Kaspersky Secure Mobility Management
[Topic 136322]

Настройка ограничений

В этом разделе содержатся инструкции по настройке доступа пользователей к функциям мобильных устройств.

В этом разделе

Особые рекомендации для устройств под управлением Android 10 или выше

Настройка ограничений для Android-устройств

Настройка ограничений для iOS MDM-устройств

В начало
[Topic 140646]

Особые рекомендации для устройств под управлением Android 10 или выше

В Android 10 реализованы многочисленные изменения и ограничения, ориентированные на API 29 или выше. Некоторые из этих изменений влияют на доступность и работу отдельных функций приложения. Эти рекомендации применимы только для устройств под управлением Android 10 и выше.

Включение, выключение и настройка Wi-Fi

  • Сети Wi-Fi можно добавлять, удалять и настраивать в Консоли администрирования Kaspersky Security Center. Когда в политику добавляется сеть Wi-Fi, Kaspersky Endpoint Security получает конфигурацию этой сети при первом подключении к Kaspersky Security Center.
  • Когда устройство обнаруживает сеть, настроенную с помощью Kaspersky Security Center, Kaspersky Endpoint Security предлагает пользователю подключиться к этой сети. Если пользователь выбирает подключение к сети, все параметры, настроенные в Kaspersky Security Center, применяются автоматически. Затем устройство автоматически подключается к этой сети, когда находится в пределах досягаемости. Никакие дополнительные уведомления для пользователя не отображаются.
  • Если устройство пользователя уже подключено к другой сети Wi-Fi, иногда приложение может не предложить пользователю одобрить добавление сети. В таких случаях пользователю необходимо отключить и снова включить Wi-Fi, чтобы получить предложение.
  • Когда Kaspersky Endpoint Security предлагает пользователю подключиться к сети Wi-Fi, а пользователь отказывается это сделать, разрешение приложения на изменение состояния Wi-Fi аннулируется. После этого Kaspersky Endpoint Security не сможет предложить подключиться к сетям Wi-Fi, пока пользователь не предоставит разрешение повторно, перейдя в Настройки → Приложения и уведомления → Разрешения приложений → Контроль Wi-Fi → Kaspersky Endpoint Security.
  • Поддерживаются только открытые сети и сети, зашифрованные с помощью WPA2-PSK. Шифрование WEP и WPA не поддерживается.
  • Если пароль для сети, ранее предложенный приложением, был изменен, пользователю необходимо вручную удалить эту сеть из списка известных сетей. После этого устройство сможет получить предложение сети от Kaspersky Endpoint Security и подключиться к этой сети.
  • При обновлении операционной системы устройства с Android 9 или ниже до Android 10 или выше, или при обновлении приложения Kaspersky Endpoint Security, установленного на устройстве под управлением Android 10 или выше, нельзя изменить или удалить сети, которые были ранее добавлены в Kaspersky Security Center, с помощью политик Kaspersky Security Center. Однако пользователь может изменить или удалить такие сети вручную в настройках устройства.
  • На устройствах под управлением Android 10 у пользователя запрашивается пароль при попытке вручную подключиться к предлагаемой защищенной сети. При автоматическом подключении ввод пароля не требуется. Если устройство пользователя подключено к какой-либо другой сети Wi-Fi, пользователю сначала необходимо отключиться от этой сети, чтобы автоматически подключиться к одной из предложенных сетей.
  • На устройствах под управлением Android 11 пользователь может вручную подключиться к защищенной сети, предложенной приложением, без ввода пароля.
  • При удалении Kaspersky Endpoint Security с устройства, сети, ранее предлагаемые приложением, игнорируются.
  • Не поддерживается запрет на использование сетей Wi-Fi.

Доступ к камере

  • На устройствах под управлением Android 10 использование камеры нельзя запретить полностью. Запрет на использование камеры для рабочего профиля по-прежнему доступен.
  • Если стороннее приложение пытается получить доступ к камере устройства, это приложение будет заблокировано, а пользователь получит уведомление о проблеме. Однако приложения, использующие камеру во время работы в фоновом режиме, не могут быть заблокированы.
  • Когда внешняя камера отключена от устройства, в некоторых случаях может отображаться уведомление о недоступности камеры.

Управление методами разблокировки экрана

  • Kaspersky Endpoint Security приводит требования надежности пароля к одному из системных значений: средний или высокий.
    • Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например, 1234), либо буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.
    • Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр; пароль должен состоять не менее чем из 6 символов.
  • Управлять использованием отпечатка пальца для разблокировки экрана можно только в рабочем профиле.
В начало
[Topic 206026]

Настройка ограничений для Android-устройств

Для обеспечения безопасности Android-устройства нужно настроить параметры использования на устройстве Wi-Fi, камеры и Bluetooth.

По умолчанию пользователь может использовать на устройстве Wi-Fi, камеру, Bluetooth без ограничений.

Чтобы настроить ограничения использования на устройстве Wi-Fi, камеры и Bluetooth, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В политике, в окне Свойства выберите раздел Управление устройством.
  5. В блоке Ограничения настройте использование модуля Wi-Fi, камеры, Bluetooth:
    • Чтобы выключить модуль Wi-Fi на мобильном устройстве пользователя, установите флажок Запретить использование Wi-Fi.

      На личных устройствах и устройствах с созданным рабочим профилем под управлением Android 10 и выше запрет на использование сетей Wi-Fi не поддерживается.

    • Чтобы выключить камеру на мобильном устройстве пользователя, установите флажок Запретить использование камеры.

      Когда использование камеры запрещено, приложение уведомляет об этом пользователя и сразу же закрывается. На устройствах Asus и OnePlus уведомление выводится на весь экран. Пользователь может нажать на кнопку Закрыть, чтобы завершить работу приложения.

      На устройствах с операционной системой Android 11 и выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае не удастся ограничить использование камеры.

    • Чтобы выключить Bluetooth на мобильном устройстве пользователя, установите флажок Запретить использование Bluetooth.

      На Android 12 или более поздней версии использование Bluetooth может быть отключено, только если пользователь устройства предоставил разрешение Устройства Bluetooth поблизости. Пользователь может предоставить это разрешение во время работы мастера начальной настройки или позже.

      На личных устройствах под управлением Android 13 или выше нельзя отключить использование Bluetooth.

  6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

См. также:

Ограничение функций Android на устройствах

В начало
[Topic 90496]

Настройка ограничений для iOS MDM-устройств

Развернуть всё | Свернуть всё

Для выполнения требований корпоративной безопасности следует настроить ограничения в работе iOS MDM-устройства. Информацию о доступных ограничениях можно получить в контекстной справке плагина управления.

Чтобы настроить ограничения iOS MDM-устройства, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В политике, в окне Свойства выберите раздел Ограничения функций.
  5. В блоке Параметры ограничений функций установите флажок Применить параметры на устройстве.
  6. Настройте ограничения функций iOS MDM-устройства.

    Список ограничений функций

    Отложить обновление операционной системы, в днях (только для supervised, iOS 11.3+)

    Позволяет отложить обновления операционной системы на устройстве.

    Если флажок установлен, пользователь не может получить доступ к обновлениям в течение указанного периода. По умолчанию установлен период 30 дней. Вы можете указать другой период в поле Укажите количество дней от 1 до 90

    Если флажок снят, пользователь может устанавливать обновления, как только они становятся доступны.

    Настройка доступна для мобильных устройств под управлением iOS версии 11 или более поздней, а также iPad OS версии 13.1 или более поздней.

    По умолчанию флажок снят.

    Укажите количество дней от 1 до 90

    Определяет количество дней, на которое будут отложены обновления операционной системы. По умолчанию установлено значение 30 дней.

    Это поле доступно, если установлен флажок Отложить обновление операционной системы, в днях.

    Разрешить использование камеры

    Использование камеры на мобильном устройстве пользователя.

    Если флажок установлен, пользователь может использовать камеру устройства.

    Если флажок снят, на мобильном устройстве пользователя выключена камера. Пользователь не может делать фотографии, снимать видео и использовать приложение FaceTime. На главном экране устройства значок камеры отсутствует.

    По умолчанию флажок установлен.

    Разрешить FaceTime (только для supervised)

    Использование приложения FaceTime на мобильном устройстве пользователя. Флажок доступен, если на устройстве разрешено использование камеры. Параметр доступен, если установлен флажок Разрешить использование камеры.

    Если флажок установлен, пользователь может делать и принимать видеозвонки с помощью FaceTime.

    Если флажок снят, на мобильном устройстве пользователя выключено приложение FaceTime. Пользователь не может делать видеозвонки, а также получать их.

    По умолчанию флажок установлен.

    Разрешить снимки и видеозаписи с экрана

    Возможность сделать снимок экрана или видеозапись с экрана на iOS MDM-устройстве.

    Если флажок установлен, пользователь может делать и сохранять снимки экрана и видеозаписи с экрана на мобильном устройстве.

    Если флажок снят, пользователь не может делать и сохранять снимки экрана и видеозаписи с экрана на мобильном устройстве.

    По умолчанию флажок установлен.

    Разрешить просматривать экраны в "Классе" (только для supervised)

    Возможность для преподавателя просматривать экраны iPad студентов с помощью программы "Класс". Подробнее о программе "Класс" см. на веб-сайте технической поддержки Apple.

    Если флажок установлен, преподаватель может просматривать экраны iPad студентов в программе "Класс".

    Если флажок снят, преподаватель не может просматривать экраны iPad студентов в программе "Класс".

    По умолчанию флажок установлен.

    Разрешить изменять настройки Персональной точки доступа (только для supervised, iOS 12.2+)

    Если флажок установлен, пользователь устройства может изменять настройки Персональной точки доступа.

    Если флажок снят, пользователь устройства не может изменять настройки Персональной точки доступа.

    Настройка доступна для мобильных устройств под управлением iOS версии 12.2 или более поздней, а также iPad OS версии 13.1 или более поздней.

    По умолчанию флажок установлен.

    Разрешить доступ к USB-устройствам в приложении "Файлы" (только для supervised, iOS 13.1+)

    Если флажок установлен, пользователь может получать доступ к USB-устройствам в приложении Файлы.

    Если флажок снят, доступ к подключенным USB-устройствам в приложении Файлы заблокирован.

    Настройка доступна для мобильных устройств под управлением iOS версии 13.1 или более поздней, а также iPad OS версии 13.1 или более поздней.

    По умолчанию флажок установлен.

    Включать режим USB Restricted Mode, когда устройство заблокировано (только для supervised, iOS 11.4.1+)

    Определяет, включен ли режим USB Restricted Mode, когда устройство заблокировано.

    Если флажок установлен, подключение заблокированного устройства к USB-накопителям ограничено с помощью USB Restricted Mode.

    Если флажок снят, устройству разрешено подключаться к USB-накопителям, когда оно заблокировано.

    Настройка доступна для мобильных устройств под управлением iOS версии 11.4.1 или более поздней, а также iPad OS версии 13.1 или более поздней.

    По умолчанию флажок установлен.

    Принудительно включать Wi-Fi (только для supervised, iOS 13.0+)

    Определяет, должен ли Wi-Fi на управляемом устройстве всегда быть включен. Устройство может подключаться к любой сети Wi-Fi.

    Если флажок установлен, Wi-Fi на устройстве всегда включен, даже в авиарежиме. Пользователь не может выключить Wi-Fi в настройках устройства.

    Если флажок снят, пользователь может выключить Wi-Fi в настройках устройства.

    Настройка доступна для мобильных устройств под управлением iOS версии 13.0 или более поздней, а также iPad OS версии 13.1 или более поздней.

    По умолчанию флажок снят.

    Принудительно подключаться только к разрешенным сетям Wi-Fi (только для supervised, iOS 14.5+)

    Определяет, может ли устройство подключаться только к разрешенным сетям Wi-Fi. Эта функция доступна, если хотя бы одна сеть Wi-Fi добавлена в список сетей Wi-Fi в разделе Wi-Fi.

    Если флажок установлен, устройство подключается только к разрешенным сетям Wi-Fi. Пользователь не может выключить Wi-Fi в настройках устройства.

    Если флажок снят, пользователь может подключиться к любой сети Wi-Fi.

    Настройка доступна для мобильных устройств под управлением iOS версии 14.5 или более поздней, а также iPad OS версии 13.1 или более поздней.

    По умолчанию флажок снят.

    Разрешить создавать конфигурации VPN (только для supervised, iOS 11+)

    Если флажок установлен, пользователь может создать конфигурацию VPN на управляемом устройстве.

    Если флажок снят, пользователь не может создать конфигурацию VPN на управляемом устройстве.

    Настройка доступна для мобильных устройств под управлением iOS версии 11 или более поздней, а также iPad OS версии 13.1 или более поздней.

    По умолчанию флажок установлен.

    Разрешить AirDrop (только для supervised)

    Использование функции AirDrop для передачи данных пользователя с iOS MDM-устройства на другие устройства Apple.

    Если флажок установлен, пользователь может использовать AirDrop для передачи данных на другие устройства Apple.

    Если флажок снят, пользователю запрещено передавать данные на другие устройства Apple с помощью AirDrop.

    По умолчанию флажок установлен.

    Разрешить изменение настроек eSIM (только для supervised, iOS 11+)

    Установка или снятие флажка определяет, может ли пользователь устройства изменять настройки, связанные с тарифным планом.

    Ограничение поддерживается на устройствах с iOS версии 11 и выше.

    По умолчанию флажок установлен.

    Разрешить iMessage (только для supervised)

    Использование службы iMessage на мобильном устройстве пользователя.

