблокировки).
  • Ограничение доступа к данным и передачи данных (например, обмен данными между приложениями рабочего профиля и приложениями личного профиля, трансляция и запись экрана).
  • Ограничения на добавление и удаление учетных записей в рабочем профиле.
  • Ограничение доступа к контактам рабочего профиля.
  • Ограничение на показ уведомлений от приложений из рабочего профиля на заблокированном экране.
  • Ограничение на использование камеры для приложений рабочего профиля.
  • Параметры выдачи дополнительных разрешений для приложений в рабочем профиле.
  • Добавление виджетов приложений из рабочего профиля на главный экран устройства.
  • Блокирование рабочего профиля с помощью правил Контроля соответствия и установка одноразового кода для его разблокировки.
• Новые возможности Контроля соответствия:
  • Добавлены новые условия проверки замены или извлечения SIM-карты устройства, а также установки дополнительной SIM-карты.
  • Добавлено новое действие для блокирования рабочего профиля.
  • Теперь период времени, в течение которого пользователь должен устранить несоответствие, может быть равным 0 минутам.
• Новые функции Веб-Фильтра:
  • Добавлена возможность включить проверку полных веб-адресов при открытии веб-сайтов в Custom Tabs.
  • Добавлена возможность блокирования веб-сайтов из списка.
  • Добавлена возможность импорта веб-сайтов, которые необходимо блокировать, и разрешенных веб-сайтов из файла в формате TXT, который содержит ссылки на веб-сайты или регулярные выражения.
  • Добавлена возможность удаления нескольких веб-сайтов из списка с помощью комбинаций горячих клавиш CTRL + A, CTRL + нажатие левой кнопки мыши или SHIFT + нажатие левой кнопки мыши.
• Новые возможности работы с сертификатами:
  • Добавлена возможность автоматического перевыпуска сертификатов, полученных через SCEP, до истечения срока их действия.
  • Добавлена возможность установки корневых сертификатов на персональные устройства и в рабочий профиль.
• Другие улучшения:
  • Добавлены возможности настройки ограничений использования SD-карт на устройствах Samsung KNOX.
  • В режиме device owner (Android 10 и выше) и в рабочем профиле (Android 10–11) в Консоли администрирования и сведениях об устройстве в качестве идентификатора устройства теперь указан его IMEI.

В этом релизе также добавлены новые функции в плагин Консоли администрирования на базе MMC для управления устройствами iOS MDM:

• Новые возможности Контроля соответствия:
  • Добавлены новые условия:
    • Проверить тип и модель устройства.
    • Проверить, находится ли устройство в роуминге.
    • Проверить, установлен ли на устройстве пароль.
    • Проверить, является ли объем свободного пространства на устройстве меньше указанного порога.
    • Проверить, зашифровано ли устройство.
    • Проверить, была ли заменена или извлечена SIM-карта устройства.
    • Проверить, когда в последний раз устройство синхронизировалось с Сервером администрирования.
  • Добавлены новые действия:
    • Обновить операционную систему (для контролируемых устройств).
    • Проверить настройки Bluetooth (для контролируемых устройств).
    • Сбросить настройки до заводских.
    • Удалить управляемые приложения по идентификаторам пакетов.
    • Удалить конфигурационные профили указанного типа.
    • Изменить параметры роуминга.
  • Для действия Отправить сообщение пользователю теперь можно редактировать заданные по умолчанию тему и тело письма.
  • Сведения о событиях Контроля соответствия теперь отправляются в Консоль администрирования.
• Добавлена возможность настройки Per App VPN для следующих системных приложений:
  • Электронная почта
  • Контакты
  • Календарь
• Добавлены новые команды режима пропажи для управляемых устройств iOS MDM:
  • Включить режим пропажи
  • Определить местоположение устройства
  • Воспроизвести звук
  • Отключить режим пропажи
• Вы можете получить код для отключения Блокировки активации на контролируемых iOS-устройствах.

Версия 1.0

В этом релизе мы обновили плагины Консоли администрирования на базе MMC, добавив множество функций для настройки контроля корпоративных мобильных устройств.

В плагин для управления Android-устройствами через приложение Kaspersky Endpoint Security для Android добавлены следующие функции:

• Приложение Kaspersky Endpoint Security для Android теперь поддерживает устройства, работающие в режиме device owner. Вы можете сгенерировать QR-код для установки приложения в режиме device owner, позволяющем настраивать различные параметры устройства.
• Функции для Android-устройств в режиме device owner:
  • Ограничения функций операционной системы Android. Ограничения затрагивают:
    • функции устройства (например, сброс настроек до заводских, снимки экрана, вызовы и SMS-сообщения);
    • приложения (например, использование различных приложений и параметры установки приложений);
    • память (например, установка внешних носителей и передача файлов через USB);
    • сеть (например, сети Wi-Fi, мобильные сети и настройки VPN);
    • службы геолокации (использование местоположения и изменение настроек местоположения).
  • Управление настройками Google Chrome.
  • Режим киоска (с одним или несколькими приложениями).
  • Управление настройками Exchange ActiveSync для Gmail.
  • Подключение к NDES/SCEP-серверу.
  • Установка корневых сертификатов на устройствах.
  • Тихая установка обязательных приложений и удаление запрещенных приложений, указанных в правилах Контроля приложений.
  • Возможность удалять приложения, заблокированные Контролем приложений.
• Функции для настройки паролей разблокировки экрана на Android-устройствах:
  • Можно задавать различные требования к паролю.
  • Можно управлять использованием биометрических методов разблокировки.
  • Можно определять срок использования пароля и количество неповторяющихся паролей в журнале.
  • Можно задавать пароль разблокировки в Консоли администрирования и принудительно изменять его на устройстве.
• Новые опции для устройств Samsung KNOX:
  • Запрет режим разработчика.
  • Запрет отправки отчетов о сбоях в Google.
• Новые функции для настройки сетей Wi-Fi:
  • Поддержка протокола безопасности 802.1.x EAP и возможность настройки его параметров защиты (например, метода EAP).
  • Можно определить список сетей Wi-Fi, к которым разрешено подключаться автоматически и скрыть остальные сети на устройстве пользователя.
• Новые опции для удаления всех данных на потерянном или украденном Android-устройстве после нескольких неудачных попыток ввода пароля разблокировки.
• Добавление веб-клипов на устройствах.

В этом релизе также добавлены новые функции в плагин для управления iOS MDM-устройствами:

• Новый компонент Контроль соответствия, который позволяет контролировать соблюдение требований корпоративной безопасности на iOS MDM-устройствах и принимать различные меры.
• Можно управлять приложениями на iOS MDM-устройствах на основании списков разрешенных и запрещенных приложений.
• Добавлены новые команды:
  • Сбросить пароль.
  • Запланировать обновление ОС.
  • Настроить Bluetooth.
• Новые функции для настройки VPN-соединений:
  • Поддержка протокола IKEv2.
  • Можно настроить включение VPN-соединения для избранных доменов веб-сайтов в Safari.
• Новая опция для настройки принудительного использования пароля на устройстве.
• Новые опции для управления функциями операционной системы на устройствах в режиме supervised:
  • Отложенное обновление операционной системы.
  • Управление доступом к USB-устройствам.
  • Управление настройками Wi-Fi, VPN и Персональной точки доступа.
  • Управление использованием NFC.

[Topic 216447]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Работа с Консолью администрирования на базе MMC

В этом разделе справки описана защита и управление мобильными устройствами с помощью Консоли администрирования Kaspersky Security Center на базе MMC.

[Topic 84084]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Основные сценарии использования

В начало

[Topic 91308]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

О Kaspersky Secure Mobility Management

Kaspersky Secure Mobility Management – это комплексное решение для защиты корпоративных и личных мобильных устройств, используемых сотрудниками компании в корпоративных целях, а также для управления ими.

Kaspersky Secure Mobility Management включает в себя следующие компоненты:

• Мобильное приложение Kaspersky Endpoint Security для Android.

  Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы.

• Плагин управления Kaspersky Endpoint Security для Android

  Плагин управления Kaspersky Endpoint Security для Android обеспечивает интерфейс управления мобильными устройствами и установленными на них мобильными приложениями через Консоль администрирования Kaspersky Security Center.

• Плагин управления Kaspersky Device Management для iOS.

  Плагин управления Kaspersky Device Management для iOS позволяет определять параметры конфигурации устройств, подключенных к Kaspersky Security Center через протокол iOS MDM (далее также «iOS MDM-устройства»), без использования iPhone Configuration Utility.

Плагины управления интегрируются в систему удаленного администрирования Kaspersky Security Center. С помощью единой Консоли администрирования Kaspersky Security Center администратор может управлять всеми мобильными устройствами организации, а также клиентскими компьютерами и виртуальными системами. После подключения мобильных устройств к Серверу администрирования они становятся управляемыми. Администратор может дистанционно контролировать управляемые устройства.

Мобильное приложение Kaspersky Endpoint Security для Android может также работать в составе системы удаленного администрирования Kaspersky Endpoint Security Cloud. Подробная информация о работе с приложениями с помощью Kaspersky Endpoint Security Cloud приведена в онлайн-справке Kaspersky Endpoint Security Cloud.

Мобильное приложение Kaspersky Endpoint Security для Android также может работать в составе сторонних EMM-решений участников AppConfig Community.

[Topic 214493]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Комплект поставки

В комплект поставки Kaspersky Secure Mobility Management могут входить различные компоненты в зависимости от выбранной версии программы.

Kaspersky Security Center

• ksc_14_<version>_full_<language>.exe

  Программа установки Kaspersky Security Center. Эта версия создана специально для работы с Kaspersky Secure Mobility Management.

• ksc_14_<version>_Console_<language>.exe

  Программа установки Консоли администрирования на базе MMC. Эта версия создана специально для работы с Kaspersky Secure Mobility Management.

  Можно установить Консоль администрирования на другое устройство и управлять Сервером администрирования Kaspersky Security Center удаленно.

Управление мобильными устройствами в Консоли администрирования на базе MMC

• klcfginst.exe

  Программа установки Плагина управления Kaspersky Endpoint Security для Android.

• klmdminst.exe

  Программа установки Плагина управления Kaspersky Device Management для iOS.

Управление мобильными устройствами в Kaspersky Security Center Web Console

• on_prem_ksm_devices_<version>.zip

  Архив, содержащий файлы для установки плагина Kaspersky Security for Mobile (Devices):

  • plugin.zip

    Архив, содержащий плагин Kaspersky Security for Mobile (Devices).

  • signature.txt

    Файл, содержащий подпись плагина Kaspersky Security for Mobile (Devices).

• on_prem_ksm_policies_<version>.zip

  Архив, содержащий файлы, необходимые для установки плагина Kaspersky Security for Mobile (Policies):

  • plugin.zip

    Архив, содержащий плагин Kaspersky Security for Mobile (Policies).

  • signature.txt

    Файл, содержащий подпись плагина Kaspersky Security for Mobile (Policies).

Управление мобильными устройствами в Kaspersky Security Center Cloud Console

Для управления мобильными устройствами в Kaspersky Security Center Cloud Console не нужно скачивать дистрибутив. Нужно только создать учетную запись в Kaspersky Security Center Cloud Console. Дополнительная информация о создании учетной записи приведена в Справке Kaspersky Security Center Cloud Console.

Файл приложения Kaspersky Endpoint Security для Android

kesandroid10<version><languages>.apk – пакетный файл Android для приложения Kaspersky Endpoint Security для Android.

Файл Корпоративного каталога приложений

Install_<version>.exe – дистрибутив Корпоративного каталога приложений. Дистрибутив содержит следующие компоненты:

• Корпоративный каталог приложений
• Консоль управления корпоративным каталогом приложений
• Сервер Apache

Дополнительная информация об установке Корпоративного каталога приложений приведена в справке по Корпоративному каталогу приложений.

Дополнительные файлы

• sc_package_<languages>.exe

  Самораспаковывающийся архив, содержащий файлы, необходимые для установки Kaspersky Endpoint Security для Android путем создания инсталляционных пакетов:

  • adb.exe, AdbWinApi.dll, AdbWinUsbApi.dll

    Файлы, необходимые для создания инсталляционных пакетов.

  • installer.ini

    Конфигурационный файл с параметрами подключения к Серверу администрирования.

  • kesandroid10<version><languages>.apk

    Пакетный файл Android для приложения Kaspersky Endpoint Security для Android.

  • kmlisten.exe

    Утилита для доставки инсталляционных пакетов с компьютера администратора.

  • kmlisten.ini

    Конфигурационный файл, содержащий параметры утилиты kmlisten.exe.

  • kmlisten.kpd

    Файл, содержащий описание программы.

Комплект документации

• Справка Kaspersky Secure Mobility Management.

[Topic 221101]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Основные функции управления мобильными устройствами в Консоли администрирования на базе MMC

Kaspersky Secure Mobility Management предоставляет следующие функции:

• Рассылка сообщений электронной почты со ссылками на Google Play для подключения устройств под управлением Android к Kaspersky Security Center.
• Дистанционное подключение мобильных устройств к Kaspersky Security Center и другим сторонним EMM-системам (например, VMWare AirWatch, MobileIron, IBM Maas360, SOTI MobiControl).
• Дистанционная настройка Kaspersky Endpoint Security для Android, а также сервисов, приложений и функций Android-устройств.
• Дистанционная настройка мобильных устройств согласно требованиям корпоративной безопасности.
• Предотвращение утечек корпоративной информации, хранящейся на мобильных устройствах, в случае их кражи или потери (Анти-Вор).
• Контроль соблюдения требований корпоративной безопасности (Контроль соответствия).
• Контроль использования интернета на мобильных устройствах (Веб-Фильтр).
• Настройка корпоративной почты на мобильных устройствах, в том числе в организациях, в которых развернут почтовый сервер Microsoft Exchange (только для устройств iOS и Samsung).
• Настройка параметров корпоративных сетей (Wi-Fi, VPN) для использования VPN на мобильных устройствах. VPN можно настроить только на устройствах iOS и Samsung.
• Настройка отображения статуса мобильного устройства в Kaspersky Security Center при нарушении правил политики: Критический, Предупреждение, ОК.
• Настройка уведомлений, отображаемых пользователю в Kaspersky Endpoint Security для Android.
• Настройка параметров на устройствах с поддержкой Samsung KNOX 2.6 и выше.
• Настройка параметров устройств, поддерживающих рабочие профили Android.
• Настройка параметров мобильных Android-устройств в режиме device owner.
• Развертывание Kaspersky Endpoint Security для Android с помощью консоли Samsung KNOX Mobile Enrollment. Samsung KNOX Mobile Enrollment предназначен для массовой установки и первоначальной настройки приложений на Samsung-устройствах, приобретенных у официальных поставщиков.
• Обновление Kaspersky Endpoint Security для Android до заданной версии с помощью политик Kaspersky Security Center.
• Уведомление администратора о статусе и событиях в работе Kaspersky Endpoint Security для Android в Kaspersky Security Center или по электронной почте.
• Контроль изменений параметров политики (история ревизий).
• Команды для удаленного управления мобильными устройствами. Например, в случае потери или кражи мобильного устройства вы можете отправить команды, чтобы определить местоположение устройства или удалить корпоративные данные с устройства.
• Настройка параметров пароля разблокировки экрана для мобильных устройств.
• Настройка параметров сети Wi-Fi для мобильных устройств.
• Добавление веб-клипов для открытия веб-сайтов с главного экрана мобильных устройств.

Kaspersky Secure Mobility Management включает следующие компоненты защиты и управления:

• Антивирус (для Android-устройств).
• Анти-Вор (для Android-устройств).
• Веб-Фильтр (для Android и iOS-устройств).
• Контроль приложений (для Android-устройств).
• Контроль соответствия (для Android и iOS-устройств).
• Обнаружение root-прав на устройствах (для Android-устройств).

В начало

[Topic 99558]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

O приложении Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы.

Kaspersky Endpoint Security для Android включает следующие компоненты:

• Антивирус. Позволяет обнаруживать и устранять угрозы на мобильном устройстве, используя антивирусные базы приложения и дополнительно облачную службу Kaspersky Security Network. В состав Антивируса входят следующие компоненты:
  • Защита. Позволяет обнаруживать угрозы в открытых файлах, а также проверять новые приложения и предотвращать заражение устройства в режиме реального времени.
  • Проверка. Запускается по требованию для всей файловой системы, только для установленных приложений, выбранного файла или папки.
  • Обновление. Позволяет загружать новые антивирусные базы приложения.
• Анти-Вор. Защищает информацию на устройстве от несанкционированного доступа в случае потери или кражи устройства. Позволяет отправлять на устройство следующие команды:
  • Поиск, чтобы получить координаты местоположения устройства.
  • Сигнал, чтобы устройство издало громкий сигнал тревоги.
  • Фото, чтобы устройство сделало фотоснимки на фронтальную камеру, если кто-то попытается его разблокировать.
  • Удаление корпоративных данных, чтобы защитить конфиденциальную информацию компании.
• Веб-Фильтр. Позволяет блокировать вредоносные веб-сайты, цель которых – распространить вредоносный код. Веб-Фильтр также блокирует поддельные (фишинговые) веб-сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Фильтр проверяет веб-сайты до открытия, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Фильтр разрешает загрузку веб-сайтов, признанных надежными, и блокирует веб-сайты, признанные вредоносными. Веб-Фильтр также поддерживает фильтрацию веб-сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Это позволяет администратору ограничить доступ пользователей к некоторым категориям веб-страниц (например, к веб-страницам из категории "Азартные игры, лотереи, тотализаторы" или "Общение в сети").
• Контроль приложений. Позволяет вам устанавливать на устройство рекомендованные и обязательные приложения с помощью прямой ссылки на дистрибутив или ссылки на Google Play. С помощью Контроля приложений вы можете удалять запрещенные приложения, которые не удовлетворяют требованиям корпоративной безопасности.
• Контроль соответствия. Позволяет проверять управляемые устройства на соответствие требованиям корпоративной безопасности и накладывать ограничения на определенные функции несовместимых устройств.

Приложение Kaspersky Endpoint Security для Android также можно установить в режиме device owner. Режим device owner обеспечивает полный контроль над корпоративными Android-устройствами и позволяет вам настроить множество функций устройства. В режиме device owner вы можете:

• Ограничить функции операционной системы Android.
• Задать настройки Google Chrome.
• Задать настройки запуска приложений в Контроле приложений.
• Ограничить набор приложений, доступных пользователю устройства в режиме киоска.
• Задать настройки Exchange ActiveSync для Gmail.
• Настроить подключение к NDES/SCEP-серверу.
• Установить корневые сертификаты на устройствах.

[Topic 136121]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

О Kaspersky Device Management для iOS

Kaspersky Device Management для iOS обеспечивает защиту и контроль мобильных устройств, подключенных к Kaspersky Security Center, и включает следующие функции управления устройствами:

• Защита паролем. Эта функция позволяет установить требования к сложности пароля, чтобы пользователи использовали сложные пароли, соответствующие корпоративной политике паролей.
• Управление сетями. Эта функция позволяет добавлять утвержденные сети VPN и Wi-Fi или ограничивать доступ к другим сетям.
• Удаление корпоративных данных. В случае потери или кражи устройства вы можете отправить на устройство команду "Очистить", чтобы защитить конфиденциальную информацию компании.
• Веб-Фильтр. Позволяет блокировать вредоносные веб-сайты, цель которых – распространить вредоносный код. Веб-Фильтр также блокирует поддельные (фишинговые) веб-сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Фильтр проверяет веб-сайты до открытия, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Фильтр разрешает загрузку веб-сайтов, признанных надежными, и блокирует веб-сайты, признанные вредоносными. Веб-Фильтр также поддерживает фильтрацию веб-сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Это позволяет администратору ограничить доступ пользователей к некоторым категориям веб-страниц (например, к веб-страницам из категории "Азартные игры, лотереи, тотализаторы" или "Общение в сети").
• Ограничения программ. Этот компонент позволяет контролировать, можно ли использовать собственные приложения устройства, такие как iTunes, Safari или Game Center, на устройстве в режиме supervised.
• Ограничения функций. Этот компонент позволяет проверять управляемые устройства на соответствие требованиям корпоративной безопасности и накладывать ограничения на определенные функции несовместимых устройств.
• Контроль соответствия. Этот компонент контролирует соблюдение требований корпоративной безопасности на iOS MDM-устройствах и принимает меры в случае их несоблюдения. Контроль соответствия работает на основе списка правил. Каждое правило содержит следующие компоненты:
  • статус (правило включено или выключено);
  • критерии проверки устройства (например, отсутствие указанных приложений или версия операционной системы на устройстве);
  • действия, выполняемые на устройстве в случае несоответствия (например, удалить корпоративные данные или отправить пользователю сообщение электронной почты).

[Topic 89640]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

О плагине управления Kaspersky Endpoint Security для Android

Плагин управления Kaspersky Endpoint Security для Android обеспечивает интерфейс управления мобильными устройствами и установленными на них мобильными приложениями через Консоль администрирования Kaspersky Security Center. С помощью плагина управления Kaspersky Endpoint Security для Android вы можете выполнять следующие действия:

• создавать групповые политики безопасности мобильных устройств;
• удаленно настраивать параметры работы приложения Kaspersky Endpoint Security для Android на мобильных устройствах пользователей;
• получать отчеты и статистику о работе мобильного приложения Kaspersky Endpoint Security для Android на устройствах пользователей.

Плагин управления Kaspersky Endpoint Security для Android устанавливается по умолчанию при развертывании Kaspersky Security Center. Плагин не требует отдельной установки.

[Topic 89639]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

О плагине управления Kaspersky Device Management для iOS

Плагин управления Kaspersky Device Management для iOS обеспечивает интерфейс управления мобильными устройствами, подключенными по протоколу iOS MDM через Консоль администрирования Kaspersky Security Center. Плагин управления Kaspersky Device Management для iOS позволяет выполнять следующие действия:

• создавать групповые политики безопасности мобильных устройств;
• удаленно настраивать устройства, подключенные по протоколу iOS MDM (далее "iOS MDM-устройства");
• получать отчеты и статистику о работе мобильных устройств пользователей.

Подробная информация о подключении мобильных устройств к Kaspersky Security Center по протоколу iOS MDM приведена в справке Kaspersky Security Center.

Плагин управления Kaspersky Device Management для iOS устанавливается по умолчанию при развертывании Kaspersky Security Center. Плагин не требует отдельной установки.

[Topic 102017]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Аппаратные и программные требования

В этом разделе содержатся аппаратные и программные требования к компьютеру администратора, который используется для развертывания приложений на мобильных устройствах, а также перечень операционных систем для мобильных устройств, работу с которыми поддерживает Kaspersky Secure Mobility Management.

Аппаратные и программные требования к компьютеру администратора

Для развертывания комплексного решения Kaspersky Secure Mobility Management компьютер администратора должен соответствовать аппаратным требованиям Kaspersky Security Center. Подробная информация об аппаратных требованиях для Kaspersky Security Center приведена в справке Kaspersky Security Center.

Для работы плагина управления Kaspersky Endpoint Security для Android на компьютере администратора должна быть установлена Консоль администрирования Kaspersky Security Center версии 12 и выше.

Для работы плагина управления Kaspersky Device Management для iOS компьютер администратора должен удовлетворять следующим программным требованиям:

• Консоль администрирования Kaspersky Security Center 12 и выше;
• компонент Сервер iOS MDM;
• набор инструкций SSE2 или более новой версии.

Для развертывания мобильного приложения Kaspersky Endpoint Security для Android через Сервер администрирования компьютер администратора должен удовлетворять следующим программным требованиям:

• Kaspersky Security Center 12 и выше;
• плагин управления Kaspersky Endpoint Security для Android.

Для развертывания мобильного приложения Kaspersky Endpoint Security для Android из соответствующих интернет-магазинов к компьютеру администратора программных требований не предъявляется.

Мобильное приложение Kaspersky Endpoint Security для Android может также работать в составе системы удаленного администрирования Kaspersky Endpoint Security Cloud версии 6.0 и выше. Подробная информация о работе с приложениями с помощью Kaspersky Endpoint Security Cloud приведена в справке Kaspersky Endpoint Security Cloud.

Также мобильное приложение Kaspersky Endpoint Security для Android может работать в составе сторонних EMM-систем:

• VMware AirWatch 9.3 и выше.
• MobileIron 10.0 и выше.
• IBM MaaS360 10.68 и выше.
• Microsoft Intune 1908 и выше.
• SOTI MobiControl 14.1.4 (1693) и выше.

Аппаратные и программные требования к мобильному устройству пользователя для установки Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android имеет следующие аппаратные и программные требования:

• смартфон или планшет с разрешением экрана от 320x480 пикселей;
• 65 МБ свободного места в основной памяти устройства;
• Android 5.0–13 (включая Android 12L, исключая Go Edition);
• архитектура процессора x86, x86-64, Arm5, Arm6, Arm7, Arm8.

Приложение устанавливается только в основную память устройства.

Аппаратные и программные требования к мобильному устройству пользователя для iOS MDM-профиля

iOS MDM-профиль имеет следующие аппаратные и программные требования:

• iOS 10–16 или iPadOS 13–15;
• подключение к интернету.

[Topic 153756]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Известные проблемы и рекомендации

Следующие известные проблемы не являются критичными для работы решения.

Известные проблемы при установке программы

• Kaspersky Endpoint Security для Android устанавливается только в основную память устройства.
• На устройствах под управлением Android 7.0 при попытке выключить права администратора для Kaspersky Endpoint Security для Android в настройках устройства может произойти сбой, если для Kaspersky Endpoint Security для Android запрещено наложение поверх других окон. Проблема связана с известным дефектом в Android 7.
• Приложение Kaspersky Endpoint Security для Android на устройствах под управлением Android 7.0 и выше не поддерживает многооконный режим.
• Kaspersky Endpoint Security для Android не работает на Chromebook-устройствах под управлением операционной системы Chrome.
• Kaspersky Endpoint Security для Android не работает на устройствах с операционной системой Android версии Go Edition.
• При использовании приложения Kaspersky Endpoint Security для Android со сторонними EMM-системами (например, VMWare AirWatch) доступны только компоненты Антивирус и Веб-Фильтр. Администратор может настраивать параметры Антивируса и Веб-Фильтра в консоли EMM-системы. При этом уведомления о работе приложения доступны только в интерфейсе приложения Kaspersky Endpoint Security для Android (Отчеты).

Известные проблемы при обновлении версии приложения

• Вы можете обновить Kaspersky Endpoint Security для Android только до более новой версии приложения. Обновить Kaspersky Endpoint Security для Android до более старой версии невозможно.
• Для обновления Kaspersky Endpoint Security для Android с помощью автономного пакета установки на мобильном устройстве пользователя должна быть разрешена установка приложений из неизвестных источников.
• Обновление с помощью Google Play доступно, если Kaspersky Endpoint Security для Android установлен из Google Play. Если приложение установлено другим способом, обновление с помощью Google Play невозможно.
• Можно выполнить обновление с помощью Kaspersky Security Center, если приложение Kaspersky Endpoint Security для Android было установлено с помощью Kaspersky Security Center. Если приложение установлено из Google Play, обновление с помощью Kaspersky Security Center невозможно.
• После обновления плагинов управления до Технического релиза 33 необходимо также обновить приложение Kaspersky Endpoint Security для Android до Технического релиза 33. В противном случае на некоторых устройствах пользователей не получится активировать Samsung KNOX.

Известные проблемы в работе Антивируса

• Из-за технических ограничений Kaspersky Endpoint Security для Android не может проверять файлы размером 2 ГБ и более. Во время проверки приложение пропускает такие файлы и не уведомляет вас, если такие файлы были пропущены.
• Для дополнительной проверки устройства на новые угрозы, информация о которых еще не вошла в антивирусные базы, требуется включить использование Kaspersky Security Network. Kaspersky Security Network (KSN) – инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Для использования KSN требуется подключение мобильного устройства к интернету.
• Иногда обновление антивирусных баз с Сервера администрирования может завершиться ошибкой на мобильных устройствах. В этом случае запустите задачу обновления антивирусных баз на Сервере администрирования.
• На некоторых устройствах Kaspersky Endpoint Security для Android не обнаруживает устройства, подключенные по USB OTG. Выполнить антивирусную проверку таких устройств невозможно.
• На устройствах с операционной системой Android 11 и выше приложение Kaspersky Endpoint Security для Android не может сканировать папки Android/data и Android/obb и обнаруживать в них вредоносные программы из-за технических ограничений.
• На устройствах с операционной системой Android 11 и выше пользователю необходимо предоставить разрешение "Разрешить доступ на управление всеми файлами".
• На устройствах под управлением Android 7.0 и выше может некорректно отображаться окно настройки расписания запуска антивирусной проверки (не отображаются элементы управления). Проблема связана с известным дефектом в Android 7.
• На устройствах под управлением Android 7.0 при выполнении задачи постоянной защиты в расширенном режиме не выполняется обнаружение угроз в файлах, хранящихся на внешней SD-карте.
• На устройствах под управлением Android 6.0 Kaspersky Endpoint Security для Android не обнаруживает загрузку вредоносного файла в память устройства. Вредоносный файл может быть обнаружен Антивирусом при запуске файла или во время антивирусной проверки устройства. Проблема связана с известным дефектом в Android 6.0. Для обеспечения безопасности устройства рекомендуется настроить запуск антивирусной проверки по расписанию.

Известные проблемы в работе Веб-Фильтра

• Веб-Фильтр на Android-устройствах работает только в браузерах Google Chrome (включая функцию Custom Tabs), Huawei Browser и Samsung Internet Browser. В браузерах Huawei и Samsung Internet Веб-Фильтр не блокирует сайты на мобильных устройствах, если используется рабочий профиль и Веб-Фильтр включен только для рабочего профиля.
• Kaspersky Endpoint Security в рабочем профиле проверяет только домен веб-сайта в HTTPS-трафике. Вредоносные и фишинговые веб-сайты могут оставаться разблокированными, если приложение установлено в рабочем профиле. Если домен является доверенным, Веб-Фильтр может пропустить угрозу (например, https://trusted.domain.com/phishing/). Если домен не является доверенным, Веб-Фильтр блокирует вредоносные и фишинговые веб-сайты.
• Для работы Веб-Фильтра требуется включить использование Kaspersky Security Network. Веб-Фильтр блокирует веб-сайты на основе данных о репутации и категории веб-сайтов, которые содержатся в KSN.
• На устройствах под управлением Android 6.0 c установленным браузером Google Chrome версии 51 или более ранних версий запрещенные веб-сайты могут не блокироваться Веб-Фильтром, если веб-сайт открыт следующими способами (проблема связана с известным дефектом в Google Chrome):
  • из результатов поискового запроса;
  • из списка закладок;
  • из истории поисковых запросов;
  • при использовании функции автозаполнения веб-адреса;
  • при открытии веб-сайта на новой вкладке в Google Chrome.
• Запрещенные веб-сайты могут не блокироваться в браузере Google Chrome версии 50 или более ранних версий, если веб-сайт открыт из результатов поискового запроса Google и в настройках браузера включена функция Объединить вкладки и приложения. Проблема связана с известным дефектом в Google Chrome.
• Веб-сайты из запрещенных категорий могут не блокироваться в Google Chrome, если пользователь открывает их из сторонних приложений, например, из приложения IM-клиента. Проблема связана с особенностями работы службы Специальных возможностей с функцией Chrome Custom Tabs.
• Запрещенные веб-сайты могут не блокироваться в Samsung Internet Browser, если пользователь открывает их в фоновом режиме из контекстного меню или из сторонних приложений, например, из приложения IM-клиента.
• Для работы Веб-Фильтра Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах Xiaomi для работы Веб-Фильтра должны быть предоставлены разрешения "Отображать всплывающее окно" и "Отображать всплывающие окна во время работы в фоновом режиме".
• При вводе адреса веб-сайта в параметрах Веб-Фильтра соблюдайте следующие правила:
  • Для Android-устройств указывайте адрес в формате регулярных выражений (например, https://example.com.*);
  • Для iOS MDM-устройств указывайте протокол передачи данных HTTP или HTTPS (например, http://www.example.com).
• Разрешенные веб-сайты могут блокироваться в Samsung Internet Browser в режиме Веб-Фильтра Разрешить только перечисленные веб-сайты при обновлении страницы. Веб-сайты блокируются, если регулярное выражение содержит дополнительные параметры (например, ^https?://example.com/pictures/). Рекомендуется использовать регулярные выражения без дополнительных параметров (например, ^https?://example.com).
• Если для Веб-Фильтра выбран режим Запрещены все веб-сайты, то Kaspersky Endpoint Security для Android не блокирует поиск в виджете Google Поиск. Вместо этого блокируется доступ к результатам поиска.
• Если в рабочем профиле для Веб-Фильтра выбран режим Запрещены все веб-сайты, то Kaspersky Endpoint Security для Android постоянно перезагружает главную страницу Google Chrome, блокирует браузер и мешает работе устройства.

Известные проблемы в работе Анти-Вора

• Для своевременной доставки команд на Android-устройства приложение использует сервис Firebase Cloud Messaging (FCM). Если FCM не настроен, команды будут доставлены на устройство только при синхронизации с Kaspersky Security Center по расписанию, заданному в политике, например, каждые 24 часа.
• Для блокирования устройства Kaspersky Endpoint Security для Android должен быть установлен в качестве администратора устройства.
• На устройствах под управлением операционной системы Android версии 7.0 и выше для блокирования устройства Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах команды Анти-Вора не могут быть выполнены, если на устройстве включен режим энергосбережения. Этот дефект подтвержден на Alcatel 5080X.
• Чтобы определить местоположение устройства с операционной системой Android 10.0 и выше, необходимо предоставить разрешение "Всегда" для доступа к местоположению устройства.
• Чтобы выполнить снимок с помощью устройства с операционной системой Android 11.0 и выше, необходимо предоставить разрешение "При использовании приложения" для доступа к камере.

