Содержание
- Настройка и управление
- Начало работы
- Контроль
- Защита
- Настройка защиты от вредоносного ПО на Android-устройствах
- Защита Android-устройств в интернете
- Защита данных при потере или краже устройств
- Настройка надежности пароля разблокировки устройства
- Настройка виртуальной частной сети (VPN)
- Настройка Сетевого экрана на Android-устройствах (только Samsung)
- Защита Kaspersky Endpoint Security для Android от удаления
- Обнаружение взлома устройства (получение root-прав)
- Настройка глобального HTTP-прокси на iOS MDM-устройствах
- Добавление сертификатов безопасности на iOS MDM-устройства
- Добавление профиля SCEP на iOS MDM-устройства
- Настройка ограничений на использование SD-карт (только для устройств Samsung)
- Управление мобильными устройствами
- Управление KES-устройствами
- Управление iOS MDM-устройствами
- Подписание iOS MDM-профиля сертификатом
- Добавление конфигурационного профиля
- Установка конфигурационного профиля на устройство
- Удаление конфигурационного профиля с устройства
- Добавление provisioning-профиля
- Установка provisioning-профиля на устройство
- Удаление provisioning-профиля с устройства
- Настройка управляемых приложений
- Установка приложения на мобильное устройство
- Удаление приложения с устройства
- Установка и удаление приложений для группы iOS MDM-устройств
- Настройка роуминга на iOS MDM-устройстве
- Просмотр информации о iOS MDM-устройстве
- Отключение устройства iOS MDM от управления
- Настройка режима киоска для iOS MDM-устройств
- Управление параметрами мобильных устройств
- Настройка подключения к сети Wi-Fi
- Настройка электронной почты
- Настройка статуса устройства в Kaspersky Security Center
- Управление настройками приложения
- Управление разрешениями приложений
- Создание отчета об установленных мобильных приложениях
- Установка корневых сертификатов на Android-устройствах
- Настройка уведомлений Kaspersky Endpoint Security для Android
- Основные функции управления мобильными устройствами в Консоли администрирования на базе MMC
- Подключение iOS MDM-устройств к AirPlay
- Подключение iOS MDM-устройств к AirPrint
- Отключение блокировки активации на контролируемых iOS-устройствах
- Настройка точки доступа (APN)
- Настройка рабочего профиля Android
- Добавление учетной записи LDAP
- Добавление учетной записи календаря
- Добавление учетной записи контактов
- Настройка подписки на календарь
- Управление веб-клипами
- Установка обоев
- Добавление шрифтов
- Работа с командами для мобильных устройств
Настройка и управление
Этот раздел справки адресован специалистам, которые осуществляют администрирование Kaspersky Secure Mobility Management, и специалистам технической поддержки организаций, использующих Kaspersky Secure Mobility Management.
Начало работы
В этом разделе описаны действия, которые рекомендуется выполнить в начале работы с Kaspersky Secure Mobility Management.
Запуск и остановка программы
Kaspersky Security Center автоматически запускает и останавливает плагины управления Kaspersky Endpoint Security для Android и Kaspersky Device Management для iOS.
Kaspersky Endpoint Security для Android запускается при старте операционной системы и защищает мобильное устройство пользователя в течение всего сеанса работы. Пользователь может остановить приложение, выключив все компоненты Kaspersky Endpoint Security для Android. Вы можете настроить доступ пользователя к управлению компонентами приложения с помощью групповых политик.
На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы (Безопасность → Разрешения → Автозапуск). Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства.
Также требуется выключить режим энергосбережения для Kaspersky Endpoint Security для Android. Это необходимо для работы приложения в фоновом режиме, например, для запуска антивирусной проверки по расписанию или синхронизации устройства с Kaspersky Security Center. Проблема связана с особенностями встроенного программного обеспечения этих устройств.
В началоСоздание группы администрирования
Централизованная настройка параметров приложения Kaspersky Endpoint Security для Android, установленного на мобильных устройствах пользователей, выполняется посредством применения к этим устройствам групповых политик.
Для того чтобы применить политику к группе устройств, перед установкой мобильных приложений на устройства пользователей рекомендуется создать для этих устройств отдельную группу администрирования в папке Управляемые устройства.
После создания группы администрирования рекомендуется настроить автоматическое перемещение в эту группу устройств, на которые вы хотите установить приложения. Затем необходимо задать общие для всех устройств параметры с помощью групповой политики.
Чтобы создать группу администрирования, выполните следующие действия:
- В дереве консоли выберите папку Управляемые устройства.
- В рабочей области папки Управляемые устройства или вложенной папки выберите закладку Устройства.
- Нажмите на кнопку Создать группу.
Откроется окно создания новой группы.
- В открывшемся окне Имя группы введите имя группы и нажмите на кнопку ОК.
В результате в дереве консоли появится новая папка группы администрирования с заданным именем. Подробная информация о работе с группами администрирования приведена в справке Kaspersky Security Center.
В началоГрупповые политики для управления мобильными устройствами
Групповая политика – это единый набор параметров для управления мобильными устройствами, входящими в группу администрирования, а также установленными на устройствах мобильными приложениями. Вы можете создать групповую политику с помощью мастера создания политики.
С помощью политики вы можете настраивать параметры как отдельных устройств, так и группы. Для группы устройств параметры управления можно настроить в окне свойств групповой политики. Для отдельно устройства их можно настроить в окне локальных параметров программы. Параметры управления, заданные индивидуально для одного устройства, могут отличаться от значений параметров, установленных в политике для группы, в которую входит это устройство.
Каждый параметр, представленный в политике, имеет атрибут "замок", который показывает, разрешено ли изменение параметра в политиках вложенного уровня иерархии (для вложенных групп и подчиненных Серверов администрирования) и в локальных параметрах программы.
Значения параметров, заданные в политике и в локальных параметрах программы, сохраняются на Сервере администрирования, распространяются на мобильные устройства в ходе синхронизации и сохраняются на устройствах в качестве действующих параметров. Если пользователь установит на своем устройстве другие значения параметров, которые не были зафиксированы "замком", то при очередной синхронизации устройства с Сервером администрирования новые значения параметров будут переданы на Сервер администрирования и сохранены в локальных параметрах программы вместо значений, которые были установлены ранее администратором.
Чтобы поддерживать корпоративную безопасность мобильных устройств в актуальном состоянии, вы можете контролировать устройства пользователей на соответствие групповой политике управления.
В верхней части окна групповой политики отображается индикатор уровня защиты. Индикатор уровня защиты поможет вам настроить политику таким образом, чтобы обеспечить высокий уровень защиты устройств. Индикатор уровня защиты меняет состояние в зависимости от настройки политики:
Высокий уровень защиты – защита устройств обеспечена на должном уровне. Все компоненты защиты работают в соответствии с параметрами, рекомендуемыми специалистами "Лаборатории Касперского".
Средний уровень защиты – уровень защиты снижен. Некоторые важные компоненты защиты выключены (например, Веб-Фильтр). Важные проблемы отмечены знаком 
.
Низкий уровень защиты – существуют проблемы, которые могут привести к заражению устройства и потере данных. Некоторые критические компоненты защиты выключены (например, выключена постоянная защита устройств). Критические проблемы отмечены знаком 
.
Подробная информация о работе с политиками и группами администрирования в Консоли администрирования Kaspersky Security Center приведена в справке Kaspersky Security Center.
Создание групповой политики
В этом разделе описано создание групповых политик для устройств, на которых установлено мобильное приложение Kaspersky Endpoint Security для Android, а также политик для iOS MDM-устройств.
Политики, сформированные для группы администрирования, отображаются в рабочей области группы в Консоли администрирования Kaspersky Security Center на закладке Политики. Перед именем каждой политики отображается значок, характеризующий ее статус (активна / неактивна). В одной группе можно создать несколько политик для разных приложений. Активной может быть только одна политика для каждого приложения. При создании новой активной политики предыдущая активная политика становится неактивной.
Вы можете изменять политику после ее создания.
Чтобы создать политику для управления мобильными устройствами, выполните следующие действия:
- В дереве консоли выберите группу администрирования, для которой нужно создать политику.
- В рабочей области группы выберите закладку Политики.
- По ссылке Новая политика запустите мастер создания политики.
В результате запустится мастер создания политики.
Шаг 1. Выбор программы для создания групповой политики
На этом шаге в списке программ выберите программу для создания групповой политики:
- Kaspersky Endpoint Security для Android – для устройств, использующих мобильное приложение Kaspersky Endpoint Security для Android.
Рекомендуется создать отдельную политику для устройств HUAWEI и Honor, не имеющих сервисов Google Play. Таким образом вы сможете отправлять ссылки на HUAWEI AppGallery пользователям этих устройств.
- Kaspersky Device Management для iOS – для iOS MDM-устройств.
Создание политики для мобильных устройств возможно, если на рабочем месте администратора установлены плагин управления Kaspersky Endpoint Security для Android и плагин управления Kaspersky Device Management для iOS. Если плагины не установлены, название соответствующей программы будет отсутствовать в списке программ.
Перейдите к следующему шагу мастера создания политики.
Шаг 2. Ввод названия групповой политики
На этом шаге в поле Имя укажите имя новой политики. Если вы укажете имя уже существующей политики, к нему автоматически будет добавлено окончание (1).
Перейдите к следующему шагу мастера создания политики.
Шаг 3. Создание групповой политики для программы
На этом шаге мастер предлагает выбрать состояние политики:
- Активная политика. Мастер сохраняет созданную политику на Сервере администрирования. При следующей синхронизации мобильного устройства с Сервером администрирования политика будет использоваться на устройстве в качестве действующей.
- Неактивная политика. Мастер сохраняет созданную политику на Сервере администрирования как резервную. В дальнейшем политика может быть активирована по событию. При необходимости неактивную политику можно сделать активной.
Для одной программы в группе можно создать несколько политик, но активной может быть только одна из них. При создании новой активной политики предыдущая активная политика автоматически становится неактивной.
Завершите работу мастера.
В началоНастройка параметров синхронизации
Для управления мобильными устройствами и получения отчетов или статистик от мобильных устройств пользователей требуется настроить параметры синхронизации. Синхронизация мобильного устройства с Kaspersky Security Center может быть выполнена следующими способами:
- По расписанию. Синхронизация по расписанию выполняется с помощью протокола HTTP. Вы можете настроить расписание синхронизации в параметрах групповой политики. Изменения параметров групповой политики, команды и задачи будут выполнены во время синхронизации устройства с Kaspersky Security Center по расписанию, т. е. с задержкой. По умолчанию мобильные устройства автоматически синхронизируются с Kaspersky Security Center каждые шесть часов.
- Принудительно. Принудительная синхронизация выполняется с помощью push-уведомлений сервиса FCM (Firebase Cloud Messaging). Принудительная синхронизация, в первую очередь, предназначена для своевременной доставки команд на мобильное устройство. Это может быть полезно, если устройство находится в режиме экономии заряда батареи, поскольку в этом случае приложение может выполнять задачи позже, чем указано. Если вы хотите использовать принудительную синхронизацию, убедитесь что параметры FCM в Kaspersky Security Center настроены.
Чтобы настроить параметры синхронизации мобильных устройств с Kaspersky Security Center, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Синхронизация.
- Выберите периодичность запуска синхронизации в раскрывающемся списке Запускать синхронизацию.
- Чтобы запретить синхронизацию устройства с Kaspersky Security Center в роуминге, установите флажок Выключить синхронизацию в роуминге.
Пользователь устройства может выполнять синхронизацию вручную в настройках приложения (
→ Настройки → Синхронизация → Синхронизировать). - Чтобы скрыть от пользователя параметры синхронизации (адрес сервера, порт и группа администрирования) в настройках приложения, снимите флажок Показывать параметры синхронизации на устройстве. Изменить скрытые параметры невозможно.
- Чтобы получать историю местоположений устройства, установите флажок Отправлять историю местоположений устройства при синхронизации в блоке История местоположений устройства. История местоположений будет отправляться на Сервер администрирования при каждой синхронизации.
Функциональность должна использоваться в соответствии с требованиями локального законодательства, с уведомлением или согласием (в зависимости от требований законодательства) лица, использующего устройство, о включении на устройстве функциональности отслеживания местоположения.
Включение этой настройки и задание геозоны приведет к увеличению энергопотребления устройства.
Этот параметр работает только в том случае, если тип информационного события История местоположения устройства хранится в базе данных Сервера администрирования. События настраиваются в разделе События свойств политики. Дополнительная информация приведена в справке Kaspersky Security Center. - В раскрывающемся списке Частота определения местоположений устройства укажите частоту получения местоположения устройства По умолчанию указано значение Каждые 15 минут.
Из-за технических ограничений Android-устройств фактическое определение местоположения устройства может происходить реже, чем указано.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды. Подробная информация о работе с командами для мобильных устройств приведена в разделе Отправка команд.
В началоРабота с ревизиями групповых политик
Kaspersky Security Center позволяет отслеживать изменения групповых политик. Каждый раз, когда вы сохраняете изменения групповой политики, создается ревизия. Каждая ревизия имеет номер.
Работа с ревизиями доступна только для политик Kaspersky Endpoint Security для Android. Для политики Kaspersky Device Management для iOS ревизии недоступны.
Вы можете выполнять с ревизиями групповых политик следующие действия:
- сравнивать выбранную ревизию с текущей ревизией;
- сравнивать выбранные ревизии;
- сравнивать политику с выбранной ревизией другой политики;
- просматривать выбранную ревизию;
- откатывать изменения политики к выбранной ревизии;
- сохранять ревизии в файле формата TXT.
Подробная информация о работе с ревизиями групповых политик и других объектов (например, учетных записей пользователей) приведена в справке Kaspersky Security Center.
Чтобы просмотреть историю ревизий групповой политики, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел История ревизий.
Отобразится список ревизий политики. Он содержит следующую информацию:
- номер ревизии политики;
- дата и время изменения политики;
- имя пользователя, изменившего политику;
- выполненное действие с политикой;
- описание ревизии изменения параметров политики.
Удаление групповой политики
Чтобы удалить групповую политику, выполните следующие действия:
- В дереве консоли выберите группу администрирования, для которой нужно удалить политику.
- В рабочей области группы администрирования на закладке Политики выберите политику, которую вы хотите удалить.
- В контекстном меню политики выберите пункт Удалить.
В результате групповая политика будет удалена. До применения новой групповой политики мобильные устройства, входящие в группу администрирования, продолжат работу с параметрами, заданными в удаленной политике.
В началоОграничение прав на настройку групповых политик
Администраторы Kaspersky Security Center могут настраивать права доступа пользователей Консоли администрирования к различным функциям комплексного решения Kaspersky Secure Mobility Management в зависимости от служебных обязанностей пользователей.
В интерфейсе Консоли администрирования настройка прав доступа выполняется в окне свойств Сервера администрирования на закладках Безопасность и Роли пользователей. На закладке Роли пользователей можно добавлять типовые роли пользователей с настроенным набором прав. В разделе Безопасность можно настраивать права для одного пользователя или для группы пользователей, а также назначать роли одному пользователю или группе пользователей. Права пользователей для каждой программы настраиваются по функциональным областям.
Вы также можете настраивать права пользователей по функциональным областям. Информация о соответствии функциональных областей закладкам политик приведена в Приложении.
Для каждой функциональной области администратор может назначать следующие права доступа:
- Разрешить изменение. Пользователю Консоли администрирования разрешено изменять параметры политики в окне ее свойств.
- Запретить изменение. Пользователю Консоли администрирования запрещено изменять параметры политики в окне ее свойств. Закладки политики, входящие в функциональную область, для которой назначено это право, не отображаются в интерфейсе.
Подробные сведения о работе с правами и ролями пользователей в Консоли администрирования Kaspersky Security Center приведены в справке Kaspersky Security Center.
В началоКонтроль
Этот раздел содержит информацию о том, как удаленно контролировать мобильные устройства в Консоли администрирования Kaspersky Security Center.
Настройка ограничений
В этом разделе содержатся инструкции по настройке доступа пользователей к функциям мобильных устройств.
Особые рекомендации для устройств под управлением Android 10 или выше
В Android 10 реализованы многочисленные изменения и ограничения, ориентированные на API 29 или выше. Некоторые из этих изменений влияют на доступность и работу отдельных функций приложения. Эти рекомендации применимы только для устройств под управлением Android 10 и выше.
Включение, выключение и настройка Wi-Fi
- Сети Wi-Fi можно добавлять, удалять и настраивать в Консоли администрирования Kaspersky Security Center. Когда в политику добавляется сеть Wi-Fi, Kaspersky Endpoint Security получает конфигурацию этой сети при первом подключении к Kaspersky Security Center.
- Когда устройство обнаруживает сеть, настроенную с помощью Kaspersky Security Center, Kaspersky Endpoint Security предлагает пользователю подключиться к этой сети. Если пользователь выбирает подключение к сети, все параметры, настроенные в Kaspersky Security Center, применяются автоматически. Затем устройство автоматически подключается к этой сети, когда находится в пределах досягаемости. Никакие дополнительные уведомления для пользователя не отображаются.
- Если устройство пользователя уже подключено к другой сети Wi-Fi, иногда приложение может не предложить пользователю одобрить добавление сети. В таких случаях пользователю необходимо отключить и снова включить Wi-Fi, чтобы получить предложение.
- Когда Kaspersky Endpoint Security предлагает пользователю подключиться к сети Wi-Fi, а пользователь отказывается это сделать, разрешение приложения на изменение состояния Wi-Fi аннулируется. После этого Kaspersky Endpoint Security не сможет предложить подключиться к сетям Wi-Fi, пока пользователь не предоставит разрешение повторно, перейдя в Настройки → Приложения и уведомления → Разрешения приложений → Контроль Wi-Fi → Kaspersky Endpoint Security.
- Поддерживаются только открытые сети и сети, зашифрованные с помощью WPA2-PSK. Шифрование WEP и WPA не поддерживается.
- Если пароль для сети, ранее предложенный приложением, был изменен, пользователю необходимо вручную удалить эту сеть из списка известных сетей. После этого устройство сможет получить предложение сети от Kaspersky Endpoint Security и подключиться к этой сети.
- При обновлении операционной системы устройства с Android 9 или ниже до Android 10 или выше, или при обновлении приложения Kaspersky Endpoint Security, установленного на устройстве под управлением Android 10 или выше, нельзя изменить или удалить сети, которые были ранее добавлены в Kaspersky Security Center, с помощью политик Kaspersky Security Center. Однако пользователь может изменить или удалить такие сети вручную в настройках устройства.
- На устройствах под управлением Android 10 у пользователя запрашивается пароль при попытке вручную подключиться к предлагаемой защищенной сети. При автоматическом подключении ввод пароля не требуется. Если устройство пользователя подключено к какой-либо другой сети Wi-Fi, пользователю сначала необходимо отключиться от этой сети, чтобы автоматически подключиться к одной из предложенных сетей.
- На устройствах под управлением Android 11 пользователь может вручную подключиться к защищенной сети, предложенной приложением, без ввода пароля.
- При удалении Kaspersky Endpoint Security с устройства, сети, ранее предлагаемые приложением, игнорируются.
- Не поддерживается запрет на использование сетей Wi-Fi.
Доступ к камере
- На устройствах под управлением Android 10 использование камеры нельзя запретить полностью. Запрет на использование камеры для рабочего профиля по-прежнему доступен.
- Если стороннее приложение пытается получить доступ к камере устройства, это приложение будет заблокировано, а пользователь получит уведомление о проблеме. Однако приложения, использующие камеру во время работы в фоновом режиме, не могут быть заблокированы.
- Когда внешняя камера отключена от устройства, в некоторых случаях может отображаться уведомление о недоступности камеры.
Управление методами разблокировки экрана
- Kaspersky Endpoint Security приводит требования надежности пароля к одному из системных значений: средний или высокий.
- Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например, 1234), либо буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.
- Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр; пароль должен состоять не менее чем из 6 символов.
- Управлять использованием отпечатка пальца для разблокировки экрана можно только в рабочем профиле.
Настройка ограничений для Android-устройств
Для обеспечения безопасности Android-устройства нужно настроить параметры использования на устройстве Wi-Fi, камеры и Bluetooth.
По умолчанию пользователь может использовать на устройстве Wi-Fi, камеру, Bluetooth без ограничений.
Чтобы настроить ограничения использования на устройстве Wi-Fi, камеры и Bluetooth, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление устройством.
- В блоке Ограничения настройте использование модуля Wi-Fi, камеры, Bluetooth:
- Чтобы выключить модуль Wi-Fi на мобильном устройстве пользователя, установите флажок Запретить использование Wi-Fi.
На личных устройствах и устройствах с созданным рабочим профилем под управлением Android 10 и выше запрет на использование сетей Wi-Fi не поддерживается.
- Чтобы выключить камеру на мобильном устройстве пользователя, установите флажок Запретить использование камеры.
Когда использование камеры запрещено, приложение уведомляет об этом пользователя и сразу же закрывается. На устройствах Asus и OnePlus уведомление выводится на весь экран. Пользователь может нажать на кнопку Закрыть, чтобы завершить работу приложения.
На устройствах с операционной системой Android 11 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае не удастся ограничить использование камеры.
- Чтобы выключить Bluetooth на мобильном устройстве пользователя, установите флажок Запретить использование Bluetooth.
На Android 12 или более поздней версии использование Bluetooth может быть отключено, только если пользователь устройства предоставил разрешение Устройства Bluetooth поблизости. Пользователь может предоставить это разрешение во время работы мастера начальной настройки или позже.
На личных устройствах под управлением Android 13 или выше нельзя отключить использование Bluetooth.
- Чтобы выключить модуль Wi-Fi на мобильном устройстве пользователя, установите флажок Запретить использование Wi-Fi.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
Настройка ограничений для iOS MDM-устройств
Для выполнения требований корпоративной безопасности следует настроить ограничения в работе iOS MDM-устройства. Информацию о доступных ограничениях можно получить в контекстной справке плагина управления.
Чтобы настроить ограничения iOS MDM-устройства, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Ограничения функций.
- В блоке Параметры ограничений функций установите флажок Применить параметры на устройстве.
- Настройте ограничения функций iOS MDM-устройства.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
- Выберите раздел Ограничения приложений.
- В блоке Параметры ограничений приложений установите флажок Применить параметры на устройстве.
- Настройте ограничения для приложений на iOS MDM-устройстве.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
- Выберите раздел Ограничения медиаконтента.
- В блоке Параметры ограничения медиаконтента установите флажок Применить параметры на устройстве.
- Настройте ограничения для медиаконтента на iOS MDM-устройстве.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве пользователя после применения политики будет настроены ограничения функций, приложений и медиаконтента.
В началоНастройка доступа пользователей к веб-сайтам
В этом разделе содержатся инструкции по настройке доступа к веб-сайтам на Android- и iOS-устройствах.
Настройка доступа к веб-сайтам на Android-устройствах
Вы можете настраивать доступ пользователей Android-устройств к веб-сайтам с помощью Веб-Фильтра. Веб-Фильтр поддерживает фильтрацию веб-сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Фильтрация позволяет вам ограничить доступ пользователей к отдельным веб-сайтам или категориям веб-сайтов (например, к веб-сайтам из категории "Азартные игры, лотереи, тотализаторы" или "Общение в сети"). Веб-Фильтр также защищает персональные данные пользователей в интернете.
Для работы Веб-Фильтра необходимо выполнение следующих условий:
- Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) должно быть принято. Kaspersky Endpoint Security использует Kaspersky Security Network (KSN) для проверки веб-сайтов. Положение о Веб-Фильтре содержит условия обмена данными с KSN.
Вы можете принять Положение о Веб-Фильтре в Kaspersky Security Center. В этом случае пользователю не потребуется выполнять никаких действий.
Если вы не приняли Положение о Веб-Фильтре и направили пользователю запрос на принятие Положения, пользователь должен прочитать и принять Положение о Веб-Фильтре в настройках приложения.
Если вы не приняли Положение о Веб-Фильтре, Веб-Фильтр будет недоступен.
Веб-Фильтр на Android-устройствах поддерживается только браузерами Google Chrome, HUAWEI Browser, Samsung Internet и Яндекс Браузер.
Если приложение Kaspersky Endpoint Security для Android в режиме device owner не установлено в качестве службы Специальных возможностей, Веб-Фильтр поддерживается только браузером Google Chrome и проверяет только домен сайта. Чтобы Веб-Фильтр поддерживался другими браузерами (Samsung Internet Browser, Яндекс Браузер и HUAWEI Browser), приложение Kaspersky Endpoint Security должно быть включено в качестве службы Специальных возможностей. Это также позволит использовать функцию Custom Tabs.
Функция Custom Tabs поддерживается браузерами Google Chrome, HUAWEI Browser и Samsung Internet Browser.
В браузерах HUAWEI Browser, Samsung Internet Browser и Яндекс Браузер Веб-Фильтр не блокирует сайты на мобильном устройстве, если используется рабочий профиль и установлен флажок Включить Веб-Фильтр только в рабочем профиле.
По умолчанию Веб-Фильтр включен: ограничен доступ пользователя к веб-сайтам категорий Фишинг и Вредоносное программное обеспечение. На устройствах в режиме device owner, управляемых приложением Kaspersky Endpoint Security для Android, Веб-Фильтр поддерживается только браузером Google Chrome и проверяет только домен сайта. Чтобы Веб-Фильтр поддерживался другими браузерами (Samsung Internet Browser, Яндекс Браузер и HUAWEI Browser), приложение Kaspersky Endpoint Security должно быть включено в качестве службы Специальных возможностей.
Чтобы настроить доступ пользователя устройства к веб-сайтам, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Веб-Фильтр.
- Для использования Веб-Фильтра вам или пользователю устройства необходимо прочитать Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) и принять его условия. Для этого:
- Нажмите на ссылку Положение о Веб-Фильтре в верхней части раздела.
Откроется окно Положение об обработке данных в целях использования Веб-Фильтра.
- Прочитайте Политику конфиденциальности и примите ее условия, установив соответствующий флажок. Для того чтобы ознакомиться с Политикой конфиденциальности, необходимо перейти по ссылке Политика конфиденциальности.
Если вы не принимаете Политику конфиденциальности, пользователь мобильного устройства может принять Политику конфиденциальности в мастере первоначальной настройки или в приложении (
→ О приложении → Правовая информация → Политика конфиденциальности). - Укажите, принимаете ли вы Положение о Веб-Фильтре:
- Я прочитал и принимаю Положение о Веб-Фильтре
- Запросить принятие Положения о Веб-Фильтре у пользователя устройства
- Я не принимаю Положение о Веб-Фильтре
Если вы выбрали вариант Я не принимаю Положение о Веб-Фильтре, Веб-Фильтр не будет блокировать сайты на мобильном устройстве. Пользователь мобильного устройства не сможет включить Веб-Фильтр в Kaspersky Endpoint Security.
- Нажмите на кнопку OK, чтобы закрыть окно.
Шаг 5. Примите условия Положения об обработке данных в целях использования Веб-Фильтра.
- Нажмите на ссылку Положение о Веб-Фильтре в верхней части раздела.
- Установите флажок Включить Веб-Фильтр.
- Если вы хотите, чтобы приложение проверяло полный веб-адрес при открытии сайта в Custom Tabs, установите флажок Проверять полный веб-адрес при использовании Custom Tabs.
Custom Tabs – это встроенный браузер, в котором можно просматривать веб-страницы, не покидая приложение и не переходя в полную версию браузера. Этот параметр повышает надежность обнаружения веб-адреса и его проверки по заданным правилам Веб-Фильтра. Если флажок установлен, Kaspersky Endpoint Security для Android открывает сайт в полной версии браузера и проверяет полный веб-адрес сайта. Если флажок снят, Kaspersky Endpoint Security для Android проверяет только домен сайта в Custom Tabs.
- Выберите один из следующих вариантов:
- Если вы хотите, чтобы приложение ограничивало доступ пользователя к веб-сайтам в зависимости от их содержания, выполните следующие действия:
- В разделе Веб-Фильтр в раскрывающемся списке выберите пункт Запрещены веб-сайты выбранных категорий.
- Сформируйте список запрещенных категорий, установив флажки для категорий веб-сайтов, доступ к которым приложение будет блокировать.
Шаг 8. Раздел Веб-Фильтр. Выберите категории веб-сайтов, доступ к которым необходимо заблокировать.
- Если вы хотите, чтобы приложение разрешало или ограничивало доступ пользователя только к веб-сайтам, указанным администратором, выполните следующие действия:
- В разделе Веб-Фильтр в раскрывающемся списке выберите пункт Разрешены только перечисленные веб-сайты или Запрещены только перечисленные веб-сайты.
Если Kaspersky Endpoint Security для Android не установлен в качестве службы Специальных возможностей, то Веб-Фильтр может блокировать разрешенный сайт при подгрузке на него элементов с сайта, домен которого не добавлен в список разрешенных.
- Сформируйте список веб-сайтов, добавив адреса веб-сайтов, к которым приложение будет разрешать или ограничивать доступ (в зависимости от значения, выбранного в раскрывающемся списке). Вы можете добавить веб-сайты, используя ссылку (полный URL, включая протокол, например,
https://example.com).Чтобы гарантировать, что приложение разрешает или ограничивает доступ к веб-сайту во всех поддерживаемых версиях Google Chrome, HUAWEI Browser, Samsung Internet Browser и Yandex Browser, добавьте один и тот же URL дважды: один раз – с указанием протокола HTTP (например,
https://example.com), а другой раз – с указанием протокола HTTPS (например,https://example.com).Например:
https://example.com— Главная страница веб-сайта разрешена или заблокирована. Этот URL доступен только при использовании протокола HTTPS.http://example.com— Главная страница веб-сайта разрешена или заблокирована, но только при использовании протокола HTTP. Это не относится к протоколу HTTPS и другим.https://example.com/page/index.html— только страницаindex.htmlразрешена или заблокирована. Это не относится к остальным страницам веб-сайта.
