Развертывание

Этот раздел справки адресован специалистам, которые осуществляют установку Kaspersky Secure Mobility Management, и специалистам технической поддержки организаций, использующих Kaspersky Secure Mobility Management.

Архитектура решения

Kaspersky Secure Mobility Management включает в себя следующие компоненты:

• Мобильное приложение Kaspersky Endpoint Security для Android.

  Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы. Осуществляет взаимодействие между мобильным устройством и Сервером администрирования Kaspersky Security Center c помощью Firebase Cloud Messaging.

• Плагин управления Kaspersky Endpoint Security для Android

  Плагин управления Kaspersky Endpoint Security для Android обеспечивает интерфейс управления мобильными устройствами и установленными на них мобильными приложениями через Консоль администрирования Kaspersky Security Center.

• Плагин управления Kaspersky Device Management для iOS.

  Плагин управления Kaspersky Device Management для iOS обеспечивает интерфейс управления мобильными устройствами, подключенными по протоколу iOS MDM, через Консоль администрирования Kaspersky Security Center.

Архитектура комплексного решения Kaspersky Secure Mobility Management представлена на рисунке ниже.

Архитектура Kaspersky Secure Mobility Management

Подробная информация о Консоли администрирования, Сервере администрирования и Сервере iOS MDM приведена в справке Kaspersky Security Center.

Схемы развертывания Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android можно разворачивать на мобильных устройствах в сети организации несколькими способами. Вы можете выбрать наиболее подходящий для вашей организации способ развертывания, а также использовать несколько способов развертывания одновременно.

Подробная информация о развертывании Kaspersky Endpoint Security для Android в Kaspersky Endpoint Security Cloud приведена в справке Kaspersky Endpoint Security Cloud.

Схемы развертывания Kaspersky Endpoint Security для Android через Kaspersky Security Center на персональных устройствах

На личных устройствах вы можете развернуть Kaspersky Endpoint Security для Android через Kaspersky Security Center, отправив сообщения со ссылкой на загрузку инсталляционного пакета приложения из Kaspersky Security Center.

Для развертывания Kaspersky Endpoint Security для Android с помощью инсталляционного пакета выполните следующие действия:

1. Создайте и настройте инсталляционный пакет приложения.
2. Создайте автономный инсталляционный пакет.
3. Отправьте пользователям Android-устройств сообщения со ссылкой на загрузку автономного пакета установки. Доступна массовая рассылка.

Пользователь устанавливает Kaspersky Endpoint Security для Android на мобильное устройство после получения сообщения со ссылкой. Дополнительной подготовки приложения к работе не требуется.

Если для развертывания приложения используется пакет установки, загруженный из Kaspersky Security Center, на экране устройства может появиться сообщение "Заблокировано Play Защитой". Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии кнопки OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Схемы развертывания Kaspersky Endpoint Security для Android через Kaspersky Security Center на корпоративных устройствах (режим device owner)

На корпоративных устройствах (режим device owner) развертывание Kaspersky Endpoint Security для Android через Kaspersky Security Center может быть выполнено следующими способами:

• С помощью отправки QR-кода со ссылкой на загрузку приложения с веб-сайта "Лаборатории Касперского".
• С помощью отправки QR-кода со ссылкой на загрузку пакета установки из Kaspersky Security Center.

Для развертывания Kaspersky Endpoint Security для Android в режиме device owner через приложение, загруженное с веб-сайта "Лаборатории Касперского", выполните следующие действия:

1. Создайте QR-код для установки приложения из Консоли администрирования.
2. Выполните предварительную настройку мобильного устройства и установите Kaspersky Endpoint Security для Android с использованием QR-кода.

Для развертывания Kaspersky Endpoint Security для Android в режиме device owner с помощью пакета установки выполните следующие действия:

1. Создайте и настройте инсталляционный пакет приложения.
2. Создайте автономный инсталляционный пакет.
3. Создайте QR-код для установки приложения с использованием инсталляционного пакета.
4. Выполните предварительную настройку мобильного устройства и установите Kaspersky Endpoint Security для Android с использованием QR-кода.

   Если для развертывания приложения используется пакет установки, загруженный из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение Заблокировано Play Защитой. Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Схема развертывания Kaspersky Endpoint Security для Android через KNOX Mobile Enrollment

Развертывание Kaspersky Endpoint Security для Android заключается в добавлении профиля KNOX MDM на мобильные устройства. Профиль KNOX MDM содержит ссылку на приложение, размещенное на Веб-сервере Kaspersky Security Center или другом сервере. После установки приложения на мобильном устройстве дополнительно требуется установить мобильный сертификат.

Информация об установке с помощью KNOX Mobile Enrollment приведена в разделе Samsung KNOX.

Схемы развертывания для iOS MDM-профиля

iOS MDM-профиль – это профиль, который содержит параметры подключения мобильных устройств под управлением операционной системы iOS к Kaspersky Security Center. После установки iOS MDM-профиля и синхронизации с Kaspersky Security Center устройство становится управляемым. Управление мобильными устройствами осуществляется с помощью сервиса Apple Push Notification service (APNs).

С помощью iOS MDM-профиля можно выполнять следующие действия:

• Удаленно настраивать параметры iOS MDM-устройств с помощью групповых политик.
• Отправлять команды блокирования и удаления данных.
• Удаленно устанавливать приложения "Лаборатории Касперского", а также другие сторонние приложения.

iOS MDM-профиль можно разворачивать на мобильных устройствах в сети организации несколькими способами. Вы можете выбрать наиболее подходящий для вашей организации способ развертывания, а также использовать несколько способов развертывания одновременно.

Прежде чем приступить к развертыванию профиля iOS MDM, необходимо развернуть систему управления мобильными устройствами.

Подробная информация о развертывании iOS MDM-профиля в Kaspersky Endpoint Security Cloud приведена в справке Kaspersky Endpoint Security Cloud.

Схема развертывания iOS MDM-профиля через Kaspersky Security Center

Развертывание профиля iOS MDM через Kaspersky Security Center может быть выполнено через отправку сообщений со ссылкой на загрузку профиля iOS MDM. Доступна массовая рассылка.

Установку iOS MDM-профиля на мобильное устройство выполняет пользователь после получения сообщения со ссылкой на Веб-сервер Kaspersky Security Center. Дополнительной подготовки iOS MDM-профиля к работе не требуется.

Подготовка Консоли администрирования к развертыванию комплексного решения

Этот раздел содержит инструкции по подготовке Консоли администрирования к развертыванию комплексного решения.

Настройка параметров Сервера администрирования для подключения мобильных устройств

Чтобы мобильные устройства могли подключиться к Серверу администрирования, перед установкой мобильного приложения Kaspersky Endpoint Security настройте параметры подключения устройств в свойствах Сервера администрирования.

Чтобы настроить параметры Сервера администрирования для подключения мобильных устройств:

1. В контекстном меню Сервера администрирования выберите пункт Свойства.

   Откроется окно свойств Сервера администрирования.

2. Настройте порты Сервера администрирования, используемые для мобильных устройств:
   1. Выберите раздел Параметры подключения к Серверу администрирования → Дополнительные порты.
   2. Установите флажок Открывать порт для мобильных устройств.
   3. В поле Порт для синхронизации мобильных устройств укажите порт, по которому мобильные устройства будут подключаться к Серверу администрирования.

      По умолчанию указан порт 13292.

      Если флажок Открывать порт для мобильных устройств снят или порт для подключения указан неверно, мобильные устройства не смогут подключаться к Серверу администрирования.

   4. В поле Порт для активации мобильных устройств укажите порт для подключения мобильных устройств к Серверу администрирования для активации приложения Kaspersky Endpoint Security для Android.

      По умолчанию указан порт 17100.

   5. Нажмите OK.
3. При необходимости замените сертификат, используемый устройствами для подключения к Серверу администрирования:

   По умолчанию используется сертификат, созданный при установке Сервера администрирования. Замените сертификат, выданный Сервером администрирования, на другой сертификат или перевыпустите его.

   1. Выберите раздел Сертификаты.
   2. Задайте необходимые параметры.
4. Укажите резервный сертификат Сервера администрирования.

   Вам необходимо указать резервный сертификат Сервера администрирования, чтобы обеспечить соответствие требованиям безопасности вашей организации и поддержать постоянное соединение управляемых устройств с Сервером. Резервный сертификат не выпускается по умолчанию.

5. Нажмите Сохранить, чтобы сохранить измененные параметры и закрыть окно свойств Сервера администрирования.

После настройки параметров подключения мобильных устройств можно установить приложение Kaspersky Endpoint Security для Android или Kaspersky Security для iOS на мобильные устройства и подключить их к Серверу администрирования, используя указанные параметры.

Настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center

В этом разделе описывается настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center. Настройка включает в себя следующие шаги:

1. Установка Агента администрирования в качестве шлюза соединения на хосте.
2. Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center.

Эта статья содержит обзор сценария. Более подробная информация приведена в документации Kaspersky Security Center.

Требования

Чтобы шлюз соединения корректно работал с мобильными устройствами, должны соблюдаться следующие требования:

• Порт 13292 должен быть открыт на хосте со шлюзом соединения.
• Порт 13000 должен быть открыт между шлюзом соединения и Kaspersky Security Center. Его открытие наружу из демилитаризованной зоны не требуется.
• Хост должен иметь статический адрес, доступный из интернета.

Установка Агента администрирования на хост, выполняющий роль шлюза соединения

Сначала необходимо установить Агент администрирования на выбранном устройстве-хосте, который будет выступать в качестве шлюза соединения. Вы можете загрузить полный инсталляционный пакет Kaspersky Security Center или установить Kaspersky Security Center локально.

По умолчанию установочный файл расположен по следующему пути: \\<server name>\KLSHARE\PkgInst\NetAgent_<version number>

Чтобы установить Агент администрирования в роли шлюза соединения:

1. Запустите Мастер установки Агента администрирования и следуйте его указаниям, оставляя настройки по умолчанию для всех параметров, пока не откроется окно Выбор Сервера администрирования.
2. В окне Выбор Сервера администрирования настройте следующие параметры:
   • Введите адрес устройства с установленным Сервером администрирования.
   • Оставьте значения по умолчанию в полях Порт, SSL-порт и UDP-порт.
   • Установите флажок Использовать SSL для соединения с Сервером администрирования, чтобы установить соединение с Сервером администрирования через защищенный порт с использованием SSL.

     Рекомендуется не снимать этот флажок, чтобы соединение оставалось защищенным.

   • Установите флажок Разрешить Агенту администрирования открыть UDP-порт, чтобы управлять клиентскими устройствами и получать о них информацию.
3. Нажмите Далее и пройдите все шаги мастера до появления окна Шлюз соединения, оставляя настройки по умолчанию.
4. В окне Шлюз соединения выберите Использовать в качестве шлюза соединения в демилитаризованной зоне.

   Этот режим одновременно активирует Агент администрирования в роли шлюза соединения и переключает его на ожидание подключений от Сервера администрирования, а не на установку подключения к Серверу администрирования.

5. Нажмите Далее и начните установку.

Теперь Агент администрирования установлен и настроен в качестве шлюза соединения.

Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center

После установки Агента администрирования в качестве шлюза соединения необходимо подключить его к Серверу администрирования. Сервер администрирования пока не отображает устройство со шлюзом соединения в списке управляемых устройств, поскольку шлюз соединения еще не подключался к Серверу администрирования. По этой причине необходимо добавить шлюз соединения как точку распространения, чтобы убедиться, что Сервер администрирования инициирует подключение к шлюзу соединения.

Чтобы настроить шлюз соединения на Сервере администрирования:

1. Добавьте шлюз соединения как точку распространения в Kaspersky Security Center.
   1. В дереве консоли выберите узел Сервер администрирования.
   2. В контекстном меню Сервера администрирования выберите пункт Свойства.
   3. В окне свойств Сервера администрирования выберите раздел Точки распространения.
   4. Нажмите на кнопку Добавить.

      Откроется окно Добавление точки распространения.

   5. В окне Добавление точки распространения выполните следующие действия:
      • Укажите IP-адрес устройства с установленным Агентом администрирования в поле Устройство, которое будет выполнять роль точки распространения. Для этого выберите пункт Добавить шлюз соединения, находящийся в демилитаризованной зоне, по адресу в раскрывающемся списке.

        Введите IP-адрес шлюза соединения или имя шлюза соединения, если к нему можно получить доступ по имени.

      • В поле Область действия точки распространения, в раскрывающемся списке выберите группу, на которую будет распространяться шлюз соединения, а затем нажмите ОК.
   6. В разделе Точки распространения нажмите ОК, чтобы сохранить внесенные изменения.

   Шлюз соединения будет сохранен как новая запись под именем Временная запись для шлюза соединения.

   Сервер администрирования практически сразу попытается подключиться к шлюзу соединения по указанному вами адресу. При удачном подключении имя записи изменится на имя устройства шлюза соединения. Этот процесс занимает до 5 минут.

   Пока временная запись для шлюза соединения переводится в именованную запись, шлюз соединения также отображается в группе Нераспределенные устройства.

2. Создайте новую группу в группе Управляемые устройства. В эту группу будут входить внешние управляемые устройства.
3. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.
4. Настройте свойства шлюза соединения, который вы развернули:
   1. В свойствах Сервера администрирования, в разделе Точки распространения выберите шлюз соединения и нажмите Свойства.
   2. В разделе Общие, в свойстве Имена DNS-доменов точки распространения, под которыми она будет доступна мобильным устройствам (включаются в сертификат) укажите DNS-имя шлюза соединения, которое будет использоваться для подключения к мобильному устройству.
   3. В разделе Шлюз соединения установите следующие флажки, оставляя номера портов по умолчанию:
      • Открыть порт для мобильных устройств (аутентификация SSL только для Сервера администрирования).
      • Открыть порт для мобильных устройств (двусторонняя аутентификация SSL).
   4. Нажмите OK, чтобы сохранить внесенные изменения.

Шлюз соединения настроен. Теперь вы можете добавлять новые мобильные устройства, указав адрес шлюза соединения. Новые устройства появятся на Сервере администрирования.

Отображение папки "Управление мобильными устройствами" в Консоли администрирования

Отображение папки Управление мобильными устройствами в Консоли администрирования позволяет просматривать перечень мобильных устройств, находящихся под управлением Сервера администрирования, настраивать параметры управления мобильными устройствами и устанавливать сертификаты на мобильные устройства пользователей.

Чтобы включить отображение папки Управление мобильными устройствами в Консоли администрирования, выполните следующие действия:

1. В контекстном меню Сервера администрирования выберите пункт Вид → Настройка интерфейса.
2. В открывшемся окне установите флажок Отображать Управление мобильными устройствами.
3. Нажмите кнопку OK.

Папка Управление мобильными устройствами будет отображаться в дереве Консоли администрирования после перезапуска Консоли администрирования.

Создание группы администрирования

Централизованная настройка параметров приложения Kaspersky Endpoint Security для Android, установленного на мобильных устройствах пользователей, выполняется посредством применения к этим устройствам групповых политик.

Для того чтобы применить политику к группе устройств, перед установкой мобильных приложений на устройства пользователей рекомендуется создать для этих устройств отдельную группу администрирования в папке Управляемые устройства.

После создания группы администрирования рекомендуется настроить автоматическое перемещение в эту группу устройств, на которые вы хотите установить приложения. Затем необходимо задать общие для всех устройств параметры с помощью групповой политики.

Чтобы создать группу администрирования, выполните следующие действия:

1. В дереве консоли выберите папку Управляемые устройства.
2. В рабочей области папки Управляемые устройства или вложенной папки выберите закладку Устройства.
3. Нажмите на кнопку Создать группу.

   Откроется окно создания новой группы.

4. В открывшемся окне Имя группы введите имя группы и нажмите на кнопку ОК.

В результате в дереве консоли появится новая папка группы администрирования с заданным именем. Подробная информация о работе с группами администрирования приведена в справке Kaspersky Security Center.

