Развертывание систем управления мобильными устройствами

В этом разделе описано развертывание систем управления мобильными устройствами по протоколам iOS MDM и Kaspersky Endpoint Security.

Сценарий: развертывание Управления мобильными устройствами

В этом разделе приведен сценарий для настройки возможностей Управления мобильными устройствами в Kaspersky Security Center.

Предварительные требования

Убедитесь, что ваша лицензия предоставляет доступ к возможностям Управления мобильными устройствами.

Этапы

Развертывание возможностей Управления мобильными устройствами состоит из следующих этапов:

1. Подготовка портов

   Убедитесь, что порт 13292 доступен на Сервере администрирования. Этот порт требуется для подключения мобильных устройств. Также вы можете сделать доступным порт 17100. Этот порт требуется только для активации прокси-сервера для управляемых мобильных устройств; если управляемые мобильные устройства имеют доступ в интернет, этот порт доступным делать не требуется.

2. Включение Управления мобильными устройствами

   Вы можете включить Управление мобильными устройствами во время запуска мастера первоначальной настройки Сервера администрирования или позже.

3. Указание внешнего адреса Сервера администрирования

   Вы можете указать внешний адрес во время запуска мастера первоначальной настройки Сервера администрирования или позже. Если вы не выбрали Управление мобильными устройствами для установки и не указали адрес в мастере установки программы, укажите внешний адрес в свойствах инсталляционного пакета.

4. Добавление мобильных устройств в группу управляемых устройств

   Добавьте мобильные устройства в группу Управляемые устройства, чтобы управлять этими устройствами с помощью политик. Вы можете создать правило перемещения на одном из шагов мастера первоначальной настройки Сервера администрирования. Также вы можете создать правило перемещения позже. Если вы не создадите такое правило, вы можете добавить мобильные устройства в группу Управляемые устройства вручную.

   Вы можете добавить мобильные устройства в группу Управляемые устройства напрямую или создать для них подгруппу (или несколько подгрупп).

   Позже, в любое время вы можете подключить новое мобильное устройство к Серверу администрирования с помощью мастера подключения мобильного устройства.

5. Создание политики для мобильных устройств

   Чтобы управлять мобильными устройствами, создайте политику (или несколько политик) для этих устройств в группе, к которой они принадлежат. Вы можете изменить параметры политики в любое время.

Результаты

После завершения сценария вы сможете управлять устройствами Android и iOS, используя Kaspersky Security Center. Вы можете работать с сертификатами мобильных устройств и отправлять команды на мобильные устройства.

Включение Управления мобильными устройствами

Развернуть всё | Свернуть всё

Чтобы управлять мобильными устройствами, вам нужно включить Управление мобильными устройствами. Если вы не включили эту функцию в мастере первоначальной настройки Kaspersky Security Center, вы можете включить ее позже. Для работы функции Управление мобильными устройствами требуется лицензия.

Включение Управления мобильными устройствами доступно только на основном Сервере администрирования.

Чтобы включить Управление мобильными устройствами, выполните следующие действия:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В рабочей области папки нажмите на кнопку Включить Управление мобильными устройствами. Эта кнопка доступна, только если вы ранее не включали Управление мобильными устройствами.

   Откроется окно Дополнительные компоненты мастера первоначальной настройки Сервера администрирования.

3. Для управления мобильными устройствами выберите Включить Управление мобильными устройствами.
4. В окне Выбор способа активации программы произведите активацию программы с помощью файла ключа или кода активации

   Управление мобильными устройствами будет недоступно, пока вы не активируете возможность Управления мобильными устройствами.

5. На странице Параметры прокси-сервера для получения доступа в интернет установите флажок Использовать прокси-сервер, если вы хотите использовать прокси-сервер при подключении к интернету. Если флажок установлен, становятся доступны поля ввода параметров. Настройте параметры подключения к прокси-серверу.
6. На странице Проверка обновлений для плагинов и инсталляционных пакетов выберите один из следующих вариантов:
   • Проверить актуальность плагинов и инсталляционных пакетов

     Запуск проверки на актуальность. Если проверка выявит устаревшие версии некоторых плагинов или инсталляционных пакетов, мастер предложит загрузить актуальные версии для замены устаревших.