    Если флажок установлен, пользователь может отправлять и принимать сообщения с помощью службы iMessage.

    Если флажок снят, служба iMessage недоступна на мобильном устройстве. Пользователь не может отправлять и получать сообщения iMessage.

    По умолчанию флажок установлен.

    Разрешить Apple Music (только для supervised)

    Прослушивание музыки на мобильном устройстве пользователя с помощью сервиса Apple Music.

    Если флажок установлен, пользователь может прослушивать музыку на мобильном устройстве в приложении "Музыка".

    Если флажок снят, сервис Apple Music недоступен для пользователя.

    По умолчанию флажок установлен.

    Разрешить радио в Apple Music (только для supervised)

    Прослушивание радио с помощью сервиса Apple Music на мобильном устройстве пользователя.

    Если флажок установлен, пользователь может прослушивать радио в приложении "Музыка" на мобильном устройстве.

    Если флажок снят, прослушивание радио недоступно для пользователя.

    По умолчанию флажок установлен.

    Разрешить изменение настроек Bluetooth (только для supervised, iOS 11+)

    Если флажок установлен, пользователь может изменять настройки Bluetooth на мобильном устройстве.

    Если флажок снят, настройки Bluetooth нельзя изменять на мобильном устройстве.

    Настройка доступна для мобильных устройств под управлением iOS версии 11 или более поздней, а также iPad OS версии 13.1 или более поздней.

    По умолчанию флажок установлен.

    Разрешить использование NFC (только для supervised, iOS 14.2+)

    Если флажок установлен, использование NFC разрешено.

    Если флажок снят, использование NFC запрещено.

    Параметр доступен для мобильных устройств под управлением iOS версии 14.2 и выше.

    По умолчанию флажок установлен.

    Разрешить голосовой набор на заблокированном устройстве

    Использование функции голосового набора на заблокированном мобильном устройстве пользователя.

    Если флажок установлен, пользователь может использовать голосовые команды для набора телефонных номеров на заблокированном мобильном устройстве.

    Если флажок снят, пользователь не может использовать голосовые команды для набора телефонных номеров на заблокированном мобильном устройстве.

    По умолчанию флажок установлен.

    Разрешить использование Siri

    Использование приложения Siri на мобильном устройстве пользователя.

    Если флажок установлен, пользователь может использовать на устройстве голосовые команды приложения Siri.

    Если флажок снят, пользователь не может использовать на устройстве голосовые команды Siri.

    По умолчанию флажок установлен.

    Разрешить фильтр нецензурной лексики (только для supervised)

    Фильтрация нецензурной лексики при использовании приложения Siri на мобильном устройстве пользователя.

    Если флажок установлен, при использовании Siri фильтруется нецензурная лексика.

    Если флажок снят, при использовании Siri нецензурная лексика не фильтруется.

    По умолчанию флажок установлен.

    Разрешить на заблокированном устройстве

    Использование голосовых команд Siri, когда мобильное устройство пользователя заблокировано. На мобильном устройстве пользователя должен быть установлен пароль. Параметр доступен, если установлен флажок Разрешить использование Siri.

    Если флажок установлен, пользователь может использовать голосовые команды Siri на заблокированном мобильном устройстве.

    Если флажок снят, пользователю запрещено использовать голосовые команды Siri на заблокированном устройстве.

    По умолчанию флажок установлен.

    Показывать данные пользователя (только для supervised)

    Добавление персональных данных пользователя в Siri, чтобы использовать их в голосовых командах Siri (например, "напомни позвонить жене, когда приду домой") на iOS MDM-устройстве. Параметр доступен, если установлен флажок Разрешить использование Siri.

    Если флажок установлен, пользователь может заполнить личную карточку в параметрах Siri и использовать эти данные для голосовых команд Siri.

    Если флажок снят, пользователю запрещено добавлять свои персональные данные в Siri.

    По умолчанию флажок установлен.

    Разрешить AirPrint (только для supervised, iOS 11+)

    Установка или снятие флажка определяет, может ли пользователь устройства использовать AirPrint.

    Ограничение поддерживается на устройствах с iOS версии 11 и выше.

    По умолчанию флажок установлен.

    Разрешить хранение учетных данных AirPrint (только для supervised, iOS 11+)

    Установка или снятие флажка определяет, может ли пользователь устройства хранить связку ключей для имени пользователя и пароля для AirPrint.

    Ограничение поддерживается на устройствах с iOS версии 11 и выше.

    По умолчанию флажок установлен.

    Разрешить обнаружение iBeacon для принтеров AirPrint (только для supervised, iOS 11+)

    Установка или снятие флажка определяет, включено ли обнаружение iBeacon для принтеров AirPrint. Отключение обнаружения iBeacon для принтеров AirPrint предотвращает фишинг сетевого трафика ложными маяками AirPrint Bluetooth.

    Ограничение поддерживается на устройствах с iOS версии 11 и выше.

    По умолчанию флажок установлен.

    Принудительно использовать доверенный TLS-сертификат для AirPrint (только для supervised, iOS 11+)

    Установка или снятие флажка определяет необходимость использования доверенного сертификата для передачи данных для печати по протоколу TLS.

    Ограничение поддерживается на устройствах с iOS версии 11 и выше.

    По умолчанию флажок снят.

    Разрешить iBooks Store (только для supervised)

    Доступ в интернет-магазин iBooks Store из приложения iBooks на мобильном устройстве пользователя.

    Если флажок установлен, пользователь может переходить в интернет-магазин iBooks Store из приложения iBooks, установленного на устройстве.

    Если флажок снят, пользователь не может переходить в iBooks Store из приложения iBooks.

    По умолчанию флажок установлен.

    Разрешить устанавливать приложения из Apple Configurator и iTunes (только для supervised)

    Возможность самостоятельно устанавливать приложения на iOS MDM-устройство.

    Если флажок установлен, пользователь может самостоятельно устанавливать или обновлять приложения на мобильном устройстве из App Store с помощью iTunes, Apple Configurator или Kaspersky Device Management для iOS.

    Если флажок снят, пользователь не может устанавливать или обновлять на мобильном устройстве приложения из App Store с помощью iTunes, Apple Configurator или Kaspersky Device Management для iOS. Установка и обновление доступны только для корпоративных приложений. Значок App Store удален с главного экрана iOS MDM-устройства.

    По умолчанию флажок установлен.

    Разрешить устанавливать приложения из App Store (только для supervised)

    Возможность самостоятельно устанавливать приложения на мобильное устройство из App Store. Флажок доступен, если установлен флажок Разрешить устанавливать приложения из Apple Configurator и iTunes.

    Если флажок установлен, пользователь может самостоятельно устанавливать или обновлять приложения из App Store.

    Если флажок снят, пользователь не может устанавливать или обновлять приложения на мобильном устройстве из App Store. Значок App Store удален с главного экрана iOS MDM-устройства.

    По умолчанию флажок установлен.

    Разрешить автоматическую загрузку приложений (только для supervised)

    Использование функции автоматической загрузки приложений на мобильное устройство пользователя. Флажок доступен, если установлены флажки Разрешить устанавливать приложения из Apple Configurator и iTunes и Разрешить устанавливать приложения из App Store.

    Если флажок установлен, пользователю доступна функция автоматической загрузки приложений (Настройки > iTunes и App Store > Программы). После включения этой функции приложения, которые пользователь приобрел в App Store, автоматически загружаются на другие Apple-устройства пользователя.

    Если флажок снят, функция автоматической загрузки приложений выключена и недоступна.

    По умолчанию флажок установлен.

    Разрешить удалять приложения (только для supervised)

    Возможность удаления приложений с мобильного устройства.

    Если флажок установлен, пользователь может удалять с устройства приложения, которые были установлены из App Store или с помощью iTunes.

    Если флажок снят, пользователь не может удалять с мобильного устройства приложения, которые были установлены из App Store или с помощью iTunes.

    По умолчанию флажок установлен.

    Разрешить Встроенные покупки

    Использование системы in-App Purchase на мобильном устройстве.

    Если флажок установлен, пользователь может совершать покупки в приложениях, установленных на мобильном устройстве.

    Если флажок снят, пользователь не может совершать покупки в приложениях, установленных на мобильном устройстве.

    По умолчанию флажок установлен.

    Требовать пароль для каждой покупки в iTunes Store

    Использование пароля ограничений при покупке медиаконтента в iTunes Store.

    Если флажок установлен, перед совершением первой покупки в iTunes Store пользователь должен задать пароль ограничений в параметрах ограничения покупок и в дальнейшем использовать его для предотвращения случайных и несанкционированных покупок. После проверки подлинности учетной записи при совершении покупок не требуется повторно вводить пароль ограничений в течение следующих 15 минут.

    Если флажок снят, перед совершением покупок в iTunes Store пользователю не требуется вводить пароль ограничений.

    По умолчанию флажок снят.

    Разрешить резервное копирование в iCloud

    Автоматическое резервное копирование данных с iOS MDM-устройства в iCloud. В ходе резервного копирования не создаются копии данных, которые уже хранятся в iCloud. Также не создаются копии медиаконтента, который был получен в результате синхронизации устройства с компьютером, а не приобретен в iTunes Store.

    Если флажок установлен, пользователь может сохранять резервные копии данных мобильного устройства в iCloud. Резервные копии данных ежедневно сохраняются в iCloud, когда устройство включено, заблокировано и подключено к источнику питания.

    Если флажок снят, пользователю запрещено сохранять резервные копии данных мобильного устройства в iCloud.

    По умолчанию флажок установлен.

    Разрешить хранение документов и данных в iCloud (только для supervised)

    Автоматическое резервное копирование документов в iCloud. Документы iCloud можно открывать и редактировать на других устройствах, на которых настроена служба iCloud.

    Если флажок установлен, пользователь может сохранять документы в iCloud, открывать и редактировать их на других устройствах в приложениях, поддерживающих работу с iCloud (например, в TextEdit).

    Если флажок снят, пользователю запрещено сохранять документы в iCloud.

    По умолчанию флажок установлен.

    Разрешить Связку ключей iCloud

    Автоматическая синхронизация учетных данных пользователя iOS MDM-устройства с другими Apple-устройствами пользователя. Данные для синхронизации хранятся в Связке ключей iCloud. Данные в Связке ключей iCloud шифруются. Связка ключей iCloud позволяет сохранить в iCloud следующие данные:

    • учетные записи веб-сайтов;
    • номера банковских карт и сроки их действия;
    • пароли от беспроводных сетей.

    Если флажок установлен, пользователь может синхронизировать данные своих учетных записей с другими своими устройствами Apple.

    Если флажок снят, пользователю запрещено использовать Связку ключей iCloud на мобильном устройстве.

    По умолчанию флажок установлен.

    Разрешить управляемым приложениям хранить данные в iCloud

    Создание резервной копии данных управляемых приложений в iCloud. Управляемые приложения – это корпоративные приложения, установленные, настроенные и управляемые с помощью Kaspersky Device Management для iOS

    Если флажок установлен, пользователь может хранить данные управляемых приложений в iCloud.

    Если флажок снят, пользователю недоступно хранение корпоративных данных в iCloud.

    По умолчанию флажок установлен.

    Разрешить резервное копирование корпоративных книг

    Резервное копирование корпоративных книг с помощью iCloud или iTunes. Вы можете предоставить доступ к корпоративным книгам, разместив их на веб-сервере компании.

    Если флажок установлен, пользователю доступно резервное копирование корпоративных книг с помощью iCloud или iTunes.

    Если флажок снят, резервное копирование корпоративных книг невозможно.

    По умолчанию флажок установлен.

    Разрешить синхронизацию примечаний и выделение цветом в корпоративных книгах

    Возможность синхронизировать заметки, закладки, а также выделенный цветом текст в корпоративных книгах с помощью iCloud.

    Если флажок установлен, пользователю доступна функция синхронизации, заметок, закладок и выделений цветом в корпоративных книгах (Настройки > iBooks > Синхр. закладок и заметок). При этом изменения будут доступны на всех Apple-устройствах пользователя с помощью iCloud.

    Если флажок снят, заметки, закладки и выделенный текст будут доступны только на этом мобильном устройстве.

    По умолчанию флажок установлен.

    Разрешить Общий доступ к фото в iCloud

    Использование функции Общий доступ к фото в iCloud на iOS MDM-устройстве для предоставления другим пользователям доступа к фотографиям и видео на сервере iCloud. У других пользователей должна быть настроена функция Общий доступ к фото в iCloud.

    Если флажок установлен, пользователю мобильного устройства доступна функция Общий доступ к фото в iCloud. Пользователи других устройств могут просматривать фотографии и видео пользователя, оставлять комментарии, а также добавлять свои фотографии и видео. Также пользователь может получить доступ к данным других пользователей на сервере iCloud.

    Если флажок снят, пользователю недоступна функция Общий доступ к фото в iCloud. Пользователь не может предоставлять доступ к своим фотографиям и видео на сервере iCloud другим пользователям, а также получить доступ к данным других пользователей на сервере iCloud.

    По умолчанию флажок установлен.

    Разрешить Медиатеку iCloud

    Использование функции Медиатеки iCloud для автоматической отправки сделанных фотографий и видео с iOS MDM-устройства на другие Apple-устройства пользователя.

    Если флажок установлен, пользователю доступна функция Медиатеки iCloud при работе с приложением "Фото".

    Если флажок снят, пользователю недоступна функция Медиатеки iCloud. Фотографии и видео пользователя, сохраненные в Медиатеке iCloud, удаляются с сервера iCloud.

    По умолчанию флажок установлен.