Создание правила автоматического переноса устройств в группу администрирования

Централизованное управление параметрами приложения Kaspersky Endpoint Security для Android, установленного на мобильных устройствах пользователей, возможно, только если эти устройства находятся в созданной ранее группе администрирования, для которой назначена групповая политика.

Если правило автоматического перемещения обнаруженных в сети мобильных устройств в группу администрирования не задано, то при первой синхронизации устройства с Сервером администрирования устройство автоматически попадает в Консоль администрирования в папку Дополнительно → Обнаружение устройств → Домены → KES10 (папка KES10 используется по умолчанию). Групповая политика к этому устройству не применяется.

Чтобы создать правило автоматического перемещения мобильных устройств в группу администрирования, выполните следующие действия:

1. В дереве консоли выберите папку Нераспределенные устройства.
2. В контекстном меню папки Нераспределенные устройства выберите пункт Свойства.

   В результате откроется окно Свойства: Нераспределенные устройства.

3. В разделе Перемещение устройств нажмите на кнопку Добавить, чтобы запустить процесс создания правила автоматического перемещения устройств в группу администрирования.

   Откроется окно Новое правило.

4. Введите имя правила.
5. Укажите группу администрирования, в которую должны помещаться устройства после установки на них мобильного приложения Kaspersky Endpoint Security для Android. Для этого нажмите на кнопку Обзор справа от поля Группа, в которую следует перемещать устройства и в открывшемся окне выберите группу.
6. В разделе Применение правила выберите вариант Выполняется один раз для каждого устройства.
7. Установите флажок Перемещать только устройства, которые не входят ни в одну группу администрирования для того чтобы в результате применения правила мобильные устройства, уже распределенные в другие группы администрирования, не были перемещены в выбранную группу.
8. Установите флажок Включить правило, чтобы правило применялось для только что обнаруженных устройств.
9. Откройте раздел Приложения и выполните следующие действия:
   1. Установите флажок Версия операционной системы.
   2. Выберите один или несколько типов операционной системы устройств, которые будут перемещаться в указанную группу: Android или iOS.
10. Нажмите кнопку OK.

Созданное правило отображается в списке правил перемещения устройств в разделе Перемещение устройств окна свойств папки Нераспределенные устройства.

В результате выполнения правила Kaspersky Security Center переносит все устройства, соответствующие заданным условиям, из папки Нераспределенные устройства в указанную вами группу администрирования. Мобильные устройства, ранее распределенные в папку Нераспределенные устройства, также могут быть перемещены в нужную группу администрирования папки Управляемые устройства вручную. Подробная информация об управлении группами администрирования и работе с нераспределенными устройствами приведена в справке Kaspersky Security Center.

Работа с сертификатами для мобильных устройств

Этот раздел содержит информацию о работе с сертификатами мобильных устройств. В разделе приведены инструкции по установке сертификатов на мобильные устройства пользователей и по настройке правил выписки сертификатов. Раздел также содержит инструкции по интеграции программы с инфраструктурой открытых ключей и по настройке поддержки Kerberos.

Перевыпуск мобильного сертификата Сервера администрирования

Вам необходимо указать резервный сертификат Сервера администрирования в параметрах перевыпуска сертификата, чтобы обеспечить соответствие требованиям безопасности вашей организации и поддержать постоянное соединение управляемых устройств с Сервером. Резервный сертификат не выпускается по умолчанию.

Мы рекомендуем указывать резервный сертификат при установке Сервера администрирования или не позднее, чем за 30 дней до истечения срока действия основного сертификата. Точное время истечения сертификата доступно в параметрах сертификата в поле Действителен до (контекстное меню Сервера администрирования: Свойства → Параметры подключения к Серверу администрирования → Сертификаты).

Максимальный срок действия любого сертификата Сервера администрирования не превышает 397 дней.

Резервный сертификат доставляется на устройство при синхронизации и становится основным сразу после истечения срока действия основного сертификата. Если срок действия сертификата истек, а резервный сертификат не указан, связь между Сервером администрирования и Kaspersky Endpoint Security на управляемых устройствах будет потеряна. В этом случае для повторного подключения устройств необходимо указать новый сертификат и переустановить Kaspersky Endpoint Security на каждом из управляемых устройств.

Чтобы перевыпустить сертификат Сервера администрирования с отложенной заменой (указать сертификат как резервный):

1. В дереве консоли в контекстном меню Сервера администрирования выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите Параметры подключения к Серверу администрирования → Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выпущенный Kaspersky Security Center:
   1. В группе параметров Аутентификация Сервера администрирования мобильными устройствами выберите параметр Сертификат выпущен средствами Сервера администрирования и нажмите Перевыпустить.
   2. В открывшемся окне Перевыпуск сертификата:
      1. В группе параметров Адрес подключения выберите пункт Оставить адрес подключения прежним или пункт Изменить адрес подключения на, если будет использован новый адрес подключения.
      2. В группе параметров Срок активации выберите пункт Через указанный срок (сут), чтобы указать сертификат в качестве резервного.

         Рекомендуется указать срок активации сертификата не менее 30 дней, чтобы все устройства успели получить сертификат. Обратите внимание, что указанный период должен быть больше периода синхронизации устройств с Сервером администрирования. Подробная информация о настройке параметров синхронизации устройств с Сервером администрирования приведена в разделе Настройка параметров синхронизации.

      3. Нажмите ОК.
      4. В появившемся окне нажмите Да.

   Если вы планируете использовать собственный сертификат:

   1. Проверьте, соответствует ли ваш сертификат требованиям Kaspersky Security Center и требованиям к доверенным сертификатам Apple. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите Обзор.
   3. В открывшемся окне Сертификат в поле Тип сертификата выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали Контейнер PKCS#12, нажмите на кнопку Обзор рядом с полем Файл сертификата и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль (если есть).
      • Если вы выбрали X.509-сертификат, нажмите на кнопку Обзор рядом с полем Закрытый ключ (.prk, .pem) и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль (если есть). Нажмите на кнопку Обзор рядом с полем Открытый ключ (.cer) и укажите закрытый ключ на жестком диске.
   4. В группе параметров Срок активации выберите пункт Через указанный срок (сут), чтобы указать сертификат в качестве резервного.
   5. В окне Сертификат нажмите ОК.
   6. В появившемся окне нажмите Да.

Сертификат перевыпущен для использования в качестве сертификата Сервера администрирования или указан как резервный.

Чтобы немедленно перевыпустить сертификат Сервера администрирования (не рекомендуется, если есть управляемые мобильные устройства):

Не рекомендуется выбирать Немедленно в случае, если у вас есть управляемые мобильные устройства. При выборе опции будет потеряна связь со всеми управляемыми устройствами, так как новый сертификат не будет доставлен на устройства, а ранее действующий сертификат потеряет силу.

1. В дереве консоли в контекстном меню Сервера администрирования выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите Параметры подключения к Серверу администрирования → Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выпущенный Kaspersky Security Center:
   1. В группе параметров Аутентификация Сервера администрирования мобильными устройствами выберите параметр Сертификат выпущен средствами Сервера администрирования и нажмите Перевыпустить.
   2. В открывшемся окне Перевыпуск сертификата:
      1. В группе параметров Адрес подключения выберите пункт Оставить адрес подключения прежним или пункт Изменить адрес подключения на, если будет использован новый адрес подключения.
      2. В группе параметров Срок активации выберите пункт Немедленно.
   3. Нажмите ОК.
   4. В появившемся окне нажмите Да.

   Если вы планируете использовать собственный сертификат:

   1. Проверьте, соответствует ли ваш сертификат требованиям Kaspersky Security Center и требованиям к доверенным сертификатам Apple. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите Обзор.
   3. В открывшемся окне Сертификат в поле Тип сертификата выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали Контейнер PKCS#12, нажмите на кнопку Обзор рядом с полем Файл сертификата и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль (если есть).
      • Если вы выбрали X.509-сертификат, нажмите на кнопку Обзор рядом с полем Закрытый ключ (.prk, .pem) и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль (если есть). Нажмите на кнопку Обзор рядом с полем Открытый ключ (.cer) и укажите закрытый ключ на жестком диске.
   4. В группе параметров Срок активации выберите пункт Немедленно.
   5. В окне Сертификат нажмите ОК.
   6. В появившемся окне нажмите Да.

Сертификат перевыпущен для использования в качестве сертификата Сервера администрирования или указан как резервный.

Дополнительная информация о сертификатах представлена в справке Kaspersky Security Center.

Настройка правил выпуска сертификатов

Сертификаты используются для аутентификации устройств на Сервере администрирования. Все управляемые мобильные устройства должны иметь сертификаты. Можно настроить способ выпуска сертификатов.

Чтобы настроить правила выпуска сертификатов:

1. В дереве консоли в папке Управление мобильными устройствами выберите подпапку Сертификаты.
2. В рабочей области папки Сертификаты по кнопке Добавить сертификат откройте окно Правила выпуска сертификатов.
3. Перейдите в раздел с названием типа сертификата:

   Выпуск мобильных сертификатов — для настройки выпуска сертификатов для мобильных устройств.

   Выпуск почтовых сертификатов — для настройки выпуска почтовых сертификатов.

   Выпуск VPN-сертификатов — для настройки выпуска VPN-сертификатов.

4. В блоке Параметры выпуска настройте выпуск сертификата:
   • Укажите срок действия сертификата в днях.
   • Выберите источник сертификатов (Сервер администрирования или Сертификаты задаются вручную).

     По умолчанию источником сертификатов выбран Сервер администрирования.

   • Задайте шаблон сертификатов (Шаблон по умолчанию, Другой шаблон).

     Настройка шаблонов доступна, если в разделе Интеграция с PKI настроена интеграция с инфраструктурой открытых ключей.

5. Для VPN-сертификатов и почтовых сертификатов, если настроена интеграция с PKI, включите и настройте автоматический выпуск сертификата при подключении устройства к Kaspersky Security Center.

   Для этого в разделе Автоматическая выписка сертификата <тип сертификата> при подключении устройства установите флажки Выписывать для KES-устройств под управлением Kaspersky Secure Mobility Management и/или Выписывать для iOS MDM-устройств.

   Если вы установили флажок Выписывать для iOS MDM-устройств, выберите тег выпуска сертификата в раскрывающемся списке. Доступны следующие теги: Шаблон сертификата 1, Шаблон сертификата 2 или Шаблон сертификата 3.

   Вы можете настроить дальнейшее использование выбранного тега для выпуска сертификата в следующих разделах:

   • Если в окне Правила выпуска сертификатов выбран раздел Выпуск почтовых сертификатов:
     • В свойствах учетной записи электронной почты для iOS MDM-устройств.
     • В свойствах учетной записи Exchange ActiveSync для iOS MDM-устройств.
   • Если в окне Правила выпуска сертификатов выбран раздел Выпуск VPN-сертификатов:
     • В свойствах сети VPN для iOS MDM-устройств.
     • В свойствах сети Wi-Fi для iOS MDM-устройств.
6. В блоке Параметры автоматического обновления настройте автоматическое обновление сертификата:
   • В поле Обновлять, когда до истечения срока действия осталось (сут) укажите, за какое количество дней до истечения срока действия нужно обновлять сертификат.
   • Чтобы включить автоматическое обновление сертификатов, установите флажок Автоматически перевыпускать сертификат, если это возможно.

   Мобильный сертификат можно перевыпускать только вручную.

7. В блоке Защита паролем включите и настройте использование пароля при расшифровке сертификатов.

   Защита паролем доступна только для мобильных сертификатов.

   1. Установите флажок Запрашивать пароль при установке сертификата.
   2. С помощью ползунка настройте максимальное количество символов в пароле для шифрования.
8. Нажмите на кнопку ОК.

Создание сертификата мобильных устройств

Развернуть всё | Свернуть всё

На мобильном устройстве пользователя можно создавать сертификаты следующих типов:

• Мобильные сертификаты для идентификации мобильного устройства.
• Почтовые сертификаты для настройки корпоративной почты на мобильном устройстве.
• VPN-сертификат для настройки на мобильном устройстве доступа к виртуальной частной сети.

Чтобы создать сертификат мобильного устройства:

1. В дереве консоли выберите папку Управление мобильными устройствами → Сертификаты.
2. В рабочей области папки Сертификаты нажмите на кнопку Добавить сертификат, чтобы запустить мастер установки сертификатов.
3. На странице Тип сертификата укажите тип сертификата, который необходимо установить на мобильное устройство пользователя:
   • Мобильный сертификат

     Этот сертификат нужен для идентификации мобильного устройства.

   • Почтовый сертификат

     Этот сертификат нужен для настройки корпоративной почты на мобильном устройстве.

   • VPN-сертификат

     Этот сертификат нужен для настройки доступа к виртуальной частной сети на мобильном устройстве.

4. На странице Выбор типа устройства укажите тип операционной системы на устройстве:
   • iOS MDM-устройство

     Выберите этот вариант, если вы хотите установить сертификат на мобильное устройство, подключенное к серверу iOS MDM по протоколу iOS MDM.

   • KES-устройство под управлением Kaspersky Security для мобильных устройств

     Выберите этот вариант, если хотите установить сертификат на KES-устройство. В этом случае сертификат будет использоваться при подключении к Серверу администрирования для идентификации пользователя.

   • KES-устройство, которое подключается к Серверу администрирования без аутентификации по пользовательскому сертификату

     Выберите этот вариант, если вы хотите установить сертификат на устройство KES без аутентификации по сертификату. В этом случае на последнем шаге работы мастера в окне Способ уведомления пользователей необходимо выбрать тип авторизации пользователя при каждом подключении к Серверу администрирования.

   Это окно отображается, только если ранее был выбран тип сертификата Почтовый сертификат или VPN-сертификат.

5. На странице Выбор пользователя выберите пользователей, группы пользователей или группы пользователей Active Directory, для которых вы хотите создать сертификат.
6. На странице Источник сертификата укажите способ создания сертификата.
   • Чтобы создать сертификат автоматически средствами Сервера администрирования, выберите вариант Выписать сертификат средствами Сервера администрирования.
   • Чтобы назначить пользователю сертификат, созданный ранее, выберите вариант Указать файл сертификата. По кнопке Обзор откройте окно Сертификат и укажите в нем файл сертификата.
7. На странице Параметры публикации сертификатов установите флажок Не уведомлять пользователя о новом сертификате, если вы не хотите уведомлять пользователя о создании сертификата. В этом случае страница Способ уведомления пользователей отображаться не будет.
8. На странице Способ уведомления пользователей настройте параметры уведомления пользователя мобильного устройства о создании сертификата с помощью SMS-сообщения или по электронной почте.

   Эта страница не отображается, если вы выбрали iOS MDM-устройство в качестве типа устройства или если вы выбрали параметр Не уведомлять пользователя о новом сертификате.

   1. В поле Тип авторизации укажите тип аутентификации пользователя:
      • Учетные данные (доменные или псевдонима)

        В этом случае пользователь использует доменный пароль или пароль внутреннего пользователя Kaspersky Security Center, для того чтобы получить новый сертификат.

      • Одноразовый пароль

        В этом случае пользователь получит одноразовый пароль, который будет выслан на электронную почту или с помощью SMS. Этот пароль необходимо будет указать для получения нового сертификата.

        Этот параметр изменится на Пароль, если вы включили параметр Разрешить устройству получать один и тот же сертификат несколько раз (только для устройств с установленными приложениями безопасности "Лаборатории Касперского") в окне Параметры публикации сертификатов.

      Это поле отображается, если вы выбрали Мобильный сертификат в окне Тип сертификата или если в качестве типа устройства вы выбрали KES-устройство, которое подключается к Серверу администрирования без аутентификации по пользовательскому сертификату.