   • Пропустить проверку

     Продолжение работы без проверки плагинов и инсталляционных пакетов на актуальность. Вы можете выбрать этот вариант, например, если у вас нет доступа в интернет или вы по какой-то причине хотите продолжить работу с устаревшей версией приложения.

     Пропуск проверки актуальности плагинов может привести к некорректной работе программы.

7. В окне Доступные последние версии плагинов загрузите и установите последние версии плагинов на необходимом вам языке. Обновление плагинов не требует лицензии.

   После установки плагинов и пакетов приложение проверяет, установлены ли все плагины, необходимые для правильной работы мобильных устройств. Если обнаружатся устаревшие версии некоторых плагинов или инсталляционных пакетов, мастер предложит загрузить актуальные версии вместо устаревших.

8. На странице Параметры подключения мобильных устройств настройте порты Сервера администрирования.

После завершения работы мастера будут выполнены следующие изменения:

• создана политика Kaspersky Endpoint Security для Android.
• создана политика Kaspersky Device Management для iOS.
• открыты порты Сервера администрирования для мобильных устройств.

Развертывание системы управления по протоколу iOS MDM

Kaspersky Endpoint Security позволяет управлять мобильными устройствами на платформе iOS. Устройствами iOS MDM называются мобильные устройства под управлением iOS, подключенные к Серверу iOS MDM и находящиеся под управлением Сервера администрирования.

Подключение мобильных устройств к Серверу iOS MDM выполняется в следующей последовательности:

1. Администратор устанавливает Сервер iOS MDM.
2. Администратор получает сертификат Apple Push Notification Service (APNs-сертификат).

   APNs-сертификат позволяет Серверу администрирования подключаться к серверу APNs для отправки push-уведомлений на устройства iOS MDM.

3. Администратор устанавливает на Сервере iOS MDM APNs-сертификат.
4. Администратор создает профиль iOS MDM для пользователя мобильного устройства iOS.

   Профиль iOS MDM содержит набор параметров для подключения мобильных устройств iOS к Серверу администрирования.

После установки профиля и синхронизации мобильного устройства iOS MDM с Сервером администрирования устройство отображается в папке Мобильные устройства, вложенной в папку Управление мобильными устройствами дерева консоли.

Сценарии развертывания Сервера iOS MDM

Количество устанавливаемых копий Сервера iOS MDM зависит от доступного аппаратного обеспечения и от общего числа обслуживаемых мобильных устройств.

Следует учесть, что на одну установку Kaspersky Device Management для iOS рекомендуется не более 50 000 мобильных устройств. С целью уменьшения нагрузки устройства можно распределить между несколькими серверами с установленным Сервером iOS MDM.

Аутентификация устройств iOS MDM осуществляется с помощью пользовательских сертификатов (профиль, устанавливаемый на устройство, содержит сертификат владельца этого устройства). Поэтому возможны две схемы развертывания Сервера iOS MDM:

• Упрощенная схема
• Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Упрощенная схема развертывания

При развертывании Сервера iOS MDM по упрощенной схеме мобильные устройства напрямую подключаются к веб-службе iOS MDM. При этом для аутентификации устройств могут быть использованы только пользовательские сертификаты, выпущенные Сервером администрирования. Интеграция с инфраструктурой открытых ключей для пользовательских сертификатов невозможна.

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Для использования схемы развертывания с принудительным делегированием Kerberos Constrained Delegation (KCD) Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.

Эта схема развертывания предполагает:

• интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
• использование схемы принудительного делегирования Kerberos Constrained Delegation для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей для применения пользовательских сертификатов.

При использовании этой схемы развертывания следует учесть, что:

• в Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos Constrained Delegation;
• в качестве сертификата веб-службы iOS MDM следует указать персонализированный сертификат, заданный при публикации веб-службы iOS MDM на TMG;
• пользовательские сертификаты для iOS-устройств должны выпускаться доменным Центром сертификации (ЦС). Если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выпущены Центром сертификации, указанным при публикации веб-службы iOS MDM на TMG.

  Соответствие пользовательского сертификата указанному требованию обеспечивается несколькими способами:

  • Указать пользовательский сертификат в мастере создания профилей iOS MDM и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
    3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

• веб-служба iOS MDM запущена на порте 443;
• имя устройства с TMG – tmg.mydom.local;
• имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
• имя внешней публикации веб-службы iOS MDM – iosmdm.mydom.global.

