Групповые политики для управления мобильными устройствами

Групповая политика – это единый набор параметров для управления мобильными устройствами, входящими в группу администрирования, а также установленными на устройствах мобильными приложениями. Вы можете создать групповую политику с помощью мастера создания политики.

С помощью политики вы можете настраивать параметры как отдельных устройств, так и группы. Для группы устройств параметры управления можно настроить в окне свойств групповой политики. Для отдельно устройства их можно настроить в окне локальных параметров программы. Параметры управления, заданные индивидуально для одного устройства, могут отличаться от значений параметров, установленных в политике для группы, в которую входит это устройство.

Каждый параметр, представленный в политике, имеет атрибут "замок", который показывает, разрешено ли изменение параметра в политиках вложенного уровня иерархии (для вложенных групп и подчиненных Серверов администрирования) и в локальных параметрах программы.

Значения параметров, заданные в политике и в локальных параметрах программы, сохраняются на Сервере администрирования, распространяются на мобильные устройства в ходе синхронизации и сохраняются на устройствах в качестве действующих параметров. Если пользователь установит на своем устройстве другие значения параметров, которые не были зафиксированы "замком", то при очередной синхронизации устройства с Сервером администрирования новые значения параметров будут переданы на Сервер администрирования и сохранены в локальных параметрах программы вместо значений, которые были установлены ранее администратором.

Чтобы поддерживать корпоративную безопасность мобильных устройств в актуальном состоянии, вы можете контролировать устройства пользователей на соответствие групповой политике управления.

В верхней части окна групповой политики отображается индикатор уровня защиты. Индикатор уровня защиты поможет вам настроить политику таким образом, чтобы обеспечить высокий уровень защиты устройств. Индикатор уровня защиты меняет состояние в зависимости от настройки политики:

• Высокий уровень защиты – защита устройств обеспечена на должном уровне. Все компоненты защиты работают в соответствии с параметрами, рекомендуемыми специалистами "Лаборатории Касперского".
• Средний уровень защиты – уровень защиты снижен. Некоторые важные компоненты защиты выключены (например, Веб-Фильтр). Важные проблемы отмечены знаком .
• Низкий уровень защиты – существуют проблемы, которые могут привести к заражению устройства и потере данных. Некоторые критические компоненты защиты выключены (например, выключена постоянная защита устройств). Критические проблемы отмечены знаком .

Подробная информация о работе с политиками и группами администрирования в Консоли администрирования Kaspersky Security Center приведена в справке Kaspersky Security Center.

Создание групповой политики

В этом разделе описано создание групповых политик для устройств, на которых установлено мобильное приложение Kaspersky Endpoint Security для Android, а также политик для iOS MDM-устройств.

Политики, сформированные для группы администрирования, отображаются в рабочей области группы в Консоли администрирования Kaspersky Security Center на закладке Политики. Перед именем каждой политики отображается значок, характеризующий ее статус (активна / неактивна). В одной группе можно создать несколько политик для разных приложений. Активной может быть только одна политика для каждого приложения. При создании новой активной политики предыдущая активная политика становится неактивной.

Вы можете изменять политику после ее создания.

Чтобы создать политику для управления мобильными устройствами, выполните следующие действия:

1. В дереве консоли выберите группу администрирования, для которой нужно создать политику.
2. В рабочей области группы выберите закладку Политики.
3. По ссылке Новая политика запустите мастер создания политики.

В результате запустится мастер создания политики.

Шаг 1. Выбор программы для создания групповой политики

На этом шаге в списке программ выберите программу для создания групповой политики:

• Kaspersky Endpoint Security для Android – для устройств, использующих мобильное приложение Kaspersky Endpoint Security для Android.

Рекомендуется создать отдельную политику для устройств HUAWEI и Honor, не имеющих сервисов Google Play. Таким образом вы сможете отправлять ссылки на HUAWEI AppGallery пользователям этих устройств.