   2. Выберите вариант уведомления пользователя:
      • Показать пароль после завершения работы мастера

        Если вы выберете этот параметр, имя пользователя, SAM-имя пользователя (Security Account Manager) и пароль для получения сертификата для каждого из выбранных пользователей будут отображаться на последнем шаге мастера установки сертификата. Настройка параметров уведомления пользователя об установленном сертификате будет недоступна.

        Если вы добавляете сертификаты для нескольких пользователей, вы можете сохранить предоставленные учетные данные в файл, нажав на кнопку Экспорт на последнем шаге мастера установки сертификата.

        Этот параметр недоступен, если вы выбрали Учетные данные (доменные или псевдонима) на шаге Способ уведомления пользователя мастера установки сертификата.

      • Сообщить пользователю о новом сертификате

        При выборе этого варианта вы можете настроить параметры уведомления пользователя о новом сертификате.

        • По электронной почте

          В блоке параметров По электронной почте вы можете настроить параметры уведомления пользователя об установке сертификата на его мобильное устройство с помощью сообщений электронной почты. Этот способ уведомления доступен, только если настроен SMTP-сервер.

          Перейдите по ссылке Изменить сообщение, чтобы просмотреть и изменить сообщение, если это необходимо.

        • С помощью SMS

          В этом блоке параметров вы можете настроить параметры уведомления пользователя об установке сертификата на его мобильное устройство с помощью SMS-сообщений. Этот способ оповещения доступен, только если настроено SMS-оповещение.

          Перейдите по ссылке Изменить сообщение, чтобы просмотреть и изменить сообщение, если это необходимо.

9. На странице Генерация сертификата нажмите на кнопку Готово для завершения работы мастера установки сертификатов.

После завершения работы мастера сертификат будет создан и добавлен в список сертификатов пользователя; кроме того, пользователю будет отправлено уведомление со ссылкой для загрузки и установки сертификата на мобильное устройство. Можно удалять и перевыпускать сертификаты, а также просматривать их свойства.

Интеграция с инфраструктурой открытых ключей

Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования. В результате интеграции выписка сертификатов происходит автоматически.

Минимально поддерживаемая версия сервера PKI – Windows Server 2008.

Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:

• назначить пользователю особый (персонализированный) сертификат из файла в мастере установки сертификатов;
• выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов.

Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей

Обратите внимание:

• В параметрах интеграции с PKI можно указать шаблон по умолчанию для всех типов сертификатов. При этом в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по нажатии кнопки Настроить правила выпуска сертификатов) можно задать отдельный шаблон для каждого типа сертификатов.
• На устройстве с Сервером администрирования в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен особый сертификат Enrollment Agent (EA). Его предоставляет администратор доменного ЦС (Центра сертификации).

Учетная запись, под которой выполняется интеграция с PKI, должна:

• принадлежать доменному пользователю;
• принадлежать локальному администратору устройства с Сервером администрирования, с которого выполняется интеграция с PKI;
• обладать разрешением Вход в качестве службы;
• под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.

Под настроенной учетной записью нужно хотя бы один раз выполнить вход на устройстве с установленным Сервером администрирования для того, чтобы создать постоянный профиль пользователя. В хранилище сертификатов этого пользователя, на устройстве с Сервером администрирования, необходимо установить сертификат агента регистрации, предоставленный администраторами домена.

Настройка интеграции с PKI

Чтобы настроить интеграцию с инфраструктурой открытых ключей:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
2. В рабочей области нажмите на кнопку Тип сертификата, чтобы открыть раздел Интеграция с PKI окна Правила выпуска сертификатов.

   Откроется раздел Интеграция с PKI окна Правила выпуска сертификатов.

3. Установите флажок Интегрировать выписку сертификатов с PKI.
4. В поле Учетная запись укажите имя учетной записи, которая будет использоваться для интеграции с инфраструктурой открытых ключей.
5. В поле Пароль укажите доменный пароль учетной записи.
6. В списке Имя шаблона сертификата в системе PKI выберите шаблон сертификата, который будет использоваться для выпуска сертификатов пользователям домена.

   Под указанной учетной записью в Kaspersky Endpoint Security запускается специализированная служба. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.

   При подключении к Kaspersky Security Center любого мобильного устройства (под управлением Android или iOS), владельцем которого является недоменный пользователь, попытка выписки сертификата может завершиться ошибкой.

7. Нажмите на кнопку ОК, чтобы сохранить параметры.

В результате интеграции выписка сертификатов происходит автоматически.

Развертывание систем управления мобильными устройствами

В этом разделе описано развертывание систем управления мобильными устройствами по протоколам iOS MDM и Kaspersky Endpoint Security.

Сценарий: развертывание Управления мобильными устройствами

В этом разделе приведен сценарий для настройки возможностей Управления мобильными устройствами в Kaspersky Security Center.

Предварительные требования

Убедитесь, что ваша лицензия предоставляет доступ к возможностям Управления мобильными устройствами.

Этапы

Развертывание возможностей Управления мобильными устройствами состоит из следующих этапов:

1. Подготовка портов

   Убедитесь, что порт 13292 доступен на Сервере администрирования. Этот порт требуется для подключения мобильных устройств. Также вы можете сделать доступным порт 17100. Этот порт требуется только для активации прокси-сервера для управляемых мобильных устройств; если управляемые мобильные устройства имеют доступ в интернет, этот порт доступным делать не требуется.

2. Включение Управления мобильными устройствами

   Вы можете включить Управление мобильными устройствами во время запуска мастера первоначальной настройки Сервера администрирования или позже.

3. Указание внешнего адреса Сервера администрирования

   Вы можете указать внешний адрес во время запуска мастера первоначальной настройки Сервера администрирования или позже. Если вы не выбрали Управление мобильными устройствами для установки и не указали адрес в мастере установки программы, укажите внешний адрес в свойствах инсталляционного пакета.

4. Добавление мобильных устройств в группу управляемых устройств

   Добавьте мобильные устройства в группу Управляемые устройства, чтобы управлять этими устройствами с помощью политик. Вы можете создать правило перемещения на одном из шагов мастера первоначальной настройки Сервера администрирования. Также вы можете создать правило перемещения позже. Если вы не создадите такое правило, вы можете добавить мобильные устройства в группу Управляемые устройства вручную.

   Вы можете добавить мобильные устройства в группу Управляемые устройства напрямую или создать для них подгруппу (или несколько подгрупп).

   Позже, в любое время вы можете подключить новое мобильное устройство к Серверу администрирования с помощью мастера подключения мобильного устройства.

5. Создание политики для мобильных устройств

   Чтобы управлять мобильными устройствами, создайте политику (или несколько политик) для этих устройств в группе, к которой они принадлежат. Вы можете изменить параметры политики в любое время.

Результаты

После завершения сценария вы сможете управлять устройствами Android и iOS, используя Kaspersky Security Center. Вы можете работать с сертификатами мобильных устройств и отправлять команды на мобильные устройства.

Включение Управления мобильными устройствами

Развернуть всё | Свернуть всё

Чтобы управлять мобильными устройствами, вам нужно включить Управление мобильными устройствами. Если вы не включили эту функцию в мастере первоначальной настройки Kaspersky Security Center, вы можете включить ее позже. Для работы функции Управление мобильными устройствами требуется лицензия.

Включение Управления мобильными устройствами доступно только на основном Сервере администрирования.

Чтобы включить Управление мобильными устройствами, выполните следующие действия:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В рабочей области папки нажмите на кнопку Включить Управление мобильными устройствами. Эта кнопка доступна, только если вы ранее не включали Управление мобильными устройствами.

   Откроется окно Дополнительные компоненты мастера первоначальной настройки Сервера администрирования.

3. Для управления мобильными устройствами выберите Включить Управление мобильными устройствами.
4. В окне Выбор способа активации программы произведите активацию программы с помощью файла ключа или кода активации

   Управление мобильными устройствами будет недоступно, пока вы не активируете возможность Управления мобильными устройствами.

5. На странице Параметры прокси-сервера для получения доступа в интернет установите флажок Использовать прокси-сервер, если вы хотите использовать прокси-сервер при подключении к интернету. Если флажок установлен, становятся доступны поля ввода параметров. Настройте параметры подключения к прокси-серверу.
6. На странице Проверка обновлений для плагинов и инсталляционных пакетов выберите один из следующих вариантов:
   • Проверить актуальность плагинов и инсталляционных пакетов

     Запуск проверки на актуальность. Если проверка выявит устаревшие версии некоторых плагинов или инсталляционных пакетов, мастер предложит загрузить актуальные версии для замены устаревших.

   • Пропустить проверку

     Продолжение работы без проверки плагинов и инсталляционных пакетов на актуальность. Вы можете выбрать этот вариант, например, если у вас нет доступа в интернет или вы по какой-то причине хотите продолжить работу с устаревшей версией приложения.

     Пропуск проверки актуальности плагинов может привести к некорректной работе программы.

7. В окне Доступные последние версии плагинов загрузите и установите последние версии плагинов на необходимом вам языке. Обновление плагинов не требует лицензии.

   После установки плагинов и пакетов приложение проверяет, установлены ли все плагины, необходимые для правильной работы мобильных устройств. Если обнаружатся устаревшие версии некоторых плагинов или инсталляционных пакетов, мастер предложит загрузить актуальные версии вместо устаревших.

8. На странице Параметры подключения мобильных устройств настройте порты Сервера администрирования.

После завершения работы мастера будут выполнены следующие изменения:

• создана политика Kaspersky Endpoint Security для Android.
• создана политика Kaspersky Device Management для iOS.
• открыты порты Сервера администрирования для мобильных устройств.

Развертывание системы управления по протоколу iOS MDM

Kaspersky Endpoint Security позволяет управлять мобильными устройствами на платформе iOS. Устройствами iOS MDM называются мобильные устройства под управлением iOS, подключенные к Серверу iOS MDM и находящиеся под управлением Сервера администрирования.

Подключение мобильных устройств к Серверу iOS MDM выполняется в следующей последовательности:

1. Администратор устанавливает Сервер iOS MDM.
2. Администратор получает сертификат Apple Push Notification Service (APNs-сертификат).

   APNs-сертификат позволяет Серверу администрирования подключаться к серверу APNs для отправки push-уведомлений на устройства iOS MDM.

3. Администратор устанавливает на Сервере iOS MDM APNs-сертификат.
4. Администратор создает профиль iOS MDM для пользователя мобильного устройства iOS.

   Профиль iOS MDM содержит набор параметров для подключения мобильных устройств iOS к Серверу администрирования.

После установки профиля и синхронизации мобильного устройства iOS MDM с Сервером администрирования устройство отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Сценарии развертывания Сервера iOS MDM

Количество устанавливаемых копий Сервера iOS MDM зависит от доступного аппаратного обеспечения и от общего числа обслуживаемых мобильных устройств.

Следует учесть, что на одну установку Kaspersky Device Management для iOS рекомендуется не более 50 000 мобильных устройств. С целью уменьшения нагрузки устройства можно распределить между несколькими серверами с установленным Сервером iOS MDM.

Аутентификация устройств iOS MDM осуществляется с помощью пользовательских сертификатов (профиль, устанавливаемый на устройство, содержит сертификат владельца этого устройства). Поэтому возможны две схемы развертывания Сервера iOS MDM:

• Упрощенная схема
• Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Упрощенная схема развертывания

При развертывании Сервера iOS MDM по упрощенной схеме мобильные устройства напрямую подключаются к веб-службе iOS MDM. При этом для аутентификации устройств могут быть использованы только пользовательские сертификаты, выпущенные Сервером администрирования. Интеграция с инфраструктурой открытых ключей для пользовательских сертификатов невозможна.

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Для использования схемы развертывания с принудительным делегированием Kerberos Constrained Delegation (KCD) Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.

Эта схема развертывания предполагает:

• интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
• использование схемы принудительного делегирования Kerberos Constrained Delegation для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей для применения пользовательских сертификатов.

При использовании этой схемы развертывания следует учесть, что:

• в Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos Constrained Delegation;
• в качестве сертификата веб-службы iOS MDM следует указать персонализированный сертификат, заданный при публикации веб-службы iOS MDM на TMG;
• пользовательские сертификаты для iOS-устройств должны выпускаться доменным Центром сертификации (ЦС). Если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выпущены Центром сертификации, указанным при публикации веб-службы iOS MDM на TMG.

  Соответствие пользовательского сертификата указанному требованию обеспечивается несколькими способами:

  • Указать пользовательский сертификат в мастере создания профилей iOS MDM и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
    3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

• веб-служба iOS MDM запущена на порте 443;
• имя устройства с TMG – tmg.mydom.local;
• имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
• имя внешней публикации веб-службы iOS MDM – iosmdm.mydom.global.

Имя субъекта-службы (SPN) для http/iosmdm.mydom.local

В домене требуется зарегистрировать имя субъекта-службы (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика необходимо доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/iosmdm.mydom.local), администратор должен выполнить следующие действия:

1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN (http/iosmdm.mydom.local).

Особый (персонализированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (персонализированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (открытые ключи).

Публикация веб-службы iOS MDM на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 443 iosmdm.mydom.global, необходимо настроить KCD на SPN (http/iosmdm.mydom.local) с использованием сертификата, выпущенного для FQDN (iosmdm.mydom.global). При этом следует учесть, что к публикации и публикуемой веб-службе должен быть применен один и тот же сертификат сервера.

Включение поддержки Kerberos Constrained Delegation

Программа поддерживает использование Kerberos Constrained Delegation.

Чтобы включить поддержку Kerberos Constrained Delegation:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В дереве консоли в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
4. В контекстном меню Сервера iOS MDM выберите пункт Свойства.
5. В окне свойств Сервера iOS MDM выберите раздел Параметры.
6. В разделе Параметры установите флажок Обеспечить совместимость с Kerberos constrained delegation.
7. Нажмите на кнопку ОК.

Установка Сервера iOS MDM

Чтобы установить Сервер iOS MDM на клиентское устройство, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. Нажмите на кнопку Установить Сервер iOS MDM.

   Запустится мастер развертывания Сервера iOS MDM. Пройдите все шаги мастера, нажимая на кнопку Далее.

3. На странице Выбор пакета установки выберите пакет установки Сервера iOS MDM, который требуется установить.

   Если в списке нет нужного пакета, нажмите на кнопку Новый, чтобы создать нужный пакет.

4. При необходимости на странице Выбор пакета установки Агента администрирования для комбинированной установки оставьте флажок Установить Агент администрирования вместе с этим приложением и выберите версию Агента администрирования, которую необходимо установить.
   Агент администрирования

   Компонент программы Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере).

   требуется для подключения Сервера iOS MDM к Kaspersky Security Center. Если Агент администрирования уже установлен на устройстве, на котором необходимо установить Сервер iOS MDM, этот шаг можно пропустить.

5. На странице Параметры подключения в поле Внешний порт подключения к iOS MDM укажите внешний порт для подключения мобильных устройств к службе iOS MDM.

   Внешний порт 5223 используется мобильными устройствами для связи с APNs-сервером. Убедитесь, что в сетевом экране открыт порт 5223 для подключения к диапазону адресов 17.0.0.0/8.

   Для подключения устройства к Серверу iOS MDM по умолчанию используется порт 443. Если порт 443 уже используется другим сервисом или приложением, вместо него можно использовать, например, порт 9443.

   Сервер iOS MDM использует внешний порт 2197 для отправки уведомлений на APNs-сервер.

   APNs-серверы работают в режиме сбалансированной нагрузки. Мобильные устройства не всегда подключаются к одним и тем же IP-адресам для получения уведомлений. Диапазон адресов 17.0.0.0/8 зарезервирован за компанией Apple, поэтому рекомендуется указать его в качестве разрешенного диапазона в параметрах сетевого экрана.

6. Если вы хотите вручную настроить порты взаимодействия для компонентов программы, выберите параметр Настроить локальные порты вручную, а затем укажите значения следующих параметров:
   • Порт подключения к Агенту администрирования

     Укажите в поле порт подключения службы iOS MDM к Агенту администрирования. Порт по умолчанию: 9799.

