Подготовка Консоли администрирования к развертыванию комплексного решения

Этот раздел содержит инструкции по подготовке Консоли администрирования к развертыванию комплексного решения.

Настройка параметров Сервера администрирования для подключения мобильных устройств

Чтобы мобильные устройства могли подключиться к Серверу администрирования, перед установкой мобильного приложения Kaspersky Endpoint Security настройте параметры подключения устройств в свойствах Сервера администрирования.

Чтобы настроить параметры Сервера администрирования для подключения мобильных устройств:

1. В контекстном меню Сервера администрирования выберите пункт Свойства.

   Откроется окно свойств Сервера администрирования.

2. Настройте порты Сервера администрирования, используемые для мобильных устройств:
   1. Выберите раздел Параметры подключения к Серверу администрирования → Дополнительные порты.
   2. Установите флажок Открывать порт для мобильных устройств.
   3. В поле Порт для синхронизации мобильных устройств укажите порт, по которому мобильные устройства будут подключаться к Серверу администрирования.

      По умолчанию указан порт 13292.

      Если флажок Открывать порт для мобильных устройств снят или порт для подключения указан неверно, мобильные устройства не смогут подключаться к Серверу администрирования.

   4. В поле Порт для активации мобильных устройств укажите порт для подключения мобильных устройств к Серверу администрирования для активации приложения Kaspersky Endpoint Security для Android.

      По умолчанию указан порт 17100.

   5. Нажмите OK.
3. При необходимости замените сертификат, используемый устройствами для подключения к Серверу администрирования:

   По умолчанию используется сертификат, созданный при установке Сервера администрирования. Замените сертификат, выданный Сервером администрирования, на другой сертификат или перевыпустите его.

   1. Выберите раздел Сертификаты.
   2. Задайте необходимые параметры.
4. Укажите резервный сертификат Сервера администрирования.

   Вам необходимо указать резервный сертификат Сервера администрирования, чтобы обеспечить соответствие требованиям безопасности вашей организации и поддержать постоянное соединение управляемых устройств с Сервером. Резервный сертификат не выпускается по умолчанию.

5. Нажмите Сохранить, чтобы сохранить измененные параметры и закрыть окно свойств Сервера администрирования.

После настройки параметров подключения мобильных устройств можно установить приложение Kaspersky Endpoint Security для Android или Kaspersky Security для iOS на мобильные устройства и подключить их к Серверу администрирования, используя указанные параметры.

Настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center

В этом разделе описывается настройка шлюза соединения для подключения мобильных устройств к Серверу администрирования Kaspersky Security Center. Настройка включает в себя следующие шаги:

1. Установка Агента администрирования в качестве шлюза соединения на хосте.
2. Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center.

Эта статья содержит обзор сценария. Более подробная информация приведена в документации Kaspersky Security Center.

Требования

Чтобы шлюз соединения корректно работал с мобильными устройствами, должны соблюдаться следующие требования:

• Порт 13292 должен быть открыт на хосте со шлюзом соединения.
• Порт 13000 должен быть открыт между шлюзом соединения и Kaspersky Security Center. Его открытие наружу из демилитаризованной зоны не требуется.
• Хост должен иметь статический адрес, доступный из интернета.

Установка Агента администрирования на хост, выполняющий роль шлюза соединения

Сначала необходимо установить Агент администрирования на выбранном устройстве-хосте, который будет выступать в качестве шлюза соединения. Вы можете загрузить полный инсталляционный пакет Kaspersky Security Center или установить Kaspersky Security Center локально.

По умолчанию установочный файл расположен по следующему пути: \\<server name>\KLSHARE\PkgInst\NetAgent_<version number>

Чтобы установить Агент администрирования в роли шлюза соединения:

1. Запустите Мастер установки Агента администрирования и следуйте его указаниям, оставляя настройки по умолчанию для всех параметров, пока не откроется окно Выбор Сервера администрирования.
2. В окне Выбор Сервера администрирования настройте следующие параметры:
   • Введите адрес устройства с установленным Сервером администрирования.
   • Оставьте значения по умолчанию в полях Порт, SSL-порт и UDP-порт.
   • Установите флажок Использовать SSL для соединения с Сервером администрирования, чтобы установить соединение с Сервером администрирования через защищенный порт с использованием SSL.