Известные проблемы в работе Контроля приложений

• Для работы Контроля приложений Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Не применимо к режиму device owner.
• Для работы Контроля приложений (категории приложений) требуется включить использование Kaspersky Security Network. Контроль приложений определяет категорию приложения на основе данных, которые содержатся в KSN. Для использования KSN требуется подключение мобильного устройства к интернету. Для работы Контроля приложений вы можете добавить отдельные приложения в списки запрещенных и разрешенных приложений. В этом случае KSN не требуется.
• При настройке Контроля приложений рекомендуется снять флажок Блокировать системные приложения. Блокировка системных приложений может привести к сбоям в работе устройства (устройство может перестать реагировать на команды пользователя или начать постоянную перезагрузку). Чтобы восстановить нормальную работу устройства, пользователю следует сбросить настройки до заводских в режиме восстановления (процедура зависит от производителя устройства).
• На iOS MDM-устройствах, если вы добавите приложения, которые разрешено устанавливать на устройство, в список разрешенных приложений, то все приложения, кроме добавленных в список и системных приложений, будут скрыты с экрана устройства.

Известные проблемы при настройке сертификатов в политике iOS MDM

• При добавлении сертификата в политику iOS MDM попытка сохранить или закрыть политику может привести к сбою Консоли администрирования Kaspersky Security Center на базе MMC, при этом сертификат сохранится в настройках политики.

Известные проблемы при настройке электронной почты

• Дистанционная настройка почтового ящика доступна только на следующих устройствах:
  • iOS MDM-устройства;
  • Samsung-устройства (Exchange ActiveSync);
  • Android-устройства с установленным почтовым клиентом TouchDown.

    В предыдущих версиях Kaspersky Endpoint Security для Android вы можете удаленно настраивать параметры профиля TouchDown на устройстве пользователя c помощью Kaspersky Security Center. В Kaspersky Endpoint Security для Android Service Pack 4 поддержка TouchDown прекращена. Более подробная информация приведена на сайте Службы технической поддержки Symantec.

    После обновления плагина управления Kaspersky Endpoint Security для Android параметры TouchDown в политике будут скрыты, но сохранены. При подключении новых устройств параметры TouchDown будут настроены после применения политики.

    После изменения и сохранения политики параметры TouchDown будут удалены. Параметры TouchDown на устройствах пользователей будут сброшены после применения политики.

Известные проблемы при настройке надежности пароля разблокировки устройства

• На устройствах под управлением Android 10.0 и выше Kaspersky Endpoint Security приводит требования надежности пароля к одному из системных значений: средний или высокий.

  Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например, 1234), либо буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.

  Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр; пароль должен состоять не менее чем из 6 символов.

• На устройствах под управлением Android 10.0 и выше управлять использованием отпечатка пальца для разблокировки экрана можно только в рабочем профиле.
• На устройствах под управлением Android 7.1.1 при несоответствии пароля разблокировки требованиям корпоративной безопасности (Контроль соответствия) системное приложение Настройки может работать некорректно при попытке изменить пароль разблокировки из Kaspersky Endpoint Security для Android. Проблема связана с известным дефектом в Android 7.1.1. Для изменения пароля разблокировки в этом случае используйте только системное приложение Настройки.
• На некоторых устройствах под управлением Android 6.0 и выше может произойти сбой при вводе пароля разблокировки экрана, если данные на устройстве зашифрованы. Проблема связана с особенностями работы Службы специальных возможностей на устройствах с прошивкой MIUI.

Известные проблемы при настройке Wi-Fi

• На устройствах с операционной системой Android версии 8.0 или выше настроить параметры прокси-сервера для сети Wi-Fi с помощью политики невозможно. Вы можете настроить параметры прокси-сервера для сети Wi-Fi на мобильном устройстве вручную.

Известные проблемы при настройке APN

• Дистанционная настройка APN доступна только на iOS MDM-устройствах и Samsung-устройствах.
• Настраивайте APN для iOS MDM-устройств в разделе Сотовая связь. Раздел APN устарел. Перед настройкой параметров APN убедитесь, что флажок Применить на устройстве в разделе APN снят.

Известные проблемы при работе с сетевым экраном

• Использование сетевого экрана доступно только на Samsung-устройствах.

Известные проблемы при настройке VPN

• Дистанционная настройка VPN доступна только на следующих устройствах:
  • iOS MDM-устройства;
  • Samsung-устройства.
• При настройке VPN-соединения для избранных доменов в Safari, если изменить значение опции Подключаться автоматически, изменения не будут применены на устройстве. По умолчанию флажок Подключаться автоматически установлен, и его не рекомендуется снимать, если вы хотите автоматически включать VPN для указанных доменов.

Известные проблемы, связанные с защитой от удаления приложения

• Kaspersky Endpoint Security для Android должен быть установлен в качестве администратора устройства.
• На устройствах под управлением операционной системы Android версии 7.0 и выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах Xiaomi и Huawei защита Kaspersky Endpoint Security для Android от удаления не работает. Проблема связана с особенностями прошивки MIUI 7 и 8 на Xiaomi и прошивки EMUI на Huawei.

Известные проблемы при настройке ограничений устройства

• На устройствах под управлением Android 10.0 и выше запрет на использование сетей Wi-Fi не поддерживается.
• На устройствах с операционной системой Android 11 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае не удастся ограничить использование камеры.

Известные проблемы при отправке команд на мобильные устройства

• На устройствах с операционной системой Android 12 и выше, если пользователю предоставлено разрешение "Использовать приблизительное местоположение", Kaspersky Endpoint Security для Android сначала пытается определить точное местоположение устройства. Если это не удалось, определяется приблизительное местоположение устройства, но только в том случае, если данные о нем были получены не более 30 минут назад. В противном случае команда Определить местоположение устройства завершится с ошибкой.
• Если на устройстве Android отключена служба Google "Точность местоположения", команда Определить местоположение устройства работать не будет. Обращаем внимание, что не на всех устройствах Android есть эта служба.
• Если вы отправите команду Включить режим пропажи на контролируемое устройство iOS MDM без SIM-карты и это устройство будет перезапущено, оно не сможет подключиться к сети Wi-Fi и получить команду Отключить режим пропажи. Эта проблема связана с особенностями iOS-устройств. Чтобы этого избежать, можно отправлять эту команду только на устройства с SIM-картой или вставить SIM-карту в заблокированное устройство – в этом случае оно сможет получить команду Отключить режим пропажи по мобильной сети.

Известные проблемы, связанные с рабочим профилем Android

• Если вы создаете рабочий профиль Android с помощью политики, пользователь должен предоставить разрешение "Разрешить доступ на управление всеми файлами" программе Kaspersky Endpoint Security для Android, установленной на устройствах под управлением Android 11 или более поздней версии и связанной с рабочим профилем.
• Функция рабочего профиля Android Запретить включать режим отладки по USB не работает на устройствах под управлением Android 13. Это связано с проблемой в Android 13.

Известные проблемы, связанные с определенными моделями устройств

• На некоторых устройствах (например, Huawei, Meizu, Xiaomi) требуется предоставить приложению Kaspersky Endpoint Security для Android разрешение на автоматический запуск или вручную добавить его в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства. Также, если устройство было заблокировано, разблокировать устройство с помощью команды невозможно. Вы можете разблокировать устройство только с помощью одноразового кода разблокировки.
• На некоторых устройствах (например, Meizu, Asus) под управлением Android 6.0 и выше после шифрования данных и перезагрузки устройства Android требует ввести цифровой пароль для разблокировки устройства. Если пользователь использует графический пароль для разблокировки, требуется перевести графический пароль в цифровой. Подробнее о переводе графического пароля в цифровой см. на сайте Службы технической поддержки компании-производителя мобильного устройства. Проблема связана с особенностями работы службы Специальных возможностей.
• На некоторых устройствах Huawei под управлением Android 5.Х после установки Kaspersky Endpoint Security для Android в качестве службы Специальных возможностей отображается неверное сообщение об отсутствии соответствующих прав. Чтобы скрыть это сообщение, включите приложение как защищенное в настройках устройства.
• На некоторых Huawei-устройствах под управлением Android 5.X и 6.X при включенном режиме энергосбережения для Kaspersky Endpoint Security для Android пользователь может самостоятельно завершить работу приложения. При этом устройство пользователя не защищено. Проблема связана с особенностями программного обеспечения Huawei. Чтобы восстановить защиту устройства, запустите Kaspersky Endpoint Security для Android вручную. Рекомендуется отключить режим энергосбережения для приложения Kaspersky Endpoint Security для Android в настройках устройства.
• На Huawei-устройствах с прошивкой EMUI под управлением Android 7.0 пользователь может скрыть уведомление о статусе защиты Kaspersky Endpoint Security для Android. Проблема связана с особенностями программного обеспечения Huawei.
• На некоторых Xiaomi-устройствах пользователь может использовать Диспетчер задач ОС, чтобы остановить работу Kaspersky Endpoint Security для Android в фоновом режиме. Проблема связана с особенностями программного обеспечения Xiaomi.
• На некоторых Xiaomi-устройствах при установке в политике длины пароля больше 5 символов пользователю будет предложено изменить пароль разблокировки экрана, а не PIN-код. Установить PIN-код длиной более 5 символов невозможно. Проблема связана с особенностями программного обеспечения Xiaomi.
• На Xiaomi-устройствах с прошивкой MIUI под управлением Android 6.0 значок Kaspersky Endpoint Security для Android в строке состояния может быть скрыт. Проблема связана с особенностями программного обеспечения Xiaomi. Рекомендуется разрешить отображение значков уведомлений в настройках уведомлений.
• На некоторых Nexus-устройствах под управлением Android 6.0.1 во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android невозможно выдать необходимые права для корректной работы. Проблема связана с известным дефектом в Security Patch для Android от Google. Для корректной работы приложения требуется вручную выдать необходимые права в настройках устройства.
• На некоторых Samsung-устройствах под управлением операционной системы Android 7.0 и выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.
• На некоторых Samsung-устройствах невозможно запретить использование отпечатков пальцев для разблокировки экрана.
• На некоторых Samsung-устройствах не работает Веб-Фильтр, если устройство подключено к сети 3G/4G, на устройстве включен режим энергосбережения и ограничены фоновые данные. Рекомендуется выключить функцию отключения фоновых процессов в настройках режима энергосбережения.
• Также на некоторых Samsung-устройствах при несоответствии пароля разблокировки требованиям корпоративной безопасности Kaspersky Endpoint Security для Android не запрещает использование отпечатков пальцев для разблокировки экрана.
• На некоторых Samsung-устройствах после выполнения команд Анти-Вора (поиск, блокирование, разблокирование и фотографирование) мобильный сертификат и VPN-сертификат могут удалиться. Для продолжения работы требуется заново установить сертификаты. Проблема связана со стандартом безопасности MDFPP (Mobile Device Fundamentals Protection Profile).
• На некоторых устройствах Honor и Huawei невозможно ограничить использование Bluetooth. При попытке приложения Kaspersky Endpoint Security для Android ограничить использование Bluetooth операционная система показывает уведомление с вариантами действий: отклонить или разрешить это ограничение. Таким образом, пользователь может отклонить ограничение и продолжить использование Bluetooth.
• На некоторых устройствах Samsung после установки или обновления Kaspersky Endpoint Security из автономного инсталляционного пакета активация профиля KNOX MDM недоступна.
• На устройствах Blackview пользователь может очистить память для приложения Kaspersky Endpoint Security для Android. В результате защита и управление устройством отключается, все заданные параметры становятся недействительными, а приложение Kaspersky Endpoint Security для Android удаляется из специальных возможностей. Это связано с тем, что устройства этого производителя предоставляют приложению "Недавние экраны" (Recent screens) расширенные права. Приложение может переопределять значения параметров Kaspersky Endpoint Security для Android, и его нельзя заменить, поскольку оно является частью операционной системы Android.
• На некоторых устройствах Google Pixel под управлением Android 11 и ниже сразу после запуска приложения Kaspersky Endpoint Security для Android происходит его сбой. Это связано с проблемой в Android.
• На некоторых устройствах TECNO и OnePlus пользователь может разблокировать устройство с помощью сканирования лица, даже если этот метод биометрической разблокировки запрещен политикой.
• На некоторых устройствах Sony и Google Pixel под управлением Android 13 или выше справка Kaspersky Endpoint Security с информацией о включении специальных возможностей отображается неправильно.
• На устройствах Samsung серий Galaxy S23 и S24 может не работать постоянная защита.

Известные проблемы при работе на Android 13

• На Android 13 пользователь может использовать Диспетчер задач ОС, чтобы остановить работу Kaspersky Endpoint Security в фоновом режиме. Это связано с известной проблемой в Android 13.
• На Android 13 разрешение на отправку уведомлений запрашивается в начале настройки приложения. Это связано с особенностями операционной системы Android 13.

Известные проблемы при добавлении веб-клипов

• Максимальное количество веб-клипов, которые можно добавить на Android-устройство, зависит от типа устройства. Когда это количество достигнуто, веб-клипы перестают добавляться на Android-устройство.

Известные проблемы в режиме device owner

• Ограничения, связанные с использованием функции Запретить изменение приложений через Настройки:
  • Функция может не работать на устройствах Xiaomi, Redmi и POCO из-за особенностей устройств этих производителей.
  • Другие устройства под управлением Android 10 или ниже имеют следующие ограничения: если при настройке ограничений для приложений установлен флажок Запретить изменение приложений через Настройки и применена политика, пользователь по-прежнему может сбрасывать настройки приложений по умолчанию и останавливать приложения через настройки. Это связано с особенностями операционной системы Android.
• Управление настройками обновлений на мобильных устройствах является вендор-специфичным. На некоторых Android-устройствах ограничения на установку обновлений операционной системы вручную пользователем могут работать некорректно.
• Приложение Kaspersky Endpoint Security для Android не может быть установлено в режиме device owner на следующих устройствах: Honor 30i (Android 10), Huawei y8p, Huawei Y5 (Android 8), Huawei Mate 40 PRO (Android 10), Xiaomi Redmi 4X (Android 7.1), Honor 5c (Android 7.0, EMUI 5.0). Это связано со спецификой прошивки устройств: сканер QR-кода недоступен после сброса устройства до заводских настроек.
• На устройствах под управлением Android 10 при выдаче разрешения на определение местоположения автоматически устанавливается значение Разрешить только во время использования приложения вместо Разрешить в любом режиме. Это значение не может быть изменено администратором или пользователями. Проблема связана с известной ошибкой в Android 10.
• Ограничение Запретить снимки экрана не блокирует снимки экрана в настройках устройства.

[Topic 136255]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Развертывание

Этот раздел справки адресован специалистам, которые осуществляют установку Kaspersky Secure Mobility Management, и специалистам технической поддержки организаций, использующих Kaspersky Secure Mobility Management.

[Topic 98741]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Архитектура решения

Kaspersky Secure Mobility Management включает в себя следующие компоненты:

• Мобильное приложение Kaspersky Endpoint Security для Android.

  Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы. Осуществляет взаимодействие между мобильным устройством и Сервером администрирования Kaspersky Security Center c помощью Firebase Cloud Messaging.

• Плагин управления Kaspersky Endpoint Security для Android

  Плагин управления Kaspersky Endpoint Security для Android обеспечивает интерфейс управления мобильными устройствами и установленными на них мобильными приложениями через Консоль администрирования Kaspersky Security Center.

• Плагин управления Kaspersky Device Management для iOS.

  Плагин управления Kaspersky Device Management для iOS обеспечивает интерфейс управления мобильными устройствами, подключенными по протоколу iOS MDM, через Консоль администрирования Kaspersky Security Center.

Архитектура комплексного решения Kaspersky Secure Mobility Management представлена на рисунке ниже.

Архитектура Kaspersky Secure Mobility Management

Подробная информация о Консоли администрирования, Сервере администрирования и Сервере iOS MDM приведена в справке Kaspersky Security Center.

[Topic 99483]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Схемы развертывания Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android можно разворачивать на мобильных устройствах в сети организации несколькими способами. Вы можете выбрать наиболее подходящий для вашей организации способ развертывания, а также использовать несколько способов развертывания одновременно.

Подробная информация о развертывании Kaspersky Endpoint Security для Android в Kaspersky Endpoint Security Cloud приведена в справке Kaspersky Endpoint Security Cloud.

Схемы развертывания Kaspersky Endpoint Security для Android через Kaspersky Security Center на персональных устройствах

На персональных устройствах развертывание Kaspersky Endpoint Security для Android через Kaspersky Security Center может быть выполнено следующими способами:

• С помощью отправки сообщений со ссылкой на загрузку приложения в Google Play (рекомендуется)
• С помощью отправки сообщений со ссылкой на загрузку пакета установки в Kaspersky Security Center

Развертывание Kaspersky Endpoint Security для Android с помощью Google Play заключается в рассылке пользователям устройств сообщений со ссылкой на Google Play из Консоли администрирования.

Для развертывания Kaspersky Endpoint Security для Android с помощью инсталляционного пакета выполните следующие действия:

1. Создайте и настройте инсталляционный пакет приложения.
2. Создайте автономный инсталляционный пакет.
3. Отправьте пользователям Android-устройств сообщения со ссылкой на загрузку автономного пакета установки. Доступна массовая рассылка.

Пользователь устанавливает Kaspersky Endpoint Security для Android на мобильное устройство после получения сообщения со ссылкой. Дополнительной подготовки приложения к работе не требуется.

Если для развертывания приложения используется пакет установки, загруженный из Kaspersky Security Center, на экране устройства может появиться сообщение "Заблокировано Play Защитой". Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии кнопки OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Схемы развертывания Kaspersky Endpoint Security для Android через Kaspersky Security Center на корпоративных устройствах (режим device owner)

На корпоративных устройствах (режим device owner) развертывание Kaspersky Endpoint Security для Android через Kaspersky Security Center может быть выполнено следующими способами:

• С помощью отправки QR-кода со ссылкой на загрузку приложения с веб-сайта "Лаборатории Касперского".
• С помощью отправки QR-кода со ссылкой на загрузку пакета установки из Kaspersky Security Center.

Для развертывания Kaspersky Endpoint Security для Android в режиме device owner через приложение, загруженное с веб-сайта "Лаборатории Касперского", выполните следующие действия:

1. Создайте QR-код для установки приложения из Консоли администрирования.
2. Выполните предварительную настройку мобильного устройства и установите Kaspersky Endpoint Security для Android с использованием QR-кода.

Для развертывания Kaspersky Endpoint Security для Android в режиме device owner с помощью пакета установки выполните следующие действия:

1. Создайте и настройте инсталляционный пакет приложения.
2. Создайте автономный инсталляционный пакет.
3. Создайте QR-код для установки приложения с использованием инсталляционного пакета.
4. Выполните предварительную настройку мобильного устройства и установите Kaspersky Endpoint Security для Android с использованием QR-кода.

   Если для развертывания приложения используется пакет установки, загруженный из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение "Заблокировано Play Защитой". Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии кнопки OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Схема развертывания Kaspersky Endpoint Security для Android из Google Play

Установку Kaspersky Endpoint Security для Android из Google Play пользователи устройств выполняют самостоятельно. Пользователь загружает дистрибутив мобильного приложения из Google Play и устанавливает его на устройство. После установки приложения на мобильное устройство требуется дополнительная подготовка к работе: настройка параметров подключения к Серверу администрирования и установка мобильного сертификата.

Схема развертывания Kaspersky Endpoint Security для Android через KNOX Mobile Enrollment

Развертывание Kaspersky Endpoint Security для Android заключается в добавлении профиля KNOX MDM на мобильные устройства. Профиль KNOX MDM содержит ссылку на приложение, размещенное на Веб-сервере Kaspersky Security Center или другом сервере. После установки приложения на мобильном устройстве дополнительно требуется установить мобильный сертификат.

Информация об установке с помощью KNOX Mobile Enrollment приведена в разделе Samsung KNOX.

[Topic 141784]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Схемы развертывания для iOS MDM-профиля

iOS MDM-профиль – это профиль, который содержит параметры подключения мобильных устройств под управлением операционной системы iOS к Kaspersky Security Center. После установки iOS MDM-профиля и синхронизации с Kaspersky Security Center устройство становится управляемым. Управление мобильными устройствами осуществляется с помощью сервиса Apple Push Notification service (APNs).

С помощью iOS MDM-профиля можно выполнять следующие действия:

• Удаленно настраивать параметры iOS MDM-устройств с помощью групповых политик.
• Отправлять команды блокирования и удаления данных.
• Удаленно устанавливать приложения "Лаборатории Касперского", а также другие сторонние приложения.

iOS MDM-профиль можно разворачивать на мобильных устройствах в сети организации несколькими способами. Вы можете выбрать наиболее подходящий для вашей организации способ развертывания, а также использовать несколько способов развертывания одновременно.

Прежде чем приступить к развертыванию профиля iOS MDM, необходимо развернуть систему управления мобильными устройствами.

Подробная информация о развертывании iOS MDM-профиля в Kaspersky Endpoint Security Cloud приведена в справке Kaspersky Endpoint Security Cloud.

Схема развертывания iOS MDM-профиля через Kaspersky Security Center

Развертывание профиля iOS MDM через Kaspersky Security Center может быть выполнено через отправку сообщений со ссылкой на загрузку профиля iOS MDM. Доступна массовая рассылка.

Установку iOS MDM-профиля на мобильное устройство выполняет пользователь после получения сообщения со ссылкой на Веб-сервер Kaspersky Security Center. Дополнительной подготовки iOS MDM-профиля к работе не требуется.

[Topic 99201]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Подготовка Консоли администрирования к развертыванию комплексного решения

Этот раздел содержит инструкции по подготовке Консоли администрирования к развертыванию комплексного решения.

[Topic 89678]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка параметров Сервера администрирования для подключения мобильных устройств

Чтобы мобильные устройства могли подключиться к Серверу администрирования, перед установкой мобильного приложения Kaspersky Endpoint Security настройте параметры подключения мобильных устройств в свойствах Сервера администрирования.

Чтобы настроить параметры Сервера администрирования для подключения мобильных устройств, выполните следующие действия:

1. В контекстном меню Сервера администрирования выберите пункт Свойства.

   Откроется окно свойств Сервера администрирования.

2. Выберите раздел Параметры подключения к Серверу → Дополнительные порты.
3. Установите флажок Открывать порт для мобильных устройств.
4. В поле Порт для мобильных устройств укажите порт, по которому к Серверу администрирования будут подключаться мобильные устройства.

   По умолчанию указан порт 13292. Если флажок Открывать порт для мобильных устройств снят или порт для подключения указан неверно, мобильные устройства не смогут подключаться к Серверу администрирования.

5. В поле Порт активации мобильных клиентов укажите порт для подключения мобильных устройств к Серверу администрирования для активации приложения Kaspersky Endpoint Security для Android. По умолчанию указан порт 17100.
6. Нажмите кнопку OK.

[Topic 245223]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center

В этом разделе описывается настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center. Настройка включает в себя следующие шаги:

1. Установка Агента администрирования в качестве шлюза соединения на хосте.
2. Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center.

Эта статья содержит обзор сценария. Более подробная информация приведена в документации Kaspersky Security Center.

Требования

Чтобы шлюз соединения корректно работал с мобильными устройствами, должны соблюдаться следующие требования:

• Порт 13292 должен быть открыт на хосте со шлюзом соединения.
• Порт 13000 должен быть открыт между шлюзом соединения и Kaspersky Security Center. Его открытие наружу из демилитаризованной зоны не требуется.
• Хост должен иметь статический адрес, доступный из интернета.

Установка Агента администрирования на хост, выполняющий роль шлюза соединения

Сначала необходимо установить Агент администрирования на выбранном устройстве-хосте, который будет выступать в качестве шлюза соединения. Вы можете загрузить полный инсталляционный пакет Kaspersky Security Center или установить Kaspersky Security Center локально.

По умолчанию установочный файл расположен по следующему пути: \\<server name>\KLSHARE\PkgInst\NetAgent_<version number>

Чтобы установить Агент администрирования в роли шлюза соединения:

1. Запустите Мастер установки Агента администрирования и следуйте его указаниям, оставляя настройки по умолчанию для всех параметров, пока не откроется окно Выбор Сервера администрирования.
2. В окне Выбор Сервера администрирования настройте следующие параметры:
   • Введите адрес устройства с установленным Сервером администрирования.
   • Оставьте значения по умолчанию в полях Порт, SSL-порт и UDP-порт.
   • Установите флажок Использовать SSL для соединения с Сервером администрирования, чтобы установить соединение с Сервером администрирования через защищенный порт с использованием SSL.

     Рекомендуется не снимать этот флажок, чтобы соединение оставалось защищенным.

   • Установите флажок Разрешить Агенту администрирования открыть UDP-порт, чтобы управлять клиентскими устройствами и получать о них информацию.
3. Нажмите Далее и пройдите все шаги мастера до появления окна Шлюз соединения, оставляя настройки по умолчанию.
4. В окне Шлюз соединения выберите Использовать в качестве шлюза соединения в демилитаризованной зоне.

   Этот режим одновременно активирует Агент администрирования в роли шлюза соединения и переключает его на ожидание подключений от Сервера администрирования, а не на установку подключения к Серверу администрирования.

5. Нажмите Далее и начните установку.

Теперь Агент администрирования установлен и настроен в качестве шлюза соединения.

Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center

После установки Агента администрирования в качестве шлюза соединения необходимо подключить его к Серверу администрирования. Сервер администрирования пока не отображает устройство со шлюзом соединения в списке управляемых устройств, поскольку шлюз соединения еще не подключался к Серверу администрирования. По этой причине необходимо добавить шлюз соединения как точку распространения, чтобы убедиться, что Сервер администрирования инициирует подключение к шлюзу соединения.

Чтобы настроить шлюз соединения на Сервере администрирования:

1. Добавьте шлюз соединения как точку распространения в Kaspersky Security Center.
   1. В дереве консоли выберите узел Сервер администрирования.
   2. В контекстном меню Сервера администрирования выберите пункт Свойства.
   3. В окне свойств Сервера администрирования выберите раздел Точки распространения.
   4. Нажмите на кнопку Добавить.

      Откроется окно Добавление точки распространения.

   5. В окне Добавление точки распространения выполните следующие действия:
      • Укажите IP-адрес устройства с установленным Агентом администрирования в поле Устройство, которое будет выполнять роль точки распространения. Для этого выберите пункт Добавить шлюз соединения, находящийся в демилитаризованной зоне, по адресу в раскрывающемся списке.

        Введите IP-адрес шлюза соединения или имя шлюза соединения, если к нему можно получить доступ по имени.

      • В поле Область действия точки распространения, в раскрывающемся списке выберите группу, на которую будет распространяться шлюз соединения, а затем нажмите ОК.
   6. В разделе Точки распространения нажмите ОК, чтобы сохранить внесенные изменения.

   Шлюз соединения будет сохранен как новая запись под именем Временная запись для шлюза соединения.

   Сервер администрирования практически сразу попытается подключиться к шлюзу соединения по указанному вами адресу. При удачном подключении имя записи изменится на имя устройства шлюза соединения. Этот процесс занимает до 5 минут.

   Пока временная запись для шлюза соединения переводится в именованную запись, шлюз соединения также отображается в группе Нераспределенные устройства.

2. Создайте новую группу в группе Управляемые устройства. В эту группу будут входить внешние управляемые устройства.
3. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.
4. Настройте свойства шлюза соединения, который вы развернули:
   1. В свойствах Сервера администрирования, в разделе Точки распространения выберите шлюз соединения и нажмите Свойства.
   2. В разделе Общие, в свойстве Имена DNS-доменов точки распространения, под которыми она будет доступна мобильным устройствам (включаются в сертификат) укажите DNS-имя шлюза соединения, которое будет использоваться для подключения к мобильному устройству.
   3. В разделе Шлюз соединения установите следующие флажки, оставляя номера портов по умолчанию:
      • Открыть порт для мобильных устройств (аутентификация SSL только для Сервера администрирования).
      • Открыть порт для мобильных устройств (двусторонняя аутентификация SSL).
   4. Нажмите OK, чтобы сохранить внесенные изменения.

Шлюз соединения настроен. Теперь вы можете добавлять новые мобильные устройства, указав адрес шлюза соединения. Новые устройства появятся на Сервере администрирования.

[Topic 89684]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Отображение папки "Управление мобильными устройствами" в Консоли администрирования

Отображение папки Управление мобильными устройствами в Консоли администрирования позволяет просматривать перечень мобильных устройств, находящихся под управлением Сервера администрирования, настраивать параметры управления мобильными устройствами и устанавливать сертификаты на мобильные устройства пользователей.

Чтобы включить отображение папки Управление мобильными устройствами в Консоли администрирования, выполните следующие действия:

1. В контекстном меню Сервера администрирования выберите пункт Вид → Настройка интерфейса.
2. В открывшемся окне установите флажок Отображать Управление мобильными устройствами.
3. Нажмите кнопку OK.

Папка Управление мобильными устройствами будет отображаться в дереве Консоли администрирования после перезапуска Консоли администрирования.

[Topic 89688]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Создание группы администрирования

Централизованная настройка параметров приложения Kaspersky Endpoint Security для Android, установленного на мобильных устройствах пользователей, выполняется посредством применения к этим устройствам групповых политик.

Для того чтобы применить политику к группе устройств, перед установкой мобильных приложений на устройства пользователей рекомендуется создать для этих устройств отдельную группу администрирования в папке Управляемые устройства.

После создания группы администрирования рекомендуется настроить автоматическое перемещение в эту группу устройств, на которые вы хотите установить приложения. Затем необходимо задать общие для всех устройств параметры с помощью групповой политики.

Чтобы создать группу администрирования, выполните следующие действия:

1. В дереве консоли выберите папку Управляемые устройства.
2. В рабочей области папки Управляемые устройства или вложенной папки выберите закладку Устройства.
3. Нажмите на кнопку Создать группу.

   Откроется окно создания новой группы.

4. В открывшемся окне Имя группы введите имя группы и нажмите на кнопку ОК.

В результате в дереве консоли появится новая папка группы администрирования с заданным именем. Подробная информация о работе с группами администрирования приведена в справке Kaspersky Security Center.

[Topic 89691]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Создание правила автоматического переноса устройств в группу администрирования

Централизованное управление параметрами приложения Kaspersky Endpoint Security для Android, установленного на мобильных устройствах пользователей, возможно, только если эти устройства находятся в созданной ранее группе администрирования, для которой назначена групповая политика.

Если правило автоматического перемещения обнаруженных в сети мобильных устройств в группу администрирования не задано, то при первой синхронизации устройства с Сервером администрирования устройство автоматически попадает в Консоль администрирования в папку Дополнительно → Обнаружение устройств → Домены → KES10 (папка KES10 используется по умолчанию). Групповая политика к этому устройству не применяется.

Чтобы создать правило автоматического перемещения мобильных устройств в группу администрирования, выполните следующие действия:

1. В дереве консоли выберите папку Нераспределенные устройства.
2. В контекстном меню папки Нераспределенные устройства выберите пункт Свойства.

   В результате откроется окно Свойства: Нераспределенные устройства.

3. В разделе Перемещение устройств нажмите на кнопку Добавить, чтобы запустить процесс создания правила автоматического перемещения устройств в группу администрирования.

   Откроется окно Новое правило.

4. Введите имя правила.
5. Укажите группу администрирования, в которую должны помещаться устройства после установки на них мобильного приложения Kaspersky Endpoint Security для Android. Для этого нажмите на кнопку Обзор справа от поля Группа, в которую следует перемещать устройства и в открывшемся окне выберите группу.
6. В блоке Выполнение правила выберите вариант Выполняется один раз для каждого устройства.
7. Установите флажок Перемещать только устройства, не размещенные в группах администрирования для того чтобы в результате применения правила мобильные устройства, уже распределенные в другие группы администрирования, не были перемещены в выбранную группу.
8. Установите флажок Включить правило, чтобы правило применялось для только что обнаруженных устройств.
9. Откройте раздел Программы и выполните следующие действия:
   1. Установите флажок Версия операционной системы.
   2. Выберите один или несколько типов операционной системы устройств, которые будут перемещаться в указанную группу: Android или iOS.
10. Нажмите кнопку OK.

Созданное правило отображается в списке правил перемещения устройств в разделе Перемещение устройств окна свойств папки Нераспределенные устройства.

В результате выполнения правила Kaspersky Security Center переносит все устройства, соответствующие заданным условиям, из папки Нераспределенные устройства в указанную вами группу администрирования. Мобильные устройства, ранее распределенные в папку Нераспределенные устройства, также могут быть перемещены в нужную группу администрирования папки Управляемые устройства вручную. Подробная информация об управлении группами администрирования и работе с нераспределенными устройствами приведена в справке Kaspersky Security Center.

[Topic 89730]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Создание мобильного сертификата

Для идентификации пользователя мобильного устройства в Консоли администрирования необходимо создать мобильный сертификат.

Чтобы создать мобильный сертификат, выполните следующие действия:

1. В дереве консоли выберите папку Управление мобильными устройствами → Сертификаты.
2. В рабочей области папки Сертификаты по ссылке Добавить сертификат запустите мастер установки сертификатов.
3. В окне мастера Тип сертификата выберите вариант Мобильный сертификат.
4. В окне мастера Выбор пользователя укажите пользователей, для которых вы хотите создать мобильный сертификат.
5. В окне мастера Источник сертификата укажите способ создания мобильного сертификата.
   • Чтобы создать мобильный сертификат автоматически средствами Сервера администрирования, выберите вариант Выписать сертификат средствами Сервера администрирования.
   • Чтобы назначить пользователю сертификат, созданный ранее, выберите вариант Указать файл сертификата. По кнопке Задать откройте окно Сертификат и укажите в нем файл сертификата.

     Снимите флажок Опубликовать сертификат, если вы не хотите указывать тип мобильного устройства и способ уведомления пользователя о создании сертификата.

6. В окне мастера Способ уведомления пользователей настройте параметры уведомления пользователя мобильного устройства о создании сертификата с помощью SMS-сообщения или по электронной почте.
7. В окне мастера Генерация сертификата нажмите на кнопку Готово для завершения работы мастера установки сертификатов.