   • Локальный порт подключения к службе iOS MDM

     Укажите в поле локальный порт подключения Агента администрирования к службе iOS MDM. Порт по умолчанию: 9899.

   Рекомендуется использовать значения по умолчанию.

7. В поле Адрес Сервера iOS MDM укажите адрес клиентского устройства, на котором будет установлен Сервер iOS MDM.

   Этот адрес будет использоваться для подключения управляемых мобильных устройств к службе iOS MDM. Клиентское устройство должно быть доступно для подключения устройств iOS MDM.

   Можно указать адрес клиентского устройства в одном из следующих форматов:

   • Использовать FQDN устройства

     Будет использоваться полное доменное имя (FQDN).

   • Использовать этот адрес

     Введите адрес устройства вручную.

   Не следует включать в строку с адресом URL-схему и номер порта: эти значения будут добавлены автоматически.

8. На странице Выбор устройств для установки выберите устройства, на которые нужно установить Сервер iOS MDM.
9. На странице Переместить в список управляемых устройств укажите, нужно ли перемещать устройства в какую-либо группу администрирования после установки Агента администрирования.

   Этот вариант применим, если на предыдущей странице выбрано одно или несколько нераспределенных устройств. Если были выбраны только управляемые устройства, пропустите этот шаг.

10. Задайте другие параметры в мастере. Подробная информация об удаленной установке приложений приведена в справке Kaspersky Security Center.

По окончании работы мастера Сервер iOS MDM будет установлен на выбранные устройства. Сервер iOS MDM отображается в папке Управление мобильными устройствами дерева консоли.

Мастер установки перейдет к шагу Установка APNs-сертификата. Если вы не хотите сразу переходить к управлению сертификатами, можно создать сертификат или установить уже существующий сертификат позже.

Получение APNs-сертификата

Если у вас уже есть APNs-сертификат, обновите его, а не создавайте новый. При замене существующего APNs-сертификата на новый Сервер администрирования теряет управление подключенными в данный момент мобильными устройствами iOS.

После создания запроса Certificate Signing Request (CSR-запрос) на первом шаге мастера получения APNs-сертификата его закрытый ключ сохраняется в оперативной памяти устройства. Поэтому все шаги мастера должны быть завершены в рамках одной сессии работы с программой.

Чтобы получить APNs-сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Запросить новый.

   Запустится мастер запроса нового APNs-сертификата.

6. Создайте запрос Certificate Signing Request (далее – CSR-запрос). Для этого:
   1. Нажмите на кнопку Создать CSR-запрос.
   2. В открывшемся окне Создание CSR-запроса укажите название запроса, название компании и отдела, город, регион и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Закрытый ключ сертификата будет сохранен в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на заверение в "Лабораторию Касперского" через ваш CompanyAccount.

   Заверение CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, позволяющего использовать Управление мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, заверенный "Лабораторией Касперского".

8. Отправьте заверенный файл CSR-запроса на веб-сайт Apple Inc. через произвольный Apple ID.

   Но мы не рекомендуем использовать персональный Apple ID. Создайте отдельный Apple ID для корпоративных целей. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите открытый ключ APNs-сертификата. Сохраните полученный файл на диск.

9. Экспортируйте APNs-сертификат вместе с закрытым ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого:
   1. В открывшемся окне мастера запроса нового APNs-сертификата нажмите на кнопку Закрыть CSR-запрос.
   2. В окне Открытие файла выберите файл с открытым ключом сертификата, полученный после обработки CSR-запроса от Apple Inc., и нажмите на кнопку Открыть.

      Начнется экспорт сертификата.

   3. В открывшемся окне введите пароль для закрытого ключа и нажмите на кнопку ОК.

      Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

   4. В открывшемся окне Сохранение APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку и нажмите на кнопку Сохранить.

Закрытый и открытый ключи сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX. После этого можно установить APNs-сертификат на Сервер iOS MDM.

Обновление APNs-сертификата

Чтобы обновить APNs-сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Обновить.

   Откроется мастер обновления APNs-сертификатов.

6. Создайте запрос Certificate Signing Request (далее – CSR-запрос). Для этого:
   1. Нажмите на кнопку Создать CSR-запрос.
   2. В открывшемся окне Создание CSR-запроса укажите название запроса, название компании и отдела, город, регион и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Закрытый ключ сертификата будет сохранен в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на заверение в "Лабораторию Касперского" через ваш CompanyAccount.

   Заверение CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, позволяющего использовать Управление мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, заверенный "Лабораторией Касперского".

8. Отправьте заверенный файл CSR-запроса на веб-сайт Apple Inc. через произвольный Apple ID.

   Но мы не рекомендуем использовать персональный Apple ID. Создайте отдельный Apple ID для корпоративных целей. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите открытый ключ APNs-сертификата. Сохраните полученный файл на диск.

9. Запросите открытый ключ сертификата. Для этого выполните следующие действия:
   1. Перейдите на портал Apple Push Certificates. Для авторизации на портале потребуется Apple ID, полученный при первичном запросе сертификата.
   2. В списке сертификатов выберите сертификат, APSP-имя которого (в формате "APSP: <номер>") совпадает с APSP-именем сертификата, используемого Сервером iOS MDM, и нажмите на кнопку Обновить.

      APNs-сертификат будет обновлен.

   3. Сохраните созданный на портале сертификат.
10. Экспортируйте APNs-сертификат вместе с закрытым ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого:
    1. В окне мастера обновления APNs-сертификатов нажмите на кнопку Закрыть CSR-запрос.
    2. В окне Открытие файла выберите файл с открытым ключом сертификата, полученный после обработки CSR-запроса в Apple Inc., и нажмите на кнопку Открыть.

       Начнется экспорт сертификата.

    3. В открывшемся окне введите пароль для закрытого ключа и нажмите на кнопку ОК.

       Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

    4. В открывшемся окне Обновление APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку и нажмите на кнопку Сохранить.

Закрытый и открытый ключи сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX.

Настройка резервного сертификата Сервера iOS MDM

Функциональность Сервера iOS MDM позволяет выпустить резервный сертификат. Этот сертификат предназначен для использования в профилях iOS MDM, чтобы обеспечить переключение управляемых iOS-устройств после истечения срока действия сертификата Сервера iOS MDM.

Если ваш Сервер iOS MDM по умолчанию использует сертификат, выпущенный "Лабораторией Касперского", вы можете выпустить резервный сертификат (или указать собственный сертификат в качестве резервного) до истечения срока действия сертификата Сервера iOS MDM. По умолчанию резервный сертификат будет выпущен автоматически за 60 дней до истечения срока действия сертификата Сервера iOS MDM. Резервный сертификат Сервера iOS MDM становится основным сразу после истечения срока действия сертификата Сервера iOS MDM. Открытый ключ распространяется на все управляемые устройства через конфигурационные профили, поэтому вам не нужно передавать его вручную.

Чтобы выпустить резервный сертификат Сервера iOS MDM или указать пользовательский резервный сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В списке серверов мобильных устройств выберите соответствующий Сервер iOS MDM и на правой панели нажмите на кнопку Настроить Сервер iOS MDM.
3. В открывшемся окне параметров Сервера iOS MDM выберите раздел Сертификаты.
4. В блоке параметров Резервный сертификат выполните одно из следующих действий:
   • Если вы планируете и дальше использовать самозаверенный сертификат (то есть сертификат, выпущенный "Лабораторией Касперского"), выполните следующие действия:
     1. Нажмите на кнопку Выпустить.
     2. В открывшемся окне Дата активации выберите один из двух вариантов даты, когда необходимо применить резервный сертификат:
        • Если вы хотите применить резервный сертификат в момент истечения срока действия текущего сертификата, выберите параметр По истечении срока действия текущего сертификата.
        • Если вы хотите применить резервный сертификат до истечения срока действия текущего сертификата, выберите параметр По истечении указанного периода (в днях). В поле ввода рядом с этим параметром укажите продолжительность периода, по истечении которого резервный сертификат должен заменить текущий сертификат.

        Срок действия указанного вами резервного сертификата не может превышать срок действия текущего сертификата Сервера iOS MDM.

     3. Нажмите на кнопку OK.

     Будет выписан резервный сертификат Сервера iOS MDM.

   • Если вы планируете применить пользовательский сертификат, выпущенный вашим центром сертификации, выполните следующие действия:
     1. Нажмите на кнопку Добавить.
     2. В открывшемся окне проводника укажите файл сертификата в формате PEM, PFX или P12, который хранится на вашем устройстве, и нажмите на кнопку Открыть.

     Пользовательский сертификат указан как резервный сертификат Сервера iOS MDM.

Резервный сертификат Сервера iOS MDM указан. Подробная информация о резервном сертификате отображается в блоке параметров Резервный сертификат (название сертификата, компания, выпустившая сертификат, срок действия и дата применения резервного сертификата, если указана).

Установка APNs-сертификата на Сервер iOS MDM

После получения APNs-сертификата необходимо установить его на Сервер iOS MDM.

Чтобы установить APNs-сертификат на Сервер iOS MDM, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Установить.
6. Выберите файл формата PFX, содержащий APNs-сертификат.
7. Введите пароль закрытого ключа, указанный при экспорте APNs-сертификата.

APNs-сертификат будет установлен на Сервер iOS MDM. Информация о сертификате будет отображаться в окне свойств Сервера iOS MDM в разделе Сертификаты.

Настройка доступа к сервису Apple Push Notification

Чтобы обеспечить корректную работу веб-службы iOS MDM и своевременное реагирование мобильных устройств на команды администратора, в параметрах Сервера iOS MDM нужно указать сертификат Apple Push Notification Service (далее – APNs-сертификат).

Взаимодействуя со службой Apple Push Notification (далее – APNs), веб-служба iOS MDM подключается к внешнему адресу api.push.apple.com по исходящему порту 2197. Поэтому веб-службе iOS MDM необходимо предоставить доступ к порту TCP 2197 для диапазона адресов 17.0.0.0/8. Со стороны iOS-устройства – доступ к порту TCP 5223 для диапазона адресов 17.0.0.0/8.

Если доступ к APNs со стороны веб-службы iOS MDM будет предоставляться через прокси-сервер, то на устройстве с установленной веб-службой iOS MDM необходимо выполнить следующие действия.

1. Добавить в реестр следующие строки.
   • Для 32-разрядных операционных систем:

   HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Имя прокси-узла>" "ApnProxyPort"="<Порт прокси-сервера>" "ApnProxyLogin"="<Логин для прокси-сервера>" "ApnProxyPwd"="<Пароль для прокси-сервера>"

   • Для 64-разрядных операционных систем:

   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Имя прокси-узла>" "ApnProxyPort"="<Порт прокси-сервера>" "ApnProxyLogin"="<Логин для прокси-сервера>" "ApnProxyPwd"="<Пароль для прокси-сервера>"

2. Перезапустить веб-службу iOS MDM.

Подключение KES-устройств к Серверу администрирования

В зависимости от способа подключения устройств к Серверу администрирования существуют две схемы развертывания:

• схема развертывания с прямым подключением устройств к Серверу администрирования;
• схема развертывания с использованием Forefront Threat Management Gateway (TMG).

Прямое подключение устройств к Серверу администрирования

KES-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от способа аутентификации существуют два варианта подключения KES-устройств к Серверу администрирования:

• с использованием пользовательского сертификата;
• без пользовательского сертификата.

Подключение устройства с использованием пользовательского сертификата

При подключении устройства с использованием пользовательского сертификата оно привязывается к учетной записи пользователя, для которой был назначен соответствующий сертификат через средства Сервера администрирования.

В этом случае будет использована двусторонняя (взаимная) аутентификация SSL. Сервер администрирования и устройство будут аутентифицированы с помощью сертификатов.

Подключение устройства без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано ни к одной учетной записи пользователя на Сервере администрирования. Но при получении устройством любого сертификата оно будет привязано к пользователю, которому был назначен соответствующий сертификат через средства Сервера администрирования.

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация, при которой только Сервер администрирования аутентифицируется с помощью сертификата. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю (взаимную) SSL-аутентификацию.

Схема подключения KES-устройств к Серверу с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Схема подключения KES-устройств к Серверу администрирования с использованием принудительного делегирования Kerberos Constrained Delegation (KCD) предполагает:

• интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
• использование принудительного делегирования Kerberos Constrained Delegation (далее – KCD) для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) для применения пользовательских сертификатов.

При использовании этой схемы подключения следует учесть следующее:

• В качестве типа подключения KES-устройств к TMG следует выбрать двустороннюю аутентификацию SSL, то есть устройство должно подключаться к TMG по своему пользовательскому сертификату. Для этого в установленный на устройстве пакет установки Kaspersky Endpoint Security для Android необходимо интегрировать пользовательский сертификат. Этот KES-пакет создается Сервером администрирования специально для данного устройства (пользователя).
• Вместо сертификата сервера, используемого по умолчанию, для мобильного протокола следует указать особый (персонализированный) сертификат:
  1. В окне свойств Сервера администрирования в разделе Параметры установите флажок Открыть порт для мобильных устройств и в раскрывающемся списке выберите Добавить сертификат.
  2. В открывшемся окне укажите тот же сертификат, что задан на TMG при публикации точки доступа к мобильному протоколу на Сервере администрирования.
• Пользовательские сертификаты для KES-устройств должны быть выпущены доменным Центром сертификации (ЦС). Следует учесть, что если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выписаны тем Центром сертификации, который указан в публикации на TMG.

  Обеспечить соответствие пользовательского сертификата заявленному выше требованию возможно несколькими способами:

  • Указать особый пользовательский сертификат в мастере создания пакета установки и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
    3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

• точка доступа к мобильному протоколу на Сервере администрирования настроена на порте 13292;
• имя устройства с TMG – tmg.mydom.local;
• имя устройства с Сервером администрирования – ksc.mydom.local;
• имя внешней публикации точки доступа к мобильному протоколу – kes4mob.mydom.global.

Доменная учетная запись для Сервера администрирования

Необходимо создать доменную учетную запись (например, KSCMobileSrvcUsr), под которой будет работать служба Сервера администрирования. Указать учетную запись для службы Сервера администрирования можно при установке Сервера администрирования или с помощью утилиты klsrvswch. Утилита klsrvswch расположена в папке установки Сервера администрирования.

Указать доменную учетную запись необходимо по следующим причинам:

• Управление KES-устройствами – неотъемлемая функция Сервера администрирования.
• Для правильной работы принудительного делегирования Kerberos Constrained Delegation (KCD) принимающая сторона (то есть Сервер администрирования) должна работать под доменной учетной записью.

Имя субъекта-службы (SPN) для http/kes4mob.mydom.local

В домене под учетной записью KSCMobileSrvcUsr требуется прописать SPN для публикации службы мобильного протокола на порте 13292 устройства с Сервером администрирования. Для устройства kes4mob.mydom.local с Сервером администрирования требуется прописать следующее:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика нужно доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/kes4mob.mydom.local:13292).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/kes4mob.mydom.local:13292), администратор должен выполнить следующие действия:

1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN http/kes4mob.mydom.local:13292.

Особый (персонализированный) сертификат для публикации (kes4mob.mydom.global)

Для публикации мобильного протокола Сервера администрирования требуется выписать особый (персонализированный) сертификат на FQDN kes4mob.mydom.global и указать его вместо сертификата сервера, используемого по умолчанию, в параметрах мобильного протокола Сервера администрирования в Консоли администрирования. Для этого в окне свойств Сервера администрирования в разделе Параметры необходимо установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.

Следует учесть, что в контейнере с сертификатом сервера (файл с расширением p12 или pfx) должна также присутствовать цепочка корневых сертификатов (открытые ключи).

Настройка публикации на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 13292 kes4mob.mydom.global, необходимо настроить KCD на SPN (http/kes4mob.mydom.local:13292) с использованием сертификата сервера, выпущенного для FQND kes4mob.mydom.global. Следует учесть, что к публикации и публикуемой точке доступа (порт 13292 Сервера администрирования) должен быть применен один и тот же сертификат сервера.