     Рекомендуется не снимать этот флажок, чтобы соединение оставалось защищенным.

   • Установите флажок Разрешить Агенту администрирования открыть UDP-порт, чтобы управлять клиентскими устройствами и получать о них информацию.
3. Нажмите Далее и пройдите все шаги мастера до появления окна Шлюз соединения, оставляя настройки по умолчанию.
4. В окне Шлюз соединения выберите Использовать в качестве шлюза соединения в демилитаризованной зоне.

   Этот режим одновременно активирует Агент администрирования в роли шлюза соединения и переключает его на ожидание подключений от Сервера администрирования, а не на установку подключения к Серверу администрирования.

5. Нажмите Далее и начните установку.

Теперь Агент администрирования установлен и настроен в качестве шлюза соединения.

Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center

После установки Агента администрирования в качестве шлюза соединения необходимо подключить его к Серверу администрирования. Сервер администрирования пока не отображает устройство со шлюзом соединения в списке управляемых устройств, поскольку шлюз соединения еще не подключался к Серверу администрирования. По этой причине необходимо добавить шлюз соединения как точку распространения, чтобы убедиться, что Сервер администрирования инициирует подключение к шлюзу соединения.

Чтобы настроить шлюз соединения на Сервере администрирования:

1. Добавьте шлюз соединения как точку распространения в Kaspersky Security Center.
   1. В дереве консоли выберите узел Сервер администрирования.
   2. В контекстном меню Сервера администрирования выберите пункт Свойства.
   3. В окне свойств Сервера администрирования выберите раздел Точки распространения.
   4. Нажмите на кнопку Добавить.

      Откроется окно Добавление точки распространения.

   5. В окне Добавление точки распространения выполните следующие действия:
      • Укажите IP-адрес устройства с установленным Агентом администрирования в поле Устройство, которое будет выполнять роль точки распространения. Для этого выберите пункт Добавить шлюз соединения, находящийся в демилитаризованной зоне, по адресу в раскрывающемся списке.

        Введите IP-адрес шлюза соединения или имя шлюза соединения, если к нему можно получить доступ по имени.

      • В поле Область действия точки распространения, в раскрывающемся списке выберите группу, на которую будет распространяться шлюз соединения, а затем нажмите ОК.
   6. В разделе Точки распространения нажмите ОК, чтобы сохранить внесенные изменения.

   Шлюз соединения будет сохранен как новая запись под именем Временная запись для шлюза соединения.

   Сервер администрирования практически сразу попытается подключиться к шлюзу соединения по указанному вами адресу. При удачном подключении имя записи изменится на имя устройства шлюза соединения. Этот процесс занимает до 5 минут.

   Пока временная запись для шлюза соединения переводится в именованную запись, шлюз соединения также отображается в группе Нераспределенные устройства.

2. Создайте новую группу в группе Управляемые устройства. В эту группу будут входить внешние управляемые устройства.
3. Переместите шлюз соединения из группы Нераспределенные устройства в группу, которую вы создали для внешних устройств.
4. Настройте свойства шлюза соединения, который вы развернули:
   1. В свойствах Сервера администрирования, в разделе Точки распространения выберите шлюз соединения и нажмите Свойства.
   2. В разделе Общие, в свойстве Имена DNS-доменов точки распространения, под которыми она будет доступна мобильным устройствам (включаются в сертификат) укажите DNS-имя шлюза соединения, которое будет использоваться для подключения к мобильному устройству.
   3. В разделе Шлюз соединения установите следующие флажки, оставляя номера портов по умолчанию:
      • Открыть порт для мобильных устройств (аутентификация SSL только для Сервера администрирования).
      • Открыть порт для мобильных устройств (двусторонняя аутентификация SSL).
   4. Нажмите OK, чтобы сохранить внесенные изменения.