    Разрешить Мой фотопоток (запрет может привести к потере данных)

    Использование функции Мой фотопоток для автоматической отправки сделанных фотографий и видео c iOS MDM-устройства на другие Apple-устройства пользователя. Сделанные фотографии и видео хранятся в папке "Мой фотопоток" на сервере iCloud в течение 30 дней.

    Если флажок установлен, пользователю доступна функция Мой фотопоток при работе с приложениями iPhoto или Aperture.

    Если флажок снят, пользователю недоступна функция Мой фотопоток. Фотографии и видео пользователя, сохраненные в папке "Мой фотопоток", удаляются с сервера iCloud.

    По умолчанию флажок установлен.

    Разрешить автоматическую синхронизацию в роуминге

    Автоматическая синхронизация данных пользователя, когда iOS MDM-устройство находится в роуминге.

    Если флажок установлен, пользователь может включить автоматическую синхронизацию данных в роуминге. Включение автоматической синхронизации в роуминге может привести к непредвиденным расходам на мобильную связь.

    Если флажок снят, пользователю запрещено использовать автоматическую синхронизацию данных в роуминге.

    По умолчанию флажок установлен.

    Включить шифрование резервных копий

    Шифрование резервных копий данных iOS MDM-устройства в программе iTunes на компьютере пользователя.

    Шифрование данных конфигурационной политики Kaspersky Device Management для iOS не выполняется независимо от того, включено шифрование резервной копии данных или нет.

    Если флажок установлен, то при создании резервной копии данных мобильного устройства в приложении iTunes данные шифруются и защищаются паролем. В данном случае пользователь не сможет зашифровать резервные копии данных устройства в приложении iTunes.

    Если флажок снят, пользователь может выбрать использование шифрования резервных копий данных в программе iTunes.

    По умолчанию флажок снят.

    Ограничить трекинг рекламы

    Использование технологии IFA (Identifier for advertisers) для отслеживания открываемых веб-сайтов и запускаемых приложений на iOS MDM-устройстве. IFA позволяет настроить трекинг рекламы на мобильном устройстве в соответствии с интересами пользователя.

    Если флажок установлен, технология IFA выключена на мобильном устройстве пользователя.

    Если флажок снят, технология IFA включена на мобильном устройстве и отслеживает открываемые веб-сайты и запускаемые приложения для показа целевой рекламы.

    По умолчанию флажок снят.

    Разрешить сброс настроек до заводских (только для supervised)

    Возможность удаления всех данных с устройства и сброса настроек до заводских.

    Если флажок установлен, пользователю доступна функция удаления всех данных с устройства и сброса настроек до заводских (Настройки > Основные > Сброс > Стереть контент и настройки).

    Если флажок снят, функция сброса настроек до заводских недоступна.

    По умолчанию флажок установлен.

    Разрешить пользователям использовать недоверенные TLS-сертификаты

    Использование недоверенных TLS-сертификатов для обеспечения зашифрованного канала связи между приложениями на iOS MDM-устройстве (Mail, Контакты, Календарь, Safari) и корпоративными ресурсами.

    Если флажок установлен, пользователь после предупреждения может разрешить использование недоверенного TLS-сертификата.

    Если флажок снят, Kaspersky Device Management для iOS автоматически запрещает использование недоверенных TLS-сертификатов.

    По умолчанию флажок установлен.

    Разрешить автоматическое обновление доверенных сертификатов

    Автоматическое обновление доверенных сертификатов на iOS MDM-устройстве.

    Если флажок установлен, Kaspersky Device Management для iOS автоматически принимает изменения в параметрах доверия сертификата.

    Если флажок снят, изменения в параметрах доверия сертификата автоматически не принимаются. Пользователь после предупреждения может самостоятельно принять изменения в параметрах доверия сертификата.

    По умолчанию флажок установлен.

    Разрешить доверять новым корпоративным разработчикам

    Возможность настроить доверие к корпоративным приложениям на мобильном устройстве. Вы можете разработать корпоративные приложения и распространить их среди сотрудников для внутреннего использования. Для работы с корпоративным приложением пользователь мобильного устройства должен сделать его доверенным. При установке приложений с помощью Kaspersky Device Management для iOS доверие к приложениям устанавливается автоматически.

    Если флажок установлен, пользователь может настраивать доверие к корпоративным приложениям (Настройки > Основные > Профили или Профили и управление устройством).

    Если флажок снят, пользователь не может установить доверие к корпоративным приложениям при установке приложения вручную. Вы можете установить приложения только с помощью Kaspersky Device Management для iOS. Доверие к приложениям будет установлено автоматически.

    По умолчанию флажок установлен.

    Разрешить установку конфигурационных профилей (только для supervised)

    Применение дополнительных конфигурационных профилей кроме политик Kaspersky Security Center на iOS MDM-устройстве.

    Если флажок установлен, пользователь может устанавливать дополнительные конфигурационные профили на мобильное устройство.

    Если флажок снят, пользователь не может устанавливать дополнительные конфигурационные профили кроме политики Kaspersky Security Center на мобильном устройстве.

    По умолчанию флажок установлен.

    Разрешить изменение параметров учетной записи (только для supervised)

    Возможность добавлять на iOS MDM-устройстве новые учетные записи (например, учетные записи электронной почты) и изменять параметры учетных записей.

    Если флажок установлен, пользователь мобильного устройства может добавлять новые учетные записи, а также изменять параметры существующих учетных записей.

    Если флажок снят, пользователю мобильного устройства запрещено добавлять новые учетные записи, а также изменять параметры существующих учетных записей.

    По умолчанию флажок установлен.

    Разрешить изменение параметров сотовой связи (только для supervised)

    Возможность настройки передачи данных приложениями, установленными на мобильном устройстве, по сотовой сети.

    Если флажок установлен, пользователь может настраивать параметры передачи данных по сотовой сети (Настройки > Сотовая связь > Сотовые данные для приложений).

    Если флажок снят, изменение настроек передачи данных приложениями по сотовой сети недоступно.

    По умолчанию флажок установлен.

    Разрешить изменение имени устройства (только для supervised)

    Возможность изменить имя мобильного устройства.

    Если флажок установлен, пользователь может изменить имя мобильного устройства (Настройки > Основные > Об этом устройстве > Имя).

    Если флажок снят, изменение имени устройства недоступно.

    По умолчанию флажок установлен.

    Разрешить использование функции "Найти устройство" в приложении "Локатор" (только для supervised, iOS 13+)

    Установка или снятие флажка определяет, может ли пользователь устройства использовать функцию "Найти устройство" в приложении "Локатор".

    Ограничение поддерживается на устройствах с iOS версии 13 и выше.

    По умолчанию флажок установлен.

    Разрешить использование функции "Найти друзей" в приложении "Локатор" (только для supervised, iOS 13+)

    Установка или снятие флажка определяет, может ли пользователь устройства использовать функцию "Найти друзей" в приложении "Локатор".

    Ограничение поддерживается на устройствах с iOS версии 13 и выше.

    По умолчанию флажок установлен.

    Разрешить изменение параметров функции "Найти друзей" (только для supervised)

    Возможность изменения параметров приложения "Найти друзей" на iOS MDM-устройстве.

    Если флажок установлен, пользователь может изменять параметры приложения "Найти друзей" на iOS MDM-устройстве.

    Если флажок снят, пользователь не может изменять настроенные параметры приложения "Найти друзей" на iOS MDM-устройстве.

    По умолчанию флажок установлен.

    Разрешить изменение параметров уведомлений (только для supervised)

    Возможность настройки отображения уведомлений на мобильном устройстве.

    Если флажок установлен, пользователь может настроить параметры отображения уведомлений на мобильном устройстве (Настройки > Основные > Уведомления).

    Если флажок снят, настройка параметров отображения уведомлений недоступна.

    По умолчанию флажок установлен.

    Разрешить изменение пароля (только для supervised)

    Возможность установки, изменения или удаления пароля разблокировки мобильного устройства.

    Если флажок установлен, пользователь может установить, изменить или удалить пароль для разблокировки мобильного устройства (Настройки > Пароль).

    Если флажок снят, управление паролем разблокировки устройства недоступно.

    По умолчанию флажок установлен.

    Разрешить изменение Touch ID и Face ID (только для supervised)

    Возможность добавления и удаления отпечатков Touch ID или данных Face ID. Параметр доступен, если установлен флажок Разрешить изменение пароля.

    Управление Face ID доступно на устройствах под управлением операционной системы iOS версии 11.0 и выше.

    Если флажок установлен, пользователь может добавлять и удалять отпечатки Touch ID или данные Face ID (Настройки > Touch ID и код-пароль / Face ID и код-пароль > Отпечатки).

    Если флажок снят, управление отпечатками Touch ID и данными Face ID недоступно.

    Ограничение невозможно применить на iPad-устройствах.

    По умолчанию флажок установлен.

    Разрешить изменение ограничений (только для supervised)

    Возможность настройки параметров ограничений на мобильном устройстве. Ограничения на мобильном устройстве могут быть использованы пользователем для выполнения функций родительского контроля. Пользователь может ограничить функции устройства (например, запретить использование камеры), доступ к медиаконтенту (например, установить возрастные ограничения на просмотр фильмов), работу приложений (например, запретить использование iTunes Store) и настроить другие ограничения.

    Если флажок установлен, пользователь может настроить параметры ограничений на мобильном устройстве (Настройки > Основные > Ограничения).

    Если флажок снят, настройка параметров ограничения на мобильном устройстве недоступна.

    По умолчанию флажок установлен.

    Разрешить изменение обоев (только для supervised)

    Возможность выбрать изображение, которое будет отображаться на экране блокировки, экране "Домой".

    Если флажок установлен, пользователь может выбрать обои для мобильного устройства.

    Если флажок снят, выбор обоев недоступен.

    По умолчанию флажок установлен.

    Разрешить сторонние соединения (только для supervised)

    Защита iOS MDM-устройства от сторонних соединений. Стороннее соединение – это соединение с другими устройствами, а также синхронизация с сервисами Apple, например, с iTunes.

    Если флажок установлен, пользователь может синхронизировать iOS MDM-устройство с другими устройствами, а также с сервисами Apple.

    Если флажок снят, Kaspersky Device Management для iOS блокирует сторонние соединения на мобильном устройстве пользователя.

    По умолчанию флажок установлен.

    Разрешить передачу документов из управляемых в неуправляемые приложения

    Возможность открывать в неуправляемых (личных) приложениях на iOS MDM-устройстве документы, созданные с использованием управляемых (корпоративных) приложений и учетных записей. Управляемые приложения – это корпоративные приложения, установленные, настроенные и управляемые с помощью Kaspersky Device Management для iOS Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

    Если флажок установлен, пользователь может открывать в неуправляемых приложениях документы, созданные в управляемых приложениях.

    Если флажок снят, пользователю запрещено открывать документы, созданные в управляемых приложениях, в неуправляемых приложениях. Например, параметр позволяет предотвратить открытие конфиденциального почтового вложения из управляемой учетной записи электронной почты в личных приложения пользователя.

    По умолчанию флажок установлен.

    Разрешить передачу документов из неуправляемых в управляемые приложения

    Возможность открывать в управляемых (корпоративных) приложениях на iOS MDM-устройстве документы, созданные с использованием неуправляемых (личных) приложений и учетных записей пользователя. Управляемые приложения – это корпоративные приложения, установленные, настроенные и управляемые с помощью Kaspersky Device Management для iOS Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

    Если флажок установлен, пользователь может открывать в управляемых приложениях документы, созданные в неуправляемых приложениях.

    Если флажок снят, пользователю запрещено открывать в управляемых приложениях документы, созданные в неуправляемых приложениях. Например, параметр позволяет предотвратить открытие документа из личной учетной записи iCloud в корпоративном приложении.

    По умолчанию флажок установлен.

    Считать AirDrop неуправляемым приложением

    Использование AirDrop в качестве неуправляемого приложения для передачи данных с мобильного устройства на другие устройства Apple. Для работы этого ограничения необходимо снять флажок Разрешить передачу документов из управляемых в неуправляемые приложения. Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

    Если флажок установлен, AirDrop считается неуправляемым приложением.

    Если флажок снят, AirDrop считается управляемым приложением.

    По умолчанию флажок установлен.

    Разрешить Handoff

    Использование функции Handoff на мобильном устройстве пользователя. Handoff позволяет начать работу с данными на одном Apple-устройстве, а затем переключиться на другое Apple-устройство и продолжить работу.

    Если флажок установлен, пользователю доступна функция Handoff.

    Если флажок снят, функция Handoff недоступна.

    По умолчанию флажок установлен.

    Разрешить предложения Spotlight (только для supervised)

    Использование предложений Spotlight для работы функции "Поиск" на мобильном устройстве пользователя. Spotlight позволяет показывать результаты поиска из интернета, iTunes Store, App Store и других источников при использовании функции "Поиск". При использовании предложений Spotlight поисковые запросы и связанные с ними данные пользователя отправляются в компанию Apple.

    Если флажок установлен, пользователь может разрешить добавить предложения Spotlight в функцию "Поиск" (Настройки > Основные > Поиск Spotlight > Предложения Spotlight).

    Если флажок снят, предложения Spotlight недоступны. Пользовательские данные не отправляются в компанию Apple.

    Ограничение невозможно применить на iPadOS-устройствах.

    По умолчанию флажок установлен.

    Разрешить отправлять в Apple диагностические и персональные данные

    Автоматическое получение диагностической информации и сведений об использовании iOS MDM-устройства и отправка отчета с этими данными в компанию Apple для анализа.