Использование Firebase Cloud Messaging

Для своевременной доставки команд на KES-устройства под управлением операционной системы Android в Kaspersky Security Center используется механизм push-нотификаций. Push-нотификации между KES-устройствами и Сервером администрирования осуществляются с помощью сервиса Firebase Cloud Messaging (далее – FCM). В Консоли администрирования Kaspersky Security Center вы можете указать параметры сервиса Cloud Messaging, чтобы подключить KES-устройства к этому сервису.

Для получения параметров Firebase Cloud Messaging вам необходимо иметь учетную запись Google.

Чтобы включить использование FCM, выполните следующие действия:

1. В Консоли администрирования выберите узел Управление мобильными устройствами и папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.
3. В окне свойств папки выберите раздел Параметры Firebase Cloud Messaging.
4. В поле Номер проекта Firebase укажите Sender ID FCM.
5. В поле Файл закрытого ключа (в формате JSON) выберите файл приватного ключа.

При следующей синхронизации с Сервером администрирования KES-устройства под управлением операционной системы Android будут подключены к службе Firebase Cloud Messaging.

Вы можете изменить параметры Firebase Cloud Messaging по кнопке Сбросить параметры.

При переключении на другой проект Firebase работа FCM возобновляется через 10 минут.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны KES-устройства необходим доступ к портам 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) и 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • все IP-адреса из списка "ASN 15169 Google".
• Со стороны Сервера администрирования необходим доступ к порту 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • все IP-адреса из списка "ASN 15169 Google".

В случае, если в Консоли администрирования в свойствах Сервера администрирования заданы параметры прокси-сервера (Дополнительно / Параметры доступа к интернету), они будут использованы для взаимодействия с FCM.

Настройка FCM: получение Sender ID и файла приватного ключа

Чтобы настроить FCM, выполните следующие действия:

1. Зарегистрируйтесь на портале Google.
2. Перейдите в консоль Firebase.
3. Выполните одно из следующих действий:
   • Чтобы создать новый проект, нажмите на кнопку Create a project и следуйте инструкциям на экране.
   • Откройте существующий проект.
4. Нажмите на значок шестеренки и выберите Project settings.

   Откроется окно Project settings.

5. Выберите вкладку Cloud Messaging.
6. Скопируйте Sender ID из поля Sender ID в разделе Firebase Cloud Messaging API (V1).
7. Выберите вкладку Service accounts и нажмите на кнопку Generate new private key.
8. В открывшемся окне нажмите на кнопку Generate key, чтобы сгенерировать и загрузить файл приватного ключа.

Firebase Cloud Messaging настроен.

Выключение Управления мобильными устройствами

Выключение Управления мобильными устройствами доступно только на главном Сервере администрирования.

Чтобы выключить Управление мобильными устройствами:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В рабочей области папки перейдите по ссылке Добавить мобильное устройство iOS.

   Отобразится окно Дополнительные компоненты мастера первоначальной настройки Сервера администрирования.

3. Выберите пункт Не включать Управление мобильными устройствами, если вы больше не хотите управлять мобильными устройствами.
4. Нажмите на кнопку ОК.

Ранее подключенные мобильные устройства не смогут подключиться к Серверу администрирования. Порт подключения мобильных устройств и порт активации мобильных устройств будут закрыты автоматически.

Созданные политики Kaspersky Endpoint Security для Android и Kaspersky Device Management для iOS не будут удалены. Правила выпуска сертификатов не изменяются. Установленные плагины не удаляются. Правило перемещения мобильных устройств не будет удалено.

После повторного включения Управления мобильными устройствами на управляемых мобильных устройствах может потребоваться переустановка мобильных приложений, которые необходимы для управления мобильными устройствами.

Установка Kaspersky Endpoint Security для Android

В этом разделе описаны способы развертывания Kaspersky Endpoint Security для Android в сети организации.

Разрешения

Для работы всех функций приложений Kaspersky Endpoint Security для Android запрашивает у пользователя необходимые разрешения. Kaspersky Endpoint Security для Android запрашивает обязательные разрешения во время прохождения мастера установки, а также после установки перед использованием отдельных функций приложений. Без предоставления обязательных разрешений Kaspersky Endpoint Security для Android установить невозможно.

На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется в настройках устройства вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства.

На устройствах с операционной системой Android 11 или выше, либо Android 6-10 (при использовании сервисов Google Play) необходимо выключить системную настройку Удалять разрешения, если приложение не используется. В противном случае, если приложение не используется в течение нескольких месяцев, система автоматически сбрасывает разрешения, предоставленные приложению пользователем.

Разрешения, запрашиваемые Kaspersky Endpoint Security для Android

Установка Kaspersky Endpoint Security для Android на персональные устройства

Установка Kaspersky Endpoint Security для Android выполняется на мобильные устройства пользователей, учетные записи которых добавлены в Kaspersky Security Center. Подробная информация о работе с учетными записями пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

Развернуть всё | Свернуть всё

Установить Kaspersky Endpoint Security для Android через Kaspersky Security Center можно одним из следующих способов.

• Загрузить приложение из Google Play

  Пользователь получит ссылку на Google Play. Установка выполняется обычным способом, принятым для платформы Android. Дополнительной настройки Kaspersky Endpoint Security для Android после установки не требуется.

  У некоторых устройств HUAWEI и Honor отсутствуют сервисы Google и, следовательно, доступ к приложениям в Google Play. Если пользователям устройств HUAWEI и Honor не удается установить приложение из Google Play, им следует установить приложение из HUAWEI AppGallery.

  Ссылка содержит следующие данные:

  • Параметры синхронизации с Kaspersky Security Center.
  • Мобильный сертификат.
  • Индикатор принятия условий и положений Лицензионного соглашения для Kaspersky Endpoint Security для Android и дополнительных Положений. Если администратор принял условия Лицензионного соглашения и дополнительных Положений в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android соответствующий шаг будет пропущен.
• Загрузить пакет установки из Kaspersky Security Center

  Инсталляционный пакет приложения будет загружен с сервера Kaspersky Security Center. Приложение также будет обновляться через Kaspersky Security Center с помощью настроек политики. Этот способ можно также использовать, если мобильные устройства в вашей компании работают без подключения к интернету.

  Чтобы использовать этот способ, выполните предварительную настройку, которая включает следующие шаги:

  1. Создайте и настройте инсталляционный пакет приложения.
  2. Создайте автономный инсталляционный пакет.

  Если для развертывания приложения используется инсталляционный пакет из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение Заблокировано Play Защитой. Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии кнопки OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Чтобы установить Kaspersky Endpoint Security для Android с помощью Kaspersky Security Center на персональные устройства, выполните следующие действия:

1. В дереве консоли выберите папку Управление мобильными устройствами → Мобильные устройства.
2. В рабочей области папки Мобильные устройства нажмите на кнопку Добавить мобильное устройство.

   Запустится мастер подключения нового мобильного устройства. Следуйте его указаниям.

3. В разделе Операционная система выберите Android.
4. В разделе Тип устройства выберите Персональное устройство.

   Kaspersky Security Center проверяет наличие обновлений плагина управления. При обнаружении обновлений программой Kaspersky Security Center, можно установить новую версию плагина администрирования. После обновления плагина управления можно принять условия и положения Лицензионного соглашения (EULA) и дополнительных Положений для Kaspersky Endpoint Security для Android. Если администратор принял условия Лицензионного соглашения и дополнительных Положений в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android соответствующий шаг будет пропущен. Эта функция доступна в Kaspersky Security Center версии 12.

5. На странице Способ установки Kaspersky Endpoint Security для Android выберите один из двух вариантов:
   • Загрузить приложение из Google Play
   • Загрузить пакет установки из Kaspersky Security Center, если не удается загрузить приложение из Google Play или если вам нужна определенная версия приложения (например, для использования в режиме device owner)
6. На странице Выбор пользователей, мобильными устройствами которых вы хотите управлять выберите пользователей, чтобы установить Kaspersky Endpoint Security для Android на их мобильные устройства.

   Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера подключения нового мобильного устройства.

7. На странице Источник сертификата выберите источник сертификата для защиты обмена данными между Kaspersky Endpoint Security для Android и Kaspersky Security Center:
   • Выписать сертификат средствами Сервера администрирования. В этом случае сертификат будет создан автоматически.
   • Указать файл сертификата. В этом случае требуется предварительно подготовить собственный сертификат и выбрать его в окне мастера. Этот вариант невозможно использовать, если вы хотите установить Kaspersky Endpoint Security для Android на несколько мобильных устройств. Для каждого пользователя должен быть создан отдельный сертификат.
8. На странице Способ уведомления пользователя выберите способ передачи QR-кода для установки приложения:
   • Выберите Показать QR-код в мастере и отсканируйте QR-код с помощью камеры мобильного устройства, на которое будет установлено приложение.
   • Выберите Отправить QR-код пользователю и отправьте QR-код с соответствующей ссылкой на электронные адреса выбранных пользователей из вашей организации. Чтобы установить приложение, пользователь должен отсканировать QR-код с помощью камеры мобильного устройства или открыть ссылку на инсталляционный пакет.

     Если вы выбрали этот способ, укажите следующие параметры в блоке По электронной почте:

     1. Установите флажок Адреса электронной почты пользователя. В раскрывающемся списке выберите один из следующих вариантов:
        • Все адреса электронной почты
        • Основная электронная почта
        • Дополнительная электронная почта

        Эти электронные адреса должны быть указаны в параметрах учетных записей пользователей в Kaspersky Security Center.

     2. Если вы хотите отправить QR-код на электронную почту, не указанную в параметрах учетной записи в Kaspersky Security Center, установите флажок Другая электронная почта, а затем укажите нужный адрес.
     3. Нажмите на кнопку Изменить сообщение, чтобы изменить тему и текст письма.

        Если вы установили флажок Запрашивать пароль при установке сертификата в разделе Выпуск мобильных сертификатов, добавьте макрос %PASS% в текст письма, чтобы отправить пароль пользователю. В противном случае появится предупреждение и письмо не отправится.

     Нажмите на кнопку Далее, чтобы отправить сгенерированное письмо.

9. Страница Результат отображает указанную вами информацию. Отсканируйте QR-код, если вы выбрали способ Показать QR-код в мастере на предыдущей странице.
10. Нажмите на кнопку Завершить, чтобы завершить работу мастера подключения нового мобильного устройства.

После установки Kaspersky Endpoint Security для Android на мобильные устройства пользователей вы сможете настраивать параметры устройств и приложений с помощью групповых политик. Вы также сможете отправлять на мобильные устройства команды для защиты данных в случае потери или кражи устройств.

Установка Kaspersky Endpoint Security для Android в режиме device owner

Развернуть всё | Свернуть всё

Режим device owner – это режим работы корпоративных Android-устройств. Этот режим позволяет вам осуществлять полный контроль над устройством и настраивать множество функций.

Kaspersky Security Center позволяет установить приложение Kaspersky Endpoint Security для Android в режиме device owner с помощью сгенерированного QR-кода для установки приложения на устройство.

Установка Kaspersky Endpoint Security для Android выполняется на мобильные устройства пользователей, учетные записи которых добавлены в Kaspersky Security Center. Подробная информация о работе с учетными записями пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

Способы установки приложения

Приложение Kaspersky Endpoint Security для Android можно установить с помощью QR-кода следующими способами:

• Загрузить приложение с веб-сайта "Лаборатории Касперского"

  Выберите этот способ для мобильных устройств, которые имеют доступ в интернет, чтобы загрузить установочный файл APK с сайта "Лаборатории Касперского". Затем приложение будет обновляться с помощью HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps.

• Загрузить пакет установки из Kaspersky Security Center

  Инсталляционный пакет приложения будет загружен с сервера Kaspersky Security Center. Приложение также будет обновляться через Kaspersky Security Center с помощью настроек политики. Этот способ можно также использовать, если мобильные устройства в вашей компании работают без подключения к интернету.

  Чтобы использовать этот способ, перед генерацией QR-кода выполните следующие шаги:

  1. Создайте и настройте инсталляционный пакет приложения.
  2. Создайте автономный инсталляционный пакет.

     Если для развертывания приложения используется инсталляционный пакет из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение Заблокировано Play Защитой. Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии кнопки OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Генерация QR-кода для установки приложения

Чтобы сгенерировать QR-код для установки приложения в режиме device owner:

1. В дереве консоли выберите папку Управление мобильными устройствами → Мобильные устройства.
2. В рабочей области папки Мобильные устройства нажмите на кнопку Добавить мобильное устройство.

   Запустится мастер подключения нового мобильного устройства. Следуйте его указаниям.

3. В разделе Операционная система выберите Android.
4. В разделе Тип устройства выберите Корпоративное устройство (режим device owner).
5. В разделе Сеть для загрузки Kaspersky Endpoint Security выберите один из следующих вариантов:
   • Предложить пользователю выбрать сеть Wi-Fi на устройстве

     В этом случае пользователю будет предложено подключиться к любой доступной сети Wi-Fi для загрузки приложения.

     Этот параметр выбран по умолчанию.

   • Использовать только указанную сеть Wi-Fi (Android 9 или выше)

     В этом случае устройство попытается автоматически подключиться к указанной вами сети. Эта возможность поддерживается на устройствах с Android версии 9 и выше.

     Необходимо правильно ввести все параметры сети. Если какой-либо параметр указан неверно или сеть недоступна, процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

     Для настройки подключения к нужной сети Wi-Fi нажмите на кнопку Задать сеть. В окне Сеть Wi-Fi для загрузки Kaspersky Endpoint Security укажите следующие параметры:

     • Идентификатор сети SSID

       Определяет имя беспроводной сети, содержащей точку доступа (SSID). Имя беспроводной сети должно состоять не более чем из 32 символов.

     • Скрытая сеть

       Определяет, будет ли выбранная сеть транслировать свой SSID.

       По умолчанию флажок снят.

     • Защита сети

       Определяет тип защиты беспроводной сети. Возможные значения:

       • Открытая - При выборе сеть не будет защищена (по умолчанию).
       • WEP (Android 9 или ниже) - При выборе сеть защищается по протоколу WEP. Этот параметр требует ввода пароля для доступа к сети и применяется только для Android 9 или ниже.
       • WPA2 PSK - При выборе сеть защищается по протоколу безопасности WPA2 PSK. Этот параметр требует ввода пароля для доступа к сети.
     • Пароль (передается в незашифрованном виде)

       Определяет пароль для доступа к беспроводной сети, защищенной по протоколу WEP или WPA2 PSK. Пароль передается с QR-кодом.

       Не используйте пароль от конфиденциальной сети Wi-Fi. Пароль передается пользователю в открытом виде вместе с другими данными, необходимыми для настройки устройства.

     • Не использовать прокси-сервер

       Прокси-сервер не используется (по умолчанию).

     • Использовать прокси-сервер

       Прокси-сервер используется. Если выбран этот параметр, необходимо указать адрес и порт прокси-сервера. Также можно указать список сайтов, для которых прокси будет игнорироваться.

     • Адрес прокси-сервера

       Определяет IP-адрес или символьное имя (веб-адрес) прокси-сервера. Максимальное количество символов – 256.

     • Порт прокси-сервера

       Номер порта прокси-сервера. Значение должно быть в диапазоне от 0 до 65 536.

     • Не использовать прокси-сервер для адресов

       Определяет адреса веб-сайтов, для которых не нужно использовать прокси-сервер.

       Вы можете, например, ввести адрес example.com. В этом случае прокси-сервер не будет использоваться для адресов pictures.example.com, example.com/movies и т. п. Протокол (например, http://) указывать необязательно.

     • URL PAC-файла

       URL-адрес PAC-файла (proxy auto-configuration) для сети Wi-Fi.