Шлюз соединения настроен. Теперь вы можете добавлять новые мобильные устройства, указав адрес шлюза соединения. Новые устройства появятся на Сервере администрирования.

Отображение папки "Управление мобильными устройствами" в Консоли администрирования

Отображение папки Управление мобильными устройствами в Консоли администрирования позволяет просматривать перечень мобильных устройств, находящихся под управлением Сервера администрирования, настраивать параметры управления мобильными устройствами и устанавливать сертификаты на мобильные устройства пользователей.

Чтобы включить отображение папки Управление мобильными устройствами в Консоли администрирования, выполните следующие действия:

1. В контекстном меню Сервера администрирования выберите пункт Вид → Настройка интерфейса.
2. В открывшемся окне установите флажок Отображать Управление мобильными устройствами.
3. Нажмите кнопку OK.

Папка Управление мобильными устройствами будет отображаться в дереве Консоли администрирования после перезапуска Консоли администрирования.

Создание группы администрирования

Централизованная настройка параметров приложения Kaspersky Endpoint Security для Android, установленного на мобильных устройствах пользователей, выполняется посредством применения к этим устройствам групповых политик.

Для того чтобы применить политику к группе устройств, перед установкой мобильных приложений на устройства пользователей рекомендуется создать для этих устройств отдельную группу администрирования в папке Управляемые устройства.

После создания группы администрирования рекомендуется настроить автоматическое перемещение в эту группу устройств, на которые вы хотите установить приложения. Затем необходимо задать общие для всех устройств параметры с помощью групповой политики.

Чтобы создать группу администрирования, выполните следующие действия:

1. В дереве консоли выберите папку Управляемые устройства.
2. В рабочей области папки Управляемые устройства или вложенной папки выберите закладку Устройства.
3. Нажмите на кнопку Создать группу.

   Откроется окно создания новой группы.

4. В открывшемся окне Имя группы введите имя группы и нажмите на кнопку ОК.

В результате в дереве консоли появится новая папка группы администрирования с заданным именем. Подробная информация о работе с группами администрирования приведена в справке Kaspersky Security Center.

Создание правила автоматического переноса устройств в группу администрирования

Централизованное управление параметрами приложения Kaspersky Endpoint Security для Android, установленного на мобильных устройствах пользователей, возможно, только если эти устройства находятся в созданной ранее группе администрирования, для которой назначена групповая политика.

Если правило автоматического перемещения обнаруженных в сети мобильных устройств в группу администрирования не задано, то при первой синхронизации устройства с Сервером администрирования устройство автоматически попадает в Консоль администрирования в папку Дополнительно → Обнаружение устройств → Домены → KES10 (папка KES10 используется по умолчанию). Групповая политика к этому устройству не применяется.

Чтобы создать правило автоматического перемещения мобильных устройств в группу администрирования, выполните следующие действия:

1. В дереве консоли выберите папку Нераспределенные устройства.
2. В контекстном меню папки Нераспределенные устройства выберите пункт Свойства.

   В результате откроется окно Свойства: Нераспределенные устройства.

3. В разделе Перемещение устройств нажмите на кнопку Добавить, чтобы запустить процесс создания правила автоматического перемещения устройств в группу администрирования.

   Откроется окно Новое правило.