В результате работы мастера установки сертификатов будет создан мобильный сертификат, который пользователь сможет установить на мобильное устройство. Для получения сертификата необходимо запустить синхронизацию мобильного устройства с Сервером администрирования. Подробная информация о создании сертификатов и настройке правил их выпуска приведена в справке Kaspersky Security Center.

[Topic 253977]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Развертывание систем управления мобильными устройствами

В этом разделе описано развертывание систем управления мобильными устройствами по протоколу iOS MDM.

[Topic 253978]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Развертывание системы управления по протоколу iOS MDM

Kaspersky Endpoint Security позволяет управлять мобильными устройствами на платформе iOS. Мобильными устройствами iOS MDM называются мобильные устройства под управлением iOS, подключенные к Серверу iOS MDM и находящиеся под управлением Сервера администрирования.

Подключение мобильных устройств к Серверу iOS MDM выполняется в следующей последовательности:

1. Администратор устанавливает Сервер iOS MDM на выбранное клиентское устройство.
2. Администратор получает сертификат Apple Push Notification Service (APNs-сертификат).

   APNs-сертификат позволяет Серверу администрирования подключаться к серверу APNs для отправки push-уведомлений на мобильные устройства iOS MDM.

3. Администратор устанавливает на Сервере iOS MDM APNs-сертификат.
4. Администратор создает профиль iOS MDM для пользователя мобильного устройства iOS.

   Профиль iOS MDM содержит набор параметров для подключения мобильных устройств iOS к Серверу администрирования.

5. Администратор предоставляет пользователю общий сертификат.

   Он необходим для подтверждения того, что мобильное устройство принадлежит пользователю.

6. Пользователь переходит по ссылке, высланной администратором, и загружает пакет установки на мобильное устройство.

   Этот пакет содержит сертификат и профиль iOS MDM.

   После загрузки профиля и синхронизации мобильного устройства iOS MDM с Сервером администрирования устройство отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

7. Администратор добавляет конфигурационный профиль на Сервер iOS MDM и после подключения мобильного устройства устанавливает на него конфигурационный профиль.

   Конфигурационный профиль содержит набор параметров и ограничений для мобильного устройства iOS MDM, например параметры установки приложений и использования различных функций устройства, а также работы с электронной почтой и календарем. Конфигурационный профиль позволяет настраивать мобильные устройства iOS MDM в соответствии с политиками безопасности организации.

8. При необходимости администратор добавляет на Сервер iOS MDM provisioning-профили, а затем устанавливает их на мобильные устройства.

   Provisioning-профили используются для управления приложениями, распространяемыми не через App Store. Provisioning-профиль содержит данные о лицензии и связан с определенной программой.

[Topic 253981]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Сценарии развертывания Сервера iOS MDM

Количество устанавливаемых копий Сервера iOS MDM зависит от доступного аппаратного обеспечения и от общего числа обслуживаемых мобильных устройств.

Следует учесть, что на одну установку Kaspersky Device Management для iOS рекомендуется не более 50 000 мобильных устройств. С целью уменьшения нагрузки устройства можно распределить между несколькими серверами с установленным Сервером iOS MDM.

Аутентификация устройств iOS MDM осуществляется с помощью пользовательских сертификатов (профиль, устанавливаемый на устройство, содержит сертификат владельца этого устройства). Поэтому возможны две схемы развертывания Сервера iOS MDM:

• Упрощенная схема
• Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

В начало

[Topic 253982]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Упрощенная схема развертывания

При развертывании Сервера iOS MDM по упрощенной схеме мобильные устройства напрямую подключаются к веб-службе iOS MDM. При этом для аутентификации устройств могут быть использованы только пользовательские сертификаты, выпущенные Сервером администрирования. Интеграция с инфраструктурой открытых ключей для пользовательских сертификатов невозможна.

[Topic 253983]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Для использования схемы развертывания с принудительным делегированием Kerberos Constrained Delegation (KCD) Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.

Эта схема развертывания предполагает:

• интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
• использование схемы принудительного делегирования Kerberos Constrained Delegation для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей для применения пользовательских сертификатов.

При использовании этой схемы развертывания следует учесть, что:

• в Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos Constrained Delegation;
• в качестве сертификата веб-службы iOS MDM следует указать персонализированный сертификат, заданный при публикации веб-службы iOS MDM на TMG;
• пользовательские сертификаты для iOS-устройств должны выпускаться доменным Центром сертификации (ЦС). Если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выпущены Центром сертификации, указанным при публикации веб-службы iOS MDM на TMG.

  Соответствие пользовательского сертификата указанному требованию обеспечивается несколькими способами:

  • Указать пользовательский сертификат в мастере создания профилей iOS MDM и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
    3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

• веб-служба iOS MDM запущена на порте 443;
• имя устройства с TMG – tmg.mydom.local;
• имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
• имя внешней публикации веб-службы iOS MDM – iosmdm.mydom.global.

Имя субъекта-службы (SPN) для http/iosmdm.mydom.local

В домене требуется зарегистрировать имя субъекта-службы (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика необходимо доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/iosmdm.mydom.local), администратор должен выполнить следующие действия:

1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN (http/iosmdm.mydom.local).

Особый (персонализированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (персонализированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (открытые ключи).

Публикация веб-службы iOS MDM на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 443 iosmdm.mydom.global, необходимо настроить KCD на SPN (http/iosmdm.mydom.local) с использованием сертификата, выпущенного для FQDN (iosmdm.mydom.global). При этом следует учесть, что к публикации и публикуемой веб-службе должен быть применен один и тот же сертификат сервера.

[Topic 253979]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка Сервера iOS MDM

Чтобы установить Сервер iOS MDM на клиентское устройство, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. Нажмите на кнопку Установить Сервер iOS MDM.

   Запустится мастер развертывания Сервера iOS MDM. Пройдите все шаги мастера, нажимая на кнопку Далее.

3. В окне мастера Выбор пакета установки выберите пакет установки Сервера iOS MDM, который требуется установить.

   Если в списке нет нужного пакета, нажмите на кнопку Новый, чтобы создать нужный пакет.

4. При необходимости в окне мастера Выбор пакета установки Агента администрирования для комбинированной установки оставьте флажок Установить Агент администрирования вместе с этим приложением и выберите версию Агента администрирования, которую необходимо установить.
   Агент администрирования

   Компонент программы Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере).

   требуется для подключения Сервера iOS MDM к Kaspersky Security Center. Если Агент администрирования уже установлен на устройстве, на котором необходимо установить Сервер iOS MDM, этот шаг можно пропустить.

5. В окне мастера Параметры подключения в поле Внешний порт подключения к iOS MDM укажите внешний порт для подключения мобильных устройств к службе iOS MDM.

   Внешний порт 5223 используется мобильными устройствами для связи с APNs-сервером. Убедитесь, что в сетевом экране открыт порт 5223 для подключения к диапазону адресов 17.0.0.0/8.

   Для подключения устройства к Серверу iOS MDM по умолчанию используется порт 443. Если порт 443 уже используется другим сервисом или приложением, вместо него можно использовать, например, порт 9443.

   Сервер iOS MDM использует внешний порт 2197 для отправки уведомлений на APNs-сервер.

   APNs-серверы работают в режиме сбалансированной нагрузки. Мобильные устройства не всегда подключаются к одним и тем же IP-адресам для получения уведомлений. Диапазон адресов 17.0.0.0/8 зарезервирован за компанией Apple, поэтому рекомендуется указать его в качестве разрешенного диапазона в параметрах сетевого экрана.

6. Если вы хотите вручную настроить порты взаимодействия для компонентов программы, выберите параметр Настроить локальные порты вручную, а затем укажите значения следующих параметров:
   • Порт подключения к Агенту администрирования

     Укажите в поле порт подключения службы iOS MDM к Агенту администрирования. Порт по умолчанию: 9799.

   • Локальный порт подключения к службе iOS MDM

     Укажите в поле локальный порт подключения Агента администрирования к службе iOS MDM. Порт по умолчанию: 9899.

   Рекомендуется использовать значения по умолчанию.

7. В поле Адрес Сервера iOS MDM укажите адрес клиентского устройства, на котором будет установлен Сервер iOS MDM.

   Этот адрес будет использоваться для подключения управляемых мобильных устройств к службе iOS MDM. Клиентское устройство должно быть доступно для подключения устройств iOS MDM.

   Можно указать адрес клиентского устройства в одном из следующих форматов:

   • Использовать FQDN устройства

     Будет использоваться полное доменное имя (FQDN).

   • Использовать этот адрес

     Введите адрес устройства вручную.

   Не следует включать в строку с адресом URL-схему и номер порта: эти значения будут добавлены автоматически.

8. В окне мастера Выбор устройств для установки выберите устройства, на которые нужно установить Сервер iOS MDM.
9. В окне мастера Переместить в список управляемых устройств укажите, нужно ли перемещать устройства в какую-либо группу администрирования после установки Агента администрирования.

   Этот вариант применим, если на предыдущем шаге выбрано одно или несколько нераспределенных устройств. Если были выбраны только управляемые устройства, пропустите этот шаг.

10. Задайте другие параметры в мастере. Подробная информация об удаленной установке приложений приведена в справке Kaspersky Security Center.

По окончании работы мастера Сервер iOS MDM будет установлен на выбранные устройства. Сервер iOS MDM отображается в папке Управление мобильными устройствами дерева консоли.

Мастер установки перейдет к шагу Установка APNs-сертификата. Если вы не хотите сразу переходить к управлению сертификатами, можно создать сертификат или установить уже существующий сертификат позже.

[Topic 253985]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Использование Сервера iOS MDM несколькими виртуальными Серверами

Чтобы включить использование Сервера iOS MDM несколькими виртуальными Серверами администрирования, выполните следующие действия:

1. Откройте системный реестр клиентского устройства, на котором установлен Сервер iOS MDM (например, локально с помощью команды regedit в меню Пуск → Выполнить).
2. Перейдите к кусту.
   • Для 32-разрядных систем:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0

   • Для 64-разрядных систем:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0

3. Для ключа ConnectorFlags (DWORD) установите значение 02102482.
4. Перейдите к кусту.
   • Для 32-разрядных систем:

     HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\1103\1.0.0.0

   • Для 64-разрядных систем:

     HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\1103\1.0.0.0

5. Для ключа ConnInstalled (DWORD) установите значение 00000001.
6. Перезапустите службу Сервера iOS MDM.

Задавать значения ключей необходимо в указанной последовательности.

[Topic 253986]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Получение APNs-сертификата

Если у вас уже есть APNs-сертификат, обновите его, а не создавайте новый. При замене существующего APNs-сертификата на новый Сервер администрирования теряет управление подключенными в данный момент мобильными устройствами iOS.

После создания запроса Certificate Signing Request (CSR-запрос) на первом шаге мастера получения APNs-сертификата его закрытый ключ сохраняется в оперативной памяти устройства. Поэтому все шаги мастера должны быть завершены в рамках одной сессии работы с программой.

Чтобы получить APNs-сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Запросить новый.

   Запустится мастер запроса нового APNs-сертификата.

6. Создайте запрос Certificate Signing Request (далее – CSR-запрос). Для этого:
   1. Нажмите на кнопку Создать CSR-запрос.
   2. В открывшемся окне Создание CSR-запроса укажите название запроса, название компании и отдела, город, регион и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Закрытый ключ сертификата будет сохранен в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на заверение в "Лабораторию Касперского" через ваш CompanyAccount.

   Заверение CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, позволяющего использовать Управление мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, заверенный "Лабораторией Касперского".

8. Отправьте заверенный файл CSR-запроса на веб-сайт Apple Inc. через произвольный Apple ID.

   Но мы не рекомендуем использовать персональный Apple ID. Создайте отдельный Apple ID для корпоративных целей. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите открытый ключ APNs-сертификата. Сохраните полученный файл на диск.

9. Экспортируйте APNs-сертификат вместе с закрытым ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого:
   1. В открывшемся окне мастера запроса нового APNs-сертификата нажмите на кнопку Закрыть CSR-запрос.
   2. В окне Открытие файла выберите файл с открытым ключом сертификата, полученный после обработки CSR-запроса от Apple Inc., и нажмите на кнопку Открыть.

      Начнется экспорт сертификата.

   3. В открывшемся окне введите пароль для закрытого ключа и нажмите на кнопку ОК.

      Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

   4. В открывшемся окне Сохранение APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку и нажмите на кнопку Сохранить.

Закрытый и открытый ключи сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX. После этого можно установить APNs-сертификат на Сервер iOS MDM.

[Topic 253987]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Обновление APNs-сертификата

Чтобы обновить APNs-сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Обновить.

   Откроется мастер обновления APNs-сертификатов.

6. Создайте запрос Certificate Signing Request (далее – CSR-запрос). Для этого:
   1. Нажмите на кнопку Создать CSR-запрос.
   2. В открывшемся окне Создание CSR-запроса укажите название запроса, название компании и отдела, город, регион и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Закрытый ключ сертификата будет сохранен в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на заверение в "Лабораторию Касперского" через ваш CompanyAccount.

   Заверение CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, позволяющего использовать Управление мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, заверенный "Лабораторией Касперского".

8. Отправьте заверенный файл CSR-запроса на веб-сайт Apple Inc. через произвольный Apple ID.

   Но мы не рекомендуем использовать персональный Apple ID. Создайте отдельный Apple ID для корпоративных целей. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите открытый ключ APNs-сертификата. Сохраните полученный файл на диск.

9. Запросите открытый ключ сертификата. Для этого выполните следующие действия:
   1. Перейдите на портал Apple Push Certificates. Для авторизации на портале потребуется Apple ID, полученный при первичном запросе сертификата.
   2. В списке сертификатов выберите сертификат, APSP-имя которого (в формате "APSP: <номер>") совпадает с APSP-именем сертификата, используемого Сервером iOS MDM, и нажмите на кнопку Обновить.

      APNs-сертификат будет обновлен.

   3. Сохраните созданный на портале сертификат.
10. Экспортируйте APNs-сертификат вместе с закрытым ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого:
    1. В окне мастера обновления APNs-сертификатов нажмите на кнопку Закрыть CSR-запрос.
    2. В окне Открытие файла выберите файл с открытым ключом сертификата, полученный после обработки CSR-запроса в Apple Inc., и нажмите на кнопку Открыть.

       Начнется экспорт сертификата.

    3. В открывшемся окне введите пароль для закрытого ключа и нажмите на кнопку ОК.

       Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

    4. В открывшемся окне Обновление APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку и нажмите на кнопку Сохранить.

Закрытый и открытый ключи сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX.

[Topic 253988]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка резервного сертификата Сервера iOS MDM

Функциональность Сервера iOS MDM позволяет выпустить резервный сертификат. Этот сертификат предназначен для использования в профилях iOS MDM, чтобы обеспечить переключение управляемых iOS-устройств после истечения срока действия сертификата Сервера iOS MDM.

Если ваш Сервер iOS MDM по умолчанию использует сертификат, выпущенный "Лабораторией Касперского", вы можете выпустить резервный сертификат (или указать собственный сертификат в качестве резервного) до истечения срока действия сертификата Сервера iOS MDM. По умолчанию резервный сертификат будет выпущен автоматически за 60 дней до истечения срока действия сертификата Сервера iOS MDM. Резервный сертификат Сервера iOS MDM становится основным сразу после истечения срока действия сертификата Сервера iOS MDM. Открытый ключ распространяется на все управляемые устройства через конфигурационные профили, поэтому вам не нужно передавать его вручную.

Чтобы выпустить резервный сертификат Сервера iOS MDM или указать пользовательский резервный сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В списке cерверов мобильных устройств выберите соответствующий Сервер iOS MDM и на правой панели нажмите на кнопку Настроить Сервер iOS MDM.
3. В открывшемся окне параметров Сервера iOS MDM выберите раздел Сертификаты.
4. В блоке параметров Резервный сертификат выполните одно из следующих действий:
   • Если вы планируете и дальше использовать самозаверенный сертификат (то есть сертификат, выпущенный "Лабораторией Касперского"), выполните следующие действия:
     1. Нажмите на кнопку Выпустить.
     2. В открывшемся окне Дата активации выберите один из двух вариантов даты, когда необходимо применить резервный сертификат:
        • Если вы хотите применить резервный сертификат в момент истечения срока действия текущего сертификата, выберите параметр По истечении срока действия текущего сертификата.
        • Если вы хотите применить резервный сертификат до истечения срока действия текущего сертификата, выберите параметр По истечении указанного периода (в днях). В поле ввода рядом с этим параметром укажите продолжительность периода, по истечении которого резервный сертификат должен заменить текущий сертификат.

        Срок действия указанного вами резервного сертификата не может превышать срок действия текущего сертификата Сервера iOS MDM.

     3. Нажмите на кнопку OK.

     Будет выписан резервный сертификат Сервера iOS MDM.

   • Если вы планируете применить пользовательский сертификат, выпущенный вашим центром сертификации, выполните следующие действия:
     1. Нажмите на кнопку Добавить.
     2. В открывшемся окне проводника укажите файл сертификата в формате PEM, PFX или P12, который хранится на вашем устройстве, и нажмите на кнопку Открыть.

     Пользовательский сертификат указан как резервный сертификат Сервера iOS MDM.

Резервный сертификат Сервера iOS MDM указан. Подробная информация о резервном сертификате отображается в блоке параметров Резервный сертификат (название сертификата, компания, выпустившая сертификат, срок действия и дата применения резервного сертификата, если указана).

В начало

[Topic 253989]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка APNs-сертификата на Сервер iOS MDM

После получения APNs-сертификата необходимо установить его на Сервер iOS MDM.

Чтобы установить APNs-сертификат на Сервер iOS MDM, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Установить.
6. Выберите файл формата PFX, содержащий APNs-сертификат.
7. Введите пароль закрытого ключа, указанный при экспорте APNs-сертификата.

APNs-сертификат будет установлен на Сервер iOS MDM. Информация о сертификате будет отображаться в окне свойств Сервера iOS MDM в разделе Сертификаты.

[Topic 253991]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка доступа к сервису Apple Push Notification

Чтобы обеспечить корректную работу веб-службы iOS MDM и своевременное реагирование мобильных устройств на команды администратора, в параметрах Сервера iOS MDM нужно указать сертификат Apple Push Notification Service (далее – APNs-сертификат).

Взаимодействуя со службой Apple Push Notification (далее – APNs), веб-служба iOS MDM подключается к внешнему адресу api.push.apple.com по исходящему порту 2197. Поэтому веб-службе iOS MDM необходимо предоставить доступ к порту TCP 2197 для диапазона адресов 17.0.0.0/8. Со стороны iOS-устройства – доступ к порту TCP 5223 для диапазона адресов 17.0.0.0/8.

Если доступ к APNs со стороны веб-службы iOS MDM будет предоставляться через прокси-сервер, то на устройстве с установленной веб-службой iOS MDM необходимо выполнить следующие действия.

1. Добавить в реестр следующие строки.
   • Для 32-разрядных операционных систем:

   HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Имя прокси-узла>" "ApnProxyPort"="<Порт прокси-сервера>" "ApnProxyLogin"="<Логин для прокси-сервера>" "ApnProxyPwd"="<Пароль для прокси-сервера>"

   • Для 64-разрядных операционных систем:

   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Имя прокси-узла>" "ApnProxyPort"="<Порт прокси-сервера>" "ApnProxyLogin"="<Логин для прокси-сервера>" "ApnProxyPwd"="<Пароль для прокси-сервера>"

2. Перезапустить веб-службу iOS MDM.

[Topic 253994]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Подключение KES-устройств к Серверу администрирования

В зависимости от способа подключения устройств к Серверу администрирования существует две схемы развертывания Kaspersky Device Management для iOS на KES-устройствах:

• схема развертывания с прямым подключением устройств к Серверу администрирования;
• схема развертывания с использованием Forefront Threat Management Gateway (TMG).

[Topic 253995]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Прямое подключение устройств к Серверу администрирования

KES-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от способа аутентификации существуют два варианта подключения KES-устройств к Серверу администрирования:

• с использованием пользовательского сертификата;
• без пользовательского сертификата.

Подключение устройства с использованием пользовательского сертификата

При подключении устройства с использованием пользовательского сертификата оно привязывается к учетной записи пользователя, для которой был назначен соответствующий сертификат через средства Сервера администрирования.

В этом случае будет использована двусторонняя (взаимная) аутентификация SSL. Сервер администрирования и устройство будут аутентифицированы с помощью сертификатов.

Подключение устройства без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано ни к одной учетной записи пользователя на Сервере администрирования. Но при получении устройством любого сертификата оно будет привязано к пользователю, которому был назначен соответствующий сертификат через средства Сервера администрирования .

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация, при которой только Сервер администрирования аутентифицируется с помощью сертификата. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю (взаимную) SSL-аутентификацию.

[Topic 253996]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Схема подключения KES-устройств к Серверу с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Схема подключения KES-устройств к Серверу администрирования с использованием принудительного делегирования Kerberos Constrained Delegation (KCD) предполагает:

• интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
• использование принудительного делегирования Kerberos Constrained Delegation (далее – KCD) для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) для применения пользовательских сертификатов.

При использовании этой схемы подключения следует учесть следующее:

• В качестве типа подключения KES-устройств к TMG следует выбрать двустороннюю аутентификацию SSL, то есть устройство должно подключаться к TMG по своему пользовательскому сертификату. Для этого в установленный на устройстве пакет установки Kaspersky Endpoint Security для Android необходимо интегрировать пользовательский сертификат. Этот KES-пакет создается Сервером администрирования специально для данного устройства (пользователя).
• Вместо сертификата сервера, используемого по умолчанию, для мобильного протокола следует указать особый (персонализированный) сертификат:
  1. В окне свойств Сервера администрирования в разделе Параметры установите флажок Открыть порт для мобильных устройств и в раскрывающемся списке выберите Добавить сертификат.
  2. В открывшемся окне укажите тот же сертификат, что задан на TMG при публикации точки доступа к мобильному протоколу на Сервере администрирования.
• Пользовательские сертификаты для KES-устройств должны быть выпущены доменным Центром сертификации (ЦС). Следует учесть, что если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выписаны тем Центром сертификации, который указан в публикации на TMG.

  Обеспечить соответствие пользовательского сертификата заявленному выше требованию возможно несколькими способами:

  • Указать особый пользовательский сертификат в мастере создания пакета установки и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
    3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

• точка доступа к мобильному протоколу на Сервере администрирования настроена на порте 13292;
• имя устройства с TMG – tmg.mydom.local;
• имя устройства с Сервером администрирования – ksc.mydom.local;
• имя внешней публикации точки доступа к мобильному протоколу – kes4mob.mydom.global.

Доменная учетная запись для Сервера администрирования

Необходимо создать доменную учетную запись (например, KSCMobileSrvcUsr), под которой будет работать служба Сервера администрирования. Указать учетную запись для службы Сервера администрирования можно при установке Сервера администрирования или с помощью утилиты klsrvswch. Утилита klsrvswch расположена в папке установки Сервера администрирования.

Указать доменную учетную запись необходимо по следующим причинам:

• Управление KES-устройствами – неотъемлемая функция Сервера администрирования.
• Для правильной работы принудительного делегирования Kerberos Constrained Delegation (KCD) принимающая сторона (то есть Сервер администрирования) должна работать под доменной учетной записью.

Имя субъекта-службы (SPN) для http/kes4mob.mydom.local

В домене под учетной записью KSCMobileSrvcUsr требуется прописать SPN для публикации службы мобильного протокола на порте 13292 устройства с Сервером администрирования. Для устройства kes4mob.mydom.local с Сервером администрирования требуется прописать следующее:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика нужно доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/kes4mob.mydom.local:13292).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/kes4mob.mydom.local:13292), администратор должен выполнить следующие действия:

1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN http/kes4mob.mydom.local:13292.

Особый (персонализированный) сертификат для публикации (kes4mob.mydom.global)

Для публикации мобильного протокола Сервера администрирования требуется выписать особый (персонализированный) сертификат на FQDN kes4mob.mydom.global и указать его вместо сертификата сервера, используемого по умолчанию, в параметрах мобильного протокола Сервера администрирования в Консоли администрирования. Для этого в окне свойств Сервера администрирования в разделе Параметры необходимо установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.

Следует учесть, что в контейнере с сертификатом сервера (файл с расширением p12 или pfx) должна также присутствовать цепочка корневых сертификатов (открытые ключи).

Настройка публикации на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 13292 kes4mob.mydom.global, необходимо настроить KCD на SPN (http/kes4mob.mydom.local:13292) с использованием сертификата сервера, выпущенного для FQND kes4mob.mydom.global. Следует учесть, что к публикации и публикуемой точке доступа (порт 13292 Сервера администрирования) должен быть применен один и тот же сертификат сервера.

[Topic 253997]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Использование Google Firebase Cloud Messaging

Для своевременного реагирования KES-устройств под управлением Android на команды администратора в свойствах Сервера администрирования следует включить использование сервиса Google Firebase Cloud Messaging (далее – FCM).

Чтобы включить использование FCM, выполните следующие действия:

1. В Консоли администрирования выберите узел Управление мобильными устройствами и папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.
3. В окне свойств папки выберите раздел Параметры Google Firebase Cloud Messaging.
4. В полях Идентификатор отправителя и Ключ сервера укажите параметры Firebase Cloud Messaging: SENDER_ID и API Key.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны KES-устройства необходим доступ к портам 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) и 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • все IP-адреса из списка "ASN 15169 Google".
• Со стороны Сервера администрирования необходим доступ к порту 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • все IP-адреса из списка "ASN 15169 Google".

В случае, если в Консоли администрирования в свойствах Сервера администрирования заданы параметры прокси-сервера (Дополнительно / Параметры доступа к интернету), они будут использованы для взаимодействия с FCM.

Настройка FCM: получение SENDER_ID и API Key

Для настройки работы с FCM администратор должен следовать инструкции:

1. Зарегистрируйтесь на портале Google.
2. Перейдите на портал для разработчиков.
3. Создайте новый проект, нажав на кнопку Создать проект. Укажите имя и идентификатор проекта.
4. Подождите, пока проект будет создан.

   На первой странице проекта, в верхней части, в поле Project number (Номер проекта) отображается требуемый SENDER_ID.

5. Перейдите в раздел APIs & auth / APIs (API и аутентификация / API) и включите Google Firebase Cloud Messaging для Android.
6. Перейдите в раздел APIs & auth / Credentials (API и аутентификация / Учетные данные) и нажмите на кнопку Create New Key (Создать ключ).
7. Нажмите кнопку Server key (Серверный ключ).
8. Задайте ограничения (при их наличии) и нажмите на кнопку Создать.
9. Скопируйте ключ API из свойств созданного ключа (поле Серверный ключ).

[Topic 253998]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Интеграция с инфраструктурой открытых ключей

Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования.

Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:

• назначить пользователю особый (персонализированный) сертификат из файла в мастере установки сертификатов;
• выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов.

Параметры интеграции с PKI доступны в рабочей области папки Управление мобильными устройствами / Сертификаты при переходе по ссылке Интеграция с инфраструктурой открытых ключей.

Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей

В Консоли администрирования перейдите по ссылке Интеграция с инфраструктурой открытых ключей в рабочей области папки Управление мобильными устройствами / Сертификаты, чтобы задать доменную учетную запись, которая будет использована Сервером администрирования для выпуска доменных пользовательских сертификатов посредством доменного ЦС (далее – учетная запись, под которой выполняется интеграция с PKI).

Обратите внимание:

• В параметрах интеграции с PKI можно указать шаблон по умолчанию для всех типов сертификатов. При этом в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по нажатии кнопки Настроить правила выпуска сертификатов) можно задать отдельный шаблон для каждого типа сертификатов.
• На устройстве с Сервером администрирования в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен особый сертификат Enrollment Agent (EA). Его предоставляет администратор доменного ЦС (Центра сертификации).

Учетная запись, под которой выполняется интеграция с PKI, должна:

• принадлежать доменному пользователю;
• принадлежать локальному администратору устройства с Сервером администрирования, с которого выполняется интеграция с PKI;
• обладать разрешением Вход в качестве службы.
• Под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.

[Topic 141433]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка Kaspersky Endpoint Security для Android

В этом разделе описаны способы развертывания Kaspersky Endpoint Security для Android в сети организации.

[Topic 150051]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Разрешения

Для работы всех функций приложений Kaspersky Endpoint Security для Android запрашивает у пользователя необходимые разрешения. Kaspersky Endpoint Security для Android запрашивает обязательные разрешения во время прохождения мастера установки, а также после установки перед использованием отдельных функций приложений. Без предоставления обязательных разрешений Kaspersky Endpoint Security для Android установить невозможно.

На некоторых устройствах (например, Huawei, Meizu, Xiaomi) требуется вручную, в настройках устройства, добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства.

На устройствах с операционной системой Android 11 и выше необходимо отключить системную настройку Удалить разрешения, если приложение не используется. В противном случае, если приложение не используется в течение нескольких месяцев, система автоматически сбрасывает разрешения, предоставленные приложению пользователем.

Разрешения, запрашиваемые Kaspersky Endpoint Security для Android

В начало

[Topic 141434]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка Kaspersky Endpoint Security для Android на персональные устройства

Установка Kaspersky Endpoint Security для Android выполняется на мобильные устройства пользователей, учетные записи которых добавлены в Kaspersky Security Center. Подробная информация о работе с учетными записями пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

Развернуть всё | Свернуть всё

Установить Kaspersky Endpoint Security для Android через Kaspersky Security Center можно одним из следующих способов.

• Загрузить приложение из Google Play (рекомендуется)

  Пользователь получит ссылку на Google Play. Установка выполняется обычным способом, принятым для платформы Android. Дополнительной настройки Kaspersky Endpoint Security для Android после установки не требуется.

  У некоторых устройств Huawei и Honor отсутствуют сервисы Google и, следовательно, доступ к приложениям в Google Play. Если пользователям устройств Huawei и Honor не удается установить приложение из Google Play, им следует установить приложение из Huawei AppGallery.

  Ссылка содержит следующие данные:

  • Параметры синхронизации с Kaspersky Security Center.
  • Мобильный сертификат.
  • Индикатор принятия условий и положений Лицензионного соглашения для Kaspersky Endpoint Security для Android и дополнительных Положений. Если администратор принял условия Лицензионного соглашения и дополнительных Положений в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android соответствующий шаг будет пропущен.
• Загрузить пакет установки из Kaspersky Security Center

  Инсталляционный пакет приложения будет загружен с сервера Kaspersky Security Center. Приложение также будет обновляться через Kaspersky Security Center с помощью настроек политики. Этот способ можно также использовать, если мобильные устройства в вашей компании работают без подключения к интернету.

  Чтобы использовать этот способ, выполните предварительную настройку, которая включает следующие шаги:

  1. Создайте и настройте инсталляционный пакет приложения.
  2. Создайте автономный инсталляционный пакет.

  Если для развертывания приложения используется пакет установки, загруженный из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение "Заблокировано Play Защитой". Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии кнопки OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Чтобы установить Kaspersky Endpoint Security для Android с помощью Kaspersky Security Center на персональные устройства, выполните следующие действия:

1. В дереве консоли выберите папку Управление мобильными устройствами → Мобильные устройства.
2. В рабочей области папки Мобильные устройства нажмите на кнопку Добавить мобильное устройство.

   Запустится мастер подключения нового мобильного устройства. Следуйте его указаниям.

3. В разделе Операционная система выберите Android.
4. В разделе Тип устройства выберите Персональное устройство.

   Kaspersky Security Center проверяет наличие обновлений плагина управления. При обнаружении обновлений программой Kaspersky Security Center, можно установить новую версию плагина администрирования. После обновления плагина управления можно принять условия и положения Лицензионного соглашения (EULA) и дополнительных Положений для Kaspersky Endpoint Security для Android. Если администратор принял условия Лицензионного соглашения и дополнительных Положений в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android соответствующий шаг будет пропущен. Эта функция доступна в Kaspersky Security Center версии 12.

5. На странице Способ установки Kaspersky Endpoint Security для Android выберите один из двух вариантов:
   • Загрузить приложение из Google Play (рекомендуемый способ, используется по умолчанию)
   • Загрузить пакет установки из Kaspersky Security Center, если не удается загрузить приложение из Google Play или если вам нужна определенная версия приложения (например, для использования в режиме device owner)
6. На странице Выбор пользователей выберите пользователей, чтобы установить Kaspersky Endpoint Security для Android на их мобильные устройства.

   Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера подключения нового мобильного устройства.

7. На странице Источник сертификата выберите источник сертификата для защиты обмена данными между Kaspersky Endpoint Security для Android и Kaspersky Security Center:
   • Выписать сертификат средствами Сервера администрирования. В этом случае сертификат будет создан автоматически.
   • Указать файл сертификата. В этом случае требуется предварительно подготовить собственный сертификат и выбрать его в окне мастера. Этот вариант невозможно использовать, если вы хотите установить Kaspersky Endpoint Security для Android на несколько мобильных устройств. Для каждого пользователя должен быть создан отдельный сертификат.
8. На странице Способ уведомления пользователей выберите канал передачи ссылки для установки приложения:
   • Для передачи ссылки по электронной почте выберите Отправить ссылку на Kaspersky Endpoint Security и настройте параметры в блоке По электронной почте. Убедитесь, что в параметрах учетных записей пользователей указан адрес электронной почты.
   • Для установки Kaspersky Endpoint Security для Android с помощью QR-кода выберите Показать ссылку на инсталляционный пакет и выполните сканирование QR-кода с помощью камеры мобильного устройства.
   • Если вам не подошел ни один из перечисленных способов, выберите Показать ссылку на инсталляционный пакет → Скопировать, чтобы сохранить ссылку для установки Kaspersky Endpoint Security для Android в буфер обмена. Передайте ссылку для установки приложения любым доступным способом. Вы также можете использовать другие способы установки Kaspersky Endpoint Security для Android.
9. Нажмите на кнопку Завершить, чтобы завершить работу мастера подключения нового мобильного устройства.

