[Topic 254248]

Справка Kaspersky Secure Mobility Management

[Topic 180199]

Что нового

Версия 6.0

В этой версии мы добавили новые функции в плагин Kaspersky Mobile Devices Protection and Management для Kaspersky Security Center Linux Web Console:

• Новые функции для загрузки файлов с Веб-сервера на мобильные устройства:
  • Теперь вы можете передавать устройствам инсталляционные пакеты приложений и управляющие профили без прямого подключения устройств к Серверу администрирования с помощью новой службы Веб-сервера на шлюзе соединения.
  • Теперь вы можете использовать встроенный загрузчик для безопасного скачивания на Android-устройства файлов, приложений и инсталляционных пакетов Kaspersky Endpoint Security для Android с Веб-сервера с самоподписанным сертификатом.
• Расширена функциональность режима киоска для Android-устройств:
  • Вы можете выключить режим киоска по секретному одноразовому коду.
  • Вы можете разрешить или запретить режим киоска, если на устройстве не установлены или не обновлены все необходимые приложения.
  • Вы можете обновлять приложения, не выходя из режима киоска.
• Теперь вы можете управлять загрузкой файлов на Android-устройства, удалять ранее загруженные файлы, а также настраивать их параметры в новом разделе плагина Kaspersky Mobile Devices Protection and Management Приложения и файлы и параметрах политики Отправка файлов.
• Теперь вы можете подписывать управляющие профили iOS MDM-устройств сертификатом, полученным от доверенного центра сертификации.
• Теперь в плагине Kaspersky Mobile Devices Protection and Management доступен новый вариант установки Kaspersky Endpoint Security для Android для режимов "Личное устройство" и "Устройство с корпоративным контейнером" – RuStore.

[Topic 216448]

Работа в Kaspersky Security Center Web Console

В этом разделе справки описана защита и управление мобильными устройствами с помощью Kaspersky Security Center Web Console (далее также Web Console).

[Topic 274680]

О Kaspersky Secure Mobility Management

Kaspersky Secure Mobility Management – это комплексное решение для защиты корпоративных и личных мобильных устройств, используемых сотрудниками компании в корпоративных целях, а также для управления ими.

[Topic 214493]

Комплект поставки

В комплект поставки Kaspersky Secure Mobility Management могут входить различные компоненты в зависимости от выбранной версии решения.

Управление мобильными устройствами в Kaspersky Security Center Web Console

Этот компонент совместим с Kaspersky Security Center Linux 15.1. Подробную информацию о версии, совместимой с Kaspersky Security Center Windows, см. в справке Kaspersky Secure Mobility Management 4.1.

• on_prem_ksm_policies_<версия>.zip

  Архив, содержащий файлы, необходимые для установки плагина Kaspersky Mobile Devices Protection and Management:

  • plugin.zip

    Архив, содержащий плагин Kaspersky Mobile Devices Protection and Management.

  • signature.txt

    Файл, содержащий подпись для плагина Kaspersky Mobile Devices Protection and Management.

Плагин параметров Сервера iOS MDM

Этот компонент совместим с Kaspersky Security Center Linux 15.1. Подробную информацию о версии, совместимой с Kaspersky Security Center Windows, см. в справке Kaspersky Secure Mobility Management 4.1.

• on_prem_iosmdm_<версия>.zip

  Архив, содержащий файлы, необходимые для установки плагина параметров Сервера iOS MDM:

  • plugin.zip

    Архив, содержащий плагин параметров Сервера iOS MDM.

  • signature.txt

    Файл, содержащий подпись для плагина параметров Сервера iOS MDM.

Сервер iOS MDM

Этот компонент совместим с Kaspersky Security Center Linux 15.1. Подробную информацию о версии, совместимой с Kaspersky Security Center Windows, см. в справке Kaspersky Secure Mobility Management 4.1.

• kliosmdm-<архитектура>-<версия>-<менеджер пакетов>_<язык>.tar.gz

  Архив, содержащий файлы, необходимые для установки Сервера iOS MDM, в зависимости от менеджера пакетов и архитектуры:

  • kliosmdm.kpd

    Файл, содержащий описание Сервера iOS MDM.

  • akinstall.sh

    Скрипт, позволяющий автоматизировать установку Сервера iOS MDM.

  • kliosmdm-<версия>.<архитектура>.rpm или kliosmdm_<версия>_<архитектура>.deb

    Инсталляционный пакет Сервера iOS MDM.

  • kpd.loc/

    Папка с CFG-файлами, определяющими пути к Лицензионным соглашениям.

  • license/

    Папка с Лицензионными соглашениями и Политикой конфиденциальности на разных языках в формате TXT.

Приложение Kaspersky Endpoint Security для Android

• <версия>_sc_package.zip

  Архив, содержащий файлы, необходимые для установки Kaspersky Endpoint Security для Android путем создания инсталляционных пакетов:

  • installer.ini

    Конфигурационный файл с параметрами подключения к Серверу администрирования.

  • KES10_<версия>.apk

    Пакетный файл Android для приложения Kaspersky Endpoint Security для Android.

  • kesa.kpd

    Файл, содержащий описание программы.

  • eula/

    Папка с Лицензионными соглашениями на разных языках в формате TXT.

  • kpd.loc/

    INI-файлы, определяющие пути к Лицензионным соглашениям.

Файл Корпоративного каталога приложений

Install_<версия>.exe – дистрибутив Корпоративного каталога приложений. Дистрибутив содержит следующие компоненты:

• Корпоративный каталог приложений
• Консоль управления корпоративным каталогом приложений
• Сервер Apache

Дополнительная информация об установке Корпоративного каталога приложений приведена в справке по Корпоративному каталогу приложений.

Комплект документации

• Справка Kaspersky Secure Mobility Management.

[Topic 214476]

О приложении Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы.

Kaspersky Endpoint Security для Android включает следующие компоненты:

• Защита от вредоносного ПО. Обнаруживает и устраняет угрозы на устройствах, используя базы вредоносного ПО и облачную службу Kaspersky Security Network. В состав Защиты от вредоносного ПО входят следующие компоненты:
  • Защита. Обнаруживает угрозы в открытых файлах, проверяет новые приложения и предотвращает заражение устройства в режиме реального времени.
  • Проверка. Запускается по требованию для всей файловой системы, только для установленных приложений или выбранного файла или папки.
  • Обновление. Позволяет загружать новые базы вредоносного ПО приложения.
• Анти-Вор. Защищает информацию на устройстве от несанкционированного доступа в случае потери или кражи устройства. Позволяет отправлять на устройство следующие команды:
  • Определить местоположение. Получение координат местоположения устройства.
  • Воспроизвести звуковой сигнал. Устройство издает громкий сигнал тревоги.
  • Удалить корпоративные данные. Удаление корпоративных данных, чтобы защитить конфиденциальную информацию компании.
• Веб-Защита и Веб-Контроль. Веб-Защита блокирует вредоносные сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Защита разрешает загрузку сайтов, признанных надежными, и блокирует сайты, признанные вредоносными. Веб-Контроль поддерживает фильтрацию сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Это позволяет администратору ограничить доступ пользователей к некоторым категориям веб-страниц (например, "Азартные игры, лотереи, тотализаторы" или "Общение в сети").
• Контроль приложений. Позволяет устанавливать рекомендуемые и обязательные приложения на Android-устройство, а также удалять заблокированные приложения, нарушающие требования корпоративной безопасности.
• Контроль соответствия. Позволяет проверять управляемые устройства на соответствие требованиям корпоративной безопасности и накладывать ограничения на определенные функции несовместимых устройств.

Вы можете настроить компоненты приложения Kaspersky Endpoint Security для Android в Kaspersky Security Center Web Console, задав соответствующие параметры политик.

На личных устройствах и устройствах с корпоративным контейнером под управлением Android 15 пользователи могут создать частное пространство. Kaspersky Endpoint Security для Android не может сканировать приложения, фотографии и другие файлы, хранящиеся в частном пространстве. Веб-Защита, Веб-Контроль и Контроль приложений не работают для приложений, установленных в частном пространстве. Kaspersky Endpoint Security для Android нельзя установить в частном пространстве.

[Topic 234086]

О приложении Kaspersky Protection для iOS

Приложение Kaspersky Protection для iOS обеспечивает защиту мобильных устройств от фишинга и веб-угроз.