Приложение также поддерживает регулярные выражения. При вводе адреса разрешенного или заблокированного веб-сайта используйте следующие шаблоны:
https://example\.com/.*— этот шаблон блокирует или разрешает все дочерние страницы сайта, доступные при использовании протокола HTTPS (например,https://example.com/about).https?://example\.com/.*— этот шаблон блокирует или разрешает все дочерние страницы веб-сайта, доступные при использовании протоколов HTTP и HTTPS.https?://.*\.example\.com— этот шаблон блокирует или разрешает страницы всех субдоменов веб-сайта (например,https://pictures.example.com).https?://example\.com/[abc]/.*— этот шаблон блокирует или разрешает все дочерние страницы веб-сайта, URL-путь которых начинается с буквы "a", "b" или "c" в качестве первого каталога (например,https://example.com/b/about).https?://\w{3,5}.example\.com/.*— этот шаблон блокирует или разрешает все дочерние страницы веб-сайта, у которых субдомен содержит от 3 до 5 букв (например,http://abde.example.com/about).
Используйте выражение
https?, чтобы выбрать оба протокола — HTTP и HTTPS. Подробнее о регулярных выражениях см. на сайте Службы технической поддержки Oracle.
- В разделе Веб-Фильтр в раскрывающемся списке выберите пункт Разрешены только перечисленные веб-сайты или Запрещены только перечисленные веб-сайты.
Шаг 9. Раздел Веб-Фильтр. Укажите список веб-сайтов, к которым необходимо разрешить доступ.
- Если вы хотите, чтобы приложение ограничивало доступ пользователя к любым веб-сайтам, в разделе Веб-Фильтр в раскрывающемся списке выберите элемент Запрещены все веб-сайты.
- Если вы хотите, чтобы приложение ограничивало доступ пользователя к веб-сайтам в зависимости от их содержания, выполните следующие действия:
- Если вы хотите снять ограничение на доступ пользователя устройства к веб-сайтам в зависимости от их содержимого, снимите флажок Включить Веб-Фильтр.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
Управление списком веб-сайтов
Для управления списком веб-сайтов используются следующие кнопки:
- Добавить – добавляет в список веб-сайт, заданный по URL-адресу или с помощью регулярного выражения.
- Импортировать – добавляет в список несколько веб-сайтов из файла TXT, который содержит необходимые URL-адреса или регулярные выражения. Файл должен быть закодирован в кодировке UTF-8. URL-адреса или регулярные выражения в файле должны быть разделены точкой с запятой или разрывом строки.
- Редактировать – позволяет изменить адрес веб-сайта.
- Удалить – удаляет веб-сайт из списка. Чтобы удалить несколько веб-сайтов из списка, выберите их с помощью горячих клавиш CTRL + A, CTRL + нажатие левой клавиши мыши или SHIFT + нажатие левой клавиши мыши и нажмите Удалить.
Настройка доступа к веб-сайтам на iOS MDM-устройствах
Настройка параметров Веб-Фильтра позволяет контролировать доступ пользователей iOS MDM-устройств к веб-сайтам. Веб-Фильтр контролирует доступ пользователей к веб-сайтам на основе списков разрешенных и запрещенных веб-сайтов. Также Веб-Фильтр позволяет добавлять закладки веб-сайтов на панель закладок Safari.
По умолчанию доступ к веб-сайтам не ограничен.
Если веб-адрес переадресовывается на другую страницу, Веб-Фильтр проверяет только конечную страницу.
Настройка Веб-Фильтра доступна только для устройств в режиме supervised.
Чтобы настроить доступ к веб-сайтам на iOS MDM-устройстве, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Веб-Фильтр.
- В блоке Параметры Веб-Фильтра установите флажок Применить параметры на устройстве.
- Чтобы блокировать доступ к запрещенным веб-сайтам и разрешить доступ к разрешенным веб-сайтам, выполните следующие действия:
- В раскрывающемся списке Режим фильтрации веб-сайтов выберите режим Ограничить содержание "для взрослых".
- В блоке Разрешенные веб-сайты сформируйте список разрешенных веб-сайтов.
Адрес веб-сайта должен начинаться с
"http://"или"https://". Kaspersky Device Management для iOS предоставляет доступ ко всем веб-сайтам домена. Например, если вы добавили в список разрешенных веб-сайтов http://www.example.com, доступ разрешен к http://pictures.example.com и http://example.com/movies. Если список разрешенных веб-сайтов пуст, приложение разрешает доступ ко всем веб-сайтам, кроме указанных в списке запрещенных. - В блоке Запрещенные веб-сайты сформируйте список запрещенных веб-сайтов.
Адрес веб-сайта должен начинаться с
"http://"или"https://". Kaspersky Device Management для iOS запрещает доступ ко всем веб-сайтам домена.
- Чтобы блокировать доступ ко всем веб-сайтам, кроме разрешенных веб-сайтов из списка закладок, выполните следующие действия:
- В раскрывающемся списке Режим фильтрации веб-сайтов выберите режим Разрешить веб-сайты только из списка закладок.
- В блоке Закладки сформируйте список закладок разрешенных веб-сайтов.
Адрес веб-сайта должен начинаться с
"http://"или"https://". Kaspersky Device Management для iOS предоставляет доступ ко всем веб-сайтам домена. Если список закладок пуст, приложение разрешает доступ ко всем веб-сайтам. Kaspersky Device Management для iOS добавляет веб-сайты из списка закладок на панель закладок Safari на мобильном устройстве пользователя.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве пользователя после применения политики будет настроена фильтрация веб-сайтов в соответствии с выбранным режимом и сформированными списками.
В началоКонтроль соответствия
В этом разделе приведены инструкции по контролю соблюдения корпоративных требований на устройствах и настройке правил контроля соответствия.
Контроль соответствия Android-устройств требованиям корпоративной безопасности
Вы можете контролировать Android-устройства на соответствие требованиям корпоративной безопасности. Требования корпоративной безопасности регламентируют работу пользователя с устройством. Например, на устройстве должна быть включена постоянная защита, базы вредоносного ПО должны быть актуальны, пароль устройства должен быть достаточно сложным. Контроль соответствия работает на основе списка правил. Правило соответствия состоит из следующих компонентов:
- критерий проверки устройства (например, отсутствие на устройстве запрещенных приложений);
- время, выделенное пользователю устройства для устранения несоответствия (например, 24 часа);
- действия, которые будут выполнены с устройством, если пользователь не устранит несоответствие в течение указанного времени (например, блокирование устройства).
Если устройство находится в режиме энергосбережения, приложение может выполнить эту задачу позже, чем указано. Для своевременного реагирования KES-устройств под управлением Android на команды администратора, следует включить использование сервиса Firebase Cloud Messaging.
Чтобы сформировать правило проверки устройств на соответствие групповой политике, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Контроль соответствия.
- Чтобы получать уведомления об устройствах, не соответствующих политике, в разделе Уведомления о несоответствии установите флажок Уведомлять администратора.
Если устройство не соответствует политике, при синхронизации устройства с Сервером администрирования Kaspersky Endpoint Security для Android сформирует запись в журнале событий Обнаружено несоответствие: <название критерия для проверки>. Журнал событий можно просмотреть на закладке События в свойствах Сервера администрирования или в локальных свойствах программы.
- Чтобы уведомлять пользователя устройства о том, что его устройство не соответствует политике, в разделе Уведомления о несоответствии установите флажок Уведомлять пользователя.
Если устройство не соответствует политике, при синхронизации устройства с Сервером администрирования Kaspersky Endpoint Security для Android уведомляет пользователя об этом.
- В разделе Правила контроля соответствия сформируйте список правил проверки устройства на соответствие политике.
- Чтобы добавить новое правило, нажмите на кнопку Добавить.
Запустится мастер создания правила соответствия. Пройдите все шаги мастера, нажимая на кнопку Далее.
- Выберите критерий несоответствия правилу.
Доступны следующие критерии:
- Постоянная защита выключена.
Проверяет, было ли приложение установлено или запущено на устройстве.
- Базы вредоносного ПО устарели.
Проверяет, обновлялись ли базы вредоносного ПО 3 и более дней назад.
- Установлены запрещенные приложения.
Проверяет, содержит ли список приложений на устройстве приложения, запрещенные в Контроле приложений.
- Установлены приложения запрещенных категорий.
Проверяет, содержит ли список приложений на устройстве приложения из категорий, запрещенных в Контроле приложений.
- Не установлены все обязательные приложения.
Проверяет, содержит ли список приложений на устройстве приложение, установленное в качестве обязательного в Контроле приложений.
- Версия операционной системы устарела.
Проверяет соответствие версии Android на устройстве заданному диапазону разрешенных версий.
Для этого критерия укажите минимальную и максимальную разрешенные версии Android. Если в качестве максимальной разрешенной версии выбрано значение Любая, это означает, что будущие версии Android, поддерживаемые Kaspersky Endpoint Security для Android, будут также разрешены.
- Устройство давно не синхронизировалось.
Проверяет, как давно устройство синхронизировалось с Сервером администрирования последний раз.
Для этого критерия укажите максимальный период с момента последней синхронизации.
- На устройстве получены root-права.
Проверяет, взломано ли устройство (получены ли на устройстве права суперпользователя).
- Пароль разблокировки экрана не соответствует требованиям безопасности.
Проверяет, соответствует ли пароль разблокировки устройства параметрам, заданным в политике в разделе Управление устройством.
- Установлена неактуальная версия Kaspersky Endpoint Security для Android.
Проверяет актуальность версии приложения на устройстве.
Критерий применяется, только если приложение установлено с помощью инсталляционного пакета Kaspersky Endpoint Security для Android и если в блоке Обновление Kaspersky Endpoint Security для Android раздела Дополнительно свойств политики выбрана актуальная версия приложения.
Для этого критерия также укажите минимальную разрешенную версию Kaspersky Endpoint Security для Android.
- Использование SIM-карты не соответствует корпоративным требованиям.
Проверяет, была ли SIM-карта устройства заменена, вставлена или извлечена относительно предыдущего состояния проверки.
Вы также можете включить проверку установки дополнительной SIM-карты.
В некоторых случаях проверяется также замена, установка и извлечение eSIM-карты.
- Устройство находится в пределах или за пределами установленных геозон
Указание геозоны приведет к увеличению энергопотребления устройства.
Для этого критерия выберите требование, при нарушении которого нужно выполнить действие:
- Устройство находится в пределах любой геозоны из списка (геозоны объединяются с помощью логического оператора "ИЛИ").
- Устройство находится за пределами всех геозон из списка (геозоны объединяются с помощью логического оператора "И").
В блоке Список геозон вы можете добавлять, редактировать или удалять геозоны.
Чтобы добавить новую геозону:
- Нажмите на кнопку Добавить.
Открывает окно Добавить геозону.
- Укажите Название геозоны.
- В разделе Координаты периметра геозоны укажите широту и долготу для каждой точки.
Если вы хотите добавить более 3 точек, нажмите на кнопку Добавить точку. Чтобы удалить дополнительную точку, нажмите на кнопку X.
Для каждой геозоны можно вручную задать от 3 до 100 пар координат (широта, долгота) в формате десятичных чисел.
Периметр геозоны не должен содержать пересекающиеся прямые.
- Вы можете просмотреть указанную геозону в программе "Яндекс Карты", нажав на кнопку Посмотреть на карте.
- Нажмите на кнопку Добавить, чтобы добавить указанную геозону.
Новая геозона отобразится в списке.
Чтобы отредактировать геозону:
- Выберите геозону, которую вы хотите отредактировать, и нажмите на кнопку Изменить.
- Укажите новые параметры геозоны, как описано выше в этом разделе.
- Нажмите на кнопку Добавить.
Отредактированная геозона отобразится в списке.
Чтобы удалить геозону:
- Выберите геозону, которую вы хотите удалить, и нажмите на кнопку Удалить.
Геозона исчезнет из списка.
- У Kaspersky Endpoint Security для Android нет доступа к точному или фоновому местоположению
Проверяет наличие у приложения Kaspersky Endpoint Security для Android разрешения определять точное местоположение устройства или использовать данные о местоположении в фоновом режиме.
- Постоянная защита выключена.
- Выберите действия, которые будут выполняться при обнаружении указанного критерия несоответствия. Вы можете добавить несколько критериев. Их можно объединить с помощью логического оператора "И".
Некоторые действия Контроля соответствия являются длительными. Длительные действия применяются до выполнения одного из следующих условий:
- Критерий несоответствия правилу перестал действовать.
- Применена политика, в которой удалено соответствующее правило Контроля соответствия.
Доступны следующие действия:
- Блокировка всех приложений, кроме системных
Запуск всех приложений, кроме системных, на мобильном устройстве пользователя заблокирован.
Как только критерий несоответствия правилу перестанет обнаруживаться на устройстве, приложения автоматически разблокируются.
- Заблокировать устройство
Мобильное устройство заблокировано. Для получения доступа к данным необходимо разблокировать устройство. Если после разблокирования устройства причина блокировки не устранена, устройство будет заблокировано снова через указанный период.
- Удалить корпоративные данные
Корпоративные данные удалены с устройства. Перечень удаленных данных зависит от режима работы устройства.
- На личном устройстве удалены KNOX-контейнер и почтовый сертификат.
- Если устройство работает в режиме device owner, удалены KNOX-контейнер и сертификаты, установленные приложением Kaspersky Endpoint Security для Android (почтовые и VPN-сертификаты, сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
- Дополнительно, если установлен рабочий профиль Android, удален рабочий профиль (содержимое, настройки и ограничения) и сертификаты, установленные в рабочем профиле (почтовые и VPN-сертификаты, сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
- Сброс настроек до заводских
Удалены все данные с мобильного устройства, настройки мобильного устройства сброшены до заводских. После выполнения этого действия устройство перестает быть управляемым. Для подключения устройства к Kaspersky Security Center требуется повторно установить Kaspersky Endpoint Security для Android.
На устройствах под управлением Android 14 или выше эта реакция применяется только в том случае, если устройство работает в режиме device owner.
- Блокировка рабочего профиля
Рабочий профиль на устройстве заблокирован. Для получения доступа к рабочему профилю необходимо его разблокировать. Если после разблокирования рабочего профиля причина блокировки не устранена, рабочий профиль будет снова заблокирован через указанный период.
Это действие применяется только на устройствах под управлением Android 6 или выше.
После блокирования рабочего профиля история паролей рабочего профиля очищается. Это означает, что пользователь может повторно использовать один из недавних паролей, независимо от параметров пароля для рабочего профиля.
- Удалить данные всех приложений
Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner или с созданным рабочим профилем Android.
Если устройство работает в режиме device owner, удаляются данные всех приложений. Если на устройстве создан рабочий профиль Android, удаляются данные всех приложений в рабочем профиле.
В результате настройки приложений сброшены до установленных по умолчанию.
- Удалить данные указанного приложения
Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner или с созданным рабочим профилем Android.
Для этого действия необходимо указать название пакета приложения, данные которого будут удалены. Как получить имя пакета приложения
В результате настройки приложения сброшены до установленных по умолчанию.
- Запрет на запуск устройства в безопасном режиме
Пользователю запрещено запускать устройство в безопасном режиме.
Это действие применяется только на устройствах под управлением Android 6 или выше в режиме device owner.
Это длительное действие.
- Запретить использование камеры
Пользователю запрещено использовать все имеющиеся на устройстве камеры.
Это длительное действие.
- Запретить использование Bluetooth
Пользователю устройства запрещено включать Bluetooth и изменять его параметры в Настройках.
Это действие применяется только на устройствах под управлением Android 12 или ниже в режиме device owner или с созданным рабочим профилем Android.
Это длительное действие.
- Запретить использование Wi-Fi
Пользователю устройства запрещено использовать Wi-Fi и изменять его параметры в Настройках.
Это действие применяется только на устройствах, работающих в режиме device owner (все версии Android), личных устройствах под управлением Android 9 или ниже.
Это длительное действие.
- Запрет на использование функций отладки по USB
Пользователю запрещено использовать функции отладки по USB и режим разработчика на устройстве.
Это действие применяется только на устройствах, работающих в режиме device owner, или устройствах с созданным рабочим профилем Android.
Это длительное действие.
- Запрет режима полета
Пользователю запрещено включать режим полета на устройстве.
Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner.
Это длительное действие.
Новое правило появится в разделе Правила контроля соответствия.
- Чтобы временно выключить сформированное правило, используйте переключатель напротив выбранного правила.
- В блоке Действия при удалении пользователей из Active Directory можно выбрать действия, которые будут выполняться на устройствах при удалении пользователей из Active Directory.
Для этих настроек необходима интеграция с Microsoft Active Directory.
Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из следующих действий:
- Удалить корпоративные данные
- Сбросить настройки до заводских
На устройствах под управлением Android 14 или выше это действие применяется только в том случае, если устройство работает в режиме device owner.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Если устройство пользователя не соответствует правилам, к устройству применяются ограничения, которые вы указали в списке правил проверки.
В началоКонтроль соответствия iOS MDM-устройств требованиям корпоративной безопасности
Контроль соответствия позволяет контролировать соблюдение требований корпоративной безопасности на iOS MDM-устройствах и принимать меры в случае обнаружения несоответствия требованиям. Контроль соответствия работает на основе списка правил. Каждое правило содержит следующие компоненты:
- статус (правило включено или выключено);
- критерии несоответствия (например, отсутствие указанных приложений или версия операционной системы на устройстве);
- действия, выполняемые на устройстве, если обнаружено несоответствие (например, удалить корпоративные данные или отправить пользователю сообщение электронной почты).
Чтобы создать правило:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Контроль соответствия.
- В разделе Правила Контроля соответствия нажмите Добавить.
Запустится мастер создания правила контроля соответствия.
- Установите флажок Включить правило, если хотите включить правило. Если флажок снят, правило выключено.
- На закладке Критерии несоответствия нажмите Добавить критерий и выберите критерий несоответствия для правила. Вы можете добавить несколько критериев. Их можно объединить с помощью логического оператора "И".
Доступны следующие критерии:
- Список приложений на устройстве
Проверяет список приложений на устройстве на наличие запрещенных приложений или на отсутствие обязательных приложений.
Для этого критерия необходимо выбрать тип проверки (содержит или не содержит) и указать идентификатор пакета приложения. Как получить идентификатор пакета приложения
- Версия операционной системы
Проверяет версию операционной системы на устройстве.
Для этого критерия необходимо выбрать оператор сравнения (Равно, Не равно, Меньше, Меньше или равно, Больше или Больше или равно) и указать версию iOS.
Операторы равно и не равно проверяют полное соответствие версии операционной системы указанному значению. Например, если в правиле указать версию 15, а устройство работает на iOS 15.2, то условие равно не будет выполнено. Если необходимо указать диапазон версий, вы можете создать два критерия, использовав операторы меньше и больше.
- Режим управления
Проверяет режим управления устройством.
Для этого критерия необходимо выбрать режим (Устройство в режиме supervised или Неконтролируемое устройство).
- Тип устройства
Проверяет тип устройства.
Для этого критерия необходимо выбрать тип устройства (iPhone или iPad).
- Модель устройства
Проверяет модель устройства.
Для этого критерия необходимо выбрать оператор (Входит в список или Не входит в список) и перечислить модели, которые будут проверяться или исключаться из проверки соответственно.
Чтобы указать модель, введите хотя бы один символ в поле Идентификатор и выберите нужную модель из появившегося списка. Список содержит коды мобильных устройств и соответствующие им публичные названия. Например, чтобы добавить все модели iPhone 14, введите "iPhone 14". В этом случае можно выбрать любую из доступных моделей: "iPhone 14", "iPhone 14 Plus", "iPhone 14 Pro", "iPhone 14 Pro Max".
В некоторых случаях одно публичное название может соответствовать нескольким кодам мобильных устройств (например, публичное название "iPhone 7" соответствует двум кодам мобильных устройств – "iPhone 9.1" и "iPhone 9.3"). Убедитесь, что выбрали все коды мобильных устройств, которые соответствуют нужным моделям.
При вводе значения, отсутствующего в списке, ничего не будет найдено. Тем не менее, вы можете нажать на кнопку OK и добавить введенное значение к критерию.
- Устройство находится в роуминге
Проверяет, находится устройство в роуминге (если выбрано Да) или нет (если выбрано Нет).
- Пароль устройства установлен
Проверяет, установлен пароль (если выбрано Да) или нет (если выбрано Нет).
При выборе Да, укажите, должен ли пароль устройства соответствовать (при выборе Соответствует политике) или не соответствовать (при выборе Не соответствует политике) параметрам, указанным в разделе Параметры пароля.
- Свободное пространство
Проверяет, является ли объем свободного пространства на устройстве меньше указанного порога.
Для этого критерия укажите пороговое значение свободного пространства и выберите единицу измерения (ГБ или МБ).
- Устройство не зашифровано
Проверяет, зашифровано ли устройство.
На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки > Touch ID и пароль / Face ID и пароль > Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: в дереве консоли выберите Управление мобильными устройствами > Мобильные устройства и дважды щелкните мышью по нужному устройству).
- SIM-карта заменена
Проверяет, была ли SIM-карта устройства заменена, вставлена или извлечена относительно предыдущего состояния проверки.
Вы также можете включить проверку установки дополнительной SIM-карты.
На устройствах, совместимых с eSIM, обнаруженное несоответствие невозможно удалить, вставив ранее удаленную eSIM. Это связано с тем, что операционная система устройства распознает каждую добавленную карту eSIM как новую. В этом случае вам необходимо удалить правило Контроля соответствия из политики.
- Не синхронизировалось дольше, чем
Проверяет, как давно устройство синхронизировалось с Сервером администрирования последний раз.
Для этого критерия укажите максимальное время с момента последней синхронизации и выберите единицы измерения (часы или дни).
Мы не рекомендуем указывать значение меньше значения параметра Частота обновления информации об устройстве в настройках Сервера iOS MDM.
Если указаны противоречащие друг другу критерии (например, в поле Тип устройства указано значение iPhone, выбран оператор Входит в список, а в списке значений Модель устройства указана модель iPad), отобразится сообщение об ошибке. Такое правило сохранить невозможно.
- Список приложений на устройстве
- На закладке Действия укажите действия, которые будут выполняться на устройстве при обнаружении всех указанных критериев несоответствия.
Действия выполняются во время проверки соблюдения правил соответствия (1 раз в 40 минут) до следующей синхронизации с Сервером администрирования. Чтобы одно и то же несоответствие не обнаруживалось при каждом выполнении повторяющихся действий, в настройках Сервера iOS MDM для параметра Частота обновления информации об устройстве установите значение 30 минут.
Добавить действие можно одним из следующих способов:
- Нажмите кнопку Добавить действие, если действие должно быть выполнено на устройстве сразу после обнаружения несоответствия.
- Нажмите кнопку Добавить отложенное действие, если вы хотите установить период времени, в течение которого пользователь может устранить несоответствие. Если несоответствие не будет устранено в течение указанного периода, на устройстве будет выполнено действие.
Доступны следующие действия:
- Отправить сообщение пользователю
Пользователь устройства будет проинформирован о несоответствии по электронной почте.
Для этого действия необходимо указать адрес(-а) электронной почты пользователя. При необходимости можно отредактировать заданный по умолчанию текст сообщения электронной почты.
- Удалить корпоративные данные
Будут удалены все установленные конфигурационные профили, provisioning-профили, iOS MDM-профиль и приложения, для которых был установлен флажок Удалять вместе с iOS MDM-профилем. Действие выполняется с помощью отправки команды Удалить корпоративные данные.
- Установить профиль
Конфигурационный профиль будет установлен на устройстве. Действие выполняется с помощью отправки команды Установить профиль.
Для этого действия необходимо указать идентификатор устанавливаемого конфигурационного профиля.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.
- Удалить профиль
Конфигурационный профиль будет удален с устройства. Действие выполняется с помощью отправки команды Удалить профиль.
Для этого действия необходимо указать идентификатор удаляемого конфигурационного профиля.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.
- Удалить все профили
Все ранее установленные конфигурационные профили будут удалены с устройства.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные конфигурационные профили один за другим, отправив устройству соответствующую команду.
- Обновить ОС
Операционная система устройства обновлена.
Для этого действия необходимо выбрать конкретную операцию (Загрузить и установить, Только загрузить или Только установить, чтобы установить ранее загруженную версию) и версию iOS для загрузки и/или установки.
- Изменить настройки Bluetooth (только для supervised)
Для этого действия необходимо выбрать, требуется ли включить или отключить Bluetooth на устройстве.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.
- Сбросить настройки до заводских
Удалены все данные с устройства, настройки устройства сброшены до установленных по умолчанию.
- Удалить управляемое приложение
Для этого действия необходимо указать идентификатор пакета управляемого приложения, которое требуется удалить с устройства. Приложение считается управляемым, если оно установлено на устройство с помощью Kaspersky Security Center. Как получить идентификатор пакета приложения
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.
- Удалить все управляемые приложения
Все управляемые приложения удаляются с устройства. Приложение считается управляемым, если оно установлено на устройство с помощью Kaspersky Security Center.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные приложения одно за другим, отправив устройству соответствующую команду.
- Удалить профиль(и) указанного типа
Для этого действия необходимо выбрать тип профиля, удаляемого с устройства (например, Веб-клипы или Подписки на календари).
Как только критерии несоответствия правилу перестанут обнаруживаться на устройстве, удаленные профили автоматически восстановятся.
- Изменить параметры роуминга
Для этого действия необходимо выбрать, требуется ли включить или отключить роуминг данных на устройстве.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.
Если указаны противоречащие друг другу действия (например, Включить Bluetooth и Отключить Bluetooth одновременно), отобразится сообщение об ошибке. Такое правило сохранить невозможно.
- Нажмите на кнопку OK, чтобы сохранить правило и закрыть мастер.
Новое правило появится в списке в разделе Правила Контроля соответствия.
- В блоке Действия при удалении пользователей из Active Directory можно выбрать действия, которые будут выполняться на устройствах при удалении пользователей из Active Directory.
Для этих настроек необходима интеграция с Microsoft Active Directory.
Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из следующих действий:
- Удалить корпоративные данные
- Сбросить настройки до заводских
Если вы используете профили политики, убедитесь, что вы выставили опцию удаления данных на всю политику. После удаления пользователя из Active Directory он в первую очередь удалится из группы пользователей Active Directory. Из-за того что профиль политики перестанет действовать на аккаунт пользователя, данные не удалятся с устройства.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоКонтроль приложений
В этом разделе содержатся инструкции по настройке доступа пользователей к приложениям на мобильном устройстве.
Контроль приложений на Android-устройствах
Компонент Контроль приложений позволяет управлять приложениями на Android-устройствах, чтобы обеспечивать безопасность этих устройств.
Вы можете установить ограничения при работе пользователя с устройством, на котором установлены запрещенные приложения или не установлены обязательные приложения (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила проверки требуется выбрать критерий Установлены запрещенные приложения, Установлены приложения запрещенных категорий или Не установлены все обязательные приложения.
Для работы Контроля приложений Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае Контроль приложений не работает.
В режиме device owner вам доступен расширенный контроль над устройством. Контроль приложений работает, не уведомляя об этом пользователя устройства:
- Обязательные приложения устанавливаются автоматически в фоновом режиме. Для тихой установки приложений необходимо указать ссылку на APK-файл обязательного приложения в настройках политики.
- Запрещенные приложения можно удалять с устройства автоматически. Для тихого удаления приложений необходимо установить флажок Автоматически удалять запрещенные приложения (только в режиме device owner) в настройках политики.
Чтобы настроить параметры запуска приложений на мобильном устройстве, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Контроль приложений.
- В блоке Режим работы выберите режим запуска приложений на мобильном устройстве пользователя:
- Чтобы разрешить пользователю запускать все приложения, кроме указанных в списке категорий и приложений как запрещенные, выберите режим Запрещенные приложения. Приложение скроет значки заблокированных приложений.
- Чтобы разрешить пользователю запускать только приложения, указанные в списке категорий и приложений как разрешенные, рекомендованные или обязательные, выберите режим Разрешенные приложения. Приложение скроет значки всех приложений, кроме тех, которые указаны в списке разрешенных, рекомендованных или обязательных приложений и системных приложений.
- Чтобы Kaspersky Endpoint Security для Android отправлял данные о запрещенных приложениях в журнал событий, не блокируя их, установите флажок Не блокировать запрещенные приложения, только запись в журнал событий.
При следующей синхронизации мобильного устройства пользователя с Сервером администрирования Kaspersky Endpoint Security для Android сформирует в журнале событий запись Установлено запрещенное приложение. Журнал событий можно просмотреть на закладке События в свойствах Сервера администрирования или в локальных свойствах программы.
- Если устройство находится в режиме device owner, установите флажок Автоматически удалять запрещенные приложения (только в режиме device owner), чтобы удалить запрещенные приложения с устройства в фоновом режиме, не уведомляя об этом пользователя.
- Чтобы Kaspersky Endpoint Security для Android блокировал запуск системных приложений на мобильном устройстве пользователя (например, Календарь, Камера, Настройки) в режиме Разрешенные приложения, установите флажок Блокировать системные приложения.
Специалисты "Лаборатории Касперского" не рекомендуют блокировать системные приложения, так как это может привести к сбоям в работе устройства.
- Сформируйте список категорий и приложений для настройки запуска приложений.
В список можно добавить пакеты мобильных приложений, ранее созданные в Kaspersky Security Center. Как получить имя пакета приложения
Подробную информацию о категориях приложений см. в Приложении.
Список приложений, которые входят в каждую категорию, приведен на сайте "Лаборатории Касперского".
- Если вы хотите, чтобы Kaspersky Endpoint Security для Android сформировал отчет об установленных приложениях, то в блоке Отчет об установленных мобильных приложениях установите флажок Отправлять данные об установленных приложениях, чтобы отправлять информацию о приложениях, установленных на мобильных устройствах, и при необходимости укажите следующие параметры:
- Чтобы отправлять данные о системных приложениях, установленных на устройствах пользователей, на Сервер администрирования, установите флажок Отправлять данные о системных приложениях.
- Чтобы отправлять данные о служебных приложениях, установленных на устройствах пользователей, на Сервер администрирования, установите флажок Отправлять данные о служебных приложениях.
Если системное или служебное приложение настроено в параметрах Контроля приложений, данные отправляются независимо от состояния флажков Отправлять данные о системных приложениях или Отправлять данные о служебных приложениях соответственно.
Kaspersky Endpoint Security для Android отправляет данные в журнал событий каждый раз после установки приложения на устройство или удаления с него.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоКонтроль приложений на iOS MDM-устройствах
Kaspersky Security Center позволяет управлять приложениями на iOS MDM-устройствах, чтобы поддерживать их безопасность. Вы можете создать список приложений, которые разрешено устанавливать на устройствах, и список приложений, которые запрещено отображать и запускать на устройствах.
Ограничения применимы только для iOS MDM-устройств в режиме supervised.