   • Использовать мобильную сеть (Android 8.0 или выше)

     В этом случае устройство попытается подключиться к мобильной сети для загрузки программы. Если в устройстве не установлена SIM-карта или мобильная сеть недоступна, пользователю будет предложено выбрать доступную сеть Wi-Fi.

     Эта возможность поддерживается на устройствах с Android версии 7.0 и выше.

6. В разделе Дополнительно установите флажок Включить все системные приложения, если вы хотите, чтобы системные приложения на устройстве были включены. Если флажок снят, все системные приложения отключены.
7. Нажмите Далее.

   Kaspersky Security Center проверяет наличие обновлений плагина управления. При обнаружении обновлений программой Kaspersky Security Center, можно установить новую версию плагина администрирования. После обновления плагина управления можно принять условия и положения Лицензионного соглашения (EULA) и дополнительных Положений для Kaspersky Endpoint Security для Android. Если администратор принял условия Лицензионного соглашения и дополнительных Положений в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android соответствующий шаг будет пропущен.

8. На странице Способ установки Kaspersky Endpoint Security для Android в режиме device owner выберите способ установки:
   • Загрузить приложение с веб-сайта "Лаборатории Касперского"
   • Загрузить пакет установки из Kaspersky Security Center

     При выборе этого варианта, оставьте флажок Разрешить использование HTTP для загрузки приложения в режиме device owner установленным, чтобы убедиться, что приложение будет загружено. В противном случае приложение будет загружено через HTTPS, только если сертификат Веб-сервера Kaspersky Security Center был выдан доверенным центром сертификации.

   Подробная информация об этих способах установки доступна в разделе Способы установки приложения.

9. На странице Выбор пользователей, мобильными устройствами которых вы хотите управлять выберите пользователей, чтобы установить Kaspersky Endpoint Security для Android на их мобильные устройства.

   Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера подключения нового мобильного устройства.

10. На странице Источник сертификата выберите источник сертификата для защиты обмена данными между Kaspersky Endpoint Security для Android и Kaspersky Security Center:
    • Выписать сертификат средствами Сервера администрирования. В этом случае сертификат будет создан автоматически.
    • Указать файл сертификата. В этом случае требуется предварительно подготовить собственный сертификат и выбрать его в окне мастера. Этот вариант невозможно использовать, если вы хотите установить Kaspersky Endpoint Security для Android на несколько мобильных устройств. Для каждого пользователя должен быть создан отдельный сертификат.
11. На странице Способ уведомления пользователя выберите способ передачи QR-кода для установки приложения:
    • Выберите Показать QR-код в мастере и отсканируйте QR-код с помощью камеры мобильного устройства, на которое будет установлено приложение.
    • Выберите Отправить QR-код пользователю и отправьте QR-код с соответствующей ссылкой на электронные адреса выбранных пользователей из вашей организации. Чтобы установить приложение, пользователь должен отсканировать QR-код с помощью камеры мобильного устройства или открыть ссылку на инсталляционный пакет.

      Если вы выбрали этот способ, укажите следующие параметры в блоке По электронной почте:

      1. Установите флажок Адреса электронной почты пользователя. В раскрывающемся списке выберите один из следующих вариантов:
         • Все адреса электронной почты
         • Основная электронная почта
         • Дополнительная электронная почта

         Эти электронные адреса должны быть указаны в параметрах учетных записей пользователей в Kaspersky Security Center.

      2. Если вы хотите отправить QR-код на электронную почту, не указанную в параметрах учетной записи в Kaspersky Security Center, установите флажок Другая электронная почта, а затем укажите нужный адрес.
      3. Нажмите на кнопку Изменить сообщение, чтобы изменить тему и текст письма.

         Если вы установили флажок Запрашивать пароль при установке сертификата в разделе Выпуск мобильных сертификатов, добавьте макрос %PASS% в текст письма, чтобы отправить пароль пользователю. В противном случае появится предупреждение и письмо не отправится.

      Нажмите на кнопку Далее, чтобы отправить сгенерированное письмо.

12. Страница Результат отображает указанную вами информацию. Отсканируйте QR-код, если вы выбрали способ Показать QR-код в мастере на предыдущей странице.
13. Нажмите на кнопку Завершить, чтобы завершить работу мастера подключения нового мобильного устройства.

Для установки Kaspersky Endpoint Security для Android в режиме device owner необходима дополнительная настройка Android-устройства.

После установки Kaspersky Endpoint Security для Android на мобильные устройства пользователей вы сможете настраивать параметры устройств и приложений с помощью групповых политик. Вы также сможете отправлять на мобильные устройства команды для защиты данных в случае потери или кражи устройств.

Установка Kaspersky Endpoint Security для Android в режиме device owner в закрытой сети

При развертывании Kaspersky Endpoint Security для Android в режиме device owner с помощью QR-кода на устройствах с предустановленными Google Mobile Services (GMS) проверяется их подключение к определенным конечным точкам Google через сети Wi-Fi. Если сеть Wi-Fi не имеет доступа к интернету, проверить подключение не удается и развертывание завершается с ошибкой.

Чтобы избежать проверки подключения, вы можете развернуть приложение Kaspersky Endpoint Security для Android в режиме device owner в закрытой сети с помощью файла PAC (Proxy Auto-Configuration).

Чтобы использовать PAC-файл для развертывания приложения Kaspersky Endpoint Security для Android:

1. Создайте PAC-файл (например, proxy.pac) со следующим содержанием:

   function FindProxyForURL (url, host) {
   return "DIRECT";
   }

2. Опубликуйте созданный PAC-файл на ресурсе, который будет доступен в закрытой сети (например, на веб-сервере IIS).

   Сохраните ссылку на PAC-файл (например, https://intranet.mycompany.com/files/proxy.pac).

3. Убедитесь, что APK-файл развертываемого приложения Kaspersky Endpoint Security для Android доступен в закрытой сети. Для этого воспользуйтесь одним из следующих способов:
   • Загрузите инсталляционный пакет приложения с сервера Kaspersky Security Center. Если сервер доступен, на нем будут доступны инсталляционные пакеты.
   • Скачайте инсталляционный APK-файл с сайта Kaspersky и загрузите его в закрытую сеть.

     Выберите в качестве источника общую версию приложения.

4. Сгенерируйте QR-код для установки приложения в режиме device owner и отправьте его пользователю, следуя инструкциям мастера подключения нового мобильного устройства.

   При подключении устройства к Kaspersky Security Center вам будет предложено указать сеть для загрузки приложения Kaspersky Endpoint Security для Android. На этом шаге настройте использование ранее созданного PAC-файла для сетевого подключения, связав его с настройками сети Wi-Fi на устройстве. Для этого воспользуйтесь одним из следующих способов:

   • В разделе Сеть для загрузки Kaspersky Endpoint Security для Android выберите Предлагать пользователю выбрать сеть Wi-Fi на устройстве. При развертывании приложения пользователю необходимо указать ссылку на PAC-файл (шаг 2) в настройках сети при выборе сети Wi-Fi на устройстве. После установки соединения пользователь сможет продолжить настройку устройства и активировать приложение, следуя инструкциям мастера первоначальной настройки приложения.
   • В разделе Сеть для загрузки Kaspersky Endpoint Security для Android выберите Использовать только заданную сеть Wi-Fi (Android 9 или выше), нажмите на кнопку Задать сеть, вставьте ссылку на ранее созданный PAC-файл (шаг 2) в поле URL PAC-файла и нажмите на кнопку ОК.

   Если инсталляционный APK-файл был загружен с сайта Kaspersky (шаг 3), вам необходимо изменить ссылку в QR-коде, указав адрес закрытой сети.

   Дополнительная информация о настройке Kaspersky Endpoint Security для Android в режиме device owner приведена в разделе Установка приложения в режиме device owner.

   Если для развертывания приложения используется инсталляционный пакет из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение Заблокировано Play Защитой. Это связано с тем, что сертификат подписи пакета установки отличается от указанного в Google Play. Для продолжения установки необходимо нажать кнопку Все равно установить. При нажатии кнопки OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Приложение Kaspersky Endpoint Security для Android будет установлено на устройстве в режиме device owner в закрытой сети.

Другие способы установки Kaspersky Endpoint Security для Android

Вы можете установить Kaspersky Endpoint Security для Android, используя ссылку на собственный веб-сервер, или попросить пользователей установить приложение вручную.

Установка Kaspersky Endpoint Security для Android вручную

Вы можете вручную установить Kaspersky Endpoint Security для Android с сайта "Лаборатории Касперского", HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps.

Установка приложения

Чтобы установить приложение из магазина приложений, выполните стандартную процедуру установки для платформы Android.

Чтобы установить Kaspersky Endpoint Security для Android с сайта "Лаборатории Касперского":

1. Перейдите на сайт "Лаборатории Касперского".
2. Найдите Kaspersky Security для мобильных устройств на сайте.
3. Нажмите Показать версии для загрузки.
4. Выберите версию приложения и нажмите Скачать.
5. Откройте загруженный файл APK и следуйте инструкциям на экране.

   Вам может понадобиться разрешить браузеру установку приложений из сторонних источников, отличных от Google Play, в разделе настроек устройства Приложения → Специальный доступ → Установка неизвестных приложений. Расположение этих настроек может отличаться на устройствах разных производителей.

Приложение будет установлено на устройство.

Настройка приложения

После установки Kaspersky Endpoint Security для Android нужно вручную настроить приложение. Процедура настройки зависит от того, отправил ли вам администратор адрес сервера или ссылку для скачивания приложения.

Чтобы настроить Kaspersky Endpoint Security для Android с использованием ссылки для скачивания приложения:

1. Откройте Kaspersky Endpoint Security для Android.
2. Прочитайте Лицензионное соглашение. Если вы принимаете Лицензионное соглашение, установите соответствующий флажок и нажмите Продолжить.
3. Нажмите Продолжить и предоставьте приложению необходимые разрешения.
4. В поле Сервер укажите ссылку, которую вы получили от администратора.
5. Нажмите Продолжить.

Приложение Kaspersky Endpoint Security для Android настроено.

Чтобы настроить Kaspersky Endpoint Security для Android с использованием адреса сервера:

1. Откройте Kaspersky Endpoint Security для Android.
2. Прочитайте Лицензионное соглашение. Если вы принимаете Лицензионное соглашение, установите соответствующий флажок и нажмите Продолжить.
3. Нажмите Продолжить и предоставьте приложению необходимые разрешения.
4. В поле Сервер укажите адрес Сервера администрирования, предоставленный администратором.
5. Нажмите Продолжить.
6. Нажмите Включить, чтобы включить приложение в качестве администратора устройства.
7. Нажмите Разрешить и предоставьте приложению необходимые разрешения.

Приложение Kaspersky Endpoint Security для Android настроено.

Для синхронизации с Сервером администрирования на мобильном устройстве должен быть включен доступ в интернет.

Создание и настройка инсталляционного пакета

Инсталляционный пакет Kaspersky Endpoint Security для Android представляет собой самораспаковывающийся архив sc_package.exe. В состав архива входят файлы, необходимые для установки мобильного приложения на устройства:

• adb.exe, AdbWinApi.dll, AdbWinUsbApi.dll – набор файлов, необходимый для установки Kaspersky Endpoint Security для Android;
• installer.ini – конфигурационный файл с параметрами подключения к Серверу администрирования;
• KES10_xx_xx_xxx.apk – установочный файл Kaspersky Endpoint Security для Android;
• kmlisten.exe – утилита доставки инсталляционного пакета приложения через рабочую станцию;
• kmlisten.ini – конфигурационный файл с параметрами для утилиты доставки инсталляционного пакета;
• kmlisten.kpd – файл с описанием программы.

Чтобы создать инсталляционный пакет Kaspersky Endpoint Security для Android, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. В рабочей области папки Инсталляционные пакеты нажмите на кнопку Создать инсталляционный пакет.

   Запустится мастер создания инсталляционного пакета. Следуйте далее указаниям мастера.

3. На странице Выбор типа инсталляционного пакета нажмите на кнопку Создать инсталляционный пакет для программы "Лаборатории Касперского".
4. На странице Определение имени инсталляционного пакета введите имя инсталляционного пакета для отображения в рабочей области папки Инсталляционные пакеты.
5. На странице Выбор дистрибутива программы для установки выберите самораспаковывающийся архив sc_package.exe, который входит в комплект поставки.

   Если архив был распакован ранее, то вы можете выбрать входящий в состав архива файл с описанием приложения kmlisten.kpd. В результате в поле ввода отобразится название приложения и номер версии.

   Если вы создадите инсталляционный пакет с архивом sc_package.exe в Kaspersky Security Center версии ниже 14.2, Kaspersky Endpoint Security для Android не удастся установить на устройствах под управлением Android 10 и выше. Чтобы избежать этой проблемы, обновитесь до Kaspersky Security Center 14.2 или обратитесь в Службу технической поддержки для получения соответствующей версии архива.

6. На странице Принять Лицензионное соглашение прочитайте и примите условия Лицензионного соглашения.

   Условия Лицензионного соглашения необходимо принять для создания инсталляционного пакета. Если вы приняли условия Лицензионного соглашение в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android шаг принятия Лицензионного соглашения будет пропущен.

   Если вы решите прекратить защиту мобильных устройств, можно удалить приложение Kaspersky Endpoint Security для Android и отозвать согласие с условиями Лицензионного соглашения для этого приложения. Дополнительная информация об отзыве Лицензионного соглашения приведена в справке Kaspersky Security Center.

После завершения работы мастера созданный инсталляционный пакет будет отображаться в рабочей области папки Инсталляционные пакеты. На Сервере администрирования инсталляционные пакеты хранятся в заданной папке общего доступа в служебной папке Packages.

Чтобы настроить параметры инсталляционного пакета, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. В контекстном меню инсталляционного пакета Kaspersky Endpoint Security для Android выберите пункт Свойства.
3. На закладке Параметры укажите параметры подключения мобильных устройств к Серверу администрирования и имя группы администрирования, в которую будут автоматически добавлены мобильные устройства после первой синхронизации с Сервером администрирования. Для этого выполните следующие действия:
   • В блоке Подключение к Серверу администрирования в поле Адрес сервера укажите имя Сервера администрирования для подключения мобильных устройств в том формате, в каком он был указан при установке компонента Поддержка мобильных устройств во время развертывания Сервера администрирования.

     В зависимости от формата имени Сервера администрирования для компонента Поддержка мобильных устройств укажите DNS-имя или IP-адрес Сервера администрирования. В поле Номер SSL-порта укажите номер порта, открытого на Сервере администрирования для подключения мобильных устройств. По умолчанию указан порт 13292.

   • В блоке Размещение компьютеров по группам в поле Имя группы введите имя группы, в которую будут добавлены мобильные устройства после первой синхронизации с Сервером администрирования (по умолчанию KES10).

     Указанная группа будет создана автоматически в папке Дополнительно → Обнаружение устройств → Домены.

   • В блоке Действия при установке установите флажок Запрашивать адрес электронной почты, чтобы при первом запуске приложение запрашивало у пользователя его адрес корпоративной электронной почты.

     Адрес электронной почты пользователя используется для формирования имени мобильных устройств при добавлении их в группу администрирования.

4. Чтобы применить указанные параметры, нажмите на кнопку Применить.

Создание автономного пакета установки

Чтобы создать автономный пакет установки, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. Выберите инсталляционный пакет приложения Kaspersky Endpoint Security для Android.
3. В контекстном меню инсталляционного пакета выберите пункт Создать автономный инсталляционный пакет.

   В результате запустится мастер создания автономного пакета установки. Следуйте его указаниям.

4. Настройте способы распространения автономного пакета установки:
   • Чтобы распространить путь к сформированному автономному пакету установки среди пользователей по электронной почте, в блоке Дальнейшие действия перейдите по ссылке Разослать ссылку на автономный пакет установки по электронной почте.

     Откроется окно создания сообщения, текст которого содержит путь к папке общего доступа с автономным пакетом установки.