Имя субъекта-службы (SPN) для http/iosmdm.mydom.local

В домене требуется зарегистрировать имя субъекта-службы (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика необходимо доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/iosmdm.mydom.local), администратор должен выполнить следующие действия:

1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN (http/iosmdm.mydom.local).

Особый (персонализированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (персонализированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (открытые ключи).

Публикация веб-службы iOS MDM на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 443 iosmdm.mydom.global, необходимо настроить KCD на SPN (http/iosmdm.mydom.local) с использованием сертификата, выпущенного для FQDN (iosmdm.mydom.global). При этом следует учесть, что к публикации и публикуемой веб-службе должен быть применен один и тот же сертификат сервера.

Включение поддержки Kerberos Constrained Delegation

Программа поддерживает использование Kerberos Constrained Delegation.

Чтобы включить поддержку Kerberos Constrained Delegation:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В дереве консоли в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
3. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
4. В контекстном меню Сервера iOS MDM выберите пункт Свойства.
5. В окне свойств Сервера iOS MDM выберите раздел Параметры.
6. В разделе Параметры установите флажок Обеспечить совместимость с Kerberos constrained delegation.
7. Нажмите на кнопку ОК.

Установка Сервера iOS MDM

Чтобы установить Сервер iOS MDM на клиентское устройство, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. Нажмите на кнопку Установить Сервер iOS MDM.

   Запустится мастер развертывания Сервера iOS MDM. Пройдите все шаги мастера, нажимая на кнопку Далее.

3. На странице Выбор пакета установки выберите пакет установки Сервера iOS MDM, который требуется установить.

   Если в списке нет нужного пакета, нажмите на кнопку Новый, чтобы создать нужный пакет.

4. При необходимости на странице Выбор пакета установки Агента администрирования для комбинированной установки оставьте флажок Установить Агент администрирования вместе с этим приложением и выберите версию Агента администрирования, которую необходимо установить.
   Агент администрирования

   Компонент программы Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на конкретном сетевом узле (рабочей станции или сервере).

   требуется для подключения Сервера iOS MDM к Kaspersky Security Center. Если Агент администрирования уже установлен на устройстве, на котором необходимо установить Сервер iOS MDM, этот шаг можно пропустить.

5. На странице Параметры подключения в поле Внешний порт подключения к iOS MDM укажите внешний порт для подключения мобильных устройств к службе iOS MDM.

   Внешний порт 5223 используется мобильными устройствами для связи с APNs-сервером. Убедитесь, что в сетевом экране открыт порт 5223 для подключения к диапазону адресов 17.0.0.0/8.

   Для подключения устройства к Серверу iOS MDM по умолчанию используется порт 443. Если порт 443 уже используется другим сервисом или приложением, вместо него можно использовать, например, порт 9443.

   Сервер iOS MDM использует внешний порт 2197 для отправки уведомлений на APNs-сервер.

   APNs-серверы работают в режиме сбалансированной нагрузки. Мобильные устройства не всегда подключаются к одним и тем же IP-адресам для получения уведомлений. Диапазон адресов 17.0.0.0/8 зарезервирован за компанией Apple, поэтому рекомендуется указать его в качестве разрешенного диапазона в параметрах сетевого экрана.

6. Если вы хотите вручную настроить порты взаимодействия для компонентов программы, выберите параметр Настроить локальные порты вручную, а затем укажите значения следующих параметров:
   • Порт подключения к Агенту администрирования

     Укажите в поле порт подключения службы iOS MDM к Агенту администрирования. Порт по умолчанию: 9799.

   • Локальный порт подключения к службе iOS MDM

     Укажите в поле локальный порт подключения Агента администрирования к службе iOS MDM. Порт по умолчанию: 9899.

   Рекомендуется использовать значения по умолчанию.

7. В поле Адрес Сервера iOS MDM укажите адрес клиентского устройства, на котором будет установлен Сервер iOS MDM.

   Этот адрес будет использоваться для подключения управляемых мобильных устройств к службе iOS MDM. Клиентское устройство должно быть доступно для подключения устройств iOS MDM.