Переход к разделу Ограничения приложений
Чтобы открыть настройки ограничений приложений на iOS MDM-устройствах:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Ограничения приложений.
Ограничение установки приложений
По умолчанию пользователь может устанавливать любые приложения на iOS MDM-устройстве в режиме supervised.
Чтобы ограничить список приложений, которые можно установить на устройстве:
- Установите флажок Разрешить установку приложений из списка (только для supervised).
- В таблице нажмите Добавить, чтобы добавить приложение в список.
- Укажите идентификатор пакета приложения. Укажите значение
com.apple.webapp, чтобы разрешить все веб-клипы. Как получить идентификатор пакета приложения - Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
После применения политики к устройству на устройстве будут настроены указанные ограничения для приложений. Для установки будут доступны только приложения из списка и системные приложения. Любые другие приложения не могут быть установлены на устройстве.
Указанные приложения можно установить на устройстве следующими способами (если соответствующие параметры включены в разделе Ограничения функций):
- Установка из Apple Configurator или iTunes
- Установка из App Store
- Автоматическая загрузка
Добавление приложений в список запрещенных
По умолчанию на iOS MDM-устройстве в режиме supervised могут отображаться и запускаться все приложения.
Чтобы указать запрещенные приложения:
- Установите флажок Запретить отображение и запуск приложений из списка (только для supervised).
- В таблице нажмите Добавить, чтобы добавить приложение в список.
- Укажите идентификатор пакета приложения. Укажите значение
com.apple.webapp, чтобы запретить все веб-клипы. Как получить идентификатор пакета приложения - Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
После применения политики к устройству на устройстве будут настроены указанные ограничения для приложений. Приложения из списка будет запрещены для отображения и запуска на устройстве. Все остальные приложения будут отображаться, и их можно будет запускать.
В началоСтатусы мобильных устройств
Статусы мобильных устройств, определяемые Kaspersky Security Center
В Консоли администрирования можно быстро оценить текущее состояние Kaspersky Security Center и управляемых устройств с помощью цветовых индикаторов. Цветовые индикаторы расположены в рабочей области Сервера администрирования в папке Управление мобильными устройствами в подпапке Мобильные устройства. В рабочей области этой подпапки отображается таблица управляемых мобильных устройств.
Цветовой индикатор - это цветной значок в столбце Управление таблицы. Каждый индикатор может быть одного из этих цветов (см. таблицу Цветовые кодировки индикаторов). Цвет индикатора зависит от текущего состояния Kaspersky Security Center и от зарегистрированных событий.
Устройство может иметь один из следующих статусов: ОК, Критический или Предупреждение.
Статусы присваиваются и отправляются в Kaspersky Security Center в соответствии со следующими требованиями:
- На устройстве обнаружена одна причина для присвоения статуса — устройству присваивается статус, отображающийся в списке управляемых устройств.
- На устройстве обнаружено несколько причин для присвоения статуса — Kaspersky Secure Mobility Management выбирает наиболее критический статус и присваивает его.
- На устройстве не обнаружено причин для присвоения статуса — Kaspersky Secure Mobility Management не отправляет структуру статусов в Kaspersky Security Center, присваивается статус ОК.
Цветовые кодировки индикаторов
Значок
Состояние
Значение цвета индикатора
Голубой
Мобильное устройство, обнаруженное в сети и не входящее в состав какой-либо группы администрирования.
Зарегистрированы события, не связанные с угрозами для безопасности управляемых устройств.
Зеленый
Мобильное устройство, входящее в состав группы администрирования, со статусом ОК.
Вмешательство администратора не требуется.
Желтый
Мобильное устройство, входящее в состав группы администрирования, со статусом Предупреждение.
Зарегистрированы события, не связанные с угрозами для безопасности управляемых устройств.
Красный
Мобильное устройство, входящее в состав группы администрирования, со статусом Критический.
Имеются серьезные проблемы. Требуется вмешательство администратора для их решения.
Мобильное устройство, входящее в состав группы администрирования, соединение которого с Сервером администрирования потеряно.
Может быть любого цвета: голубой, зеленый, желтый, красный.
Задача администратора - сделать так, чтобы цветовые индикаторы оставались зелеными на всех устройствах.
Вы можете выбрать Свойства в контекстном меню мобильного устройства, а затем перейти в раздел Защита, чтобы просмотреть зарегистрированные события, влияющие на цветовые индикаторы и состояние Kaspersky Security Center (см. таблицу Название, описание и цвет индикатора зарегистрированных событий).
Название, описание и цвет индикатора зарегистрированных событий
Цвет индикатора |
Отображаемое имя типа события |
Описание |
|---|---|---|
Красный |
Количество устройств, на которых срок действия лицензии истек: %1 |
События этого типа возникают, если срок действия коммерческой лицензии окончен. Один раз в день Kaspersky Security Center проверяет, не истек ли срок действия лицензии. После окончания срока действия коммерческой лицензии, Kaspersky Security Center работает в режиме базовой функциональности. Чтобы продолжить использование Kaspersky Security Center, продлите срок действия коммерческой лицензии. |
Красный |
Устройств с незапущенной программой безопасности: %1 Это не относится к iOS MDM-устройствам. |
События этого типа возникают, когда программа безопасности, установленная на устройстве, не запущена. Убедитесь, что на устройстве запущена программа Kaspersky Endpoint Security. |
Красный |
Устройств с выключенной защитой: %1 |
События такого типа возникают, когда программа защиты на устройстве отключена больше указанного времени. Проверьте текущий статус постоянной защиты на устройстве и убедитесь, что все необходимые вам компоненты защиты включены. |
Красный |
На Сервере администрирования зарегистрированы критические события |
События этого типа возникают при обнаружении критических событий Сервера администрирования. Проверьте список событий, хранящихся на Сервере администрирования, а затем последовательно исправьте критические события. |
Красный |
На Сервере администрирования зарегистрированы ошибки в событиях |
События этого типа возникают при регистрации непредвиденных ошибок на стороне Сервера администрирования. Проверьте список событий, хранящихся на Сервере администрирования, а затем последовательно исправьте критические события. |
Красный |
Потеряно соединение с устройствами: %1 |
События этого типа возникают при потере соединения между Сервером администрирования и устройством. Просмотрите список отключенных устройств и попробуйте подключить их снова. |
Красный |
Устройств, которые давно не соединялись с Сервером администрирования: %1 |
События этого типа возникают, когда устройство не подключалось к Серверу администрирования больше указанного времени, так как устройство выключено. Убедитесь, что устройство включено и запущен Агент администрирования. |
Красный |
Базы устарели: %1 устройств |
События этого типа возникают, когда базы вредоносного ПО на устройстве не обновлялись в течение заданного интервала времени. Следуйте инструкциям, чтобы обновить антивирусные базы "Лаборатории Касперского". |
Красный |
Количество устройств, на которых обнаружены активные угрозы: %1 |
События этого типа возникают при обнаружении активных угроз на управляемых устройствах. Просмотрите информацию об обнаруженных угрозах и следуйте рекомендациям. |
Красный |
Устройств, на которых обнаружено много вирусов: %1 |
События этого типа возникают при обнаружении вирусов на управляемых устройствах. Просмотрите информацию об обнаруженных вирусах и следуйте рекомендациям. |
Красный |
Вирусная атака |
События этого типа возникают, если количество вредоносных объектов, обнаруженных на нескольких управляемых устройствах в течение короткого периода, превышает заданные пороговые значения. Просмотрите информацию об обнаруженных угрозах и следуйте рекомендациям. |
Желтый |
Давно не выполнялся поиск вредоносного ПО на устройствах: %1 |
События этого типа возникают, когда вам нужно выполнить поиск вредоносного ПО на управляемых устройствах. Запустите поиск вирусов. |
Зеленый |
Управляемых устройств: %3. Обнаружено нераспределенных устройств: %1 |
События этого типа возникают при обнаружении новых устройств в группах администрирования. |
Зеленый |
Программа безопасности установлена на всех управляемых устройствах |
События этого типа возникают, когда программа Kaspersky Endpoint Security установлена на всех управляемых устройствах. |
Зеленый |
Kaspersky Security Center функционирует нормально. |
События этого типа возникают при правильной работе Kaspersky Security Center. |
Зеленый |
Защита включена |
События этого типа возникают, когда на управляемых устройствах включена постоянная защита. |
Зеленый |
Не установлена программа безопасности |
События этого типа возникают, когда программа, защищающая от вредоносного ПО, не установлена на управляемых устройствах. |
Зеленый |
Поиск вредоносного ПО проводится по расписанию |
События этого типа возникают, когда задача Поиска вредоносного ПО выполняется по расписанию. |
Голубой |
Не принято Лицензионное соглашение мобильных приложений "Лаборатории Касперского" |
События этого типа возникают, когда администратор еще не принял Лицензионное соглашение мобильных приложений "Лаборатории Касперского". |
Голубой |
Не принято Лицензионное соглашение для обновлений программ "Лаборатории Касперского" |
События этого типа возникают, когда администратор еще не принял Лицензионное соглашение обновлений программ "Лаборатории Касперского". |
Голубой |
Положение о Kaspersky Security Network для обновлений программ "Лаборатории Касперского" не принято |
События этого типа возникают, когда администратор еще не принял Положение о Kaspersky Security Network для обновлений программ "Лаборатории Касперского". |
Голубой |
Есть новые версии программ "Лаборатории Касперского" |
События этого типа возникают, когда новые версии программ "Лаборатории Касперского" доступны для установки на управляемые устройства. |
Голубой |
Есть обновления для программ "Лаборатории Касперского" |
События этого типа возникают, когда доступны обновления для программ "Лаборатории Касперского". |
Голубой |
Устройств, на которых полная проверка ни разу не проводилась: %1 |
События этого типа возникают, когда полная проверка никогда не выполнялась на указанном количестве устройств. |
Статусы мобильных устройств, определяемые Kaspersky Secure Mobility Management
Это дополнительные статусы, которые функционируют вместе со статусами, определенными Kaspersky Security Center (см. таблицу Название, описание и цвет индикатора зарегистрированных событий).
Kaspersky Secure Mobility Management определяет статус мобильных устройств на основе параметров политики, а затем отправляет структуру статусов в Kaspersky Security Center при синхронизации. Администратор может изменить статус устройства в политике в зависимости от уровня серьезности условия (см. таблицу Значения по умолчанию, причины и условия для присвоения статуса). В этом случае заданное администратором значение имеет приоритет над значением по умолчанию, заданным Kaspersky Secure Mobility Management.
Значения по умолчанию, причины и условия присвоения статуса
Условие |
Причина присвоения статуса |
Значение по умолчанию |
|---|---|---|
Постоянная защита не работает. |
Одна из следующих причин:
|
Критический |
Веб-Фильтр не работает. |
Одна из следующих причин:
|
Предупреждение |
Контроль приложений не работает. |
Разрешение Специальные возможности не предоставлено. |
Предупреждение |
Блокирование устройства недоступно.
|
Одна из следующих причин:
|
Предупреждение |
Определение местоположения устройства недоступно. |
Одна из следующих причин:
|
Предупреждение |
Версии Положения о KSN не совпадают. |
Версия Положения о Kaspersky Security Network, принятого пользователем в политике, и версия Положения о Kaspersky Security Network на устройстве не совпадают. |
Предупреждение |
Версии Маркетингового положения не совпадают. |
Версия Положения об обработке данных в маркетинговых целях, принятого пользователем в политике, и версия Положения об обработке данных в маркетинговых целях на устройстве не совпадают. |
ОК |
Инвентаризация программного обеспечения на Android-устройствах
Вы можете выполнять инвентаризацию приложений на Android-устройствах, подключенных к Kaspersky Security Center. Kaspersky Endpoint Security для Android получает информацию обо всех приложениях, установленных на мобильных устройствах. Информация, полученная в результате инвентаризации, отображается в свойствах устройства в разделе События. Вы можете просматривать подробную информацию о каждом установленном приложении, в том числе версию и производителя.
Чтобы включить инвентаризацию программного обеспечения, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Контроль приложений.
- В разделе Отчет об установленных мобильных приложениях установите флажок Отправлять данные об установленных приложениях.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Kaspersky Endpoint Security для Android отправляет данные в журнал событий каждый раз после установки или удаления приложения с устройства.
В началоНастройка отображения Android-устройств в Kaspersky Security Center
Для удобства работы со списком мобильных устройств следует настроить параметры отображения устройства в Kaspersky Security Center. По умолчанию список мобильных устройств отображается в дереве консоли Дополнительно → Управление мобильными устройствами → Мобильные устройства. Информация об устройстве обновляется автоматически. Вы также можете обновить список мобильных устройств вручную по кнопке Обновить в правом верхнем углу.
После подключения устройства к Kaspersky Security Center оно автоматически добавляется в список мобильных устройств. В списке мобильных устройств может содержаться подробная информация об устройстве: модель, операционная система, IP-адрес и другие данные.
Вы можете настроить формат имени устройства, а также выбрать статус устройства. Статус устройства информирует о работе компонентов Kaspersky Endpoint Security для Android на мобильном устройстве пользователя.
Компоненты Kaspersky Endpoint Security для Android могут не работать по следующим причинам:
- Пользователь выключил компонент в настройках устройства.
- Пользователь не предоставил приложению необходимые права для работы компонента (например, отсутствует разрешение на определение местоположения устройства для выполнения соответствующей команды Анти-Вора).
Для отображения статуса устройства необходимо включить условие Определяемый программой в свойствах группы администрирования (Свойства > Статус устройства > Условия для статуса устройства "Критический" и Условия для статуса устройства "Предупреждение"). В свойствах группы администрирования вы также можете выбрать другие критерии для формирования статуса мобильного устройства.
Чтобы настроить отображение Android-устройств в Kaspersky Security Center, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Информация об устройстве.
- В разделе Имя устройства в Kaspersky Security Center выберите формат имени устройства для отображения в Консоли администрирования:
- Модель устройства [Электронная почта, идентификатор устройства];
- Модель устройства [Электронная почта (если есть) или идентификатор устройства].
Идентификатор устройства – уникальный идентификатор, который Kaspersky Endpoint Security для Android формирует из данных, полученных от устройства, следующим образом:
- На персональных устройствах с Android версии 9 и ниже приложение использует IMEI. Для более поздних версий Android приложение использует SSAID (идентификатор Android) или контрольную сумму других данных, полученных от устройства.
- В режиме device owner приложение использует IMEI для всех версий Android.
- При создании рабочего профиля на устройствах с Android версии 11 и ниже приложение использует IMEI. Для других версий Android приложение использует SSAID (идентификатор Android) или контрольную сумму других данных, полученных от устройства.
- Установите атрибут "замок" в закрытое положение (
). - В блоке Статус устройства в Kaspersky Security Center выберите статус устройства, если не работает компонент Kaspersky Endpoint Security для Android:
(Критический), 
(Предупреждение) или 
(ОК).В списке мобильных устройств статус устройства будет изменен в соответствии с выбранным статусом.
- Установите атрибут "замок" в закрытое положение.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоЗащита
Этот раздел содержит информацию о том, как удаленно управлять защитой мобильных устройств в Консоли администрирования Kaspersky Security Center.
Настройка защиты от вредоносного ПО на Android-устройствах
Для своевременного обнаружения угроз, поиска вирусов, а также других вредоносных приложений следует настроить параметры постоянной защиты и автоматический запуск проверки на наличие вредоносного ПО.
Kaspersky Endpoint Security для Android обнаруживает следующие типы объектов:
- вирусы, черви, троянские приложения, вредоносные утилиты;
- рекламные приложения;
- приложения, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя.
Защита от вредоносного ПО имеет ряд ограничений:
- При работе Защиты от вредоносного ПО в рабочем профиле невозможно автоматически устранить угрозу, обнаруженную во внешней памяти устройства (например, на SD-карте). У Kaspersky Endpoint Security для Android в рабочем профиле нет доступа к внешней памяти. Информация об обнаруженных объектах отображается в уведомлениях приложения. Для устранения обнаруженных во внешней памяти объектов необходимо удалить файл вручную и запустить проверку устройства повторно.
- Из-за технических ограничений Kaspersky Endpoint Security для Android не может проверять файлы размером 2 ГБ и более. Во время проверки приложение пропускает такие файлы и не уведомляет вас, если такие файлы были пропущены.
- На устройствах с операционной системой Android 11 или выше приложение Kaspersky Endpoint Security для Android не может сканировать папки Android/data и Android/obb и обнаруживать в них вредоносные программы из-за технических ограничений.
Чтобы настроить параметры постоянной защиты мобильного устройства, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Защита.
- В блоке Защита настройте параметры защиты файловой системы мобильного устройства:
- Чтобы включить постоянную защиту мобильного устройства пользователя от угроз, установите флажок Включить защиту.
Kaspersky Endpoint Security для Android будет проверять только новые приложения и файлы из папки Загрузки.
- Чтобы включить расширенный режим защиты мобильного устройства пользователя от угроз, установите флажок Расширенный режим защиты.
Kaspersky Endpoint Security для Android будет проверять все файлы, которые пользователь открывает, изменяет, перемещает, копирует, устанавливает и сохраняет на устройстве, а также мобильные приложения сразу после их установки.
На устройствах под управлением операционной системы Android 8.0 и выше Kaspersky Endpoint Security для Android проверяет файлы, которые пользователь изменяет, перемещает, устанавливает, сохраняет, а также копии файлов. Kaspersky Endpoint Security для Android не проверяет файлы при их открытии, а также исходные файлы при копировании.
- Чтобы включить дополнительную проверку новых приложений до их первого запуска на устройстве пользователя при помощи облачной службы Kaspersky Security Network, установите флажок Облачная защита (KSN).
- Чтобы блокировать рекламные приложения и приложения, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя, установите флажок Обнаруживать рекламные приложения, приложения автодозвона и другие.
- Чтобы включить постоянную защиту мобильного устройства пользователя от угроз, установите флажок Включить защиту.
- В списке Действие при обнаружении угрозы выберите один из следующих вариантов:
- Удалить
Обнаруженные объекты будут удалены автоматически. От пользователя не требуется никаких дополнительных действий. Перед удалением Kaspersky Endpoint Security для Android отобразит временное уведомление об обнаружении объекта.
- Пропустить
Если обнаруженные объекты были пропущены, Kaspersky Endpoint Security для Android предупреждает пользователя о проблемах в защите устройства. Для каждой пропущенной угрозы приведены действия, которые может выполнить пользователь для ее устранения. Список пропущенных объектов может измениться, например, если вредоносный файл был удален или перемещен. Чтобы получить актуальный список угроз, запустите полную проверку устройства. Для надежной защиты ваших данных устраните все обнаруженные объекты.
- Карантин
- Удалить
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
Чтобы настроить автоматический запуск проверки на наличие вредоносного ПО на мобильном устройстве, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Проверка.
- Чтобы блокировать рекламные приложения и приложения, которые могут быть использованы злоумышленниками для нанесения вреда устройству или данным пользователя, установите флажок Обнаруживать рекламные приложения, приложения автодозвона и другие.
- В списке Действие при обнаружении угрозы выберите один из следующих вариантов:
- Удалить
Обнаруженные объекты будут удалены автоматически. От пользователя не требуется никаких дополнительных действий. Перед удалением Kaspersky Endpoint Security для Android отобразит временное уведомление об обнаружении объекта.
- Пропустить
Если обнаруженные объекты были пропущены, Kaspersky Endpoint Security для Android предупреждает пользователя о проблемах в защите устройства. Для каждой пропущенной угрозы приведены действия, которые может выполнить пользователь для ее устранения. Список пропущенных объектов может измениться, например, если вредоносный файл был удален или перемещен. Чтобы получить актуальный список угроз, запустите полную проверку устройства. Для надежной защиты ваших данных устраните все обнаруженные объекты.
- Карантин
- Запросить действие
Приложение Kaspersky Endpoint Security для Android выводит уведомление, в котором пользователю предлагается выбрать действие над обнаруженным объектом: Пропустить или Удалить.
Вариант Запросить действие позволяет пользователю устройства при обнаружении нескольких объектов применить выбранное действие к каждому файлу с помощью флажка Применить ко всем угрозам.
Для отображения уведомления на мобильных устройствах под управлением операционной системы Android версии 10 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае Kaspersky Endpoint Security для Android выводит системное окно Android, в котором пользователю предлагается выбрать действие над обнаруженным объектом: Пропустить или Удалить. Чтобы применить действие к нескольким объектам нужно откройте Kaspersky Endpoint Security.
Если во время проверки Kaspersky Endpoint Security для Android обнаруживает на устройствах пользователей вредоносные программы, действия различаются в зависимости от режима управления устройством.
- Удалить
- В блоке Проверка по расписанию настройте параметры автоматического запуска полной проверки файловой системы устройства. Для этого нажмите на кнопку Расписание и в открывшемся окне Расписание задайте периодичность и время запуска полной проверки.
Если устройство находится в режиме экономии заряда батареи, приложение может выполнить эту задачу позже, чем указано. Для своевременного реагирования KES-устройств под управлением Android на команды администратора, следует включить использование сервиса Firebase Cloud Messaging.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Kaspersky Endpoint Security для Android проверяет все файлы, в том числе содержимое архивов.
Для поддержания защиты мобильного устройства в актуальном состоянии следует настроить параметры обновления баз вредоносного ПО.
По умолчанию обновление баз вредоносного ПО в зоне роуминга выключено. Обновление баз вредоносного ПО по расписанию не выполняется.
Чтобы настроить параметры обновления баз вредоносного ПО, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Обновление баз.
- Чтобы Kaspersky Endpoint Security для Android загружал обновления баз по сформированному расписанию, когда устройство находится в зоне роуминга, в блоке Обновление баз в роуминге установите флажок Разрешать обновление баз в роуминге.
Даже если флажок снят, пользователь может запустить обновление баз вредоносного ПО в роуминге вручную.
- В блоке Источник обновлений баз укажите источник обновлений, из которого Kaspersky Endpoint Security для Android будет получать и устанавливать обновления баз вредоносного ПО:
- Серверы "Лаборатории Касперского"
Использование сервера обновлений "Лаборатории Касперского" в качестве источника обновлений для загрузки баз Kaspersky Endpoint Security для Android на мобильные устройства пользователей. Для обновления баз с серверов "Лаборатории Касперского" Kaspersky Endpoint Security для Android передает в "Лабораторию Касперского" данные (например, идентификатор запуска задачи обновления). Список передаваемых данных при обновлении баз вы можете просмотреть в Лицензионном соглашении.
- Сервер администрирования
Использование хранилища Сервера администрирования Kaspersky Security Center в качестве источника обновлений для загрузки баз приложения Kaspersky Endpoint Security для Android на мобильные устройства пользователей.
- Другой источник
Использование стороннего сервера в качестве источника обновлений для загрузки баз приложения Kaspersky Endpoint Security для Android на мобильные устройства пользователей. Для обновления требуется задать адрес HTTP-сервера в поле ниже (например, http://domain.com/).
- Серверы "Лаборатории Касперского"
- В блоке Обновление баз по расписанию настройте параметры автоматического запуска обновлений баз вредоносного ПО на устройстве пользователя. Для этого нажмите на кнопку Расписание и в открывшемся окне Расписание задайте периодичность и время запуска обновления.
Если устройство находится в режиме экономии заряда батареи, приложение может выполнить эту задачу позже, чем указано. Для своевременного реагирования KES-устройств под управлением Android на команды администратора, следует включить использование сервиса Firebase Cloud Messaging.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоЗащита Android-устройств в интернете
Для защиты персональных данных пользователя мобильного устройства в интернете включите Веб-Фильтр. Веб-Фильтр блокирует вредоносные веб-сайты, цель которых – распространить вредоносный код, а также фишинговые веб-сайты, цель которых – украсть ваши конфиденциальные данные и получить доступ к вашим финансовым счетам. Веб-Фильтр проверяет веб-сайты до открытия, используя облачную службу Kaspersky Security Network. Веб-Фильтр также позволяет настроить доступ пользователя к веб-сайтам на основе сформированных списков разрешенных и запрещенных веб-сайтов.
Приложение Kaspersky Endpoint Security для Android должно быть установлено в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее.
Веб-Фильтр на Android-устройствах поддерживается только браузерами Google Chrome, HUAWEI Browser, Samsung Internet и Яндекс Браузер.
Если приложение Kaspersky Endpoint Security для Android в режиме device owner не установлено в качестве службы Специальных возможностей, Веб-Фильтр поддерживается только браузером Google Chrome и проверяет только домен сайта. Чтобы Веб-Фильтр поддерживался другими браузерами (Samsung Internet Browser, Яндекс Браузер и HUAWEI Browser), приложение Kaspersky Endpoint Security должно быть включено в качестве службы Специальных возможностей. Это также позволит использовать функцию Custom Tabs.
Функция Custom Tabs поддерживается браузерами Google Chrome, HUAWEI Browser и Samsung Internet Browser.
В браузерах HUAWEI Browser, Samsung Internet Browser и Яндекс Браузер Веб-Фильтр не блокирует сайты на мобильном устройстве, если используется рабочий профиль и установлен флажок Включить Веб-Фильтр только в рабочем профиле.
Чтобы включить Веб-Фильтр в Google Chrome, HUAWEI Browser и Samsung Internet Browser, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Веб-Фильтр.
- Для использования Веб-Фильтра вам или пользователю устройства необходимо прочитать Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) и принять его условия. Для этого:
- Нажмите на ссылку Положение о Веб-Фильтре в верхней части раздела.
Откроется окно Положение об обработке данных в целях использования Веб-Фильтра.
- Прочитайте Политику конфиденциальности и примите ее условия, установив соответствующий флажок. Для того чтобы ознакомиться с Политикой конфиденциальности, необходимо перейти по ссылке Политика конфиденциальности.
Если вы не принимаете Политику конфиденциальности, пользователь мобильного устройства может принять Политику конфиденциальности в мастере первоначальной настройки или в приложении (
→ О приложении → Правовая информация → Политика конфиденциальности). - Укажите, принимаете ли вы Положение о Веб-Фильтре:
- Я прочитал и принимаю Положение о Веб-Фильтре
- Запросить принятие Положения о Веб-Фильтре у пользователя устройства
- Я не принимаю Положение о Веб-Фильтре
Если вы выбрали вариант Я не принимаю Положение о Веб-Фильтре, Веб-Фильтр не будет блокировать сайты на мобильном устройстве. Пользователь мобильного устройства не сможет включить Веб-Фильтр в Kaspersky Endpoint Security.
- Нажмите на кнопку OK, чтобы закрыть окно.
- Нажмите на ссылку Положение о Веб-Фильтре в верхней части раздела.
- Установите флажок Включить Веб-Фильтр.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоЗащита данных при потере или краже устройств
Этот раздел содержит информацию о настройке параметров защиты мобильного устройства от несанкционированного доступа в случае потери или кражи.
Отправка команд на утерянное или украденное мобильное устройство
Для защиты данных на мобильном устройстве в случае его потери или кражи вы можете отправить специальные команды.
Вы можете отправлять команды на следующие типы управляемых мобильных устройств:
- Android-устройства, управляемые через приложение Kaspersky Endpoint Security для Android;
- iOS MDM-устройства.
Каждый тип устройств поддерживает свой набор команд (см. таблицу ниже).
Команды для Android-устройств
Команды для защиты данных при потере или краже Android-устройства
Команда |
Результат выполнения команды |
|---|---|
Заблокировать |
Мобильное устройство заблокировано. Для получения доступа к данным необходимо разблокировать устройство. |
Разблокировать |
Мобильное устройство разблокировано. После разблокировки устройства под управлением операционной системы Android 5.0–6 пароль разблокировки экрана будет заменен на "1234". На устройствах под управлением операционной системы Android 7.0 и выше после разблокировки мобильного устройства пароль разблокировки экрана останется прежним. |
Определить местоположение устройства |
Получены координаты местоположения мобильного устройства. Чтобы посмотреть местоположение устройства на карте, перейдите в папку Управление мобильными устройствами → Мобильные устройства. Затем в контекстном меню устройства выберите Все команды → Определить местоположение → Посмотреть координаты устройства. На устройствах с операционной системой Android 12 и выше, если пользователю предоставлено разрешение "Использовать приблизительное местоположение", Kaspersky Endpoint Security для Android сначала пытается определить точное местоположение устройства. Если это не удалось, определяется приблизительное местоположение устройства, но только в том случае, если данные о нем были получены не более 30 минут назад. В противном случае команда Определить местоположение устройства завершится с ошибкой. Если на устройстве Android отключена служба Google "Точность местоположения", команда Определить местоположение устройства работать не будет. Обращаем внимание, что не на всех устройствах Android есть эта служба. |
Сфотографировать |
Мобильное устройство заблокировано. Фотография выполнена фронтальной камерой устройства при попытке разблокировать устройство. На устройствах с выдвижной фронтальной камерой фотография будет черной, если камера закрыта. При попытке разблокировки устройства пользователь автоматически соглашается на фотографирование. Если разрешение на использование камеры было отозвано, на мобильном устройстве отображается уведомление, предлагающее предоставить это разрешение. Если разрешение на использование камеры было отозвано из панели быстрых настроек на мобильном устройстве под управлением Android 12 или более поздней версии, уведомление не отображается, но сделанная фотография будет черной. |
Воспроизвести звуковой сигнал |
Мобильное устройство воспроизводит звуковой сигнал. Звуковой сигнал воспроизводится 5 мин (при низком уровне заряда батареи – 1 мин). |
Удалить данные приложения |
Данные указанного приложения удалены с мобильного устройства. Действие применимо только к устройствам c Android 9 или выше в режиме device owner или с установленным рабочим профилем Android. |
Удалить данные всех приложений |
Данные всех приложений удалены с мобильного устройства. Действие применимо только к устройствам c Android 9 или выше в режиме device owner или с установленным рабочим профилем Android. |
Удалить корпоративные данные |
Корпоративные данные удалены с устройства. Перечень удаленных данных зависит от режима работы устройства.
|
Сбросить настройки до заводских |
Удалены все данные с мобильного устройства, настройки мобильного устройства сброшены до заводских. После выполнения этой команды устройство не сможет получать и выполнять последующие команды. |
Получить историю местоположений устройства |
Отображается история местоположений мобильного устройства за последние 14 дней. Чтобы посмотреть местоположение устройства на карте, перейдите в папку Управление мобильными устройствами → Мобильные устройства. Затем в контекстном меню устройства выберите Все команды → Получить историю местоположений устройства → Посмотреть на карте. Эта команда работает только в том случае, если в базе Сервера администрирования хранится тип информационного события История местоположений устройства. События настраиваются в разделе События свойств политики. Дополнительная информация о событиях приведена в справке Kaspersky Security Center. |
Команды для iOS MDM-устройств
Команды для защиты данных при потере или краже iOS MDM-устройства
Команда |
Результат выполнения команды |
|---|---|
Заблокировать |
Мобильное устройство заблокировано. Для получения доступа к данным необходимо разблокировать устройство. |
Сбросить пароль |
Сброшен пароль для разблокировки экрана мобильного устройства, пользователю предложено установить новый пароль в соответствии с требованиями политики. |
Удалить корпоративные данные |
Будут удалены все установленные конфигурационные профили, provisioning-профили, iOS MDM-профиль и приложения, для которых был установлен флажок Удалять вместе с iOS MDM-профилем. |
Сбросить настройки до заводских |
Удалены все данные с мобильного устройства, настройки мобильного устройства сброшены до заводских. После выполнения этой команды устройство не сможет получать и выполнять последующие команды. |
Включить режим пропажи (только для контролируемых устройств) |
На контролируемом мобильном устройстве включен режим пропажи, устройство заблокировано. На экране устройства появилось сообщение и номер телефона, которые вы можете редактировать. Если вы отправите команду Включить режим пропажи на контролируемое устройство iOS MDM без SIM-карты и это устройство будет перезапущено, оно не сможет подключиться к сети Wi-Fi и получить команду Отключить режим пропажи. Эта проблема связана с особенностями iOS-устройств. Чтобы этого избежать, можно отправлять эту команду только на устройства с SIM-картой или вставить SIM-карту в заблокированное устройство – в этом случае оно сможет получить команду Отключить режим пропажи по мобильной сети. |
Определить местоположение (только для контролируемых устройств) |
Получены данные о местоположении устройства. Перейдите по ссылке в журнале команд, чтобы получить координаты устройства и посмотреть его местоположение на карте. Чтобы посмотреть местоположение устройства на карте, перейдите в папку Управление мобильными устройствами → Мобильные устройства. Затем в контекстном меню устройства выберите Все команды → Определить местоположение → Посмотреть координаты устройства. Эта команда доступна только для контролируемых устройств в режиме пропажи. |
Воспроизвести звук (только для контролируемых устройств) |
На потерянном мобильном устройстве воспроизводится звуковой сигнал. Эта команда доступна только для контролируемых устройств в режиме пропажи. |
Отключить режим пропажи (только для контролируемых устройств) |
На мобильном устройстве отключен режим пропажи, устройство разблокировано. Эта команда поддерживается только на устройствах в режиме supervised. |
Для выполнения команд Kaspersky Endpoint Security для Android требуются специальные права и разрешения. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права и разрешения. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае выполнение команд невозможно.