4. Введите имя правила.
5. Укажите группу администрирования, в которую должны помещаться устройства после установки на них мобильного приложения Kaspersky Endpoint Security для Android. Для этого нажмите на кнопку Обзор справа от поля Группа, в которую следует перемещать устройства и в открывшемся окне выберите группу.
6. В разделе Применение правила выберите вариант Выполняется один раз для каждого устройства.
7. Установите флажок Перемещать только устройства, которые не входят ни в одну группу администрирования для того чтобы в результате применения правила мобильные устройства, уже распределенные в другие группы администрирования, не были перемещены в выбранную группу.
8. Установите флажок Включить правило, чтобы правило применялось для только что обнаруженных устройств.
9. Откройте раздел Приложения и выполните следующие действия:
   1. Установите флажок Версия операционной системы.
   2. Выберите один или несколько типов операционной системы устройств, которые будут перемещаться в указанную группу: Android или iOS.
10. Нажмите кнопку OK.

Созданное правило отображается в списке правил перемещения устройств в разделе Перемещение устройств окна свойств папки Нераспределенные устройства.

В результате выполнения правила Kaspersky Security Center переносит все устройства, соответствующие заданным условиям, из папки Нераспределенные устройства в указанную вами группу администрирования. Мобильные устройства, ранее распределенные в папку Нераспределенные устройства, также могут быть перемещены в нужную группу администрирования папки Управляемые устройства вручную. Подробная информация об управлении группами администрирования и работе с нераспределенными устройствами приведена в справке Kaspersky Security Center.

Работа с сертификатами для мобильных устройств

Этот раздел содержит информацию о работе с сертификатами мобильных устройств. В разделе приведены инструкции по установке сертификатов на мобильные устройства пользователей и по настройке правил выписки сертификатов. Раздел также содержит инструкции по интеграции программы с инфраструктурой открытых ключей и по настройке поддержки Kerberos.

Перевыпуск мобильного сертификата Сервера администрирования

Вам необходимо указать резервный сертификат Сервера администрирования в параметрах перевыпуска сертификата, чтобы обеспечить соответствие требованиям безопасности вашей организации и поддержать постоянное соединение управляемых устройств с Сервером. Резервный сертификат не выпускается по умолчанию.

Мы рекомендуем указывать резервный сертификат при установке Сервера администрирования или не позднее, чем за 30 дней до истечения срока действия основного сертификата. Точное время истечения сертификата доступно в параметрах сертификата в поле Действителен до (контекстное меню Сервера администрирования: Свойства → Параметры подключения к Серверу администрирования → Сертификаты).

Максимальный срок действия любого сертификата Сервера администрирования не превышает 397 дней.

Резервный сертификат доставляется на устройство при синхронизации и становится основным сразу после истечения срока действия основного сертификата. Если срок действия сертификата истек, а резервный сертификат не указан, связь между Сервером администрирования и Kaspersky Endpoint Security на управляемых устройствах будет потеряна. В этом случае для повторного подключения устройств необходимо указать новый сертификат и переустановить Kaspersky Endpoint Security на каждом из управляемых устройств.

Чтобы перевыпустить сертификат Сервера администрирования с отложенной заменой (указать сертификат как резервный):

1. В дереве консоли в контекстном меню Сервера администрирования выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите Параметры подключения к Серверу администрирования → Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выпущенный Kaspersky Security Center:
   1. В группе параметров Аутентификация Сервера администрирования мобильными устройствами выберите параметр Сертификат выпущен средствами Сервера администрирования и нажмите Перевыпустить.
   2. В открывшемся окне Перевыпуск сертификата:
      1. В группе параметров Адрес подключения выберите пункт Оставить адрес подключения прежним или пункт Изменить адрес подключения на, если будет использован новый адрес подключения.
      2. В группе параметров Срок активации выберите пункт Через указанный срок (сут), чтобы указать сертификат в качестве резервного.

         Рекомендуется указать срок активации сертификата не менее 30 дней, чтобы все устройства успели получить сертификат. Обратите внимание, что указанный период должен быть больше периода синхронизации устройств с Сервером администрирования. Подробная информация о настройке параметров синхронизации устройств с Сервером администрирования приведена в разделе Настройка параметров синхронизации.

      3. Нажмите ОК.
      4. В появившемся окне нажмите Да.