Kaspersky Protection для iOS предоставляет следующие ключевые функции:

• Веб-Защита. Позволяет блокировать вредоносные сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Защита разрешает загрузку сайтов, признанных надежными, и блокирует сайты, признанные вредоносными. Вы можете настроить этот компонент в Kaspersky Security Center Web Console, определив настройки групповых политик.
• Обнаружение модификации прошивки (jailbreak). Если приложение Kaspersky Protection для iOS обнаруживает модификацию прошивки (jailbreak), оно отображает критическое сообщение и информирует вас о проблеме.

[Topic 274684]

О Kaspersky Mobile Devices Protection and Management

Плагин Kaspersky Mobile Devices Protection and Management позволяет управлять мобильными устройствами и установленными на них приложениями в Kaspersky Security Center Web Console. С помощью плагина Kaspersky Mobile Devices Protection вы можете:

• создавать групповые политики безопасности мобильных устройств;
• удаленно настраивать параметры работы приложения Kaspersky Endpoint Security для Android на мобильных устройствах пользователей;
• получать отчеты и статистику о работе приложения Kaspersky Endpoint Security для Android на мобильных устройствах пользователей;
• удаленно настраивать iOS-устройства, подключенные по протоколу iOS MDM (далее "iOS MDM-устройства") и iOS-устройства, на которых установлено приложение Kaspersky Protection для iOS;
• удаленно настраивать устройства под управлением ОС Аврора, на которых установлено приложение Kaspersky Endpoint Security для ОС Аврора.

Плагин Kaspersky Mobile Devices Protection and Management можно установить во время настройки Kaspersky Security Center Web Console. Дополнительная информация о сценариях развертывания приведена в разделе Развертывание плагинов управления мобильными устройствами.

[Topic 102017]

Аппаратные и программные требования

В этом разделе содержатся аппаратные и программные требования к компьютеру администратора, который используется для развертывания приложений на мобильных устройствах, а также перечень операционных систем для мобильных устройств, работу с которыми поддерживает Kaspersky Secure Mobility Management.

Аппаратные и программные требования к компьютеру администратора

Если вы используете Kaspersky Security Center Linux, хост сервера должен удовлетворять следующим требованиям:

• Программные требования:
  • Сервер администрирования Kaspersky Security Center Linux 15.1 или выше;
  • Web Console Kaspersky Security Center Linux 15.1 или выше;
  • плагин Kaspersky Mobile Devices Protection and Management 10.53 или выше;
  • Сервер iOS MDM для Linux 15.1 или выше;
  • плагин параметров Сервера iOS MDM 15.1 или выше.
• Аппаратные требования:
  • Для развертывания Kaspersky Secure Mobility Management должны удовлетворяться аппаратные требования Kaspersky Security Center.
  • Для Сервера iOS MDM:
    • процессор с частотой 1 ГГц или выше; для 64-разрядных операционных систем – 1,4 ГГц или выше;
    • 4 ГБ оперативной памяти;
    • 4 ГБ свободного места на диске.

Совместимость со сторонними EMM-системами

Приложение Kaspersky Endpoint Security для Android может работать в составе сторонних EMM-систем:

• VMware AirWatch 9.3 или выше;
• MobileIron 10.0 или выше;
• IBM MaaS360 10.68 или выше;
• Microsoft Intune 1908 или выше;
• SOTI MobiControl 14.1.4 (1693) или выше.

Аппаратные и программные требования Kaspersky Endpoint Security для Android

Для установки Kaspersky Endpoint Security для Android мобильное устройство должно удовлетворять следующим требованиям:

• смартфон или планшет с разрешением экрана от 320x480 пикселей;
• 65 МБ свободного места в основной памяти устройства;
• Android 5 или выше (включая Android 12L, исключая Go Edition);
• архитектура процессора x86, x86-64, Arm5, Arm6, Arm7, Arm8;
• приложение устанавливается только в основную память устройства.

Аппаратные и программные требования Kaspersky Protection для iOS

Для установки Kaspersky Protection для iOS мобильное устройство должно удовлетворять следующим требованиям:

• iOS 15 или выше / iPadOS 15 или выше;
• подключение к интернету.

Аппаратные и программные требования к мобильному устройству пользователя для управляющего профиля (iOS MDM-профиля)

Для установки управляющего профиля (iOS MDM-профиля) мобильное устройство должно удовлетворять следующим требованиям:

• iOS 10 или выше / iPadOS 13 или выше;
• подключение к интернету.

[Topic 274687]

Известные проблемы и рекомендации

Следующие известные проблемы не являются критичными для работы решения.

Известные проблемы при подключении мобильных устройств к Kaspersky Security Center

• Если в качестве HTTPS-порта Веб-сервера используется порт 8061, ссылка для подключения мобильных устройств или ссылка на скачивание инсталляционного пакета могут не открыться в одном браузере с Kaspersky Security Center Web Console из-за ошибки NET::ERR_CERT_AUTHORITY_INVALID. Так происходит, если Веб-сервер использует самоподписанный сертификат. Чтобы открыть ссылку, скопируйте и вставьте ее в другой браузер, либо замените самоподписанный сертификат на пользовательский, выпущенный доверенным центром сертификации. Заменить сертификат можно в свойствах Сервера администрирования на вкладке Общие в разделе Веб-сервер.

Известные проблемы при управлении мобильными устройствами

• Если вы отредактируете поля Имя и Описание на вкладке Общие в свойствах устройства, изменения не отобразятся в списке мобильных устройств, подключенных к Kaspersky Security Center из-за технических ограничений.

Известные ошибки Kaspersky Protection для iOS

• Приложение Kaspersky Protection для iOS не может работать корректно, если на мобильном устройстве одновременно запущен VPN-клиент с активным VPN-подключением.
• Для стабильной работы приложения Kaspersky Protection для iOS необходимо удалить с устройства устаревшее приложение Kaspersky Security для iOS.

Известные проблемы при установке программы

• Kaspersky Endpoint Security для Android устанавливается только в основную память устройства.
• На устройствах под управлением Android 7 при попытке выключить права администратора для Kaspersky Endpoint Security для Android в настройках устройства может произойти сбой, если для Kaspersky Endpoint Security для Android запрещено наложение поверх других окон. Проблема связана с известным дефектом в Android 7.
• Приложение Kaspersky Endpoint Security для Android на устройствах под управлением Android 7.0 или выше не поддерживает многооконный режим.
• Kaspersky Endpoint Security для Android не работает на Chromebook-устройствах под управлением операционной системы Chrome.
• Kaspersky Endpoint Security для Android не работает на устройствах с операционной системой Android версии Go Edition.
• При использовании приложения Kaspersky Endpoint Security для Android со сторонними EMM-системами (например, VMWare AirWatch) без подключения к Kaspersky Security Center доступны только компоненты Защита от вредоносного ПО и Веб-Фильтр. Администратор может настраивать параметры Защиты от вредоносного ПО и Веб-Фильтра в консоли EMM-системы. При этом уведомления о работе приложения доступны только в интерфейсе приложения Kaspersky Endpoint Security для Android (Отчеты).
• При установке Kaspersky Endpoint Security для Android на корпоративное устройство с помощью ADB, если вы установили пароль разблокировки экрана на устройстве после сброса его до заводских настроек, нужно снова сбросить устройство до заводских настроек перед установкой приложения с помощью ADB.

Известные проблемы при обновлении версии приложения

• Вы можете обновить Kaspersky Endpoint Security для Android только до более новой версии приложения. Обновить Kaspersky Endpoint Security для Android до более старой версии невозможно.

Известные проблемы, связанные с Wi-Fi

• На iOS MDM-устройствах, если вы выключите автоматическое подключение к уже добавленной сети Wi-Fi в параметрах политики, вы не сможете снова включить автоматическое подключение к этой сети. Это связано с проблемой, известной Apple.