    Если флажок установлен, пользователь после предупреждения может разрешить отправку отчетов с диагностической информацией и сведений об использовании мобильного устройства в компанию Apple.

    Если флажок снят, Kaspersky Device Management для iOS блокирует отправку отчетов с диагностической информацией и сведениями об использовании мобильного устройства в компанию Apple.

    По умолчанию флажок установлен.

    Разрешить изменение параметров отправки диагностических данных (только для supervised)

    Автоматическое получение диагностической информации и сведений об использовании iOS MDM-устройства и отправка отчета с этими данными в компанию Apple для анализа. Параметр доступен, если установлен флажок Разрешить отправлять в Apple диагностические и персональные данные.

    Если флажок установлен, пользователь может настроить отправку отчетов с диагностической информацией и сведений об использовании мобильного устройства в компанию Apple (Настройки > Конфиденциальность > Диагностика и использование).

    Если флажок снят, настройка параметров отправки отчетов с диагностической информацией недоступна.

    По умолчанию флажок установлен.

    Разрешить Touch ID и Face ID для разблокировки устройства

    Технологии Touch ID и Face ID позволяют использовать отпечаток пальца или распознавание лица как пароль для разблокировки iOS MDM-устройства. Touch ID и Face ID также можно использовать для авторизации покупок с помощью Apple Pay, iTunes Store, App Store, iBooks Store и выполнения входа в приложения.

    Управление Face ID доступно на устройствах под управлением операционной системы iOS версии 11.0 и выше.

    Если флажок установлен, пользователь может использовать отпечаток пальца или распознавание лица вместо пароля для разблокировки мобильного устройства.

    Если флажок снят, пользователь не может использовать технологии Touch ID и Face ID для разблокирования мобильного устройства.

    По умолчанию флажок установлен.

    Включить распознавание запястья для Apple Watch

    Автоматическое блокирование Apple Watch, когда пользователь снимает часы с руки.

    Если флажок установлен, Apple Watch блокируются, когда пользователь снимает часы с руки (Apple Watch > Мои часы > Основные > Распознавание запястья). Для разблокирования пользователь должен ввести пароль на своем мобильном устройстве.

    Если флажок снят, блокировка Apple Watch после снятия с руки недоступно.

    По умолчанию флажок установлен.

    Разрешить создавать пару с Apple Watch (только для supervised)

    Создание пары Apple Watch и контролируемого мобильного устройства.

    Если флажок установлен, пользователь контролируемого мобильного устройства может создать пару с Apple Watch.

    Если флажок снят, создание пары с Apple Watch недоступно.

    По умолчанию флажок установлен.

    Требовать пароль при первом подключении по AirPlay

    Использование пароля при подключении iOS MDM-устройства к устройствам, совместимым с AirPlay. Пароль применяется для безопасной передачи медиаконтента.

    Если флажок установлен, перед первым подключением мобильного устройства к устройствам, совместимым с AirPlay, пользователь должен задать пароль в параметрах безопасности AirPlay и в дальнейшем использовать его.

    Если флажок снят, пользователь самостоятельно принимает решение об использовании пароля при подключении мобильного устройства к устройствам, совместимым с AirPlay.

    По умолчанию флажок снят.

    Разрешить предиктивную клавиатуру (только для supervised)

    Использование функции предиктивного набора текста. Функция предиктивного набора текста показывает варианты окончания слов и предложений на основе имеющихся словарей.

    Если флажок установлен, пользователь может включить и использовать функцию предиктивного набора текста (Настройки > Основные > Клавиатура > Предиктивный набор).

    Если флажок снят, функция предиктивного набора текста недоступна. При наборе текста подсказки не отображаются.

    По умолчанию флажок установлен.

    Разрешить сочетания клавиш (только для supervised)

    Использование сочетаний клавиш для быстрого доступа к функциям мобильного устройства.

    Если флажок установлен, пользователь может включить функцию сочетания клавиш и использовать ее при работе с мобильным устройством (Настройки > Основные > Универсальный доступ > Сочетание клавиш).

    Если флажок снят, функция сочетания клавиш недоступна.

    По умолчанию флажок установлен.

    Разрешить автокоррекцию (только для supervised)

    Использование функции автокоррекции при наборе текста.

    Если флажок установлен, пользователь может включить и использовать функцию автокоррекции (Настройки > Основные > Клавиатура > Автокоррекция).

    Если флажок снят, при наборе текста автокоррекция недоступна.

    По умолчанию флажок установлен.

    Разрешить проверку правописания (только для supervised)

    Использование функции правописания при наборе текста на мобильном устройстве. Проверка правописания подчеркивает неправильно введенные слова и предлагает варианты замены.

    Если флажок установлен, пользователь может включить и использовать функцию правописания (Настройки > Основные > Клавиатура > Правописание).

    Если флажок снят, при наборе текста проверка правописания недоступна.

    По умолчанию флажок установлен.

    Разрешить поиск слова в словаре (только для supervised)

    Получение определения слова в словаре на мобильном устройстве. Словарь является функцией только программной клавиатуры.

    Если флажок установлен, пользователь может выделить любое слово на экране мобильного устройства и получить его определение.

    Если флажок снят, поиск слова в словаре недоступен.

    По умолчанию флажок установлен.

    Разрешить Wallet показывать уведомления на заблокированном экране

    Использование уведомлений приложения Wallet на экране блокировки iOS MDM-устройства.

    Если флажок установлен, на экране блокировки мобильного устройства отображаются уведомления Wallet.

    Если флажок снят, на экране блокировки мобильного устройства не отображаются уведомления Wallet. Для работы с Wallet пользователь должен разблокировать устройство.

    По умолчанию флажок установлен.

    Показывать Пункт управления на заблокированном экране

    Возможность перейти в Пункт управления iOS MDM-устройством, когда устройство заблокировано.

    Если флажок установлен, пользователь может перейти в Пункт управления, смахнув экран блокировки вверх.

    Если флажок снят, пользователь не может перейти в Пункт управления, когда мобильное устройство заблокировано.

    По умолчанию флажок установлен.

    Показывать Центр уведомлений на заблокированном экране

    Возможность перейти в Центр уведомлений iOS MDM-устройства, когда устройство заблокировано.

    Если флажок установлен, пользователь может перейти в Центр уведомлений, смахнув экран блокировки вниз.

    Если флажок снят, пользователь не может перейти в Центр уведомлений, когда мобильное устройство заблокировано.

    По умолчанию флажок установлен.

    Показывать "Сегодня" на заблокированном экране

    Отображение сведений из раздела "Сегодня" Центра уведомлений на заблокированном iOS MDM-устройстве. В разделе "Сегодня" Центра уведомлений отображаются следующие сведения:

    • запланированные события в календаре;
    • напоминания;
    • акции;
    • погода.

    Если флажок установлен, пользователь может просматривать уведомления из раздела "Сегодня" в Центре уведомлений на заблокированном мобильном устройстве.

    Если флажок снят, раздел "Сегодня" не отображается на заблокированном мобильном устройстве.

    По умолчанию флажок установлен.

  7. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
  8. Выберите раздел Ограничения приложений.
  9. В блоке Параметры ограничений приложений установите флажок Применить параметры на устройстве.
  10. Настройте ограничения для приложений на iOS MDM-устройстве.
  11. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.
  12. Выберите раздел Ограничения медиаконтента.
  13. В блоке Параметры ограничения медиаконтента установите флажок Применить параметры на устройстве.
  14. Настройте ограничения для медиаконтента на iOS MDM-устройстве.
  15. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве пользователя после применения политики будет настроены ограничения функций, приложений и медиаконтента.

В начало
[Topic 88187]

Настройка доступа пользователей к веб-сайтам

В этом разделе содержатся инструкции по настройке доступа к веб-сайтам на Android- и iOS-устройствах.

В этом разделе

Настройка доступа к веб-сайтам на Android-устройствах

Настройка доступа к веб-сайтам на iOS MDM-устройствах

В начало
[Topic 136563]

Настройка доступа к веб-сайтам на Android-устройствах

Вы можете настраивать доступ пользователей Android-устройств к веб-сайтам с помощью Веб-Фильтра. Веб-Фильтр поддерживает фильтрацию веб-сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Фильтрация позволяет вам ограничить доступ пользователей к отдельным веб-сайтам или категориям веб-сайтов (например, к веб-сайтам из категории "Азартные игры, лотереи, тотализаторы" или "Общение в сети"). Веб-Фильтр также защищает персональные данные пользователей в интернете.

Для работы Веб-Фильтра необходимо выполнение следующих условий:

  • Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) должно быть принято. Kaspersky Endpoint Security использует Kaspersky Security Network (KSN) для проверки веб-сайтов. Положение о Веб-Фильтре содержит условия обмена данными с KSN.

    Вы можете принять Положение о Веб-Фильтре в Kaspersky Security Center. В этом случае пользователю не потребуется выполнять никаких действий.

    Если вы не приняли Положение о Веб-Фильтре и направили пользователю запрос на принятие Положения, пользователь должен прочитать и принять Положение о Веб-Фильтре в настройках приложения.

    Если вы не приняли Положение о Веб-Фильтре, Веб-Фильтр будет недоступен.

Веб-Фильтр на Android-устройствах поддерживается только браузерами Google Chrome, HUAWEI Browser, Samsung Internet и Яндекс Браузер.

Если приложение Kaspersky Endpoint Security для Android в режиме device owner не установлено в качестве службы Специальных возможностей, Веб-Фильтр поддерживается только браузером Google Chrome и проверяет только домен сайта. Чтобы Веб-Фильтр поддерживался другими браузерами (Samsung Internet Browser, Яндекс Браузер и HUAWEI Browser), приложение Kaspersky Endpoint Security должно быть включено в качестве службы Специальных возможностей. Это также позволит использовать функцию Custom Tabs.

Функция Custom Tabs поддерживается браузерами Google Chrome, HUAWEI Browser и Samsung Internet Browser.

В браузерах HUAWEI Browser, Samsung Internet Browser и Яндекс Браузер Веб-Фильтр не блокирует сайты на мобильном устройстве, если используется рабочий профиль и установлен флажок Включить Веб-Фильтр только в рабочем профиле.

По умолчанию Веб-Фильтр включен: ограничен доступ пользователя к веб-сайтам категорий Фишинг и Вредоносное программное обеспечение. На устройствах в режиме device owner, управляемых приложением Kaspersky Endpoint Security для Android, Веб-Фильтр поддерживается только браузером Google Chrome и проверяет только домен сайта. Чтобы Веб-Фильтр поддерживался другими браузерами (Samsung Internet Browser, Яндекс Браузер и HUAWEI Browser), приложение Kaspersky Endpoint Security должно быть включено в качестве службы Специальных возможностей.

Чтобы настроить доступ пользователя устройства к веб-сайтам, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В политике, в окне Свойства выберите раздел Веб-Фильтр.
  5. Для использования Веб-Фильтра вам или пользователю устройства необходимо прочитать Положение об обработке данных в целях использования Веб-Фильтра (Положение о Веб-Фильтре) и принять его условия. Для этого:
    1. Нажмите на ссылку Положение о Веб-Фильтре в верхней части раздела.

      Откроется окно Положение об обработке данных в целях использования Веб-Фильтра.

    2. Прочитайте Политику конфиденциальности и примите ее условия, установив соответствующий флажок. Для того чтобы ознакомиться с Политикой конфиденциальности, необходимо перейти по ссылке Политика конфиденциальности.

      Если вы не принимаете Политику конфиденциальности, пользователь мобильного устройства может принять Политику конфиденциальности в мастере первоначальной настройки или в приложении (ks4android_settings_buttonО приложенииПравовая информацияПолитика конфиденциальности).

    3. Укажите, принимаете ли вы Положение о Веб-Фильтре:
      • Я прочитал и принимаю Положение о Веб-Фильтре
      • Запросить принятие Положения о Веб-Фильтре у пользователя устройства
      • Я не принимаю Положение о Веб-Фильтре

        Если вы выбрали вариант Я не принимаю Положение о Веб-Фильтре, Веб-Фильтр не будет блокировать сайты на мобильном устройстве. Пользователь мобильного устройства не сможет включить Веб-Фильтр в Kaspersky Endpoint Security.

    4. Нажмите на кнопку OK, чтобы закрыть окно.

    Скриншот окна Положение об обработке данных в целях использования Веб-Фильтра. Пользователь может принять, запросить принятие у пользователя устройства или отклонить условия Положения о Веб-Фильтре.

    Шаг 5. Примите условия Положения об обработке данных в целях использования Веб-Фильтра.

  6. Установите флажок Включить Веб-Фильтр.
  7. Если вы хотите, чтобы приложение проверяло полный веб-адрес при открытии сайта в Custom Tabs, установите флажок Проверять полный веб-адрес при использовании Custom Tabs.

    Custom Tabs – это встроенный браузер, в котором можно просматривать веб-страницы, не покидая приложение и не переходя в полную версию браузера. Этот параметр повышает надежность обнаружения веб-адреса и его проверки по заданным правилам Веб-Фильтра. Если флажок установлен, Kaspersky Endpoint Security для Android открывает сайт в полной версии браузера и проверяет полный веб-адрес сайта. Если флажок снят, Kaspersky Endpoint Security для Android проверяет только домен сайта в Custom Tabs.

  8. Выберите один из следующих вариантов:
    • Если вы хотите, чтобы приложение ограничивало доступ пользователя к веб-сайтам в зависимости от их содержания, выполните следующие действия:
      1. В разделе Веб-Фильтр в раскрывающемся списке выберите пункт Запрещены веб-сайты выбранных категорий.
      2. Сформируйте список запрещенных категорий, установив флажки для категорий веб-сайтов, доступ к которым приложение будет блокировать.