После установки Kaspersky Endpoint Security для Android на мобильные устройства пользователей вы сможете настраивать параметры устройств и приложений с помощью групповых политик. Вы также сможете отправлять на мобильные устройства команды для защиты данных в случае потери или кражи устройств.

[Topic 241804]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка Kaspersky Endpoint Security для Android в режиме device owner

Развернуть всё | Свернуть всё

Режим device owner – это режим работы корпоративных Android-устройств. Этот режим позволяет вам осуществлять полный контроль над устройством и настраивать множество функций.

Kaspersky Security Center позволяет установить приложение Kaspersky Endpoint Security для Android в режиме device owner с помощью сгенерированного QR-кода для установки приложения на устройство.

Установка Kaspersky Endpoint Security для Android выполняется на мобильные устройства пользователей, учетные записи которых добавлены в Kaspersky Security Center. Подробная информация о работе с учетными записями пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

Способы установки приложения

Приложение Kaspersky Endpoint Security для Android можно установить с помощью QR-кода следующими способами:

• Загрузить приложение с веб-сайта "Лаборатории Касперского"

  Выберите этот способ для мобильных устройств, которые имеют доступ в интернет, чтобы загрузить установочный файл APK с сайта "Лаборатории Касперского". После этого приложение будет обновляться с помощью Google Play или Huawei AppGallery.

• Загрузить пакет установки из Kaspersky Security Center

  Инсталляционный пакет приложения будет загружен с сервера Kaspersky Security Center. Приложение также будет обновляться через Kaspersky Security Center с помощью настроек политики. Этот способ можно также использовать, если мобильные устройства в вашей компании работают без подключения к интернету.

  Чтобы использовать этот способ, перед генерацией QR-кода выполните следующие шаги:

  1. Создайте и настройте инсталляционный пакет приложения.
  2. Создайте автономный инсталляционный пакет.

     Если для развертывания приложения используется пакет установки, загруженный из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение "Заблокировано Play Защитой". Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии кнопки OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Генерация QR-кода для установки приложения

Чтобы сгенерировать QR-код для установки приложения в режиме device owner:

1. В дереве консоли выберите папку Управление мобильными устройствами → Мобильные устройства.
2. В рабочей области папки Мобильные устройства нажмите на кнопку Добавить мобильное устройство.

   Запустится мастер подключения нового мобильного устройства. Следуйте его указаниям.

3. В разделе Операционная система выберите Android.
4. В разделе Тип устройства выберите Корпоративное устройство (режим device owner).
5. В разделе Сеть для загрузки Kaspersky Endpoint Security выберите один из следующих вариантов:
   • Предложить пользователю выбрать сеть Wi-Fi на устройстве

     В этом случае пользователю будет предложено подключиться к любой доступной сети Wi-Fi для загрузки приложения.

     Этот параметр выбран по умолчанию.

   • Использовать только указанную сеть Wi-Fi (Android 9.0+)

     В этом случае устройство попытается автоматически подключиться к указанной вами сети. Эта возможность поддерживается на устройствах с Android версии 9.0 и выше.

     Необходимо правильно ввести все параметры сети. Если какой-либо параметр указан неверно или сеть недоступна, процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

     Для настройки подключения к нужной сети Wi-Fi нажмите на кнопку Задать сеть. В окне Сеть Wi-Fi для загрузки Kaspersky Endpoint Security укажите следующие параметры:

     • Идентификатор сети SSID

       Определяет имя беспроводной сети, содержащей точку доступа (SSID). Имя беспроводной сети должно состоять не более чем из 32 символов.

     • Скрытая сеть

       Определяет, будет ли выбранная сеть транслировать свой SSID.

       По умолчанию флажок снят.

     • Защита сети

       Определяет тип защиты беспроводной сети. Возможные значения:

       • Открытая - При выборе сеть не будет защищена (по умолчанию).
       • WEP (Android 9 или ниже) - При выборе сеть защищается по протоколу WEP. Этот параметр требует ввода пароля для доступа к сети и применяется только для Android 9 или ниже.
       • WPA2 PSK - При выборе сеть защищается по протоколу безопасности WPA2 PSK. Этот параметр требует ввода пароля для доступа к сети.
     • Пароль (передается в незашифрованном виде)

       Определяет пароль для доступа к беспроводной сети, защищенной по протоколу WEP или WPA2 PSK. Пароль передается с QR-кодом.

     • Не использовать прокси-сервер

       Прокси-сервер не используется (по умолчанию).

     • Использовать прокси-сервер

       Прокси-сервер используется. Если выбран этот параметр, необходимо указать адрес и порт прокси-сервера. Также можно указать список сайтов, для которых прокси будет игнорироваться.

     • Адрес прокси-сервера

       Определяет IP-адрес или символьное имя (веб-адрес) прокси-сервера. Максимальное количество символов – 256.

     • Порт прокси-сервера

       Номер порта прокси-сервера. Значение должно быть в диапазоне от 0 до 65 536.

     • Не использовать прокси-сервер для адресов

       Определяет адреса веб-сайтов, для которых не нужно использовать прокси-сервер.

       Вы можете, например, ввести адрес example.com. В этом случае прокси-сервер не будет использоваться для адресов pictures.example.com, example.com/movies и т. п. Протокол (например, http://) указывать необязательно.

     • URL PAC-файла

       URL-адрес PAC-файла (proxy auto-configuration) для сети Wi-Fi.

   • Использовать мобильную сеть (Android 8.0 и выше)

     В этом случае устройство попытается подключиться к мобильной сети для загрузки программы. Если в устройстве не установлена SIM-карта или мобильная сеть недоступна, пользователю будет предложено выбрать доступную сеть Wi-Fi.

     Эта возможность поддерживается на устройствах с Android версии 7.0 и выше.

6. В разделе Дополнительно установите флажок Включить все системные приложения, если вы хотите, чтобы системные приложения на устройстве были включены. Если флажок снят, все системные приложения отключены.
7. Нажмите Далее.

   Kaspersky Security Center проверяет наличие обновлений плагина управления. При обнаружении обновлений программой Kaspersky Security Center, можно установить новую версию плагина администрирования. После обновления плагина управления можно принять условия и положения Лицензионного соглашения (EULA) и дополнительных Положений для Kaspersky Endpoint Security для Android. Если администратор принял условия Лицензионного соглашения и дополнительных Положений в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android соответствующий шаг будет пропущен.

8. На странице Способ установки Kaspersky Endpoint Security для Android в режиме device owner выберите способ установки:
   • Загрузить приложение с веб-сайта "Лаборатории Касперского"
   • Загрузить пакет установки из Kaspersky Security Center

     При выборе этого варианта, оставьте флажок Разрешить использование HTTP для загрузки приложения в режиме device owner установленным, чтобы убедиться, что приложение будет загружено. В противном случае приложение будет загружено через HTTPS, только если сертификат Веб-сервера Kaspersky Security Center был выдан доверенным центром сертификации.

   Подробная информация об этих способах установки доступна в разделе Способы установки приложения.

9. На странице Выбор пользователей выберите пользователей, чтобы установить Kaspersky Endpoint Security для Android на их мобильные устройства.

   Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера подключения нового мобильного устройства.

10. На странице Источник сертификата выберите источник сертификата для защиты обмена данными между Kaspersky Endpoint Security для Android и Kaspersky Security Center:
    • Выписать сертификат средствами Сервера администрирования. В этом случае сертификат будет создан автоматически.
    • Указать файл сертификата. В этом случае требуется предварительно подготовить собственный сертификат и выбрать его в окне мастера. Этот вариант невозможно использовать, если вы хотите установить Kaspersky Endpoint Security для Android на несколько мобильных устройств. Для каждого пользователя должен быть создан отдельный сертификат.
11. На странице Способ уведомления пользователя выберите способ передачи QR-кода для установки программы:
    • Выберите Показать QR-код в мастере и отсканируйте QR-код с помощью камеры мобильного устройства, на которое будет установлена программа Kaspersky Endpoint Security для Android.
    • Выберите Отправить QR-код пользователю и отправьте QR-код на электронные адреса пользователей из вашей организации. В этом случае необходимо указать электронные адреса пользователей. Убедитесь, что в параметрах учетных записей пользователей в Kaspersky Security Center указан адрес электронной почты. Пользователям, получившим QR-код, необходимо отсканировать его с помощью камеры мобильного устройства, чтобы начать установку.
12. Проверьте информацию на странице Результат и сохраните QR-код.
13. Нажмите на кнопку Завершить, чтобы завершить работу мастера подключения нового мобильного устройства.

Для установки Kaspersky Endpoint Security для Android в режиме device owner необходима дополнительная настройка Android-устройства.

После установки Kaspersky Endpoint Security для Android на мобильные устройства пользователей вы сможете настраивать параметры устройств и приложений с помощью групповых политик. Вы также сможете отправлять на мобильные устройства команды для защиты данных в случае потери или кражи устройств.

[Topic 209663]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Другие способы установки Kaspersky Endpoint Security для Android

Вы можете установить Kaspersky Endpoint Security для Android, используя ссылку на собственный веб-сервер, или попросить пользователей установить приложение вручную.

[Topic 209665]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка из Google Play и Huawei AppGallery вручную

Пользователи могут вручную установить Kaspersky Endpoint Security для Android из Google Play или Huawei AppGallery. Установка выполняется обычным способом, принятым для платформы Android. Для установки приложения пользователь использует свою личную учетную запись Google.

Подробнее о процедуре установки Kaspersky Endpoint Security для Android из Google Play см. на сайте технической поддержки Google.

Подробная информация о процедуре установки Kaspersky Endpoint Security для Android из Huawei AppGallery приведена на сайте технической поддержки HUAWEI.

У некоторых устройств Huawei и Honor отсутствуют сервисы Google и, следовательно, доступ к приложениям в Google Play. Если пользователям устройств Huawei и Honor не удается установить приложение из Google Play, им следует установить приложение из Huawei AppGallery.

После установки Kaspersky Endpoint Security для Android из Google Play или Huawei AppGallery требуется выполнить подготовку приложения к работе. Подготовка приложения к работе состоит из следующих этапов:

1. Администратор отправляет пользователю параметры синхронизации мобильного устройства с Сервером администрирования (адрес сервера и порт) любым доступным способом (например, в сообщении электронной почты).
2. Пользователь настраивает параметры синхронизации мобильного устройства с Сервером администрирования во время работы мастера первоначальной настройки или в настройках Kaspersky Endpoint Security для Android.
3. Администратор создает мобильный сертификат для пользователя мобильного устройства.
4. Пользователь получает автоматическое уведомление с предложением установить мобильный сертификат. После подтверждения мобильный сертификат устанавливается на мобильное устройство.

Для синхронизации с Сервером администрирования на мобильном устройстве должен быть включен доступ в интернет.

Подробная информация о настройке параметров синхронизации мобильного устройства с Сервером администрирования и получении мобильного сертификата приведена в справке Kaspersky Security Center.

При следующей синхронизации мобильного устройства с Сервером администрирования мобильное устройство пользователя, на котором установлено приложение Kaspersky Endpoint Security для Android, помещается в папку Дополнительно → Обнаружение устройств → Домены в группу администрирования, указанную при установке приложения (по умолчанию используется группа KES10). Вы можете переместить мобильное устройство в папку Управляемые устройства в созданную вами группу администрирования вручную или с помощью правил автоматического перемещения.

Этот способ установки удобен, если вы хотите установить определенную версию Kaspersky Endpoint Security для Android.

Для установки Kaspersky Endpoint Security для Android по ссылке на собственный Веб-сервер требуется выполнить следующие действия:

1. Создайте инсталляционный пакет и настройте его параметры.

   Инсталляционный пакет – набор файлов, сформированный для удаленной установки приложения "Лаборатории Касперского" с помощью Kaspersky Security Center.

2. Создайте автономный пакет установки.

   Автономный пакет установки – установочный файл мобильного приложения, содержащий параметры подключения приложения к Серверу администрирования и индикатор принятия условий и положений Лицензионного соглашения для Kaspersky Endpoint Security для Android. Создается на основе инсталляционного пакета для Kaspersky Endpoint Security для Android. Автономный пакет установки является частным случаем пакета мобильных приложений.

Пользователь получит ссылку на Веб-сервер, на котором расположен автономный пакет установки Kaspersky Endpoint Security для Android. Для установки приложения пользователю необходимо запустить apk-файл. Дополнительной настройки Kaspersky Endpoint Security для Android после установки не требуется.

Для установки Kaspersky Endpoint Security для Android по ссылке на собственный веб-сервер на мобильном устройстве пользователя должна быть разрешена установка приложений из неизвестных источников.

[Topic 89690]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Создание и настройка инсталляционного пакета

Инсталляционный пакет Kaspersky Endpoint Security для Android представляет собой самораспаковывающийся архив sc_package.exe. В состав архива входят файлы, необходимые для установки мобильного приложения на устройства:

• adb.exe, AdbWinApi.dll, AdbWinUsbApi.dll – набор файлов, необходимый для установки Kaspersky Endpoint Security для Android;
• installer.ini – конфигурационный файл с параметрами подключения к Серверу администрирования;
• KES10_xx_xx_xxx.apk – установочный файл Kaspersky Endpoint Security для Android;
• kmlisten.exe – утилита доставки инсталляционного пакета приложения через рабочую станцию;
• kmlisten.ini – конфигурационный файл с параметрами для утилиты доставки инсталляционного пакета;
• kmlisten.kpd – файл с описанием программы.

Чтобы создать инсталляционный пакет Kaspersky Endpoint Security для Android, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. В рабочей области папки Инсталляционные пакеты нажмите на кнопку Создать инсталляционный пакет.

   Запустится мастер создания инсталляционного пакета. Следуйте его указаниям.

3. В окне мастера Выбор типа инсталляционного пакета нажмите на кнопку Создать инсталляционный пакет для программы "Лаборатории Касперского".
4. В окне мастера Определение имени инсталляционного пакета введите имя инсталляционного пакета для отображения в рабочей области папки Инсталляционные пакеты.
5. В окне мастера Выбор дистрибутива программы для установки выберите самораспаковывающийся архив sc_package.exe, который входит в комплект поставки.

   Если архив был распакован ранее, то вы можете выбрать входящий в состав архива файл с описанием приложения kmlisten.kpd. В результате в поле ввода отобразится название приложения и номер версии.

6. В окне мастера Принятие Лицензионное соглашение прочитайте и примите условия Лицензионного соглашения.

   Условия Лицензионного соглашения необходимо принять для создания инсталляционного пакета. Если вы приняли условия Лицензионного соглашение в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android шаг принятия Лицензионного соглашения будет пропущен.

   Если вы решите прекратить защиту мобильных устройств, можно удалить приложение Kaspersky Endpoint Security для Android и отозвать согласие с условиями Лицензионного соглашения для этого приложения. Дополнительная информация об отзыве Лицензионного соглашения приведена в справке Kaspersky Security Center.

После завершения работы мастера созданный инсталляционный пакет будет отображаться в рабочей области папки Инсталляционные пакеты. На Сервере администрирования инсталляционные пакеты хранятся в заданной папке общего доступа в служебной папке Packages.

Чтобы настроить параметры инсталляционного пакета, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. В контекстном меню инсталляционного пакета Kaspersky Endpoint Security для Android выберите пункт Свойства.
3. На закладке Параметры укажите параметры подключения мобильных устройств к Серверу администрирования и имя группы администрирования, в которую будут автоматически добавлены мобильные устройства после первой синхронизации с Сервером администрирования. Для этого выполните следующие действия:
   • В блоке Подключение к Серверу администрирования в поле Адрес сервера укажите имя Сервера администрирования для подключения мобильных устройств в том формате, в каком он был указан при установке компонента Поддержка мобильных устройств во время развертывания Сервера администрирования.

     В зависимости от формата имени Сервера администрирования для компонента Поддержка мобильных устройств укажите DNS-имя или IP-адрес Сервера администрирования. В поле Номер SSL-порта укажите номер порта, открытого на Сервере администрирования для подключения мобильных устройств. По умолчанию указан порт 13292.

   • В блоке Размещение компьютеров по группам в поле Имя группы введите имя группы, в которую будут добавлены мобильные устройства после первой синхронизации с Сервером администрирования (по умолчанию KES10).

     Указанная группа будет создана автоматически в папке Дополнительно → Обнаружение устройств → Домены.

   • В блоке Действия при установке установите флажок Запрашивать адрес электронной почты, чтобы при первом запуске приложение запрашивало у пользователя его адрес корпоративной электронной почты.

     Адрес электронной почты пользователя используется для формирования имени мобильных устройств при добавлении их в группу администрирования.

4. Чтобы применить указанные параметры, нажмите на кнопку Применить.

В начало

[Topic 89728]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Создание автономного пакета установки

Чтобы создать автономный пакет установки, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. Выберите инсталляционный пакет приложения Kaspersky Endpoint Security для Android.
3. В контекстном меню инсталляционного пакета выберите пункт Создать автономный пакет установки.

   В результате запустится мастер создания автономного пакета установки. Следуйте его указаниям.

4. Настройте способы распространения автономного пакета установки:
   • Чтобы распространить путь к сформированному автономному пакету установки среди пользователей по электронной почте, в блоке Дальнейшие действия перейдите по ссылке Разослать ссылку на автономный пакет установки по электронной почте.

     Откроется окно создания сообщения, текст которого содержит путь к папке общего доступа с автономным пакетом установки.

   • Чтобы разместить ссылку на сформированный автономный пакет установки на веб-сайте своей компании, перейдите по ссылке Пример HTML-кода для размещения ссылки на веб-сайте.

     Откроется tmp-файл, содержащий HTML_RJL ссылки.

5. Чтобы опубликовать сформированный автономный пакет установки на Веб-сервере Kaspersky Security Center, а также просмотреть весь список автономных пакетов для выбранного инсталляционного пакета, в окне мастера Мастер создания автономного пакета установки успешно завершил работу установите флажок Открыть список автономных пакетов.

После завершения работы мастера откроется окно Список автономных пакетов для инсталляционного пакета <Имя инсталляционного пакета>.

Окно Список автономных пакетов для инсталляционного пакета <Имя инсталляционного пакета> содержит следующую информацию:

• список автономных пакетов установки;
• сетевой путь к папке общего доступа в поле Путь;
• адрес автономного пакета на Веб-сервере Kaspersky Security Center в поле Веб-адрес.

При рассылке по электронной почте вы можете указать в качестве ресурса для загрузки пользователями установочного файла приложения как адрес, содержащийся в поле Веб-адрес, так и адрес, указанный в поле Путь. При рассылке SMS-сообщений пользователям следует указать ссылку для загрузки, содержащуюся в поле Веб-адрес.

Рекомендуется скопировать адрес подготовленного автономного пакета в буфер обмена, чтобы затем добавить ссылку для загрузки нужного установочного файла в сообщение электронной почты или SMS-сообщение для пользователей.

[Topic 88051]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка параметров синхронизации

Для управления мобильными устройствами и получения отчетов или статистик от мобильных устройств пользователей требуется настроить параметры синхронизации. Синхронизация мобильного устройства с Kaspersky Security Center может быть выполнена следующими способами:

• По расписанию. Синхронизация по расписанию выполняется с помощью протокола HTTP. Вы можете настроить расписание синхронизации в параметрах групповой политики. Изменения параметров групповой политики, команды и задачи будут выполнены во время синхронизации устройства с Kaspersky Security Center по расписанию, т. е. с задержкой. По умолчанию мобильные устройства автоматически синхронизируются с Kaspersky Security Center каждые шесть часов.

  На Android 12 или более поздней версии приложение может выполнить эту задачу позже, чем указано, если устройство находится в режиме экономии заряда батареи.

• Принудительно. Принудительная синхронизация выполняется с помощью push-уведомлений сервиса FCM (Firebase Cloud Messaging). Принудительная синхронизация, в первую очередь, предназначена для своевременной доставки команд на мобильное устройство. Если вы хотите использовать принудительную синхронизацию, убедитесь что в Kaspersky Security Center настроены параметры GSM. Дополнительная информация приведена в справке Kaspersky Security Center.

Чтобы настроить параметры синхронизации мобильных устройств с Kaspersky Security Center, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Синхронизация.
5. Выберите периодичность запуска синхронизации в раскрывающемся списке Запускать синхронизацию.
6. Чтобы запретить синхронизацию устройства с Kaspersky Security Center в роуминге, установите флажок Выключить синхронизацию в роуминге.

   Пользователь устройства может выполнять синхронизацию вручную в настройках приложения ( → Настройки → Синхронизация → Синхронизировать).

7. Чтобы скрыть от пользователя параметры синхронизации (адрес сервера, порт и группа администрирования) в настройках приложения, снимите флажок Показывать параметры синхронизации на устройстве. Изменить скрытые параметры невозможно.
8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды. Подробная информация о работе с командами для мобильных устройств приведена в справке Kaspersky Security Center.

[Topic 136294]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Активация приложения Kaspersky Endpoint Security для Android

В Kaspersky Security Center лицензия может распространяться на различные группы функциональности. Для полноценного функционирования Kaspersky Endpoint Security для Android необходимо, чтобы приобретенная организацией лицензия на Kaspersky Security Center распространялась на функциональность Управление мобильными устройствами. Функциональность Управление мобильными устройствами предназначена для подключения мобильных устройств к Kaspersky Security Center и управления ими.

Подробная информация о лицензировании Kaspersky Security Center и вариантах лицензирования приведена в справке Kaspersky Security Center.

Активация приложения Kaspersky Endpoint Security для Android на мобильном устройстве осуществляется путем предоставления приложению информации о действующей лицензии. Информация о лицензии передается на мобильное устройство вместе с политикой при синхронизации устройства с Kaspersky Security Center.

Если приложение Kaspersky Endpoint Security для Android не было активировано в течение 30 дней с момента установки на мобильное устройство, приложение автоматически переключается в режим работы с ограниченной функциональностью. В этом режиме работы большинство компонентов приложения не работает. При переходе в режим работы с ограниченной функциональностью приложение прекращает выполнять автоматическую синхронизацию с Kaspersky Security Center. Поэтому, если приложение не было активировано в течение 30 дней с момента установки, пользователю необходимо вручную выполнить синхронизацию устройства с Kaspersky Security Center.

Если Kaspersky Security Center не развернут в вашей организации или недоступен для мобильных устройств, пользователи могут активировать приложение Kaspersky Endpoint Security для Android на своих устройствах вручную.

Чтобы активировать приложение Kaspersky Endpoint Security для Android, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Лицензирование.
5. В разделе Лицензирование в раскрывающемся списке Ключ выберите ключ для активации приложения, размещенный в хранилище ключей Сервера администрирования Kaspersky Security Center.

   В поле ниже отобразится информация о приложении, для которого приобретена лицензия, срок окончания действия лицензии, ее тип.

6. Установите флажок Активировать ключом из хранилища Kaspersky Security Center.

   Если приложение активировано без ключа, размещенного в хранилище Kaspersky Security Center, Kaspersky Secure Mobility Management заменит его на ключ активации, выбранный в раскрывающемся списке Ключ.

7. Чтобы активировать приложение на мобильном устройстве пользователя, заблокируйте изменение параметров.
8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

   Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 141488]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка iOS MDM-профиля

В этом разделе описаны способы развертывания iOS MDM-профилей в сети организации.

Прежде чем приступить к развертыванию профиля iOS MDM, необходимо развернуть систему управления мобильными устройствами.

Подробная информация о развертывании iOS MDM-профиля в Kaspersky Endpoint Security Cloud приведена в справке Kaspersky Endpoint Security Cloud.

[Topic 135822]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

О режимах управления iOS-устройствами

Развертывание системы управления iOS-устройствами может быть выполнено несколькими способами. Режим управления зависит от того, кому принадлежит мобильное устройство (личное или корпоративное) и требований корпоративной безопасности. Вы можете выбрать наиболее подходящий для компании режим управления, а также использовать несколько режимов одновременно.

Неконтролируемые устройства

Неконтролируемые iOS-устройства – персональные устройства сотрудников, подключенные к Kaspersky Security Center. В этом режиме пользователю разрешено использовать персональный Apple ID, работать с любыми приложениями и хранить персональные данные на устройстве. Доступ к корпоративным ресурсам, параметры безопасности и другие параметры вы можете настроить с помощью групповой политики Kaspersky Device Management для iOS. По умолчанию все iOS-устройства неконтролируемые.

Устройства в режиме supervised

iOS-устройства в режиме supervised – корпоративные устройства, подключенные к Kaspersky Security Center. Первоначальная настройка мобильного устройства выполняется в Apple Configurator. Apple Configurator – программа для подготовки и настройки iOS-устройств. Apple Configurator устанавливается на компьютер под управлением OS X. Подробная информация о работе с Apple Configurator приведена на сайте технической поддержки Apple. Дальнейшее изменение параметров доступно с помощью групповой политики Kaspersky Device Management для iOS. На устройствах в режиме supervised доступен расширенный набор параметров: Глобальный HTTP-прокси, дополнительные ограничения (например, запрет на использование iMessage, Game Center) или запрет на изменение учетной записи пользователя.

Для работы с iOS-устройствами в режиме supervised и неконтролируемыми iOS-устройствами на Сервер iOS MDM должен быть установлен APNs-сертификат, а на мобильных устройствах пользователей – iOS MDM-профиль.

[Topic 141792]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка через Kaspersky Security Center

Установка iOS MDM-профиля выполняется на мобильные устройства пользователей, учетные записи которых добавлены в Kaspersky Security Center. Подробная информация о работе с учетными записями пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

Чтобы установить iOS MDM-профиль, выполните следующие действия:

1. В дереве консоли выберите папку Управление мобильными устройствами → Мобильные устройства.
2. В рабочей области папки Мобильные устройства нажмите на кнопку Добавить мобильное устройство.

   Запустится мастер подключения нового мобильного устройства. Следуйте его указаниям.

3. В разделе Операционная система выберите iOS.
4. В окне мастера Способ защиты iOS MDM-устройства выберите Использовать iOS MDM-профиль Сервера iOS MDM и укажите iOS MDM-профиль из списка.
5. В окне мастера Выбор пользователей выберите одного или несколько пользователей для установки iOS MDM-профиля на их мобильные устройства.

   Если пользователя нет в списке, вы можете добавить новую учетную запись не выходя из мастера подключения нового мобильного устройства.

6. В окне мастера Источник сертификата выберите источник сертификата для защиты обмена данными между мобильным устройством и Kaspersky Security Center:
   • Выписать сертификат средствами Сервера администрирования. В этом случае сертификат будет создан автоматически.
   • Указать файл сертификата. В этом случае требуется предварительно подготовить собственный сертификат и выбрать его в окне мастера. Этот вариант невозможно использовать, если вы хотите установить iOS MDM-профиль на несколько мобильных устройств. Для каждого пользователя должен быть создан отдельный сертификат.
7. В окне мастера Способ уведомления пользователей выберите канал передачи ссылки для установки приложения:
   • Для передачи ссылки по электронной почте выберите Отправить ссылку на iOS MDM-профиль и настройте параметры в блоке По электронной почте. Убедитесь, что в параметрах учетных записей пользователей указан адрес электронной почты.
   • Для установки iOS MDM-профиля с помощью QR-кода выберите Показать ссылку на инсталляционный пакет и выполните сканирование QR-кода с помощью камеры мобильного устройства.
   • Если вам не подошел ни один из перечисленных способов, выберите Показать ссылку на инсталляционный пакет  → Скопировать, чтобы сохранить ссылку для установки iOS MDM-профиля в буфер обмена. Передайте ссылку для установки приложения любым доступным способом.
8. Завершите работу мастера подключения нового мобильного устройства.

После установки iOS MDM-профиля на мобильные устройства пользователей вы сможете настроить параметры приложения с помощью групповых политик. Вы также сможете отправлять на мобильные устройства команды для защиты данных в случае потери или кражи устройств.

На мобильных устройствах под управлением iOS 12.1 и выше необходимо вручную подтвердить установку iOS MDM-профиля на мобильном устройстве. Также необходимо предоставить разрешение на удаленное управление устройством.

[Topic 98776]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка плагинов управления

Для управления мобильными устройствами на рабочее место администратора необходимо установить следующие плагины управления:

• Плагин управления Kaspersky Endpoint Security для Android обеспечивает интерфейс управления мобильными устройствами и установленными на них мобильными приложениями через Консоль администрирования Kaspersky Security Center.
• Плагин управления Kaspersky Device Management для iOS обеспечивает интерфейс управления мобильными устройствами, подключенными по протоколу iOS MDM через Консоль администрирования Kaspersky Security Center.

Плагины управления можно установить следующими способами:

• Установить плагин управления с помощью мастера первоначальной настройки Kaspersky Security Center.

  Программа автоматически предложит запустить мастер первоначальной настройки после установки Сервера администрирования при первом подключении к нему. Мастер первоначальной настройки можно также запустить вручную в любое время.

  Мастер первоначальной настройки позволяет принимать условия и положения Лицензионного соглашения для приложения Kaspersky Endpoint Security для Android в Консоли администрирования. Если администратор принял условия Лицензионного соглашения в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android шаг принятия Лицензионного соглашения будет пропущен. Более подробная информация о Мастере первоначальной настройки Kaspersky Security Center приведена в справке Kaspersky Security Center.

• Установить плагин управления с помощью списка доступных дистрибутивов в Консоли администрирования Kaspersky Security Center.

  Список доступных дистрибутивов обновляется автоматически после выпуска новых версий программ "Лаборатории Касперского".

• Загрузить дистрибутив из внешнего источника и установить плагин управления, используя файл EXE.

  Например, дистрибутив плагина управления можно загрузить с сайта "Лаборатории Касперского".

Установка плагинов управления из списка в Консоли администрирования

Чтобы установить плагины управления, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. В рабочей области выберите Дополнительные действия → Просмотр текущих версий программ "Лаборатории Касперского".

   Откроется список актуальных версий программ "Лаборатории Касперского".

3. В разделе Мобильные устройства выберите плагин Kaspersky Endpoint Security для Android или Kaspersky Device Management для iOS.
4. Нажмите на кнопку Загрузить дистрибутивы.

   Дистрибутив плагина будет загружен в память компьютера (файл EXE).

5. Запустите файл EXE и следуйте инструкциям мастера установки.

Установка плагинов управления из дистрибутива

Чтобы установить плагин управления Kaspersky Endpoint Security для Android,

скопируйте из дистрибутива комплексного решения установочный файл плагина klcfinst.exe и запустите его на рабочем месте администратора.

Установка выполняется с помощью мастера и не требует настройки параметров.

Чтобы установить плагин управления Kaspersky Device Management для iOS,

скопируйте из дистрибутива комплексного решения установочный файл плагина klmdminst.exe и запустите его на рабочем месте администратора.

Установка выполняется с помощью мастера и не требует настройки параметров.

Вы можете убедиться, что плагины управления установлены, просмотрев список установленных плагинов управления приложениями в окне свойств Сервера администрирования в разделе Дополнительно → Информация об установленных плагинах управления программами.

[Topic 136488]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Обновление предыдущей версии программы

Обновление программы должно выполняться с учетом следующих требований:

• Соблюдайте версионность плагина управления Kaspersky Endpoint Security для Android и мобильного приложения Kaspersky Endpoint Security для Android.

  Номера сборок версий плагина управления и мобильного приложения можно посмотреть в заметках о выпуске Kaspersky Secure Mobility Management.

• Убедитесь, что Kaspersky Security Center соответствует программным требованиям Kaspersky Secure Mobility Management.
• Плагины управления Kaspersky Endpoint Security для Android 10.0 Service Pack 2 (сборка 10.6.0.1801) и Kaspersky Device Management для iOS 10.0 Service Pack 2 (сборка 10.6.0.1767) и более поздние версии можно обновить до текущей версии автоматически. Обновление плагинов управления более ранних версий не поддерживается.

  Для обновления плагинов управления более ранних версий необходимо удалить установленные плагины управления и групповые политики, которые были созданы с их помощью. После этого установите новые версии плагинов управления. Подробная информация об удалении плагинов управления приведена на веб-сайте Службы технической поддержки "Лаборатории Касперского".

• Используйте одну версию Kaspersky Endpoint Security для Android на всех мобильных устройствах организации.

Условия предоставления технической поддержки для различных версий Kaspersky Secure Mobility Management см. на веб-сайте технической поддержки "Лаборатории Касперского".

Чтобы посмотреть версию и номер сборки плагинов управления, выполните следующие действия:

1. В дереве консоли в контекстном меню Сервера администрирования выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите Дополнительно → Информация об установленных плагинах управления программами.

В рабочей области отобразится информация об установленных плагинах управления в формате <Название плагина> <Версия> <Сборка>.

Вы можете посмотреть версию и номер сборки приложения Kaspersky Endpoint Security для Android следующими способами:

• Если Kaspersky Endpoint Security для Android установлен с помощью автономного пакета установки, вы можете посмотреть версию и номер сборки приложения в свойствах пакета.
• Если Kaspersky Endpoint Security для Android установлен через Google Play, вы можете посмотреть номер сборки в настройках приложения ( → О приложении).

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN будут недоступны в решении на территории США с 12:00 AM по восточному летнему времени (EDT) 10 сентября 2024 года в соответствии с ограничительными мерами.

[Topic 102240]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Обновление предыдущей версии Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android можно обновить следующими способами:

• С помощью Google Play. Пользователь мобильного устройства загружает с Google Play новую версию приложения и устанавливает ее на свое устройство.
• С помощью Kaspersky Security Center. Вы дистанционно обновляете версию приложения на устройстве с помощью системы удаленного администрирования Kaspersky Security Center.

Вы можете выбрать наиболее подходящий для вашей организации способ обновления приложения. Вы можете использовать только один способ обновления.

Обновление с помощью Google Play

Обновление с помощью Google Play выполняется обычным способом, принятым для платформы Android. Для обновления приложения должны быть выполнены следующие условия:

• у пользователя устройства должна быть учетная запись Google;
• устройство должно быть привязано к учетной записи Google;
• на устройстве должно быть установлено соединение с интернетом.