   Если вы планируете использовать собственный сертификат:

   1. Проверьте, соответствует ли ваш сертификат требованиям Kaspersky Security Center и требованиям к доверенным сертификатам Apple. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите Обзор.
   3. В открывшемся окне Сертификат в поле Тип сертификата выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали Контейнер PKCS#12, нажмите на кнопку Обзор рядом с полем Файл сертификата и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль (если есть).
      • Если вы выбрали X.509-сертификат, нажмите на кнопку Обзор рядом с полем Закрытый ключ (.prk, .pem) и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль (если есть). Нажмите на кнопку Обзор рядом с полем Открытый ключ (.cer) и укажите закрытый ключ на жестком диске.
   4. В группе параметров Срок активации выберите пункт Через указанный срок (сут), чтобы указать сертификат в качестве резервного.
   5. В окне Сертификат нажмите ОК.
   6. В появившемся окне нажмите Да.

Сертификат перевыпущен для использования в качестве сертификата Сервера администрирования или указан как резервный.

Чтобы немедленно перевыпустить сертификат Сервера администрирования (не рекомендуется, если есть управляемые мобильные устройства):

Не рекомендуется выбирать Немедленно в случае, если у вас есть управляемые мобильные устройства. При выборе опции будет потеряна связь со всеми управляемыми устройствами, так как новый сертификат не будет доставлен на устройства, а ранее действующий сертификат потеряет силу.

1. В дереве консоли в контекстном меню Сервера администрирования выберите пункт Свойства.
2. В окне свойств Сервера администрирования выберите Параметры подключения к Серверу администрирования → Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выпущенный Kaspersky Security Center:
   1. В группе параметров Аутентификация Сервера администрирования мобильными устройствами выберите параметр Сертификат выпущен средствами Сервера администрирования и нажмите Перевыпустить.
   2. В открывшемся окне Перевыпуск сертификата:
      1. В группе параметров Адрес подключения выберите пункт Оставить адрес подключения прежним или пункт Изменить адрес подключения на, если будет использован новый адрес подключения.
      2. В группе параметров Срок активации выберите пункт Немедленно.
   3. Нажмите ОК.
   4. В появившемся окне нажмите Да.

   Если вы планируете использовать собственный сертификат:

   1. Проверьте, соответствует ли ваш сертификат требованиям Kaspersky Security Center и требованиям к доверенным сертификатам Apple. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите Обзор.
   3. В открывшемся окне Сертификат в поле Тип сертификата выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали Контейнер PKCS#12, нажмите на кнопку Обзор рядом с полем Файл сертификата и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль (если есть).
      • Если вы выбрали X.509-сертификат, нажмите на кнопку Обзор рядом с полем Закрытый ключ (.prk, .pem) и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль (если есть). Нажмите на кнопку Обзор рядом с полем Открытый ключ (.cer) и укажите закрытый ключ на жестком диске.
   4. В группе параметров Срок активации выберите пункт Немедленно.
   5. В окне Сертификат нажмите ОК.
   6. В появившемся окне нажмите Да.

Сертификат перевыпущен для использования в качестве сертификата Сервера администрирования или указан как резервный.

Дополнительная информация о сертификатах представлена в справке Kaspersky Security Center.

Настройка правил выпуска сертификатов

Сертификаты используются для аутентификации устройств на Сервере администрирования. Все управляемые мобильные устройства должны иметь сертификаты. Можно настроить способ выпуска сертификатов.

Чтобы настроить правила выпуска сертификатов:

1. В дереве консоли в папке Управление мобильными устройствами выберите подпапку Сертификаты.
2. В рабочей области папки Сертификаты по кнопке Добавить сертификат откройте окно Правила выпуска сертификатов.
3. Перейдите в раздел с названием типа сертификата:

   Выпуск мобильных сертификатов — для настройки выпуска сертификатов для мобильных устройств.

   Выпуск почтовых сертификатов — для настройки выпуска почтовых сертификатов.