   • Чтобы разместить ссылку на сформированный автономный пакет установки на веб-сайте своей компании, перейдите по ссылке Пример HTML-кода для размещения ссылки на веб-сайте.

     Откроется tmp-файл, содержащий HTML_RJL ссылки.

5. Чтобы опубликовать сформированный автономный пакет установки на Веб-сервере Kaspersky Security Center, а также просмотреть весь список автономных пакетов для выбранного инсталляционного пакета, в окне Мастер создания автономного инсталляционного пакета установите флажок Открыть список автономных пакетов.

После завершения работы мастера откроется окно Список автономных пакетов для инсталляционного пакета <Имя инсталляционного пакета>.

Окно Список автономных пакетов для инсталляционного пакета <Имя инсталляционного пакета> содержит следующую информацию:

• список автономных пакетов установки;
• сетевой путь к папке общего доступа в поле Путь;
• адрес автономного пакета на Веб-сервере Kaspersky Security Center в поле Веб-адрес.

При рассылке по электронной почте вы можете указать в качестве ресурса для загрузки пользователями установочного файла приложения как адрес, содержащийся в поле Веб-адрес, так и адрес, указанный в поле Путь. При рассылке SMS-сообщений пользователям следует указать ссылку для загрузки, содержащуюся в поле Веб-адрес.

Рекомендуется скопировать адрес подготовленного автономного пакета в буфер обмена, чтобы затем добавить ссылку для загрузки нужного установочного файла в сообщение электронной почты или SMS-сообщение для пользователей.

Настройка параметров синхронизации

Для управления мобильными устройствами и получения отчетов или статистик от мобильных устройств пользователей требуется настроить параметры синхронизации. Синхронизация мобильного устройства с Kaspersky Security Center может быть выполнена следующими способами:

• По расписанию. Синхронизация по расписанию выполняется с помощью протокола HTTP. Вы можете настроить расписание синхронизации в параметрах групповой политики. Изменения параметров групповой политики, команды и задачи будут выполнены во время синхронизации устройства с Kaspersky Security Center по расписанию, т. е. с задержкой. По умолчанию мобильные устройства автоматически синхронизируются с Kaspersky Security Center каждые шесть часов.
• Принудительно. Принудительная синхронизация выполняется с помощью push-уведомлений сервиса FCM (Firebase Cloud Messaging). Принудительная синхронизация, в первую очередь, предназначена для своевременной доставки команд на мобильное устройство. Это может быть полезно, если устройство находится в режиме экономии заряда батареи, поскольку в этом случае приложение может выполнять задачи позже, чем указано. Если вы хотите использовать принудительную синхронизацию, убедитесь что параметры FCM в Kaspersky Security Center настроены.

Чтобы настроить параметры синхронизации мобильных устройств с Kaspersky Security Center, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Синхронизация.
5. Выберите периодичность запуска синхронизации в раскрывающемся списке Запускать синхронизацию.
6. Чтобы запретить синхронизацию устройства с Kaspersky Security Center в роуминге, установите флажок Выключить синхронизацию в роуминге.

   Пользователь устройства может выполнять синхронизацию вручную в настройках приложения ( → Настройки → Синхронизация → Синхронизировать).

7. Чтобы скрыть от пользователя параметры синхронизации (адрес сервера, порт и группа администрирования) в настройках приложения, снимите флажок Показывать параметры синхронизации на устройстве. Изменить скрытые параметры невозможно.
8. Чтобы получать историю местоположений устройства, установите флажок Отправлять историю местоположений устройства при синхронизации в блоке История местоположений устройства. История местоположений будет отправляться на Сервер администрирования при каждой синхронизации.

   Функциональность должна использоваться в соответствии с требованиями локального законодательства, с уведомлением или согласием (в зависимости от требований законодательства) лица, использующего устройство, о включении на устройстве функциональности отслеживания местоположения.

   Включение этой настройки и задание геозоны приведет к увеличению энергопотребления устройства.
   
   Этот параметр работает только в том случае, если тип информационного события История местоположения устройства хранится в базе данных Сервера администрирования. События настраиваются в разделе События свойств политики. Дополнительная информация приведена в справке Kaspersky Security Center.

9. В раскрывающемся списке Частота определения местоположений устройства укажите частоту получения местоположения устройства По умолчанию указано значение Каждые 15 минут.

   Из-за технических ограничений Android-устройств фактическое определение местоположения устройства может происходить реже, чем указано.

10. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды. Подробная информация о работе с командами для мобильных устройств приведена в разделе Отправка команд.

Активация приложения Kaspersky Endpoint Security для Android

В Kaspersky Security Center лицензия может распространяться на различные группы функциональности. Для полноценного функционирования Kaspersky Endpoint Security для Android необходимо, чтобы приобретенная организацией лицензия на Kaspersky Security Center распространялась на функциональность Управление мобильными устройствами. Функциональность Управление мобильными устройствами предназначена для подключения мобильных устройств к Kaspersky Security Center и управления ими.

Подробная информация о лицензировании Kaspersky Security Center и вариантах лицензирования приведена в справке Kaspersky Security Center.

Активация приложения Kaspersky Endpoint Security для Android на мобильном устройстве осуществляется путем предоставления приложению информации о действующей лицензии. Информация о лицензии передается на мобильное устройство вместе с политикой при синхронизации устройства с Kaspersky Security Center.

Если приложение Kaspersky Endpoint Security для Android не было активировано в течение 30 дней с момента установки на мобильное устройство, приложение автоматически переключается в режим работы с ограниченной функциональностью. В этом режиме работы большинство компонентов приложения не работает. При переходе в режим работы с ограниченной функциональностью приложение прекращает выполнять автоматическую синхронизацию с Kaspersky Security Center. Поэтому, если приложение не было активировано в течение 30 дней с момента установки, пользователю необходимо вручную выполнить синхронизацию устройства с Kaspersky Security Center.

Если Kaspersky Security Center не развернут в вашей организации или недоступен для мобильных устройств, пользователи могут активировать приложение Kaspersky Endpoint Security для Android на своих устройствах вручную.

Чтобы активировать приложение Kaspersky Endpoint Security для Android, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В окне Свойства: <Название политики> выберите раздел Лицензирование.
5. В разделе Лицензирование в раскрывающемся списке Ключ выберите ключ для активации приложения, размещенный в хранилище ключей Сервера администрирования Kaspersky Security Center.

   В поле ниже отобразится информация о приложении, для которого приобретена лицензия, срок окончания действия лицензии, ее тип.

6. Установите флажок Активировать ключом из хранилища Kaspersky Security Center.

   Если приложение активировано без ключа, размещенного в хранилище Kaspersky Security Center, Kaspersky Secure Mobility Management заменит его на ключ активации, выбранный в раскрывающемся списке Ключ.

7. Чтобы активировать приложение на мобильном устройстве пользователя, заблокируйте изменение параметров.
8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

   Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Установка iOS MDM-профиля

В этом разделе описаны способы развертывания iOS MDM-профилей в сети организации.

Прежде чем приступить к развертыванию профиля iOS MDM, необходимо развернуть систему управления мобильными устройствами.

Подробная информация о развертывании iOS MDM-профиля в Kaspersky Endpoint Security Cloud приведена в справке Kaspersky Endpoint Security Cloud.

О режимах управления iOS-устройствами

Развертывание системы управления iOS-устройствами может быть выполнено несколькими способами. Режим управления зависит от того, кому принадлежит мобильное устройство (личное или корпоративное) и требований корпоративной безопасности. Вы можете выбрать наиболее подходящий для компании режим управления, а также использовать несколько режимов одновременно.

Неконтролируемые устройства

Неконтролируемые iOS-устройства – персональные устройства сотрудников, подключенные к Kaspersky Security Center. В этом режиме пользователю разрешено использовать персональный Apple ID, работать с любыми приложениями и хранить персональные данные на устройстве. Доступ к корпоративным ресурсам, параметры безопасности и другие параметры вы можете настроить с помощью групповой политики Kaspersky Device Management для iOS. По умолчанию все iOS-устройства неконтролируемые.

Устройства в режиме supervised

iOS-устройства в режиме supervised – корпоративные устройства, подключенные к Kaspersky Security Center. Первоначальная настройка мобильного устройства выполняется в Apple Configurator. Apple Configurator – программа для подготовки и настройки iOS-устройств. Apple Configurator устанавливается на компьютер под управлением OS X. Подробная информация о работе с Apple Configurator приведена на сайте технической поддержки Apple. Дальнейшее изменение параметров доступно с помощью групповой политики Kaspersky Device Management для iOS. На устройствах в режиме supervised доступен расширенный набор параметров: Глобальный HTTP-прокси, дополнительные ограничения (например, запрет на использование iMessage, Game Center) или запрет на изменение учетной записи пользователя.

Для работы с iOS-устройствами в режиме supervised и неконтролируемыми iOS-устройствами на Сервер iOS MDM должен быть установлен APNs-сертификат, а на мобильных устройствах пользователей – iOS MDM-профиль.

Установка через Kaspersky Security Center

Установка iOS MDM-профиля выполняется на мобильные устройства пользователей, учетные записи которых добавлены в Kaspersky Security Center. Подробная информация о работе с учетными записями пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

Чтобы установить iOS MDM-профиль, выполните следующие действия:

1. В дереве консоли выберите папку Управление мобильными устройствами → Мобильные устройства.
2. В рабочей области папки Мобильные устройства нажмите на кнопку Добавить мобильное устройство.

   Запустится мастер подключения нового мобильного устройства. Следуйте его указаниям.

3. В разделе Операционная система выберите iOS.
4. На странице Выбор Сервера iOS MDM выберите из списка Сервер iOS MDM.
5. На странице Выбор пользователей, мобильными устройствами которых вы хотите управлять выберите одного или несколько пользователей для установки iOS MDM-профиля на их мобильные устройства.

   Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера подключения нового мобильного устройства.

6. На странице Источник сертификата выберите источник сертификата для защиты обмена данными между мобильным устройством и Kaspersky Security Center:
   • Выписать сертификат средствами Сервера администрирования. В этом случае сертификат будет создан автоматически.
   • Указать файл сертификата. В этом случае требуется предварительно подготовить собственный сертификат и выбрать его в окне мастера. Этот вариант невозможно использовать, если вы хотите установить iOS MDM-профиль на несколько мобильных устройств. Для каждого пользователя должен быть создан отдельный сертификат.
7. На странице Способ уведомления пользователя выберите способ передачи QR-кода для установки iOS MDM-профиля:
   • Выберите Показать QR-код в мастере и отсканируйте QR-код с помощью камеры мобильного устройства, на которое будет установлен профиль.
   • Выберите Отправить QR-код пользователю и отправьте QR-код с соответствующей ссылкой на электронные адреса выбранных пользователей из вашей организации. Чтобы установить iOS MDM-профиль, пользователь должен отсканировать QR-код с помощью камеры мобильного устройства или открыть ссылку на профиль.

     Если вы выбрали этот способ, укажите следующие параметры в блоке По электронной почте:

     1. Установите флажок Адреса электронной почты пользователя. В раскрывающемся списке выберите один из следующих вариантов:
        • Все адреса электронной почты
        • Основная электронная почта
        • Дополнительная электронная почта

        Эти электронные адреса должны быть указаны в параметрах учетных записей пользователей в Kaspersky Security Center.

     2. Если вы хотите отправить QR-код на электронную почту, не указанную в параметрах учетной записи в Kaspersky Security Center, установите флажок Другая электронная почта, а затем укажите нужный адрес.
     3. Нажмите на кнопку Изменить сообщение, чтобы изменить тему и текст письма.

        Если вы установили флажок Запрашивать пароль при установке сертификата в разделе Выпуск мобильных сертификатов, добавьте макрос %PASS% в текст письма, чтобы отправить пароль пользователю. В противном случае появится предупреждение и письмо не отправится.

     Нажмите на кнопку Далее, чтобы отправить сгенерированное письмо.

8. Страница Результат отображает указанную вами информацию. Отсканируйте QR-код, если вы выбрали способ Показать QR-код в мастере на предыдущей странице.
9. Завершите работу мастера подключения нового мобильного устройства.

После установки iOS MDM-профиля на мобильные устройства пользователей вы сможете настроить параметры приложения с помощью групповых политик. Вы также сможете отправлять на мобильные устройства команды для защиты данных в случае потери или кражи устройств.

На мобильных устройствах под управлением iOS 12.1 и выше необходимо вручную подтвердить установку iOS MDM-профиля на мобильном устройстве. Также необходимо предоставить разрешение на удаленное управление устройством.

Установка плагинов управления

Для управления мобильными устройствами на рабочее место администратора необходимо установить следующие плагины управления:

• Плагин управления Kaspersky Endpoint Security для Android обеспечивает интерфейс управления мобильными устройствами и установленными на них мобильными приложениями через Консоль администрирования Kaspersky Security Center.
• Плагин управления Kaspersky Device Management для iOS обеспечивает интерфейс управления мобильными устройствами, подключенными по протоколу iOS MDM через Консоль администрирования Kaspersky Security Center.

Плагины управления можно установить следующими способами:

• Установить плагин управления с помощью мастера первоначальной настройки Kaspersky Security Center.

  Программа автоматически предложит запустить мастер первоначальной настройки после установки Сервера администрирования при первом подключении к нему. Мастер первоначальной настройки можно также запустить вручную в любое время.

  Мастер первоначальной настройки позволяет принимать условия и положения Лицензионного соглашения для приложения Kaspersky Endpoint Security для Android в Консоли администрирования. Если администратор принял условия Лицензионного соглашения в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android шаг принятия Лицензионного соглашения будет пропущен. Более подробная информация о Мастере первоначальной настройки Kaspersky Security Center приведена в справке Kaspersky Security Center.

• Установить плагин управления с помощью списка доступных дистрибутивов в Консоли администрирования Kaspersky Security Center.

  Список доступных дистрибутивов обновляется автоматически после выпуска новых версий программ "Лаборатории Касперского".

• Загрузить дистрибутив из внешнего источника и установить плагин управления, используя файл EXE.

  Например, дистрибутив плагина управления можно загрузить с сайта "Лаборатории Касперского".

Установка плагинов управления из списка в Консоли администрирования

Чтобы установить плагины управления, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. В рабочей области выберите Дополнительные действия → Просмотр текущих версий программ "Лаборатории Касперского".

   Откроется список актуальных версий программ "Лаборатории Касперского".

3. В разделе Мобильные устройства выберите плагин Kaspersky Endpoint Security для Android или Kaspersky Device Management для iOS.
4. Нажмите на кнопку Загрузить дистрибутивы.

   Дистрибутив плагина будет загружен в память компьютера (файл EXE).

5. Запустите файл EXE и следуйте инструкциям мастера установки.

Установка плагинов управления из дистрибутива

Чтобы установить плагин управления Kaspersky Endpoint Security для Android,

скопируйте из дистрибутива комплексного решения установочный файл плагина klcfinst.exe и запустите его на рабочем месте администратора.

Установка выполняется с помощью мастера и не требует настройки параметров.

Чтобы установить плагин управления Kaspersky Device Management для iOS,

скопируйте из дистрибутива комплексного решения установочный файл плагина klmdminst.exe и запустите его на рабочем месте администратора.

Установка выполняется с помощью мастера и не требует настройки параметров.

Чтобы убедиться, что плагины управления установлены:

1. В дереве консоли в контекстном меню Сервера администрирования выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите раздел Дополнительно → Информация об установленных плагинах управления программами.

Откроется список установленных плагинов управления.

Обновление предыдущей версии программы

Обновление программы должно выполняться с учетом следующих требований:

• Соблюдайте версионность плагина управления Kaspersky Endpoint Security для Android и мобильного приложения Kaspersky Endpoint Security для Android.

  Номера сборок версий плагина управления и мобильного приложения можно посмотреть в заметках о выпуске Kaspersky Secure Mobility Management.