    Скриншот раздела Веб-Фильтр. Установите флажки напротив категорий веб-сайтов, доступ к которым необходимо заблокировать.

    Шаг 8. Раздел Веб-Фильтр. Выберите категории веб-сайтов, доступ к которым необходимо заблокировать.

    • Если вы хотите, чтобы приложение разрешало или ограничивало доступ пользователя только к веб-сайтам, указанным администратором, выполните следующие действия:
      1. В разделе Веб-Фильтр в раскрывающемся списке выберите пункт Разрешены только перечисленные веб-сайты или Запрещены только перечисленные веб-сайты.

        Если Kaspersky Endpoint Security для Android не установлен в качестве службы Специальных возможностей, то Веб-Фильтр может блокировать разрешенный сайт при подгрузке на него элементов с сайта, домен которого не добавлен в список разрешенных.

      2. Сформируйте список веб-сайтов, добавив адреса веб-сайтов, к которым приложение будет разрешать или ограничивать доступ (в зависимости от значения, выбранного в раскрывающемся списке). Вы можете добавить веб-сайты, используя ссылку (полный URL, включая протокол, например, https://example.com).

        Чтобы гарантировать, что приложение разрешает или ограничивает доступ к веб-сайту во всех поддерживаемых версиях Google Chrome, HUAWEI Browser, Samsung Internet Browser и Yandex Browser, добавьте один и тот же URL дважды: один раз – с указанием протокола HTTP (например, https://example.com), а другой раз – с указанием протокола HTTPS (например, https://example.com).

        Например:

        • https://example.com — Главная страница веб-сайта разрешена или заблокирована. Этот URL доступен только при использовании протокола HTTPS.
        • http://example.com— Главная страница веб-сайта разрешена или заблокирована, но только при использовании протокола HTTP. Это не относится к протоколу HTTPS и другим.
        • https://example.com/page/index.html — только страница index.html разрешена или заблокирована. Это не относится к остальным страницам веб-сайта.

        Приложение также поддерживает регулярные выражения. При вводе адреса разрешенного или заблокированного веб-сайта используйте следующие шаблоны:

        • https://example\.com/.* — этот шаблон блокирует или разрешает все дочерние страницы сайта, доступные при использовании протокола HTTPS (например, https://example.com/about).
        • https?://example\.com/.*— этот шаблон блокирует или разрешает все дочерние страницы веб-сайта, доступные при использовании протоколов HTTP и HTTPS.
        • https?://.*\.example\.com— этот шаблон блокирует или разрешает страницы всех субдоменов веб-сайта (например, https://pictures.example.com).
        • https?://example\.com/[abc]/.*— этот шаблон блокирует или разрешает все дочерние страницы веб-сайта, URL-путь которых начинается с буквы "a", "b" или "c" в качестве первого каталога (например, https://example.com/b/about).
        • https?://\w{3,5}.example\.com/.*— этот шаблон блокирует или разрешает все дочерние страницы веб-сайта, у которых субдомен содержит от 3 до 5 букв (например, http://abde.example.com/about).

        Используйте выражение https?, чтобы выбрать оба протокола — HTTP и HTTPS. Подробнее о регулярных выражениях см. на сайте Службы технической поддержки Oracle.

    Скриншот раздела Веб-Фильтр: в раскрывающемся списке выбран параметр "Разрешить только перечисленные веб-сайты". Вы можете добавить в список адреса веб-сайтов, к которым необходимо разрешить доступ.

    Шаг 9. Раздел Веб-Фильтр. Укажите список веб-сайтов, к которым необходимо разрешить доступ.

    • Если вы хотите, чтобы приложение ограничивало доступ пользователя к любым веб-сайтам, в разделе Веб-Фильтр в раскрывающемся списке выберите элемент Запрещены все веб-сайты.
  9. Если вы хотите снять ограничение на доступ пользователя устройства к веб-сайтам в зависимости от их содержимого, снимите флажок Включить Веб-Фильтр.
  10. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Управление списком веб-сайтов

Для управления списком веб-сайтов используются следующие кнопки:

  • Добавить – добавляет в список веб-сайт, заданный по URL-адресу или с помощью регулярного выражения.
  • Импортировать – добавляет в список несколько веб-сайтов из файла TXT, который содержит необходимые URL-адреса или регулярные выражения. Файл должен быть закодирован в кодировке UTF-8. URL-адреса или регулярные выражения в файле должны быть разделены точкой с запятой или разрывом строки.
  • Редактировать – позволяет изменить адрес веб-сайта.
  • Удалить – удаляет веб-сайт из списка. Чтобы удалить несколько веб-сайтов из списка, выберите их с помощью горячих клавиш CTRL + A, CTRL + нажатие левой клавиши мыши или SHIFT + нажатие левой клавиши мыши и нажмите Удалить.
В начало
[Topic 89905]

Настройка доступа к веб-сайтам на iOS MDM-устройствах

Настройка параметров Веб-Фильтра позволяет контролировать доступ пользователей iOS MDM-устройств к веб-сайтам. Веб-Фильтр контролирует доступ пользователей к веб-сайтам на основе списков разрешенных и запрещенных веб-сайтов. Также Веб-Фильтр позволяет добавлять закладки веб-сайтов на панель закладок Safari.

По умолчанию доступ к веб-сайтам не ограничен.

Если веб-адрес переадресовывается на другую страницу, Веб-Фильтр проверяет только конечную страницу.

Настройка Веб-Фильтра доступна только для устройств в режиме supervised.

Чтобы настроить доступ к веб-сайтам на iOS MDM-устройстве, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В политике, в окне Свойства выберите раздел Веб-Фильтр.
  5. В блоке Параметры Веб-Фильтра установите флажок Применить параметры на устройстве.
  6. Чтобы блокировать доступ к запрещенным веб-сайтам и разрешить доступ к разрешенным веб-сайтам, выполните следующие действия:
    1. В раскрывающемся списке Режим фильтрации веб-сайтов выберите режим Ограничить содержание "для взрослых".
    2. В блоке Разрешенные веб-сайты сформируйте список разрешенных веб-сайтов.

      Адрес веб-сайта должен начинаться с "http://" или "https://". Kaspersky Device Management для iOS предоставляет доступ ко всем веб-сайтам домена. Например, если вы добавили в список разрешенных веб-сайтов http://www.example.com, доступ разрешен к http://pictures.example.com и http://example.com/movies. Если список разрешенных веб-сайтов пуст, приложение разрешает доступ ко всем веб-сайтам, кроме указанных в списке запрещенных.

    3. В блоке Запрещенные веб-сайты сформируйте список запрещенных веб-сайтов.

      Адрес веб-сайта должен начинаться с "http://" или "https://". Kaspersky Device Management для iOS запрещает доступ ко всем веб-сайтам домена.

  7. Чтобы блокировать доступ ко всем веб-сайтам, кроме разрешенных веб-сайтов из списка закладок, выполните следующие действия:
    1. В раскрывающемся списке Режим фильтрации веб-сайтов выберите режим Разрешить веб-сайты только из списка закладок.
    2. В блоке Закладки сформируйте список закладок разрешенных веб-сайтов.

      Адрес веб-сайта должен начинаться с "http://" или "https://". Kaspersky Device Management для iOS предоставляет доступ ко всем веб-сайтам домена. Если список закладок пуст, приложение разрешает доступ ко всем веб-сайтам. Kaspersky Device Management для iOS добавляет веб-сайты из списка закладок на панель закладок Safari на мобильном устройстве пользователя.

  8. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

В результате на мобильном устройстве пользователя после применения политики будет настроена фильтрация веб-сайтов в соответствии с выбранным режимом и сформированными списками.

В начало
[Topic 88661]

Контроль соответствия

В этом разделе приведены инструкции по контролю соблюдения корпоративных требований на устройствах и настройке правил контроля соответствия.

В этом разделе

Контроль соответствия Android-устройств требованиям корпоративной безопасности

Контроль соответствия iOS MDM-устройств требованиям корпоративной безопасности

В начало
[Topic 254072]

Контроль соответствия Android-устройств требованиям корпоративной безопасности

Вы можете контролировать Android-устройства на соответствие требованиям корпоративной безопасности. Требования корпоративной безопасности регламентируют работу пользователя с устройством. Например, на устройстве должна быть включена постоянная защита, базы вредоносного ПО должны быть актуальны, пароль устройства должен быть достаточно сложным. Контроль соответствия работает на основе списка правил. Правило соответствия состоит из следующих компонентов:

  • критерий проверки устройства (например, отсутствие на устройстве запрещенных приложений);
  • время, выделенное пользователю устройства для устранения несоответствия (например, 24 часа);
  • действия, которые будут выполнены с устройством, если пользователь не устранит несоответствие в течение указанного времени (например, блокирование устройства).

    Если устройство находится в режиме энергосбережения, приложение может выполнить эту задачу позже, чем указано. Для своевременного реагирования KES-устройств под управлением Android на команды администратора, следует включить использование сервиса Firebase Cloud Messaging.

Чтобы сформировать правило проверки устройств на соответствие групповой политике, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В политике, в окне Свойства выберите раздел Контроль соответствия.
  5. Чтобы получать уведомления об устройствах, не соответствующих политике, в разделе Уведомления о несоответствии установите флажок Уведомлять администратора.

    Если устройство не соответствует политике, при синхронизации устройства с Сервером администрирования Kaspersky Endpoint Security для Android сформирует запись в журнале событий Обнаружено несоответствие: <название критерия для проверки>. Журнал событий можно просмотреть на закладке События в свойствах Сервера администрирования или в локальных свойствах программы.

  6. Чтобы уведомлять пользователя устройства о том, что его устройство не соответствует политике, в разделе Уведомления о несоответствии установите флажок Уведомлять пользователя.

    Если устройство не соответствует политике, при синхронизации устройства с Сервером администрирования Kaspersky Endpoint Security для Android уведомляет пользователя об этом.

  7. В разделе Правила контроля соответствия сформируйте список правил проверки устройства на соответствие политике.
  8. Чтобы добавить новое правило, нажмите на кнопку Добавить.

    Запустится мастер создания правила соответствия. Пройдите все шаги мастера, нажимая на кнопку Далее.

  9. Выберите критерий несоответствия правилу.

    Доступны следующие критерии:

    • Постоянная защита выключена.

      Проверяет, было ли приложение установлено или запущено на устройстве.

    • Базы вредоносного ПО устарели.

      Проверяет, обновлялись ли базы вредоносного ПО 3 и более дней назад.

    • Установлены запрещенные приложения.

      Проверяет, содержит ли список приложений на устройстве приложения, запрещенные в Контроле приложений.

    • Установлены приложения запрещенных категорий.

      Проверяет, содержит ли список приложений на устройстве приложения из категорий, запрещенных в Контроле приложений.

    • Не установлены все обязательные приложения.

      Проверяет, содержит ли список приложений на устройстве приложение, установленное в качестве обязательного в Контроле приложений.

    • Версия операционной системы устарела.

      Проверяет соответствие версии Android на устройстве заданному диапазону разрешенных версий.

      Для этого критерия укажите минимальную и максимальную разрешенные версии Android. Если в качестве максимальной разрешенной версии выбрано значение Любая, это означает, что будущие версии Android, поддерживаемые Kaspersky Endpoint Security для Android, будут также разрешены.

    • Устройство давно не синхронизировалось.

      Проверяет, как давно устройство синхронизировалось с Сервером администрирования последний раз.

      Для этого критерия укажите максимальный период с момента последней синхронизации.

    • На устройстве получены root-права.

      Проверяет, взломано ли устройство (получены ли на устройстве права суперпользователя).

    • Пароль разблокировки экрана не соответствует требованиям безопасности.

      Проверяет, соответствует ли пароль разблокировки устройства параметрам, заданным в политике в разделе Управление устройством.

    • Установлена неактуальная версия Kaspersky Endpoint Security для Android.

      Проверяет актуальность версии приложения на устройстве.

      Критерий применяется, только если приложение установлено с помощью инсталляционного пакета Kaspersky Endpoint Security для Android и если в блоке Обновление Kaspersky Endpoint Security для Android раздела Дополнительно свойств политики выбрана актуальная версия приложения.

      Для этого критерия также укажите минимальную разрешенную версию Kaspersky Endpoint Security для Android.

    • Использование SIM-карты не соответствует корпоративным требованиям.

      Проверяет, была ли SIM-карта устройства заменена, вставлена или извлечена относительно предыдущего состояния проверки.

      Вы также можете включить проверку установки дополнительной SIM-карты.

      В некоторых случаях проверяется также замена, установка и извлечение eSIM-карты.

    • Устройство находится в пределах или за пределами установленных геозон

      Указание геозоны приведет к увеличению энергопотребления устройства.

      Для этого критерия выберите требование, при нарушении которого нужно выполнить действие:

      • Устройство находится в пределах любой геозоны из списка (геозоны объединяются с помощью логического оператора "ИЛИ").
      • Устройство находится за пределами всех геозон из списка (геозоны объединяются с помощью логического оператора "И").

      В блоке Список геозон вы можете добавлять, редактировать или удалять геозоны.

      Чтобы добавить новую геозону:

      1. Нажмите на кнопку Добавить.

        Открывает окно Добавить геозону.

      2. Укажите Название геозоны.
      3. В разделе Координаты периметра геозоны укажите широту и долготу для каждой точки.

        Если вы хотите добавить более 3 точек, нажмите на кнопку Добавить точку. Чтобы удалить дополнительную точку, нажмите на кнопку X.