   Выпуск VPN-сертификатов — для настройки выпуска VPN-сертификатов.

4. В блоке Параметры выпуска настройте выпуск сертификата:
   • Укажите срок действия сертификата в днях.
   • Выберите источник сертификатов (Сервер администрирования или Сертификаты задаются вручную).

     По умолчанию источником сертификатов выбран Сервер администрирования.

   • Задайте шаблон сертификатов (Шаблон по умолчанию, Другой шаблон).

     Настройка шаблонов доступна, если в разделе Интеграция с PKI настроена интеграция с инфраструктурой открытых ключей.

5. Для VPN-сертификатов и почтовых сертификатов, если настроена интеграция с PKI, включите и настройте автоматический выпуск сертификата при подключении устройства к Kaspersky Security Center.

   Для этого в разделе Автоматическая выписка сертификата <тип сертификата> при подключении устройства установите флажки Выписывать для KES-устройств под управлением Kaspersky Secure Mobility Management и/или Выписывать для iOS MDM-устройств.

   Если вы установили флажок Выписывать для iOS MDM-устройств, выберите тег выпуска сертификата в раскрывающемся списке. Доступны следующие теги: Шаблон сертификата 1, Шаблон сертификата 2 или Шаблон сертификата 3.

   Вы можете настроить дальнейшее использование выбранного тега для выпуска сертификата в следующих разделах:

   • Если в окне Правила выпуска сертификатов выбран раздел Выпуск почтовых сертификатов:
     • В свойствах учетной записи электронной почты для iOS MDM-устройств.
     • В свойствах учетной записи Exchange ActiveSync для iOS MDM-устройств.
   • Если в окне Правила выпуска сертификатов выбран раздел Выпуск VPN-сертификатов:
     • В свойствах сети VPN для iOS MDM-устройств.
     • В свойствах сети Wi-Fi для iOS MDM-устройств.
6. В блоке Параметры автоматического обновления настройте автоматическое обновление сертификата:
   • В поле Обновлять, когда до истечения срока действия осталось (сут) укажите, за какое количество дней до истечения срока действия нужно обновлять сертификат.
   • Чтобы включить автоматическое обновление сертификатов, установите флажок Автоматически перевыпускать сертификат, если это возможно.

   Мобильный сертификат можно перевыпускать только вручную.

7. В блоке Защита паролем включите и настройте использование пароля при расшифровке сертификатов.

   Защита паролем доступна только для мобильных сертификатов.

   1. Установите флажок Запрашивать пароль при установке сертификата.
   2. С помощью ползунка настройте максимальное количество символов в пароле для шифрования.
8. Нажмите на кнопку ОК.

Создание сертификата мобильных устройств

Развернуть всё | Свернуть всё

На мобильном устройстве пользователя можно создавать сертификаты следующих типов:

• Мобильные сертификаты для идентификации мобильного устройства.
• Почтовые сертификаты для настройки корпоративной почты на мобильном устройстве.
• VPN-сертификат для настройки на мобильном устройстве доступа к виртуальной частной сети.

Чтобы создать сертификат мобильного устройства:

1. В дереве консоли выберите папку Управление мобильными устройствами → Сертификаты.
2. В рабочей области папки Сертификаты нажмите на кнопку Добавить сертификат, чтобы запустить мастер установки сертификатов.
3. На странице Тип сертификата укажите тип сертификата, который необходимо установить на мобильное устройство пользователя:
   • Мобильный сертификат

     Этот сертификат нужен для идентификации мобильного устройства.

   • Почтовый сертификат

     Этот сертификат нужен для настройки корпоративной почты на мобильном устройстве.

   • VPN-сертификат

     Этот сертификат нужен для настройки доступа к виртуальной частной сети на мобильном устройстве.

4. На странице Выбор типа устройства укажите тип операционной системы на устройстве:
   • iOS MDM-устройство

     Выберите этот вариант, если вы хотите установить сертификат на мобильное устройство, подключенное к серверу iOS MDM по протоколу iOS MDM.