Известные проблемы в работе Защиты от вредоносного ПО

• Из-за технических ограничений Kaspersky Endpoint Security для Android не может проверять файлы размером 2 ГБ и более. Во время проверки приложение пропускает такие файлы и не уведомляет вас, если такие файлы были пропущены.
• Для дальнейшей проверки устройства на новые угрозы, информация о которых еще не вошла в базы вредоносного ПО, требуется включить использование Kaspersky Security Network. Kaspersky Security Network (KSN) – инфраструктура облачных служб, предоставляющая доступ к оперативной базе знаний "Лаборатории Касперского" о репутации файлов, веб-ресурсов и программного обеспечения. Для использования KSN требуется подключение мобильного устройства к интернету.
• Иногда обновление баз вредоносного ПО с Сервера администрирования может завершиться ошибкой на мобильных устройствах. В этом случае запустите задачу обновления баз вредоносного ПО на Сервере администрирования.
• На некоторых устройствах Kaspersky Endpoint Security для Android не обнаруживает устройства, подключенные по USB OTG. Выполнить поиск вредоносного ПО на таких устройствах невозможно.
• На устройствах с операционной системой Android 11 или выше приложение Kaspersky Endpoint Security для Android не может сканировать папки Android/data и Android/obb и обнаруживать в них вредоносные программы из-за технических ограничений.
• На устройствах с операционной системой Android 11 или выше пользователю необходимо предоставить разрешение "Разрешить доступ на управление всеми файлами".
• На устройствах под управлением Android 7 или выше может некорректно отображаться окно настройки расписания запуска поиска вредоносного ПО (не отображаются элементы управления). Проблема связана с известным дефектом в Android 7.
• На устройствах под управлением Android 7 при выполнении задачи постоянной защиты в расширенном режиме не выполняется обнаружение угроз в файлах, хранящихся на внешней SD-карте.
• На устройствах под управлением Android 6 Kaspersky Endpoint Security для Android не обнаруживает загрузку вредоносного файла в память устройства. Вредоносный файл может быть обнаружен Защитой от вредоносного ПО при запуске файла или во время поиска вредоносного ПО на устройстве. Проблема связана с известным дефектом в Android 6. Для обеспечения безопасности устройства рекомендуется настроить запуск поиска вредоносного ПО по расписанию.

Известные проблемы в работе Веб-Защиты и Веб-Контроля

• Веб-Контроль на Android-устройствах поддерживается только браузерами Google Chrome, HUAWEI Browser, Samsung Internet и Яндекс Браузер.
• Функция Custom Tabs поддерживается браузерами Google Chrome, HUAWEI Browser и Samsung Internet.
• В браузерах HUAWEI Browser, Samsung Internet Browser и Яндекс Браузер Веб-Контроль не блокирует сайты на мобильном устройстве, если используется корпоративный контейнер и Веб-Защита включена только в корпоративном контейнере.
• Для работы Веб-Защиты и Веб-Контроля требуется включить использование Kaspersky Security Network. Веб-Контроль блокирует веб-сайты на основе данных о репутации и категории веб-сайтов, которые содержатся в KSN.
• На устройствах под управлением Android 6 c установленным браузером Google Chrome версии 51 или более ранних версий запрещенные веб-сайты могут не блокироваться Веб-Контролем, если веб-сайт открыт следующими способами (проблема связана с известным дефектом в Google Chrome):
  • из результатов поискового запроса;
  • из списка закладок;
  • из истории поисковых запросов;
  • при использовании функции автозаполнения веб-адреса;
  • при открытии веб-сайта на новой вкладке в Google Chrome.
• Запрещенные веб-сайты могут не блокироваться в браузере Google Chrome версии 50 или более ранних версий, если веб-сайт открыт из результатов поискового запроса Google и в настройках браузера включена функция Объединить вкладки и приложения. Проблема связана с известным дефектом в Google Chrome.
• Веб-сайты из запрещенных категорий могут не блокироваться в Google Chrome, если пользователь открывает их из сторонних приложений, например, из приложения IM-клиента. Проблема связана с особенностями работы службы Специальных возможностей с функцией Chrome Custom Tabs.
• Запрещенные веб-сайты могут не блокироваться в Samsung Internet, если пользователь открывает их в фоновом режиме из контекстного меню или из сторонних приложений, например, из приложения IM-клиента.
• Для работы Веб-Защиты и Веб-Контроля Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах Xiaomi для работы Веб-Защиты и Веб-Контроля должны быть предоставлены разрешения "Отображать всплывающее окно" и "Отображать всплывающие окна во время работы в фоновом режиме".
• Разрешенные веб-сайты могут блокироваться в браузере Samsung Internet в режиме Веб-Контроля Разрешить только указанные сайты при обновлении страницы. Веб-сайты блокируются, если регулярное выражение содержит дополнительные параметры (например, ^https?://example.com/pictures/). Рекомендуется использовать регулярные выражения без дополнительных параметров (например, ^https?://example.com).
• Если для Веб-Контроля выбран режим Запретить все сайты, то Kaspersky Endpoint Security для Android не блокирует поиск в виджете Google Поиск. Вместо этого блокируется доступ к результатам поиска.
• Если в корпоративном контейнере для Веб-Контроля выбран режим Запретить все сайты, то Kaspersky Endpoint Security для Android постоянно перезагружает главную страницу Google Chrome, блокирует браузер и мешает работе устройства.
• В Яндекс Браузере и Samsung Internet вредоносные и фишинговые сайты могут оставаться незаблокированными. Это связано с тем, что проверяется только домен сайта, и, если он является доверенным, Веб-Защита может пропустить угрозу.
• Список разрешенных сайтов, созданный в карточке Веб-Контроль, не отображается в Safari на iOS MDM-устройствах. Тем не менее, Веб-Контроль продолжает работать, и пользователи могут получить доступ только к разрешенным сайтам.
• Если в разделе "Веб-Контроль" параметров политики включен параметр Проверять полный веб-адрес при использовании Custom Tabs, переход в полную версию поддерживаемых браузеров работает только для фишинговых и вредоносных сайтов.
• На iOS-устройствах, работающих в режиме базовая защита, при смене языка на устройстве или перезагрузке устройства выключается Веб-Защита. Чтобы включить Веб-Защиту, подождите около минуты после смены языка или перезагрузки устройства и откройте Kaspersky Protection для iOS.

Известные проблемы в работе Анти-Вора

• Для своевременной доставки команд на Android-устройства приложение использует сервис Firebase Cloud Messaging (FCM). Если FCM не настроен, команды будут доставлены на устройство только при синхронизации с Kaspersky Security Center по расписанию, заданному в политике, например, каждые 24 часа.
• Для блокирования устройства Kaspersky Endpoint Security для Android должен быть установлен в качестве администратора устройства.
• На устройствах под управлением операционной системы Android 7 или выше для блокирования устройства Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах команды Анти-Вора не могут быть выполнены, если на устройстве включен режим энергосбережения. Этот дефект подтвержден на Alcatel 5080X.
• Чтобы определить местоположение устройства с операционной системой Android 10 или выше, необходимо предоставить разрешение "Всегда" для доступа к местоположению устройства.

Известные проблемы в работе Контроля приложений

• Для работы Контроля приложений Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Это не относится к корпоративным устройствам.
• Для работы Контроля приложений (категории приложений) требуется включить использование Kaspersky Security Network. Контроль приложений определяет категорию приложения на основе данных, которые содержатся в KSN. Для использования KSN требуется подключение мобильного устройства к интернету. Для работы Контроля приложений вы можете добавить отдельные приложения в списки запрещенных и разрешенных приложений. В этом случае KSN не требуется.
• При настройке Контроля приложений рекомендуется снять флажок Блокировать системные приложения. Блокировка системных приложений может привести к проблемам в работе устройства.
• На iOS MDM-устройствах, если вы добавите приложения, которые разрешено устанавливать на устройство, в список разрешенных приложений, то все приложения, кроме добавленных в список и системных приложений, будут скрыты с экрана устройства.
• На некоторых личных устройствах HUAWEI и Honor приложения из разрешенных категорий могут быть заблокированы, а приложения из запрещенных категорий могут оставаться разблокированными. Это связано с тем, что категория для некоторых приложений из AppGallery не может быть определена правильно.
• На некоторых устройствах Samsung и Oppo после снятия флажка Блокировать системные приложения значки приложений могут остаться скрытыми на рабочем столе. Это связано с особенностями операционной системы Android.

Известные проблемы в работе Контроля соответствия

• Если в критерии Версия операционной системы указана несуществующая версия, устройство обновится до последней загруженной версии.

Известные проблемы при управлении сертификатами

• Когда в разделе Правила выпуска включен параметр Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI, параметры почтового и VPN-сертификатов могут перестать быть активными на некоторое время, пока ожидается ответ от PKI.
• Вы не можете автоматически обновить почтовый или VPN-сертификат, загруженный из файла (с выключенным параметром Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI в разделе Параметры PKI раздела Правила выпуска), поскольку у такого сертификата нет доступа к Certification Authority (CA). Чтобы обновить сертификат, вам необходимо вручную загрузить новый файл сертификата.

Известные проблемы при настройке надежности пароля разблокировки устройства

• На устройствах под управлением Android 10 или выше Kaspersky Endpoint Security приводит требования надежности пароля к одному из системных значений: средний или высокий.

  Если требуемая длина пароля составляет от 1 до 4 символов, приложение предлагает пользователю установить пароль средней надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей (например 1234), либо буквенно-цифровым. PIN-код или пароль должны состоять не менее чем из 4 символов.