   Можно указать адрес клиентского устройства в одном из следующих форматов:

   • Использовать FQDN устройства

     Будет использоваться полное доменное имя (FQDN).

   • Использовать этот адрес

     Введите адрес устройства вручную.

   Не следует включать в строку с адресом URL-схему и номер порта: эти значения будут добавлены автоматически.

8. На странице Выбор устройств для установки выберите устройства, на которые нужно установить Сервер iOS MDM.
9. На странице Переместить в список управляемых устройств укажите, нужно ли перемещать устройства в какую-либо группу администрирования после установки Агента администрирования.

   Этот вариант применим, если на предыдущей странице выбрано одно или несколько нераспределенных устройств. Если были выбраны только управляемые устройства, пропустите этот шаг.

10. Задайте другие параметры в мастере. Подробная информация об удаленной установке приложений приведена в справке Kaspersky Security Center.

По окончании работы мастера Сервер iOS MDM будет установлен на выбранные устройства. Сервер iOS MDM отображается в папке Управление мобильными устройствами дерева консоли.

Мастер установки перейдет к шагу Установка APNs-сертификата. Если вы не хотите сразу переходить к управлению сертификатами, можно создать сертификат или установить уже существующий сертификат позже.

Получение APNs-сертификата

Если у вас уже есть APNs-сертификат, обновите его, а не создавайте новый. При замене существующего APNs-сертификата на новый Сервер администрирования теряет управление подключенными в данный момент мобильными устройствами iOS.

После создания запроса Certificate Signing Request (CSR-запрос) на первом шаге мастера получения APNs-сертификата его закрытый ключ сохраняется в оперативной памяти устройства. Поэтому все шаги мастера должны быть завершены в рамках одной сессии работы с программой.

Чтобы получить APNs-сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Запросить новый.

   Запустится мастер запроса нового APNs-сертификата.

6. Создайте запрос Certificate Signing Request (далее – CSR-запрос). Для этого:
   1. Нажмите на кнопку Создать CSR-запрос.
   2. В открывшемся окне Создание CSR-запроса укажите название запроса, название компании и отдела, город, регион и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Закрытый ключ сертификата будет сохранен в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на заверение в "Лабораторию Касперского" через ваш CompanyAccount.

   Заверение CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, позволяющего использовать Управление мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, заверенный "Лабораторией Касперского".

8. Отправьте заверенный файл CSR-запроса на веб-сайт Apple Inc. через произвольный Apple ID.

   Но мы не рекомендуем использовать персональный Apple ID. Создайте отдельный Apple ID для корпоративных целей. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите открытый ключ APNs-сертификата. Сохраните полученный файл на диск.

9. Экспортируйте APNs-сертификат вместе с закрытым ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого:
   1. В открывшемся окне мастера запроса нового APNs-сертификата нажмите на кнопку Закрыть CSR-запрос.
   2. В окне Открытие файла выберите файл с открытым ключом сертификата, полученный после обработки CSR-запроса от Apple Inc., и нажмите на кнопку Открыть.

      Начнется экспорт сертификата.

   3. В открывшемся окне введите пароль для закрытого ключа и нажмите на кнопку ОК.

      Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

   4. В открывшемся окне Сохранение APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку и нажмите на кнопку Сохранить.

Закрытый и открытый ключи сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX. После этого можно установить APNs-сертификат на Сервер iOS MDM.

Обновление APNs-сертификата

Чтобы обновить APNs-сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Обновить.

   Откроется мастер обновления APNs-сертификатов.

6. Создайте запрос Certificate Signing Request (далее – CSR-запрос). Для этого:
   1. Нажмите на кнопку Создать CSR-запрос.
   2. В открывшемся окне Создание CSR-запроса укажите название запроса, название компании и отдела, город, регион и страну.
   3. Нажмите на кнопку Сохранить и укажите имя файла, в котором будет сохранен CSR-запрос.

   Закрытый ключ сертификата будет сохранен в памяти устройства.

7. Отправьте созданный файл с CSR-запросом на заверение в "Лабораторию Касперского" через ваш CompanyAccount.

   Заверение CSR-запроса доступно только после загрузки на портал CompanyAccount ключа, позволяющего использовать Управление мобильными устройствами.