На устройствах с операционной системой Android 10 и выше необходимо предоставить разрешение "Всегда" для доступа к местоположению устройства. На устройствах с операционной системой Android 11 и выше необходимо также предоставить разрешение "При использовании приложения" для доступа к камере. В противном случае команды Анти-Вора работать не будут. Пользователю будет выведено уведомление об этом ограничении и будет предложено повторно предоставить требуемые разрешения. Если пользователь выбрал вариант "Только сейчас" для разрешения камеры, считается, что доступ предоставлен приложением. Рекомендуется связаться с пользователем напрямую при повторном запросе разрешения для камеры.
Полный список доступных команд приведен в разделе "Команды для мобильных устройств". Подробная информация об отправке команд из Консоли администрирования приведена в разделе "Отправка команд".
В началоРазблокировка мобильного устройства
Вы можете разблокировать мобильное устройство следующими способами:
- Отправить команду разблокировки мобильного устройства.
- Ввести на мобильном устройстве одноразовый код разблокировки (только для Android-устройств).
На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, вы можете разблокировать устройство только с помощью одноразового кода разблокировки. Разблокировать устройство с помощью команд невозможно.
Подробная информация об отправке команд из списка мобильных устройств в Консоли администрирования приведена в разделе "Отправка команд".
Одноразовый код разблокировки – секретный код программы для разблокировки мобильного устройства. Одноразовый код создается программой и является уникальным для каждого мобильного устройства. Вы можете изменить длину одноразового кода (4, 8 или 16 цифр) в параметрах групповой политики в разделе Анти-Вор.
Чтобы разблокировать мобильное устройство с помощью одноразового кода, выполните следующие действия:
- В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
- Выберите мобильное устройство, для которого вы хотите получить одноразовый код для разблокировки.
- Откройте окно свойств мобильного устройства двойным щелчком мыши.
- Выберите Приложения → Kaspersky Endpoint Security для Android.
- Откройте окно свойств приложения Kaspersky Endpoint Security двойным щелчком мыши.
- Выберите раздел Анти-Вор.
- В блоке Одноразовый код разблокировки устройства в поле Одноразовый код будет указан уникальный для выбранного устройства код.
- Сообщите пользователю заблокированного мобильного устройства одноразовый код любым доступным способом (например, в сообщении электронной почты).
- Пользователь вводит одноразовый код на экране устройства, заблокированном Kaspersky Endpoint Security для Android.
Мобильное устройство разблокировано.
После разблокировки устройства под управлением операционной системы Android 5.0–6 пароль разблокировки экрана будет заменен на "1234". На устройствах под управлением операционной системы Android 7.0 и выше после разблокировки мобильного устройства пароль разблокировки экрана останется прежним.
В началоШифрование данных
Для защиты данных от несанкционированного доступа требуется включить шифрование всех данных на устройстве (например, учетных данных, внешних устройств и приложений, а также сообщений электронной почты, SMS-сообщений, контактов, фотографий и других файлов). Для доступа к зашифрованным данным требуется задать специальный ключ – пароль для разблокировки устройства. Таким образом, если данные зашифрованы, доступ к ним можно получить, только когда устройство разблокировано.
На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки > Touch ID и пароль / Face ID и пароль > Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: в дереве консоли выберите Управление мобильными устройствами > Мобильные устройства и дважды щелкните мышью по нужному устройству).
Чтобы зашифровать все данные на Android-устройстве, выполните следующие действия:
- Включите блокирование экрана на Android-устройстве (Настройки → Безопасность → Блокирование экрана).
- Установите пароль разблокировки устройства, соответствующий требованиям корпоративной безопасности.
Не рекомендуется использовать графический пароль для разблокировки устройства. На некоторых Android-устройствах под управлением Android 6 и выше после шифрования данных и перезагрузки устройства Android требует ввести цифровой пароль для разблокировки устройства вместо графического. Проблема связана с особенностями работы службы Специальных возможностей. Для разблокировки экрана устройства в этом случае переведите графический пароль в цифровой. Подробнее о переводе графического пароля в цифровой см. на сайте Службы технической поддержки компании-производителя мобильного устройства.
- Включите шифрование всех данных устройства (Настройки → Безопасность → Зашифровать данные).
Удаление данных на Android-устройствах после неудачных попыток ввода пароля
Вы можете настроить удаление всех данных на Android-устройстве (то есть сброс настроек устройства до заводских) после того, как пользователь неправильно ввел пароль разблокировки экрана слишком много раз.
Эти настройки применимы для устройств, работающих в режиме device owner, и персональных устройств, на которых приложение Kaspersky Endpoint Security для Android включено в качестве администратора устройства.
Чтобы настроить удаление всех данных:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Анти-Вор.
- В блоке Удаление данных на устройстве установите флажок Удалить все данные после неудачных попыток ввода пароля разблокировки.
- В поле Максимальное количество попыток ввода пароля разблокировки укажите количество попыток разблокировать устройство, которые может совершить пользователь. По умолчанию указано значение 8. Максимальное доступное значение – 20.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center. Если указанное количество попыток ввести правильный пароль разблокировки экрана будет превышено пользователем, приложение Kaspersky Endpoint Security для Android удалит все данные на устройстве.
В началоНастройка надежности пароля разблокировки устройства
Для защиты доступа к мобильному устройству пользователя следует настроить пароль разблокировки устройства.
Этот раздел содержит информацию о настройке защиты паролем Android-устройств и iOS-устройств.
Настройка надежности пароля разблокировки Android-устройства
Для обеспечения безопасности Android-устройства нужно настроить использование пароля, который запрашивается при выходе устройства из спящего режима.
Вы можете установить ограничения при работе пользователя с устройством, если пароль разблокировки недостаточно сложный (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила проверки требуется выбрать критерий Пароль разблокировки не соответствует требованиям безопасности.
На некоторых Samsung-устройствах под управлением операционной системы Android 7.0 и выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.
Чтобы настроить использование пароля разблокировки, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление устройством.
- Если вы хотите, чтобы приложение проверяло наличие пароля разблокировки, в блоке Блокирование экрана установите флажок Требовать установить пароль для разблокировки экрана.
Если приложение обнаружит, что пароль на устройстве не задан, пользователю потребуется указать его. Пароль указывается с учетом параметров, заданных администратором.
- При необходимости укажите следующие параметры:
- Минимальное количество символов
- Минимальные требования к сложности пароля (Android 12 или ниже в режиме device owner)
- Срок действия пароля, в днях
- Количество дней, за которое уведомлять о необходимости смены пароля (для режима device owner)
- Количество последних паролей, которые нельзя использовать в качестве нового пароля (все версии Android; Android 10 или выше в режиме device owner)
- Период неактивности без блокировки экрана устройства, в секундах
- Период после разблокировки биометрическими методами до ввода пароля, в минутах (Android 8.0 или выше в режиме device owner)
- Разрешить биометрические методы разблокировки (Android 9 или выше; Android 10 или выше в режиме device owner)
- Разрешить использование отпечатков пальцев (все версии Android; Android 10 или выше в режиме device owner)
- Разрешить распознавание лица (Android 9 или выше; Android 10 или выше в режиме device owner)
- Разрешить распознавание по радужной оболочке глаза (Android 9 или выше; Android 10 или выше в режиме device owner)
- Разрешить загрузку устройства до запроса пароля
- Пароль разблокировки
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
На некоторых устройствах HUAWEI появляется сообщение о слишком простом способе разблокировки экрана.
Чтобы установить правильный PIN-код на устройстве HUAWEI, пользователь должен выполнить следующие действия:
- В сообщении о проблеме нажмите на кнопку Изменить.
- Введите текущий PIN-код.
- В окне Настройте новый пароль нажмите на кнопку Изменение способа разблокировки.
- Выберите способ разблокировки Персональный PIN-код.
- Установите новый PIN-код.
PIN-код должен соответствовать требованиям политики.
На устройстве установлен правильный PIN-код.
В началоНастройка надежности пароля разблокировки iOS MDM-устройств
Для защиты данных iOS MDM-устройства следует настроить требования к надежности пароля разблокировки.
По умолчанию пользователь может использовать простой пароль. Простой пароль – это пароль, который может содержать последовательность символов или повторяющиеся символы, например, "abcd" или "2222". Вводить алфавитно-цифровой пароль с использованием специальных символов не обязательно. Срок действия пароля и количество попыток ввода пароля по умолчанию не ограничены.
Чтобы настроить параметры надежности пароля разблокировки iOS MDM-устройства, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Пароль.
- В блоке Параметры пароля установите флажок Применить параметры на устройстве.
- Настройте параметры надежности пароля разблокировки:
- Чтобы разрешить пользователю использовать простой пароль, установите флажок Разрешить простой пароль.
- Чтобы требовать использование алфавитно-цифрового пароля, установите флажок Требовать ввод алфавитно-цифрового значения.
- Чтобы сделать использование пароля обязательным, установите флажок Принудительно использовать пароль. Если флажок снят, мобильное устройство можно использовать без пароля.
- В списке Минимальное количество символов выберите минимальную длину пароля в символах.
- В списке Минимальное количество специальных символов выберите минимальное количество специальных символов в пароле (например, "$", "&", "!").
- В поле Максимальный срок использования укажите период времени в днях, в течение которого будет действовать пароль. По истечении установленного срока Kaspersky Device Management для iOS запрашивает у пользователя смену пароля.
- В списке Включать автоблокировку через выберите время включения автоблокировки iOS MDM-устройства.
- В поле История паролей укажите количество использованных паролей (включая текущий), которые Kaspersky Device Management для iOS при смене пароля сравнивает с новым паролем. Если пароли совпадут, новый пароль не будет принят.
- В списке Максимальное время для разблокировки без пароля выберите время, в течение которого пользователь может разблокировать iOS MDM-устройство без ввода пароля.
- В списке Максимальное количество попыток ввода выберите число доступных пользователю попыток ввести пароль для разблокировки iOS MDM-устройства.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве пользователя после применения политики Kaspersky Device Management для iOS проверит надежность пароля. Если надежность пароля разблокировки на устройстве не соответствует политике, пользователю будет предложено его изменить.
В началоНастройка виртуальной частной сети (VPN)
Этот раздел содержит информацию о настройке параметров виртуальной частной сети (VPN) для безопасного подключения к сетям Wi-Fi.
Настройка VPN на Android-устройствах (только Samsung)
Для безопасного подключения Android-устройства к сетям Wi-Fi и защиты передачи данных следует настроить параметры VPN (Virtual Private Network).
Настройка VPN возможна только для Samsung-устройств под управлением операционной системы Android 11 и ниже.
При использовании виртуальной частной сети следует учитывать следующие требования:
- Приложение, использующее VPN-соединение, должно быть разрешено в параметрах Сетевого экрана.
- Параметры виртуальной частной сети, настроенные в политике, не могут быть применены для системных приложений. Для системных приложений VPN-соединение нужно настраивать вручную.
- Для некоторых приложений, использующих VPN-соединение, при первом запуске требуется дополнительная настройка. Чтобы выполнить настройку, нужно разрешить VPN-соединение в параметрах приложения.
Чтобы настроить VPN на мобильном устройстве пользователя, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройствами.
- В блоке VPN нажмите на кнопку Настроить.
Откроется окно Сеть VPN.
- В раскрывающемся списке Тип соединения выберите тип VPN-соединения.
- В поле Имя сети введите название VPN-туннеля.
- В поле Адрес сервера введите сетевое имя или IP-адрес VPN-сервера.
- В поле Домен(ы) поиска DNS введите домен поиска DNS, который автоматически добавляется к имени DNS-сервера.
Вы можете ввести несколько доменов поиска DNS через пробел.
- В поле DNS-сервер(ы) введите полное доменное имя или IP-адрес DNS-сервера.
Вы можете ввести несколько DNS-серверов через пробел.
- В поле Перенаправление маршрутов введите диапазон IP-адресов сети, обмен данными с которыми осуществляется через VPN-соединение.
Если в поле Перенаправление маршрутов не указан диапазон IP-адресов, весь интернет-трафик будет проходить через VPN-соединение.
- Для типов сети IPSec Xauth PSK и L2TP IPSec PSK дополнительно настройте следующие параметры:
- В поле Общий ключ IPSec введите пароль от предварительно установленного ключа безопасности IPSec.
- В поле Идентификатор IPSec введите имя пользователя мобильного устройства.
- Для типа сети L2TP IPSec PSK дополнительно укажите пароль для ключа L2TP в поле Ключ L2TP.
- Для типа сети PPTP установите флажок Использовать SSL-соединение, чтобы приложение использовало метод шифрования данных MPPE (Microsoft Point-to-Point Encryption) для обеспечения безопасности передачи данных при подключении мобильного устройства к VPN-серверу.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоНастройка VPN на iOS MDM-устройствах
Для подключения iOS MDM-устройства к виртуальной частной сети (VPN) и обеспечения безопасности данных при подключении к сети VPN следует настроить параметры подключения к сети VPN. VPN-протоколы IKEv2 и IPSec также позволяют настроить VPN-соединение для избранных доменов веб-сайтов в Safari.
Чтобы настроить VPN-соединение на iOS MDM-устройстве пользователя, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел VPN.
- В блоке Конфигурации VPN нажмите на кнопку Добавить.
Откроется окно Конфигурация VPN.
- В поле Имя сети введите название VPN-туннеля.
- В раскрывающемся списке Тип соединения выберите тип VPN-соединения:
- L2TP (Layer 2 Tunneling Protocol). Соединение поддерживает аутентификацию пользователя iOS MDM-устройства с помощью паролей MS-CHAP v2, двухфакторную аутентификацию и автоматическую аутентификацию с помощью общего ключа.
- PPTP (Point-to-Point Tunneling Protocol). Соединение поддерживает аутентификацию пользователя iOS MDM-устройства с помощью паролей MS-CHAP v2 и двухфакторную аутентификацию.
Соединение PPTP больше не поддерживается.
- IKEv2 (Internet Key Exchange версии 2). Соединение устанавливает между двумя сетевыми объектами атрибут Ассоциация безопасности (SA) и поддерживает аутентификацию с использованием EAP (Extensible Authentication Protocols), общих ключей и сертификатов.
- IPSec (Cisco). Соединение поддерживает аутентификацию пользователей с помощью паролей, двухфакторную аутентификацию и автоматическую аутентификацию с помощью общего ключа и сертификатов.
- Cisco AnyConnect. Соединение поддерживает межсетевой экран Cisco Adaptive Security Appliance (ASA) версии 8.0(3).1 и выше. Для настройки VPN-соединения требуется установить на iOS MDM-устройство приложение Cisco AnyConnect из App Store.
- Juniper SSL. Соединение поддерживает шлюз Juniper Networks SSL VPN серии SA версии 6.4 и выше с пакетом Juniper Networks IVE версии 7.0 и выше. Для настройки VPN-соединения требуется установить на iOS MDM-устройство приложение JUNOS из App Store.
- F5 SSL. Соединение поддерживает решения F5 BIG-IP Edge Gateway, Access Policy Manager и Fire SSL VPN. Для настройки VPN-соединения требуется установить на iOS MDM-устройство приложение F5 BIG-IP Edge Client из App Store.
- SonicWALL Mobile Connect. Соединение поддерживает устройства SonicWALL Aventail E-Class Secure Remote Access версии 10.5.4 и выше, устройства SonicWALL SRA версии 5.5 и выше, а также устройства SonicWALL Next-Generation Firewall, включая TZ, NSA, E-Class NSA с SonicOS версии 5.8.1.0 и выше. Для настройки VPN-соединения требуется установить на iOS MDM-устройство приложение SonicWALL Mobile Connect из App Store.
- Aruba VIA. Соединение поддерживает контроллеры мобильного доступа Aruba Networks. Для их настройки требуется установить на iOS MDM-устройство приложение Aruba Networks VIA из App Store.
- Custom SSL. Соединение поддерживает аутентификацию пользователя iOS MDM-устройства с помощью паролей и сертификатов, а также двухфакторную аутентификацию.
- В поле Адрес сервера введите сетевое имя или IP-адрес VPN-сервера.
- В поле Имя учетной записи введите имя учетной записи пользователя для авторизации на сервере VPN. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- Настройте параметры безопасности для VPN-соединения в соответствии с выбранным типом виртуальной частной сети. Информацию об этих параметрах можно получить в контекстной справке плагина управления.
- При необходимости для подключения по протоколам IKEv2 и IPsec настройте Per App VPN для поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты). Подробную информацию см. в разделе Настройка Per App VPN на устройствах iOS MDM или в контекстной справке плагина управления.
- Настройте (если требуется) параметры подключения к сети VPN через прокси-сервер:
- Выберите закладку Параметры прокси-сервера.
- Выберите режим настройки прокси-сервера и укажите параметры подключения.
- Нажмите кнопку OK.
В результате на iOS MDM-устройстве будут настроены параметры подключения устройства к VPN-сети через прокси-сервер
- Нажмите кнопку OK.
Новая сеть VPN отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на iOS MDM-устройстве пользователя после применения политики будет настроено подключение к VPN-сети.
В началоНастройка Per App VPN на устройствах iOS MDM
Per App VPN позволяет подключать устройства к сети VPN при запуске поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты). Эта функция доступна при подключении по протоколам IKEv2 и IPSec.
Чтобы включить Per App VPN, выполните следующие действия:
- Выполните первоначальную настройку VPN-соединения. Порядок предварительной настройки описан в разделе Настройка VPN на устройствах iOS MDM.
- Установите флажок Включить Per App VPN.
Настройте Per App VPN для поддерживаемых системных приложений (электронная почта, календарь, Safari и контакты) в соответствующих разделах политики.
При установке флажка Включить Per App VPN становится доступен и по умолчанию установлен флажок Включать VPN автоматически для системных приложений. Это означает, что устройство автоматически активирует VPN-соединение, когда ассоциированные системные приложения инициируют передачу данных по сети.
Чтобы указать конфигурацию Per App VPN для приложений Электронная почта, Календарь и Контакты:
- Перейдите в соответствующий раздел политики.
- Нажмите Добавить, чтобы создать новую учетную запись, или выберите существующую из списка и нажмите Изменить.
- В разделе Настройки Per App VPN установите флажок Включить Per App VPN (iOS 14+).
- Выберите эту конфигурацию Per App VPN из раскрывающегося списка Выбрать конфигурацию Per App VPN и нажмите OK, чтобы сохранить изменения.
Чтобы указать конфигурацию Per App VPN для Safari:
- Перейдите в раздел политики Safari.
- Нажмите на кнопку Добавить.
Откроется окно Добавление домена для Safari.
- Выберите эту конфигурацию Per App VPN из раскрывающегося списка Выберите конфигурацию Per App VPN.
- В поле Домен, для которого будет включаться VPN-соединение укажите домен веб-сайта, который активирует VPN-соединение в Safari. Домен необходимо указывать в формате
"www.example.com". - Нажмите OK, чтобы добавить домен в список.
Настройка Сетевого экрана на Android-устройствах (только Samsung)
Для контроля сетевых соединений на мобильном устройстве пользователя следует настроить параметры Сетевого экрана.
Чтобы настроить Сетевой экран на мобильном устройстве, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройством.
- В блоке Сетевой экран нажмите на кнопку Настроить.
Откроется окно Сетевой экран.
- Выберите режим работы Сетевого экрана:
- Чтобы разрешить все входящие и исходящие соединения, переместите ползунок в положение Разрешать все.
- Чтобы блокировать любую сетевую активность, кроме приложений из списка исключений, переместите ползунок в положение Блокировать все, кроме исключений.
- Если вы выбрали режим работы Сетевого экрана Блокировать все, кроме исключений, сформируйте список исключений:
- Нажмите на кнопку Добавить.
Откроется окно Исключение для Сетевого экрана.
- В поле Название приложения введите название мобильного приложения.
- В поле Имя пакета введите системное имя пакета мобильного приложения (например,
com.mobileapp.example). - Нажмите на кнопку OK.
- Нажмите на кнопку Добавить.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоЗащита Kaspersky Endpoint Security для Android от удаления
Для защиты мобильного устройства и выполнения требований корпоративной безопасности вы можете включить защиту Kaspersky Endpoint Security для Android от удаления. В этом случае пользователю недоступно удаление приложения с помощью интерфейса Kaspersky Endpoint Security для Android. При удалении приложения с помощью инструментов операционной системы Android появится запрос на выключение прав администратора для Kaspersky Endpoint Security для Android. После выключения прав мобильное устройство будет заблокировано.
На некоторых Samsung-устройствах под управлением операционной системы Android 7.0 и выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.
Чтобы включить защиту Kaspersky Endpoint Security для Android от удаления, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Дополнительно.
- В блоке Удаление приложения Kaspersky Endpoint Security для Android снимите флажок Разрешить удаление приложения Kaspersky Endpoint Security для Android.
На устройствах под управлением операционной системы Android версии 7 и выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае защита приложения от удаления не работает.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. При попытке удаления приложения мобильное устройство будет заблокировано.
В началоОбнаружение взлома устройства (получение root-прав)
Kaspersky Secure Mobility Management позволяет обнаруживать взлом устройства (получение root-прав). На взломанном устройстве системные файлы не защищены и доступны для изменения. Также на взломанном устройстве доступна установка сторонних приложений из неизвестных источников. После обнаружения взлома рекомендуется восстановить нормальную работу устройства.
Kaspersky Endpoint Security для Android использует следующие службы для обнаружения получения пользователем root-прав:
- Встроенная служба Kaspersky Endpoint Security для Android. Служба "Лаборатории Касперского", которая проверяет получение root-прав пользователем мобильного устройства (Kaspersky Mobile Security SDK).
При взломе устройства вы получите уведомление. Вы можете просмотреть уведомления о взломе в рабочей области Сервера администрирования на закладке Мониторинг. Вы также можете выключить уведомление о взломе в параметрах уведомлений о событиях.
На устройствах под управлением операционной системы Android вы можете установить ограничения при работе пользователя с устройством в случае взлома (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила соответствия требуется выбрать критерий На устройстве получены root-права.
В началоНастройка глобального HTTP-прокси на iOS MDM-устройствах
Для защиты интернет-трафика пользователя нужно настроить подключение iOS MDM-устройства к интернету через прокси-сервер.
Автоматическое подключение к интернету через прокси-сервер доступно только для контролируемых устройств.
Чтобы настроить глобальный HTTP-прокси на iOS MDM-устройстве, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Глобальный HTTP-прокси.
- В блоке Параметры глобального HTTP-прокси установите флажок Применить параметры на устройстве.
- Выберите тип настройки глобального HTTP-прокси.
По умолчанию выбран ручной тип настройки глобального HTTP-прокси и пользователю запрещено подключаться к подписным сетям без подключения к прокси-серверу. Подписные сети – беспроводные сети, требующие предварительной аутентификации на мобильном устройстве без подключения к прокси-серверу.
- Если вы хотите вручную ввести параметры подключения к прокси-серверу, выполните следующие действия:
- В раскрывающемся списке Тип настройки выберите Вручную.
- В поле Адрес прокси-сервера и порт введите имя хоста, домена или IP-адрес прокси-сервера и номер порта прокси-сервера.
- В поле Имя пользователя задайте имя учетной записи пользователя для авторизации на прокси-сервере. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Пароль задайте пароль учетной записи пользователя для авторизации на прокси-сервере.
- Чтобы разрешить пользователю доступ к подписным сетям, установите флажок Разрешить доступ к подписным сетям без подключения к прокси-серверу.
- Чтобы настроить параметры подключения к прокси-серверу с помощью подготовленного файла PAC (Proxy Auto Configuration), выполните следующие действия:
- В раскрывающемся списке Тип настройки выберите Автоматически.
- В поле Веб-адрес PAC-файла введите веб-адрес PAC-файла (например, http://www.example.com/filename.pac).
- Чтобы разрешить пользователю подключение мобильного устройства к беспроводной сети без использования прокси-сервера в случае, если PAC-файл недоступен, установите флажок Разрешить прямое соединение, если PAC-файл недоступен.
- Чтобы разрешить пользователю доступ к подписным сетям, установите флажок Разрешить доступ к подписным сетям без подключения к прокси-серверу.
- Если вы хотите вручную ввести параметры подключения к прокси-серверу, выполните следующие действия:
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате после применения политики пользователь мобильного устройства будет подключаться к интернету через прокси-сервер.
В началоДобавление сертификатов безопасности на iOS MDM-устройства
Для упрощения аутентификации пользователя и обеспечения безопасности данных следует добавить на iOS MDM-устройство пользователя сертификаты. Подписание данных с помощью сертификата защищает данные от изменения во время сетевого обмена. Шифрование данных с помощью сертификата обеспечивает дополнительную защиту информации. Сертификат также может использоваться для удостоверения личности пользователя.
Kaspersky Device Management для iOS поддерживает следующие стандарты сертификатов:
- PKCS#1 – шифрование с открытым ключом на основе алгоритмов RSA.
- PKCS#12 – хранение и передача сертификата и закрытого ключа.
Чтобы добавить сертификат безопасности на iOS MDM-устройство пользователя, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Сертификаты.
- В блоке Сертификаты нажмите на кнопку Добавить.
Откроется окно Сертификат.
- В поле Имя файла укажите путь к сертификату:
Файлы сертификатов PKCS#1 имеют расширения cer, crt или der. Файлы сертификатов PKCS#12 имеют расширения p12 или pfx.
- Нажмите на кнопку Открыть.
Если сертификат защищен паролем, требуется указать пароль. После этого новый сертификат отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве после применения политики пользователю будет предложено установить сертификаты из сформированного списка.
В началоДобавление профиля SCEP на iOS MDM-устройства
Чтобы пользователь iOS MDM-устройства мог автоматически получать сертификаты из Центра сертификации через интернет, следует добавить профиль SCEP. Профиль SCEP позволяет поддерживать протокол простой регистрации сертификатов.
По умолчанию добавляется профиль SCEP со следующими параметрами:
- Для регистрации сертификатов не используется альтернативное имя субъекта.
- Предпринимаются три попытки опроса SCEP-сервера с интервалом 10 секунд между попытками. Если все попытки подписать сертификат были неудачными, следует сформировать новый запрос на подписание сертификата.
- Полученный сертификат запрещено использовать для подписи или шифрования данных.
Вы можете изменить указанные параметры при добавлении профиля SCEP.
Чтобы добавить профиль SCEP, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел SCEP.
- В блоке Профили SCEP нажмите на кнопку Добавить.
Откроется окно Профиль SCEP.
- В поле Веб-адрес сервера введите веб-адрес SCEP-сервера, на котором развернут Центр сертификации.
Веб-адрес может содержать IP-адрес или полное доменное имя (FQDN). Например, http://10.10.10.10/certserver/companyscep.
- В поле Название введите название Центра сертификации, развернутого на SCEP-сервере.
- В поле Субъект введите строку с атрибутами пользователя iOS MDM-устройства, которые содержатся в сертификате X.500.
Атрибуты могут содержать сведения о стране (С), организации (O) и общем имени пользователя (CN). Например, /C=RU/O=MyCompany/CN=User/. Вы можете использовать и другие атрибуты, которые приведены в RFC 5280.
- В раскрывающемся списке Тип альтернативного имени субъекта выберите тип альтернативного имени субъекта SCEP-сервера:
- Не задан – идентификация по альтернативному имени не используется.
- RFC 822 имя – идентификация по адресу электронной почты. Адрес электронной почты должен быть представлен в соответствии с RFC 822.
- DNS-имя – идентификация по доменному имени.
- URI – идентификация по IP-адресу или адресу в формате FQDN.
Вы можете использовать альтернативное имя субъекта для идентификации пользователя iOS MDM-устройства.