  Если требуемая длина пароля составляет не менее 5 символов, приложение предлагает пользователю установить пароль высокой надежности. Он должен быть либо цифровым (PIN-код) без повторяющихся или упорядоченных последовательностей, либо буквенно-цифровым (пароль). PIN-код должен состоять не менее чем из 8 цифр. Пароль должен состоять не менее чем из 6 символов.

• На устройствах под управлением Android 7.1.1 при несоответствии пароля разблокировки требованиям корпоративной безопасности (Контроль соответствия) системное приложение Настройки может работать некорректно при попытке изменить пароль разблокировки из Kaspersky Endpoint Security для Android. Проблема связана с известным дефектом в Android 7.1.1. Для изменения пароля разблокировки в этом случае используйте только системное приложение Настройки.
• На некоторых устройствах под управлением Android 6 или выше может произойти сбой при вводе пароля разблокировки экрана, если данные на устройстве зашифрованы. Проблема связана с особенностями работы Службы специальных возможностей на устройствах с прошивкой MIUI.
• На некоторых iOS MDM-устройствах, если задано значение параметра Минимальное количество специальных символов и установлен флажок Разрешить простой пароль, устройство отображает информацию об установке пароля из 6 или более символов, хотя можно установить пароль из 4 и более символов.

Известные проблемы, связанные с защитой от удаления приложения

• Kaspersky Endpoint Security для Android должен быть установлен в качестве администратора устройства.
• На устройствах под управлением Android 7 или выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей.
• На некоторых устройствах Xiaomi и HUAWEI защита Kaspersky Endpoint Security для Android от удаления не работает. Проблема связана с особенностями прошивки MIUI 7 и 8 на Xiaomi и прошивки EMUI на HUAWEI.

Известные проблемы при настройке ограничений устройства

• На личных устройствах и устройствах с созданным рабочим профилем под управлением Android 10 или выше запрет на использование сетей Wi-Fi не поддерживается.
• На устройствах с Android 11 или выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае не удастся ограничить использование камеры.
• На iOS MDM-устройствах у пользователя может быть возможность разрешить результаты поиска Spotlight в интернете в предложениях Siri, даже если установлен флажок Запретить предложения Spotlight. Это связано с проблемой, известной Apple.
• На Android-устройствах, когда запрещено использование камеры, некоторые приложения могут автоматически закрываться. Эта проблема связана с особенностями работы таких сервисов и функций, как Android System Intelligence и Адаптивный спящий режим, которые используют камеру, чтобы экран не выключался, пока пользователь смотрит на него.

Известные проблемы при отправке команд на мобильные устройства

• На устройствах с Android 12 или выше, если пользователю предоставлено разрешение "Использовать приблизительное местоположение", Kaspersky Endpoint Security для Android сначала пытается определить точное местоположение устройства. Если это не удалось, определяется приблизительное местоположение устройства, но только в том случае, если данные о нем были получены не более 30 минут назад. В противном случае команда Определить местоположение завершится с ошибкой.
• Если на Android-устройстве отключена служба Google "Точность местоположения", команда Определить местоположение работать не будет. Обращаем внимание, что не на всех Android-устройствах есть эта служба.
• Если вы отправите команду Включить Режим пропажи на iOS MDM-устройство в режиме supervised без SIM-карты, и это устройство будет перезапущено, оно не сможет подключиться к сети Wi-Fi и получить команду Выключить Режим пропажи. Эта проблема связана с особенностями iOS-устройств. Чтобы этого избежать, можно отправлять эту команду только на устройства с SIM-картой или вставить SIM-карту в заблокированное устройство – в этом случае оно сможет получить команду Выключить Режим пропажи по мобильной сети.
• Команда Сбросить настройки до заводских недоступна для личных устройств и устройств с корпоративным контейнером под управлением Android 14 или выше.

Известные проблемы, связанные с определенными моделями устройств

• На некоторых устройствах (например HUAWEI, Meizu, Xiaomi) требуется предоставить приложению Kaspersky Endpoint Security для Android разрешение на автоматический запуск или вручную добавить его в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства. Также, если устройство было заблокировано, разблокировать устройство с помощью команды невозможно. Вы можете разблокировать устройство только с помощью одноразового кода разблокировки.
• На некоторых устройствах (например, Meizu, Asus) под управлением Android 6 или выше после шифрования данных и перезагрузки Android-устройства требует ввести цифровой пароль для разблокировки устройства. Если пользователь использует графический пароль для разблокировки, требуется перевести графический пароль в цифровой. Подробнее о переводе графического пароля в цифровой см. на сайте Службы технической поддержки компании-производителя мобильного устройства. Проблема связана с особенностями работы службы Специальных возможностей.
• На некоторых устройствах HUAWEI под управлением Android 5.Х после установки Kaspersky Endpoint Security для Android в качестве службы Специальных возможностей отображается неверное сообщение об отсутствии соответствующих прав. Чтобы скрыть это сообщение, включите приложение как защищенное в настройках устройства.
• На некоторых устройствах HUAWEI под управлением Android 5.X и 6.X при включенном режиме энергосбережения для Kaspersky Endpoint Security для Android пользователь может самостоятельно завершить работу приложения. После этого пользовательское устройство становится незащищенным. Проблема связана с особенностями программного обеспечения HUAWEI. Чтобы восстановить защиту устройства, запустите Kaspersky Endpoint Security для Android вручную. Рекомендуется отключить режим энергосбережения для приложения Kaspersky Endpoint Security для Android в настройках устройства.
• На устройствах HUAWEI с прошивкой EMUI под управлением Android 7 пользователь может скрыть уведомление о статусе защиты Kaspersky Endpoint Security для Android. Проблема связана с особенностями программного обеспечения HUAWEI.
• На некоторых Xiaomi-устройствах при установке в политике длины пароля больше 5 символов пользователю будет предложено изменить пароль разблокировки экрана, а не PIN-код. Установить PIN-код длиной более 5 символов невозможно. Проблема связана с особенностями программного обеспечения Xiaomi.
• На Xiaomi-устройствах с прошивкой MIUI под управлением Android 6 значок Kaspersky Endpoint Security для Android в строке состояния может быть скрыт. Проблема связана с особенностями программного обеспечения Xiaomi. Рекомендуется разрешить отображение значков уведомлений в настройках уведомлений.
• На некоторых Nexus-устройствах под управлением Android 6.0.1 во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android невозможно выдать необходимые права для корректной работы. Проблема связана с известным дефектом в Security Patch для Android от Google. Для корректной работы приложения требуется вручную выдать необходимые права в настройках устройства.
• На некоторых Samsung-устройствах под управлением Android 7 или выше при попытке пользователя настроить неподдерживаемые способы разблокировки устройства (например, графический пароль) устройство может быть заблокировано, если выполнены следующие условия: включена защита Kaspersky Endpoint Security для Android от удаления и заданы требования к надежности пароля разблокировки экрана. Для разблокировки устройства требуется отправить на устройство специальную команду.
• На некоторых Samsung-устройствах невозможно запретить использование отпечатков пальцев для разблокировки экрана.
• На некоторых Samsung-устройствах не работает Веб-Защита и Веб-Контроль, если устройство подключено к сети 3G/4G, на устройстве включен режим энергосбережения и ограничены фоновые данные. Рекомендуется выключить функцию отключения фоновых процессов в настройках режима энергосбережения.
• Также на некоторых Samsung-устройствах при несоответствии пароля разблокировки требованиям корпоративной безопасности Kaspersky Endpoint Security для Android не запрещает использование отпечатков пальцев для разблокировки экрана.
• На некоторых устройствах Honor и HUAWEI невозможно ограничить использование Bluetooth. При попытке приложения Kaspersky Endpoint Security для Android ограничить использование Bluetooth операционная система показывает уведомление с вариантами действий: отклонить или разрешить это ограничение. Таким образом, пользователь может отклонить ограничение и продолжить использование Bluetooth.
• На устройствах Blackview пользователь может очистить память для приложения Kaspersky Endpoint Security для Android. В результате защита и управление устройством отключается, все заданные параметры становятся недействительными, а приложение Kaspersky Endpoint Security для Android удаляется из специальных возможностей. Это связано с тем, что устройства этого производителя предоставляют расширенные права приложению "Недавние экраны" (Recent screens). Приложение может переопределять значения параметров Kaspersky Endpoint Security для Android, и его нельзя заменить, поскольку оно является частью операционной системы Android.
• На некоторых устройствах Google Pixel под управлением Android 11 или ниже сразу после запуска приложения Kaspersky Endpoint Security для Android происходит его сбой. Это связано с проблемой в Android.
• На HUAWEI P60 Pro недоступно создание корпоративного контейнера.
• На некоторых iOS MDM-устройствах в режиме работы "Базовый контроль" под управлением iOS 18.2 - iOS 18.3.1 может применяться запрет на использование Safari. Это связано с проблемой, известной Apple.