• Kaspersky Device Management для iOS – для iOS MDM-устройств.

Создание политики для мобильных устройств возможно, если на рабочем месте администратора установлены плагин управления Kaspersky Endpoint Security для Android и плагин управления Kaspersky Device Management для iOS. Если плагины не установлены, название соответствующей программы будет отсутствовать в списке программ.

Перейдите к следующему шагу мастера создания политики.

Шаг 2. Ввод названия групповой политики

На этом шаге в поле Имя укажите имя новой политики. Если вы укажете имя уже существующей политики, к нему автоматически будет добавлено окончание (1).

Перейдите к следующему шагу мастера создания политики.

Шаг 3. Создание групповой политики для программы

На этом шаге мастер предлагает выбрать состояние политики:

• Активная политика. Мастер сохраняет созданную политику на Сервере администрирования. При следующей синхронизации мобильного устройства с Сервером администрирования политика будет использоваться на устройстве в качестве действующей.
• Неактивная политика. Мастер сохраняет созданную политику на Сервере администрирования как резервную. В дальнейшем политика может быть активирована по событию. При необходимости неактивную политику можно сделать активной.

  Для одной программы в группе можно создать несколько политик, но активной может быть только одна из них. При создании новой активной политики предыдущая активная политика автоматически становится неактивной.

Завершите работу мастера.

Настройка параметров синхронизации

Для управления мобильными устройствами и получения отчетов или статистик от мобильных устройств пользователей требуется настроить параметры синхронизации. Синхронизация мобильного устройства с Kaspersky Security Center может быть выполнена следующими способами:

• По расписанию. Синхронизация по расписанию выполняется с помощью протокола HTTP. Вы можете настроить расписание синхронизации в параметрах групповой политики. Изменения параметров групповой политики, команды и задачи будут выполнены во время синхронизации устройства с Kaspersky Security Center по расписанию, т. е. с задержкой. По умолчанию мобильные устройства автоматически синхронизируются с Kaspersky Security Center каждые шесть часов.
• Принудительно. Принудительная синхронизация выполняется с помощью push-уведомлений сервиса FCM (Firebase Cloud Messaging). Принудительная синхронизация, в первую очередь, предназначена для своевременной доставки команд на мобильное устройство. Это может быть полезно, если устройство находится в режиме экономии заряда батареи, поскольку в этом случае приложение может выполнять задачи позже, чем указано. Если вы хотите использовать принудительную синхронизацию, убедитесь что параметры FCM в Kaspersky Security Center настроены.

Чтобы настроить параметры синхронизации мобильных устройств с Kaspersky Security Center, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел Синхронизация.
5. Выберите периодичность запуска синхронизации в раскрывающемся списке Запускать синхронизацию.
6. Чтобы запретить синхронизацию устройства с Kaspersky Security Center в роуминге, установите флажок Выключить синхронизацию в роуминге.

   Пользователь устройства может выполнять синхронизацию вручную в настройках приложения ( → Настройки → Синхронизация → Синхронизировать).

7. Чтобы скрыть от пользователя параметры синхронизации (адрес сервера, порт и группа администрирования) в настройках приложения, снимите флажок Показывать параметры синхронизации на устройстве. Изменить скрытые параметры невозможно.
8. Чтобы получать историю местоположений устройства, установите флажок Отправлять историю местоположений устройства при синхронизации в блоке История местоположений устройства. История местоположений будет отправляться на Сервер администрирования при каждой синхронизации.

   Функциональность должна использоваться в соответствии с требованиями локального законодательства, с уведомлением или согласием (в зависимости от требований законодательства) лица, использующего устройство, о включении на устройстве функциональности отслеживания местоположения.

   Включение этой настройки и задание геозоны приведет к увеличению энергопотребления устройства.
   
   Этот параметр работает только в том случае, если тип информационного события История местоположения устройства хранится в базе данных Сервера администрирования. События настраиваются в разделе События свойств политики. Дополнительная информация приведена в справке Kaspersky Security Center.