   После обработки вашего электронного запроса вы получите файл CSR-запроса, заверенный "Лабораторией Касперского".

8. Отправьте заверенный файл CSR-запроса на веб-сайт Apple Inc. через произвольный Apple ID.

   Но мы не рекомендуем использовать персональный Apple ID. Создайте отдельный Apple ID для корпоративных целей. Созданный Apple ID привяжите к почтовому ящику организации, а не отдельного сотрудника.

   После обработки CSR-запроса в Apple Inc. вы получите открытый ключ APNs-сертификата. Сохраните полученный файл на диск.

9. Запросите открытый ключ сертификата. Для этого выполните следующие действия:
   1. Перейдите на портал Apple Push Certificates. Для авторизации на портале потребуется Apple ID, полученный при первичном запросе сертификата.
   2. В списке сертификатов выберите сертификат, APSP-имя которого (в формате "APSP: <номер>") совпадает с APSP-именем сертификата, используемого Сервером iOS MDM, и нажмите на кнопку Обновить.

      APNs-сертификат будет обновлен.

   3. Сохраните созданный на портале сертификат.
10. Экспортируйте APNs-сертификат вместе с закрытым ключом, созданным при формировании CSR-запроса, в файл формата PFX. Для этого:
    1. В окне мастера обновления APNs-сертификатов нажмите на кнопку Закрыть CSR-запрос.
    2. В окне Открытие файла выберите файл с открытым ключом сертификата, полученный после обработки CSR-запроса в Apple Inc., и нажмите на кнопку Открыть.

       Начнется экспорт сертификата.

    3. В открывшемся окне введите пароль для закрытого ключа и нажмите на кнопку ОК.

       Заданный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

    4. В открывшемся окне Обновление APNs-сертификата укажите имя файла для сохранения APNs-сертификата, выберите папку и нажмите на кнопку Сохранить.

Закрытый и открытый ключи сертификата будут объединены, APNs-сертификат будет сохранен в файл формата PFX.

Настройка резервного сертификата Сервера iOS MDM

Функциональность Сервера iOS MDM позволяет выпустить резервный сертификат. Этот сертификат предназначен для использования в профилях iOS MDM, чтобы обеспечить переключение управляемых iOS-устройств после истечения срока действия сертификата Сервера iOS MDM.

Если ваш Сервер iOS MDM по умолчанию использует сертификат, выпущенный "Лабораторией Касперского", вы можете выпустить резервный сертификат (или указать собственный сертификат в качестве резервного) до истечения срока действия сертификата Сервера iOS MDM. По умолчанию резервный сертификат будет выпущен автоматически за 60 дней до истечения срока действия сертификата Сервера iOS MDM. Резервный сертификат Сервера iOS MDM становится основным сразу после истечения срока действия сертификата Сервера iOS MDM. Открытый ключ распространяется на все управляемые устройства через конфигурационные профили, поэтому вам не нужно передавать его вручную.

Чтобы выпустить резервный сертификат Сервера iOS MDM или указать пользовательский резервный сертификат, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В списке серверов мобильных устройств выберите соответствующий Сервер iOS MDM и на правой панели нажмите на кнопку Настроить Сервер iOS MDM.
3. В открывшемся окне параметров Сервера iOS MDM выберите раздел Сертификаты.
4. В блоке параметров Резервный сертификат выполните одно из следующих действий:
   • Если вы планируете и дальше использовать самозаверенный сертификат (то есть сертификат, выпущенный "Лабораторией Касперского"), выполните следующие действия:
     1. Нажмите на кнопку Выпустить.
     2. В открывшемся окне Дата активации выберите один из двух вариантов даты, когда необходимо применить резервный сертификат:
        • Если вы хотите применить резервный сертификат в момент истечения срока действия текущего сертификата, выберите параметр По истечении срока действия текущего сертификата.
        • Если вы хотите применить резервный сертификат до истечения срока действия текущего сертификата, выберите параметр По истечении указанного периода (в днях). В поле ввода рядом с этим параметром укажите продолжительность периода, по истечении которого резервный сертификат должен заменить текущий сертификат.

        Срок действия указанного вами резервного сертификата не может превышать срок действия текущего сертификата Сервера iOS MDM.