После загрузки приложения из Google Play, Kaspersky Endpoint Security для Android проверяет условия и положения Лицензионного соглашения. Если условия Лицензионного соглашения обновились, приложение отправляет запрос в Kaspersky Security Center. Если администратор принял Лицензионное соглашение в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android шаг принятия Лицензионного соглашения будет пропущен. Если администратор использует устаревшую версию плагина управления, Kaspersky Security Center предложит обновить плагин управления. При обновлении плагина управления администратор может принять условия Лицензионного соглашения в Консоли администрирования Kaspersky Endpoint Security для Android.

Обновление с помощью Google Play доступно, если приложение Kaspersky Endpoint Security для Android было установлено из Google Play. Если приложение установлено другим способом, обновление приложения с помощью Google Play невозможно.

Обновление приложения с помощью Kaspersky Security Center

Обновление Kaspersky Endpoint Security для Android с помощью Kaspersky Security Center выполняется в результате применения групповой политики. В параметрах групповой политики вы можете выбрать автономный пакет установки Kaspersky Endpoint Security для Android, версия которого удовлетворяет требованиям корпоративной безопасности.

Можно выполнить обновление с помощью Kaspersky Security Center, если приложение Kaspersky Endpoint Security для Android было установлено с помощью Kaspersky Security Center. Если приложение установлено из Google Play, обновление с помощью Kaspersky Security Center невозможно.

Для обновления Kaspersky Endpoint Security для Android с помощью автономного пакета установки на мобильном устройстве пользователя должна быть разрешена установка приложений из неизвестных источников. Подробная информация об установке приложений без использования Google Play приведена в справке Android.

Чтобы обновить версию приложения, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Дополнительно.
5. В блоке Обновление Kaspersky Endpoint Security для Android нажмите на кнопку Выбрать.

   Откроется окно Обновление Kaspersky Endpoint Security для Android.

6. В списке автономных пакетов установки Kaspersky Endpoint Security выберите пакет, версия которого удовлетворяет требованиям корпоративной безопасности.

   Вы можете обновить Kaspersky Endpoint Security только до более новой версии приложения. Обновить Kaspersky Endpoint Security до более старой версии невозможно.

7. Нажмите кнопку Выбрать.

   В блоке Обновление Kaspersky Endpoint Security для Android отобразится описание выбранного автономного пакета установки.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Пользователю мобильного устройства будет предложено установить новую версию приложения. После получения согласия новая версия приложения будет установлена на мобильное устройство.

[Topic 180201]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка более ранней версии Kaspersky Endpoint Security для Android

Если вы хотите избежать автоматического обновления приложения и использовать определенную версию Kaspersky Endpoint Security для Android, выключите автообновление приложения в настройках Google Play. Более подробная информация приведена на сайте Службы технической поддержки Google.

Автоматическое обновление Kaspersky Endpoint Security для Android доступно только при установке приложения из Google Play или через Kaspersky Security Center по ссылке на Google Play. Если приложение установлено с помощью Kaspersky Security Center по ссылке на собственный веб-сервер (с использованием автономного пакета установки), автоматическое обновление недоступно. В этом случае обновите Kaspersky Endpoint Security для Android вручную с помощью групповой политики.

Для установки более ранней версии Kaspersky Endpoint Security для Android требуется выполнить следующие действия:

1. Удалите Kaspersky Endpoint Security для Android с мобильных устройств пользователей.
2. Установите Kaspersky Endpoint Security для Android через Kaspersky Security Center по ссылке на собственный Веб-сервер. Для этого вам понадобится инсталляционный пакет определенной версии. Вы можете загрузить дистрибутив Kaspersky Endpoint Security для Android более ранних версий на сайте Службы технической поддержки "Лаборатории Касперского".

Подробную информацию о более ранних версиях Kaspersky Endpoint Security для Android см. в справке для соответствующей версии Kaspersky Secure Mobility Management.

[Topic 99183]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Обновление предыдущих версий плагинов управления

Плагины управления можно обновить следующими способами:

• Установить новую версию плагина управления из списка доступных дистрибутивов в Консоли администрирования Kaspersky Security Center.

  Список доступных дистрибутивов обновляется автоматически после выпуска новых версий программ "Лаборатории Касперского".

• Загрузить дистрибутив из внешнего источника и установить новую версию плагина управления, используя файл EXE.

  Для обновления плагинов управления Kaspersky Endpoint Security для Android и Kaspersky Device Management для iOS требуется загрузить последнюю версию приложения со страницы Kaspersky Secure Mobility Management и запустить мастер установки каждого из плагинов. Предыдущие версии плагинов будут автоматически удалены во время работы мастера установки.

Рекомендуется использовать одинаковую версию приложения и плагинов управления. Если пользователь обновляет приложение из Google Play, в Kaspersky Security Center отображается уведомление с предложением обновить плагин управления.

При обновлении плагинов управления сохраняются уже существующие группы администрирования в папке Управляемые устройства и правила автоматического перемещения устройств из папки Нераспределенные устройства в эти группы. Существующие групповые политики для мобильных устройств тоже сохраняются. Новые параметры политик, реализующие новые функции комплексного решения Kaspersky Secure Mobility Management, появятся в существующих политиках и будут иметь значения по умолчанию.

Если в новой версии плагина управления добавлены новые параметры или изменены значения по умолчанию, изменения будут применены только после открытия групповой политики. Пока администратор не откроет групповую политику, на мобильных устройствах будут применены параметры предыдущей версии плагина, даже если версия плагина была обновлена.

Обновление из списка в Консоли администрирования

Чтобы обновить плагины управления, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. В рабочей области выберите Дополнительные действия → Просмотр текущих версий программ "Лаборатории Касперского".

   Откроется список актуальных версий программ "Лаборатории Касперского".

3. В разделе Мобильные устройства выберите плагин Kaspersky Endpoint Security для Android или Kaspersky Device Management для iOS.
4. Нажмите на кнопку Загрузить дистрибутивы.

   Дистрибутив плагина будет загружен в память компьютера (файл EXE). Запустите файл EXE. Следуйте инструкциям мастера установки.

Обновление из дистрибутива

Чтобы обновить плагин управления Kaspersky Endpoint Security для Android,

скопируйте из дистрибутива комплексного решения установочный файл плагина klcfinst.exe и запустите его на рабочем месте администратора.

Установка выполняется с помощью мастера и не требует настройки параметров.

Чтобы обновить плагин управления Kaspersky Device Management для iOS,

скопируйте из дистрибутива комплексного решения установочный файл плагина klmdminst.exe и запустите его на рабочем месте администратора.

Установка плагина выполняется с помощью мастера и не требует настройки параметров.

Вы можете убедиться, что плагины управления обновлены, просмотрев список установленных плагинов управления приложениями в окне свойств Сервера администрирования в разделе Дополнительно → Информация об установленных плагинах управления программами.

[Topic 98987]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Удаление Kaspersky Endpoint Security для Android

Удаление Kaspersky Endpoint Security для Android может быть выполнено следующими способами:

1. Удаление приложения пользователем

   Пользователь самостоятельно удаляет Kaspersky Endpoint Security для Android, используя интерфейс приложения. Чтобы пользователи могли удалить приложение, в групповой политике, которая применена к устройству, должно быть разрешено удаление приложения.

2. Удаление приложения администратором.

   Администратор дистанционно удаляет приложение, используя Консоль администрирования Kaspersky Security Center. Можно удалить приложение с отдельного устройства или с нескольких устройств одновременно.

Чтобы удалить Kaspersky Endpoint Security для Android с устройства, работающего в режиме device owner:

1. Отправьте на устройство команду Сбросить настройки до заводских из Консоли администрирования. Эта команда удаляет все данные с устройства и сбрасывает настройки устройства до заводских.
2. Вручную удалите устройство из списка управляемых устройств в Консоли администрирования.

   Если устройство не будет удалено из Консоли администрирования, то при последующей установке приложений "Лаборатории Касперского" на устройство могут возникнуть проблемы.

[Topic 99000]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Дистанционное удаление приложения

Вы можете дистанционно удалить Kaspersky Endpoint Security для Android с мобильных устройств пользователя следующими способами:

• С помощью групповой политики. Этот способ удобен, если вы хотите удалить приложение с нескольких устройств одновременно.
• С помощью настройки локальных параметров приложения. Этот способ удобен, если вы хотите удалить приложение с отдельного устройства.

Информация об удалении Kaspersky Endpoint Security для Android с устройств, работающих в режиме device owner, приведена в разделе Удаление приложения в режиме device owner.

Чтобы удалить приложение с помощью применения групповой политики, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Дополнительно.
5. В разделе Удаление Kaspersky Endpoint Security для Android установите флажок Удалить с устройства приложение Kaspersky Endpoint Security для Android.

   Этот параметр неприменим для устройств, работающих в режиме device owner.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после синхронизации с Сервером администрирования приложение Kaspersky Endpoint Security для Android будет удалено с мобильных устройств. Пользователи мобильных устройств получат уведомление об удалении приложения.

Чтобы удалить приложение с помощью настройки локальных параметров, выполните следующие действия:

1. В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
2. В списке устройств выберите устройство, на котором вы хотите удалить приложение.
3. Откройте окно свойств устройства двойным щелчком мыши.
4. Выберите раздел Приложения → Kaspersky Endpoint Security для Android.
5. Откройте окно свойств приложения Kaspersky Endpoint Security двойным щелчком мыши.
6. Выберите раздел Дополнительно.
7. В разделе Удаление Kaspersky Endpoint Security для Android установите флажок Удалить с устройства приложение Kaspersky Endpoint Security для Android.

   Этот параметр неприменим для устройств, работающих в режиме device owner.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после синхронизации с Сервером администрирования приложение Kaspersky Endpoint Security для Android будет удалено с мобильного устройства. Пользователь устройства получит уведомление об удалении приложения.

Удаление приложения в режиме device owner

Чтобы удалить Kaspersky Endpoint Security для Android с устройства, работающего в режиме device owner:

1. В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
2. В списке устройств выберите устройство, на котором вы хотите удалить приложение.
3. Щелкните правой кнопкой мыши по устройству.
4. В контекстном меню выберите Управление мобильными устройствами → Сбросить настройки до заводских.

   Команда Сбросить настройки до заводских отправлена на устройство. Эта команда удаляет все данные с устройства и сбрасывает настройки устройства до заводских.

5. В списке устройств щелкните правой кнопкой мыши по устройству и нажмите Удалить.

   Устройство удалено из списка управляемых устройств в Консоли администрирования.

   Если устройство не будет удалено из Консоли администрирования, то при последующей установке приложений "Лаборатории Касперского" на устройство могут возникнуть проблемы.

[Topic 98994]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Разрешение пользователям удалять приложение

На устройствах под управлением операционной системы Android версии 7.0 и выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае защита приложения от удаления не работает.

Вы можете разрешить пользователям удалять Kaspersky Endpoint Security для Android со своих мобильных устройств следующими способами:

• С помощью групповой политики. Этот способ удобен, если вы хотите разрешить удаление приложения пользователям нескольких устройств одновременно.
• С помощью локальных параметров приложения. Этот способ удобен, если вы хотите разрешить удаление приложения пользователю отдельного устройства.

На устройствах, работающих в режиме device owner, приложение Kaspersky Endpoint Security для Android может быть удалено только администратором. Дополнительная информация приведена в разделе Дистанционное удаление приложения.

Чтобы разрешить удаление приложения в групповой политике, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Дополнительно.
5. В блоке Удаление приложения Kaspersky Endpoint Security для Android установите флажок Разрешить удаление приложения Kaspersky Endpoint Security для Android.

   Этот параметр неприменим для устройств, работающих в режиме device owner.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильных устройствах после синхронизации с Сервером администрирования будут разрешено удаление приложения пользователем. В настройках Kaspersky Endpoint Security для Android будет доступна кнопка удаления приложения.

Чтобы разрешить удаление приложения в локальных параметрах программы, выполните следующие действия:

1. В дереве консоли выберите Дополнительно → Управление мобильными устройствами → Мобильные устройства.
2. В списке устройств выберите устройство, для которого вы хотите разрешить удаление приложения пользователем.
3. Откройте окно свойств устройства двойным щелчком мыши.
4. Выберите Программы → Kaspersky Endpoint Security для мобильных устройств.
5. Откройте окно свойств приложения Kaspersky Endpoint Security двойным щелчком мыши.
6. Выберите раздел Дополнительно.
7. В блоке Удаление приложения Kaspersky Endpoint Security для Android установите флажок Разрешить удаление приложения Kaspersky Endpoint Security для Android.

   Этот параметр неприменим для устройств, работающих в режиме device owner.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве после синхронизации с Сервером администрирования будут разрешено удаление приложения пользователем. В настройках Kaspersky Endpoint Security для Android будет доступна кнопка удаления приложения.

[Topic 98992]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Удаление приложения пользователем

Чтобы самостоятельно удалить Kaspersky Endpoint Security для Android со своего мобильного устройства, пользователь должен выполнить следующие действия:

1. В главном окне Kaspersky Endpoint Security для Android нажмите  → Удалить приложение.

   На экране появится запрос подтверждения.

   Если кнопка Удалить приложение отсутствует, значит администратор включил защиту Kaspersky Endpoint Security для Android от удаления или устройство работает в режиме device owner.

   На устройствах, работающих в режиме device owner, приложение Kaspersky Endpoint Security для Android может быть удалено только администратором. Дополнительная информация приведена в разделе Дистанционное удаление приложения.

2. Подтвердить удаление Kaspersky Endpoint Security для Android.

Приложение Kaspersky Endpoint Security для Android будет удалено с мобильного устройства пользователя.

[Topic 254295]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Отключение устройства iOS MDM от управления

Для прекращения управления устройством iOS MDM можно отключить его от управления в Kaspersky Security Center.

В качестве альтернативы вы или владелец устройства можете удалить профиль iOS MDM с устройства. Однако после этого вам все же придется отключить устройство от управления по инструкции, приведенной в этом разделе. В противном случае вы не сможете снова включить управление устройством.

Чтобы отключить устройство iOS MDM от Сервера iOS MDM, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. В рабочей области отфильтруйте устройства iOS MDM. Для этого:
   1. Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
   2. В списке Протокол управления выберите iOS MDM.
3. Выберите мобильное устройство, которое необходимо отключить.
4. В контекстном меню мобильного устройства выберите пункт Удалить.

Устройство iOS MDM будет отмечено в списке на удаление. В течение минуты мобильное устройство будет удалено из базы данных Сервера iOS MDM, а затем – из списка управляемых устройств.

В результате отключения мобильного устройства iOS MDM от управления с него будут удалены все установленные конфигурационные профили, профиль iOS MDM и приложения, для которых в настройках Сервера iOS MDM был выбран параметр Удалять вместе с профилем iOS MDM.

[Topic 136270]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка и управление

Этот раздел справки адресован специалистам, которые осуществляют администрирование Kaspersky Secure Mobility Management, и специалистам технической поддержки организаций, использующих Kaspersky Secure Mobility Management.

[Topic 141535]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Начало работы

В этом разделе описаны действия, которые рекомендуется выполнить в начале работы с Kaspersky Secure Mobility Management.

[Topic 100337]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Запуск и остановка программы

Kaspersky Security Center автоматически запускает и останавливает плагины управления Kaspersky Endpoint Security и Kaspersky Device Management для iOS.

Kaspersky Endpoint Security для Android запускается при старте операционной системы и защищает мобильное устройство пользователя в течение всего сеанса работы. Пользователь может остановить приложение, выключив все компоненты Kaspersky Endpoint Security для Android. Вы можете настроить доступ пользователя к управлению компонентами приложения с помощью групповых политик.

На некоторых устройствах (например, Huawei, Meizu, Xiaomi) требуется вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы (Безопасность → Разрешения → Автозапуск). Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства.

Также требуется выключить режим энергосбережения для Kaspersky Endpoint Security для Android. Это необходимо для работы приложения в фоновом режиме, например, запуска антивирусной проверки по расписанию или синхронизации устройства с Kaspersky Security Center. Проблема связана с особенностями встроенного программного обеспечения этих устройств.

[Topic 89688_1]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Создание группы администрирования

Централизованная настройка параметров приложения Kaspersky Endpoint Security для Android, установленного на мобильных устройствах пользователей, выполняется посредством применения к этим устройствам групповых политик.

Для того чтобы применить политику к группе устройств, перед установкой мобильных приложений на устройства пользователей рекомендуется создать для этих устройств отдельную группу администрирования в папке Управляемые устройства.

После создания группы администрирования рекомендуется настроить автоматическое перемещение в эту группу устройств, на которые вы хотите установить приложения. Затем необходимо задать общие для всех устройств параметры с помощью групповой политики.

Чтобы создать группу администрирования, выполните следующие действия:

1. В дереве консоли выберите папку Управляемые устройства.
2. В рабочей области папки Управляемые устройства или вложенной папки выберите закладку Устройства.
3. Нажмите на кнопку Создать группу.

   Откроется окно создания новой группы.

4. В открывшемся окне Имя группы введите имя группы и нажмите на кнопку ОК.

В результате в дереве консоли появится новая папка группы администрирования с заданным именем. Подробная информация о работе с группами администрирования приведена в справке Kaspersky Security Center.

[Topic 99958]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Групповые политики для управления мобильными устройствами

Групповая политика – это единый набор параметров для управления мобильными устройствами, входящими в группу администрирования, а также установленными на устройствах мобильными приложениями. Вы можете создать групповую политику с помощью мастера создания политики.

С помощью политики вы можете настраивать параметры как отдельных устройств, так и группы. Для группы устройств параметры управления можно настроить в окне свойств групповой политики. Для отдельно устройства их можно настроить в окне локальных параметров программы. Параметры управления, заданные индивидуально для одного устройства, могут отличаться от значений параметров, установленных в политике для группы, в которую входит это устройство.

Каждый параметр, представленный в политике, имеет атрибут "замок", который показывает, разрешено ли изменение параметра в политиках вложенного уровня иерархии (для вложенных групп и подчиненных Серверов администрирования) и в локальных параметрах программы.

Значения параметров, заданные в политике и в локальных параметрах программы, сохраняются на Сервере администрирования, распространяются на мобильные устройства в ходе синхронизации и сохраняются на устройствах в качестве действующих параметров. Если пользователь установит на своем устройстве другие значения параметров, которые не были зафиксированы "замком", то при очередной синхронизации устройства с Сервером администрирования новые значения параметров будут переданы на Сервер администрирования и сохранены в локальных параметрах программы вместо значений, которые были установлены ранее администратором.

Чтобы поддерживать корпоративную безопасность мобильных устройств в актуальном состоянии, вы можете контролировать устройства пользователей на соответствие групповой политике управления.

В верхней части окна групповой политики отображается индикатор уровня защиты. Индикатор уровня защиты поможет вам настроить политику таким образом, чтобы обеспечить высокий уровень защиты устройств. Индикатор уровня защиты меняет состояние в зависимости от настройки политики:

• Высокий уровень защиты – защита устройств обеспечена на должном уровне. Все компоненты защиты работают в соответствии с параметрами, рекомендуемыми специалистами "Лаборатории Касперского".
• Средний уровень защиты – уровень защиты снижен. Некоторые важные компоненты защиты выключены (например, Веб-Фильтр). Важные проблемы отмечены знаком .
• Низкий уровень защиты – существуют проблемы, которые могут привести к заражению устройства и потере данных. Некоторые критические компоненты защиты выключены (например, выключена постоянная защита устройств). Критические проблемы отмечены знаком .

Подробная информация о работе с политиками и группами администрирования в Консоли администрирования Kaspersky Security Center приведена в справке Kaspersky Security Center.

[Topic 89890]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Создание групповой политики

В этом разделе описано создание групповых политик для устройств, на которых установлено мобильное приложение Kaspersky Endpoint Security для Android, а также политик для iOS MDM-устройств.

Политики, сформированные для группы администрирования, отображаются в рабочей области группы в Консоли администрирования Kaspersky Security Center на закладке Политики. Перед именем каждой политики отображается значок, характеризующий ее статус (активна / неактивна). В одной группе можно создать несколько политик для разных приложений. Активной может быть только одна политика для каждого приложения. При создании новой активной политики предыдущая активная политика становится неактивной.

Вы можете изменять политику после ее создания.

Чтобы создать политику для управления мобильными устройствами, выполните следующие действия:

1. В дереве консоли выберите группу администрирования, для которой нужно создать политику.
2. В рабочей области группы выберите закладку Политики.
3. По ссылке Создать политику запустите мастер создания политики.

В результате запустится мастер создания политики.

Шаг 1. Выбор программы для создания групповой политики

На этом шаге в списке программ выберите программу для создания групповой политики:

• Kaspersky Endpoint Security для Android – для устройств, использующих мобильное приложение Kaspersky Endpoint Security для Android.

Рекомендуется создать отдельную политику для устройств Huawei и Honor, не имеющих сервисов Google play. Таким образом вы сможете отправлять ссылки на Huawei AppGallery пользователям этих устройств.

• Kaspersky Device Management для iOS – для iOS MDM-устройств.

Создание политики для мобильных устройств возможно, если на рабочем месте администратора установлены плагин управления Kaspersky Endpoint Security для Android и плагин управления Kaspersky Device Management для iOS. Если плагины не установлены, название соответствующей программы будет отсутствовать в списке программ.

Перейдите к следующему шагу мастера создания политики.

Шаг 2. Ввод названия групповой политики

На этом шаге в поле Имя укажите имя новой политики. Если вы укажете имя уже существующей политики, к нему автоматически будет добавлено окончание (1).

Перейдите к следующему шагу мастера создания политики.

Шаг 3. Создание групповой политики для программы

На этом шаге мастер предлагает выбрать состояние политики:

• Активная политика. Мастер сохраняет созданную политику на Сервере администрирования. При следующей синхронизации мобильного устройства с Сервером администрирования политика будет использоваться на устройстве в качестве действующей.
• Неактивная политика. Мастер сохраняет созданную политику на Сервере администрирования как резервную. В дальнейшем политика может быть активирована по событию. При необходимости неактивную политику можно сделать активной.

  Для одной программы в группе можно создать несколько политик, но активной может быть только одна из них. При создании новой активной политики предыдущая активная политика автоматически становится неактивной.

Завершите работу мастера.

[Topic 88051_1]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка параметров синхронизации

Для управления мобильными устройствами и получения отчетов или статистик от мобильных устройств пользователей требуется настроить параметры синхронизации. Синхронизация мобильного устройства с Kaspersky Security Center может быть выполнена следующими способами:

• По расписанию. Синхронизация по расписанию выполняется с помощью протокола HTTP. Вы можете настроить расписание синхронизации в параметрах групповой политики. Изменения параметров групповой политики, команды и задачи будут выполнены во время синхронизации устройства с Kaspersky Security Center по расписанию, т. е. с задержкой. По умолчанию мобильные устройства автоматически синхронизируются с Kaspersky Security Center каждые шесть часов.

  На Android 12 или более поздней версии приложение может выполнить эту задачу позже, чем указано, если устройство находится в режиме экономии заряда батареи.

• Принудительно. Принудительная синхронизация выполняется с помощью push-уведомлений сервиса FCM (Firebase Cloud Messaging). Принудительная синхронизация, в первую очередь, предназначена для своевременной доставки команд на мобильное устройство. Если вы хотите использовать принудительную синхронизацию, убедитесь что в Kaspersky Security Center настроены параметры GSM. Дополнительная информация приведена в справке Kaspersky Security Center.

Чтобы настроить параметры синхронизации мобильных устройств с Kaspersky Security Center, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Синхронизация.
5. Выберите периодичность запуска синхронизации в раскрывающемся списке Запускать синхронизацию.
6. Чтобы запретить синхронизацию устройства с Kaspersky Security Center в роуминге, установите флажок Выключить синхронизацию в роуминге.

   Пользователь устройства может выполнять синхронизацию вручную в настройках приложения ( → Настройки → Синхронизация → Синхронизировать).

7. Чтобы скрыть от пользователя параметры синхронизации (адрес сервера, порт и группа администрирования) в настройках приложения, снимите флажок Показывать параметры синхронизации на устройстве. Изменить скрытые параметры невозможно.
8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды. Подробная информация о работе с командами для мобильных устройств приведена в справке Kaspersky Security Center.

[Topic 152432]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Работа с ревизиями групповых политик

Kaspersky Security Center позволяет отслеживать изменения групповых политик. Каждый раз, когда вы сохраняете изменения групповой политики, создается ревизия. Каждая ревизия имеет номер.

Работа с ревизиями доступна только для политик Kaspersky Endpoint Security для Android. Для политики Kaspersky Device Management для iOS ревизии недоступны.

Вы можете выполнять с ревизиями групповых политик следующие действия:

• сравнивать выбранную ревизию с текущей ревизией;
• сравнивать выбранные ревизии;
• сравнивать политику с выбранной ревизией другой политики;
• просматривать выбранную ревизию;
• откатывать изменения политики к выбранной ревизии;
• сохранять ревизии в файле формата TXT.

Подробная информация о работе с ревизиями групповых политик и других объектов (например, учетных записей пользователей) приведена в справке Kaspersky Security Center.

Чтобы просмотреть историю ревизий групповой политики, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел История ревизий.

   Отобразится список ревизий политики. Он содержит следующую информацию:

   • номер ревизии политики;
   • дата и время изменения политики;
   • имя пользователя, изменившего политику;
   • выполненное действие с политикой;
   • описание ревизии изменения параметров политики.

[Topic 89954]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Удаление групповой политики

Чтобы удалить групповую политику, выполните следующие действия:

1. В дереве консоли выберите группу администрирования, для которой нужно удалить политику.
2. В рабочей области группы администрирования на закладке Политики выберите политику, которую вы хотите удалить.
3. В контекстном меню политики выберите пункт Удалить.

В результате групповая политика будет удалена. До применения новой групповой политики мобильные устройства, входящие в группу администрирования, продолжат работу с параметрами, заданными в удаленной политике.

[Topic 100347]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Ограничение прав на настройку групповых политик

Администраторы Kaspersky Security Center могут настраивать права доступа пользователей Консоли администрирования к различным функциям комплексного решения Kaspersky Secure Mobility Management в зависимости от служебных обязанностей пользователей.

В интерфейсе Консоли администрирования настройка прав доступа выполняется в окне свойств Сервера администрирования на закладках Безопасность и Роли пользователей. На закладке Роли пользователей можно добавлять типовые роли пользователей с настроенным набором прав. В разделе Безопасность можно настраивать права для одного пользователя или для группы пользователей, а также назначать роли одному пользователю или группе пользователей. Права пользователей для каждой программы настраиваются по функциональным областям.

Вы также можете настраивать права пользователей по функциональным областям. Информация о соответствии функциональных областей закладкам политик приведена в Приложении.

Для каждой функциональной области администратор может назначать следующие права доступа:

• Разрешить изменение. Пользователю Консоли администрирования разрешено изменять параметры политики в окне ее свойств.
• Запретить изменение. Пользователю Консоли администрирования запрещено изменять параметры политики в окне ее свойств. Закладки политики, входящие в функциональную область, для которой назначено это право, не отображаются в интерфейсе.

Подробные сведения о работе с правами и ролями пользователей в Консоли администрирования Kaspersky Security Center приведены в справке Kaspersky Security Center.

[Topic 136319]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Защита

Этот раздел содержит информацию о том, как удаленно управлять защитой мобильных устройств в Консоли администрирования Kaspersky Security Center.

[Topic 136503]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка антивирусной защиты Android-устройств

Для своевременного обнаружения угроз, поиска вирусов, а также других вредоносных приложений следует настроить параметры постоянной защиты и автоматический запуск антивирусной проверки.

Kaspersky Endpoint Security для Android обнаруживает следующие типы объектов:

• вирусы, черви, троянские приложения, вредоносные утилиты;
• рекламные приложения;
• приложения, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя.

Антивирус имеет ряд ограничений:

• При работе Антивируса в рабочем профиле (Приложения с "портфелем", Настройка рабочего профиля Android) невозможно автоматически устранить угрозу, обнаруженную во внешней памяти устройства (например, на SD-карте). У Kaspersky Endpoint Security для Android в рабочем профиле нет доступа к внешней памяти. Информация об обнаруженных объектах отображается в уведомлениях приложения. Для устранения обнаруженных во внешней памяти объектов необходимо удалить файл вручную и запустить проверку устройства повторно.
• Из-за технических ограничений Kaspersky Endpoint Security для Android не может проверять файлы размером 2 ГБ и более. Во время проверки приложение пропускает такие файлы и не уведомляет вас, если такие файлы были пропущены.
• На устройствах с операционной системой Android 11 и выше приложение Kaspersky Endpoint Security для Android не может сканировать папки Android/data и Android/obb и обнаруживать в них вредоносные программы из-за технических ограничений.

Чтобы настроить параметры постоянной защиты мобильного устройства, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Защита.
5. В блоке Защита настройте параметры защиты файловой системы мобильного устройства:
   • Чтобы включить постоянную защиту мобильного устройства пользователя от угроз, установите флажок Включить защиту.

     Kaspersky Endpoint Security для Android будет проверять только новые приложения и файлы из папки Загрузки.

   • Чтобы включить расширенный режим защиты мобильного устройства пользователя от угроз, установите флажок Расширенный режим защиты.

     Kaspersky Endpoint Security для Android будет проверять все файлы, которые пользователь открывает, изменяет, перемещает, копирует, устанавливает и сохраняет на устройстве, а также мобильные приложения сразу после их установки.

     На устройствах под управлением операционной системы Android 8.0 и выше Kaspersky Endpoint Security для Android проверяет файлы, которые пользователь изменяет, перемещает, устанавливает, сохраняет, а также копии файлов. Kaspersky Endpoint Security для Android не проверяет файлы при их открытии, а также исходные файлы при копировании.

   • Чтобы включить дополнительную проверку новых приложений до их первого запуска на устройстве пользователя при помощи облачной службы Kaspersky Security Network, установите флажок Облачная защита (KSN).
   • Чтобы заблокировать рекламные программы, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя, установите флажок Обнаруживать рекламное ПО, средства автодозвона и приложения, которые могут использоваться злоумышленниками для нанесения вреда устройству и данным пользователя.
6. В списке Действие при обнаружении угрозы выберите один из следующих вариантов:
   • Удалить

     Обнаруженные объекты будут удалены автоматически. От пользователя не требуется никаких дополнительных действий. Перед удалением Kaspersky Endpoint Security для Android отобразит временное уведомление об обнаружении объекта.

   • Пропустить

     Если обнаруженные объекты были пропущены, Kaspersky Endpoint Security для Android предупреждает пользователя о проблемах в защите устройства. Для каждой пропущенной угрозы приведены действия, которые может выполнить пользователь для ее устранения. Список пропущенных объектов может измениться, например, если вредоносный файл был удален или перемещен. Чтобы получить актуальный список угроз, запустите полную проверку устройства. Для надежной защиты ваших данных устраните все обнаруженные объекты.

   • Карантин
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

Чтобы настроить автоматический запуск антивирусной проверки мобильного устройства, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Проверка.
5. Чтобы заблокировать рекламные программы, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя, установите флажок Обнаруживать рекламное ПО, средства автодозвона и приложения, которые могут использоваться злоумышленниками для нанесения вреда устройству и данным пользователя.
6. В списке Действие при обнаружении угрозы выберите один из следующих вариантов:
   • Удалить

     Обнаруженные объекты будут удалены автоматически. От пользователя не требуется никаких дополнительных действий. Перед удалением Kaspersky Endpoint Security для Android отобразит временное уведомление об обнаружении объекта.

   • Пропустить

     Если обнаруженные объекты были пропущены, Kaspersky Endpoint Security для Android предупреждает пользователя о проблемах в защите устройства. Для каждой пропущенной угрозы приведены действия, которые может выполнить пользователь для ее устранения. Список пропущенных объектов может измениться, например, если вредоносный файл был удален или перемещен. Чтобы получить актуальный список угроз, запустите полную проверку устройства. Для надежной защиты ваших данных устраните все обнаруженные объекты.

   • Карантин
   • Запросить действие

     Приложение Kaspersky Endpoint Security для Android выводит уведомление, в котором пользователю предлагается выбрать действие над обнаруженным объектом: Пропустить или Удалить.

     Вариант Запросить действие позволяет пользователю устройства при обнаружении нескольких объектов применить выбранное действие к каждому файлу с помощью флажка Применить ко всем угрозам.

     Для отображения уведомления на мобильных устройствах под управлением операционной системы Android версии 10.0 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае Kaspersky Endpoint Security для Android выводит системное окно Android, в котором пользователю предлагается выбрать действие над обнаруженным объектом: Пропустить или Удалить. Чтобы применить действие к нескольким объектам нужно откройте Kaspersky Endpoint Security.

7. В блоке Проверка по расписанию настройте параметры автоматического запуска полной проверки файловой системы устройства. Для этого нажмите на кнопку Расписание и в открывшемся окне Расписание задайте периодичность и время запуска полной проверки.

   На Android 12 или более поздней версии приложение может выполнить эту задачу позже, чем указано, если устройство находится в режиме экономии заряда батареи.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Kaspersky Endpoint Security для Android проверяет все файлы, в том числе содержимое архивов.

Для поддержания защиты мобильного устройства в актуальном состоянии следует настроить параметры обновления антивирусных баз.

По умолчанию обновление антивирусных баз приложения в зоне роуминга выключено. Обновление антивирусных баз приложения по расписанию не выполняется.

Чтобы настроить параметры обновления антивирусных баз приложения, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Обновление баз.
5. Чтобы Kaspersky Endpoint Security для Android загружал обновления баз по сформированному расписанию, когда устройство находится в зоне роуминга, в блоке Обновление баз в роуминге установите флажок Разрешать обновление баз в роуминге.

   Даже если флажок снят, пользователь может запустить обновление антивирусных баз в роуминге вручную.