Известные проблемы при работе на Android 13

• На Android 13 пользователь может использовать Диспетчер задач ОС, чтобы остановить работу Kaspersky Endpoint Security в фоновом режиме. Это связано с известной проблемой в Android 13.
• На Android 13 разрешение на отправку уведомлений запрашивается в начале настройки приложения. Это связано с особенностями операционной системы Android 13.

Известные проблемы, связанные с профилями политик

• При выборе лицензии с базовой функциональностью параметры, доступные только с лицензией с продвинутой функциональностью, не сбрасываются до значений по умолчанию в профилях политики.

Известные проблемы, связанные с управлением доступом на основе ролей

• Если право на управление лицензионным ключом не предоставлено, при открытии уже созданной политики может возникнуть ошибка. Это не влияет на работу политики.
• Если право на управление лицензионным ключом не предоставлено, вы можете создать политику без выбора лицензии в Мастере создания политики для мобильных устройств. Однако в этом случае вы не сможете настроить параметры политики.

Известные проблемы при настройке параметров Веб-сервера на шлюзе соединения (Network Agent Linux)

• Если при настройке параметров Веб-сервера на шлюзе соединения изменены порты или выпущены или обновлены сертификаты, синхронизация новых параметров с Kaspersky Security Center может занять некоторое время. Подождите до 15 минут или нажмите Синхронизировать сейчас на вкладке Общие свойств шлюза соединения (Активы (Устройства) → Управляемые устройства).
• Если при настройке пользовательского сертификата Веб-сервера значения в полях Адрес Веб-сервера и Адрес сертификата не совпадают, отобразится ошибка. В этом случае для сохранения параметров вам необходимо загрузить другой сертификат. Однако если вы измените адрес Веб-сервера в свойствах точки распространения Kaspersky Security Center, оставив сертификат останется прежним, вы все равно сможете сохранить указанные параметры, даже если адреса не совпадают.

[Topic 274688]

Начало работы

Этот раздел справки адресован специалистам, которые осуществляют установку Kaspersky Secure Mobility Management, и специалистам технической поддержки организаций, использующих Kaspersky Secure Mobility Management.

[Topic 274689]

Архитектура решения

Kaspersky Secure Mobility Management включает в себя следующие компоненты:

• Мобильное приложение Kaspersky Endpoint Security для Android.

  Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы.

• Мобильное приложение Kaspersky Protection для iOS.

  Kaspersky Protection для iOS защищает мобильные устройства от фишинга и веб-угроз и позволяет обнаруживать jailbreak на устройствах.

• Плагин Kaspersky Mobile Devices Protection and Management.

  Плагин Kaspersky Mobile Devices Protection and Management позволяет управлять устройствами на Android и iOS в Kaspersky Security Center Web Console.

• Сервер iOS MDM.

  Сервер iOS MDM позволяет подключать iOS-устройства к Серверу администрирования и управлять iOS-устройствами.

• Плагин параметров Сервера iOS MDM.

  Плагин параметров Сервера iOS MDM позволяет настраивать параметры Сервера iOS MDM.

[Topic 283465]

Сценарии развертывания

Развертывание Kaspersky Secure Mobility Management в Kaspersky Security Center Web Console состоит из следующих шагов:

1. Развертывание Kaspersky Security Center Linux и Kaspersky Security Center Web Console
2. Развертывание плагинов для управления мобильными устройствами
3. Настройка параметров Сервера администрирования для подключения мобильных устройств
4. Развертывание системы управления iOS-устройствами
5. Развертывание системы управления Android-устройствами
6. Управление мобильными устройствами в Kaspersky Security Center Web Console

[Topic 283464]

Развертывание решения для управления мобильными устройствами в Kaspersky Security Center Web Console

Для подключения и управления мобильными устройствами с помощью Kaspersky Security Center Web Console необходимо развернуть решение для управления мобильными устройствами. В этом разделе описаны действия, которые вам рекомендуется выполнить при начале работы с Kaspersky Secure Mobility Management.

[Topic 274852]

Развертывание Kaspersky Security Center Linux и Kaspersky Security Center Web Console

Выберите устройство с операционной системой Linux, которое будет использовано в качестве рабочей станции администратора; убедитесь, что аппаратное и программное обеспечение устройства соответствует требованиям, и установите на это устройство Kaspersky Security Center Web Console.

Инструкции по установке Kaspersky Security Center Linux приведены в справке Kaspersky Security Center.

Инструкции по установке Kaspersky Security Center Web Console приведены в справке Kaspersky Security Center Linux.

[Topic 274715]

Развертывание плагинов для управления мобильными устройствами

Для использования решения Kaspersky Secure Mobility Management и подключения мобильных устройств необходимо добавить и установить следующие плагины:

• Плагин Kaspersky Mobile Devices Protection and Management
  • on_prem_ksm_policies_<версия>.zip

    Архив, содержащий файлы, необходимые для установки плагина Kaspersky Mobile Devices Protection and Management:

    • plugin.zip

      Архив, содержащий плагин Kaspersky Mobile Devices Protection and Management.

    • signature.txt

      Файл, содержащий подпись для плагина Kaspersky Mobile Devices Protection and Management.

• Плагин параметров Сервера iOS MDM
  • on_prem_iosmdm_<версия>.zip

    Архив, содержащий файлы, необходимые для установки плагина параметров Сервера iOS MDM:

    • plugin.zip

      Архив, содержащий плагин параметров Сервера iOS MDM.

    • signature.txt

      Файл, содержащий подпись для плагина параметров Сервера iOS MDM.

Чтобы установить плагин управления:

1. В главном окне Kaspersky Security Center Web Console выберите Параметры > Веб-плагины.
2. В открывшемся окне нажмите Добавить.

   Отобразится список доступных плагинов.

3. В списке доступных плагинов нажмите на имя плагина, который требуется установить.

   Отобразится страница с описанием плагина.

4. На странице описания плагина нажмите Установить плагин.
5. После завершения установки нажмите ОК.

Плагин управления будет загружен в конфигурации по умолчанию и появится в списке плагинов управления.

Вы можете добавлять плагины и обновлять загруженные плагины из файла. Вы можете загрузить плагины управления с сайта Службы технической поддержки "Лаборатории Касперского".

Чтобы загрузить или обновить плагин управления из файла:

1. В главном окне Kaspersky Security Center Web Console выберите Параметры > Веб-плагины.
2. В открывшемся окне:
   • Нажмите Добавить из файла, чтобы загрузить плагин из файла.
   • Нажмите Обновить из файла, чтобы загрузить обновление для плагина из файла.
3. Укажите файл и подпись файла.
4. Загрузите указанные файлы.

Плагин управления будет загружен из файла и появится в списке плагинов управления.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в решении на территории США.

[Topic 274722]

Настройка параметров Сервера администрирования для подключения мобильных устройств

Перед подключением мобильных устройств к Kaspersky Security Center Web Console необходимо настроить параметры подключения в свойствах Сервера администрирования.

Чтобы настроить параметры Сервера администрирования для подключения мобильных устройств:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.
2. В открывшемся окне свойств Сервера администрирования настройте порт Сервера администрирования, который будет использоваться для мобильных устройств:
   1. На вкладке Общие выберите раздел Дополнительные порты.
   2. Включите переключатель Открыть порт для мобильных устройств.

      Если этот параметр включен, порт Сервера администрирования открыт для мобильных устройств.

   3. В поле Порт для синхронизации мобильных устройств укажите порт, по которому мобильные устройства будут подключаться к Серверу администрирования.

      По умолчанию указан порт 13292.

      Если переключатель Открыть порт для мобильных устройств выключен или порт указан неверно, мобильные устройства не смогут подключаться к Серверу администрирования.

3. При необходимости замените сертификат, используемый устройствами для подключения к Серверу администрирования.

   По умолчанию используется сертификат, созданный после открытия порта для мобильных устройств. Замените сертификат, выданный Сервером администрирования, на другой сертификат или перевыпустите его.

   Чтобы изменить сертификат:

   1. На вкладке Общие выберите раздел Сертификаты.
   2. Задайте необходимые параметры.