     3. Нажмите на кнопку OK.

     Будет выписан резервный сертификат Сервера iOS MDM.

   • Если вы планируете применить пользовательский сертификат, выпущенный вашим центром сертификации, выполните следующие действия:
     1. Нажмите на кнопку Добавить.
     2. В открывшемся окне проводника укажите файл сертификата в формате PEM, PFX или P12, который хранится на вашем устройстве, и нажмите на кнопку Открыть.

     Пользовательский сертификат указан как резервный сертификат Сервера iOS MDM.

Резервный сертификат Сервера iOS MDM указан. Подробная информация о резервном сертификате отображается в блоке параметров Резервный сертификат (название сертификата, компания, выпустившая сертификат, срок действия и дата применения резервного сертификата, если указана).

Установка APNs-сертификата на Сервер iOS MDM

После получения APNs-сертификата необходимо установить его на Сервер iOS MDM.

Чтобы установить APNs-сертификат на Сервер iOS MDM, выполните следующие действия:

1. В дереве консоли, в папке Управление мобильными устройствами выберите подпапку Серверы мобильных устройств.
2. В рабочей области папки Серверы мобильных устройств выберите Сервер iOS MDM.
3. В контекстном меню Сервера iOS MDM выберите пункт Свойства.

   Откроется окно свойств Сервера iOS MDM.

4. В окне свойств Сервера iOS MDM выберите раздел Сертификаты.
5. В разделе Сертификаты в блоке параметров Сертификат Apple Push Notification нажмите на кнопку Установить.
6. Выберите файл формата PFX, содержащий APNs-сертификат.
7. Введите пароль закрытого ключа, указанный при экспорте APNs-сертификата.

APNs-сертификат будет установлен на Сервер iOS MDM. Информация о сертификате будет отображаться в окне свойств Сервера iOS MDM в разделе Сертификаты.

Настройка доступа к сервису Apple Push Notification

Чтобы обеспечить корректную работу веб-службы iOS MDM и своевременное реагирование мобильных устройств на команды администратора, в параметрах Сервера iOS MDM нужно указать сертификат Apple Push Notification Service (далее – APNs-сертификат).

Взаимодействуя со службой Apple Push Notification (далее – APNs), веб-служба iOS MDM подключается к внешнему адресу api.push.apple.com по исходящему порту 2197. Поэтому веб-службе iOS MDM необходимо предоставить доступ к порту TCP 2197 для диапазона адресов 17.0.0.0/8. Со стороны iOS-устройства – доступ к порту TCP 5223 для диапазона адресов 17.0.0.0/8.

Если доступ к APNs со стороны веб-службы iOS MDM будет предоставляться через прокси-сервер, то на устройстве с установленной веб-службой iOS MDM необходимо выполнить следующие действия.

1. Добавить в реестр следующие строки.
   • Для 32-разрядных операционных систем:

   HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Имя прокси-узла>" "ApnProxyPort"="<Порт прокси-сервера>" "ApnProxyLogin"="<Логин для прокси-сервера>" "ApnProxyPwd"="<Пароль для прокси-сервера>"

   • Для 64-разрядных операционных систем:

   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset "ApnProxyHost"="<Имя прокси-узла>" "ApnProxyPort"="<Порт прокси-сервера>" "ApnProxyLogin"="<Логин для прокси-сервера>" "ApnProxyPwd"="<Пароль для прокси-сервера>"

2. Перезапустить веб-службу iOS MDM.

Подключение KES-устройств к Серверу администрирования

В зависимости от способа подключения устройств к Серверу администрирования существуют две схемы развертывания:

• схема развертывания с прямым подключением устройств к Серверу администрирования;
• схема развертывания с использованием Forefront Threat Management Gateway (TMG).

Прямое подключение устройств к Серверу администрирования

KES-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от способа аутентификации существуют два варианта подключения KES-устройств к Серверу администрирования:

• с использованием пользовательского сертификата;
• без пользовательского сертификата.

Подключение устройства с использованием пользовательского сертификата

При подключении устройства с использованием пользовательского сертификата оно привязывается к учетной записи пользователя, для которой был назначен соответствующий сертификат через средства Сервера администрирования.