6. В блоке Источник обновлений баз укажите источник обновлений, из которого Kaspersky Endpoint Security для Android будет получать и устанавливать обновления антивирусных баз приложения:
   • Серверы "Лаборатории Касперского"

     Использование сервера обновлений "Лаборатории Касперского" в качестве источника обновлений для загрузки баз Kaspersky Endpoint Security для Android на мобильные устройства пользователей. Для обновления баз с серверов "Лаборатории Касперского" Kaspersky Endpoint Security для Android передает в "Лабораторию Касперского" данные (например, идентификатор запуска задачи обновления). Список передаваемых данных при обновлении баз вы можете просмотреть в Лицензионном соглашении.

   • Сервер администрирования

     Использование хранилища Сервера администрирования Kaspersky Security Center в качестве источника обновлений для загрузки баз приложения Kaspersky Endpoint Security для Android на мобильные устройства пользователей.

   • Другой источник

     Использование стороннего сервера в качестве источника обновлений для загрузки баз приложения Kaspersky Endpoint Security для Android на мобильные устройства пользователей. Для обновления требуется задать адрес HTTP-сервера в поле ниже (например, http://domain.com/).

7. В блоке Обновление баз по расписанию настройте параметры автоматического запуска обновлений антивирусных баз на устройстве пользователя. Для этого нажмите на кнопку Расписание и в открывшемся окне Расписание задайте периодичность и время запуска обновления.

   На Android 12 или более поздней версии приложение может выполнить эту задачу позже, чем указано, если устройство находится в режиме экономии заряда батареи.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 148305]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Защита Android-устройств в интернете

Для защиты персональных данных пользователя мобильного устройства в интернете включите Веб-Фильтр. Веб-Фильтр блокирует вредоносные веб-сайты, цель которых – распространить вредоносный код, а также фишинговые веб-сайты, цель которых – украсть ваши конфиденциальные данные и получить доступ к вашим финансовым счетам. Веб-Фильтр проверяет веб-сайты до открытия, используя облачную службу Kaspersky Security Network. Веб-Фильтр также позволяет настроить доступ пользователя к веб-сайтам на основе сформированных списков разрешенных и запрещенных веб-сайтов.

Приложение Kaspersky Endpoint Security для Android должно быть установлено в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее.

Веб-Фильтр на Android-устройствах работает только в браузерах Google Chrome (включая функцию Custom Tabs), Huawei Browser и Samsung Internet Browser. В браузерах Huawei и Samsung Internet Веб-Фильтр не блокирует сайты на мобильных устройствах, если используется рабочий профиль и Веб-Фильтр включен только для рабочего профиля.

Чтобы включить Веб-Фильтр в Google Chrome, Huawei Browser и Samsung Internet Browser, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Веб-Фильтр.
5. Для использования Веб-Фильтра вам или пользователю устройства необходимо прочитать Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) и принять его условия. Для этого:
   1. Нажмите на ссылку Положение о Веб-Фильтре в верхней части раздела.

      Откроется окно Положение об обработке данных в целях использования Веб-Фильтра.

   2. Прочитайте Политику конфиденциальности и примите ее условия, установив соответствующий флажок. Для того чтобы ознакомиться с Политикой конфиденциальности, необходимо перейти по ссылке Политика конфиденциальности.

      Если вы не принимаете Политику конфиденциальности, пользователь мобильного устройства может принять Политику конфиденциальности в мастере первоначальной настройки или в приложении ( → О приложении → Правовая информация → Политика конфиденциальности).

   3. Укажите, принимаете ли вы Положение о Веб-Фильтре:
      • Я прочитал и принимаю Положение о Веб-Фильтре
      • Запросить принятие Положения о Веб-Фильтре у пользователя устройства
      • Я не принимаю Положение о Веб-Фильтре

        Если вы выбрали вариант Я не принимаю Положение о Веб-Фильтре, Веб-Фильтр не будет блокировать сайты на мобильном устройстве. Пользователь мобильного устройства не сможет включить Веб-Фильтр в Kaspersky Endpoint Security.

   4. Нажмите на кнопку OK, чтобы закрыть окно.
6. Установите флажок Включить Веб-Фильтр.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 89901]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Защита данных при потере или краже устройств

Этот раздел содержит информацию о настройке параметров защиты мобильного устройства от несанкционированного доступа в случае потери или кражи.

[Topic 89902]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Отправка команд на мобильное устройство

Для защиты данных на мобильном устройстве в случае его потери или кражи вы можете отправить специальные команды (см. таблицу ниже).

Команды для защиты данных при потере или краже устройства

Для выполнения команд Kaspersky Endpoint Security для Android требуются специальные права и разрешения. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права и разрешения. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае выполнение команд невозможно.

На устройствах с операционной системой Android 10.0 и выше необходимо предоставить разрешение "Всегда" для доступа к местоположению устройства. На устройствах с операционной системой Android 11.0 и выше необходимо также предоставить разрешение "При использовании приложения" для доступа к камере. В противном случае команды Анти-Вора работать не будут. Пользователю будет выведено уведомление об этом ограничении и будет предложено повторно предоставить требуемые разрешения. Если пользователь выбрал вариант "Только сейчас" для разрешения камеры, считается, что доступ предоставлен приложением. Рекомендуется связаться с пользователем напрямую при повторном запросе разрешения для камеры.

Полный список доступных команд приведен в разделе Команды для мобильных устройств. Подробная информация об отправке команд из Консоли администрирования приведена в справке Kaspersky Security Center.

[Topic 138758]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Разблокировка мобильного устройства

Вы можете разблокировать мобильное устройство следующими способами:

• Отправить команду разблокировки мобильного устройства.
• Ввести на мобильном устройстве одноразовый код разблокировки (только для Android-устройств).

На некоторых устройствах (например, Huawei, Meizu, Xiaomi) требуется вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, вы можете разблокировать устройство только с помощью одноразового кода разблокировки. Разблокировать устройство с помощью команд невозможно.

Подробная информация об отправке команд из списка мобильных устройств в Консоли администрирования приведена в справке Kaspersky Security Center.

Одноразовый код разблокировки – секретный код программы для разблокировки мобильного устройства. Одноразовый код создается программой и является уникальным для каждого мобильного устройства. Вы можете изменить длину одноразового кода (4, 8 или 16 цифр) в параметрах групповой политики в разделе Анти-Вор.

Чтобы разблокировать мобильное устройство с помощью одноразового кода, выполните следующие действия:

1. В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
2. Выберите мобильное устройство, для которого вы хотите получить одноразовый код для разблокировки.
3. Откройте окно свойств мобильного устройства двойным щелчком мыши.
4. Выберите раздел Приложения → Kaspersky Endpoint Security для Android.
5. Откройте окно свойств приложения Kaspersky Endpoint Security двойным щелчком мыши.
6. Выберите раздел Анти-Вор.
7. В блоке Одноразовый код разблокировки устройства в поле Одноразовый код будет указан уникальный для выбранного устройства код.
8. Сообщите пользователю заблокированного мобильного устройства одноразовый код любым доступным способом (например, в сообщении электронной почты).
9. Пользователь вводит одноразовый код на экране устройства, заблокированном Kaspersky Endpoint Security для Android.

Мобильное устройство разблокировано.

После разблокировки устройства под управлением операционной системы Android версии 5.0–6.Х пароль разблокировки экрана будет заменен на "1234". На устройствах под управлением операционной системы Android 7.0 и выше после разблокировки мобильного устройства пароль разблокировки экрана останется прежним.

[Topic 145531]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Шифрование данных

Для защиты данных от несанкционированного доступа требуется включить шифрование всех данных на устройстве (например, учетных данных, внешних устройств и приложений, а также сообщений электронной почты, SMS-сообщений, контактов, фотографий и других файлов). Для доступа к зашифрованным данным требуется задать специальный ключ – пароль для разблокировки устройства. Таким образом, если данные зашифрованы, доступ к ним можно получить, только когда устройство разблокировано.

На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки → Touch ID и пароль /  Face ID и пароль → Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: в дереве консоли выберите Дополнительно → Управление мобильными устройствами → Мобильные устройства и дважды щелкните мышью по нужному устройству).

Чтобы зашифровать все данные на Android-устройстве, выполните следующие действия:

1. Включите блокирование экрана на Android-устройстве (Настройки → Безопасность → Блокирование экрана).
2. Установите пароль разблокировки устройства, соответствующий требованиям корпоративной безопасности.

   Не рекомендуется использовать графический пароль для разблокировки устройства. На некоторых Android-устройствах под управлением Android 6.0 и выше после шифрования данных и перезагрузки устройства Android требует ввести цифровой пароль для разблокировки устройства вместо графического. Проблема связана с особенностями работы службы Специальных возможностей. Для разблокировки экрана устройства в этом случае переведите графический пароль в цифровой. Подробнее о переводе графического пароля в цифровой см. на сайте Службы технической поддержки компании-производителя мобильного устройства.

3. Включите шифрование всех данных устройства (Настройки → Безопасность → Зашифровать данные).

[Topic 243163]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Удаление данных на Android-устройствах после неудачных попыток ввода пароля

Вы можете настроить удаление всех данных на Android-устройстве (то есть сброс настроек устройства до заводских) после того, как пользователь неправильно ввел пароль разблокировки экрана слишком много раз.

Эти настройки применимы для устройств, работающих в режиме device owner, и персональных устройств, на которых приложение Kaspersky Endpoint Security для Android включено в качестве администратора устройства.

Чтобы настроить удаление всех данных:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Анти-Вор.
5. В блоке Удаление данных на устройстве установите флажок Удалить все данные после неудачных попыток ввода пароля разблокировки.
6. В поле Максимальное количество попыток ввода пароля разблокировки укажите количество попыток разблокировать устройство, которые может совершить пользователь. По умолчанию указано значение 8. Максимальное доступное значение – 20.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Если указанное количество попыток ввести правильный пароль разблокировки экрана будет превышено пользователем, приложение Kaspersky Endpoint Security для Android удалит все данные на устройстве.

[Topic 136564]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка надежности пароля разблокировки устройства

Для защиты доступа к мобильному устройству пользователя следует настроить пароль разблокировки устройства.

Этот раздел содержит информацию о настройке защиты паролем Android-устройств и iOS-устройств.

[Topic 90495]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка надежности пароля разблокировки Android-устройства

Развернуть всё | Свернуть всё

Для обеспечения безопасности Android-устройства нужно настроить использование пароля, который запрашивается при выходе устройства из спящего режима.

Вы можете установить ограничения при работе пользователя с устройством, если пароль разблокировки недостаточно сложный (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила проверки требуется выбрать критерий Пароль разблокировки не соответствует требованиям безопасности.

На некоторых Samsung-устройствах под управлением операционной системы Android 7.0 и выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.

Чтобы настроить использование пароля разблокировки, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление устройством.
5. Если вы хотите, чтобы приложение проверяло наличие пароля разблокировки, в блоке Блокирование экрана установите флажок Требовать установить пароль для разблокировки экрана.

   Если приложение обнаружит, что пароль на устройстве не задан, пользователю потребуется указать его. Пароль указывается с учетом параметров, заданных администратором.

6. При необходимости укажите следующие параметры:
   • Минимальное количество символов

     Минимальное количество символов в пароле пользователя. Возможные значения: от 4 до 16 символов.

     По умолчанию пароль пользователя содержит 4 символа.

     Следующие правила применимы только к личным и рабочим профилям:

     • В личном профиле Kaspersky Endpoint Security сводит требования к надежности пароля к одному из системных значений: средний или высокий уровень для устройств под управлением Android 10 и выше.
     • В рабочем профиле Kaspersky Endpoint Security сводит требования к надежности пароля к одному из системных значений: средний или высокий уровень для устройств под управлением Android 12 и выше.

     Значения уровня надежности определяются по следующим правилам:

     • Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например, 1234), либо буквенным / буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.
     • Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенным / буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр; пароль должен состоять не менее чем из 6 символов.
   • Минимальные требования к сложности пароля (для режима device owner, Android версии 12 или ниже)

     Определяет минимальные требования к паролю разблокировки. Требования применяются только к новым паролям пользователя. Доступны следующие значения:

     • Числовой

       Пользователь может установить пароль, включающий в себя цифры, или любой более надежный пароль (например, буквенный или буквенно-цифровой).

       Этот параметр выбран по умолчанию.

     • Буквенный

       Пользователь может установить пароль, включающий в себя буквы (или другие нечисловые символы), или любой более надежный пароль (например, буквенно-цифровой).

     • Буквенно-цифровой

       Пользователь может установить пароль, включающий в себя цифры и буквы (или другие нечисловые символы), или любой более надежный сложный пароль.

     • Требования не заданы

       Пользователь может установить любой пароль.

     • Сложный

       Пользователь должен установить сложный пароль в соответствии с указанными свойствами пароля:

       • Минимальное количество букв
       • Минимальное количество цифр
       • Минимальное количество специальных символов (например, !@#$%)
       • Минимальное количество заглавных букв
       • Минимальное количество строчных букв
       • Минимальное количество небуквенных символов (например, 1^&*9)
     • Сложный числовой

       Пользователь может установить пароль, включающий в себя числа без повторений (например, 4444) или упорядоченных последовательностей (например, 1234, 4321, 2468), или любой более надежный сложный пароль.

     • Слабый биометрический

       Пользователь может использовать биометрические методы разблокировки или установить более надежный сложный пароль.

     Этот параметр применим только для устройств под управлением операционной системы Android версии 12 и выше в режиме device owner.

   • Срок действия пароля, в днях (для устройств с любыми версиями Android; начиная с Android 10, применимо только для режима device owner)

     Определяет количество дней до истечения срока действия пароля. При применении новый срок действия будет установлен для текущего пароля.

     По умолчанию указано значение 0. Это означает, что срок действия пароля не ограничен.

     Эта настройка применима к устройствам с любыми поддерживаемыми версиями Android. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Количество дней, за которое уведомлять о необходимости смены пароля (для режима device owner)

     Определяет количество дней, за которое уведомлять пользователя об истечении срока действия пароля.

     По умолчанию указано значение 0. Это означает, что пользователь не будет уведомлен об истечении срока действия пароля.

     Этот параметр применим только для устройств, работающих в режиме device owner.

   • Количество последних паролей, которые нельзя использовать в качестве нового пароля (для устройств с любыми версиями Android; начиная с Android 10, применимо только для режима device owner)

     Определяет максимальное количество ранее использованных пользователем паролей, которые не могут быть установлены в качестве нового пароля. Этот параметр применяется, только когда пользователь устанавливает новый пароль на устройстве.

     По умолчанию указано значение 0. Это означает, что новый пароль пользователя может совпадать с любым ранее использованным паролем, кроме текущего.

     Эта настройка применима к устройствам с любыми поддерживаемыми версиями Android. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Период неактивности без блокировки экрана устройства, в секундах

     Определяет период неактивности перед блокировкой экрана устройства. После окончания этого периода экран устройства будет заблокирован.

     По умолчанию указано значение 0. Это означает, что экран устройства не будет блокироваться после окончания какого-либо периода.

   • Период после разблокировки биометрическими методами до ввода пароля, в минутах (для режима device owner, Android 8.0+)

     Определяет период для разблокировки устройства без пароля. В течение этого периода пользователь может использовать биометрические методы для разблокировки экрана. После окончания этого периода пользователь может разблокировать экран только с помощью пароля.

     По умолчанию указано значение 0. Это означает, что пользователю не придется разблокировать устройство с помощью пароля после истечения какого-либо периода.

     Этот параметр применим только для устройств под управлением операционной системы Android версии 8 и выше в режиме device owner.

   • Разрешить биометрические методы разблокировки (Android 9.0 или выше; начиная с Android 10, применимо только для режима device owner)

     Если флажок установлен, использование биометрических методов разблокировки на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android запрещает использовать биометрические методы для разблокировки экрана. Пользователь может разблокировать экран только с помощью пароля.

     По умолчанию флажок установлен.

     Этот параметр применим только для устройств под управлением Android 9.0 и выше. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Разрешить использование отпечатков пальцев (для устройств с любыми версиями Android; начиная с Android 10, применимо только для режима device owner)

     Использование отпечатков пальцев для разблокировки экрана.

     Флажок не ограничивает использование сканера отпечатков пальцев при входе в приложения или подтверждении покупок.

     Если флажок установлен, использование отпечатков пальцев на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android блокирует возможность использовать отпечатки пальцев для разблокировки экрана. Пользователь может разблокировать экран только с помощью пароля. В настройках Android пункт установки отпечатков пальцев будет недоступен (Настройки Android > Безопасность > Блокировка экрана > Отпечатки пальцев).

     Флажок доступен только если установлен флажок Разрешить биометрические методы разблокировки (Android 9.0 или выше; начиная с Android 10, применимо только для режима device owner).

     По умолчанию флажок установлен.

     Эта настройка применима к устройствам с любыми поддерживаемыми версиями Android. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Разрешить распознавание лица (Android 9.0 или выше; начиная с Android 10, применимо только для режима device owner)

     Если флажок установлен, использование распознавания лица на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android запрещает использовать распознавание лица для разблокировки экрана.

     Флажок доступен только если установлен флажок Разрешить биометрические методы разблокировки (Android 9.0 или выше; начиная с Android 10, применимо только для режима device owner).

     По умолчанию флажок установлен.

     Этот параметр применим только для устройств под управлением Android 9.0 и выше. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Разрешить распознавание по радужной оболочке глаза (Android 9.0 или выше; начиная с Android 10, применимо только для режима device owner)

     Если флажок установлен, использование распознавания по радужной оболочке глаза на мобильном устройстве разрешено.

     Если флажок снят, Kaspersky Endpoint Security для Android запрещает использовать распознавание по радужной оболочке глаза для разблокировки экрана.

     Флажок доступен только если установлен флажок Разрешить биометрические методы разблокировки (Android 9.0 или выше; начиная с Android 10, применимо только для режима device owner).

     По умолчанию флажок установлен.

     Этот параметр применим только для устройств под управлением Android 9.0 и выше. Начиная с Android 10, эта настройка применима только для режима device owner.

   • Разрешить загрузку устройства до запроса пароля

     Если флажок установлен, устройство запускается и загружает системные процессы и фоновые приложения до запроса пароля разблокировки у пользователя.

     После того как флажок установлен, невозможно отключить запрос пароля при запуске устройства без сброса настроек до заводских.

     Если флажок снят, требования, касающиеся запуска устройства, остаются без изменений.

     По умолчанию флажок снят.

   • Пароль разблокировки

     Этот параметр позволяет установить пароль на устройстве пользователя.

     На устройствах под управлением операционной системы Android версий с 7 по 10 включительно этот параметр применим только к личным устройствам, на которых не установлен пароль.

     На устройствах под управлением операционной системы Android версии 11 и выше этот параметр применим, только если устройство находится в режиме device owner.

     После сохранения политики настройка применяется на устройстве в результате отправки команды с указанным паролем. Поле ввода будет очищено, указанный пароль не сохранится в Консоли администрирования.

     • Если устройство не защищено паролем или работает под управлением операционной системы Android версии 10 или ниже, Kaspersky Endpoint Security для Android сразу устанавливает пароль.
     • Если устройство работает под управлением операционной системы Android версии 11 или выше, Kaspersky Endpoint Security для Android предлагает пользователю применить новый пароль.

     Если вы оставите пустое значение, изменений на устройстве не будет.

7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 88130]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка надежности пароля разблокировки iOS MDM-устройств

Для защиты данных iOS MDM-устройства следует настроить требования к надежности пароля разблокировки.

По умолчанию пользователь может использовать простой пароль. Простой пароль – это пароль, который может содержать последовательность символов или повторяющиеся символы, например, "abcd" или "2222". Вводить алфавитно-цифровой пароль с использованием специальных символов не обязательно. Срок действия пароля и количество попыток ввода пароля по умолчанию не ограничены.

Чтобы настроить параметры надежности пароля разблокировки iOS MDM-устройства, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Пароль.
5. В блоке Параметры пароля установите флажок Применить параметры на устройстве.
6. Настройте параметры надежности пароля разблокировки:
   • Чтобы разрешить пользователю использовать простой пароль, установите флажок Разрешить простой пароль.
   • Чтобы требовать использование алфавитно-цифрового пароля, установите флажок Требовать ввод алфавитно-цифрового значения.
   • В списке Минимальное количество символов выберите минимальную длину пароля в символах.
   • В списке Минимальное количество специальных символов выберите минимальное количество специальных символов в пароле (например, "$", "&", "!").
   • В поле Максимальный срок использования укажите период времени в днях, в течение которого будет действовать пароль. По истечении установленного срока Kaspersky Device Management для iOS запрашивает у пользователя смену пароля.
   • В списке Включать автоблокировку через выберите время включения автоблокировки iOS MDM-устройства.
   • В поле История паролей укажите количество использованных паролей (включая текущий), которые Kaspersky Device Management для iOS при смене пароля сравнивает с новым паролем. Если пароли совпадут, новый пароль не будет принят.
   • В списке Максимальное время для разблокировки без пароля выберите время, в течение которого пользователь может разблокировать iOS MDM-устройство без ввода пароля.
   • В списке Максимальное количество попыток ввода выберите число доступных пользователю попыток ввести пароль для разблокировки iOS MDM-устройства.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве пользователя после применения политики Kaspersky Device Management для iOS проверит надежность пароля. Если надежность пароля разблокировки на устройстве не соответствует политике, пользователю будет предложено его изменить.

[Topic 141383]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка виртуальной частной сети (VPN)

Этот раздел содержит информацию о настройке параметров виртуальной частной сети (VPN) для безопасного подключения к сетям Wi-Fi.

[Topic 90755]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка VPN на Android-устройствах (только Samsung)

Для безопасного подключения Android-устройства к сетям Wi-Fi и защиты передачи данных следует настроить параметры VPN (Virtual Private Network).

Настройка VPN возможна только для Samsung-устройств под управлением операционной системы Android 11 и ниже.

При использовании виртуальной частной сети следует учитывать следующие требования:

• Приложение, использующее VPN-соединение, должно быть разрешено в параметрах Сетевого экрана.
• Параметры виртуальной частной сети, настроенные в политике, не могут быть применены для системных приложений. Для системных приложений VPN-соединение нужно настраивать вручную.
• Для некоторых приложений, использующих VPN-соединение, при первом запуске требуется дополнительная настройка. Чтобы выполнить настройку, нужно разрешить VPN-соединение в параметрах приложения.

Чтобы настроить VPN на мобильном устройстве пользователя, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройствами.
5. В блоке VPN нажмите на кнопку Настроить.

   Откроется окно Сеть VPN.

6. В раскрывающемся списке Тип соединения выберите тип VPN-соединения.
7. В поле Имя сети введите название VPN-туннеля.
8. В поле Адрес сервера введите сетевое имя или IP-адрес VPN-сервера.
9. В поле Домен(ы) поиска DNS введите домен поиска DNS, который автоматически добавляется к имени DNS-сервера.

   Вы можете ввести несколько доменов поиска DNS через пробел.

10. В поле DNS-сервер(ы) введите полное доменное имя или IP-адрес DNS-сервера.

    Вы можете ввести несколько DNS-серверов через пробел.

11. В поле Перенаправление маршрутов введите диапазон IP-адресов сети, обмен данными с которыми осуществляется через VPN-соединение.

    Если в поле Перенаправление маршрутов не указан диапазон IP-адресов, весь интернет-трафик будет проходить через VPN-соединение.

12. Для типов сети IPSec Xauth PSK и L2TP IPSec PSK дополнительно настройте следующие параметры:
    1. В поле Общий ключ IPSec введите пароль от предварительно установленного ключа безопасности IPSec.
    2. В поле Идентификатор IPSec введите имя пользователя мобильного устройства.
13. Для типа сети L2TP IPSec PSK дополнительно укажите пароль для ключа L2TP в поле Ключ L2TP.
14. Для типа сети PPTP установите флажок Использовать SSL-соединение, чтобы приложение использовало метод шифрования данных MPPE (Microsoft Point-to-Point Encryption) для обеспечения безопасности передачи данных при подключении мобильного устройства к VPN-серверу.
15. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 90374]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка VPN на iOS MDM-устройствах

Для подключения iOS MDM-устройства к виртуальной частной сети (VPN) и обеспечения безопасности данных при подключении к сети VPN следует настроить параметры подключения к сети VPN. VPN-протоколы IKEv2 и IPSec также позволяют настроить VPN-соединение для избранных доменов веб-сайтов в Safari.

Чтобы настроить VPN-соединение на iOS MDM-устройстве пользователя, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел VPN.
5. В блоке Сети VPN нажмите на кнопку Добавить.

   Откроется окно Сеть VPN.

6. В поле Имя сети введите название VPN-туннеля.
7. В раскрывающемся списке Тип соединения выберите тип VPN-соединения:
   • L2TP (Layer 2 Tunneling Protocol). Соединение поддерживает аутентификацию пользователя мобильного устройства iOS MDM с помощью паролей MS-CHAP v2, двухфакторную аутентификацию и автоматическую аутентификацию с помощью общего ключа.
   • PPTP (Point-to-Point Tunneling Protocol). Соединение поддерживает аутентификацию пользователя мобильного устройства iOS MDM с помощью паролей MS-CHAP v2 и двухфакторную аутентификацию.
   • IKEv2 (Internet Key Exchange версии 2). Соединение устанавливает между двумя сетевыми объектами атрибут Ассоциация безопасности (SA) и поддерживает аутентификацию с использованием EAP (Extensible Authentication Protocols), общих ключей и сертификатов.
   • IPSec (Cisco). Соединение поддерживает аутентификацию пользователей с помощью паролей, двухфакторную аутентификацию и автоматическую аутентификацию с помощью общего ключа и сертификатов.
   • Cisco AnyConnect. Соединение поддерживает межсетевой экран Cisco Adaptive Security Appliance (ASA) версии 8.0(3).1 и выше. Для настройки VPN-соединения требуется установить на мобильное устройство iOS MDM приложение Cisco AnyConnect из App Store.
   • Juniper SSL. Соединение поддерживает шлюз Juniper Networks SSL VPN серии SA версии 6.4 и выше с пакетом Juniper Networks IVE версии 7.0 и выше. Для настройки VPN-соединения требуется установить на мобильное приложение iOS MDM приложение JUNOS из App Store.
   • F5 SSL. Соединение поддерживает решения F5 BIG-IP Edge Gateway, Access Policy Manager и Fire SSL VPN. Для настройки VPN-соединения требуется установить на мобильное устройство iOS MDM приложение F5 BIG-IP Edge Client из App Store.
   • SonicWALL Mobile Connect. Соединение поддерживает устройства SonicWALL Aventail E-Class Secure Remote Access версии 10.5.4 и выше, устройства SonicWALL SRA версии 5.5 и выше, а также устройства SonicWALL Next-Generation Firewall, включая TZ, NSA, E-Class NSA с SonicOS версии 5.8.1.0 и выше. Для настройки VPN-соединения требуется установить на мобильное устройство iOS MDM приложение SonicWALL Mobile Connect из App Store.
   • Aruba VIA. Соединение поддерживает контроллеры мобильного доступа Aruba Networks. Для их настройки требуется установить на мобильное устройство iOS MDM приложение Aruba Networks VIA из App Store.
   • Custom SSL. Соединение поддерживает аутентификацию пользователя мобильного устройства iOS MDM с помощью паролей и сертификатов, а также двухфакторную аутентификацию.
8. В поле Адрес сервера введите сетевое имя или IP-адрес VPN-сервера.
9. В поле Имя учетной записи введите имя учетной записи пользователя для авторизации на сервере VPN. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
10. Настройте параметры безопасности для VPN-соединения в соответствии с выбранным типом виртуальной частной сети. Информацию об этих параметрах можно получить в контекстной справке плагина управления.
11. При необходимости для подключения по протоколам IKEv2 и IPsec настройте Per App VPN для поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты). Подробную информацию см. в разделе Настройка Per App VPN на устройствах iOS MDM или в контекстной справке плагина управления.
12. Настройте (если требуется) параметры подключения к сети VPN через прокси-сервер:
    1. Выберите закладку Параметры прокси-сервера.
    2. Выберите режим настройки прокси-сервера и укажите параметры подключения.
    3. Нажмите кнопку OK.

    В результате на iOS MDM-устройстве будут настроены параметры подключения устройства к VPN-сети через прокси-сервер

13. Нажмите кнопку OK.

    Новая сеть VPN отобразится в списке.

14. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на iOS MDM-устройстве пользователя после применения политики будет настроено подключение к VPN-сети.

[Topic 254347]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка Per App VPN на устройствах iOS MDM

Per App VPN позволяет подключать устройства к сети VPN при запуске поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты). Эта функция доступна при подключении по протоколам IKEv2 и IPSec.

Для включения Per App VPN выполните следующие действия:

1. Выполните первоначальную настройку VPN-соединения. Порядок предварительной настройки описан в разделе Настройка VPN на устройствах iOS MDM.
2. Установите флажок Включить Per App VPN.

Настройте Per App VPN для поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты) в соответствующих разделах политики.

При установке флажка Включить Per App VPN становится доступен и по умолчанию установлен флажок Включать VPN автоматически для системных приложений. Это означает, что устройство автоматически активирует VPN-соединение, когда ассоциированные системные приложения инициируют передачу данных по сети.

Чтобы указать конфигурацию Per App VPN для приложений Электронная почта, Календарь и Контакты:

1. Перейдите в соответствующий раздел политики.
2. Нажмите Добавить, чтобы создать новую учетную запись, или выберите существующую из списка и нажмите Изменить.
3. В разделе Настройки Per App VPN установите флажок Включить Per App VPN (iOS 14+).
4. Выберите эту конфигурацию Per App VPN из раскрывающегося списка Выбрать конфигурацию Per App VPN и нажмите OK, чтобы сохранить изменения.

Чтобы указать конфигурацию Per App VPN для Safari:

1. Перейдите в раздел политики Safari.
2. Нажмите на кнопку Добавить.

   Откроется окно Добавление домена для Safari.

3. Выберите эту конфигурацию Per App VPN из раскрывающегося списка Выберите конфигурацию Per App VPN.
4. В поле Домен, для которого будет включаться VPN-соединение укажите домен веб-сайта, который активирует VPN-соединение в Safari. Домен необходимо указывать в формате "www.example.com".

Нажмите OK, чтобы добавить домен в список.

[Topic 138696]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка Сетевого экрана на Android-устройствах (только Samsung)

Для контроля сетевых соединений на мобильном устройстве пользователя следует настроить параметры Сетевого экрана.

Чтобы настроить Сетевой экран на мобильном устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройствами.
5. В блоке Сетевой экран нажмите на кнопку Настроить.

   Откроется окно Сетевой экран.

6. Выберите режим работы Сетевого экрана:
   • Чтобы разрешить все входящие и исходящие соединения, переместите ползунок в положение Разрешать все.
   • Чтобы блокировать любую сетевую активность, кроме приложений из списка исключений, переместите ползунок в положение Блокировать все, кроме исключений.
7. Если вы выбрали режим работы Сетевого экрана Блокировать все, кроме исключений, сформируйте список исключений:
   1. Нажмите на кнопку Добавить.

      Откроется окно Исключение для Сетевого экрана.

   2. В поле Название приложения введите название мобильного приложения.
   3. В поле Имя пакета введите системное имя пакета мобильного приложения (например, com.mobileapp.example).
   4. Нажмите кнопку OK.
8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 90531]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Защита Kaspersky Endpoint Security для Android от удаления

Для защиты мобильного устройства и выполнения требований корпоративной безопасности вы можете включить защиту Kaspersky Endpoint Security для Android от удаления. В этом случае пользователю недоступно удаление приложения с помощью интерфейса Kaspersky Endpoint Security для Android. При удалении приложения с помощью инструментов операционной системы Android появится запрос на выключение прав администратора для Kaspersky Endpoint Security для Android. После выключения прав мобильное устройство будет заблокировано.

На некоторых Samsung-устройствах под управлением операционной системы Android 7.0 и выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.

Чтобы включить защиту Kaspersky Endpoint Security для Android от удаления, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Дополнительно.
5. В блоке Удаление приложения Kaspersky Endpoint Security для Android снимите флажок Разрешить удаление приложения Kaspersky Endpoint Security для Android.

   На устройствах под управлением операционной системы Android версии 7.0 и выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае защита приложения от удаления не работает.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. При попытке удаления приложения мобильное устройство будет заблокировано.

[Topic 136565]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Обнаружение взлома устройства (получение root-прав)

Kaspersky Secure Mobility Management позволяет обнаруживать взлом устройства (получение root-прав). На взломанном устройстве системные файлы не защищены и доступны для изменения. Также на взломанном устройстве доступна установка сторонних приложений из неизвестных источников. После обнаружения взлома рекомендуется восстановить нормальную работу устройства.

Kaspersky Endpoint Security для Android использует следующие службы для обнаружения получения пользователем root-прав:

• Встроенная служба Kaspersky Endpoint Security для Android. Служба "Лаборатории Касперского", которая проверяет получение root-прав пользователем мобильного устройства (Kaspersky Mobile Security SDK).

При взломе устройства вы получите уведомление. Вы можете просмотреть уведомления о взломе в рабочей области Сервера администрирования на закладке Мониторинг. Вы также можете выключить уведомление о взломе в параметрах уведомлений о событиях.

На устройствах под управлением операционной системы Android вы можете установить ограничения при работе пользователя с устройством в случае взлома (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила соответствия требуется выбрать критерий На устройстве получены root-права.

[Topic 88664]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка глобального HTTP-прокси на iOS MDM-устройствах

Для защиты интернет-трафика пользователя нужно настроить подключение iOS MDM-устройства к интернету через прокси-сервер.

Автоматическое подключение к интернету через прокси-сервер доступно только для контролируемых устройств.

Чтобы настроить глобальный HTTP-прокси на iOS MDM-устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Глобальный HTTP-прокси.
5. В блоке Параметры глобального HTTP-прокси установите флажок Применить параметры на устройстве.
6. Выберите тип настройки глобального HTTP-прокси.