      Подробная информация о работе с сертификатами Kaspersky Security Center Linux приведена в справке Kaspersky Security Center.

4. Нажмите Сохранить, чтобы сохранить внесенные изменения и закрыть окно свойств Сервера администрирования.

Параметры для подключения мобильных устройств настроены.

[Topic 274849]

Сценарий: Настройка шлюза соединения для подключения мобильных устройств к Kaspersky Security Center Web Console

Шлюз соединения – это Агент администрирования, работающий в особом режиме. Агент администрирования является компонентом Kaspersky Security Center, который осуществляет взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского". Шлюз соединения принимает соединения от других Агентов администрирования и туннелирует их к Серверу администрирования через собственное соединение с Сервером. В отличие от обычного Агента администрирования, шлюз соединения ожидает соединений от Сервера администрирования, а не устанавливает соединения с ним.

Шлюз соединения позволяет более эффективно применять средства безопасности для защиты сетевой инфраструктуры от потенциальных уязвимостей.

• Использование шлюза соединения упрощает мониторинг подозрительной активности на отдельном сетевом узле за пределами локальной сети (LAN). Это позволяет избежать прямых вредоносных атак по мобильному протоколу за счет реализации отдельного протокола для связи между шлюзом соединения и Kaspersky Security Center.
• Уменьшается поверхность потенциальных сетевых атак, поскольку связь между Kaspersky Security Center и шлюзом соединения устанавливается через один порт (по умолчанию 13000), через который обрабатываются все запросы.
• Использование шлюза соединения позволяет проверять мобильный сертификат за пределами локальной сети и запрещать устройствам отправлять данные в Kaspersky Security Center до их аутентификации, что защищает сетевую инфраструктуру от уязвимостей протоколов более низкого уровня, таких как TLS/SSL.

Требования

Чтобы шлюз соединения корректно работал с мобильными устройствами, должны соблюдаться следующие требования:

• На хосте со шлюзом соединения должен быть открыт один из портов - 13293 или 13292.

  Эти порты предназначены для подключения и синхронизации мобильных устройств.

  • При использовании порта 13293 на шлюзе соединения проверяется TLS-сертификат (без отправки сертификата на Сервер администрирования).
  • При использовании порта 13292 сертификат не проверяется (при этом игнорируется флаг LP_MobileMustUseTwoWayAuthOnPort13292).
• Между шлюзом соединения и Kaspersky Security Center должен быть открыт порт 13000. Его открытие наружу из демилитаризованной зоны не требуется.
• Хост должен иметь статический адрес, доступный из интернета.

Этапы

Настройка включает в себя следующие шаги:

1. Установка Агента администрирования на хост, выполняющий роль шлюза соединения

   Сначала нужно установить Агент администрирования на выбранном устройстве-хосте, который будет выступать в качестве шлюза соединения.

   Информация о создании инсталляционного пакета Агента администрирования приведена в справке Kaspersky Security Center.

   Вы можете установить Агент администрирования в интерактивном режиме, указав параметры установки шаг за шагом. Вы также можете использовать файл ответов – текстовый файл, который содержит пользовательский набор параметров установки: переменные и их соответствующие значения. Использование файла ответов позволяет запустить установку в тихом режиме, то есть без участия пользователя. Информация об установке Агента администрирования в тихом режиме приведена в справке Kaspersky Security Center.

2. Настройка шлюза соединения на Сервере администрирования Kaspersky Security Center

   После установки Агента администрирования в качестве шлюза соединения нужно подключить его к Серверу администрирования. Сервер администрирования пока не отображает устройство со шлюзом соединения в списке управляемых устройств, поскольку шлюз соединения еще не подключался к Серверу администрирования.

   Нужно создать новую группу в группе Управляемые устройства и добавить устройство, выступающее в качестве шлюза соединения, в созданную группу. Информация о том, как вручную добавлять устройства в группы в Kaspersky Security Center Web Console, приведена в справке Kaspersky Security Center.

   После этого назначьте устройство точкой распространения и настройте точку распространения для работы в качестве шлюза соединения в разделе Шлюз соединения свойств точки распространения. Затем включите параметры Открыть порт для мобильных устройств (SSL-аутентификация только Сервера администрирования) и Открыть порт для мобильных устройств (двусторонняя SSL-аутентификация) и укажите порты и имена DNS-доменов точки распространения для подключения мобильных устройств.

   Если в основных ограничениях пользовательского мобильного сертификата Сервера администрирования не установлено свойство "CA: true", на шлюзе соединения будет использоваться тот же сертификат, что и на Сервере администрирования.

Результаты

Будет настроен шлюз соединения. Теперь вы сможете добавлять новые мобильные устройства, указав адрес шлюза соединения.

Чтобы изменить адрес подключения мобильных устройств, перевыпустите мобильный сертификат с новым адресом подключения, указанном при настройке шлюза соединения (в окне свойств Сервера администрирования выберите Общие → Сертификаты). Дополнительная информация о перевыпуске мобильных сертификатов приведена в разделе Перевыпуск мобильного сертификата Сервера администрирования.

Чтобы мобильные устройства синхронизировались с Kaspersky Security Center на шлюзе соединения, в свойствах инсталляционных пакетов Kaspersky Endpoint Security для Android необходимо указать адрес подключения, заданный при настройке шлюза соединения (Операции → Хранилища → Инсталляционные пакеты).

[Topic 274695]

Добавление инсталляционных пакетов в хранилище Сервера администрирования

Для дальнейшего развертывания систем управления мобильными устройствами необходимо добавить в хранилище Сервера администрирования следующие инсталляционные пакеты:

• Инсталляционный пакет Агента администрирования для Linux (для последующей установки Агента администрирования на рабочую станцию).
• Инсталляционный пакет Сервера iOS MDM (для последующей установки Сервера iOS MDM для подключения и управления iOS-устройствами).
• Инсталляционный пакет Kaspersky Endpoint Security для Android (для последующей установки Kaspersky Endpoint Security для Android на устройства).

Инструкции по добавлению инсталляционных пакетов в хранилище Сервера администрирования приведены в справке Kaspersky Security Center.

[Topic 274850]

Добавление лицензионного ключа в хранилище Сервера администрирования

Для подключения мобильных устройств к Kaspersky Security Center Web Console и управления ими необходимо указать лицензионный ключ, поддерживающий решение для управления мобильными устройствами.

Используемая лицензия определяет набор базовых и расширенных параметров, которые вы можете настраивать. С лицензией без поддержки расширенной функциональности Kaspersky Secure Mobility Management в плагине Kaspersky Mobile Devices Protection and Management доступны только базовые параметры защиты устройств. Подробная информация о лицензиях приведена в разделе О лицензии.

Чтобы указать лицензионный ключ в параметрах действующей лицензии свойств Сервера администрирования:

• В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.

  Откроется окно свойств Сервера администрирования.

  1. На вкладке Общие выберите раздел Лицензионные ключи.
  2. В блоке параметров Действующая лицензия нажмите Выбрать и выполните одно из следующих действий:
     • Выберите один из существующих лицензионных ключей.
     • Укажите файл в формате KEY, который вы хотите добавить.

     Выбранная лицензия должна поддерживать решение для управления мобильными устройствами.

  3. Нажмите Сохранить.

Лицензионный ключ указан в параметрах действующей лицензии свойств Сервера администрирования.

Чтобы добавить лицензионный ключ в хранилище Сервера администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Операции → Лицензии "Лаборатории Касперского".
2. Нажмите Добавить.
3. В открывшемся окне нажмите Добавить файл ключа.
4. Нажмите Выберите файл ключа и укажите файл в формате KEY, который вы хотите добавить.

   Выбранная лицензия должна поддерживать решение для управления мобильными устройствами.

5. Нажмите Сохранить.

Лицензионный ключ добавлен в хранилище Сервера администрирования.

[Topic 274820]

Установка Агента администрирования для Linux

Агент администрирования для Linux - это компонент Kaspersky Security Center, осуществляющий взаимодействие между Сервером администрирования и приложениями "Лаборатории Касперского", установленными на рабочей станции или сервере.

Для развертывания системы управления iOS-устройствами необходимо установить Агент администрирования на рабочую станцию, на которой в дальнейшем будет развернут Сервер iOS MDM. После установки Агента администрирования вы сможете настроить и установить Сервер iOS MDM для последующего подключения и управления iOS-устройствами.

Инструкции по установке Агента администрирования для Linux приведены в справке Kaspersky Security Center.