В этом случае будет использована двусторонняя (взаимная) аутентификация SSL. Сервер администрирования и устройство будут аутентифицированы с помощью сертификатов.

Подключение устройства без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано ни к одной учетной записи пользователя на Сервере администрирования. Но при получении устройством любого сертификата оно будет привязано к пользователю, которому был назначен соответствующий сертификат через средства Сервера администрирования.

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация, при которой только Сервер администрирования аутентифицируется с помощью сертификата. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю (взаимную) SSL-аутентификацию.

Схема подключения KES-устройств к Серверу с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Схема подключения KES-устройств к Серверу администрирования с использованием принудительного делегирования Kerberos Constrained Delegation (KCD) предполагает:

• интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
• использование принудительного делегирования Kerberos Constrained Delegation (далее – KCD) для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) для применения пользовательских сертификатов.

При использовании этой схемы подключения следует учесть следующее:

• В качестве типа подключения KES-устройств к TMG следует выбрать двустороннюю аутентификацию SSL, то есть устройство должно подключаться к TMG по своему пользовательскому сертификату. Для этого в установленный на устройстве пакет установки Kaspersky Endpoint Security для Android необходимо интегрировать пользовательский сертификат. Этот KES-пакет создается Сервером администрирования специально для данного устройства (пользователя).
• Вместо сертификата сервера, используемого по умолчанию, для мобильного протокола следует указать особый (персонализированный) сертификат:
  1. В окне свойств Сервера администрирования в разделе Параметры установите флажок Открыть порт для мобильных устройств и в раскрывающемся списке выберите Добавить сертификат.
  2. В открывшемся окне укажите тот же сертификат, что задан на TMG при публикации точки доступа к мобильному протоколу на Сервере администрирования.
• Пользовательские сертификаты для KES-устройств должны быть выпущены доменным Центром сертификации (ЦС). Следует учесть, что если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выписаны тем Центром сертификации, который указан в публикации на TMG.

  Обеспечить соответствие пользовательского сертификата заявленному выше требованию возможно несколькими способами:

  • Указать особый пользовательский сертификат в мастере создания пакета установки и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
    3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

• точка доступа к мобильному протоколу на Сервере администрирования настроена на порте 13292;
• имя устройства с TMG – tmg.mydom.local;
• имя устройства с Сервером администрирования – ksc.mydom.local;
• имя внешней публикации точки доступа к мобильному протоколу – kes4mob.mydom.global.

Доменная учетная запись для Сервера администрирования

Необходимо создать доменную учетную запись (например, KSCMobileSrvcUsr), под которой будет работать служба Сервера администрирования. Указать учетную запись для службы Сервера администрирования можно при установке Сервера администрирования или с помощью утилиты klsrvswch. Утилита klsrvswch расположена в папке установки Сервера администрирования.

Указать доменную учетную запись необходимо по следующим причинам:

• Управление KES-устройствами – неотъемлемая функция Сервера администрирования.
• Для правильной работы принудительного делегирования Kerberos Constrained Delegation (KCD) принимающая сторона (то есть Сервер администрирования) должна работать под доменной учетной записью.

Имя субъекта-службы (SPN) для http/kes4mob.mydom.local

В домене под учетной записью KSCMobileSrvcUsr требуется прописать SPN для публикации службы мобильного протокола на порте 13292 устройства с Сервером администрирования. Для устройства kes4mob.mydom.local с Сервером администрирования требуется прописать следующее:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика нужно доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/kes4mob.mydom.local:13292).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/kes4mob.mydom.local:13292), администратор должен выполнить следующие действия:

1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN http/kes4mob.mydom.local:13292.

Особый (персонализированный) сертификат для публикации (kes4mob.mydom.global)

Для публикации мобильного протокола Сервера администрирования требуется выписать особый (персонализированный) сертификат на FQDN kes4mob.mydom.global и указать его вместо сертификата сервера, используемого по умолчанию, в параметрах мобильного протокола Сервера администрирования в Консоли администрирования. Для этого в окне свойств Сервера администрирования в разделе Параметры необходимо установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.

Следует учесть, что в контейнере с сертификатом сервера (файл с расширением p12 или pfx) должна также присутствовать цепочка корневых сертификатов (открытые ключи).