   • KES-устройство под управлением Kaspersky Security для мобильных устройств

     Выберите этот вариант, если хотите установить сертификат на KES-устройство. В этом случае сертификат будет использоваться при подключении к Серверу администрирования для идентификации пользователя.

   • KES-устройство, которое подключается к Серверу администрирования без аутентификации по пользовательскому сертификату

     Выберите этот вариант, если вы хотите установить сертификат на устройство KES без аутентификации по сертификату. В этом случае на последнем шаге работы мастера в окне Способ уведомления пользователей необходимо выбрать тип авторизации пользователя при каждом подключении к Серверу администрирования.

   Это окно отображается, только если ранее был выбран тип сертификата Почтовый сертификат или VPN-сертификат.

5. На странице Выбор пользователя выберите пользователей, группы пользователей или группы пользователей Active Directory, для которых вы хотите создать сертификат.
6. На странице Источник сертификата укажите способ создания сертификата.
   • Чтобы создать сертификат автоматически средствами Сервера администрирования, выберите вариант Выписать сертификат средствами Сервера администрирования.
   • Чтобы назначить пользователю сертификат, созданный ранее, выберите вариант Указать файл сертификата. По кнопке Обзор откройте окно Сертификат и укажите в нем файл сертификата.
7. На странице Параметры публикации сертификатов установите флажок Не уведомлять пользователя о новом сертификате, если вы не хотите уведомлять пользователя о создании сертификата. В этом случае страница Способ уведомления пользователей отображаться не будет.
8. На странице Способ уведомления пользователей настройте параметры уведомления пользователя мобильного устройства о создании сертификата с помощью SMS-сообщения или по электронной почте.

   Эта страница не отображается, если вы выбрали iOS MDM-устройство в качестве типа устройства или если вы выбрали параметр Не уведомлять пользователя о новом сертификате.

   1. В поле Тип авторизации укажите тип аутентификации пользователя:
      • Учетные данные (доменные или псевдонима)

        В этом случае пользователь использует доменный пароль или пароль внутреннего пользователя Kaspersky Security Center, для того чтобы получить новый сертификат.

      • Одноразовый пароль

        В этом случае пользователь получит одноразовый пароль, который будет выслан на электронную почту или с помощью SMS. Этот пароль необходимо будет указать для получения нового сертификата.

        Этот параметр изменится на Пароль, если вы включили параметр Разрешить устройству получать один и тот же сертификат несколько раз (только для устройств с установленными приложениями безопасности "Лаборатории Касперского") в окне Параметры публикации сертификатов.

      Это поле отображается, если вы выбрали Мобильный сертификат в окне Тип сертификата или если в качестве типа устройства вы выбрали KES-устройство, которое подключается к Серверу администрирования без аутентификации по пользовательскому сертификату.

   2. Выберите вариант уведомления пользователя:
      • Показать пароль после завершения работы мастера

        Если вы выберете этот параметр, имя пользователя, SAM-имя пользователя (Security Account Manager) и пароль для получения сертификата для каждого из выбранных пользователей будут отображаться на последнем шаге мастера установки сертификата. Настройка параметров уведомления пользователя об установленном сертификате будет недоступна.

        Если вы добавляете сертификаты для нескольких пользователей, вы можете сохранить предоставленные учетные данные в файл, нажав на кнопку Экспорт на последнем шаге мастера установки сертификата.

        Этот параметр недоступен, если вы выбрали Учетные данные (доменные или псевдонима) на шаге Способ уведомления пользователя мастера установки сертификата.

      • Сообщить пользователю о новом сертификате

        При выборе этого варианта вы можете настроить параметры уведомления пользователя о новом сертификате.

        • По электронной почте

          В блоке параметров По электронной почте вы можете настроить параметры уведомления пользователя об установке сертификата на его мобильное устройство с помощью сообщений электронной почты. Этот способ уведомления доступен, только если настроен SMTP-сервер.