- В поле Альтернативное имя субъекта введите альтернативное имя субъекта сертификата X.500. Значение альтернативного имени субъекта зависит от типа субъекта: адрес электронной почты пользователя, домен или веб-адрес.
- В поле Имя субъекта NT введите DNS-имя пользователя iOS MDM-устройства в сети Windows NT.
Имя субъекта NT содержится в запросе на сертификат в SCEP-сервер.
- В поле Количество попыток опроса SCEP-сервера укажите максимальное количество попыток опроса SCEP-сервера для подписания сертификата.
- В поле Интервал между попытками (сек) укажите период времени в секундах между попытками опроса SCEP-сервера для подписания сертификата.
- В поле Запрос регистрации введите предварительно опубликованный ключ регистрации.
Перед подписанием сертификата SCEP-сервер запрашивает у пользователя мобильного устройства ключ. Если оставить поле пустым, SCEP-сервер не будет запрашивать ключ.
- В раскрывающемся списке Размер ключа выберите размер ключа регистрации в битах: 1024 или 2048.
- Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, в качестве сертификата подписи, установите флажок Использовать для подписи.
- Если вы хотите разрешить пользователю использовать сертификат, полученный от SCEP-сервера, для шифрования данных, установите флажок Использовать для шифрования.
Запрещено использовать сертификат SCEP-сервера в качестве сертификата подписи данных и сертификата шифрования данных одновременно.
- В поле Отпечаток сертификата введите уникальный отпечаток сертификата для проверки подлинности ответа от Центра сертификации. Вы можете использовать отпечатки сертификатов с алгоритмом хеширования SHA-1 или MD5. Вы можете скопировать отпечаток сертификата вручную или выбрать сертификат с помощью кнопки Создать из сертификата. При создании отпечатка с помощью кнопки Создать из сертификата отпечаток будет добавлен в поле автоматически.
Отпечаток сертификата требуется указать, если обмен данными между мобильным устройством и Центром сертификации осуществляется по протоколу HTTP.
- Нажмите кнопку OK.
Новый профиль SCEP отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате после применения политики на мобильном устройстве пользователя будет настроено автоматическое получение сертификата из Центра сертификации через интернет.
В началоНастройка ограничений на использование SD-карт (только для устройств Samsung)
В параметрах SD-карты настройте возможности контроля за использованием SD-карты на мобильном устройстве пользователя.
Чтобы ограничить использование SD-карты на мобильном устройстве, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройством.
- В разделе Параметры SD-карты укажите необходимые ограничения:
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры SD-карты настроены.
В началоУправление мобильными устройствами
Этот раздел содержит информацию о том, как удаленно управлять мобильными устройствами в Консоли администрирования Kaspersky Security Center.
Управление KES-устройствами
В Kaspersky Security Center вы можете управлять KES-устройствами следующими способами:
- централизованно управлять KES-устройствами с помощью команд;
- просматривать информацию о параметрах управления KES-устройствами;
- устанавливать приложения с помощью пакетов мобильных приложений;
- отключать KES-устройства от управления.
Режим device owner
Этот раздел содержит информацию о том, как управлять настройками мобильных Android-устройств в режиме device owner. Информация о развертывании режима device owner доступна в этом разделе.
В режиме device owner доступны следующие функции для мобильных Android-устройств:
- Ограничения функций операционной системы Android
- Управление настройками Google Chrome
- Тихая установка обязательных приложений и удаление запрещенных приложений в разделе Контроль приложений
- Режим киоска
- Управление Exchange ActiveSync для Gmail
- Подключение NDES и SCEP
Ограничение функций Android на устройствах
Вы можете ограничить функции операционной системы Android в режиме device owner. Например, вы можете ограничить сброс настроек до заводских, изменение учетных данных, использование Google Play и Google Chrome, передачу файлов по USB, изменение настроек местоположения и управлять обновлениями системы.
Вы можете ограничить функции Android в разделе Ограничения функций.
Чтобы открыть раздел Ограничения функций:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Режим device owner > Ограничения функций.
Ограничение функций устройства
На вкладке Функции устройства в разделе Ограничения функций вы можете включить или отключить следующие функции:
- Запретить сброс к заводским настройкам
- Запретить трансляцию, запись и снимки экрана
- Запретить изменение языка (Android 9 или выше)
- Запретить изменение даты, времени и часового пояса (Android 9 или выше)
- Запретить добавление и удаление аккаунтов Google
- Запретить изменение громкости и отключить звук на устройстве
- Запретить исходящие звонки
- Запретить отправку и получение SMS-сообщений
- Запретить изменение учетных данных
- Запретить камеру keyguard
- Запретить уведомления keyguard
- Запретить доверенных агентов keyguard
- Отключить разблокировку смахиванием keyguard
- Запретить изменение яркости (Android 9 или выше)
- Запретить автоматическое включение экрана (Android 9 или выше)
- Принудительно включать экран при подключении к сетевому зарядному устройству (Android 6 или выше)
- Принудительно включать экран при подключении к зарядному устройству USB (Android 6 или выше)
- Принудительно включать экран при подключении к беспроводному зарядному устройству (Android 6 или выше)
- Запретить изменение обоев (Android 7.0 или выше)
- Запретить строку состояния (Android 6 или выше)
- Запретить добавление пользователей
- Запретить смену пользователя (Android 9 или выше)
- Запретить удаление пользователей
- Запретить безопасную загрузку (Android 6 или выше)
- Запретить использование микрофона
- Запретить выключение микрофона (Android 12 или выше)
Ограничение функций приложений
На вкладке Приложения в разделе Ограничения функций вы можете включить или отключить следующие функции:
- Запретить использование камеры
- Запретить переключение камеры (Android 12 или выше)
- Запретить использование Google Play
- Запретить использование Google Chrome
- Запретить использование Google Assistant
- Запретить установку приложений из неизвестных источников
- Запретить изменение приложений через Настройки
- Запретить установку приложений
- Запретить удаление приложений
- Запретить отключение проверки приложения
- Выдача дополнительных разрешений для работы приложений
Ограничение функций памяти
На вкладке Память в разделе Ограничения функций вы можете включить или отключить следующие функции:
- Запретить функции отладки
- Запретить установку физических внешних носителей
- Запретить передачу файлов через USB
- Запретить сервис резервного копирования (Android 8.0 или выше)
Ограничение функций сети
На вкладке Сеть в разделе Ограничения функций вы можете включить или отключить следующие функции:
- Запретить использование Wi-Fi
- Запретить включение/выключение Wi-Fi (Android 13 или выше)
- Запретить изменение настроек Wi-Fi
- Запретить Wi-Fi Direct (Android 13 или выше)
- Запретить передачу предварительно настроенных сетей Wi-Fi (Android 13 или выше)
- Запретить добавление сетей Wi-Fi (Android 13 или выше)
- Запретить изменение предварительно настроенных сетей Wi-Fi
- Запретить режим полета (Android 9 или выше)
- Запретить использование Bluetooth (Android 8.0 или выше)
- Запретить изменение настроек Bluetooth
- Запретить обмен данными через Bluetooth (Android 8.0 или выше)
- Запретить изменение настроек VPN
- Запретить сброс настроек сетей (Android 6 или выше)
- Запретить изменение настроек мобильной сети
- Запретить использование сотовых данных в роуминге (Android 7.0 или выше)
- Запретить использование Android Beam через NFC
- Запретить использование модема
Ограничение служб геолокации
На вкладке Службы геолокации в разделе Ограничения функций вы можете настроить следующие параметры:
- Запретить отслеживание местоположения
- Запретить передачу местоположения
- Запретить изменение настроек местоположения (Android 9 или выше)
Ограничение обновлений системы
Управление настройками обновлений на мобильных устройствах является вендор-специфичным. На некоторых Android-устройствах ограничения на установку обновлений операционной системы вручную пользователем могут работать некорректно.
На вкладке Обновления в разделе Ограничения функций вы можете настроить следующие параметры:
- Установить политику обновления системы
- Периоды приостановки обновления системы (Android версии 9 или выше)
Настройка режима киоска для Android-устройств
Режим киоска это функция Kaspersky Endpoint Security для Android, которая позволяет ограничить набор приложений, доступных пользователю устройства, одним или несколькими приложениями. Также вы можете эффективно управлять некоторыми настройками устройства.
Настройки режима киоска применимы для устройств, управляемых через Kaspersky Endpoint Security для Android в режиме device owner.
Режим киоска не влияет на работу приложения Kaspersky Endpoint Security для Android. Оно продолжает работать в фоновом режиме, выводит уведомления и может обновляться.
Типы режима киоска
В Kaspersky Endpoint Security доступны следующие типы режима киоска:
- Режим одного приложения
Режим одного приложения — режим киоска только с одним приложением. В этом режиме пользователю устройства разрешено открывать на устройстве только одно приложение, которое указано в настройках режима киоска. Если приложение, которое вы хотите добавить в режим киоска, не установлено на устройстве, режим киоска включается после установки этого приложения.
На устройствах с Android версии 9.0 и выше приложение запускается непосредственно в режиме киоска.
На устройствах с Android версии 8.0 и ниже для запуска приложение должно поддерживать функцию режима киоска и самостоятельно вызывать метод
startLockTask(). - Режим с несколькими приложениями
Режим киоска с несколькими приложениями. В этом режиме пользователю устройства разрешено открывать на устройстве несколько приложений, которые указаны в настройках режима киоска.
Перед настройкой режима киоска
Перед настройкой режима киоска выполните следующие действия:
- Перед тем, как указать приложения, которые разрешено запускать на устройстве в режиме киоска, сначала необходимо добавить эти приложения в Контроль приложений > Список категорий и приложений и отметить их как обязательные приложения. Затем они появятся в списке Пакет приложения режима киоска.
- Перед включением режима киоска рекомендуем запретить запуск Google Assistant, включив соответствующее ограничение в Политика > Режим device owner > Ограничения функций > Приложения > Запретить использование Google Assistant. В противном случае Google Assistant запустится в режиме киоска и позволяет открывать недоверенные приложения.
Переход в настройки режима киоска
Чтобы открыть настройки режима киоска:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Режим device owner → Режим киоска.
Настройка режима одного приложения
Чтобы настроить режим одного приложения:
- В раскрывающемся списке Режим киоска выберите Режим одного приложения.
- В раскрывающемся списке Пакет приложения выберите пакет приложения с приложением, которое разрешено запускать на устройстве.
- Укажите любые необходимые ограничения. С доступными ограничениями можно ознакомиться ниже в разделе "Ограничения режима киоска".
- Установите флажок Разрешить переход в дополнительные приложения, если хотите разрешить пользователю устройства переход в другие приложения. Подробнее см. ниже в разделе Добавление дополнительных приложений.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Настройка режима с несколькими приложениями
Чтобы настроить режим с несколькими приложениями:
- В раскрывающемся списке Режим киоска выберите Режим с несколькими приложениями.
- Нажмите Добавить, выберите приложения, которые разрешено запускать на устройстве и нажмите OK.
- Укажите любые необходимые ограничения. С доступными ограничениями можно ознакомиться ниже в разделе "Ограничения режима киоска".
- Установите флажок Разрешить переход в дополнительные приложения, если хотите разрешить пользователю устройства переход в другие приложения. Подробнее см. ниже в разделе Добавление дополнительных приложений.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Ограничения режима киоска
В режиме киоска вы можете установить следующие ограничения:
- Запретить строку состояния (Android 9 или выше)
- Запретить кнопку Обзор (Android 9 или выше)
- Запретить кнопку Главный экран (Android 9 или выше)
- Запретить показ системных уведомлений (Android 9 или выше)
Добавление дополнительных приложений
Помимо настройки устройства для работы с одним или несколькими приложениями, вы можете добавить дополнительные приложения, которые разрешено использовать основному приложению. Эти дополнительные приложения обеспечивают полную функциональность приложений, добавленных в режим киоска. Пользователь устройства не может запускать дополнительные приложения вручную.
Для добавления дополнительных приложений в Режим киоска выполните следующие действия:
- Установите флажок Разрешить переход в дополнительные приложения.
- Нажмите Добавить, укажите необходимое имя пакета приложения и нажмите OK. Как получить имя пакета приложения
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Подключение к NDES/SCEP-серверу
Вы можете настроить подключение к NDES/SCEP-серверу, чтобы получить сертификат от центра сертификации (CA) с помощью простого протокола регистрации сертификатов (SCEP). Для этого необходимо настроить подключение к центру сертификации (CA) с помощью SCEP и указать профиль сертификата.
Чтобы добавить подключение к центру сертификации и указать профиль сертификата:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Режим device owner > NDES и SCEP.
- В разделе Подключение к центру сертификации (CA) нажмите Добавить.
Откроется диалоговое окно Подключение к центру сертификации.
- Укажите следующие параметры и нажмите OK:
- В разделе Профили сертификата нажмите Добавить.
Откроется диалоговое окно Профиль сертификата.
- Укажите следующие параметры профиля сертификата и нажмите OK:
- Нажмите Применить, чтобы сохранить внесенные изменения.
Управление подключениями и профилями сертификата
Впоследствии вы можете изменять или удалять добавленные подключения и профили сертификата.
Чтобы изменить подключение или профиль сертификата:
- Выберите необходимое подключение или профиль сертификата в соответствующем разделе.
- Нажмите Изменить, внесите необходимые изменения и нажмите OK.
- Нажмите Применить, чтобы сохранить внесенные изменения.
После редактирования профиля сертификата в параметрах политики соответствующий сертификат автоматически удалится с устройства во время следующей синхронизации с Сервером администрирования, после чего будет установлен новый сертификат.
Чтобы удалить подключение или профиль сертификата:
- Выберите необходимое подключение или профиль сертификата в соответствующем разделе.
- Нажмите Удалить, а затем OK.
Если удалить соединение с центром сертификации, все профили сертификатов, которые используют это соединение, также будут удалены.
- Нажмите Применить, чтобы сохранить внесенные изменения.
После удаления профиля сертификата в параметрах политики соответствующий сертификат автоматически удалится с устройства во время следующей синхронизации с Сервером администрирования.
В началоВключение проверки подлинности на основе сертификатов KES-устройств
Чтобы включить проверку подлинности на основе сертификатов KES-устройства:
- Откройте системный реестр клиентского устройства, на котором установлен Сервер администрирования (например, локально с помощью команды regedit в меню Пуск → Выполнить).
- Перейдите к кусту.
- Для 32-разрядных систем:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\.core\.independent\KLLIM
- Для 64-разрядных систем:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\.core\.independent\KLLIM
- Для 32-разрядных систем:
- Создайте ключ с именем LP_MobileMustUseTwoWayAuthOnPort13292.
- Укажите тип ключа REG_DWORD.
- Установите значение ключа 1.
- Перезапустите службу Сервера администрирования.
В результате обязательная проверка подлинности на основе сертификатов KES-устройства с использованием общего сертификата будет включена после запуска службы Сервера администрирования.
При первом подключении KES-устройства к Серверу администрирования наличие сертификата не обязательно.
По умолчанию проверка подлинности на основе сертификатов KES-устройств отключена.
Создание пакета мобильных приложений для KES-устройств
Для создания пакета мобильных приложений для KES-устройств необходима лицензия Kaspersky Endpoint Security для Android.
Чтобы создать пакет мобильных приложений, выполните следующие действия:
- В дереве консоли в папке Удаленная установка выберите подпапку Инсталляционные пакеты.
Папка Удаленная установка по умолчанию вложена в папку Дополнительно.
- Нажмите на кнопку Справка и в раскрывающемся списке выберите Пакеты мобильных приложений предназначены для установки на мобильные устройства не средствами Kaspersky Security Center. Например, такой пакет может быть отправлен пользователю по электронной почте или опубликован на Веб-сервере для дальнейшего скачивания и установки.
- В окне Управление пакетами мобильных приложений нажмите на кнопку Новый.
- Запустится мастер создания инсталляционного пакета. Следуйте далее указаниям мастера.
Созданный пакет мобильных приложений отобразится в окне Управление пакетами мобильных приложений.
Просмотр информации о KES-устройстве
Чтобы просмотреть информацию о KES-устройстве:
- В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте KES-устройства по протоколу управления KES.
- Выберите мобильное устройство, информацию о котором нужно просмотреть.
- В контекстном меню мобильного устройства выберите пункт Свойства.
В результате откроется окно свойств KES-устройства.
В окне свойств мобильного устройства отображается информация о подключенном KES-устройстве.
Отключение KES-устройства от управления
Чтобы отключить KES-устройство от управления, пользователь должен удалить Агент администрирования с мобильного устройства. После удаления пользователем Агента администрирования информация о мобильном устройстве удаляется из базы данных Сервера администрирования и администратор может удалить мобильное устройство из списка управляемых устройств.
Чтобы удалить KES-устройство из списка управляемых устройств:
- В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте KES-устройства по протоколу управления KES.
- Выберите мобильное устройство, которое необходимо отключить от управления.
- В контекстном меню мобильного устройства выберите пункт Удалить.
В результате мобильное устройство будет удалено из списка управляемых устройств.
Если Kaspersky Endpoint Security для Android не удален с мобильного устройства, то после синхронизации с Сервером администрирования мобильное устройство снова появится в списке управляемых устройств.
Управление iOS MDM-устройствами
В этом разделе описаны дополнительные возможности управления iOS MDM-устройствами с помощью Kaspersky Security Center. Для управления iOS MDM-устройствами программа поддерживает следующие возможности:
- Централизованно настраивать параметры управляемых iOS MDM-устройств и ограничивать функции устройств с помощью конфигурационных профилей. Вы можете добавлять и изменять конфигурационные профили и устанавливать профили на мобильные устройства.
- Устанавливать приложения на мобильные устройства не через App Store с помощью provisioning-профилей. Например, вы можете использовать provisioning-профили для установки внутренних корпоративных приложений на мобильные устройства пользователей. Provisioning-профиль содержит информацию о приложении и мобильном устройстве.
- Устанавливать приложения на iOS MDM-устройство через App Store. Перед установкой приложения на iOS MDM-устройстве, необходимо добавить приложение на Сервер iOS MDM.
Каждые 24 часа всем подключенным iOS MDM-устройствам отправляется PUSH-нотификация для синхронизации данных с Сервером iOS MDM.
Информацию о конфигурационном профиле и provisioning–профиле, а также о приложениях, установленных на iOS MDM-устройстве, можно просмотреть в окне свойств устройства.
Подписание iOS MDM-профиля сертификатом
Вы можете подписать iOS MDM-профиль сертификатом. Вы можете использовать сертификат, который создали сами, или получить сертификат от доверенных центров сертификации.
Сертификат необязателен для корректной работы iOS MDM-профиля. Если iOS MDM-профиль не подписан сертификатом, то при установке iOS MDM-профиля отобразится предупреждение, и пользователям будет предложено подтвердить, что они доверяют организации, приславшей сертификат.
Чтобы подписать iOS MDM-профиль сертификатом, выполните следующие действия:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
- В контекстном меню подпапки Мобильные устройства выберите пункт Свойства.
- В окне свойств папки выберите секцию Параметры подключения iOS-устройств.
- Нажмите на кнопку Обзор под полем Выбрать файл сертификата.
Откроется окно Сертификат.
- В поле Тип сертификата укажите тип открытого или личного сертификата:
- Если выбрано значение Контейнер PKCS#12, укажите файл сертификата и пароль.
- Если выбрано значение X.509-сертификат:
- Укажите файл личного ключа (с расширением *.prk или *.pem).
- Укажите пароль личного ключа.
- Укажите файл открытого ключа (с расширением *.cer).
- Нажмите на кнопку ОК.
iOS MDM-профиль подписан сертификатом.
Добавление конфигурационного профиля
Чтобы создать конфигурационный профиль, вы можете использовать приложение Apple Configurator 2, которое доступно на веб-сайте Apple Inc. Приложение Apple Configurator 2 работает только на устройствах под управлением macOS; если у вас нет таких устройств, вы можете использовать iPhone Configuration Utility на устройстве с установленной Консолью администрирования. Apple Inc. больше не поддерживает iPhone Configuration Utility.
Чтобы создать конфигурационный профиль с помощью iPhone Configuration Utility и добавить его на Сервер iOS MDM:
- В дереве консоли выберите папку Управление мобильными устройствами.
- В рабочей области папки Управление мобильными устройствами выберите вложенную папку Серверы мобильных устройств.
- В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
- В контекстном меню Сервера iOS MDM выберите пункт Свойства.
Откроется окно свойств Сервера мобильных устройств.
- В окне свойств Сервера iOS MDM выберите раздел Конфигурационные профили.
- В разделе Конфигурационные профили нажмите на кнопку Создать.
Откроется окно Новый конфигурационный профиль.
- В окне Новый конфигурационный профиль укажите название профиля и идентификатор профиля.
Идентификатор конфигурационного профиля должен быть уникальным, значение идентификатора следует задавать в формате Reverse-DNS, например, com.companyname.identifier.
- Нажмите на кнопку ОК.
Запустится программа iPhone Configuration Utility, если она установлена.
- Выполните настройку параметров профиля в программе iPhone Configuration Utility.
Описание параметров профиля и инструкции по его настройке приведены в документации для программы iPhone Configuration Utility.
После настройки параметров профиля в программе iPhone Configuration Utility, новый конфигурационный профиль отображается в разделе Конфигурационные профили в окне свойств Сервера iOS MDM.
По кнопке Изменить конфигурационный профиль можно отредактировать.
По кнопке Импортировать можно загрузить конфигурационный профиль в программу.
По кнопке Экспортировать конфигурационный профиль можно сохранить в файле.
Созданный профиль требуется установить на iOS MDM-устройства.
Установка конфигурационного профиля на устройство
Чтобы установить конфигурационный профиль на мобильное устройство:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство, на которое вы хотите установить профиль конфигурации.
Вы можете выбрать несколько мобильных устройств, чтобы установить на них профиль одновременно.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
- В окне Команды для управления мобильным устройством перейдите в раздел Установить профиль и нажмите на кнопку Отправить команду.
Вы также можете отправить команду на мобильное устройство, выбрав пункт Все команды в контекстном меню этого мобильного устройства, а затем Установить профиль.
В результате откроется окно Выбор профилей со списком профилей. Выберите в списке профиль, который нужно установить на мобильное устройство. Вы можете выбрать и установить на мобильное устройство несколько профилей одновременно. Чтобы выбрать диапазон профилей, используйте клавишу Shift. Для объединения отдельных профилей в группу используйте клавишу Ctrl.
- Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.
В результате выполнения команды выбранный конфигурационный профиль будет установлен на мобильное устройство пользователя. В случае успешного выполнения команды текущий статус команды в журнале команд примет значение Выполнено.
По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.
По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.
В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.
- Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.
Вы можете просмотреть профиль, который вы установили, и удалить его, если необходимо.
Удаление конфигурационного профиля с устройства
Чтобы удалить конфигурационный профиль с мобильного устройства:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство, с которого нужно удалить конфигурационный профиль.
Вы можете выбрать несколько мобильных устройств, чтобы удалить с них профиль одновременно.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
- В окне Команды для управления мобильным устройством перейдите в раздел Удалить профиль и нажмите на кнопку Отправить команду.
Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню устройства пункт Все команды, затем Удалить профиль.
В результате откроется окно Удаление профилей со списком профилей.
- Выберите в списке профиль, который нужно удалить с мобильного устройства. Вы можете выбрать и удалить с мобильного устройства несколько профилей одновременно. Чтобы выбрать диапазон профилей, используйте клавишу Shift. Для объединения отдельных профилей в группу используйте клавишу Ctrl.
- Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.
В результате выполнения команды выбранный конфигурационный профиль будет удален с мобильного устройства пользователя. В случае успешного выполнения команды текущий статус команды примет значение Завершена.
По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.
По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.
В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.
- Нажмите кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.
Добавление provisioning-профиля
Чтобы добавить
на Сервер iOS MDM, выполните следующие действия:- В дереве консоли выберите папку Управление мобильными устройствами.
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
- В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
- В контекстном меню Сервера iOS MDM выберите пункт Свойства.
Откроется окно свойств Сервера мобильных устройств.
- В окне свойств Сервера iOS MDM перейдите в раздел Provisioning-профили.
- В разделе Provisioning-профили нажмите на кнопку Импортировать и укажите путь к файлу provisioning-профиля.
Профиль будет добавлен в параметры Сервера iOS MDM.
По кнопке Экспортировать provisioning-профиль можно сохранить в файле.
Вы можете установить provisioning-профиль, который вы импортировали, на iOS MDM-устройства.
Установка provisioning-профиля на устройство
Чтобы установить provisioning-профиль на мобильное устройство, выполните следующие действия:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство пользователя, на которое нужно установить provisioning-профиль.
Вы можете выбрать несколько мобильных устройств, чтобы установить на них provisioning-профиль одновременно.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
- В окне Команды для управления мобильным устройством перейдите в раздел Установить provisioning-профиль и нажмите на кнопку Отправить команду.
Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню мобильного устройства пункт Все команды, затем Установить provisioning-профиль.
В результате откроется окно Выбор provisioning-профилей со списком provisioning-профилей. Выберите в списке provisioning-профиль, который нужно установить на мобильное устройство. Вы можете выбрать и установить на мобильное устройство несколько provisioning-профилей одновременно. Чтобы выбрать диапазон provisioning-профилей, используйте клавишу SHIFT. Для объединения отдельных provisioning-профилей в группу используйте клавишу CTRL.
- Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.
В результате выполнения команды выбранный provisioning-профиль будет установлен на мобильное устройство пользователя. В случае успешного выполнения команды текущий статус команды в журнале команд принимает значение Завершена.
По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.
По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.
В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.
- Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.
Вы можете просмотреть профиль, который вы установили, и удалить его, если необходимо.
Удаление provisioning-профиля с устройства
Чтобы удалить provisioning-профиль с мобильного устройства, выполните следующие действия:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство, с которого нужно удалить provisioning-профиль.
Вы можете выбрать несколько мобильных устройств, чтобы удалить с них provisioning-профиль одновременно.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
- В окне Команды для управления мобильным устройством перейдите в раздел Удалить provisioning-профиль и нажмите на кнопку Отправить команду.
Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню устройства пункт Все команды, затем Удалить provisioning-профиль.
В результате откроется окно Удаление provisioning-профилей со списком профилей.
- Выберите в списке provisioning-профиль, который нужно удалить с мобильного устройства. Вы можете выбрать и удалить с мобильного устройства несколько provisioning-профилей одновременно. Чтобы выбрать диапазон provisioning-профилей, используйте клавишу SHIFT. Для объединения отдельных provisioning-профилей в группу используйте клавишу CTRL.
- Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.
В результате выполнения команды выбранный provisioning-профиль будет удален с мобильного устройства пользователя. Приложения, связанные с удаленным provisioning-профилем, не будут работать. В случае успешного выполнения команды текущий статус команды примет значение Завершена.
По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.
По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.
В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.
- Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.
Настройка управляемых приложений
Перед установкой приложения на iOS MDM-устройстве, необходимо добавить приложение на Сервер iOS MDM. Приложение считается управляемым, если оно было установлено на устройство с помощью Kaspersky Security Center. Управляемым приложением можно дистанционно управлять средствами Kaspersky Endpoint Security.
Чтобы добавить управляемое приложение на Сервер iOS MDM, выполните следующие действия:
- В дереве консоли откройте папку Управление мобильными устройствами.
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
- В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
- В контекстном меню Сервера iOS MDM выберите пункт Свойства.
Откроется окно свойств Сервера iOS MDM.
- В окне свойств Сервера iOS MDM выберите раздел Управляемые приложения.
- В блоке Управляемые приложения нажмите на кнопку Управляемые приложения.
Откроется окно Добавление приложения.
- В окне Добавление приложения в поле Название приложения укажите название добавляемого приложения.
- В поле Apple ID приложения или ссылка на манифест-файл укажите Apple ID приложения, которое нужно добавить, или укажите ссылку на manifest-файл, который можно использовать для загрузки приложения.
- Если вы хотите, чтобы при удалении iOS MDM-профиля одновременно с профилем с мобильного устройства пользователя было удалено и управляемое приложение, установите флажок Удалять вместе с iOS MDM-профилем.
- Если вы хотите запретить резервное копирование данных приложения с помощью iTunes, установите флажок Запретить создавать резервные копии данных.
- Если вы хотите настроить параметры управляемого приложения, нажмите на кнопку Конфигурация приложений.
Откроется окно Конфигурация приложений.
- В окне Конфигурация приложений нажмите на кнопку Обзор, чтобы выбрать и загрузить конфигурационный файл в формате PLIST.
Чтобы сгенерировать конфигурационный файл, используйте генератор конфигурации (например, https://appconfig.jamfresearch.com/generator) или обратитесь к официальной документации по настраиваемому приложению.
Пример настройки основных параметров для приложения Microsoft Outlook.
- После импорта файла PLIST конфигурация приложения отобразится в окне Конфигурации приложений.
Вы можете изменить конфигурацию, отредактировав текст файла PLIST после его импорта.
- Нажмите на кнопку ОК, чтобы применить конфигурацию приложения.
- Нажмите на кнопку ОК повторно, чтобы закрыть окно Добавление приложения.
Добавленное приложение отображается в разделе Управляемые приложения окна свойств Сервера iOS MDM.
Также можно изменить или удалить конфигурацию уже добавленного приложения.
Чтобы изменить конфигурацию управляемого приложения, выполните следующие действия:
- В разделе Управляемые приложения выберите управляемое приложение из списка и нажмите на кнопку Изменить.
Откроется окно Изменение параметров мобильного приложения.
- В окне Изменение параметров мобильного приложения нажмите на кнопку Конфигурация приложения.
Откроется окно Конфигурация приложений.
- Нажмите на кнопку Обзор, чтобы выбрать и загрузить конфигурационный файл в формате PLIST.
- При необходимости отредактируйте текст файла PLIST после его импорта.
- Нажмите на кнопку ОК, чтобы применить конфигурацию приложения.
- Нажмите на кнопку ОК, чтобы закрыть окно Изменение параметров мобильного приложения.
Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.
Чтобы удалить конфигурацию управляемого приложения, выполните следующие действия:
- В разделе Управляемые приложения выберите управляемое приложение из списка и нажмите на кнопку Изменить.
Откроется окно Изменение параметров мобильного приложения.
- В окне Изменение параметров мобильного приложения нажмите на кнопку Удалить конфигурацию.
Примененная конфигурация управляемого приложения будет удалена.