Настройка публикации на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 13292 kes4mob.mydom.global, необходимо настроить KCD на SPN (http/kes4mob.mydom.local:13292) с использованием сертификата сервера, выпущенного для FQND kes4mob.mydom.global. Следует учесть, что к публикации и публикуемой точке доступа (порт 13292 Сервера администрирования) должен быть применен один и тот же сертификат сервера.

Использование Firebase Cloud Messaging

Для своевременной доставки команд на KES-устройства под управлением операционной системы Android в Kaspersky Security Center используется механизм push-нотификаций. Push-нотификации между KES-устройствами и Сервером администрирования осуществляются с помощью сервиса Firebase Cloud Messaging (далее – FCM). В Консоли администрирования Kaspersky Security Center вы можете указать параметры сервиса Cloud Messaging, чтобы подключить KES-устройства к этому сервису.

Для получения параметров Firebase Cloud Messaging вам необходимо иметь учетную запись Google.

Чтобы включить использование FCM, выполните следующие действия:

1. В Консоли администрирования выберите узел Управление мобильными устройствами и папку Мобильные устройства.
2. В контекстном меню папки Мобильные устройства выберите пункт Свойства.
3. В окне свойств папки выберите раздел Параметры Firebase Cloud Messaging.
4. В поле Номер проекта Firebase укажите Sender ID FCM.
5. В поле Файл закрытого ключа (в формате JSON) выберите файл приватного ключа.

При следующей синхронизации с Сервером администрирования KES-устройства под управлением операционной системы Android будут подключены к службе Firebase Cloud Messaging.

Вы можете изменить параметры Firebase Cloud Messaging по кнопке Сбросить параметры.

При переключении на другой проект Firebase работа FCM возобновляется через 10 минут.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны KES-устройства необходим доступ к портам 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) и 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • все IP-адреса из списка "ASN 15169 Google".
• Со стороны Сервера администрирования необходим доступ к порту 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • все IP-адреса из списка "ASN 15169 Google".

В случае, если в Консоли администрирования в свойствах Сервера администрирования заданы параметры прокси-сервера (Дополнительно / Параметры доступа к интернету), они будут использованы для взаимодействия с FCM.

Настройка FCM: получение Sender ID и файла приватного ключа

Чтобы настроить FCM, выполните следующие действия:

1. Зарегистрируйтесь на портале Google.
2. Перейдите в консоль Firebase.
3. Выполните одно из следующих действий:
   • Чтобы создать новый проект, нажмите на кнопку Create a project и следуйте инструкциям на экране.
   • Откройте существующий проект.
4. Нажмите на значок шестеренки и выберите Project settings.

   Откроется окно Project settings.

5. Выберите вкладку Cloud Messaging.
6. Скопируйте Sender ID из поля Sender ID в разделе Firebase Cloud Messaging API (V1).
7. Выберите вкладку Service accounts и нажмите на кнопку Generate new private key.
8. В открывшемся окне нажмите на кнопку Generate key, чтобы сгенерировать и загрузить файл приватного ключа.

Firebase Cloud Messaging настроен.

Выключение Управления мобильными устройствами

Выключение Управления мобильными устройствами доступно только на главном Сервере администрирования.

Чтобы выключить Управление мобильными устройствами:

1. В дереве консоли выберите папку Управление мобильными устройствами.
2. В рабочей области папки перейдите по ссылке Добавить мобильное устройство iOS.

   Отобразится окно Дополнительные компоненты мастера первоначальной настройки Сервера администрирования.

3. Выберите пункт Не включать Управление мобильными устройствами, если вы больше не хотите управлять мобильными устройствами.
4. Нажмите на кнопку ОК.

Ранее подключенные мобильные устройства не смогут подключиться к Серверу администрирования. Порт подключения мобильных устройств и порт активации мобильных устройств будут закрыты автоматически.

Созданные политики Kaspersky Endpoint Security для Android и Kaspersky Device Management для iOS не будут удалены. Правила выпуска сертификатов не изменяются. Установленные плагины не удаляются. Правило перемещения мобильных устройств не будет удалено.

После повторного включения Управления мобильными устройствами на управляемых мобильных устройствах может потребоваться переустановка мобильных приложений, которые необходимы для управления мобильными устройствами.