9. В раскрывающемся списке Частота определения местоположений устройства укажите частоту получения местоположения устройства По умолчанию указано значение Каждые 15 минут.

   Из-за технических ограничений Android-устройств фактическое определение местоположения устройства может происходить реже, чем указано.

10. Нажмите на кнопку Применить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды. Подробная информация о работе с командами для мобильных устройств приведена в разделе Отправка команд.

Работа с ревизиями групповых политик

Kaspersky Security Center позволяет отслеживать изменения групповых политик. Каждый раз, когда вы сохраняете изменения групповой политики, создается ревизия. Каждая ревизия имеет номер.

Работа с ревизиями доступна только для политик Kaspersky Endpoint Security для Android. Для политики Kaspersky Device Management для iOS ревизии недоступны.

Вы можете выполнять с ревизиями групповых политик следующие действия:

• сравнивать выбранную ревизию с текущей ревизией;
• сравнивать выбранные ревизии;
• сравнивать политику с выбранной ревизией другой политики;
• просматривать выбранную ревизию;
• откатывать изменения политики к выбранной ревизии;
• сохранять ревизии в файле формата TXT.

Подробная информация о работе с ревизиями групповых политик и других объектов (например, учетных записей пользователей) приведена в справке Kaspersky Security Center.

Чтобы просмотреть историю ревизий групповой политики, выполните следующие действия:

1. В дереве консоли в папке Управляемые устройства выберите группу администрирования, в которую входят Android-устройства.
2. В рабочей области группы выберите закладку Политики.
3. Откройте окно свойств политики двойным щелчком мыши по любому столбцу.

   В течение 15 минут выполните следующие действия. По истечении этого времени при сохранении изменений политики может возникнуть ошибка.

4. В политике, в окне Свойства выберите раздел История ревизий.

   Отобразится список ревизий политики. Он содержит следующую информацию:

   • номер ревизии политики;
   • дата и время изменения политики;
   • имя пользователя, изменившего политику;
   • выполненное действие с политикой;
   • описание ревизии изменения параметров политики.

Удаление групповой политики

Чтобы удалить групповую политику, выполните следующие действия:

1. В дереве консоли выберите группу администрирования, для которой нужно удалить политику.
2. В рабочей области группы администрирования на закладке Политики выберите политику, которую вы хотите удалить.
3. В контекстном меню политики выберите пункт Удалить.

В результате групповая политика будет удалена. До применения новой групповой политики мобильные устройства, входящие в группу администрирования, продолжат работу с параметрами, заданными в удаленной политике.

Ограничение прав на настройку групповых политик

Администраторы Kaspersky Security Center могут настраивать права доступа пользователей Консоли администрирования к различным функциям комплексного решения Kaspersky Secure Mobility Management в зависимости от служебных обязанностей пользователей.

В интерфейсе Консоли администрирования настройка прав доступа выполняется в окне свойств Сервера администрирования на закладках Безопасность и Роли пользователей. На закладке Роли пользователей можно добавлять типовые роли пользователей с настроенным набором прав. В разделе Безопасность можно настраивать права для одного пользователя или для группы пользователей, а также назначать роли одному пользователю или группе пользователей. Права пользователей для каждой программы настраиваются по функциональным областям.

Вы также можете настраивать права пользователей по функциональным областям. Информация о соответствии функциональных областей закладкам политик приведена в Приложении.

Для каждой функциональной области администратор может назначать следующие права доступа:

• Разрешить изменение. Пользователю Консоли администрирования разрешено изменять параметры политики в окне ее свойств.
• Запретить изменение. Пользователю Консоли администрирования запрещено изменять параметры политики в окне ее свойств. Закладки политики, входящие в функциональную область, для которой назначено это право, не отображаются в интерфейсе.

Подробные сведения о работе с правами и ролями пользователей в Консоли администрирования Kaspersky Security Center приведены в справке Kaspersky Security Center.