Установка приложения на мобильное устройство
Чтобы установить приложение на мобильное устройство iOS MDM, выполните следующие действия:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство, на которое вы хотите установить приложение.
Вы можете выбрать несколько мобильных устройств, чтобы установить на них приложение одновременно.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
- В окне Команды для управления мобильным устройством перейдите в раздел Установить приложение и нажмите на кнопку Отправить команду.
Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню мобильного устройства пункт Все команды, затем Установить приложение.
Откроется окно Выбор приложений со списком управляемых приложений. Выберите в списке приложение, которое нужно установить на мобильное устройство. Вы можете выбрать и установить на мобильное устройство несколько приложений одновременно. Чтобы выбрать диапазон приложений, используйте клавишу SHIFT. Для объединения отдельных приложений в группу используйте клавишу CTRL.
- Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.
В результате выполнения команды выбранное приложение будет установлено на мобильное устройство пользователя. В случае успешного выполнения команды текущий статус команды в журнале команд принимает значение Завершена.
По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз. По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.
В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.
- Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.
Информация об установленном приложении отображается в свойствах мобильного устройства iOS MDM. Вы можете удалить приложение с мобильного устройства с помощью журнала команд или из контекстного меню мобильного устройства.
Удаление приложения с устройства
Чтобы удалить приложение с мобильного устройства:
- В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство, с которого нужно удалить приложение.
Вы можете выбрать несколько мобильных устройств, чтобы удалить с них приложение одновременно.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
- В окне Команды для управления мобильным устройством перейдите в раздел Удалить приложение и нажмите на кнопку Отправить команду.
Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню мобильного устройства пункт Все команды, затем Удалить приложение.
В результате откроется окно Удаление приложений со списком приложений.
- Выберите в списке приложение, которое нужно удалить с мобильного устройства. Вы можете выбрать и удалить с устройства несколько приложений одновременно. Чтобы выбрать диапазон приложений, используйте клавишу SHIFT. Для объединения отдельных приложений в группу используйте клавишу CTRL.
- Нажмите на кнопку ОК, чтобы отправить команду на мобильное устройство.
В результате выполнения команды выбранное приложение будет удалено с мобильного устройства пользователя. В случае успешного выполнения команды текущий статус команды примет значение Завершена.
По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.
По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.
В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.
- Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.
Установка и удаление приложений для группы iOS MDM-устройств
Kaspersky Security Center позволяет устанавливать и удалять приложения на iOS MDM-устройствах с помощью отправки команд на устройства.
Выбор устройств
Чтобы выбрать iOS MDM-устройства, на которых необходимо установить или удалить приложения:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- Для отображения iOS MDM-устройств в рабочей области настройте фильтр по типу протокола (iOS MDM).
- Выберите iOS MDM-устройство, на котором необходимо установить или удалить приложения.
Вы можете выбрать несколько устройств и отправить команды одновременно. Выбрать группу устройств можно одним из следующих способов:
- Чтобы выбрать все устройства в рабочей области, настройте необходимый фильтр для списка устройств и нажмите Ctrl+A.
- Чтобы выбрать диапазон устройств, выберите первое и последнее устройство в диапазоне щелчком мыши, удерживая Shift.
- Чтобы выбрать несколько отдельных устройств, выберите устройства, которые вы хотите включить в группу, щелчком мыши, удерживая Ctrl.
Установка приложений на устройствах
Перед установкой приложения на iOS MDM-устройстве, необходимо добавить приложение на Сервер iOS MDM. Дополнительная информация приведена в разделе Добавление управляемого приложения.
Чтобы установить приложения на выбранных iOS MDM-устройствах:
- Щелкните правой кнопкой мыши по выбранным устройствам. В появившемся контекстном меню выберите Все команды, а затем Установить приложение.
Если устройство только одно, в контекстном меню можно выбрать Показать журнал команд, перейти в раздел Установить приложение и нажать кнопку Отправить команду.
Откроется окно Выбор приложений со списком управляемых приложений.
- Выберите приложения, которые хотите установить на iOS MDM-устройствах. Чтобы выбрать диапазон приложений, используйте клавишу Shift. Чтобы выбрать несколько отдельных приложений, используйте клавишу Ctrl.
- Нажмите OK, чтобы отправить команду на устройства.
В результате выполнения команды на устройстве будут установлены выбранные приложения. Если команда выполнена успешно, в журнале команд ее текущий статус изменится на Завершена.
Удаление приложений с устройств
Чтобы удалить приложения с выбранных iOS MDM-устройств:
- Щелкните правой кнопкой мыши по выбранным устройствам. В появившемся контекстном меню выберите Все команды, а затем Удалить приложение.
Если устройство только одно, в контекстном меню можно выбрать Показать журнал команд, перейти в раздел Удалить приложение и нажать кнопку Отправить команду.
Откроется окно Удаление приложений со списком ранее установленных приложений.
- Выберите приложения, которые хотите установить на iOS MDM-устройствах. Чтобы выбрать диапазон приложений, используйте клавишу Shift. Чтобы выбрать несколько отдельных приложений, используйте клавишу Ctrl.
- Нажмите OK, чтобы отправить команду на устройства.
В результате выполнения команды с устройства будут удалены выбранные приложения. Если команда выполнена успешно, в журнале команд ее текущий статус изменится на Завершена.
Настройка роуминга на iOS MDM-устройстве
Чтобы настроить роуминг, выполните следующие действия:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство, принадлежащее пользователю, для которого вы хотите настроить роуминг.
Вы можете выбрать несколько мобильных устройств для одновременной настройки роуминга.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
- В окне Команды для управления мобильным устройством <имя устройства> перейдите в раздел Настроить параметры роуминга и нажмите на кнопку Отправить команду.
Вы также можете отправить команду на мобильное устройство, выбрав в контекстном меню устройства Все команды → Настроить параметры роуминга.
- В окне Параметры роуминга укажите соответствующие параметры:
Для выбранных устройств настроен роуминг.
Просмотр информации о iOS MDM-устройстве
Чтобы просмотреть информацию о iOS MDM-устройстве, выполните следующие действия:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство, информацию о котором нужно просмотреть.
- В контекстном меню мобильного устройства выберите пункт Свойства.
В результате откроется окно свойств iOS MDM-устройства.
В окне свойств мобильного устройства отображается информация о подключенном iOS MDM-устройстве.
Отключение устройства iOS MDM от управления
Для прекращения управления устройством iOS MDM можно отключить его от управления в Kaspersky Security Center.
В качестве альтернативы вы или владелец устройства можете удалить профиль iOS MDM с устройства. Однако после этого вам все же придется отключить устройство от управления по инструкции, приведенной в этом разделе. В противном случае вы не сможете снова включить управление устройством.
Чтобы отключить устройство iOS MDM от Сервера iOS MDM, выполните следующие действия:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- В рабочей области отфильтруйте устройства iOS MDM. Для этого:
- Перейдите по ссылке Фильтр не указан, всего записей: <количество>.
- В списке Протокол управления выберите iOS MDM.
- Выберите мобильное устройство, которое необходимо отключить.
- В контекстном меню мобильного устройства выберите пункт Удалить.
Устройство iOS MDM будет отмечено в списке на удаление. В течение минуты мобильное устройство будет удалено из базы данных Сервера iOS MDM, а затем – из списка управляемых устройств.
В результате отключения мобильного устройства iOS MDM от управления с него будут удалены все установленные конфигурационные профили, профиль iOS MDM и приложения, для которых в настройках Сервера iOS MDM был выбран параметр Удалять вместе с профилем iOS MDM.
Настройка режима киоска для iOS MDM-устройств
Режим киоска — это функция iOS, которая позволяет ограничить список приложений, доступных пользователю устройства, одним приложением. В этом режиме пользователю устройства разрешено открывать на устройстве только одно приложение, которое указано в настройках режима киоска.
Параметры режима киоска применяются к iOS MDM-устройствам, управляемым через Kaspersky Security Center.
Переход в настройки режима киоска
Чтобы открыть настройки режима киоска:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Режим киоска.
Настройка режима киоска
Чтобы включить режим киоска:
- Установите флажок Включить режим киоска (только для supervised), чтобы активировать режим киоска на контролируемом устройстве.
- В поле Идентификатор пакета приложения (bundle ID) введите уникальный идентификатор приложения, выбранного для режима киоска (например, com.apple.calculator). Как получить идентификатор пакета приложения
Чтобы выбрать другое приложение, необходимо отключить режим киоска, сохранить изменения в политике и включить режим киоска для нового приложения.
Приложение, используемое в режиме киоска, должно быть установлено на устройстве. В противном случае устройство будет заблокировано до тех пор, пока режим киоска не будет отключен.
Использование выбранного приложения должно быть разрешено политикой. В противном случае режим киоска не будет включен до тех пор, пока выбранное приложение не будет удалено из списка запрещенных приложений.
В некоторых случаях, если использование выбранного приложения запрещено политикой, режим киоска все равно может быть включен.
- Укажите настройки, которые будут включены на устройстве в режиме киоска. С доступными ограничениями можно ознакомиться ниже в разделе "Ограничения режима киоска".
- Укажите настройки, которые пользователь может менять на устройстве в режиме киоска.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
После сохранения изменений в политике режим киоска будет включен. Выбранное приложение принудительно открывается на контролируемом устройстве, в то время как использование других приложений запрещено. Выбранное приложение открывается сразу после перезапуска устройства.
Чтобы изменить параметры режима киоска, необходимо отключить режим киоска, сохранить изменения в политике, а затем снова включить режим киоска с новыми параметрами.
Чтобы отключить режим киоска:
- Установите флажок Выключить режим киоска (только для supervised), чтобы отключить режим киоска на контролируемом устройстве.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
После сохранения изменений в политике режим киоска отключится. Использование всех приложений разрешено на контролируемом устройстве.
Теперь вы можете снова включить режим киоска с новыми настройками.
Параметры режима киоска
- Автоблокировка
- Касание (не рекомендуется выключать)
- Альтернативное управление устройством (AssistiveTouch)
- Управление голосом
- Чтение с экрана (VoiceOver)
- Озвучивание выбранного текста
- Кнопки регулировки громкости
- Моно-аудио
- Масштаб
- Автоповорот экрана
- Инверсия цвета
- Переключатель "Звонок/Бесшумно"
- Кнопка "Режим сна/Пробуждение"
Управление параметрами мобильных устройств
Этот раздел содержит информацию о том, как удаленно управлять параметрами мобильных устройств в Консоли администрирования Kaspersky Security Center.
Настройка подключения к сети Wi-Fi
В этом разделе содержатся инструкции по настройке автоматического подключения к корпоративной сети Wi-Fi на Android- и iOS MDM-устройствах.
Подключение Android-устройств к сети Wi-Fi
Для автоматического подключения Android-устройства к доступной сети Wi-Fi и обеспечения безопасности данных следует настроить параметры подключения.
Чтобы подключить мобильное устройство к сети Wi-Fi, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Wi-Fi.
- В блоке Сети Wi-Fi нажмите Добавить.
Откроется окно Сеть Wi-Fi.
- В поле Идентификатор сети SSID укажите имя сети Wi-Fi, содержащей точку доступа (SSID).
- Установите флажок Скрытая сеть, если хотите скрыть сеть Wi-Fi в списке доступных сетей на устройстве. В этом случае для подключения к сети пользователю потребуется вручную ввести на мобильном устройстве идентификатор сети SSID, заданный в параметрах маршрутизатора Wi-Fi.
- Установите флажок Автоматическое подключение к сети, если хотите чтобы устройство подключалось к сети Wi-Fi автоматически.
- В блоке Защита сети выберите тип безопасности сети Wi-Fi (открытая или защищенная по протоколу WEP, WPA/WPA2 PSK, или 802.1.x EAP).
Протокол безопасности 802.1.x EAP поддерживается только в приложении Kaspersky Endpoint Security для Android версии 10.48.1.1 или выше. Протокол шифрования WEP поддерживается только в Android версии 9.0 или ниже.
- Если вы выбрали протокол безопасности 802.1.x EAP, укажите следующие параметры защиты сети:
- В поле Пароль задайте пароль для доступа к сети, если на шаге 9 вы выбрали защищенную сеть.
- Выберите вариант Использовать прокси-сервер, если хотите использовать прокси-сервер для подключения к сети Wi-Fi. В противном случае выберите вариант Не использовать прокси-сервер.
- При выборе варианта Использовать прокси-сервер, в поле Адрес прокси-сервера и порт укажите IP-адрес или DNS-имя прокси-сервера и номер порта (если требуется).
На устройствах с операционной системой Android версии 8.0 или выше настроить параметры прокси-сервера для сети Wi-Fi с помощью политики невозможно. Вы можете настроить параметры прокси-сервера для сети Wi-Fi на мобильном устройстве вручную.
Если вы используете прокси-сервер для подключения к сети Wi-Fi, вы можете настроить параметры подключения к сети с помощью политики. Параметры прокси-сервера на устройствах Android 8.0 и выше необходимо настроить вручную. Изменить параметры подключения к сети Wi-Fi с помощью политики на устройствах 8.0 и выше невозможно, кроме пароля для доступа к сети.
Если вы не используете прокси-сервер для подключения к сети Wi-Fi, управление подключением к сети Wi-Fi с помощью политик не имеет ограничений.
- Сформируйте список веб-адресов, для соединения с которыми не нужно использовать прокси-сервер, в поле Не использовать прокси-сервер для адресов.
Вы можете, например, ввести адрес
example.com. В этом случае прокси-сервер не будет использоваться для адресовpictures.example.com,example.com/moviesи т. п. Протокол (например,http://) указывать необязательно.На устройствах под управлением операционной системы Android версии 8.0 или выше исключение прокси-сервера для веб-адресов не работает.
- Нажмите кнопку OK.
Добавленная сеть Wi-Fi отобразится в списке Сети Wi-Fi.
Этот список содержит имена предлагаемых беспроводных сетей.
На личных устройствах под управлением Android 10 или выше операционная система предлагает пользователю подключиться к таким сетям. Предлагаемые сети не отображаются в списке сохраненных сетей на этих устройствах.
На устройствах, работающих в режиме device owner, и на личных устройствах под управлением Android 9 или ниже после синхронизации устройства с Сервером администрирования пользователь может выбрать предлагаемую беспроводную сеть в списке сохраненных сетей и подключиться к ней, при этом не потребуется задавать никакие настройки сети.
Вы можете изменять или удалять сети Wi-Fi, входящие в список сетей, с помощью кнопок Изменить и Удалить в верхней части списка.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
На устройствах под управлением Android 10 и выше, если пользователь отказывается подключаться к предлагаемой сети Wi-Fi, разрешение приложения на изменение состояния Wi-Fi аннулируется. Пользователю необходимо предоставить это разрешение вручную.
В началоПодключение iOS MDM-устройств к сети Wi-Fi
Для автоматического подключения iOS MDM-устройства к доступной сети Wi-Fi и обеспечения безопасности данных следует настроить параметры подключения.
Чтобы настроить подключение iOS MDM-устройства к сети Wi-Fi, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Wi-Fi.
- В блоке Сети Wi-Fi нажмите на кнопку Добавить.
Откроется окно Сеть Wi-Fi.
- В поле Идентификатор сети SSID укажите имя сети Wi-Fi, содержащей точку доступа (SSID).
- Чтобы iOS MDM-устройство автоматически подключалось к сети Wi-Fi, установите флажок Автоматическое подключение.
- Чтобы подключение iOS MDM-устройства к сети Wi-Fi, требующей предварительной аутентификации, (подписной сети) было невозможно, установите флажок Пропустить страницу авторизации.
Для использования подписной сети необходимо оформить подписку, принять соглашение или внести плату. Подписные сети развернуты, например, в кафе или гостиницах.
- Чтобы сеть Wi-Fi не отображалась в списке доступных сетей на iOS MDM-устройстве, установите флажок Скрытая сеть.
В этом случае для подключения к сети пользователю потребуется вручную ввести на мобильном устройстве идентификатор сети SSID, заданный в параметрах маршрутизатора Wi-Fi.
- В раскрывающемся списке Защита сети выберите тип защиты подключения к сети Wi-Fi:
- Выключена. Аутентификация пользователя не требуется.
- WEP. Сеть защищена по протоколу шифрования WEP (Wireless Encryption Protocol).
- WPA/WPA2 (личная). Сеть защищена по протоколу шифрования WPA/WPA2 (Wi-Fi Protected Access).
- WPA2 (личная). Сеть защищена по протоколу шифрования WPA2 (Wi-Fi Protected Access 2.0). Тип защиты WPA2 доступен на устройствах под управлением iOS версии 8 и выше. WPA2 не доступен на устройствах Apple TV.
- Любая (личная). Сеть защищена по протоколу шифрования WEP, WPA или WPA2 в зависимости от типа маршрутизатора Wi-Fi. Для аутентификации используется индивидуальный для каждого пользователя ключ шифрования.
- WEP (динамическая). Сеть защищена по протоколу шифрования WEP с использованием динамического ключа.
- WPA/WPA2 (корпоративная). Сеть защищена по протоколу шифрования WPA/WPA2 с использованием протокола 802.1X.
- WPA2 (корпоративная). Сеть защищена по протоколу шифрования WPA2 с использованием одного ключа шифрования для всех пользователей (802.1X). Тип защиты WPA2 доступен на устройствах под управлением iOS версии 8 и выше. WPA2 не доступен на устройствах Apple TV.
- Любая (корпоративная). Сеть защищена по протоколу шифрования WEP или WPA/WPA2 в зависимости от типа маршрутизатора Wi-Fi. Для аутентификации используется один ключ шифрования для всех пользователей.
Если в списке Защита сети вы выбрали WEP (динамическая), WPA/WPA2 (корпоративная), WPA2 (корпоративная) или Любая (корпоративная), в блоке Протоколы вы можете выбрать типы протоколов EAP (Extensible Authentication Protocol) для идентификации пользователя в сети Wi-Fi.
В блоке Доверенные сертификаты вы также можете сформировать список доверенных сертификатов для аутентификации пользователя iOS MDM-устройства на доверенных серверах.
- Настройте параметры учетной записи для аутентификации пользователя при подключении iOS MDM-устройства к сети Wi-Fi:
- В блоке Аутентификация нажмите кнопку Настроить.
Откроется окно Аутентификация.
- В поле Имя пользователя введите имя учетной записи для аутентификации пользователя при подключении к сети Wi-Fi.
- Чтобы требовать у пользователя ввести пароль вручную при каждом подключении к сети Wi-Fi, установите флажок Требовать пароль при каждом подключении.
- В поле Пароль введите пароль учетной записи для аутентификации в сети Wi-Fi.
- В раскрывающемся списке Сертификат для аутентификации выберите сертификат для аутентификации пользователя в сети Wi-Fi. Если в списке отсутствуют сертификаты, вы можете их добавить в разделе Сертификаты.
- В поле Идентификатор пользователя введите идентификатор пользователя, который будет отображаться во время передачи данных при аутентификации вместо реального имени пользователя.
Идентификатор пользователя предназначен для повышения уровня безопасности аутентификации, так как имя пользователя не представлено в открытом виде, а отображается в зашифрованном TLS-туннеле.
- Нажмите кнопку OK.
В результате на iOS MDM-устройстве будут настроены параметры учетной записи для аутентификации пользователя при подключении к сети Wi-Fi.
- В блоке Аутентификация нажмите кнопку Настроить.
- Настройте (если требуется) параметры подключения к сети Wi-Fi через прокси-сервер:
- В блоке Прокси-сервер нажмите на кнопку Настроить.
- В открывшемся окне Прокси-сервер выберите режим настройки прокси-сервера и укажите параметры подключения.
- Нажмите кнопку OK.
В результате на iOS MDM-устройстве будут настроены параметры подключения устройства к сети Wi-Fi через прокси-сервер.
- Нажмите кнопку OK.
Новая сеть Wi-Fi отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на iOS MDM-устройстве пользователя после применения политики будет настроено подключение к сети Wi-Fi. Мобильное устройство пользователя будет автоматически подключаться к доступной сети Wi-Fi. Безопасность данных при подключении к сети Wi-Fi обеспечивается технологией аутентификации.
В началоНастройка электронной почты
Этот раздел содержит информацию о настройке почтовых ящиков на мобильных устройствах.
Настройка почтового ящика на iOS MDM-устройствах
Чтобы пользователь iOS MDM-устройства мог работать с электронной почтой, следует добавить учетную запись электронной почты в список учетных записей на iOS MDM-устройстве.
По умолчанию добавляется учетная запись электронной почты со следующими параметрами:
- протокол электронной почты – IMAP;
- пользователь может перемещать сообщения электронной почты между своими учетными записями и синхронизировать адреса учетных записей;
- для работы с почтой пользователь может использовать любые почтовые клиенты (не только Mail);
- при передаче сообщений не используется SSL-соединение.
Вы можете изменить указанные параметры при добавлении учетной записи.
Чтобы добавить учетную запись электронной почты пользователя iOS MDM-устройства, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Электронная почта.
- В блоке Учетные записи электронной почты нажмите на кнопку Добавить.
Откроется окно Учетная запись электронной почты.
- В поле Описание введите описание учетной записи электронной почты пользователя.
- Выберите протокол электронной почты:
- POP
- IMAP
- Если требуется, укажите префикс пути IMAP в поле Префикс пути IMAP.
Префикс пути IMAP нужно указывать прописными буквами (например, GMAIL для Google Mail). Поле доступно, если выбран протокол учетной записи IMAP.
- В поле Имя пользователя для отображения в сообщениях введите имя пользователя, которое будет отображаться в поле От: для всех исходящих сообщений.
- В поле Адрес электронной почты введите адрес электронной почты пользователя iOS MDM-устройства.
- Настройте дополнительные параметры учетной записи электронной почты:
- Чтобы разрешить пользователю перемещать сообщения электронной почты между своими учетными записями, установите флажок Разрешить перемещать сообщения между учетными записями.
Если вы хотите запретить сохранять, перемещать и отправлять вложения из корпоративного почтового ящика, снимите флажки Разрешить перемещать сообщения между учетными записями, Разрешить передачу документов из управляемых в неуправляемые приложения и Разрешить передачу документов из неуправляемых в управляемые приложения.
- Чтобы разрешить синхронизацию используемых адресов электронной почты между учетными записями пользователя, установите флажок Разрешить синхронизировать последние используемые адреса.
- Чтобы разрешить пользователю использовать сервис Mail Drop для передачи вложений большого размера, установите флажок Разрешить Mail Drop.
- Чтобы разрешить пользователю использовать только стандартный почтовый клиент iOS, установите флажок Разрешить использовать только приложение Mail.
- Чтобы разрешить пользователю перемещать сообщения электронной почты между своими учетными записями, установите флажок Разрешить перемещать сообщения между учетными записями.
- Настройте параметры использования протокола S/MIME в приложении Mail. S/MIME – это протокол для передачи зашифрованных сообщений с цифровой подписью.
- Чтобы использовать протокол S/MIME для подписи исходящей почты, установите флажок Подписывать сообщения и выберите сертификат для подписи. Цифровая подпись подтверждает подлинность отправителя и указывает получателю, что содержимое сообщения не изменилось в процессе передачи. Подпись сообщений доступна на устройствах под управлением iOS версии 10.3 и выше.
- Чтобы использовать протокол S/MIME для шифрования исходящей почты, установите флажок Шифровать сообщения по умолчанию и выберите сертификат для шифрования (открытый ключ). Шифрование сообщений доступно на устройствах под управлением iOS версии 10.3 и выше.
- Чтобы предоставить пользователю возможность выполнять шифрование сообщений по отдельности, установите флажок Показывать переключатель для шифрования сообщений. Для отправки зашифрованных сообщений пользователю необходимо нажать на значок
в приложении Mail в поле Кому.
- В блоках Сервер входящей почты и Сервер исходящей почты по кнопке Настроить настройте параметры подключения к серверам:
- Адрес сервера и порт: имена хостов или IP-адреса серверов входящей и исходящей почты и номера портов серверов.
- Имя учетной записи: имя учетной записи пользователя для авторизации на сервере входящей и исходящей почты.
- Тип аутентификации: тип аутентификации учетной записи пользователя электронной почты на серверах входящей и исходящей почты.
- Пароль: пароль учетной записи для авторизации на сервере входящей и исходящей почты, защищенный выбранным методом аутентификации.
- Использовать один пароль для серверов входящей и исходящей почты: использование одного пароля для аутентификации пользователя на серверах входящей и исходящей почты.
- Использовать SSL-соединение: использование транспортного протокола передачи данных SSL (Secure Sockets Layer), который применяет шифрование и аутентификацию на базе сертификатов для защиты передачи данных.
- Нажмите кнопку OK.
Новая учетная запись электронной почты отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильное устройство пользователя после применения политики будут добавлены учетные записи электронной почты из сформированного списка.
В началоНастройка почтового ящика Exchange на iOS MDM-устройствах
Чтобы пользователь iOS MDM-устройства мог работать с корпоративной электронной почтой, календарем, контактами, заметками и задачами, на сервер Microsoft Exchange следует добавить учетную запись Exchange ActiveSync.
По умолчанию на сервер Microsoft Exchange добавляется учетная запись со следующими параметрами:
- почта синхронизируется один раз в неделю;
- пользователь может перемещать сообщения между своими учетными записями и синхронизировать адреса учетных записей;
- для работы с почтой пользователь может использовать любые почтовые клиенты (не только Mail);
- при передаче сообщений не используется SSL-соединение.
Вы можете изменить указанные параметры при добавлении учетной записи Exchange ActiveSync.
Чтобы добавить учетную запись Exchange ActiveSync пользователя iOS MDM-устройства, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Exchange ActiveSync.
- В блоке Учетные записи Exchange ActiveSync нажмите на кнопку Добавить.
Откроется окно Учетная запись Exchange ActiveSync на закладке Общие.
- В поле Имя учетной записи введите имя учетной записи для авторизации на сервере Microsoft Exchange. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Адрес сервера введите сетевое имя или IP-адрес сервера Microsoft Exchange.
- Если вы хотите использовать транспортный протокол передачи данных SSL для защиты передачи данных, установите флажок Использовать SSL-соединение.
- В поле Домен введите имя домена пользователя iOS MDM-устройства. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Пользователь учетной записи введите имя пользователя iOS MDM-устройства.
Если оставить это поле пустым, при применении политики на iOS MDM-устройстве Kaspersky Device Management для iOS запросит имя у пользователя. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Адрес электронной почты введите адрес электронной почты пользователя iOS MDM-устройства. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Пароль введите пароль учетной записи Exchange ActiveSync для авторизации на сервере Microsoft Exchange.
- Выберите закладку Дополнительно и настройте на закладке дополнительные параметры учетной записи Exchange ActiveSync:
- Синхронизировать почту за период <период времени>;
- Тип аутентификации;
- Разрешить перемещать сообщения между учетными записями;
Если вы хотите запретить сохранять, перемещать и отправлять вложения из корпоративного почтового ящика, снимите флажки Разрешить перемещать сообщения между учетными записями, Разрешить передачу документов из управляемых в неуправляемые приложения и Разрешить передачу документов из неуправляемых в управляемые приложения.
- Разрешить синхронизировать последние используемые адреса;
- Разрешить использовать только приложение Mail.
- Настройте параметры использования протокола S/MIME в приложении Mail. S/MIME – это протокол для передачи зашифрованных сообщений с цифровой подписью.
- Чтобы использовать протокол S/MIME для подписи исходящей почты, установите флажок Подписывать сообщения и выберите сертификат для подписи. Цифровая подпись подтверждает подлинность отправителя и указывает получателю, что содержимое сообщения не изменилось в процессе передачи. Подпись сообщений доступна на устройствах под управлением iOS версии 10.3 и выше.
- Чтобы использовать протокол S/MIME для шифрования исходящей почты, установите флажок Шифровать сообщения по умолчанию и выберите сертификат для шифрования (открытый ключ). Шифрование сообщений доступно на устройствах под управлением iOS версии 10.3 и выше.
- Чтобы предоставить пользователю возможность выполнять шифрование сообщений по отдельности, установите флажок Показывать переключатель для шифрования сообщений. Для отправки зашифрованных сообщений пользователю необходимо нажать на значок в приложении Mail в поле Кому.
- Нажмите кнопку OK.
Новая учетная запись Exchange ActiveSync отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильное устройство пользователя после применения политики будут добавлены учетные записи Exchange ActiveSync из сформированного списка.
В началоНастройка почтового ящика Exchange на Android-устройствах (только Samsung)
Для работы с корпоративной почтой, контактами и календарем на мобильном устройстве следует настроить параметры почтового ящика Exchange (доступно только в Android 9 и ниже).
Настройка почтового ящика Exchange возможна только для Samsung-устройств.
Чтобы настроить почтовый ящик Exchange на мобильном устройстве, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление Samsung KNOX → Управление Samsung-устройством.
- В блоке Exchange ActiveSync нажмите на кнопку Настроить.
Откроется окно Параметры почтового сервера Exchange.
- В поле Адрес сервера введите IP-адрес или DNS-имя сервера, на котором размещен почтовый сервер.
- В поле Домен введите имя домена пользователя мобильного устройства в корпоративной сети.
- В раскрывающемся списке Периодичность синхронизации выберите желаемый период синхронизации мобильного устройства с сервером Microsoft Exchange.
- Чтобы использовать транспортный протокол передачи данных SSL, установите флажок Использовать SSL-соединение.
- Чтобы использовать цифровые сертификаты для защиты передачи данных между мобильным устройством и сервером Microsoft Exchange, установите флажок Проверять сертификат сервера.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоНастройка статуса устройства в Kaspersky Security Center
Чтобы настроить статус устройства в Kaspersky Security Center:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Информация об устройстве.
- В открывшемся окне выберите статус ОК, Критический или Предупреждение для каждого из следующих условий:
- Постоянная защита не работает
- Веб-Фильтр не работает
- Контроль приложений не работает
- Блокирование устройства недоступно
- Определение местоположения устройства недоступно
- Версии Положения о KSN не совпадают
- Версии Маркетингового положения не совпадают
- Нажмите на кнопку OK.
Управление настройками приложения
В этом разделе приведены инструкции по управлению параметрами и редактированию конфигураций приложений, установленных на устройствах ваших пользователей.
Управление настройками Google Chrome
В разделе Настройки Google Chrome вы можете настроить следующие параметры, применимые к браузеру Google Chrome, установленному в рабочем профиле Android или на устройствах, управляемых Kaspersky Endpoint Security в режиме device owner:
Чтобы открыть раздел Настройки Google Chrome:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Конфигурация приложения > Настройки Google Chrome.