          Перейдите по ссылке Изменить сообщение, чтобы просмотреть и изменить сообщение, если это необходимо.

        • С помощью SMS

          В этом блоке параметров вы можете настроить параметры уведомления пользователя об установке сертификата на его мобильное устройство с помощью SMS-сообщений. Этот способ оповещения доступен, только если настроено SMS-оповещение.

          Перейдите по ссылке Изменить сообщение, чтобы просмотреть и изменить сообщение, если это необходимо.

9. На странице Генерация сертификата нажмите на кнопку Готово для завершения работы мастера установки сертификатов.

После завершения работы мастера сертификат будет создан и добавлен в список сертификатов пользователя; кроме того, пользователю будет отправлено уведомление со ссылкой для загрузки и установки сертификата на мобильное устройство. Можно удалять и перевыпускать сертификаты, а также просматривать их свойства.

Интеграция с инфраструктурой открытых ключей

Интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования. В результате интеграции выписка сертификатов происходит автоматически.

Минимально поддерживаемая версия сервера PKI – Windows Server 2008.

Администратор может назначить для пользователя доменный сертификат в Консоли администрирования. Это можно сделать одним из следующих способов:

• назначить пользователю особый (персонализированный) сертификат из файла в мастере установки сертификатов;
• выполнить интеграцию с PKI и назначить PKI источником сертификатов для конкретного типа сертификатов либо для всех типов.

Общий принцип интеграции с PKI для выпуска доменных сертификатов пользователей

Обратите внимание:

• В параметрах интеграции с PKI можно указать шаблон по умолчанию для всех типов сертификатов. При этом в правилах выпуска сертификатов (правила доступны в рабочей области папки Управление мобильными устройствами / Сертификаты по нажатии кнопки Настроить правила выпуска сертификатов) можно задать отдельный шаблон для каждого типа сертификатов.
• На устройстве с Сервером администрирования в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен особый сертификат Enrollment Agent (EA). Его предоставляет администратор доменного ЦС (Центра сертификации).

Учетная запись, под которой выполняется интеграция с PKI, должна:

• принадлежать доменному пользователю;
• принадлежать локальному администратору устройства с Сервером администрирования, с которого выполняется интеграция с PKI;
• обладать разрешением Вход в качестве службы;
• под этой учетной записью необходимо хотя бы один раз запустить устройство с установленным Сервером администрирования, чтобы создать постоянный профиль пользователя.

Под настроенной учетной записью нужно хотя бы один раз выполнить вход на устройстве с установленным Сервером администрирования для того, чтобы создать постоянный профиль пользователя. В хранилище сертификатов этого пользователя, на устройстве с Сервером администрирования, необходимо установить сертификат агента регистрации, предоставленный администраторами домена.

Настройка интеграции с PKI

Чтобы настроить интеграцию с инфраструктурой открытых ключей:

1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
2. В рабочей области нажмите на кнопку Тип сертификата, чтобы открыть раздел Интеграция с PKI окна Правила выпуска сертификатов.

   Откроется раздел Интеграция с PKI окна Правила выпуска сертификатов.

3. Установите флажок Интегрировать выписку сертификатов с PKI.
4. В поле Учетная запись укажите имя учетной записи, которая будет использоваться для интеграции с инфраструктурой открытых ключей.
5. В поле Пароль укажите доменный пароль учетной записи.
6. В списке Имя шаблона сертификата в системе PKI выберите шаблон сертификата, который будет использоваться для выпуска сертификатов пользователям домена.

   Под указанной учетной записью в Kaspersky Endpoint Security запускается специализированная служба. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.

   При подключении к Kaspersky Security Center любого мобильного устройства (под управлением Android или iOS), владельцем которого является недоменный пользователь, попытка выписки сертификата может завершиться ошибкой.

7. Нажмите на кнопку ОК, чтобы сохранить параметры.

В результате интеграции выписка сертификатов происходит автоматически.