   По умолчанию выбран ручной тип настройки глобального HTTP-прокси и пользователю запрещено подключаться к подписным сетям без подключения к прокси-серверу. Подписные сети – беспроводные сети, требующие предварительной аутентификации на мобильном устройстве без подключения к прокси-серверу.

   • Если вы хотите вручную ввести параметры подключения к прокси-серверу, выполните следующие действия:
     1. В раскрывающемся списке Тип настройки выберите Вручную.
     2. В поле Адрес прокси-сервера и порт введите имя хоста, домена или IP-адрес прокси-сервера и номер порта прокси-сервера.
     3. В поле Имя пользователя задайте имя учетной записи пользователя для авторизации на прокси-сервере. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
     4. В поле Пароль задайте пароль учетной записи пользователя для авторизации на прокси-сервере.
     5. Чтобы разрешить пользователю доступ к подписным сетям, установите флажок Разрешить доступ к подписным сетям без подключения к прокси-серверу.
   • Чтобы настроить параметры подключения к прокси-серверу с помощью подготовленного файла PAC (Proxy Auto Configuration), выполните следующие действия:
     1. В раскрывающемся списке Тип настройки выберите Автоматически.
     2. В поле Веб-адрес PAC-файла введите веб-адрес PAC-файла (например, http://www.example.com/filename.pac).
     3. Чтобы разрешить пользователю подключение мобильного устройства к беспроводной сети без использования прокси-сервера в случае, если PAC-файл недоступен, установите флажок Разрешить прямое соединение, если PAC-файл недоступен.
     4. Чтобы разрешить пользователю доступ к подписным сетям, установите флажок Разрешить доступ к подписным сетям без подключения к прокси-серверу.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после применения политики пользователь мобильного устройства будет подключаться к интернету через прокси-сервер.

[Topic 88328]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Добавление сертификатов безопасности на iOS MDM-устройства

Для упрощения аутентификации пользователя и обеспечения безопасности данных следует добавить на iOS MDM-устройство пользователя сертификаты. Подписание данных с помощью сертификата защищает данные от изменения во время сетевого обмена. Шифрование данных с помощью сертификата обеспечивает дополнительную защиту информации. Сертификат также может использоваться для удостоверения личности пользователя.

Kaspersky Device Management для iOS поддерживает следующие стандарты сертификатов:

• PKCS#1 – шифрование с открытым ключом на основе алгоритмов RSA.
• PKCS#12 – хранение и передача сертификата и закрытого ключа.

Чтобы добавить сертификат безопасности на iOS MDM-устройство пользователя, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Сертификаты.
5. В блоке Сертификаты нажмите на кнопку Добавить.

   Откроется окно Сертификат.

6. В поле Имя файла укажите путь к сертификату:

   Файлы сертификатов PKCS#1 имеют расширения cer, crt или der. Файлы сертификатов PKCS#12 имеют расширения p12 или pfx.

7. Нажмите на кнопку Открыть.

   Если сертификат защищен паролем, требуется указать пароль. После этого новый сертификат отобразится в списке.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве после применения политики пользователю будет предложено установить сертификаты из сформированного списка.

[Topic 90359]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Добавление профиля SCEP на iOS MDM-устройства

Чтобы пользователь iOS MDM-устройства мог автоматически получать сертификаты из Центра сертификации через интернет, следует добавить профиль SCEP. Профиль SCEP позволяет поддерживать протокол простой регистрации сертификатов.

По умолчанию добавляется профиль SCEP со следующими параметрами:

• Для регистрации сертификатов не используется альтернативное имя субъекта.
• Предпринимаются три попытки опроса SCEP-сервера с интервалом 10 секунд между попытками. Если все попытки подписать сертификат были неудачными, следует сформировать новый запрос на подписание сертификата.
• Полученный сертификат запрещено использовать для подписи или шифрования данных.

Вы можете изменить указанные параметры при добавлении профиля SCEP.

Чтобы добавить профиль SCEP, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел SCEP.
5. В блоке Профили SCEP нажмите на кнопку Добавить.

   Откроется окно Профиль SCEP.

6. В поле Веб-адрес сервера введите веб-адрес SCEP-сервера, на котором развернут Центр сертификации.

   Веб-адрес может содержать IP-адрес или полное доменное имя (FQDN). Например, http://10.10.10.10/certserver/companyscep.

7. В поле Название введите название Центра сертификации, развернутого на SCEP-сервере.
8. В поле Субъект введите строку с атрибутами пользователя iOS MDM-устройства, которые содержатся в сертификате X.500.

   Атрибуты могут содержать сведения о стране (С), организации (O) и общем имени пользователя (CN). Например, /C=RU/O=MyCompany/CN=User/. Вы можете использовать и другие атрибуты, которые приведены в RFC 5280.

9. В раскрывающемся списке Тип альтернативного имени субъекта выберите тип альтернативного имени субъекта SCEP-сервера:
   • Нет – идентификация по альтернативному имени не используется.
   • RFC 822 имя – идентификация по адресу электронной почты. Адрес электронной почты должен быть представлен в соответствии с RFC 822.
   • DNS-имя – идентификация по доменному имени.
   • URI – идентификация по IP-адресу или адресу в формате FQDN.

   Вы можете использовать альтернативное имя субъекта для идентификации пользователя мобильного устройства iOS MDM.

10. В поле Альтернативное имя субъекта введите альтернативное имя субъекта сертификата X.500. Значение альтернативного имени субъекта зависит от типа субъекта: адрес электронной почты пользователя, домен или веб-адрес.
11. В поле Имя субъекта NT введите DNS-имя пользователя мобильного устройства iOS MDM в сети Windows NT.

    Имя субъекта NT содержится в запросе на сертификат в SCEP-сервер.

12. В поле Количество попыток опроса SCEP-сервера укажите максимальное количество попыток опроса SCEP-сервера для подписания сертификата.
13. В поле Интервал между попытками (сек) укажите период времени в секундах между попытками опроса SCEP-сервера для подписания сертификата.
14. В поле Запрос регистрации введите предварительно опубликованный ключ регистрации.

    Перед подписанием сертификата SCEP-сервер запрашивает у пользователя мобильного устройства ключ. Если оставить поле пустым, SCEP-сервер не будет запрашивать ключ.

15. В раскрывающемся списке Размер ключа выберите размер ключа регистрации в битах: 1024 или 2048.
16. Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, в качестве сертификата подписи, установите флажок Использовать для подписи.
17. Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, для шифрования данных, установите флажок Использовать для шифрования.

    Запрещено использовать сертификат SCEP-сервера в качестве сертификата подписи данных и сертификата шифрования данных одновременно.

18. В поле Отпечаток сертификата введите уникальный отпечаток сертификата для проверки подлинности ответа от Центра сертификации. Вы можете использовать отпечатки сертификатов с алгоритмом хеширования SHA-1 или MD5. Вы можете скопировать отпечаток сертификата вручную или выбрать сертификат с помощью кнопки Создать из сертификата. При создании отпечатка с помощью кнопки Создать из сертификата отпечаток будет добавлен в поле автоматически.

    Отпечаток сертификата требуется указать, если обмен данными между мобильным устройством и Центром сертификации осуществляется по протоколу HTTP.

19. Нажмите кнопку OK.

    Новый профиль SCEP отобразится в списке.

20. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после применения политики на мобильном устройстве пользователя будет настроено автоматическое получение сертификата из Центра сертификации через интернет.

[Topic 249554]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка ограничений на использование SD-карт (только для устройств Samsung)

Развернуть всё | Свернуть всё

В параметрах SD-карты настройте возможности контроля за использованием SD-карты на мобильном устройстве пользователя.

Чтобы ограничить использование SD-карты на мобильном устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройствами.
5. В разделе Параметры SD-карты укажите необходимые ограничения:
   • Разрешить доступ к SD-карте

     Этот параметр применим для устройств с Android 5-12.

     Установка или снятие этого флажка определяет, включен или отключен доступ к SD-карте на устройстве.

     По умолчанию флажок установлен.

   • Разрешить запись на SD-карту

     Установка или снятие этого флажка определяет, включена или отключена запись на SD-карту на устройстве.

     По умолчанию флажок установлен.

   • Разрешить перенос приложений на SD-карту

     Установка или снятие флажка определяет, разрешено ли пользователю устройства перемещать приложения на SD-карту.

     По умолчанию флажок установлен.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры SD-карты настроены.

[Topic 136322]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Контроль

Этот раздел содержит информацию о том, как удаленно контролировать мобильные устройства в Консоли администрирования Kaspersky Security Center.

[Topic 140646]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка ограничений

В этом разделе содержатся инструкции по настройке доступа пользователей к функциям мобильных устройств.

[Topic 206026]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Особые рекомендации для устройств под управлением Android 10 и выше

В Android 10 реализованы многочисленные изменения и ограничения, ориентированные на API 29 или выше. Некоторые из этих изменений влияют на доступность и работу отдельных функций приложения. Эти рекомендации применимы только для устройств под управлением Android 10 и выше.

Включение, выключение и настройка Wi-Fi

• Сети Wi-Fi можно добавлять, удалять и настраивать в Консоли администрирования Kaspersky Security Center. Когда в политику добавляется сеть Wi-Fi, Kaspersky Endpoint Security получает конфигурацию этой сети при первом подключении к Kaspersky Security Center.
• Когда устройство обнаруживает сеть, настроенную с помощью Kaspersky Security Center, Kaspersky Endpoint Security предлагает пользователю подключиться к этой сети. Если пользователь выбирает подключение к сети, все параметры, настроенные в Kaspersky Security Center, применяются автоматически. Затем устройство автоматически подключается к этой сети, когда находится в пределах досягаемости. Никакие дополнительные уведомления для пользователя не отображаются.
• Если устройство пользователя уже подключено к другой сети Wi-Fi, иногда приложение может не предложить пользователю одобрить добавление сети. В таких случаях пользователю необходимо отключить и снова включить Wi-Fi, чтобы получить предложение.
• Когда Kaspersky Endpoint Security предлагает пользователю подключиться к сети Wi-Fi, а пользователь отказывается это сделать, разрешение приложения на изменение состояния Wi-Fi аннулируется. После этого Kaspersky Endpoint Security не сможет предложить подключиться к сетям Wi-Fi, пока пользователь не предоставит разрешение повторно, перейдя в Настройки → Приложения и уведомления → Разрешения приложений → Контроль Wi-Fi → Kaspersky Endpoint Security.
• Поддерживаются только открытые сети и сети, зашифрованные с помощью WPA2-PSK. Шифрование WEP и WPA не поддерживается.
• Если пароль для сети, ранее предложенный приложением, был изменен, пользователю необходимо вручную удалить эту сеть из списка известных сетей. После этого устройство сможет получить предложение сети от Kaspersky Endpoint Security и подключиться к этой сети.
• При обновлении операционной системы устройства с Android 9 и ниже до Android 10 и выше, или при обновлении приложения Kaspersky Endpoint Security, установленного на устройстве под управлением Android 10 и выше, нельзя изменить или удалить сети, которые были ранее добавлены в Kaspersky Security Center, с помощью политик Kaspersky Security Center. Однако пользователь может изменить или удалить такие сети вручную в настройках устройства.
• На устройствах под управлением Android 10 у пользователя запрашивается пароль при попытке вручную подключиться к предлагаемой защищенной сети. При автоматическом подключении ввод пароля не требуется. Если устройство пользователя подключено к какой-либо другой сети Wi-Fi, пользователю сначала необходимо отключиться от этой сети, чтобы автоматически подключиться к одной из предложенных сетей.
• На устройствах под управлением Android 11 пользователь может вручную подключиться к защищенной сети, предложенной приложением, без ввода пароля.
• При удалении Kaspersky Endpoint Security с устройства, сети, ранее предлагаемые приложением, игнорируются.
• Не поддерживается запрет на использование сетей Wi-Fi.

Доступ к камере

• На устройствах под управлением Android 10 использование камеры нельзя запретить полностью. Запрет на использование камеры для рабочего профиля по-прежнему доступен.
• Если стороннее приложение пытается получить доступ к камере устройства, это приложение будет заблокировано, а пользователь получит уведомление о проблеме. Однако приложения, использующие камеру во время работы в фоновом режиме, не могут быть заблокированы.
• Когда внешняя камера отключена от устройства, в некоторых случаях может отображаться уведомление о недоступности камеры.

Управление методами разблокировки экрана

• Kaspersky Endpoint Security приводит требования надежности пароля к одному из системных значений: средний или высокий.
  • Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например, 1234), либо буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.
  • Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр; пароль должен состоять не менее чем из 6 символов.
• Управлять использованием отпечатка пальца для разблокировки экрана можно только в рабочем профиле.

[Topic 90496]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка ограничений для Android-устройств

Для обеспечения безопасности Android-устройства нужно настроить параметры использования на устройстве Wi-Fi, камеры и Bluetooth.

По умолчанию пользователь может использовать на устройстве Wi-Fi, камеру, Bluetooth без ограничений.

Чтобы настроить ограничения использования на устройстве Wi-Fi, камеры и Bluetooth, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Управление устройством.
5. В блоке Ограничения настройте использование модуля Wi-Fi, камеры, Bluetooth:
   • Чтобы выключить модуль Wi-Fi на мобильном устройстве пользователя, установите флажок Запретить использование Wi-Fi.

     На устройствах под управлением Android 10.0 и выше запрет на использование сетей Wi-Fi не поддерживается.

   • Чтобы выключить камеру на мобильном устройстве пользователя, установите флажок Запретить использование камеры.

     Когда использование камеры запрещено, приложение уведомляет об этом пользователя и сразу же закрывается. На устройствах Asus и OnePlus уведомление выводится на весь экран. Пользователь может нажать на кнопку Закрыть, чтобы завершить работу приложения.

     На устройствах с операционной системой Android 11 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае не удастся ограничить использование камеры.

   • Чтобы выключить Bluetooth на мобильном устройстве пользователя, установите флажок Запретить использование Bluetooth.

     На Android 12 или более поздней версии использование Bluetooth может быть отключено, только если пользователь устройства предоставил разрешение Устройства Bluetooth поблизости. Пользователь может предоставить это разрешение во время работы мастера начальной настройки или позже.

     На личных устройствах под управлением Android 13 или выше нельзя отключить использование Bluetooth.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 88187]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка ограничений для iOS MDM-устройств

Для выполнения требований корпоративной безопасности следует настроить ограничения в работе iOS MDM-устройства. Информацию о доступных ограничениях можно получить в контекстной справке плагина управления.

Чтобы настроить ограничения iOS MDM-устройства, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Ограничения функций.
5. В блоке Параметры ограничений функций установите флажок Применить параметры на устройстве.
6. Настройте ограничения функций iOS MDM-устройства.
7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
8. Выберите раздел Ограничения приложений.
9. В блоке Параметры ограничений приложений установите флажок Применить параметры на устройстве.
10. Настройте ограничения для приложений на iOS MDM-устройстве.
11. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
12. Выберите раздел Ограничения медиаконтента.
13. В блоке Параметры ограничения медиаконтента установите флажок Применить параметры на устройстве.
14. Настройте ограничения для медиаконтента на iOS MDM-устройстве.
15. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве пользователя после применения политики будет настроены ограничения функций, приложений и медиаконтента.

[Topic 136563]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка доступа пользователей к веб-сайтам

В этом разделе содержатся инструкции по настройке доступа к веб-сайтам на Android- и iOS-устройствах.

[Topic 89905]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка доступа к веб-сайтам на Android-устройствах

Вы можете настраивать доступ пользователей Android-устройств к веб-сайтам с помощью Веб-Фильтра. Веб-Фильтр поддерживает фильтрацию веб-сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Фильтрация позволяет вам ограничить доступ пользователей к отдельным веб-сайтам или категориям веб-сайтов (например, к веб-сайтам из категории "Азартные игры, лотереи, тотализаторы" или "Общение в сети"). Веб-Фильтр также защищает персональные данные пользователей в интернете.

Для работы Веб-Фильтра необходимо выполнение следующих условий:

• Приложение Kaspersky Endpoint Security включено в качестве службы Специальных возможностей.
• Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) должно быть принято. Kaspersky Endpoint Security использует Kaspersky Security Network (KSN) для проверки веб-сайтов. Положение о Веб-Фильтре содержит условия обмена данными с KSN.

  Вы можете принять Положение о Веб-Фильтре в Kaspersky Security Center. В этом случае пользователю не потребуется выполнять никаких действий.

  Если вы не приняли Положение о Веб-Фильтре и направили пользователю запрос на принятие Положения, пользователь должен прочитать и принять Положение о Веб-Фильтре в настройках приложения.

  Если вы не приняли Положение о Веб-Фильтре, Веб-Фильтр будет недоступен.

Веб-Фильтр на Android-устройствах работает только в браузерах Google Chrome (включая функцию Custom Tabs), Huawei Browser и Samsung Internet Browser. В браузерах Huawei и Samsung Internet Веб-Фильтр не блокирует сайты на мобильных устройствах, если используется рабочий профиль и Веб-Фильтр включен только для рабочего профиля.

По умолчанию Веб-Фильтр включен: ограничен доступ пользователя к веб-сайтам категорий Фишинг и Вредоносное программное обеспечение.

Чтобы настроить доступ пользователя устройства к веб-сайтам, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Веб-Фильтр.
5. Для использования Веб-Фильтра вам или пользователю устройства необходимо прочитать Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) и принять его условия. Для этого:
   1. Нажмите на ссылку Положение о Веб-Фильтре в верхней части раздела.

      Откроется окно Положение об обработке данных в целях использования Веб-Фильтра.

   2. Прочитайте Политику конфиденциальности и примите ее условия, установив соответствующий флажок. Для того чтобы ознакомиться с Политикой конфиденциальности, необходимо перейти по ссылке Политика конфиденциальности.

      Если вы не принимаете Политику конфиденциальности, пользователь мобильного устройства может принять Политику конфиденциальности в мастере первоначальной настройки или в приложении ( → О приложении → Правовая информация → Политика конфиденциальности).

   3. Укажите, принимаете ли вы Положение о Веб-Фильтре:
      • Я прочитал и принимаю Положение о Веб-Фильтре
      • Запросить принятие Положения о Веб-Фильтре у пользователя устройства
      • Я не принимаю Положение о Веб-Фильтре

        Если вы выбрали вариант Я не принимаю Положение о Веб-Фильтре, Веб-Фильтр не будет блокировать сайты на мобильном устройстве. Пользователь мобильного устройства не сможет включить Веб-Фильтр в Kaspersky Endpoint Security.

   4. Нажмите на кнопку OK, чтобы закрыть окно.

   

   Шаг 5. Примите условия Положения об обработке данных в целях использования Веб-Фильтра.

6. Установите флажок Включить Веб-Фильтр.
7. Если вы хотите, чтобы приложение проверяло полный веб-адрес при открытии сайта в Custom Tabs, установите флажок Проверять полный веб-адрес при использовании Custom Tabs.

   Этот параметр повышает надежность обнаружения веб-адреса и его проверки по заданным правилам Веб-Фильтра.

8. Если вы хотите, чтобы приложение ограничивало доступ пользователя к веб-сайтам в зависимости от их содержания, выполните следующие действия:
   1. В разделе Веб-Фильтр в раскрывающемся списке выберите пункт Запрещены веб-сайты выбранных категорий.
   2. Сформируйте список запрещенных категорий, установив флажки для категорий веб-сайтов, доступ к которым приложение будет блокировать.

   

   Шаг 8. Раздел Веб-Фильтр. Выберите категории веб-сайтов, доступ к которым необходимо заблокировать.

9. Если вы хотите, чтобы приложение разрешало или ограничивало доступ пользователя только к веб-сайтам, указанным администратором, выполните следующие действия:
   1. В разделе Веб-Фильтр в раскрывающемся списке выберите пункт Разрешены только перечисленные веб-сайты или Запрещены только перечисленные веб-сайты.
      1. Сформируйте список веб-сайтов, добавив адреса веб-сайтов, к которым приложение не будет блокировать доступ. Вы можете добавить веб-сайты, используя ссылку (полный URL, включая протокол, например, https://example.com). Приложение также поддерживает регулярные выражения. При вводе адреса разрешенного или заблокированного веб-сайта используйте следующие шаблоны:
         • https://example\.com/.* – разрешены все страницы веб-сайта (например, https://example.com/about).
         • https://.*\.example\.com – разрешены все поддоменные страницы веб-сайта (например, https://pictures.example.com).

         Используйте выражение https?, чтобы выбрать протоколы HTTP и HTTPS. Подробнее о регулярных выражениях см. на сайте Службы технической поддержки Oracle.

   

   Шаг 9. Раздел Веб-Фильтр. Укажите список веб-сайтов, к которым необходимо разрешить доступ.

10. Если вы хотите, чтобы приложение ограничивало доступ пользователя к любым веб-сайтам, в разделе Веб-Фильтр в раскрывающемся списке выберите элемент Запрещены все веб-сайты.
11. Если вы хотите снять ограничение на доступ пользователя устройства к веб-сайтам в зависимости от их содержимого, снимите флажок Включить Веб-Фильтр.
12. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

Управление списком веб-сайтов

Для управления списком веб-сайтов используются следующие кнопки:

• Добавить – добавляет в список веб-сайт, заданный по URL-адресу или с помощью регулярного выражения.
• Импортировать – добавляет в список несколько веб-сайтов из файла формата TXT, который содержит необходимые URL-адреса или регулярные выражения. Файл должен быть закодирован в кодировке UTF-8. URL-адреса или регулярные выражения в файле должны быть разделены точкой с запятой или разрывом строки.
• Редактировать – позволяет изменить адрес веб-сайта.
• Удалить – удаляет веб-сайт из списка. Чтобы удалить несколько веб-сайтов из списка, выберите их с помощью горячих клавиш CTRL + A, CTRL + нажатие левой клавиши мыши или SHIFT + нажатие левой клавиши мыши и нажмите Удалить.

[Topic 88661]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка доступа к веб-сайтам на iOS MDM-устройствах

Настройка параметров Веб-Фильтра позволяет контролировать доступ пользователей iOS MDM-устройств к веб-сайтам. Веб-Фильтр контролирует доступ пользователей к веб-сайтам на основе списков разрешенных и запрещенных веб-сайтов. Также Веб-Фильтр позволяет добавлять закладки веб-сайтов на панель закладок Safari.

По умолчанию доступ к веб-сайтам не ограничен.

Настройка Веб-Фильтра доступна только для устройств в режиме supervised.

Чтобы настроить доступ к веб-сайтам на iOS MDM-устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Веб-Фильтр.
5. В блоке Параметры Веб-Фильтра установите флажок Применить параметры на устройстве.
6. Чтобы блокировать доступ к запрещенным веб-сайтам и разрешить доступ к разрешенным веб-сайтам, выполните следующие действия:
   1. В раскрывающемся списке Режим фильтрации веб-сайтов выберите режим Ограничить содержание "для взрослых".
   2. В блоке Разрешенные веб-сайты сформируйте список разрешенных веб-сайтов.

      Адрес веб-сайта должен начинаться с "http://" или "https://". Kaspersky Device Management для iOS предоставляет доступ ко всем веб-сайтам домена. Например, если вы добавили в список разрешенных веб-сайтов http://www.example.com, доступ разрешен к http://pictures.example.com и http://example.com/movies. Если список разрешенных веб-сайтов пуст, приложение разрешает доступ ко всем веб-сайтам, кроме указанных в списке запрещенных.

   3. В блоке Запрещенные веб-сайты сформируйте список запрещенных веб-сайтов.

      Адрес веб-сайта должен начинаться с "http://" или "https://". Kaspersky Device Management для iOS запрещает доступ ко всем веб-сайтам домена.

7. Чтобы блокировать доступ ко всем веб-сайтам, кроме разрешенных веб-сайтов из списка закладок, выполните следующие действия:
   1. В раскрывающемся списке Режим фильтрации веб-сайтов выберите режим Разрешить веб-сайты только из списка закладок.
   2. В блоке Закладки сформируйте список закладок разрешенных веб-сайтов.

      Адрес веб-сайта должен начинаться с "http://" или "https://". Kaspersky Device Management для iOS предоставляет доступ ко всем веб-сайтам домена. Если список закладок пуст, приложение разрешает доступ ко всем веб-сайтам. Kaspersky Device Management для iOS добавляет веб-сайты из списка закладок на панель закладок Safari на мобильном устройстве пользователя.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве пользователя после применения политики будет настроена фильтрация веб-сайтов в соответствии с выбранным режимом и сформированными списками.

[Topic 254072]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Контроль соответствия

В этом разделе приведены инструкции по контролю соблюдения корпоративных требований на устройствах и настройке правил контроля соответствия.

[Topic 89910]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Контроль соответствия Android-устройств требованиям корпоративной безопасности

Вы можете контролировать Android-устройства на соответствие требованиям корпоративной безопасности. Требования корпоративной безопасности регламентируют работу пользователя с устройством. Например, на устройстве должна быть включена постоянная защита, антивирусные базы должны быть актуальны, пароль устройства должен быть достаточно сложным. Контроль соответствия работает на основе списка правил. Правило соответствия состоит из следующих компонентов:

• критерий проверки устройства (например, отсутствие на устройстве запрещенных приложений);
• время, выделенное пользователю устройства для устранения несоответствия (например, 24 часа);
• действия, которые будут выполнены с устройством, если пользователь не устранит несоответствие в течение указанного времени (например, блокирование устройства).

  На Android 12 или более поздней версии приложение может выполнить эту задачу позже, чем указано, если устройство находится в режиме экономии заряда батареи.

Чтобы сформировать правило проверки устройств на соответствие групповой политике, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Контроль соответствия.
5. Чтобы получать уведомления об устройствах, не соответствующих политике, в разделе Уведомления о несоответствии установите флажок Уведомлять администратора.

   Если устройство не соответствует политике, при синхронизации устройства с Сервером администрирования Kaspersky Endpoint Security для Android сформирует запись в журнале событий Обнаружено несоответствие: <название критерия для проверки>. Журнал событий можно просмотреть на закладке События в свойствах Сервера администрирования или в локальных свойствах программы.

6. Чтобы уведомлять пользователя устройства о том, что его устройство не соответствует политике, в разделе Уведомления о несоответствии установите флажок Уведомлять пользователя.

   Если устройство не соответствует политике, при синхронизации устройства с Сервером администрирования Kaspersky Endpoint Security для Android уведомляет пользователя об этом.

7. В разделе Правила контроля соответствия сформируйте список правил проверки устройства на соответствие политике.
8. Чтобы добавить новое правило, нажмите на кнопку Добавить.

   Запустится мастер создания правила соответствия. Пройдите все шаги мастера, нажимая на кнопку Далее.

9. Выберите критерий несоответствия правилу.

   Доступны следующие критерии:

   • Постоянная защита выключена.

     Проверяет, было ли приложение установлено или запущено на устройстве.

   • Антивирусные базы устарели.

     Проверяет, обновлялись ли антивирусные базы 3 и более дней назад.

   • Установлены запрещенные приложения.

     Проверяет, содержит ли список приложений на устройстве приложения, запрещенные в Контроле приложений.

   • Установлены приложения запрещенных категорий.

     Проверяет, содержит ли список приложений на устройстве приложения из категорий, запрещенных в Контроле приложений.

   • Не установлены все обязательные приложения.

     Проверяет, содержит ли список приложений на устройстве приложение, установленное в качестве обязательного в Контроле приложений.

   • Версия операционной системы устарела.

     Проверяет соответствие версии Android на устройстве заданному диапазону разрешенных версий.

     Для этого критерия укажите минимальную и максимальную разрешенные версии Android. Если в качестве максимальной разрешенной версии выбрано значение Любая, это означает, что будущие версии Android, поддерживаемые Kaspersky Endpoint Security для Android, будут также разрешены.

   • Устройство давно не синхронизировалось.

     Проверяет, как давно устройство синхронизировалось с Сервером администрирования последний раз.

     Для этого критерия укажите максимальный период с момента последней синхронизации.

   • На устройстве получены root-права.

     Проверяет, взломано ли устройство (получены ли на устройстве права суперпользователя).

   • Пароль разблокировки экрана не соответствует требованиям безопасности.

     Проверяет, соответствует ли пароль разблокировки устройства параметрам, заданным в политике в разделе Управление устройством.

   • Установлена неактуальная версия Kaspersky Endpoint Security для Android.

     Проверяет актуальность версии приложения на устройстве.

     Для этого критерия укажите минимальную разрешенную версию Kaspersky Endpoint Security для Android.

   • Использование SIM-карты не соответствует корпоративным требованиям.

     Проверяет, была ли SIM-карта устройства заменена, вставлена или извлечена относительно предыдущего состояния проверки.

     Вы также можете включить проверку установки дополнительной SIM-карты.

     В некоторых случаях проверяется также замена, установка и извлечение eSIM-карты.

10. Выберите действия, которые будут выполняться при обнаружении указанного критерия несоответствия. Вы можете добавить несколько критериев. Их можно объединить с помощью логического оператора "И".

    Доступны следующие действия:

    • Блокирование всех приложений, кроме системных

      Запуск всех приложений, кроме системных, на мобильном устройстве пользователя заблокирован.

      Как только критерий несоответствия правилу перестанет обнаруживаться на устройстве, приложения автоматически разблокируются.

    • Заблокировать устройство

      Мобильное устройство заблокировано. Для получения доступа к данным необходимо разблокировать устройство. Если после разблокирования устройства причина блокировки не устранена, устройство будет заблокировано снова через указанный период.

    • Удалить корпоративные данные

      Удалены рабочий профиль Android, учетная запись корпоративной электронной почты, параметры подключения к корпоративной сети Wi-Fi, VPN-сети и точке доступа (APN), KNOX-контейнер, а также ключ KNOX License Manager.

    • Сброс настроек до заводских

      Удалены все данные с мобильного устройства, настройки мобильного устройства сброшены до заводских. После выполнения этого действия устройство перестает быть управляемым. Для подключения устройства к Kaspersky Security Center требуется повторно установить Kaspersky Endpoint Security для Android.

    • Блокировка рабочего профиля

      Рабочий профиль на устройстве заблокирован. Для получения доступа к рабочему профилю необходимо его разблокировать. Если после разблокирования рабочего профиля причина блокировки не устранена, рабочий профиль будет снова заблокирован через указанный период.

      Это действие применяется только на устройствах под управлением Android 6 и выше.

      После блокирования рабочего профиля история паролей рабочего профиля очищается. Это означает, что пользователь может повторно использовать один из недавних паролей, независимо от параметров пароля для рабочего профиля.

    Новое правило появится в разделе Правила контроля соответствия.

11. Чтобы временно выключить сформированное правило, используйте переключатель напротив выбранного правила.
12. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Если устройство пользователя не соответствует правилам, к устройству применяются ограничения, которые вы указали в списке правил проверки.

[Topic 241836]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Контроль соответствия iOS MDM-устройств требованиям корпоративной безопасности

Развернуть всё | Свернуть всё

Контроль соответствия позволяет контролировать соблюдение требований корпоративной безопасности на iOS MDM-устройствах и принимать меры в случае обнаружения несоответствия требованиям. Контроль соответствия работает на основе списка правил. Каждое правило содержит следующие компоненты:

• статус (правило включено или выключено);
• критерии несоответствия (например, отсутствие указанных приложений или версия операционной системы на устройстве);
• действия, выполняемые на устройстве, если обнаружено несоответствие (например, удалить корпоративные данные или отправить пользователю сообщение электронной почты).

Чтобы создать правило:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Контроль соответствия.
5. В разделе Правила Контроля соответствия нажмите Добавить.

   Запустится мастер создания правила контроля соответствия.

6. Установите флажок Включить правило, если хотите включить правило. Если флажок снят, правило выключено.
7. На закладке Критерии несоответствия нажмите Добавить критерий и выберите критерий несоответствия для правила. Вы можете добавить несколько критериев. Их можно объединить с помощью логического оператора "И".

   Доступны следующие критерии:

   • Список приложений на устройстве

     Проверяет список приложений на устройстве на наличие запрещенных приложений или на отсутствие обязательных приложений.

     Для этого критерия необходимо выбрать тип проверки (содержит или не содержит) и указать идентификатор пакета приложения. Как получить идентификатор пакета приложения

     Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

     Следуйте инструкциям в документации Apple.

     Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

     1. Откройте App Store.
     2. Найдите нужное приложение и откройте его страницу.

        URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

     3. Скопируйте этот идентификатор (без букв "id").
     4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

        Будет загружен текстовый файл.

     5. Откройте загруженный файл и найдите в нем "bundleId".

     Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

     Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

     1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
     2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

     В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

     Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

   • Версия операционной системы

     Проверяет версию операционной системы на устройстве.

     Для этого критерия необходимо выбрать оператор сравнения (Равно, Не равно, Меньше, Меньше или равно, Больше или Больше или равно) и указать версию iOS.

     Операторы равно и не равно проверяют полное соответствие версии операционной системы указанному значению. Например, если в правиле указать версию 15, а устройство работает на iOS 15.2, то условие равно не будет выполнено. Если необходимо указать диапазон версий, вы можете создать два критерия, использовав операторы меньше и больше.

   • Режим управления

     Проверяет режим управления устройством.

     Для этого критерия необходимо выбрать режим (Устройство в режиме supervised или Неконтролируемое устройство).

   • Тип устройства

     Проверяет тип устройства.

     Для этого критерия необходимо выбрать тип устройства (iPhone или iPad).

   • Модель устройства

     Проверяет модель устройства.

     Для этого критерия необходимо выбрать оператор (Входит в список или Не входит в список) и перечислить модели, которые будут проверяться или исключаться из проверки соответственно.

     Чтобы указать модель, введите хотя бы один символ в поле Идентификатор и выберите нужную модель из появившегося списка. Список содержит коды мобильных устройств и соответствующие им публичные названия. Например, чтобы добавить все модели iPhone 14, введите "iPhone 14". В этом случае можно выбрать любую из доступных моделей: "iPhone 14", "iPhone 14 Plus", "iPhone 14 Pro", "iPhone 14 Pro Max".