        Для каждой геозоны можно вручную задать от 3 до 100 пар координат (широта, долгота) в формате десятичных чисел.

        Периметр геозоны не должен содержать пересекающиеся прямые.

      4. Вы можете просмотреть указанную геозону в программе "Яндекс Карты", нажав на кнопку Посмотреть на карте.
      5. Нажмите на кнопку Добавить, чтобы добавить указанную геозону.

        Новая геозона отобразится в списке.

      Чтобы отредактировать геозону:

      1. Выберите геозону, которую вы хотите отредактировать, и нажмите на кнопку Изменить.
      2. Укажите новые параметры геозоны, как описано выше в этом разделе.
      3. Нажмите на кнопку Добавить.

        Отредактированная геозона отобразится в списке.

      Чтобы удалить геозону:

      1. Выберите геозону, которую вы хотите удалить, и нажмите на кнопку Удалить.

        Геозона исчезнет из списка.

    • У Kaspersky Endpoint Security для Android нет доступа к точному или фоновому местоположению

      Проверяет наличие у приложения Kaspersky Endpoint Security для Android разрешения определять точное местоположение устройства или использовать данные о местоположении в фоновом режиме.

  10. Выберите действия, которые будут выполняться при обнаружении указанного критерия несоответствия. Вы можете добавить несколько критериев. Их можно объединить с помощью логического оператора "И".

    Некоторые действия Контроля соответствия являются длительными. Длительные действия применяются до выполнения одного из следующих условий:

    • Критерий несоответствия правилу перестал действовать.
    • Применена политика, в которой удалено соответствующее правило Контроля соответствия.

    Доступны следующие действия:

    • Блокировка всех приложений, кроме системных

      Запуск всех приложений, кроме системных, на мобильном устройстве пользователя заблокирован.

      Как только критерий несоответствия правилу перестанет обнаруживаться на устройстве, приложения автоматически разблокируются.

    • Заблокировать устройство

      Мобильное устройство заблокировано. Для получения доступа к данным необходимо разблокировать устройство. Если после разблокирования устройства причина блокировки не устранена, устройство будет заблокировано снова через указанный период.

    • Удалить корпоративные данные

      Корпоративные данные удалены с устройства. Перечень удаленных данных зависит от режима работы устройства.

      • На личном устройстве удалены KNOX-контейнер и почтовый сертификат.
      • Если устройство работает в режиме device owner, удалены KNOX-контейнер и сертификаты, установленные приложением Kaspersky Endpoint Security для Android (почтовые и VPN-сертификаты, сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
      • Дополнительно, если установлен рабочий профиль Android, удален рабочий профиль (содержимое, настройки и ограничения) и сертификаты, установленные в рабочем профиле (почтовые и VPN-сертификаты, сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
    • Сброс настроек до заводских

      Удалены все данные с мобильного устройства, настройки мобильного устройства сброшены до заводских. После выполнения этого действия устройство перестает быть управляемым. Для подключения устройства к Kaspersky Security Center требуется повторно установить Kaspersky Endpoint Security для Android.

      На устройствах под управлением Android 14 или выше эта реакция применяется только в том случае, если устройство работает в режиме device owner.

    • Блокировка рабочего профиля

      Рабочий профиль на устройстве заблокирован. Для получения доступа к рабочему профилю необходимо его разблокировать. Если после разблокирования рабочего профиля причина блокировки не устранена, рабочий профиль будет снова заблокирован через указанный период.

      Это действие применяется только на устройствах под управлением Android 6 или выше.

      После блокирования рабочего профиля история паролей рабочего профиля очищается. Это означает, что пользователь может повторно использовать один из недавних паролей, независимо от параметров пароля для рабочего профиля.

    • Удалить данные всех приложений

      Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner или с созданным рабочим профилем Android.

      Если устройство работает в режиме device owner, удаляются данные всех приложений. Если на устройстве создан рабочий профиль Android, удаляются данные всех приложений в рабочем профиле.

      В результате настройки приложений сброшены до установленных по умолчанию.

    • Удалить данные указанного приложения

      Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner или с созданным рабочим профилем Android.

      Для этого действия необходимо указать название пакета приложения, данные которого будут удалены. Как получить имя пакета приложения

      Чтобы получить имя пакета приложения:

      1. Откройте Google Play.
      2. Найдите нужное приложение и откройте его страницу.

      URL приложения оканчивается именем пакета приложения (например, https://play.google.com/store/apps/details?id=com.android.chrome).

      Чтобы получить имя пакета приложения, которое было добавлено в Kaspersky Security Center:

      1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
      2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

      В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

      Если пакет приложения представлен файлом в формате APK, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

      В результате настройки приложения сброшены до установленных по умолчанию.

    • Запрет на запуск устройства в безопасном режиме

      Пользователю запрещено запускать устройство в безопасном режиме.

      Это действие применяется только на устройствах под управлением Android 6 или выше в режиме device owner.

      Это длительное действие.

    • Запретить использование камеры

      Пользователю запрещено использовать все имеющиеся на устройстве камеры.

      Это длительное действие.

    • Запретить использование Bluetooth

      Пользователю устройства запрещено включать Bluetooth и изменять его параметры в Настройках.

      Это действие применяется только на устройствах под управлением Android 12 или ниже в режиме device owner или с созданным рабочим профилем Android.

      Это длительное действие.

    • Запретить использование Wi-Fi

      Пользователю устройства запрещено использовать Wi-Fi и изменять его параметры в Настройках.

      Это действие применяется только на устройствах, работающих в режиме device owner (все версии Android), личных устройствах под управлением Android 9 или ниже.

      Это длительное действие.

    • Запрет на использование функций отладки по USB

      Пользователю запрещено использовать функции отладки по USB и режим разработчика на устройстве.

      Это действие применяется только на устройствах, работающих в режиме device owner, или устройствах с созданным рабочим профилем Android.

      Это длительное действие.

    • Запрет режима полета

      Пользователю запрещено включать режим полета на устройстве.

      Это действие применяется только на устройствах под управлением Android 9 или выше в режиме device owner.

      Это длительное действие.

      Новое правило появится в разделе Правила контроля соответствия.

  11. Чтобы временно выключить сформированное правило, используйте переключатель напротив выбранного правила.
  12. В блоке Действия при удалении пользователей из Active Directory можно выбрать действия, которые будут выполняться на устройствах при удалении пользователей из Active Directory.

    Для этих настроек необходима интеграция с Microsoft Active Directory.

    Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из следующих действий:

    • Удалить корпоративные данные
    • Сбросить настройки до заводских

      На устройствах под управлением Android 14 или выше это действие применяется только в том случае, если устройство работает в режиме device owner.

  13. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Если устройство пользователя не соответствует правилам, к устройству применяются ограничения, которые вы указали в списке правил проверки.

В начало
[Topic 89910]

Контроль соответствия iOS MDM-устройств требованиям корпоративной безопасности

Развернуть всё | Свернуть всё

Контроль соответствия позволяет контролировать соблюдение требований корпоративной безопасности на iOS MDM-устройствах и принимать меры в случае обнаружения несоответствия требованиям. Контроль соответствия работает на основе списка правил. Каждое правило содержит следующие компоненты:

  • статус (правило включено или выключено);
  • критерии несоответствия (например, отсутствие указанных приложений или версия операционной системы на устройстве);
  • действия, выполняемые на устройстве, если обнаружено несоответствие (например, удалить корпоративные данные или отправить пользователю сообщение электронной почты).

Чтобы создать правило:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В политике, в окне Свойства выберите раздел Контроль соответствия.
  5. В разделе Правила Контроля соответствия нажмите Добавить.

    Запустится мастер создания правила контроля соответствия.

  6. Установите флажок Включить правило, если хотите включить правило. Если флажок снят, правило выключено.
  7. На закладке Критерии несоответствия нажмите Добавить критерий и выберите критерий несоответствия для правила. Вы можете добавить несколько критериев. Их можно объединить с помощью логического оператора "И".

    Доступны следующие критерии:

    • Список приложений на устройстве

      Проверяет список приложений на устройстве на наличие запрещенных приложений или на отсутствие обязательных приложений.

      Для этого критерия необходимо выбрать тип проверки (содержит или не содержит) и указать идентификатор пакета приложения. Как получить идентификатор пакета приложения

      Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

      Следуйте инструкциям в документации Apple.

      Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

      1. Откройте App Store.
      2. Найдите нужное приложение и откройте его страницу.

        URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

      3. Скопируйте этот идентификатор (без букв "id").
      4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

        Будет загружен текстовый файл.

      5. Откройте загруженный файл и найдите в нем "bundleId".

      Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

      Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

      1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
      2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

      В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

      Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

    • Версия операционной системы

      Проверяет версию операционной системы на устройстве.

      Для этого критерия необходимо выбрать оператор сравнения (Равно, Не равно, Меньше, Меньше или равно, Больше или Больше или равно) и указать версию iOS.

      Операторы равно и не равно проверяют полное соответствие версии операционной системы указанному значению. Например, если в правиле указать версию 15, а устройство работает на iOS 15.2, то условие равно не будет выполнено. Если необходимо указать диапазон версий, вы можете создать два критерия, использовав операторы меньше и больше.

    • Режим управления

      Проверяет режим управления устройством.

      Для этого критерия необходимо выбрать режим (Устройство в режиме supervised или Неконтролируемое устройство).

    • Тип устройства

      Проверяет тип устройства.

      Для этого критерия необходимо выбрать тип устройства (iPhone или iPad).

    • Модель устройства

      Проверяет модель устройства.

      Для этого критерия необходимо выбрать оператор (Входит в список или Не входит в список) и перечислить модели, которые будут проверяться или исключаться из проверки соответственно.

      Чтобы указать модель, введите хотя бы один символ в поле Идентификатор и выберите нужную модель из появившегося списка. Список содержит коды мобильных устройств и соответствующие им публичные названия. Например, чтобы добавить все модели iPhone 14, введите "iPhone 14". В этом случае можно выбрать любую из доступных моделей: "iPhone 14", "iPhone 14 Plus", "iPhone 14 Pro", "iPhone 14 Pro Max".

      В некоторых случаях одно публичное название может соответствовать нескольким кодам мобильных устройств (например, публичное название "iPhone 7" соответствует двум кодам мобильных устройств – "iPhone 9.1" и "iPhone 9.3"). Убедитесь, что выбрали все коды мобильных устройств, которые соответствуют нужным моделям.

      При вводе значения, отсутствующего в списке, ничего не будет найдено. Тем не менее, вы можете нажать на кнопку OK и добавить введенное значение к критерию.

    • Устройство находится в роуминге

      Проверяет, находится устройство в роуминге (если выбрано Да) или нет (если выбрано Нет).

    • Пароль устройства установлен

      Проверяет, установлен пароль (если выбрано Да) или нет (если выбрано Нет).

      При выборе Да, укажите, должен ли пароль устройства соответствовать (при выборе Соответствует политике) или не соответствовать (при выборе Не соответствует политике) параметрам, указанным в разделе Параметры пароля.

    • Свободное пространство

      Проверяет, является ли объем свободного пространства на устройстве меньше указанного порога.

      Для этого критерия укажите пороговое значение свободного пространства и выберите единицу измерения (ГБ или МБ).

    • Устройство не зашифровано

      Проверяет, зашифровано ли устройство.

      На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки > Touch ID и пароль / Face ID и пароль > Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: в дереве консоли выберите Управление мобильными устройствами > Мобильные устройства и дважды щелкните мышью по нужному устройству).

    • SIM-карта заменена

      Проверяет, была ли SIM-карта устройства заменена, вставлена или извлечена относительно предыдущего состояния проверки.

      Вы также можете включить проверку установки дополнительной SIM-карты.

      На устройствах, совместимых с eSIM, обнаруженное несоответствие невозможно удалить, вставив ранее удаленную eSIM. Это связано с тем, что операционная система устройства распознает каждую добавленную карту eSIM как новую. В этом случае вам необходимо удалить правило Контроля соответствия из политики.

    • Не синхронизировалось дольше, чем

      Проверяет, как давно устройство синхронизировалось с Сервером администрирования последний раз.

      Для этого критерия укажите максимальное время с момента последней синхронизации и выберите единицы измерения (часы или дни).

      Мы не рекомендуем указывать значение меньше значения параметра Частота обновления информации об устройстве в настройках Сервера iOS MDM.

    Если указаны противоречащие друг другу критерии (например, в поле Тип устройства указано значение iPhone, выбран оператор Входит в список, а в списке значений Модель устройства указана модель iPad), отобразится сообщение об ошибке. Такое правило сохранить невозможно.

  8. На закладке Действия укажите действия, которые будут выполняться на устройстве при обнаружении всех указанных критериев несоответствия.

    Действия выполняются во время проверки соблюдения правил соответствия (1 раз в 40 минут) до следующей синхронизации с Сервером администрирования. Чтобы одно и то же несоответствие не обнаруживалось при каждом выполнении повторяющихся действий, в настройках Сервера iOS MDM для параметра Частота обновления информации об устройстве установите значение 30 минут.

    Добавить действие можно одним из следующих способов:

    • Нажмите кнопку Добавить действие, если действие должно быть выполнено на устройстве сразу после обнаружения несоответствия.
    • Нажмите кнопку Добавить отложенное действие, если вы хотите установить период времени, в течение которого пользователь может устранить несоответствие. Если несоответствие не будет устранено в течение указанного периода, на устройстве будет выполнено действие.