Управление настройками контента
На вкладке Контент в разделе Настройки Google Chrome вы можете задать следующие настройки контента:
- Задать настройки файлов cookie по умолчанию
- Разрешить файлы cookie на этих сайтах
- Блокировать файлы cookie на этих сайтах
- Разрешить файлы cookie на этих сайтах только для одного сеанса
- Задать настройки JavaScript по умолчанию
- Разрешить JavaScript на этих сайтах
- Блокировать JavaScript на этих сайтах
- Задать настройки всплывающих окон по умолчанию (на основе базы данных злоупотреблений от Google)
- Разрешить всплывающие окна на этих сайтах
- Блокировать всплывающие окна на этих сайтах (на основе базы данных злоупотреблений от Google)
- Задать настройки отслеживания местоположения пользователей
Управление настройками прокси
На вкладке Прокси в разделе Настройки Google Chrome вы можете задать следующие настройки прокси:
Управление настройками поиска
На вкладке Поиск в разделе Настройки Google Chrome вы можете задать следующие настройки поиска:
- URL страницы быстрого доступа
- Параметры для запросов POST к URL-адресу для поиска
- Параметры для запросов POST к URL-адресу для поиска предложений
- Параметры для запросов POST к URL-адресу для поиска изображений
Управление настройками паролей
На вкладке Пароли в разделе Настройки Google Chrome вы можете задать следующие настройки паролей:
Управление настройками страниц
На вкладке Страницы в разделе Настройки Google Chrome вы можете задать следующие настройки страниц:
- Включить дополнительные страницы с сообщениями об ошибках
- Включить автозаполнение адресов
- Включить автозаполнение данных кредитных карт
Управление другими настройками
На вкладке Другое в разделе Настройки Google Chrome вы можете задать следующие настройки:
- Включить печать
- Задать настройки Безопасного просмотра Google
- Отключить сохранение истории браузера
- Отключить переход со страницы предупреждения Безопасного просмотра Google
- Включить предварительное определение сети
- Настроить Безопасный режим для YouTube
- Настроить доступность режима инкогнито
- Включить поисковые подсказки
- Задать настройки перевода
- Включить возможность изменения закладок
- Управляемые закладки
- Заблокировать доступ к этим URL
- Разрешить доступ к этим URL (исключения для блокировки URL)
Управление Exchange ActiveSync для Gmail
Раздел Exchange ActiveSync позволяет управлять настройками Exchange ActiveSync для Gmail, установленного в рабочем профиле Android или на устройствах, управляемых через приложение Kaspersky Endpoint Security для Android, в режиме device owner.
Чтобы открыть раздел Exchange ActiveSync:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Конфигурация приложения > Exchange ActiveSync.
- Укажите следующие параметры:
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоНастройка прочих приложений
Параметры в блоке Прочие приложения позволяют настраивать приложения, установленные на устройствах под управлением Kaspersky Endpoint Security для Android в режиме device owner или установленные в рабочем профиле Android.
При настройке некоторых приложений можно использовать сертификаты, установленные на устройства через Kaspersky Security Center. В этом случае вам необходимо указать псевдоним сертификата в конфигурации приложения:
VpnCertдля сертификатов VPN.MailCertдля почтовых сертификатов.SCEP_profile_nameдля сертификатов, полученных с помощью SCEP.
Чтобы настроить приложения в разделе Прочие приложения, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Конфигурация приложения > Прочие приложения.
- В разделе Список конфигураций приложений нажмите на кнопку Добавить.
Откроется окно Добавить конфигурацию приложения.
- В открывшемся окне укажите следующие параметры:
- В этом же окне выберите способ добавления конфигурации:
- Вручную
- С помощью инсталляционного пакета из Kaspersky Security Center
- С помощью APK-файла на вашем компьютере
Пример настройки основных параметров для приложения Microsoft Outlook.
- Нажмите на кнопку ОК, чтобы применить конфигурацию.
Конфигурация появится в Списке конфигураций приложений.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Конфигурация применена. Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
Чтобы изменить конфигурацию приложения:
- В разделе Прочие приложения выберите приложение из списка и нажмите на кнопку Изменить.
Откроется окно Изменить конфигурацию приложения.
- В окне Изменить конфигурацию приложения можно отредактировать конфигурацию выбранного приложения:
- Чтобы загрузить новый APK-файл со своего компьютера, нажмите на кнопку Выбрать.
- Чтобы добавить новую настройку в конфигурацию, нажмите на кнопку Добавить под всеми параметрами, а затем укажите необходимые параметры.
- Чтобы удалить настройку, добавленную вручную, нажмите кнопку X в правом верхнем углу поля настройки.
- Нажмите на кнопку ОК, чтобы закрыть окно Изменить конфигурацию приложения.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Примененная конфигурация изменена. Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
Чтобы включить или отключить конфигурацию приложения:
- В разделе Прочие программы выберите приложение из списка.
- Выполните одно из следующих действий:
- Установите переключатель в положение Вкл., чтобы включить конфигурацию.
- Установите переключатель в положение Выкл., чтобы отключить конфигурацию.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Примененная конфигурация изменена. Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
Чтобы удалить конфигурацию приложения:
- В разделе Прочие программы выберите приложение из списка и нажмите на кнопку Удалить.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Примененная конфигурация удалена. Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоУправление разрешениями приложений
Параметры в блоке Управление разрешениями приложений позволяют настраивать правила выдачи дополнительных разрешений приложениям, установленным на устройствах под управлением Kaspersky Endpoint Security для Android в режиме device owner или установленным в рабочем профиле Android.
Вы можете настроить правила выдачи дополнительных разрешений путем создания или изменения файлов конфигурации для определенных приложений.
Правила выдачи разрешений, настроенные для отдельных приложений, имеют приоритет над общей политикой выдачи разрешений для приложений, установленных на устройствах или в рабочем профиле Android. Например, если вы сначала выберете параметр Отклонять разрешения автоматически в разделе Рабочий профиль Android, а затем выберете параметр Выдавать разрешения автоматически для определенного приложения в разделе Управление разрешениями приложений, разрешение для этого приложения будет выдано автоматически.
Чтобы добавить разрешения для приложения:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Управление разрешениями приложений.
- Нажмите на кнопку Добавить.
Откроется окно Добавить правила выдачи разрешений.
- Выберите способ добавления конфигурации с правилами выдачи разрешений:
- Задайте следующие параметры:
- Нажмите на кнопку Добавить разрешение, чтобы открыть блок настройки разрешений для приложения. Вы можете добавить несколько разрешений.
Выберите одно из следующих разрешений.
Чтобы настроить правила выдачи дополнительных разрешений, для каждого разрешения необходимо выбрать одно из следующих действий:
- Запрашивать разрешения у пользователя
- Выдавать разрешения автоматически
- Отклонять разрешения автоматически
Для каждого разрешения можно сохранить только одно правило.
- Нажмите на кнопку ОК, чтобы применить конфигурацию.
Конфигурация появится в Списке разрешений приложений.
- Нажмите на кнопку Применить, чтобы сохранить изменения.
Конфигурация с правилами выдачи разрешений применена. Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
Чтобы изменить разрешения для приложения:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Управление разрешениями приложений.
- Выберите приложение в блоке Список разрешений приложений и нажмите на кнопку Изменить.
Откроется окно Изменить правила выдачи разрешений.
- Отредактируйте выбранное правило выдачи разрешений:
- Чтобы добавить новое разрешение в конфигурацию, нажмите на кнопку Добавить разрешение под всеми параметрами, а затем выберите разрешение и действие, которое нужно выполнить для этого разрешения.
Вы можете добавить несколько разрешений.
- Чтобы изменить действие для существующего разрешения, выберите другое действие в списке.
- Чтобы удалить разрешение, добавленное вручную, нажмите на кнопку X в правом верхнем углу поля настройки.
- Чтобы добавить новое разрешение в конфигурацию, нажмите на кнопку Добавить разрешение под всеми параметрами, а затем выберите разрешение и действие, которое нужно выполнить для этого разрешения.
- Нажмите на кнопку ОК, чтобы закрыть окно Изменить правила выдачи разрешений.
- Нажмите на кнопку Применить, чтобы сохранить изменения.
Выбранная конфигурация с правилами выдачи разрешений изменена. Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
Чтобы удалить разрешения для приложения:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Управление разрешениями приложений.
- Выберите приложение в блоке Список разрешений приложений и нажмите на кнопку Удалить.
- Нажмите на кнопку Применить, чтобы сохранить изменения.
Настроенные разрешения для выбранного приложения удалены. Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоСоздание отчета об установленных мобильных приложениях
Отчет об установленных мобильных приложениях позволяет получить подробную информацию о приложениях, установленных на Android-устройствах пользователей, сохранить эту информацию в файл, отправить по электронной почте и распечатать.
Чтобы отчет отображал информацию, необходимо установить флажок Отправлять данные об установленных приложениях в разделе Контроль приложений и включить сохранение в базе данных Сервера администрирования информационного события типа Установлено или удалено приложение (список установленных приложений).
Чтобы разрешить отправку данных:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В окне Свойства: <Название политики> выберите раздел Контроль приложений.
- В разделе Отчет об установленных мобильных приложениях установите флажок Отправлять данные об установленных приложениях.
Стали доступны следующие параметры:
- Установите флажок Отправлять данные о системных приложениях, чтобы отправлять информацию о системных приложениях. Если системное приложение настроено в параметрах раздела Контроль приложений, данные о нем будут отправляться независимо от состояния этого флажка.
- Установите флажок Отправлять данные о служебных приложениях, чтобы отправлять информацию о служебных приложениях без интерфейса. Если служебное приложение настроено в параметрах раздела Контроль приложений, данные о нем будут отправляться независимо от состояния этого флажка.
- Нажмите на кнопку Применить, чтобы применить изменения.
- В окне Свойства: <Название политики> выберите раздел Настройка событий.
- В рабочей области группы выберите закладку Информационное сообщение.
- Откройте свойства события Установлено или удалено приложение (список установленных приложений) с помощью двойного щелчка мыши на любом столбце.
- В окне Свойства события установите флажок Хранить в базе данных Сервера администрирования в течение (сут) и настройте значение срока хранения. Срок, заданный по умолчанию, – 30 дней.
По истечении срока хранения Сервер администрирования удаляет устаревшую информацию из базы данных. Дополнительная информация о событиях приведена в справке Kaspersky Security Center.
- Нажмите на кнопку ОК, чтобы сохранить изменения.
Отправка данных разрешена.
Чтобы настроить отчет по установленным мобильным приложениям:
- В дереве консоли перейдите в папку Сервера администрирования.
- В рабочей области папки Сервера администрирования выберите закладку Отчеты.
- В контекстном меню шаблона отчета Отчет об установленных мобильных приложениях выберите пункт Свойства.
- В открывшемся окне вы можете изменить свойства шаблона отчета:
- В разделе Общие укажите следующие параметры:
- Название шаблона отчета.
- Максимальное число отображаемых записей
- Print version
- В разделе Поля выберите поля, которые будут отображаться в отчете, и порядок этих полей, а также настройте необходимость сортировки и фильтрации информации в отчете по каждому из полей.
- В разделе Группа измените набор клиентских устройств, для которых создается отчет.
- В разделе Иерархия Серверов администрирования укажите следующие параметры:
- В разделе Общие укажите следующие параметры:
- Нажмите на кнопку ОК, чтобы сохранить изменения.
Измененный шаблон отчета появится в списке шаблонов отчетов.
Чтобы создать и просмотреть отчет об установленных мобильных приложениях:
- В дереве консоли перейдите в папку Сервера администрирования.
- В рабочей области папки Сервера администрирования выберите закладку Отчеты.
- Выберите шаблон отчета с именем Отчет об установленных мобильных приложениях с помощью двойного щелчка мыши на любом столбце.
Откроется отчет об установленных мобильных приложениях.
В этом отчете отображаются следующие данные:
Дополнительная информация об использовании отчетов, управлении пользовательскими шаблонами отчетов, использовании шаблонов отчетов для создания новых отчетов и создании задач доставки отчетов приведена в справке Kaspersky Security Center.
В началоУстановка корневых сертификатов на Android-устройствах
Корневой сертификат – это сертификат открытого ключа, выпущенный доверенным центром сертификации (CA). Корневые сертификаты используются, чтобы проверять пользовательские сертификаты и гарантировать их подлинность.
Kaspersky Security Center позволяет добавлять корневые сертификаты, которые будут установлены на Android-устройствах, в хранилище доверенных сертификатов.
Эти сертификаты устанавливаются на пользовательских устройствах следующим образом:
- На устройствах, работающих в режиме device owner, сертификаты устанавливаются автоматически.
При удалении корневого сертификата в параметрах политики он автоматически удалится с устройства во время следующей синхронизации с Сервером администрирования.
- На личных устройствах (не работающих в режиме device owner):
- Если рабочий профиль не был создан, пользователю устройства предлагается установить каждый сертификат вручную в личном профиле, следуя инструкциям в уведомлении.
- Если рабочий профиль был создан, сертификаты автоматически установятся в этот профиль. Если флажок Дублировать установку корневых сертификатов в личный профиль установлен в настройках рабочего профиля, можно также установить сертификаты в личном профиле. Пользователю устройства предлагается сделать это вручную, следуя инструкциям в уведомлении.
При удалении корневого сертификата в параметрах политики он автоматически удалится с устройства во время следующей синхронизации с Сервером администрирования.
Инструкции по установке сертификатов в личном профиле можно найти в разделе Установка корневых сертификатов на устройстве.
Чтобы добавить корневой сертификат в Kaspersky Security Center:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Корневые сертификаты.
- В разделе Корневые сертификаты нажмите Добавить.
Откроется проводник.
- Выберите файл сертификата (.cer, .pem или .key) и нажмите Открыть.
Откроется окно Сертификат.
- Просмотрите информацию о сертификате и нажмите Установить сертификат.
Запустится стандартный мастер импорта сертификатов.
- Следуйте указаниям мастера.
После завершения работы мастера корневой сертификат появится в списке сертификатов.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.
В началоНастройка уведомлений Kaspersky Endpoint Security для Android
Если вы хотите, чтобы пользователь мобильного устройства не отвлекался на уведомления Kaspersky Endpoint Security для Android, вы можете выключить некоторые уведомления.
В Kaspersky Endpoint Security используются следующие средства для отображения статуса защиты устройства:
- Уведомление о состоянии защиты. Уведомление закреплено в панели уведомлений. Уведомление о состоянии защиты нельзя удалить. В уведомлении отображается статус защиты устройства (например,
) и количество проблем, если они имеются. Чтобы посмотреть список проблем в приложении, выберите статус защиты устройства. - Уведомления приложения. Уведомления информируют пользователя устройства о приложении (например, об обнаружении угрозы).
- Всплывающие сообщения. Всплывающие сообщения требуют внимания со стороны пользователя устройства (например, действия, предпринимаемые при обнаружении угрозы).
По умолчанию все уведомления Kaspersky Endpoint Security для Android включены.
На Android 13 пользователь устройства должен предоставить разрешение на отправку уведомлений во время работы Мастера начальной настройки или позже.
Пользователь Android-устройства может выключить все уведомления от Kaspersky Endpoint Security для Android в настройках панели уведомлений. Если уведомления выключены, пользователь не контролирует работу приложения и может пропустить важную информацию (например, о сбоях при синхронизации устройства с Kaspersky Security Center). Чтобы пользователь узнал статус работы приложения, ему необходимо открыть Kaspersky Endpoint Security для Android.
Чтобы настроить отображение уведомлений о работе Kaspersky Endpoint Security для Android, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Дополнительно.
- В разделе Уведомления приложения нажмите на кнопку Настроить.
Откроется окно Параметры уведомлений на устройстве.
- Выберите проблемы Kaspersky Endpoint Security для Android, которые вы хотите скрыть на мобильном устройстве пользователя и нажмите на кнопку OK.
Kaspersky Endpoint Security для Android не будет отображать уведомления о проблемах. Уведомления о состоянии защиты и уведомления приложения продолжат отображаться в Kaspersky Endpoint Security для Android.
Некоторые уведомления Kaspersky Endpoint Security для Android являются обязательными и их невозможно отключить (например, уведомления об истечении срока действия лицензии).
- Чтобы скрыть все уведомления и всплывающие сообщения, выберите Отключать уведомления и всплывающие сообщения, когда приложение работает в фоновом режиме.
Kaspersky Endpoint Security для Android будет показывать только уведомления о состоянии защиты. В уведомлении отображается статус защиты устройства (например,
) и количество проблем. Также в приложении будут отображаться уведомления, когда пользователь работает с приложением (например, вручную обновляет базы вредоносного ПО).Специалисты "Лаборатории Касперского" рекомендуют включить уведомления и всплывающие сообщения. Если уведомления и всплывающие сообщения отключены, когда приложение работает в фоновом режиме, приложение не уведомляет пользователей об угрозах в реальном времени. Пользователи мобильных устройств узнают о состоянии защиты устройства, только когда откроют приложение.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. На мобильном устройстве пользователя не будут отображаться уведомления Kaspersky Endpoint Security для Android, которые вы выключили.
В началоОсновные функции управления мобильными устройствами в Консоли администрирования на базе MMC
Kaspersky Secure Mobility Management предоставляет следующие функции:
- Подключение Android-устройств к Kaspersky Security Center с использованием инсталляционного пакета приложения для скачивания с сервера Kaspersky Security Center.
- Подключение iOS-устройств к Kaspersky Security Center с помощью рассылки сообщений электронной почты со ссылкой и QR-кодом для скачивания iOS MDM-профиля с Сервера iOS MDM.
- Дистанционное подключение мобильных устройств к Kaspersky Security Center и другим сторонним EMM-системам (например, VMWare AirWatch, MobileIron, IBM Maas360, Microsoft Intune, SOTI MobiControl).
- Дистанционная настройка Kaspersky Endpoint Security для Android, а также сервисов, приложений и функций Android-устройств.
- Дистанционная настройка мобильных устройств согласно требованиям корпоративной безопасности.
- Обнаружение и устранение угроз на мобильных устройствах (Защита от вредоносного ПО).
- Предотвращение утечек корпоративной информации, хранящейся на мобильных устройствах, в случае их кражи или потери (Анти-Вор).
- Контроль использования интернета на мобильных устройствах (Веб-Фильтр).
- Контроль установки и удаления приложений (Контроль приложений).
- Контроль соблюдения требований корпоративной безопасности (Контроль соответствия).
- Настройка корпоративной почты на мобильных устройствах, в том числе в организациях, в которых развернут почтовый сервер Microsoft Exchange (только для устройств iOS и Samsung).
- Настройка параметров корпоративных сетей (Wi-Fi, VPN) для использования VPN на мобильных устройствах. VPN можно настроить только на устройствах iOS и Samsung.
- Настройка отображения статуса мобильного устройства в Kaspersky Security Center при нарушении правил политики: Критический, Предупреждение, ОК.
- Настройка уведомлений, отображаемых пользователю в Kaspersky Endpoint Security для Android.
- Настройка параметров на устройствах с поддержкой Samsung KNOX 2.6 или выше.
- Настройка параметров устройств, поддерживающих рабочие профили Android.
- Настройка параметров мобильных Android-устройств в режиме device owner.
- Развертывание Kaspersky Endpoint Security для Android с помощью консоли Samsung Knox Mobile Enrollment. Samsung Knox Mobile Enrollment предназначен для массовой установки и первоначальной настройки приложений на Samsung-устройствах, приобретенных у официальных поставщиков.
- Управление групповыми политиками безопасности мобильных устройств.
- Приложение Kaspersky Endpoint Security for Android app может быть обновлено до указанной версии с использованием политик Kaspersky Security Center.
- Уведомление администратора о статусе и событиях в работе Kaspersky Endpoint Security для Android в Kaspersky Security Center или по электронной почте.
- Контроль изменений параметров политики (история ревизий).
- Отправка команд для удаленного управления мобильными устройствами. Например, если мобильное устройство потеряно или украдено, вы можете отправить команду, чтобы найти устройство или стереть все корпоративные данные с устройства.
- Настройка параметров пароля разблокировки экрана для мобильных устройств.
- Настройка параметров сети Wi-Fi для мобильных устройств.
- Добавление веб-клипов для открытия сайтов с главного экрана мобильных устройств.
Kaspersky Secure Mobility Management включает следующие компоненты защиты и управления:
- Для Android-устройств:
- Защита от вредоносного ПО
- Анти-Вор
- Веб-Фильтр
- Контроль приложений
- Контроль соответствия
- Для iOS MDM-устройств:
- Защита паролем
- Управление сетями
- Веб-Фильтр
- Контроль соответствия
Подключение iOS MDM-устройств к AirPlay
Для потоковой передачи музыки, фотографий и видео с iOS MDM-устройства на устройства AirPlay следует настроить автоматическое подключение к устройствам AirPlay. Для использования технологии AirPlay мобильное устройство и устройства AirPlay должны быть подключены к одной беспроводной сети. К устройствам AirPlay относятся устройства Apple TV (второго и третьего поколений), устройства AirPort Express, динамики или приемники с поддержкой AirPlay.
Автоматическое подключение к устройствам AirPlay доступно только для контролируемых устройств.
Чтобы настроить подключение iOS MDM-устройства к устройствам AirPlay, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел AirPlay.
- В блоке Устройства AirPlay установите флажок Применить параметры на устройстве.
- В блоке Пароли нажмите на кнопку Добавить.
В таблице паролей добавится пустая строка.
- В графе Имя устройства введите имя устройства AirPlay в беспроводной сети.
- В графе Пароль введите пароль от устройства AirPlay.
- Чтобы ограничить подключение iOS MDM-устройства к устройствам AirPlay, сформируйте список разрешенных устройств в блоке Разрешенные устройства (только для supervised). Для этого добавьте в список разрешенных устройств MAC-адреса устройств AirPlay.
К устройствам AirPlay, не входящим в список разрешенных устройств, доступ запрещен. Если оставить список разрешенных устройств пустым, Kaspersky Device Management для iOS разрешит доступ ко всем устройствам AirPlay.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате мобильное устройство пользователя после применения политики будет автоматически подключаться к устройствам AirPlay для передачи медиа-контента.
В началоПодключение iOS MDM-устройств к AirPrint
Для печати документов с iOS MDM-устройства беспроводным способом с помощью технологии AirPrint следует настроить автоматическое подключение к принтерам AirPrint. Мобильное устройство и принтер должны быть подключены к одной беспроводной сети. На принтере AirPrint требуется настроить общий доступ для всех пользователей.
Чтобы настроить подключение iOS MDM-устройства к принтеру AirPrint, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел AirPrint.
- В блоке Принтеры AirPrint нажмите на кнопку Добавить.
Откроется окно Принтер.
- В поле IP-адрес введите IP-адрес принтера AirPrint.
- В поле Путь к ресурсу введите путь к принтеру AirPrint.
Путь к принтеру соответствует ключу rp (resource path) протокола Bonjour. Например:
- printers/Canon_MG5300_series;
- ipp/print;
- Epson_IPP_Printer.
- Нажмите кнопку OK.
Добавленный принтер AirPrint отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате пользователь мобильного устройства после применения политики сможет печатать документы на принтере AirPrint по беспроводной связи.
В началоОтключение блокировки активации на контролируемых iOS-устройствах
Блокировка активации – это функция iOS, которая предотвращает использование потерянного или украденного iOS-устройства посторонними лицами или его повторную активацию без разрешения владельца. Kaspersky Security Center позволяет отключить блокировку активации на контролируемых iOS-устройствах без ввода Apple ID и пароля пользователя. Для этого используется код отключения блокировки.
Этот код создается, когда iOS-устройство подключается к Kaspersky Security Center и становится контролируемым.
Для отключения блокировки активации с помощью кода выполните следующие действия:
- В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
- В списке устройств двойным щелчком выберите устройство, код отключения блокировки которого вы хотите посмотреть.
Откроется окно свойств выбранного устройства.
- В окне свойств выбранного устройства выберите закладку Расширенные параметры iOS MDM.
- На закладке Расширенные параметры iOS MDM нажмите на значок перечеркнутого глаза рядом с параметром Код отключения блокировки активации (только для контролируемых устройств).
Отобразится код отключения блокировки активации.
- Введите этот код в поле Пароль для Apple ID на экране блокировки активации контролируемого iOS-устройства. Поле Имя пользователя оставьте пустым.
Блокировка активации на устройстве отключена.
Настройка точки доступа (APN)
Для подключения мобильного устройства к услугам передачи данных в мобильной сети следует настроить параметры APN (Access Point Name).
Настройка APN на Android-устройствах (только Samsung)
Настройка APN возможна только для Samsung-устройств.
Для использования точки доступа на мобильном устройстве пользователя должна быть установлена SIM-карта. Параметры точки доступа предоставляются оператором мобильной связи. Неправильная настройка точки доступа может привести к дополнительным расходам на мобильную связь.
Чтобы настроить параметры точки доступа (APN), выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление Samsung KNOX → APN.
- В блоке APN нажмите на кнопку Настроить.
Откроется окно Параметры APN.
- На закладке Общие укажите следующие параметры точки доступа:
- В раскрывающемся списке Тип точки доступа выберите тип точки доступа.
- В поле Имя точки доступа укажите название точки доступа.
- В поле MCC укажите мобильный код страны (MCC).
- В поле MNC укажите мобильный код сети (MNC).
- Если в качестве типа точки доступа вы выбрали MMS или Интернет и MMS, укажите дополнительные параметры для MMS:
- В поле Сервер для MMS укажите полное доменное имя сервера мобильного оператора для обмена MMS.
- В поле Прокси-сервер для MMS укажите сетевое имя или IP-адрес прокси-сервера и номер порта прокси-сервера мобильного оператора для обмена MMS.
- На закладке Дополнительно настройте дополнительные параметры точки доступа (APN):
- В раскрывающемся списке Тип аутентификации выберите тип авторизации пользователя мобильного устройства на сервере мобильного оператора для доступа к сети.
- В поле Адрес сервера укажите сетевое имя сервера оператора мобильной связи, через который осуществляется доступ к услугам передачи данных.
- В поле Адрес прокси-сервера укажите сетевое имя или IP-адрес и номер порта прокси-сервера мобильного оператора для доступа к сети.
- В поле Имя пользователя укажите имя пользователя для авторизации в мобильной сети.
- В поле Пароль укажите пароль для авторизации пользователя в мобильной сети.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.
В началоНастройка APN на iOS MDM-устройствах
Для подключения пользователя iOS MDM-устройства к услугам передачи данных в мобильной сети следует настроить точку доступа (APN).
Раздел APN устарел. Рекомендуется настраивать параметры APN в разделе Сотовая связь. Перед настройкой параметров сотовой связи убедитесь, что параметры раздела APN не применены на устройстве (снят флажок Применить параметры на устройстве). Совместное использование параметров разделов APN и Сотовая связь невозможно.
Чтобы настроить точку доступа на iOS MDM-устройстве пользователя, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Сотовая связь.
- В блоке Параметры сотовой связи установите флажок Применить параметры на устройстве.
- В списке Тип APN выберите тип точки доступа для передачи данных в мобильной сети GPRS/3G/4G:
- Встроенная APN – конфигурация параметров сотовой связи для передачи данных через оператора мобильной сети, который поддерживает работу со встроенной Apple SIM. Подробная информация об устройствах со встроенной Apple SIM приведена на веб-сайте Службы технической поддержки Apple.
- APN – настройка параметров сотовой связи для передачи данных через оператора мобильной сети вставленной SIM-карты.
- Встроенная APN и APN – конфигурация параметров сотовой связи для передачи данных через операторов мобильных сетей вставленной SIM-карты и встроенной Apple SIM. Подробная информация об устройствах со встроенной Apple SIM и слотом для SIM-карты приведена на веб-сайте Службы технической поддержки Apple.
- В поле Имя точки доступа укажите название точки доступа.
- В раскрывающемся списке Тип аутентификации выберите тип аутентификации пользователя устройства на сервере мобильного оператора для доступа к сети (интернет и MMS).
- В поле Имя пользователя укажите имя пользователя для авторизации в мобильной сети.
- В поле Пароль укажите пароль для авторизации пользователя в мобильной сети.
- В поле Адрес прокси-сервера и порт введите имя хоста, домена или IP-адрес прокси-сервера и номер порта прокси-сервера.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве пользователя после применения политики будет настроена точка доступа (APN).
В началоНастройка рабочего профиля Android
Этот раздел содержит информацию о работе с рабочим профилем Android.
О рабочем профиле Android
Android Enterprise – платформа для управления мобильной инфраструктурой компании, предоставляющая сотрудникам компании рабочую среду для работы на мобильных устройствах. Подробная информация о работе с Android Enterprise приведена на сайте технической поддержки Google.
Вы можете создать на мобильном устройстве пользователя рабочий профиль Android (далее также "рабочий профиль"). Рабочий профиль Android – безопасная среда на устройстве пользователя, в которой администратор может управлять приложениями и учетными записями пользователя, не ограничивая возможности при работе с его собственными данными. При создании на мобильном устройстве пользователя рабочего профиля в него автоматически устанавливаются следующие корпоративные приложения: Google Play Маркет, Google Chrome, Загрузки, Kaspersky Endpoint Security для Android и другие. Корпоративные приложения, размещенные в рабочем профиле, а также уведомления этих приложений, отмечены значком 
. Для приложения Google Play Маркет требуется создать отдельную корпоративную учетную запись Google. Приложения, размещенные в рабочем профиле, отображаются в общем списке приложений.
Настройка рабочего профиля
Чтобы настроить параметры рабочего профиля Android, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Рабочий профиль Android.
- В рабочей области Рабочий профиль Android установите флажок Создать рабочий профиль.
- Укажите параметры рабочего профиля:
- На закладке Общие настройте параметры передачи данных, контактов и другие.