     В некоторых случаях одно публичное название может соответствовать нескольким кодам мобильных устройств (например, публичное название "iPhone 7" соответствует двум кодам мобильных устройств – "iPhone9,1" и "iPhone9,3"). Убедитесь, что выбрали все коды мобильных устройств, которые соответствуют нужным моделям.

     При вводе значения, отсутствующего в списке, ничего не будет найдено. Тем не менее, вы можете нажать на кнопку OK и добавить введенное значение к критерию.

   • Устройство находится в роуминге

     Проверяет, находится устройство в роуминге (если выбрано Да) или нет (если выбрано Нет).

   • Пароль устройства установлен

     Проверяет, установлен пароль (если выбрано Да) или нет (если выбрано Нет).

     При выборе Да, укажите, должен ли пароль устройства соответствовать (при выборе Соответствует политике) или не соответствовать (при выборе Не соответствует политике) параметрам, указанным в разделе Параметры пароля.

   • Свободное пространство

     Проверяет, является ли объем свободного пространства на устройстве меньше указанного порога.

     Для этого критерия укажите пороговое значение свободного пространства и выберите единицу измерения (ГБ или МБ).

   • Устройство не зашифровано

     Проверяет, зашифровано ли устройство.

     На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки → Touch ID и пароль /  Face ID и пароль → Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: в дереве консоли выберите Дополнительно → Управление мобильными устройствами → Мобильные устройства и дважды щелкните мышью по нужному устройству).

   • SIM-карта заменена

     Проверяет, была ли SIM-карта устройства заменена, вставлена или извлечена относительно предыдущего состояния проверки.

   • Не синхронизировалось дольше, чем

     Проверяет, как давно устройство синхронизировалось с Сервером администрирования последний раз.

     Для этого критерия укажите максимальное время с момента последней синхронизации и выберите единицы измерения (часы или дни).

     Мы не рекомендуем указывать значение меньше значения параметра Частота обновления информации об устройстве в настройках Сервера iOS MDM.

   Если указаны противоречащие друг другу критерии (например, в поле Тип устройства указано значение iPhone, выбран оператор Входит в список, а в списке значений Модель устройства указана модель iPad), отобразится сообщение об ошибке. Такое правило сохранить невозможно.

8. На закладке Действия укажите действия, которые будут выполняться на устройстве при обнаружении всех указанных критериев несоответствия.

   Действия выполняются во время проверки соблюдения правил соответствия (1 раз в 40 минут) до следующей синхронизации с Сервером администрирования. Чтобы одно и то же несоответствие не обнаруживалось при каждом выполнении повторяющихся действий, в настройках Сервера iOS MDM для параметра Частота обновления информации об устройстве установите значение 30 минут.

   Добавить действие можно одним из следующих способов:

   • Нажмите кнопку Добавить действие, если действие должно быть выполнено на устройстве сразу после обнаружения несоответствия.
   • Нажмите кнопку Добавить отложенное действие, если вы хотите установить период времени, в течение которого пользователь может устранить несоответствие. Если несоответствие не будет устранено в течение указанного периода, на устройстве будет выполнено действие.

   Доступны следующие действия:

   • Отправить сообщение пользователю

     Пользователь устройства будет проинформирован о несоответствии по электронной почте.

     Для этого действия необходимо указать адрес(-а) электронной почты пользователя. При необходимости можно отредактировать заданный по умолчанию текст сообщения электронной почты.

   • Удалить корпоративные данные

     Будут удалены все установленные конфигурационные профили, provisioning-профили, iOS MDM-профиль и приложения, для которых был установлен флажок Удалять вместе с iOS MDM-профилем. Действие выполняется с помощью отправки команды Удалить корпоративные данные.

   • Установить профиль

     Конфигурационный профиль будет установлен на устройстве. Действие выполняется с помощью отправки команды Установить профиль.

     Для этого действия необходимо указать идентификатор устанавливаемого конфигурационного профиля.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   • Удалить профиль

     Конфигурационный профиль будет удален с устройства. Действие выполняется с помощью отправки команды Удалить профиль.

     Для этого действия необходимо указать идентификатор удаляемого конфигурационного профиля.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   • Удалить все профили

     Все ранее установленные конфигурационные профили будут удалены с устройства.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные конфигурационные профили один за другим, отправив устройству соответствующую команду.

   • Обновить ОС

     Операционная система устройства обновлена.

     Для этого действия необходимо выбрать конкретную операцию (Загрузить и установить, Только загрузить или Только установить, чтобы установить ранее загруженную версию) и версию iOS для загрузки и/или установки.

   • Изменить настройки Bluetooth (только для supervised)

     Для этого действия необходимо выбрать, требуется ли включить или отключить Bluetooth на устройстве.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   • Сбросить настройки до заводских

     Удалены все данные с устройства, настройки устройства сброшены до установленных по умолчанию.

   • Удалить управляемое приложение

     Для этого действия необходимо указать идентификатор пакета управляемого приложения, которое требуется удалить с устройства. Приложение считается управляемым, если оно установлено на устройство с помощью Kaspersky Security Center. Как получить идентификатор пакета приложения

     Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

     Следуйте инструкциям в документации Apple.

     Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

     1. Откройте App Store.
     2. Найдите нужное приложение и откройте его страницу.

        URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

     3. Скопируйте этот идентификатор (без букв "id").
     4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

        Будет загружен текстовый файл.

     5. Откройте загруженный файл и найдите в нем "bundleId".

     Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

     Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

     1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
     2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

     В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

     Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   • Удалить все управляемые приложения

     Все управляемые приложения удаляются с устройства. Приложение считается управляемым, если оно установлено на устройство с помощью Kaspersky Security Center.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные приложения одно за другим, отправив устройству соответствующую команду.

   • Удалить профиль(и) указанного типа

     Для этого действия необходимо выбрать тип профиля, удаляемого с устройства (например, Веб-клипы или Подписки на календари).

     Как только критерии несоответствия правилу перестанут обнаруживаться на устройстве, удаленные профили автоматически восстановятся.

   • Изменить параметры роуминга

     Для этого действия необходимо выбрать, требуется ли включить или отключить роуминг данных на устройстве.

     Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

   Если указаны противоречащие друг другу действия (например, Включить Bluetooth и Отключить Bluetooth одновременно), отобразится сообщение об ошибке. Такое правило сохранить невозможно.

9. Нажмите на кнопку OK, чтобы сохранить правило и закрыть мастер.

   Новое правило появится в списке в разделе Правила Контроля соответствия.

10. Нажмите на кнопку Применить, чтобы сохранить изменения, внесенные в политику, и закрыть окно свойств политики.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 141381]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Контроль приложений

В этом разделе содержатся инструкции по настройке доступа пользователей к приложениям на мобильном устройстве.

[Topic 90538]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Контроль приложений на Android-устройствах

Компонент Контроль приложений позволяет управлять приложениями на Android-устройствах, чтобы обеспечивать безопасность этих устройств.

• Вы можете установить ограничения при работе пользователя с устройством, на котором установлены запрещенные приложения или не установлены обязательные приложения (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила проверки требуется выбрать критерий Установлены запрещенные приложения, Установлены приложения запрещенных категорий или Не установлены все обязательные приложения.

Для работы Контроля приложений Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае Контроль приложений не работает.

В режиме device owner вам доступен расширенный контроль над устройством. Контроль приложений работает, не уведомляя об этом пользователя устройства:

• Обязательные приложения устанавливаются автоматически в фоновом режиме. Для тихой установки приложений необходимо указать ссылку на APK-файл обязательного приложения в настройках политики.
• Запрещенные приложения можно удалять с устройства автоматически. Для тихого удаления приложений необходимо установить флажок Автоматически удалять запрещенные приложения (только в режиме device owner) в настройках политики.

Чтобы настроить параметры запуска приложений на мобильном устройстве, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Контроль приложений.
5. В блоке Режим работы выберите режим запуска приложений на мобильном устройстве пользователя:
   • Чтобы разрешить пользователю запускать все приложения, кроме указанных в списке категорий и приложений как запрещенные, выберите режим Запрещенные приложения. Приложение скроет значки заблокированных приложений.
   • Чтобы разрешить пользователю запускать только приложения, указанные в списке категорий и приложений как разрешенные, рекомендованные или обязательные, выберите режим Разрешенные приложения. Приложение скроет значки всех приложений, кроме тех, которые указаны в списке разрешенных, рекомендованных или обязательных приложений и системных приложений.
6. Чтобы Kaspersky Endpoint Security для Android отправлял данные о запрещенных приложениях в журнал событий не блокируя их, установите флажок Не блокировать запрещенные приложения, только запись в журнал событий.

   При следующей синхронизации мобильного устройства пользователя с Сервером администрирования Kaspersky Endpoint Security для Android сформирует в журнале событий запись Установлено запрещенное приложение. Журнал событий можно просмотреть на закладке События в свойствах Сервера администрирования или в локальных свойствах программы.

7. Если устройство находится в режиме device owner, установите флажок Автоматически удалять запрещенные приложения (только в режиме device owner), чтобы удалить запрещенные приложения с устройства в фоновом режиме, не уведомляя об этом пользователя.
8. Чтобы Kaspersky Endpoint Security для Android блокировал запуск системных приложений на мобильном устройстве пользователя (например, Календарь, Камера, Настройки) в режиме Разрешенные приложения, установите флажок Блокировать системные приложения.

   Специалисты "Лаборатории Касперского" не рекомендуют блокировать системные приложения, так как это может привести к сбоям в работе устройства (устройство может перестать реагировать на команды пользователя или начать постоянную перезагрузку). Чтобы восстановить нормальную работу устройства, пользователю следует сбросить настройки до заводских в режиме восстановления (процедура зависит от производителя устройства).

9. Сформируйте список категорий и приложений для настройки запуска приложений.

   В список можно добавить пакеты мобильных приложений, ранее созданные в Kaspersky Security Center. Как получить имя пакета приложения

   Чтобы получить имя пакета приложения:

   1. Откройте Google Play.
   2. Найдите нужное приложение и откройте его страницу.

   URL приложения оканчивается именем пакета приложения (например, https://play.google.com/store/apps/details?id=com.android.chrome).

   Чтобы получить имя пакета приложения, которое было добавлено в Kaspersky Security Center:

   1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
   2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

   В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

   Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

   Подробную информацию о категориях приложений см. в Приложении.

   Список приложений, которые входят в каждую категорию, приведен на сайте "Лаборатории Касперского".

10. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 242959]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Контроль приложений на iOS MDM-устройствах

Развернуть всё | Свернуть всё

Kaspersky Security Center позволяет управлять приложениями на iOS MDM-устройствах, чтобы поддерживать их безопасность. Вы можете создать список приложений, которые разрешено устанавливать на устройствах, и список приложений, которые запрещено отображать и запускать на устройствах.

Ограничения применимы только для iOS MDM-устройств в режиме supervised.

Переход к разделу Ограничения приложений

Чтобы открыть настройки ограничений приложений на iOS MDM-устройствах:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Ограничения приложений.

Ограничение установки приложений

По умолчанию пользователь может устанавливать любые приложения на iOS MDM-устройстве в режиме supervised.

Чтобы ограничить список приложений, которые можно установить на устройстве:

1. Установите флажок Разрешить установку приложений из списка (только для supervised).
2. В таблице нажмите Добавить, чтобы добавить приложение в список.
3. Укажите идентификатор пакета приложения. Укажите значение com.apple.webapp, чтобы разрешить все веб-клипы. Как получить идентификатор пакета приложения

   Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

   Следуйте инструкциям в документации Apple.

   Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

   1. Откройте App Store.
   2. Найдите нужное приложение и откройте его страницу.

      URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

   3. Скопируйте этот идентификатор (без букв "id").
   4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

      Будет загружен текстовый файл.

   5. Откройте загруженный файл и найдите в нем "bundleId".

   Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

   Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

   1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
   2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

   В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

   Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

4. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

После применения политики к устройству на устройстве будут настроены указанные ограничения для приложений. Для установки будут доступны только приложения из списка и системные приложения. Любые другие приложения не могут быть установлены на устройстве.

Указанные приложения можно установить на устройстве следующими способами (если соответствующие параметры включены в разделе Ограничения функций):

• Установка из Apple Configurator или iTunes
• Установка из App Store
• Автоматическая загрузка

Добавление приложений в список запрещенных

По умолчанию на iOS MDM-устройстве в режиме supervised могут отображаться и запускаться все приложения.

Чтобы указать запрещенные приложения:

1. Установите флажок Запретить отображение и запуск приложений из списка (только для supervised).
2. В таблице нажмите Добавить, чтобы добавить приложение в список.
3. Укажите идентификатор пакета приложения. Укажите значение com.apple.webapp, чтобы запретить все веб-клипы. Как получить идентификатор пакета приложения

   Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

   Следуйте инструкциям в документации Apple.

   Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

   1. Откройте App Store.
   2. Найдите нужное приложение и откройте его страницу.

      URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

   3. Скопируйте этот идентификатор (без букв "id").
   4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

      Будет загружен текстовый файл.

   5. Откройте загруженный файл и найдите в нем "bundleId".

   Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

   Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

   1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
   2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

   В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

   Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

4. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

После применения политики к устройству на устройстве будут настроены указанные ограничения для приложений. Приложения из списка будет запрещены для отображения и запуска на устройстве. Все остальные приложения будут отображаться, и их можно будет запускать.

[Topic 241837]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Установка и удаление приложений для группы iOS MDM-устройств

Kaspersky Security Center позволяет устанавливать и удалять приложения на iOS MDM-устройствах с помощью отправки команд на устройства.

Выбор устройств

Чтобы выбрать iOS MDM-устройства, на которых необходимо установить или удалить приложения:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.

   В рабочей области папки отображается список управляемых мобильных устройств.

2. Для отображения iOS MDM-устройств в рабочей области настройте фильтр по типу протокола (iOS MDM).
3. Выберите iOS MDM-устройство, на котором необходимо установить или удалить приложения.

   Вы можете выбрать несколько устройств и отправить команды одновременно. Выбрать группу устройств можно одним из следующих способов:

   • Чтобы выбрать все устройства в рабочей области, настройте необходимый фильтр для списка устройств и нажмите Ctrl+A.
   • Чтобы выбрать диапазон устройств, выберите первое и последнее устройство в диапазоне щелчком мыши, удерживая Shift.
   • Чтобы выбрать несколько отдельных устройств, выберите устройства, которые вы хотите включить в группу, щелчком мыши, удерживая Ctrl.

Установка приложений на устройствах

Перед установкой приложения на iOS MDM-устройстве, необходимо добавить приложение на Сервер iOS MDM. Дополнительная информация приведена в разделе Добавление управляемого приложения.

Чтобы установить приложения на выбранных iOS MDM-устройствах:

1. Щелкните правой кнопкой мыши по выбранным устройствам. В появившемся контекстном меню выберите Все команды, а затем Установить приложение.

   Если устройство только одно, в контекстном меню можно выбрать Показать журнал команд, перейти в раздел Установить приложение и нажать кнопку Отправить команду.

   Откроется окно Выбор приложений со списком управляемых приложений.

2. Выберите приложения, которые хотите установить на iOS MDM-устройствах. Чтобы выбрать диапазон приложений, используйте клавишу Shift. Чтобы выбрать несколько отдельных приложений, используйте клавишу Ctrl.
3. Нажмите OK, чтобы отправить команду на устройства.

   В результате выполнения команды на устройстве будут установлены выбранные приложения. Если команда выполнена успешно, в журнале команд ее текущий статус изменится на Завершена.

Удаление приложений с устройств

Чтобы удалить приложения с выбранных iOS MDM-устройств:

1. Щелкните правой кнопкой мыши по выбранным устройствам. В появившемся контекстном меню выберите Все команды, а затем Удалить приложение.

   Если устройство только одно, в контекстном меню можно выбрать Показать журнал команд, перейти в раздел Удалить приложение и нажать кнопку Отправить команду.

   Откроется окно Удаление приложений со списком ранее установленных приложений.

2. Выберите приложения, которые хотите установить на iOS MDM-устройствах. Чтобы выбрать диапазон приложений, используйте клавишу Shift. Чтобы выбрать несколько отдельных приложений, используйте клавишу Ctrl.
3. Нажмите OK, чтобы отправить команду на устройства.

   В результате выполнения команды с устройства будут удалены выбранные приложения. Если команда выполнена успешно, в журнале команд ее текущий статус изменится на Завершена.

[Topic 148312]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Инвентаризация программного обеспечения на Android-устройствах

Вы можете выполнять инвентаризацию приложений на Android-устройствах, подключенных к Kaspersky Security Center. Kaspersky Endpoint Security для Android получает информацию обо всех приложениях, установленных на мобильных устройствах. Информация, полученная в результате инвентаризации, отображается в свойствах устройства в разделе События. Вы можете просматривать подробную информацию о каждом установленном приложении, в том числе версию и производителя.

Чтобы включить инвентаризацию программного обеспечения, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Контроль приложений.
5. В разделе Инвентаризация программного обеспечения установите флажок Отправлять данные об установленных приложениях.
6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Kaspersky Endpoint Security для Android отправляет данные в журнал событий каждый раз после установки или удаления приложения с устройства.

[Topic 136797]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка отображения Android-устройств в Kaspersky Security Center

Для удобства работы со списком мобильных устройств следует настроить параметры отображения устройства в Kaspersky Security Center. По умолчанию список мобильных устройств отображается в дереве консоли Дополнительно → Управление мобильными устройствами → Мобильные устройства. Информация об устройстве обновляется автоматически. Вы также можете обновить список мобильных устройств вручную по кнопке Обновить в правом верхнем углу.

После подключения устройства к Kaspersky Security Center оно автоматически добавляется в список мобильных устройств. В списке мобильных устройств может содержаться подробная информация об устройстве: модель, операционная система, IP-адрес и другие данные.

Вы можете настроить формат имени устройства, а также выбрать статус устройства. Статус устройства информирует о работе компонентов Kaspersky Endpoint Security для Android на мобильном устройстве пользователя.

Компоненты Kaspersky Endpoint Security для Android могут не работать по следующим причинам:

• Пользователь выключил компонент в настройках устройства.
• Пользователь не предоставил приложению необходимые права для работы компонента (например, отсутствует разрешение на определение местоположения устройства для выполнения соответствующей команды Анти-Вора).

Для отображения статуса устройства необходимо включить условие Определяемый программой в свойствах группы администрирования (Свойства → Статус устройства → Условия для статуса устройства "Критический" и Условия для статуса устройства "Предупреждение"). В свойствах группы администрирования вы также можете выбрать другие критерии для формирования статуса мобильного устройства.

Чтобы настроить отображение Android-устройств в Kaspersky Security Center, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Информация об устройстве.
5. В разделе Имя устройства в Kaspersky Security Center выберите формат имени устройства для отображения в Консоли администрирования:
   • Модель устройства [Электронная почта, идентификатор устройства];
   • Модель устройства [Электронная почта (если есть) или идентификатор устройства].

   Идентификатор устройства – уникальный идентификатор, который Kaspersky Endpoint Security для Android формирует из данных, полученных от устройства, следующим образом:

   • На персональных устройствах с Android версии 9 и ниже приложение использует IMEI. Для более поздних версий Android приложение использует SSAID (идентификатор Android) или контрольную сумму других данных, полученных от устройства.
   • В режиме device owner приложение использует IMEI для всех версий Android.
   • При создании рабочего профиля на устройствах с Android версии 11 и ниже приложение использует IMEI. Для других версий Android приложение использует SSAID (идентификатор Android) или контрольную сумму других данных, полученных от устройства.
6. Установите атрибут "замок" в закрытое положение ().
7. В блоке Статус устройства в Kaspersky Security Center выберите статус устройства, если не работает компонент Kaspersky Endpoint Security для Android: (Критический), (Предупреждение) или (ОК).

   В списке мобильных устройств статус устройства будет изменен в соответствии с выбранным статусом.

8. Установите атрибут "замок" в закрытое положение.
9. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 136323]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Управление

Этот раздел содержит информацию о том, как удаленно управлять параметрами мобильных устройств в Консоли администрирования Kaspersky Security Center.

[Topic 142052]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Настройка подключения к сети Wi-Fi

В этом разделе содержатся инструкции по настройке автоматического подключения к корпоративной сети Wi-Fi на Android- и iOS MDM-устройствах.

[Topic 90533]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Подключение Android-устройств к сети Wi-Fi

Развернуть всё | Свернуть всё

Для автоматического подключения Android-устройства к доступной сети Wi-Fi и обеспечения безопасности данных следует настроить параметры подключения.

Чтобы подключить мобильное устройство к сети Wi-Fi, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Wi-Fi.
5. В блоке Сети Wi-Fi нажмите Добавить.

   Откроется окно Сеть Wi-Fi.

6. В поле Идентификатор сети SSID укажите имя сети Wi-Fi, содержащей точку доступа (SSID).
7. Установите флажок Скрытая сеть, если хотите скрыть сеть Wi-Fi в списке доступных сетей на устройстве. В этом случае для подключения к сети пользователю потребуется вручную ввести на мобильном устройстве идентификатор сети SSID, заданный в параметрах маршрутизатора Wi-Fi.
8. Установите флажок Автоматическое подключение к сети, если хотите чтобы устройство подключалось к сети Wi-Fi автоматически.
9. В блоке Защита сети выберите тип безопасности сети Wi-Fi (открытая или защищенная по протоколу WEP, WPA/WPA2 PSK, или 802.1.x EAP).

   Протокол безопасности 802.1.x EAP поддерживается только в приложении Kaspersky Endpoint Security для Android версии 10.48.1.1 или выше. Протокол шифрования WEP поддерживается только в Android версии 9.0 или ниже.

10. Если вы выбрали протокол безопасности 802.1.x EAP, укажите следующие параметры защиты сети:
    • Метод EAP

      Определяет метод аутентификации в сети EAP (Extensible Authentication Protocol). Возможные значения:

      • TLS (по умолчанию);
      • PEAP;
      • TTLS.
    • Корневой сертификат

      Определяет корневой сертификат, который будет использоваться сетью Wi-Fi, если выбран метод TLS EAP.

      Вы можете указать сертификат одним из следующих способов:

      • Выберите любой доступный сертификат из раскрывающегося списка. Он содержит сертификаты, ранее добавленные в раздел Корневые сертификаты. На устройствах эти сертификаты устанавливаются в доверенное хранилище сертификатов.
      • Загрузите новый файл сертификата (.cer, .pem или .key), нажав на кнопку Обзор. Этот сертификат не будет добавлен в раздел Корневые сертификаты. Сертификат будет использоваться на устройствах только для настройки этой сети Wi-Fi и не будет установлен в доверенное хранилище сертификатов.
    • Домен

      Определяет условие для имени домена сервера.

      Если указано полное доменное имя (FQDN), оно используется в качестве требования к совпадению суффикса для корневого сертификата в элементе(-ах) SubjectAltName dNSName. Если найден совпадающий dNSName, условие соблюдается.

      Вы можете указать несколько вариантов строк для поиска совпадений, используя точку с запятой в качестве разделителя. Совпадение с любым из значений считается достаточным совпадением для сертификата (то есть используется оператор ИЛИ).

      Если указать *, любой корневой сертификат будет считаться действительным. Это значение указано по умолчанию.

    • Сертификат пользователя

      Определяет сертификат пользователя, который будет использоваться сетью Wi-Fi, если выбран метод TLS EAP.

      В раскрывающемся списке доступны следующие значения:

      • Не задан – сертификат пользователя не указан.
      • VPN-сертификат - последний VPN-сертификат, добавленный в разделе Управление мобильными устройствами > Сертификаты Консоли администрирования Kaspersky Security Center и установленный на устройстве пользователя. При выборе этого варианта, если на устройстве пользователя не установлен VPN-сертификат, сертификат пользователя не будет использоваться для этой сети Wi-Fi.
      • Список профилей сертификатов SCEP, настроенных в разделе SCEP и NDES и используемых для получения сертификатов.
    • Тип двухфакторной аутентификации

      Определяет тип двухфакторной аутентификации. Возможные значения:

      • нет (по умолчанию);
      • MSCHAP;
      • MSCHAPV2;
      • GTC.
    • Идентификатор пользователя

      Определяет идентификатор пользователя, который будет использоваться, если выбран метод TLS EAP. Вы можете ввести значение или выбрать его в раскрывающемся списке Доступные макросы.

    • Анонимный идентификатор

      Определяет анонимный идентификатор, который отличается от идентификатора пользователя и используется, если выбран метод аутентификации в сети PEAP. Вы можете ввести значение или выбрать его в раскрывающемся списке Доступные макросы.

    • Доступные макросы

      Макрос, который будет использоваться для замены значений в соответствующих полях. Возможные значения:

      • %email%. Определяет электронную почту пользователя, на которого зарегистрировано устройство. Значение может быть получено из мобильного сертификата.
      • %email_domain%. Определяет домен электронной почты пользователя, на которого зарегистрировано устройство. Значение может быть получено из мобильного сертификата.
      • %email_user_name%. Определяет имя пользователя из адреса электронной почты, на который зарегистрировано устройство. Значение может быть получено из мобильного сертификата.
      • %user_name%. Определяет имя пользователя, под которым зарегистрировано устройство. Значение может быть получено из мобильного сертификата.
      • %device_id%. Определяет идентификатор устройства.
      • %group_id%. Определяет идентификатор группы администрирования, в которую входит устройство.
      • %device_platform%. Определяет платформу устройства.
      • %device_model%. Определяет модель устройства.
      • %os_version%. Определяет версию операционной системы на устройстве.
    • Пароль

      Определяет пароль для доступа к беспроводной сети, защищенной по протоколу WEP или WPA2 PSK. Пароль передается с QR-кодом.

11. В поле Пароль задайте пароль для доступа к сети, если на шаге 9 вы выбрали защищенную сеть.
12. Выберите вариант Использовать прокси-сервер, если хотите использовать прокси-сервер для подключения к сети Wi-Fi. В противном случае выберите вариант Не использовать прокси-сервер.
13. При выборе варианта Использовать прокси-сервер, в поле Адрес прокси-сервера и порт укажите IP-адрес или DNS-имя прокси-сервера и номер порта (если требуется).

    На устройствах с операционной системой Android версии 8.0 или выше настроить параметры прокси-сервера для сети Wi-Fi с помощью политики невозможно. Вы можете настроить параметры прокси-сервера для сети Wi-Fi на мобильном устройстве вручную.

    Если вы используете прокси-сервер для подключения к сети Wi-Fi, вы можете настроить параметры подключения к сети с помощью политики. Параметры прокси-сервера на устройствах Android 8.0 и выше необходимо настроить вручную. Изменить параметры подключения к сети Wi-Fi с помощью политики на устройствах 8.0 и выше невозможно, кроме пароля для доступа к сети.

    Если вы не используете прокси-сервер для подключения к сети Wi-Fi, управление подключением к сети Wi-Fi с помощью политик не имеет ограничений.

14. Сформируйте список веб-адресов, для соединения с которыми не нужно использовать прокси-сервер, в поле Не использовать прокси-сервер для адресов.

    Вы можете, например, ввести адрес example.com. В этом случае прокси-сервер не будет использоваться для адресов pictures.example.com, example.com/movies и т. п. Протокол (например, http://) указывать необязательно.

    На устройствах под управлением операционной системы Android версии 8.0 или выше исключение прокси-сервера для веб-адресов не работает.

15. Нажмите кнопку OK.

    Добавленная сеть Wi-Fi отобразится в списке Сети Wi-Fi.

    Этот список содержит имена предлагаемых беспроводных сетей.

    На личных устройствах под управлением Android 10 и выше операционная система предлагает пользователю подключиться к таким сетям. Предлагаемые сети не отображаются в списке сохраненных сетей на этих устройствах.

    На устройствах, работающих в режиме device owner, и на личных устройствах под управлением Android 9 или ниже после синхронизации устройства с Сервером администрирования пользователь может выбрать предлагаемую беспроводную сеть в списке сохраненных сетей и подключиться к ней, при этом не потребуется задавать никакие настройки сети.

    Вы можете изменять или удалять сети Wi-Fi, входящие в список сетей, с помощью кнопок Изменить и Удалить в верхней части списка.

16. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

На устройствах под управлением Android 10.0 и выше, если пользователь отказывается подключаться к предлагаемой сети Wi-Fi, разрешение приложения на изменение состояния Wi-Fi аннулируется. Пользователю необходимо предоставить это разрешение вручную.

[Topic 88185]

Справка для этой версии решения больше не обновляется, поэтому может содержать устаревшую информацию. Актуальная информация о решении доступна в справке Kaspersky Secure Mobility Management 4.1.

Подключение iOS MDM-устройств к сети Wi-Fi

Для автоматического подключения iOS MDM-устройства к доступной сети Wi-Fi и обеспечения безопасности данных следует настроить параметры подключения.

Чтобы настроить подключение iOS MDM-устройства к сети Wi-Fi, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Wi-Fi.
5. В блоке Сети Wi-Fi нажмите на кнопку Добавить.

   Откроется окно Сеть Wi-Fi.

6. В поле Идентификатор сети SSID укажите имя сети Wi-Fi, содержащей точку доступа (SSID).
7. Чтобы iOS MDM-устройство автоматически подключалось к сети Wi-Fi, установите флажок Автоматическое подключение.
8. Чтобы подключение iOS MDM-устройства к сети Wi-Fi, требующей предварительной аутентификации, (подписной сети) было невозможно, установите флажок Запретить обнаружение сетей с аутентификацией.

   Для использования подписной сети необходимо оформить подписку, принять соглашение или внести плату. Подписные сети развернуты, например, в кафе или гостиницах.

9. Чтобы сеть Wi-Fi не отображалась в списке доступных сетей на iOS MDM-устройстве, установите флажок Скрытая сеть.

   В этом случае для подключения к сети пользователю потребуется вручную ввести на мобильном устройстве идентификатор сети SSID, заданный в параметрах маршрутизатора Wi-Fi.

10. В раскрывающемся списке Защита сети выберите тип защиты подключения к сети Wi-Fi:
    • Выключена. Аутентификация пользователя не требуется.
    • WEP. Сеть защищена по протоколу шифрования WEP (Wireless Encryption Protocol).
    • WPA/WPA2 (личная). Сеть защищена по протоколу шифрования WPA/WPA2 (Wi-Fi Protected Access).
    • WPA2 (личная). Сеть защищена по протоколу шифрования WPA2 (Wi-Fi Protected Access 2.0). Тип защиты WPA2 доступен на устройствах под управлением iOS версии 8 и выше. WPA2 не доступен на устройствах Apple TV.
    • Любая (личная). Сеть защищена по протоколу шифрования WEP, WPA или WPA2 в зависимости от типа маршрутизатора Wi-Fi. Для аутентификации используется индивидуальный для каждого пользователя ключ шифрования.
    • WEP (динамическая). Сеть защищена по протоколу шифрования WEP с использованием динамического ключа.
    • WPA/WPA2 (корпоративная). Сеть защищена по протоколу шифрования WPA/WPA2 с использованием протокола 802.1X.
    • WPA2 (корпоративная). Сеть защищена по протоколу шифрования WPA2 с использованием одного ключа шифрования для всех пользователей (802.1X). Тип защиты WPA2 доступен на устройствах под управлением iOS версии 8 и выше. WPA2 не доступен на устройствах Apple TV.
    • Любая (корпоративная). Сеть защищена по протоколу шифрования WEP или WPA/WPA2 в зависимости от типа маршрутизатора Wi-Fi. Для аутентификации используется один ключ шифрования для всех пользователей.

    Если в списке Защита сети вы выбрали WEP (динамическая), WPA/WPA2 (корпоративная), WPA2 (корпоративная) или Любая (корпоративная), в блоке Протоколы вы можете выбрать типы протоколов EAP (Extensible Authentication Protocol) для идентификации пользователя в сети Wi-Fi.

    В блоке Доверенные сертификаты вы также можете сформировать список доверенных сертификатов для аутентификации пользователя iOS MDM-устройства на доверенных серверах.

11. Настройте параметры учетной записи для аутентификации пользователя при подключении iOS MDM-устройства к сети Wi-Fi:
    1. В блоке Аутентификация нажмите кнопку Настроить.

       Откроется окно Аутентификация.

    2. В поле Имя пользователя введите имя учетной записи для аутентификации пользователя при подключении к сети Wi-Fi.
    3. Чтобы требовать у пользователя ввести пароль вручную при каждом подключении к сети Wi-Fi, установите флажок Требовать пароль при каждом подключении.
    4. В поле Пароль введите пароль учетной записи для аутентификации в сети Wi-Fi.
    5. В раскрывающемся списке Сертификат для аутентификации выберите сертификат для аутентификации пользователя в сети Wi-Fi. Если в списке отсутствуют сертификаты, вы можете их добавить в разделе Сертификаты.
    6. В поле Идентификатор пользователя введите идентификатор пользователя, который будет отображаться во время передачи данных при аутентификации вместо реального имени пользователя.

       Идентификатор пользователя предназначен для повышения уровня безопасности аутентификации, так как имя пользователя не представлено в открытом виде, а отображается в зашифрованном TLS-туннеле.

    7. Нажмите кнопку OK.

    В результате на iOS MDM-устройстве будут настроены параметры учетной записи для аутентификации пользователя при подключении к сети Wi-Fi.

12. Настройте (если требуется) параметры подключения к сети Wi-Fi через прокси-сервер:
    1. В блоке Прокси-сервер нажмите на кнопку Настроить.
    2. В открывшемся окне Прокси-сервер выберите режим настройки прокси-сервера и укажите параметры подключения.
    3. Нажмите кнопку OK.

    В результате на iOS MDM-устройстве будут настроены параметры подключения устройства к сети Wi-Fi через прокси-сервер.

13. Нажмите кнопку OK.

    Новая сеть Wi-Fi отобразится в списке.

14. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на iOS MDM-устройстве пользователя после применения политики будет настроено подключение к сети Wi-Fi. Мобильное устройство пользователя будет автоматически подключаться к доступной сети Wi-Fi. Безопасность данных при подключении к сети Wi-Fi обеспечивается технологией аутентификации.