    Доступны следующие действия:

    • Отправить сообщение пользователю

      Пользователь устройства будет проинформирован о несоответствии по электронной почте.

      Для этого действия необходимо указать адрес(-а) электронной почты пользователя. При необходимости можно отредактировать заданный по умолчанию текст сообщения электронной почты.

    • Удалить корпоративные данные

      Будут удалены все установленные конфигурационные профили, provisioning-профили, iOS MDM-профиль и приложения, для которых был установлен флажок Удалять вместе с iOS MDM-профилем. Действие выполняется с помощью отправки команды Удалить корпоративные данные.

    • Установить профиль

      Конфигурационный профиль будет установлен на устройстве. Действие выполняется с помощью отправки команды Установить профиль.

      Для этого действия необходимо указать идентификатор устанавливаемого конфигурационного профиля.

      Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

    • Удалить профиль

      Конфигурационный профиль будет удален с устройства. Действие выполняется с помощью отправки команды Удалить профиль.

      Для этого действия необходимо указать идентификатор удаляемого конфигурационного профиля.

      Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

    • Удалить все профили

      Все ранее установленные конфигурационные профили будут удалены с устройства.

      Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные конфигурационные профили один за другим, отправив устройству соответствующую команду.

    • Обновить ОС

      Операционная система устройства обновлена.

      Для этого действия необходимо выбрать конкретную операцию (Загрузить и установить, Только загрузить или Только установить, чтобы установить ранее загруженную версию) и версию iOS для загрузки и/или установки.

    • Изменить настройки Bluetooth (только для supervised)

      Для этого действия необходимо выбрать, требуется ли включить или отключить Bluetooth на устройстве.

      Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

    • Сбросить настройки до заводских

      Удалены все данные с устройства, настройки устройства сброшены до установленных по умолчанию.

    • Удалить управляемое приложение

      Для этого действия необходимо указать идентификатор пакета управляемого приложения, которое требуется удалить с устройства. Приложение считается управляемым, если оно установлено на устройство с помощью Kaspersky Security Center. Как получить идентификатор пакета приложения

      Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

      Следуйте инструкциям в документации Apple.

      Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

      1. Откройте App Store.
      2. Найдите нужное приложение и откройте его страницу.

        URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

      3. Скопируйте этот идентификатор (без букв "id").
      4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

        Будет загружен текстовый файл.

      5. Откройте загруженный файл и найдите в нем "bundleId".

      Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

      Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

      1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
      2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

      В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

      Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

      Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

    • Удалить все управляемые приложения

      Все управляемые приложения удаляются с устройства. Приложение считается управляемым, если оно установлено на устройство с помощью Kaspersky Security Center.

      Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные приложения одно за другим, отправив устройству соответствующую команду.

    • Удалить профиль(и) указанного типа

      Для этого действия необходимо выбрать тип профиля, удаляемого с устройства (например, Веб-клипы или Подписки на календари).

      Как только критерии несоответствия правилу перестанут обнаруживаться на устройстве, удаленные профили автоматически восстановятся.

    • Изменить параметры роуминга

      Для этого действия необходимо выбрать, требуется ли включить или отключить роуминг данных на устройстве.

      Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.

    Если указаны противоречащие друг другу действия (например, Включить Bluetooth и Отключить Bluetooth одновременно), отобразится сообщение об ошибке. Такое правило сохранить невозможно.

  9. Нажмите на кнопку OK, чтобы сохранить правило и закрыть мастер.

    Новое правило появится в списке в разделе Правила Контроля соответствия.

  10. В блоке Действия при удалении пользователей из Active Directory можно выбрать действия, которые будут выполняться на устройствах при удалении пользователей из Active Directory.

    Для этих настроек необходима интеграция с Microsoft Active Directory.

    Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из следующих действий:

    • Удалить корпоративные данные
    • Сбросить настройки до заводских

    Если вы используете профили политики, убедитесь, что вы выставили опцию удаления данных на всю политику. После удаления пользователя из Active Directory он в первую очередь удалится из группы пользователей Active Directory. Из-за того что профиль политики перестанет действовать на аккаунт пользователя, данные не удалятся с устройства.

  11. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

В начало
[Topic 241836]

Контроль приложений

В этом разделе содержатся инструкции по настройке доступа пользователей к приложениям на мобильном устройстве.

В этом разделе

Контроль приложений на Android-устройствах

Контроль приложений на iOS MDM-устройствах

В начало
[Topic 141381]

Контроль приложений на Android-устройствах

Компонент Контроль приложений позволяет управлять приложениями на Android-устройствах, чтобы обеспечивать безопасность этих устройств.

Вы можете установить ограничения при работе пользователя с устройством, на котором установлены запрещенные приложения или не установлены обязательные приложения (например, заблокировать устройство). Вы можете установить ограничения с помощью компонента Контроль соответствия. Для этого в параметрах правила проверки требуется выбрать критерий Установлены запрещенные приложения, Установлены приложения запрещенных категорий или Не установлены все обязательные приложения.

Для работы Контроля приложений Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае Контроль приложений не работает.

В режиме device owner вам доступен расширенный контроль над устройством. Контроль приложений работает, не уведомляя об этом пользователя устройства:

  • Обязательные приложения устанавливаются автоматически в фоновом режиме. Для тихой установки приложений необходимо указать ссылку на APK-файл обязательного приложения в настройках политики.
  • Запрещенные приложения можно удалять с устройства автоматически. Для тихого удаления приложений необходимо установить флажок Автоматически удалять запрещенные приложения (только в режиме device owner) в настройках политики.

Чтобы настроить параметры запуска приложений на мобильном устройстве, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В окне Свойства: <Название политики> выберите раздел Контроль приложений.
  5. В блоке Режим работы выберите режим запуска приложений на мобильном устройстве пользователя:
    • Чтобы разрешить пользователю запускать все приложения, кроме указанных в списке категорий и приложений как запрещенные, выберите режим Запрещенные приложения. Приложение скроет значки заблокированных приложений.
    • Чтобы разрешить пользователю запускать только приложения, указанные в списке категорий и приложений как разрешенные, рекомендованные или обязательные, выберите режим Разрешенные приложения. Приложение скроет значки всех приложений, кроме тех, которые указаны в списке разрешенных, рекомендованных или обязательных приложений и системных приложений.
  6. Чтобы Kaspersky Endpoint Security для Android отправлял данные о запрещенных приложениях в журнал событий, не блокируя их, установите флажок Не блокировать запрещенные приложения, только запись в журнал событий.

    При следующей синхронизации мобильного устройства пользователя с Сервером администрирования Kaspersky Endpoint Security для Android сформирует в журнале событий запись Установлено запрещенное приложение. Журнал событий можно просмотреть на закладке События в свойствах Сервера администрирования или в локальных свойствах программы.

  7. Если устройство находится в режиме device owner, установите флажок Автоматически удалять запрещенные приложения (только в режиме device owner), чтобы удалить запрещенные приложения с устройства в фоновом режиме, не уведомляя об этом пользователя.
  8. Чтобы Kaspersky Endpoint Security для Android блокировал запуск системных приложений на мобильном устройстве пользователя (например, Календарь, Камера, Настройки) в режиме Разрешенные приложения, установите флажок Блокировать системные приложения.

    Специалисты "Лаборатории Касперского" не рекомендуют блокировать системные приложения, так как это может привести к сбоям в работе устройства.

  9. Сформируйте список категорий и приложений для настройки запуска приложений.

    В список можно добавить пакеты мобильных приложений, ранее созданные в Kaspersky Security Center. Как получить имя пакета приложения

    Чтобы получить имя пакета приложения:

    1. Откройте Google Play.
    2. Найдите нужное приложение и откройте его страницу.

    URL приложения оканчивается именем пакета приложения (например, https://play.google.com/store/apps/details?id=com.android.chrome).

    Чтобы получить имя пакета приложения, которое было добавлено в Kaspersky Security Center:

    1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
    2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

    В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

    Если пакет приложения представлен файлом в формате APK, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

    Подробную информацию о категориях приложений см. в Приложении.

    Список приложений, которые входят в каждую категорию, приведен на сайте "Лаборатории Касперского".

  10. Если вы хотите, чтобы Kaspersky Endpoint Security для Android сформировал отчет об установленных приложениях, то в блоке Отчет об установленных мобильных приложениях установите флажок Отправлять данные об установленных приложениях, чтобы отправлять информацию о приложениях, установленных на мобильных устройствах, и при необходимости укажите следующие параметры:
    • Чтобы отправлять данные о системных приложениях, установленных на устройствах пользователей, на Сервер администрирования, установите флажок Отправлять данные о системных приложениях.
    • Чтобы отправлять данные о служебных приложениях, установленных на устройствах пользователей, на Сервер администрирования, установите флажок Отправлять данные о служебных приложениях.

    Если системное или служебное приложение настроено в параметрах Контроля приложений, данные отправляются независимо от состояния флажков Отправлять данные о системных приложениях или Отправлять данные о служебных приложениях соответственно.

    Kaspersky Endpoint Security для Android отправляет данные в журнал событий каждый раз после установки приложения на устройство или удаления с него.

  11. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

В начало
[Topic 90538]

Контроль приложений на iOS MDM-устройствах

Развернуть всё | Свернуть всё

Kaspersky Security Center позволяет управлять приложениями на iOS MDM-устройствах, чтобы поддерживать их безопасность. Вы можете создать список приложений, которые разрешено устанавливать на устройствах, и список приложений, которые запрещено отображать и запускать на устройствах.

Ограничения применимы только для iOS MDM-устройств в режиме supervised.

Переход к разделу Ограничения приложений

Чтобы открыть настройки ограничений приложений на iOS MDM-устройствах:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят iOS MDM-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В политике, в окне Свойства выберите раздел Ограничения приложений.

Ограничение установки приложений

По умолчанию пользователь может устанавливать любые приложения на iOS MDM-устройстве в режиме supervised.

Чтобы ограничить список приложений, которые можно установить на устройстве:

  1. Установите флажок Разрешить установку приложений из списка (только для supervised).
  2. В таблице нажмите Добавить, чтобы добавить приложение в список.
  3. Укажите идентификатор пакета приложения. Укажите значение com.apple.webapp, чтобы разрешить все веб-клипы. Как получить идентификатор пакета приложения

    Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

    Следуйте инструкциям в документации Apple.

    Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

    1. Откройте App Store.
    2. Найдите нужное приложение и откройте его страницу.

      URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

    3. Скопируйте этот идентификатор (без букв "id").
    4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

      Будет загружен текстовый файл.

    5. Откройте загруженный файл и найдите в нем "bundleId".

    Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

    Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

    1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
    2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

    В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

    Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

  4. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

После применения политики к устройству на устройстве будут настроены указанные ограничения для приложений. Для установки будут доступны только приложения из списка и системные приложения. Любые другие приложения не могут быть установлены на устройстве.

Указанные приложения можно установить на устройстве следующими способами (если соответствующие параметры включены в разделе Ограничения функций):

  • Установка из Apple Configurator или iTunes
  • Установка из App Store
  • Автоматическая загрузка

Добавление приложений в список запрещенных

По умолчанию на iOS MDM-устройстве в режиме supervised могут отображаться и запускаться все приложения.

Чтобы указать запрещенные приложения:

  1. Установите флажок Запретить отображение и запуск приложений из списка (только для supervised).
  2. В таблице нажмите Добавить, чтобы добавить приложение в список.
  3. Укажите идентификатор пакета приложения. Укажите значение com.apple.webapp, чтобы запретить все веб-клипы. Как получить идентификатор пакета приложения

    Чтобы получить идентификатор пакета предустановленного приложения на iPhone или iPad,

    Следуйте инструкциям в документации Apple.

    Чтобы получить идентификатор пакета любого приложения для iPhone или iPad:

    1. Откройте App Store.
    2. Найдите нужное приложение и откройте его страницу.

      URL приложения оканчивается его числовым идентификатором (например, https://apps.apple.com/us/app/google-chrome/id535886823).

    3. Скопируйте этот идентификатор (без букв "id").
    4. Откройте страницу https://itunes.apple.com/lookup?id=<скопированный идентификатор>.

      Будет загружен текстовый файл.

    5. Откройте загруженный файл и найдите в нем "bundleId".

    Текст, следующий за "bundleId" – идентификатор пакета необходимого приложения.

    Чтобы получить идентификатор пакета приложения, которое было добавлено в Kaspersky Security Center:

    1. В дереве консоли Kaspersky Security Center выберите Дополнительно > Удаленная установка > Инсталляционные пакеты.
    2. Нажмите на кнопку Дополнительные действия и в раскрывающемся списке выберите Управление пакетами мобильных приложений.

    В открывшемся окне Управление пакетами мобильных приложений в столбце Название приложения отображаются идентификаторы управляемых приложений.

    Если пакет приложения представлен файлом в формате .apk или .ipa, и необходимо узнать идентификатор приложения, можно добавить этот пакет приложения в окне Управление пакетами мобильных приложений, нажав на кнопку Новый и следуя инструкциям на экране.

  4. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

После применения политики к устройству на устройстве будут настроены указанные ограничения для приложений. Приложения из списка будет запрещены для отображения и запуска на устройстве. Все остальные приложения будут отображаться, и их можно будет запускать.

В начало
[Topic 242959]

Статусы мобильных устройств

Статусы мобильных устройств, определяемые Kaspersky Security Center

В Консоли администрирования можно быстро оценить текущее состояние Kaspersky Security Center и управляемых устройств с помощью цветовых индикаторов. Цветовые индикаторы расположены в рабочей области Сервера администрирования в папке Управление мобильными устройствами в подпапке Мобильные устройства. В рабочей области этой подпапки отображается таблица управляемых мобильных устройств.