- В разделе Доступ к данным и передача данных настройте параметры следующим образом:
- Запретить передачу данных из приложений личного профиля в приложения рабочего профиля
- Запретить передачу данных из приложений рабочего профиля в приложения личного профиля
- Запретить приложениям из рабочего профиля доступ к файлам в личном профиле
- Запретить приложениям из личного профиля доступ к файлам в рабочем профиле
- Запретить использование содержимого буфера обмена между личным и рабочим профилями
- Запретить включать режим отладки по USB
- Запретить пользователю добавление и удаление учетных записей в рабочем профиле
- Запретить трансляцию, запись и снимки экрана в приложениях рабочего профиля
- В разделе Контакты настройте параметры следующим образом:
- В разделе Доступ к данным и передача данных настройте параметры следующим образом:
- На закладке Приложения настройте параметры следующим образом:
- Включить Контроль приложений только в рабочем профиле
- Включить Веб-Фильтр только в рабочем профиле
Для Samsung Internet Browser, HUAWEI Browser и Яндекс Браузера флажок Включить Веб-Фильтр только в рабочем профиле должен быть снят. Эти браузеры не позволяют включить Веб-Фильтр только в рабочем профиле. Если установить этот флажок, Веб-Фильтр не будет работать в этих браузерах.
Вы можете указать параметры доступа к веб-сайтам (создать список запрещенных категорий веб-сайтов или список разрешенных веб-сайтов) в разделе Веб-Фильтр.
- Запретить установку приложений в рабочий профиль из неизвестных источников
- Запретить удаление приложений из рабочего профиля
- Запретить показывать уведомления от приложений из рабочего профиля на заблокированном экране
- Запретить приложениям из рабочего профиля использовать камеру
- Выдача дополнительных разрешений для работы приложений в рабочем профиле
- Добавление виджетов приложений из рабочего профиля на главный экран устройства
- На вкладке Сертификаты вы можете настроить следующие параметры:
- На закладке Пароль настройте пароль рабочего профиля следующим образом:
- Требовать установить пароль для рабочего профиля
- Минимальное количество символов
- Минимальные требования к сложности пароля (Android 12 или ниже)
- Максимальное количество неудачных попыток ввода пароля до удаления рабочего профиля
- Срок действия пароля, в днях
- Количество дней, за которое уведомлять о необходимости смены пароля
- Количество последних паролей, которые нельзя использовать в качестве нового пароля
- Период неактивности без блокировки рабочего профиля, в секундах
- Период после разблокировки биометрическими методами до ввода пароля, в минутах (Android 8.0 или выше)
- Разрешить биометрические методы разблокировки (Android 9+)
- Разрешить использование отпечатков пальцев
- Разрешить распознавание лица (Android 9 или выше)
- Разрешить распознавание по радужной оболочке глаза (Android 9 или выше)
- На закладке Код разблокировки укажите одноразовый код. Это код, который пользователю нужно будет ввести для разблокировки рабочего профиля, если он был заблокирован.
- На закладке Общие настройте параметры передачи данных, контактов и другие.
- Чтобы настроить параметры рабочего профиля на мобильном устройстве пользователя, заблокируйте изменение параметров.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Пространство мобильного устройства пользователя будет разделено на рабочий и личный профили.
В началоРазблокирование рабочего профиля
Если устройство не соответствует требованиям безопасности, указанным в Контроле соответствия, рабочий профиль может быть заблокирован.
Для разблокирования рабочего профиля пользователь мобильного устройства должен ввести одноразовый код на заблокированном экране. Этот код создается в Консоли администрирования на базе MMC. Он уникален для каждого мобильного устройства. После разблокирования рабочего профиля устройства пароль рабочего профиля будет изменен на пароль по умолчанию (1234).
Администратор может просматривать одноразовый код в параметрах политики, применяемых на мобильном устройстве. Длину кода можно изменить (4, 8, 12 или 16 цифр).
Чтобы разблокировать мобильное устройство с помощью одноразового кода, выполните следующие действия:
- В дереве консоли выберите Управление мобильными устройствами → Мобильные устройства.
- Выберите мобильное устройство, для разблокировки которого вы хотите получить одноразовый код.
- Откройте окно свойств мобильного устройства.
- Выберите Приложения → Kaspersky Endpoint Security для мобильных устройств.
- Откройте окно свойств приложения Kaspersky Endpoint Security.
- Выберите раздел Рабочий профиль Android.
Одноразовый код для разблокировки выбранного устройства отображается на закладке Код разблокировки в поле Код разблокировки.
Сообщите пользователю заблокированного мобильного устройства одноразовый код любым доступным способом (например, в сообщении электронной почты).
Пользователь должен ввести одноразовый код разблокировки на своем устройстве.
После блокирования рабочего профиля история паролей рабочего профиля очищается. Это означает, что пользователь может повторно использовать один из недавних паролей, независимо от параметров пароля для рабочего профиля.
В началоДобавление учетной записи LDAP
Чтобы пользователь iOS MDM-устройства мог получить доступ к корпоративным контактам на сервере LDAP, следует добавить учетную запись LDAP.
Чтобы добавить учетную запись LDAP пользователя iOS MDM-устройства, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел LDAP.
- В блоке Учетные записи LDAP нажмите на кнопку Добавить.
Откроется окно Учетная запись LDAP.
- В поле Описание введите описание учетной записи LDAP пользователя. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Имя учетной записи введите имя учетной записи для авторизации на сервере LDAP. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Пароль введите пароль учетной записи LDAP для авторизации на сервере LDAP.
- В поле Адрес сервера (обязательно для заполнения) введите имя домена сервера LDAP. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- Чтобы использовать транспортный протокол передачи данных SSL для защиты передачи сообщений, установите флажок Использовать SSL-соединение.
- Сформируйте список поисковых запросов для доступа пользователя iOS MDM-устройства к папкам с корпоративными данными на сервере LDAP:
- В блоке Параметры поиска нажмите на кнопку Добавить.
В таблице поисковых запросов отобразится пустая строка.
- В графе Название введите название поискового запроса.
- В графе Глубина поиска выберите уровень вложенности папки для поиска корпоративных данных на сервере LDAP:
- Корень дерева – поиск в базовой папке сервера LDAP.
- Один уровень – поиск в папках на первом уровне вложенности от базовой папки.
- Поддерево – поиск в папках на всех уровнях вложенности от базовой папки.
- В графе База поиска укажите путь к папке на сервере LDAP, с которой начинается поиск (например, "ou=people", "o=example corp").
- Повторите пункты a-d для всех поисковых запросов, которые вы хотите добавить на iOS MDM-устройство.
- В блоке Параметры поиска нажмите на кнопку Добавить.
- Нажмите кнопку OK.
Новая учетная запись LDAP отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве пользователя после применения политики будут добавлены учетные записи LDAP из сформированного списка. Пользователь может получить доступ к корпоративным контактам в стандартных приложениях iOS Контакты, Сообщения и Mail.
В началоДобавление учетной записи календаря
Чтобы пользователь iOS MDM-устройства мог работать со своими событиями календаря на сервере CalDAV, следует добавить учетную запись на CalDAV. Синхронизация с сервером CalDAV позволит пользователю создавать и принимать приглашения, получать обновления событий и синхронизировать задачи с приложением Напоминания.
Чтобы добавить учетную запись CalDAV пользователя iOS MDM-устройства, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Календарь.
- В блоке Учетные записи CalDAV нажмите на кнопку Добавить.
Откроется окно Учетная запись CalDAV.
- В поле Описание введите описание учетной записи CalDAV пользователя.
- В поле Адрес сервера и порт (обязательно для заполнения) введите имя хоста или IP-адрес сервера CalDAV и номер порта сервера CalDAV.
- В поле Основной веб-адрес задайте веб-адрес учетной записи CalDAV пользователя iOS MDM-устройства на сервере CalDAV (например, http://example.com/caldav/users/mycompany/user).
Веб-адрес должен начинаться с
"http://"или"https://". - В поле Имя учетной записи задайте имя учетной записи пользователя для авторизации на сервере CalDAV.
- В поле Пароль задайте пароль учетной записи CalDAV для авторизации на сервере CalDAV.
- Чтобы использовать транспортный протокол передачи данных SSL для защиты передачи данных о событиях между сервером CalDAV и мобильным устройством, установите флажок Использовать SSL-соединение.
- Нажмите кнопку OK.
Новая учетная запись CalDAV отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве пользователя после применения политики будут добавлены учетные записи CalDAV из сформированного списка.
В началоДобавление учетной записи контактов
Чтобы пользователь iOS MDM-устройства мог синхронизировать свои контакты с сервером CardDAV, следует добавить учетную запись CardDAV. Синхронизация с сервером CardDAV позволит пользователю получить доступ к данным контактов с любого устройства.
Чтобы добавить учетную запись CardDAV пользователя iOS MDM-устройства, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Контакты.
- В блоке Учетные записи CardDAV нажмите на кнопку Добавить.
Откроется окно Учетная запись CardDAV.
- В поле Описание введите описание учетной записи CardDAV пользователя. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Адрес сервера и порт (обязательно для заполнения) введите имя хоста или IP-адрес сервера CardDAV и номер порта сервера CardDAV.
- В поле Основной веб-адрес задайте веб-адрес учетной записи CardDAV пользователя iOS MDM-устройства на сервере CardDAV (например, http://example.com/carddav/users/mycompany/user).
Веб-адрес должен начинаться с
"http://"или"https://". - В поле Имя учетной записи задайте имя учетной записи пользователя для авторизации на сервере CardDAV. Вы можете использовать макросы из раскрывающегося списка Добавить макрос.
- В поле Пароль задайте пароль учетной записи CardDAV для авторизации на сервере CardDAV.
- Чтобы использовать транспортный протокол передачи данных SSL для защиты передачи контактов между сервером CardDAV и мобильным устройством, установите флажок Использовать SSL-соединение.
- Нажмите кнопку OK.
Новая учетная запись CardDAV отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве пользователя после применения политики будут добавлены учетные записи CardDAV из сформированного списка.
В началоНастройка подписки на календарь
Чтобы пользователь iOS MDM-устройства мог добавить в свой календарь события сторонних календарей (например, корпоративного календаря), нужно добавить на календарь подписку. Сторонние календари – календари других пользователей, у которых есть учетная запись CalDAV, календари iCal, а также другие открыто опубликованные календари.
Чтобы добавить подписку на календарь, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Подписка на календарь.
- В блоке Подписки на календари нажмите на кнопку Добавить.
Откроется окно Подписка на календарь.
- В поле Описание введите описание подписки на календарь.
- В поле Веб-адрес сервера (обязательно для заполнения) укажите веб-адрес стороннего календаря.
Вы можете указать в поле основной веб-адрес учетной записи CalDAV пользователя, на календарь которого оформляется подписка. Также вы можете указать веб-адрес календаря iCal или другого открыто публикуемого календаря.
- В поле Имя пользователя введите имя учетной записи пользователя для аутентификации на сервере стороннего календаря.
- В поле Пароль введите пароль от подписки на календарь для аутентификации на сервере стороннего календаря.
- Чтобы использовать транспортный протокол передачи данных SSL для защиты передачи данных о событиях между сервером CalDAV и мобильным устройством, установите флажок Использовать SSL-соединение.
- Нажмите кнопку OK.
Новая подписка на календарь отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате в календарь мобильного устройства пользователя после применения политики будут добавлены события сторонних календарей из сформированного списка.
В началоУправление веб-клипами
Веб-клип – приложение, которое открывает веб-сайт с главного экрана мобильного устройства. Нажимая на значки веб-клипов на главном экране устройства, пользователь может быстро открывать веб-сайты (например, корпоративный веб-сайт).
Вы можете добавлять веб-клипы на устройства пользователей, удалять веб-клипы с устройств и указывать значки веб-клипов, которые отображаются на экране.
Управление веб-клипами на Android-устройствах
Для управления веб-клипами на Android-устройстве пользователя выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление устройством.
- В разделе Добавление веб-клипов на главный экран устройства выполните одно из следующих действий:
- Чтобы добавить веб-клип:
- Нажмите на кнопку Добавить.
Откроется окно Добавить веб-клип.
- В поле Название введите название веб-клипа, которое будет отображаться на главном экране Android-устройства.
- В поле Веб-адрес введите адрес веб-сайта, который будет открываться при нажатии на значок веб-клипа. Адрес должен начинаться с "http://" или "https://".
- В поле Значок укажите изображение для значка веб-клипа: нажмите Обзор... и выберите файл изображения. Поддерживаются форматы файлов PNG и JPEG. Если вы не выберете изображение для веб-клипа, в качестве значка будет отображаться пустой квадрат.
- Нажмите на кнопку OK.
Новый веб-клип отобразится в списке.
Максимальное количество веб-клипов, которые можно добавить на Android-устройство, зависит от типа устройства. Когда это количество достигнуто, веб-клипы перестают добавляться на Android-устройство.
- Нажмите на кнопку Добавить.
- Чтобы изменить веб-клип:
- Выберите веб-клип, параметры которого вы хотите отредактировать, и нажмите на кнопку Изменить.
Откроется окно Добавить веб-клип.
- Укажите новые параметры веб-клипа, как описано выше в этом разделе.
- Нажмите на кнопку OK.
- Выберите веб-клип, параметры которого вы хотите отредактировать, и нажмите на кнопку Изменить.
- Чтобы удалить веб-клип:
- Выберите веб-клип, который вы хотите удалить, и нажмите на кнопку Удалить.
Веб-клип исчезнет из списка.
- Выберите веб-клип, который вы хотите удалить, и нажмите на кнопку Удалить.
- Чтобы добавить веб-клип:
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
После того, как к устройству будет применена политика, приложение Kaspersky Endpoint Security для Android будет показывать уведомления, предлагающие пользователю установить веб-клипы, которые вы создали. После того, как пользователь установит веб-клипы, соответствующие значки будут добавлены на главный экран устройства.
Удаленные веб-клипы будут отключены на главном экране Android-устройства. Если пользователь нажмет на соответствующий значок, появится уведомление о том, что веб-клип больше не доступен. Пользователь должен самостоятельно удалить такой веб-клип с главного экрана (процедура зависит от производителя устройства).
Управление веб-клипами на iOS MDM-устройствах
По умолчанию применяются следующие ограничения на использование веб-клипов:
- Пользователь не может самостоятельно удалять веб-клипы с мобильного устройства.
- Веб-сайты, которые отображаются при нажатии на значок веб-клипа, открываются не на весь экран устройства.
- К значку веб-клипа на экране применяются визуальные эффекты сглаживания углов, тени и глянца.
Для управления веб-клипами на iOS MDM-устройстве пользователя выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Веб-клипы.
- В разделе Веб-клипы выполните одно из следующих действий:
- Чтобы добавить веб-клип:
- Нажмите на кнопку Добавить.
Откроется окно Веб-клипы.
- В поле Название введите название веб-клипа, которое будет отображаться на главном экране iOS MDM-устройства.
- В поле Веб-адрес введите адрес веб-сайта, который будет открываться при нажатии на значок веб-клипа. Адрес должен начинаться с
"http://"или"https://". - Чтобы разрешить пользователю удалить веб-клип с iOS MDM-устройства, установите флажок Разрешить удаление.
- Нажмите на кнопку Выбрать и укажите файл с изображением для значка веб-клипа, который будет отображаться на главном экране iOS MDM-устройства.
Изображение должно удовлетворять следующим требованиям:
- размер изображения не более 400 х 400 пикселей;
- формат файла GIF, JPEG или PNG;
- размер файла не более 1 МБ.
Значок веб-клипа доступен для предварительного просмотра в поле Значок. Если вы не выберете изображение для веб-клипа, в качестве значка будет отображаться пустой квадрат.
Если вы хотите, чтобы значок веб-клипа отображался без специальных визуальных эффектов (скругление углов значка и эффект глянца), установите флажок Веб-клип без визуальных эффектов.
- Если вы хотите, чтобы при нажатии на значок веб-сайт открывался на весь экран iOS MDM-устройства, установите флажок Полноэкранный веб-клип.
В полноэкранном режиме панель инструментов Safari скрыта и на экране устройства отображается только веб-страница.
- Нажмите на кнопку OK.
Новый веб-клип отобразится в списке.
- Нажмите на кнопку Добавить.
- Чтобы редактировать веб-клип:
- Выберите веб-клип, параметры которого вы хотите отредактировать, и нажмите на кнопку Изменить.
Откроется окно Веб-клипы.
- Укажите новые параметры веб-клипа, как описано выше в этом разделе.
- Нажмите на кнопку OK.
- Выберите веб-клип, параметры которого вы хотите отредактировать, и нажмите на кнопку Изменить.
- Чтобы удалить веб-клип:
- Выберите веб-клип, который вы хотите удалить, и нажмите на кнопку Удалить.
Веб-клип исчезнет из списка.
- Выберите веб-клип, который вы хотите удалить, и нажмите на кнопку Удалить.
- Чтобы добавить веб-клип:
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
Когда политика будет применена, на главный экран мобильного устройства пользователя будут добавлены значки веб-клипов из сформированного списка.
Значки удаленных веб-клипов исчезнут с главного экрана iOS MDM-устройства.
В началоУстановка обоев
Вы можете установить одно и то же изображение в качестве обоев для домашнего экрана и экрана блокировки на устройствах пользователей, попадающих под действие одной политики.
Чтобы установить обои на Android-устройства пользователей:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Управление устройством.
- В разделе Установка обоев рабочего стола и экрана блокировки нажмите Установить.
Откроется окно Установка обоев.
- В раскрывающемся списке Способ установки обоев выберите способ установки обоев:
- После импорта изображения вы можете просмотреть его в окне Установка обоев.
- Если вы хотите использовать то же изображение в качестве обоев для экрана блокировки, установите флажок Применить для экрана блокировки. В противном случае изображение используется только в качестве обоев рабочего стола.
По умолчанию флажок снят.
- Нажмите на кнопку ОК, чтобы сохранить внесенные изменения.
Импортированное изображение устанавливается в качестве обоев на устройствах пользователей.
В началоДобавление шрифтов
Чтобы добавить шрифт на iOS MDM-устройство пользователя, выполните следующие действия:
- В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
- В рабочей области группы выберите закладку Политики.
- Откройте окно свойств политики двойным щелчком мыши по любому столбцу.
В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.
- В политике, в окне Свойства выберите раздел Шрифты.
- В блоке Шрифты нажмите на кнопку Добавить.
Откроется окно Шрифт.
- В поле Имя файла укажите путь к файлу шрифта (файл с расширением ttf или otf).
Шрифты с расширением .TTC или .OTC не поддерживаются.
Шрифты идентифицируются по имени PostScript. Не устанавливайте шрифты с одинаковым именем PostScript, даже если их содержание отличается. Установка шрифтов с одинаковым именем PostScript приведет к неопределенной ошибке.
- Нажмите кнопку Открыть.
Новый шрифт отобразится в списке.
- Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
В результате на мобильном устройстве после применения политики пользователю будет предложено установить шрифты из сформированного списка.
В началоРабота с командами для мобильных устройств
Этот раздел содержит информацию о командах для управления мобильными устройствами, которые поддерживает Kaspersky Security Center. В разделе приведены инструкции по отправке команд на мобильные устройства, а также по просмотру статуса выполнения команд в журнале команд.
Команды для мобильных устройств
Kaspersky Security Center поддерживает команды для удаленного управления мобильными устройствами. Например, в случае потери или кражи мобильного устройства вы можете отправить команды, чтобы определить местоположение устройства или удалить корпоративные данные с устройства.
Вы можете отправлять команды на следующие типы управляемых мобильных устройств:
- Android-устройства, управляемые через приложение Kaspersky Endpoint Security для Android;
- iOS MDM-устройства.
Каждый тип устройств поддерживает свой набор команд.
Команды для Android-устройств
Команда |
Результат выполнения команды |
|
|---|---|---|
Заблокировать |
Мобильное устройство заблокировано. Для получения доступа к данным необходимо разблокировать устройство. |
|
Разблокировать |
Мобильное устройство разблокировано. После разблокировки устройства под управлением операционной системы Android 5.0–6 пароль разблокировки экрана будет заменен на "1234". На устройствах под управлением операционной системы Android 7.0 и выше после разблокировки мобильного устройства пароль разблокировки экрана останется прежним. |
|
Сбросить настройки до заводских |
Удалены все данные с мобильного устройства, настройки мобильного устройства сброшены до заводских. После выполнения этой команды устройство не сможет получать и выполнять последующие команды. |
|
Удалить корпоративные данные |
Корпоративные данные удалены с устройства. Перечень удаленных данных зависит от режима работы устройства.
|
|
Синхронизировать устройство |
Данные с мобильного устройства синхронизированы с Сервером администрирования. |
|
Определить местоположение устройства |
Получены координаты местоположения мобильного устройства. Чтобы посмотреть местоположение устройства на карте, перейдите в папку Управление мобильными устройствами → Мобильные устройства. Затем в контекстном меню устройства выберите Все команды → Определить местоположение → Посмотреть координаты устройства. На устройствах с операционной системой Android 12 и выше, если пользователю предоставлено разрешение "Использовать приблизительное местоположение", Kaspersky Endpoint Security для Android сначала пытается определить точное местоположение устройства. Если это не удалось, определяется приблизительное местоположение устройства, но только в том случае, если данные о нем были получены не более 30 минут назад. В противном случае команда Определить местоположение устройства завершится с ошибкой. Если на устройстве Android отключена служба Google "Точность местоположения", команда Определить местоположение устройства работать не будет. Обращаем внимание, что не на всех устройствах Android есть эта служба. |
|
Сфотографировать |
Мобильное устройство заблокировано. Фотография выполнена фронтальной камерой устройства при попытке разблокировать устройство. На устройствах с выдвижной фронтальной камерой фотография будет черной, если камера закрыта. При попытке разблокировки устройства пользователь автоматически соглашается на фотографирование. Если разрешение на использование камеры было отозвано, на мобильном устройстве отображается уведомление, предлагающее предоставить это разрешение. Если разрешение на использование камеры было отозвано из панели быстрых настроек на мобильном устройстве под управлением Android 12 или более поздней версии, уведомление не отображается, но сделанная фотография будет черной. |
|
Воспроизвести звуковой сигнал |
Мобильное устройство воспроизводит звуковой сигнал. Звуковой сигнал воспроизводится 5 мин (при низком уровне заряда батареи – 1 мин). |
|
Удалить данные приложения |
Данные указанного приложения удалены с мобильного устройства. Действие применимо только к устройствам c Android 9 или выше в режиме device owner или с установленным рабочим профилем Android. |
|
Удалить данные всех приложений |
Данные всех приложений удалены с мобильного устройства. Действие применимо только к устройствам c Android 9 или выше в режиме device owner или с установленным рабочим профилем Android. |
|
Отправить сообщение |
Сообщение с указанными параметрами (темой и текстом) отправлено на мобильное устройство пользователя. Вы можете отправить либо push-уведомление вместе со всплывающим окном, либо только push-уведомление. Эта команда доступна только при выданном разрешении Отправление команд на мобильные устройства. Дополнительная информация приведена в справке Kaspersky Security Center. |
|
Получить историю местоположений устройства |
Отображается история местоположений мобильного устройства за последние 14 дней. Чтобы посмотреть местоположение устройства на карте, перейдите в папку Управление мобильными устройствами → Мобильные устройства. Затем в контекстном меню устройства выберите Все команды → Получить историю местоположений устройства → Посмотреть на карте. Эта команда работает только в том случае, если в базе Сервера администрирования хранится тип информационного события История местоположений устройства. События настраиваются в разделе События свойств политики. Дополнительная информация о событиях приведена в справке Kaspersky Security Center. |
|
Команды для iOS MDM-устройств
Команда |
Результат выполнения команды |
|---|---|
Заблокировать |
Мобильное устройство заблокировано. Для получения доступа к данным необходимо разблокировать устройство. |
Сбросить пароль |
Сброшен пароль для разблокировки экрана мобильного устройства, пользователю предложено установить новый пароль в соответствии с требованиями политики. |
Сбросить настройки до заводских |
Удалены все данные с мобильного устройства, настройки мобильного устройства сброшены до заводских. После выполнения этой команды устройство не сможет получать и выполнять последующие команды. |
Удалить корпоративные данные |
Будут удалены все установленные конфигурационные профили, provisioning-профили, iOS MDM-профиль и приложения, для которых был установлен флажок Удалять вместе с iOS MDM-профилем. |
Синхронизировать устройство |
Данные с мобильного устройства синхронизированы с Сервером администрирования. |
Установить профиль |
Конфигурационный профиль установлен на мобильном устройстве. |
Удалить профиль |
Конфигурационный профиль удален с мобильного устройства. |
Установить provisioning-профиль |
Provisioning-профиль установлен на мобильном устройстве. |
Удалить provisioning-профиль |
Provisioning-профиль удален с мобильного устройства. |
Установить приложение |
Приложение установлено на мобильном устройстве. |
Удалить приложение |
Приложение удалено с мобильного устройства. |
Ввести код погашения |
Введен код погашения для платного приложения. |
Запланировать обновление ОС (только для контролируемых устройств) |
На мобильном устройстве запланированы обновления операционной системы в соответствии с указанными настройками обновлений. Эта команда поддерживается только на устройствах в режиме supervised. |
Настроить параметры роуминга |
Включение или выключение роуминга данных или роуминга голосовой связи. |
Настроить Bluetooth (только для контролируемых устройств) |
Включение или выключение Bluetooth на мобильном устройстве. Эта команда поддерживается только на устройствах в режиме supervised, работающих под управлением iOS 11.3 и выше. |
Включить режим пропажи (только для контролируемых устройств) |
На контролируемом мобильном устройстве включен режим пропажи, устройство заблокировано. На экране устройства появилось сообщение и номер телефона, которые вы можете редактировать. Если вы отправите команду Включить режим пропажи на контролируемое устройство iOS MDM без SIM-карты и это устройство будет перезапущено, оно не сможет подключиться к сети Wi-Fi и получить команду Отключить режим пропажи. Эта проблема связана с особенностями iOS-устройств. Чтобы этого избежать, можно отправлять эту команду только на устройства с SIM-картой или вставить SIM-карту в заблокированное устройство – в этом случае оно сможет получить команду Отключить режим пропажи по мобильной сети. |
Определить местоположение (только для контролируемых устройств) |
Получены данные о местоположении устройства. Перейдите по ссылке в журнале команд, чтобы получить координаты устройства и посмотреть его местоположение на карте. Чтобы посмотреть местоположение устройства на карте, перейдите в папку Управление мобильными устройствами → Мобильные устройства. Затем в контекстном меню устройства выберите Все команды → Определить местоположение → Посмотреть координаты устройства. Эта команда доступна только для контролируемых устройств в режиме пропажи. |
Воспроизвести звук (только для контролируемых устройств) |
На потерянном мобильном устройстве воспроизводится звуковой сигнал. Эта команда доступна только для контролируемых устройств в режиме пропажи. |
Отключить режим пропажи (только для контролируемых устройств) |
На мобильном устройстве отключен режим пропажи, устройство разблокировано. Эта команда поддерживается только на устройствах в режиме supervised. |
Разрешения для выполнения команд
Для выполнения команд Kaspersky Endpoint Security для Android требуются специальные права и разрешения. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права и разрешения. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае выполнение команд невозможно.
На устройствах с операционной системой Android 10 и выше необходимо предоставить разрешение "Всегда" для доступа к местоположению устройства. На устройствах с операционной системой Android 11 и выше необходимо также предоставить разрешение "При использовании приложения" для доступа к камере. В противном случае команды Анти-Вора работать не будут. Пользователю будет выведено уведомление об этом ограничении и будет предложено повторно предоставить требуемые разрешения. Если пользователь выбрал вариант "Только сейчас" для разрешения камеры, считается, что доступ предоставлен приложением. Рекомендуется связаться с пользователем напрямую при повторном запросе разрешения для камеры.
В началоОтправка команд
Чтобы отправить команду на мобильное устройство пользователя:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- Выберите мобильное устройство пользователя, на которое нужно отправить команду.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
- В окне Команды для управления мобильным устройством перейдите в раздел с названием команды, которую нужно отправить на мобильное устройство, и нажмите на кнопку Отправить команду.
В зависимости от выбранной команды после нажатия на кнопку Отправить команду может открыться окно настройки дополнительных параметров команды. Например, при отправке команды на удаление с мобильного устройства provisioning-профиля программа предлагает выбрать provisioning-профиль, который нужно удалить с мобильного устройства. Укажите в окне дополнительные параметры команды и подтвердите свой выбор. После этого команда будет отправлена на мобильное устройство.
По кнопке Отправить повторно команду можно отправить на мобильное устройство пользователя еще раз.
По кнопке Удалить из очереди выполнение отправленной команды можно отменить, если команда еще не выполнена.
В блоке Журнал команд отображаются команды, отправленные на мобильное устройство, и статусы выполнения этих команд. По кнопке Обновить вы можете обновить список команд.
- Нажмите на кнопку ОК, чтобы закрыть окно Команды для управления мобильным устройством.
Просмотр статусов команд в журнале команд
Программа сохраняет информацию о всех командах, отправленных на мобильные устройства, в журнале команд. В журнале команд сохраняется информация о времени и дате отправления команд на мобильное устройство, статусы команд, а также подробные описания результатов выполнения команд. Например, в случае неудачного выполнения команды в журнале отображается причина ошибки. Записи в журнале команд хранятся не более 30 дней.
Команды, отправленные на мобильные устройства, могут иметь следующие статусы:
- Выполняется – команда отправлена на мобильное устройство.
- Завершена – выполнение команды успешно завершено.
- Завершена с ошибкой – выполнить команду не удалось.
- Удаляется – команда удаляется из очереди команд, отправленных на мобильное устройство.
- Удалена – команда успешно удалена из очереди команд, отправленных на мобильное устройство.
- Удаление завершено с ошибкой – команду не удалось удалить из очереди команд, отправленных на мобильное устройство.
Программа ведет журнал команд для каждого мобильного устройства.
Чтобы просмотреть журнал команд, отправленных на мобильное устройство:
- В дереве консоли в папке Управление мобильными устройствами выберите подпапку Мобильные устройства.
В рабочей области папки отображается список управляемых мобильных устройств.
- Выберите в списке мобильное устройство, для которого вы хотите просмотреть журнал команд.
- В контекстном меню мобильного устройства выберите пункт Показать журнал команд.
Откроется окно Команды для управления мобильным устройством. Разделы окна Команды для управления мобильным устройством соответствуют командам, которые можно отправить на мобильное устройство.
- Выбирайте разделы с нужными вам командами и просматривайте информацию об отправке и выполнении команд в блоке Журнал команд.
В блоке Журнал команд можно просмотреть список команд, отправленных на мобильное устройство, и информацию о командах. С помощью фильтра Показать команды можно показывать в списке только команды с выбранным статусом.