[Topic 274848]

Настройка параметров Веб-сервера Kaspersky Security Center Linux

Веб-сервер Kaspersky Security Center Linux - это компонент Kaspersky Security Center Linux, который устанавливается в составе Сервера администрирования. Веб-сервер предназначен для передачи по сети автономных пакетов установки, управляющих профилей, а также файлов из папки общего доступа.

Созданные инсталляционные пакеты публикуются на Веб-сервере автоматически и удаляются после первой загрузки. Администратор может передать сформированную ссылку пользователю любым удобным способом, например, по электронной почте.

Дополнительная информация приведена в справке Kaspersky Security Center.

Для подключения мобильных устройств убедитесь, что в свойствах Сервера администрирования правильно указан FQDN веб-сервера:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.
2. В открывшемся окне свойств Сервера администрирования на вкладке Общие выберите раздел Веб-сервер.
3. Убедитесь, что указанное в поле FQDN Веб-сервера полное доменное имя (FQDN) является публичным и определяется DNS-серверами.

[Topic 294935]

Настройка Веб-сервера на шлюзе соединения (Агент администрирования для Linux)

На точке распространения в режиме шлюза соединения реализована отдельная служба Веб-сервера, которая позволяет работать с мобильными устройствами, подключенными к Kaspersky Security Center. С помощью этой службы вы можете передавать устройствам инсталляционные пакеты приложений и управляющие профили без прямого подключения устройств к Серверу администрирования. Передача происходит через обработку службой на шлюзе соединения HTTP/HTTPS-запросов файлов.

Служба Веб-сервера на шлюзе соединения работает только для загрузки на мобильные устройства следующих видов файлов:

• Мобильные приложения "Лаборатории Касперского"

  Инсталляционные пакеты мобильных приложений "Лаборатории Касперского", добавленные администратором в политику через Kaspersky Security Center Web Console.

• Сторонние мобильные приложения

  Инсталляционные пакеты сторонних мобильных приложений, созданные администратором для их последующей установки на устройства из локального файла.

• Управляющие профили для iOS MDM-устройств

Для подключения новых устройств к Kaspersky Security Center инсталляционные пакеты и управляющие профили публикуются на Веб-сервере на шлюзе соединения в случае, если он развернут.

Ссылки на инсталляционные пакеты размещены в параметрах политики и разделах "Приложения и файлы" и "Инсталляционные пакеты" Kaspersky Security Center.

Эта функциональность доступна с Kaspersky Security Center Linux 15.2 или выше.

Служба Веб-сервера на шлюзе соединения устанавливается вместе с Агентом администрирования для Linux. Для использования службы вам необходимо назначить устройство, которое будет выполнять роль точки распространения в режиме шлюза соединения для использования в качестве Веб-сервера, и указать необходимые настройки.

Назначьте устройство, которое будет выполнять роль точки распространения в режиме шлюза соединения

Чтобы назначить устройство, которое будет выполнять роль точки распространения в режиме шлюза соединения:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Точки распространения.
3. Нажмите Назначить.
4. В открывшемся окне выберите устройство, которое будет выполнять роль точки распространения.
5. Нажмите OK.

   Выбранное устройство появится в списке точек распространения.

6. Нажмите на имя устройства.
7. В открывшемся окне свойств точки распространения перейдите в раздел Шлюз соединения.
8. Включите переключатель Шлюз соединения.
9. Задайте имя DNS-домена точки распространения, под которым она будет доступна мобильным устройствам.
10. Нажмите OK.

Устройство, которое будет выполнять роль точки распространения в режиме шлюза соединения, назначено.

Настройте параметры Веб-сервера на шлюзе соединения

Чтобы настроить параметры Веб-сервера на шлюзе соединения:

1. В главном окне Kaspersky Security Center Web Console нажмите на значок настроек () рядом с названием Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. На вкладке Общие выберите раздел Веб-сервер.
3. В блоке параметров Параметры Веб-сервера на шлюзе соединения (Агент администрирования для Linux) установите флажок Запустить дополнительный Веб-сервер на шлюзе соединения.

   Этот Веб-сервер будет использоваться для передачи файлов устройствам.

4. В появившемся поле Шлюз соединения укажите устройство, на котором будет развернут Веб-сервер для использования в качестве шлюза соединения. В выпадающем списке отображаются только те устройства, которые поддерживают эту функциональность.
5. В появившемся блоке параметров Параметры Веб-сервера для выбранного шлюза соединения настройте порты Веб-сервера:
   1. Выберите Открыть HTTPS-порт Веб-сервера, если вы хотите, чтобы Веб-сервер был доступен по HTTPS-порту и обрабатывал HTTPS-запросы. Для защиты этого порта также потребуется настройка соответствующего сертификата.
      1. Укажите HTTPS-порт.
      2. Укажите Источник сертификата для HTTPS-порта Веб-сервера.

         По умолчанию используется сертификат, выпущенный Сервером администрирования – он действителен в течение 397 дней и обновляется автоматически по истечении этого срока. При необходимости сертификат можно обновить вручную по кнопке Перевыпустить.

         Чтобы продолжить использование этого сертификата, выберите Выпустить сертификат средствами Сервера администрирования. Чтобы загрузить пользовательский сертификат вручную, выберите Загрузить сертификат из файла.

         Чтобы загрузить сертификат из файла:

         • Нажмите Загрузить из файла.
         • В открывшемся окне загрузки сертификата выберите Формат сертификата.
         • Для формата PKCS #12 укажите путь к файлу сертификата (P12 или PFX) и введите пароль сертификата.

           Для формата X.509 укажите пути к файлам открытого и закрытого ключей и введите пароль закрытого ключа.

         • Нажмите Сохранить.
      3. Убедитесь, что адреса в полях Адрес Веб-сервера (адрес Веб-сервера, запросы от которого будет обрабатывать Kaspersky Security Center) и Адрес сертификата (адрес выпущенного сертификата) совпадают. В противном случае необходимо перевыпустить сертификат, выданный Сервером администрирования, или загрузить другой пользовательский сертификат.

      Чтобы устройства могли безопасно загружать файлы с Веб-сервера на шлюзе соединения через HTTPS, на них должен быть установлен сертификат Веб-сервера.

   2. Выберите Открыть HTTP-порт Веб-сервера, если вы хотите, чтобы Веб-сервер был доступен по HTTP-порту и обрабатывал HTTP-запросы.
      1. Укажите HTTP-порт.
   3. Нажмите Сохранить.

Параметры Веб-сервера на шлюзе соединения настроены.

При изменении параметров HTTP или HTTPS-порта необходимо обновить ссылки на ранее опубликованные инсталляционные пакеты для мобильных устройств, подключенных к Веб-серверу на шлюзе соединения. Обновите ссылки в параметрах политики и разделах "Приложения и файлы" и "Инсталляционные пакеты" Kaspersky Security Center.

Чтобы обновить ссылки на инсталляционные пакеты:

• В разделе "Приложения и файлы":
  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Приложения и файлы.
  2. Нажмите Android или iOS в зависимости от требуемой операционной системы.
  3. В открывшемся списке приложений выполните одно из действий:
     • Установите флажок рядом с названиями приложений, ссылки на инсталляционные пакеты которых необходимо обновить, а затем нажмите Опубликовать повторно.
     • Нажмите на название приложения, ссылку на инсталляционный пакет которого необходимо обновить, а затем в открывшемся окне нажмите Опубликовать повторно.
• В разделе "Инсталляционные пакеты":
  1. В главном окне Kaspersky Security Center Web Console выберите Операции → Хранилища → Инсталляционные пакеты.
  2. В открывшемся окне нажмите Просмотреть список автономных пакетов.
  3. Выберите приложение, ссылку на инсталляционный пакет которого необходимо обновить, а затем нажмите Отменить публикацию.
  4. Нажмите Опубликовать.

Ссылки на инсталляционные пакеты обновлены.

[Topic 295015]

Передача на устройства сертификата Веб-сервера на шлюзе соединения

Чтобы устройства могли безопасно загружать файлы с Веб-сервера на шлюзе соединения через HTTPS, на них должен быть установлен сертификат Веб-сервера.

Передача сертификата Веб-сервера на iOS MDM-устройства

При подключении новых iOS MDM-устройств Kaspersky Security Center автоматически добавляет открытый ключ сертификата Веб-сервера на шлюзе соединения в управляющие профили.

Таким образом, устройства могут проверять корректность HTTPS-соединения и безопасно загружать сторонние приложения с Веб-сервера на шлюзе соединения.

В случае изменения сертификата он обновляется на iOS MDM-устройствах в процессе синхронизации с Сервером iOS MDM.