• Убедитесь, что Kaspersky Security Center соответствует программным требованиям Kaspersky Secure Mobility Management.
• Плагины управления Kaspersky Endpoint Security для Android 10.0 Service Pack 2 (сборка 10.6.0.1801) и Kaspersky Device Management для iOS 10.0 Service Pack 2 (сборка 10.6.0.1767) и более поздние версии можно обновить до текущей версии автоматически. Обновление плагинов управления более ранних версий не поддерживается.

  Для обновления плагинов управления более ранних версий необходимо удалить установленные плагины управления и групповые политики, которые были созданы с их помощью. После этого установите новые версии плагинов управления. Подробная информация об удалении плагинов управления приведена на веб-сайте Службы технической поддержки "Лаборатории Касперского".

• Используйте одну версию Kaspersky Endpoint Security для Android на всех мобильных устройствах организации.

Условия предоставления технической поддержки для различных версий Kaspersky Secure Mobility Management см. на веб-сайте технической поддержки "Лаборатории Касперского".

Чтобы посмотреть версию и номер сборки плагинов управления, выполните следующие действия:

1. В дереве консоли в контекстном меню Сервера администрирования выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите Дополнительно → Информация об установленных плагинах управления программами.

В рабочей области отобразится информация об установленных плагинах управления в формате <Название плагина> <Версия> <Сборка>.

Вы можете посмотреть версию и номер сборки приложения Kaspersky Endpoint Security для Android следующими способами:

• Если Kaspersky Endpoint Security для Android установлен с помощью автономного пакета установки, вы можете посмотреть версию и номер сборки приложения в свойствах пакета.
• Если Kaspersky Endpoint Security для Android установлен с сайта "Лаборатории Касперского", вы можете посмотреть номер сборки в настройках приложения (Настройки → О приложении).

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в решении на территории США.

Обновление предыдущей версии Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android можно обновить следующими способами:

• С помощью сайта "Лаборатории Касперского". Пользователь мобильного устройства загружает с сайта "Лаборатории Касперского" новую версию приложения и устанавливает ее на свое устройство.
• С помощью HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps. Пользователь мобильного устройства загружает новую версию приложения из магазина приложений и устанавливает ее на свое устройство, выполнив стандартную процедуру обновления для платформы Android.

  Чтобы обновить приложение в Samsung Galaxy Store, у пользователя устройства должна быть учетная запись Samsung Account.

• С помощью Kaspersky Security Center. Вы дистанционно обновляете версию приложения на устройстве с помощью системы удаленного администрирования Kaspersky Security Center.

Вы можете выбрать наиболее подходящий для вашей организации способ обновления приложения. Вы можете использовать только один способ обновления.

Обновление приложения с сайта "Лаборатории Касперского"

Чтобы обновить приложение с сайта "Лаборатории Касперского":

1. Перейдите на сайт "Лаборатории Касперского".
2. Найдите Kaspersky Security для мобильных устройств на сайте.
3. Нажмите Показать версии для загрузки.
4. Выберите версию приложения и нажмите Скачать.
5. Откройте загруженный файл APK и следуйте инструкциям на экране.

Приложение Kaspersky Endpoint Security для Android будет обновлено.

После загрузки приложения, Kaspersky Endpoint Security для Android проверяет условия и положения Лицензионного соглашения. Если условия Лицензионного соглашения обновились, приложение отправляет запрос в Kaspersky Security Center. Если администратор принял Лицензионное соглашение в Консоли администрирования, во время установки приложения Kaspersky Endpoint Security для Android шаг принятия Лицензионного соглашения будет пропущен. Если администратор использует устаревшую версию плагина управления, Kaspersky Security Center предложит обновить плагин управления. При обновлении плагина управления администратор может принять условия Лицензионного соглашения в Консоли администрирования Kaspersky Endpoint Security для Android.

Обновление приложения с помощью Kaspersky Security Center

Обновление Kaspersky Endpoint Security для Android с помощью Kaspersky Security Center выполняется в результате применения групповой политики. В параметрах групповой политики вы можете выбрать автономный пакет установки Kaspersky Endpoint Security для Android, версия которого удовлетворяет требованиям корпоративной безопасности.

Можно выполнить обновление с помощью Kaspersky Security Center, если приложение Kaspersky Endpoint Security для Android было установлено с помощью Kaspersky Security Center. Если приложение установлено из Google Play, обновление с помощью Kaspersky Security Center невозможно.

Для обновления Kaspersky Endpoint Security для Android с помощью автономного пакета установки на мобильном устройстве пользователя должна быть разрешена установка приложений из неизвестных источников. Подробная информация об установке приложений без использования Google Play приведена в справке Android.

Чтобы обновить версию приложения, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Дополнительно.
5. В блоке Обновление приложения Kaspersky Endpoint Security для Android нажмите на кнопку Выбрать.

   Откроется окно Обновление приложения Kaspersky Endpoint Security для Android.

6. В списке автономных пакетов установки Kaspersky Endpoint Security для Android выберите пакет, версия которого удовлетворяет требованиям корпоративной безопасности.

   Вы можете обновить Kaspersky Endpoint Security для Android только до более новой версии. Обновить Kaspersky Endpoint Security для Android до более старой версии невозможно.

7. Нажмите на кнопку Выбрать.

   В блоке Обновление Kaspersky Endpoint Security для Android отобразится описание выбранного автономного пакета установки.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Пользователю мобильного устройства будет предложено установить новую версию приложения. После получения согласия новая версия приложения будет установлена на мобильное устройство.

Установка более ранней версии Kaspersky Endpoint Security для Android

Для установки более ранней версии Kaspersky Endpoint Security для Android требуется выполнить следующие действия:

1. Удалите Kaspersky Endpoint Security для Android с мобильных устройств пользователей.
2. Установите Kaspersky Endpoint Security для Android через Kaspersky Security Center по ссылке на собственный Веб-сервер. Для этого вам понадобится инсталляционный пакет определенной версии. Вы можете загрузить дистрибутив Kaspersky Endpoint Security для Android более ранних версий на сайте Службы технической поддержки "Лаборатории Касперского".

Подробную информацию о более ранних версиях Kaspersky Endpoint Security для Android см. в справке для соответствующей версии Kaspersky Secure Mobility Management.

Если приложение установлено с помощью Kaspersky Security Center по ссылке на собственный веб-сервер (с использованием автономного пакета установки), автоматическое обновление недоступно. В этом случае обновите Kaspersky Endpoint Security для Android вручную с помощью групповой политики.

Обновление предыдущих версий плагинов управления

Плагины управления можно обновить следующими способами:

• Установить новую версию плагина управления из списка доступных дистрибутивов в Консоли администрирования Kaspersky Security Center.

  Список доступных дистрибутивов обновляется автоматически после выпуска новых версий программ "Лаборатории Касперского".

• Загрузить дистрибутив из внешнего источника и установить новую версию плагина управления, используя файл EXE.

  Для обновления плагинов управления Kaspersky Endpoint Security для Android и Kaspersky Device Management для iOS требуется загрузить последнюю версию приложения со страницы Kaspersky Secure Mobility Management и запустить мастер установки каждого из плагинов. Предыдущие версии плагинов будут автоматически удалены во время работы мастера установки.

Мы рекомендуем использовать одинаковую версию приложения и плагинов управления.

При обновлении плагинов управления сохраняются уже существующие группы администрирования в папке Управляемые устройства и правила автоматического перемещения устройств из папки Нераспределенные устройства в эти группы. Существующие групповые политики для мобильных устройств тоже сохраняются. Новые параметры политик, реализующие новые функции комплексного решения Kaspersky Secure Mobility Management, появятся в существующих политиках и будут иметь значения по умолчанию.

Если в новой версии плагина управления добавлены новые параметры или изменены значения по умолчанию, изменения будут применены только после открытия групповой политики. Пока администратор не откроет групповую политику, на мобильных устройствах будут применены параметры предыдущей версии плагина, даже если версия плагина была обновлена.

Обновление из списка в Консоли администрирования

Чтобы обновить плагины управления, выполните следующие действия:

1. В дереве консоли выберите папку Дополнительно → Удаленная установка → Инсталляционные пакеты.
2. В рабочей области выберите Дополнительные действия → Просмотр текущих версий программ "Лаборатории Касперского".

   Откроется список актуальных версий программ "Лаборатории Касперского".

3. В разделе Мобильные устройства выберите плагин Kaspersky Endpoint Security для Android или Kaspersky Device Management для iOS.
4. Нажмите на кнопку Загрузить дистрибутивы.

   Дистрибутив плагина будет загружен в память компьютера (файл EXE). Запустите файл EXE. Следуйте инструкциям мастера установки.

Обновление из дистрибутива

Чтобы обновить плагин управления Kaspersky Endpoint Security для Android,

скопируйте из дистрибутива комплексного решения установочный файл плагина klcfinst.exe и запустите его на рабочем месте администратора.

Установка выполняется с помощью мастера и не требует настройки параметров.

Чтобы обновить плагин управления Kaspersky Device Management для iOS,

скопируйте из дистрибутива комплексного решения установочный файл плагина klmdminst.exe и запустите его на рабочем месте администратора.

Установка плагина выполняется с помощью мастера и не требует настройки параметров.

Вы можете убедиться, что плагины управления обновлены, просмотрев список установленных плагинов управления приложениями в окне свойств Сервера администрирования в разделе Дополнительно → Информация об установленных плагинах управления программами.

Удаление Kaspersky Endpoint Security для Android

Удаление Kaspersky Endpoint Security для Android может быть выполнено следующими способами:

1. Удаление приложения пользователем

   Пользователь самостоятельно удаляет Kaspersky Endpoint Security для Android, используя интерфейс приложения. Чтобы пользователи могли удалить приложение, в групповой политике, которая применена к устройству, должно быть разрешено удаление приложения.

2. Удаление приложения администратором.

   Администратор дистанционно удаляет приложение, используя Консоль администрирования Kaspersky Security Center. Можно удалить приложение с отдельного устройства или с нескольких устройств одновременно.

Чтобы удалить Kaspersky Endpoint Security для Android с устройства, работающего в режиме device owner:

1. Отправьте на устройство команду Сбросить настройки до заводских из Консоли администрирования. Эта команда удаляет все данные с устройства и сбрасывает настройки устройства до заводских.
2. Вручную удалите устройство из списка управляемых устройств в Консоли администрирования.

   Если устройство не будет удалено из Консоли администрирования, то при последующей установке приложений "Лаборатории Касперского" на устройство могут возникнуть проблемы.

Дистанционное удаление приложения

Вы можете дистанционно удалить Kaspersky Endpoint Security для Android с мобильных устройств пользователя следующими способами:

• С помощью групповой политики. Этот способ удобен, если вы хотите удалить приложение с нескольких устройств одновременно.
• С помощью настройки локальных параметров приложения. Этот способ удобен, если вы хотите удалить приложение с отдельного устройства.

Информация об удалении Kaspersky Endpoint Security для Android с устройств, работающих в режиме device owner, приведена в разделе Удаление приложения в режиме device owner.

Чтобы удалить приложение с помощью применения групповой политики, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Дополнительно.
5. В разделе Удаление Kaspersky Endpoint Security для Android установите флажок Удалить с устройства приложение Kaspersky Endpoint Security для Android.

   Этот параметр неприменим для устройств, работающих в режиме device owner.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после синхронизации с Сервером администрирования приложение Kaspersky Endpoint Security для Android будет удалено с мобильных устройств. Пользователи мобильных устройств получат уведомление об удалении приложения.

Чтобы удалить приложение с помощью настройки локальных параметров, выполните следующие действия:

1. В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
2. В списке устройств выберите устройство, на котором вы хотите удалить приложение.
3. Откройте окно свойств устройства двойным щелчком мыши.
4. Выберите Программы → Kaspersky Endpoint Security для мобильных устройств.
5. Откройте окно свойств приложения Kaspersky Endpoint Security двойным щелчком мыши.
6. Выберите раздел Дополнительно.
7. В разделе Удаление Kaspersky Endpoint Security для Android установите флажок Удалить с устройства приложение Kaspersky Endpoint Security для Android.

   Этот параметр неприменим для устройств, работающих в режиме device owner.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате после синхронизации с Сервером администрирования приложение Kaspersky Endpoint Security для Android будет удалено с мобильного устройства. Пользователь устройства получит уведомление об удалении приложения.

Удаление приложения в режиме device owner

Чтобы удалить Kaspersky Endpoint Security для Android с устройства, работающего в режиме device owner:

1. В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
2. В списке устройств выберите устройство, на котором вы хотите удалить приложение.
3. Щелкните правой кнопкой мыши по устройству.
4. В контекстном меню выберите Управление мобильными устройствами → Сбросить настройки до заводских.

   Команда Сбросить настройки до заводских отправлена на устройство. Эта команда удаляет все данные с устройства и сбрасывает настройки устройства до заводских.

5. В списке устройств щелкните правой кнопкой мыши по устройству и нажмите Удалить.

   Устройство удалено из списка управляемых устройств в Консоли администрирования.

   Если устройство не будет удалено из Консоли администрирования, то при последующей установке приложений "Лаборатории Касперского" на устройство могут возникнуть проблемы.

Разрешение пользователям удалять приложение

На устройствах под управлением операционной системы Android версии 7 и выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае защита приложения от удаления не работает.

Вы можете разрешить пользователям удалять Kaspersky Endpoint Security для Android со своих мобильных устройств следующими способами:

• С помощью групповой политики. Этот способ удобен, если вы хотите разрешить удаление приложения пользователям нескольких устройств одновременно.
• С помощью локальных параметров приложения. Этот способ удобен, если вы хотите разрешить удаление приложения пользователю отдельного устройства.

На устройствах, работающих в режиме device owner, приложение Kaspersky Endpoint Security для Android может быть удалено только администратором. Дополнительная информация приведена в разделе Дистанционное удаление приложения.

Чтобы разрешить удаление приложения в групповой политике, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Дополнительно.
5. В блоке Удаление приложения Kaspersky Endpoint Security для Android установите флажок Разрешить удаление приложения Kaspersky Endpoint Security для Android.

   Этот параметр неприменим для устройств, работающих в режиме device owner.

6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильных устройствах после синхронизации с Сервером администрирования будут разрешено удаление приложения пользователем. В настройках Kaspersky Endpoint Security для Android будет доступна кнопка удаления приложения.

Чтобы разрешить удаление приложения в локальных параметрах программы, выполните следующие действия:

1. В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
2. В списке устройств выберите устройство, для которого вы хотите разрешить удаление приложения пользователем.
3. Откройте окно свойств устройства двойным щелчком мыши.
4. Выберите Программы → Kaspersky Endpoint Security для мобильных устройств.
5. Откройте окно свойств приложения Kaspersky Endpoint Security двойным щелчком мыши.
6. Выберите раздел Дополнительно.
7. В блоке Удаление приложения Kaspersky Endpoint Security для Android установите флажок Разрешить удаление приложения Kaspersky Endpoint Security для Android.

   Этот параметр неприменим для устройств, работающих в режиме device owner.

8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве после синхронизации с Сервером администрирования будут разрешено удаление приложения пользователем. В настройках Kaspersky Endpoint Security для Android будет доступна кнопка удаления приложения.

Удаление приложения пользователем

Чтобы самостоятельно удалить Kaspersky Endpoint Security для Android со своего мобильного устройства, пользователь должен выполнить следующие действия:

1. В главном окне Kaspersky Endpoint Security для Android нажмите  → Удалить приложение.

   На экране появится запрос подтверждения.

   Если кнопка Удалить приложение отсутствует, значит администратор включил защиту Kaspersky Endpoint Security для Android от удаления или устройство работает в режиме device owner.

   На устройствах, работающих в режиме device owner, приложение Kaspersky Endpoint Security для Android может быть удалено только администратором. Дополнительная информация приведена в разделе Дистанционное удаление приложения.

2. Подтвердить удаление Kaspersky Endpoint Security для Android.

Приложение Kaspersky Endpoint Security для Android будет удалено с мобильного устройства пользователя.