Цветовой индикатор - это цветной значок в столбце Управление таблицы. Каждый индикатор может быть одного из этих цветов (см. таблицу Цветовые кодировки индикаторов). Цвет индикатора зависит от текущего состояния Kaspersky Security Center и от зарегистрированных событий.

Устройство может иметь один из следующих статусов: ОК, Критический или Предупреждение.

Статусы присваиваются и отправляются в Kaspersky Security Center в соответствии со следующими требованиями:

  • На устройстве обнаружена одна причина для присвоения статуса — устройству присваивается статус, отображающийся в списке управляемых устройств.
  • На устройстве обнаружено несколько причин для присвоения статуса — Kaspersky Secure Mobility Management выбирает наиболее критический статус и присваивает его.
  • На устройстве не обнаружено причин для присвоения статуса — Kaspersky Secure Mobility Management не отправляет структуру статусов в Kaspersky Security Center, присваивается статус ОК.

    Цветовые кодировки индикаторов

    Значок

    Состояние

    Значение цвета индикатора

    Мобильное устройство с голубым дисплеем.

    Голубой

    Мобильное устройство, обнаруженное в сети и не входящее в состав какой-либо группы администрирования.

    Зарегистрированы события, не связанные с угрозами для безопасности управляемых устройств.

    Мобильное устройство с зеленым дисплеем.

    Зеленый

    Мобильное устройство, входящее в состав группы администрирования, со статусом ОК.

    Вмешательство администратора не требуется.

    Мобильное устройство с желтым дисплеем.

    Желтый

    Мобильное устройство, входящее в состав группы администрирования, со статусом Предупреждение.

    Зарегистрированы события, не связанные с угрозами для безопасности управляемых устройств.

    Мобильное устройство с красным дисплеем.

    Красный

    Мобильное устройство, входящее в состав группы администрирования, со статусом Критический.

    Имеются серьезные проблемы. Требуется вмешательство администратора для их решения.

    Мобильное устройство с серым дисплеем, отключенное от Сервера администрирования.

    Мобильное устройство, входящее в состав группы администрирования, соединение которого с Сервером администрирования потеряно.

    Может быть любого цвета: голубой, зеленый, желтый, красный.

Задача администратора - сделать так, чтобы цветовые индикаторы оставались зелеными на всех устройствах.

Вы можете выбрать Свойства в контекстном меню мобильного устройства, а затем перейти в раздел Защита, чтобы просмотреть зарегистрированные события, влияющие на цветовые индикаторы и состояние Kaspersky Security Center (см. таблицу Название, описание и цвет индикатора зарегистрированных событий).

Название, описание и цвет индикатора зарегистрированных событий

Цвет индикатора

Отображаемое имя типа события

Описание

Красный

Количество устройств, на которых срок действия лицензии истек: %1

События этого типа возникают, если срок действия коммерческой лицензии окончен.

Один раз в день Kaspersky Security Center проверяет, не истек ли срок действия лицензии.

После окончания срока действия коммерческой лицензии, Kaspersky Security Center работает в режиме базовой функциональности.

Чтобы продолжить использование Kaspersky Security Center, продлите срок действия коммерческой лицензии.

Красный

Устройств с незапущенной программой безопасности: %1

Это не относится к iOS MDM-устройствам.

События этого типа возникают, когда программа безопасности, установленная на устройстве, не запущена.

Убедитесь, что на устройстве запущена программа Kaspersky Endpoint Security.

Красный

Устройств с выключенной защитой: %1

События такого типа возникают, когда программа защиты на устройстве отключена больше указанного времени.

Проверьте текущий статус постоянной защиты на устройстве и убедитесь, что все необходимые вам компоненты защиты включены.

Красный

На Сервере администрирования зарегистрированы критические события

События этого типа возникают при обнаружении критических событий Сервера администрирования.

Проверьте список событий, хранящихся на Сервере администрирования, а затем последовательно исправьте критические события.

Красный

На Сервере администрирования зарегистрированы ошибки в событиях

События этого типа возникают при регистрации непредвиденных ошибок на стороне Сервера администрирования.

Проверьте список событий, хранящихся на Сервере администрирования, а затем последовательно исправьте критические события.

Красный

Потеряно соединение с устройствами: %1

События этого типа возникают при потере соединения между Сервером администрирования и устройством.

Просмотрите список отключенных устройств и попробуйте подключить их снова.

Красный

Устройств, которые давно не соединялись с Сервером администрирования: %1

События этого типа возникают, когда устройство не подключалось к Серверу администрирования больше указанного времени, так как устройство выключено.

Убедитесь, что устройство включено и запущен Агент администрирования.

Красный

Базы устарели: %1 устройств

События этого типа возникают, когда базы вредоносного ПО на устройстве не обновлялись в течение заданного интервала времени.

Следуйте инструкциям, чтобы обновить антивирусные базы "Лаборатории Касперского".

Красный

Количество устройств, на которых обнаружены активные угрозы: %1

События этого типа возникают при обнаружении активных угроз на управляемых устройствах.

Просмотрите информацию об обнаруженных угрозах и следуйте рекомендациям.

Красный

Устройств, на которых обнаружено много вирусов: %1

События этого типа возникают при обнаружении вирусов на управляемых устройствах.

Просмотрите информацию об обнаруженных вирусах и следуйте рекомендациям.

Красный

Вирусная атака

События этого типа возникают, если количество вредоносных объектов, обнаруженных на нескольких управляемых устройствах в течение короткого периода, превышает заданные пороговые значения.

Просмотрите информацию об обнаруженных угрозах и следуйте рекомендациям.

Желтый

Давно не выполнялся поиск вредоносного ПО на устройствах: %1

События этого типа возникают, когда вам нужно выполнить поиск вредоносного ПО на управляемых устройствах.

Запустите поиск вирусов.

Зеленый

Управляемых устройств: %3. Обнаружено нераспределенных устройств: %1

События этого типа возникают при обнаружении новых устройств в группах администрирования.

Зеленый

Программа безопасности установлена на всех управляемых устройствах

События этого типа возникают, когда программа Kaspersky Endpoint Security установлена на всех управляемых устройствах.

Зеленый

Kaspersky Security Center функционирует нормально.

События этого типа возникают при правильной работе Kaspersky Security Center.

Зеленый

Защита включена

События этого типа возникают, когда на управляемых устройствах включена постоянная защита.

Зеленый

Не установлена программа безопасности

События этого типа возникают, когда программа, защищающая от вредоносного ПО, не установлена на управляемых устройствах.

Зеленый

Поиск вредоносного ПО проводится по расписанию

События этого типа возникают, когда задача Поиска вредоносного ПО выполняется по расписанию.

Голубой

Не принято Лицензионное соглашение мобильных приложений "Лаборатории Касперского"

События этого типа возникают, когда администратор еще не принял Лицензионное соглашение мобильных приложений "Лаборатории Касперского".

Голубой

Не принято Лицензионное соглашение для обновлений программ "Лаборатории Касперского"

События этого типа возникают, когда администратор еще не принял Лицензионное соглашение обновлений программ "Лаборатории Касперского".

Голубой

Положение о Kaspersky Security Network для обновлений программ "Лаборатории Касперского" не принято

События этого типа возникают, когда администратор еще не принял Положение о Kaspersky Security Network для обновлений программ "Лаборатории Касперского".

Голубой

Есть новые версии программ "Лаборатории Касперского"

События этого типа возникают, когда новые версии программ "Лаборатории Касперского" доступны для установки на управляемые устройства.

Голубой

Есть обновления для программ "Лаборатории Касперского"

События этого типа возникают, когда доступны обновления для программ "Лаборатории Касперского".

Голубой

Устройств, на которых полная проверка ни разу не проводилась: %1

События этого типа возникают, когда полная проверка никогда не выполнялась на указанном количестве устройств.

Статусы мобильных устройств, определяемые Kaspersky Secure Mobility Management

Это дополнительные статусы, которые функционируют вместе со статусами, определенными Kaspersky Security Center (см. таблицу Название, описание и цвет индикатора зарегистрированных событий).

Kaspersky Secure Mobility Management определяет статус мобильных устройств на основе параметров политики, а затем отправляет структуру статусов в Kaspersky Security Center при синхронизации. Администратор может изменить статус устройства в политике в зависимости от уровня серьезности условия (см. таблицу Значения по умолчанию, причины и условия для присвоения статуса). В этом случае заданное администратором значение имеет приоритет над значением по умолчанию, заданным Kaspersky Secure Mobility Management.

Значения по умолчанию, причины и условия присвоения статуса

Условие

Причина присвоения статуса

Значение по умолчанию

Постоянная защита не работает.

Одна из следующих причин:

Критический

Веб-Фильтр не работает.

Одна из следующих причин:

Предупреждение

Контроль приложений не работает.

Разрешение Специальные возможности не предоставлено.

Предупреждение

Блокирование устройства недоступно.

 

 

Одна из следующих причин:

Предупреждение

Определение местоположения устройства недоступно.

Одна из следующих причин:

  • Разрешение Местоположение не предоставлено.
  • Местоположение устройства не может быть определено (при наличии разрешения).

Предупреждение

Версии Положения о KSN не совпадают.

Версия Положения о Kaspersky Security Network, принятого пользователем в политике, и версия Положения о Kaspersky Security Network на устройстве не совпадают.

Предупреждение

Версии Маркетингового положения не совпадают.

Версия Положения об обработке данных в маркетинговых целях, принятого пользователем в политике, и версия Положения об обработке данных в маркетинговых целях на устройстве не совпадают.

ОК

В начало
[Topic 269341]

Инвентаризация программного обеспечения на Android-устройствах

Вы можете выполнять инвентаризацию приложений на Android-устройствах, подключенных к Kaspersky Security Center. Kaspersky Endpoint Security для Android получает информацию обо всех приложениях, установленных на мобильных устройствах. Информация, полученная в результате инвентаризации, отображается в свойствах устройства в разделе События. Вы можете просматривать подробную информацию о каждом установленном приложении, в том числе версию и производителя.

Чтобы включить инвентаризацию программного обеспечения, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В окне Свойства: <Название политики> выберите раздел Контроль приложений.
  5. В разделе Отчет об установленных мобильных приложениях установите флажок Отправлять данные об установленных приложениях.
  6. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Kaspersky Endpoint Security для Android отправляет данные в журнал событий каждый раз после установки или удаления приложения с устройства.

В начало
[Topic 148312]

Настройка отображения Android-устройств в Kaspersky Security Center

Для удобства работы со списком мобильных устройств следует настроить параметры отображения устройства в Kaspersky Security Center. По умолчанию список мобильных устройств отображается в дереве консоли Дополнительно → Управление мобильными устройствами → Мобильные устройства. Информация об устройстве обновляется автоматически. Вы также можете обновить список мобильных устройств вручную по кнопке Обновить в правом верхнем углу.

После подключения устройства к Kaspersky Security Center оно автоматически добавляется в список мобильных устройств. В списке мобильных устройств может содержаться подробная информация об устройстве: модель, операционная система, IP-адрес и другие данные.

Вы можете настроить формат имени устройства, а также выбрать статус устройства. Статус устройства информирует о работе компонентов Kaspersky Endpoint Security для Android на мобильном устройстве пользователя.

Компоненты Kaspersky Endpoint Security для Android могут не работать по следующим причинам:

  • Пользователь выключил компонент в настройках устройства.
  • Пользователь не предоставил приложению необходимые права для работы компонента (например, отсутствует разрешение на определение местоположения устройства для выполнения соответствующей команды Анти-Вора).

Для отображения статуса устройства необходимо включить условие Определяемый программой в свойствах группы администрирования (Свойства > Статус устройства > Условия для статуса устройства "Критический" и Условия для статуса устройства "Предупреждение"). В свойствах группы администрирования вы также можете выбрать другие критерии для формирования статуса мобильного устройства.

Чтобы настроить отображение Android-устройств в Kaspersky Security Center, выполните следующие действия:

  1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
  2. В рабочей области группы выберите закладку Политики.
  3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

    В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

  4. В окне Свойства: <Название политики> выберите раздел Информация об устройстве.
  5. В разделе Имя устройства в Kaspersky Security Center выберите формат имени устройства для отображения в Консоли администрирования:
    • Модель устройства [Электронная почта, идентификатор устройства];
    • Модель устройства [Электронная почта (если есть) или идентификатор устройства].

    Идентификатор устройства – уникальный идентификатор, который Kaspersky Endpoint Security для Android формирует из данных, полученных от устройства, следующим образом:

    • На персональных устройствах с Android версии 9 и ниже приложение использует IMEI. Для более поздних версий Android приложение использует SSAID (идентификатор Android) или контрольную сумму других данных, полученных от устройства.
    • В режиме device owner приложение использует IMEI для всех версий Android.
    • При создании рабочего профиля на устройствах с Android версии 11 и ниже приложение использует IMEI. Для других версий Android приложение использует SSAID (идентификатор Android) или контрольную сумму других данных, полученных от устройства.
  6. Установите атрибут "замок" в закрытое положение (Значок закрытого замка.).
  7. В блоке Статус устройства в Kaspersky Security Center выберите статус устройства, если не работает компонент Kaspersky Endpoint Security для Android: ks4android_status_Warning (Критический), ks4android_status_Attantion (Предупреждение) или ks4android_status_OK (ОК).

    В списке мобильных устройств статус устройства будет изменен в соответствии с выбранным статусом.

  8. Установите атрибут "замок" в закрытое положение.
  9. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

В начало
[Topic 136797]