Передача сертификата Веб-сервера на Android-устройства

Если вы используете сертификат Веб-сервера на шлюзе соединения, выпущенный Kaspersky Security Center, стандартный загрузчик Android позволяет вам скачивать файлы с Веб-сервера на шлюзе соединения только через HTTP.

Чтобы безопасно скачивать на устройства файлы с сертификатом, выпущенным Kaspersky Security Center, вы можете использовать встроенный загрузчик Kaspersky Endpoint Security для Android, который всегда скачивает файлы через HTTPS. Подробная информация доступна в статье Выбор загрузчика для Android-устройств.

[Topic 284061]

Развертывание системы управления iOS-устройствами

Kaspersky Secure Mobility Management позволяет управлять мобильными устройствами под управлением iOS. В этом разделе описано развертывание системы управления iOS-устройствами.

[Topic 274858]

О режимах работы iOS-устройств

Режим работы устройства зависит от того, кому принадлежит мобильное устройство (личное или корпоративное) и требований корпоративной безопасности. Вы можете выбрать наиболее подходящий для компании режим работы, а также использовать несколько режимов одновременно.

Для iOS-устройств доступны следующие режимы работы:

• Базовая защита
• Базовый контроль
• Расширенный контроль

Базовая защита

Базовая защита - это режим работы для личных или корпоративных iOS-устройств. Этот режим работы позволяет защищать от веб-угроз и обнаруживать jailbreak на устройствах с помощью приложения Kaspersky Protection для iOS.

Базовый контроль

Базовый контроль - это режим работы для личных и корпоративных iOS-устройств. Этот режим работы позволяет защищать устройства и выполнять базовое управление ими.

В этом режиме пользователю разрешено использовать персональный Apple ID, работать с любыми приложениями и хранить персональные данные на устройстве. Вы можете настроить параметры политики для контроля доступа пользователей к корпоративным ресурсам и управления другими требованиями безопасности.

Для управления iOS-устройствами в режиме "Базовый контроль" необходимо установить и настроить Сервер iOS MDM.

Расширенный контроль

Расширенный контроль - это режим работы для корпоративных iOS-устройств. Этот режим работы предлагает наиболее широкий набор параметров для настройки в политике по сравнению с другими режимами, например:

• Отправка дополнительных команд для управления настройками Bluetooth, обновления операционной системы, определения местоположения устройства или воспроизведения звукового сигнала в Режиме пропажи.
• Управление дополнительными ограничениями:
  • Ограничения сети (запрет на изменение настроек Режима модема и создание конфигураций VPN, принудительное включение Wi-Fi и подключение к разрешенным сетям, запрет на изменение настроек Bluetooth).
  • Ограничения приложений (например, запрет на установку приложений из Apple Configurator и iTunes).
  • Запрет доступа к USB-устройствам в приложении "Файлы" и отключение доступа к USB-устройствам, когда устройство заблокировано.
• Настройка расширенных параметров Контроля приложений (например, создание собственных списков разрешенных и запрещенных приложений).
• Настройка Веб-Контроля.
• Настройка HTTP-прокси для отслеживания интернет-трафика на устройстве в корпоративной сети.

Для управления iOS-устройствами в режиме "Расширенный контроль" необходимо установить и настроить Сервер iOS MDM, а также перевести устройства в управляемый режим в Apple Configurator. Дополнительная информация о работе с Apple Configurator приведена на сайте Службы технической поддержки Apple.

[Topic 284150]

Об управляющих профилях

Управляющий профиль - это профиль, который содержит параметры для подключения iOS-устройств к Kaspersky Security Center. После установки управляющего профиля и синхронизации устройства с Сервером iOS MDM, устройство становится управляемым (iOS MDM-устройством). Управление iOS MDM-устройствами осуществляется через службу уведомлений Apple Push (APNs).

С помощью управляющего профиля можно выполнять следующие действия:

• Удаленно настраивать параметры iOS MDM-устройств с помощью политик.
• Отправлять команды на iOS MDM-устройства.
• Удаленно устанавливать приложения "Лаборатории Касперского" и сторонние приложения.

Развертывание управляющего профиля осуществляется через Kaspersky Security Center Web Console с помощью Мастера подключения мобильного устройства. Пользователь устанавливает управляющий профиль после получения письма с информацией для подключения мобильного устройства к Kaspersky Security Center. Дополнительной подготовки управляющего профиля к работе не требуется.

Перед установкой управляющего профиля необходимо развернуть систему управления iOS-устройствами.

[Topic 284062]

Установка Kaspersky Protection для iOS

В этом разделе содержится общий обзор приложения Kaspersky Protection для iOS и процесса его активации.

Подробная информация о возможностях Kaspersky Protection для iOS, установке, обновлении и удалении приложения приведена в разделе Использование приложения Kaspersky Protection для iOS.

[Topic 274855]

Установка Kaspersky Protection для iOS

Приложение Kaspersky Protection для iOS обеспечивает защиту мобильных устройств от фишинга и веб-угроз.

Kaspersky Protection для iOS предоставляет следующие ключевые функции:

• Веб-Защита. Позволяет блокировать вредоносные веб-сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. После сканирования Веб-Защита разрешает загрузку надежных сайтов и блокирует вредоносные. Этот компонент можно настроить в Kaspersky Security Center Web Console, указав соответствующие параметры политики.
• Обнаружение модификации прошивки (jailbreak). Если приложение Kaspersky Protection для iOS обнаруживает модификацию прошивки (jailbreak), оно отображает критическое сообщение и информирует вас о проблеме.

[Topic 284115]

Активация Kaspersky Protection для iOS

В Kaspersky Security Center лицензия может распространяться на различные группы функциональности. Для полноценного функционирования приложения Kaspersky Protection для iOS необходимо, чтобы приобретенная организацией лицензия на Kaspersky Security Center распространялась на функциональность Управление мобильными устройствами.

Подробная информация о вариантах лицензирования приведена в разделе О лицензии.

Активация приложения Kaspersky Protection для iOS на мобильном устройстве осуществляется путем предоставления приложению корректной информации о лицензии. Информация о лицензии передается на мобильное устройство вместе с параметрами политики при синхронизации устройства с Kaspersky Security Center.

Если мобильное приложение не было активировано в течение 30 дней с момента установки на мобильное устройство, оно автоматически переключается в режим работы с ограниченной функциональностью. В этом режиме большинство компонентов приложения не работает. При переходе в режим работы с ограниченной функциональностью приложение прекращает выполнять автоматическую синхронизацию с Kaspersky Security Center. Поэтому, если приложение не было активировано в течение 30 дней с момента установки, пользователю необходимо вручную выполнить синхронизацию устройства с Kaspersky Security Center.

Если Kaspersky Security Center не развернут в вашей организации или недоступен для мобильных устройств, пользователи могут активировать мобильное приложение на своих устройствах вручную.

Чтобы активировать мобильное приложение:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Нажмите на кнопку Лицензия.
4. В раскрывающемся списке в открывшемся окне выберите требуемый лицензионный ключ в хранилище ключей Сервера администрирования.

   Подробная информация о лицензионном ключе отображается в полях ниже.

   Если выбрать файл ключа из хранилища ключей Kaspersky Security Center и отправить его на устройство, Kaspersky Protection для iOS не сможет его обработать, потому что не поддерживает такой формат активации. Чтобы активировать Kaspersky Protection для iOS, нужно добавить код активации в Kaspersky Security Center.

   Вы можете заменить существующий ключ активации на мобильном устройстве, если он отличается от ключа, выбранного в раскрывающемся списке. Для этого установите флажок Заменить ключ, если на устройствах добавлен другой ключ.

5. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Приложение будет активировано после очередной синхронизации устройства с Сервером администрирования.

Пользователь также может обратиться к администратору за кодом активации и ввести его вручную.

[Topic 274697]

Развертывание системы управления по протоколу iOS MDM

Управление iOS-устройствами в режимах "Базовый контроль" и "Расширенный контроль" осуществляется через протокол iOS MDM. Чтобы развернуть систему управления мобильными устройствами с использованием протокола iOS MDM и подключить iOS-устройства к Kaspersky Security Center, выполните следующие шаги:

1. Развертывание Сервера iOS MDM
2. Получение APNs-сертификата
3. Установка APNs-сертификата на Сервер iOS MDM
4. Подключение iOS-устройств к Kaspersky Security Center

[Topic 274696]

Развертывание Сервера iOS MDM

Сервер iOS MDM - это компонент Kaspersky Secure Mobility Management, который позволяет iOS MDM-устройствам подключаться к Kaspersky Security Center и упрощает управление ими через службу уведомлений Apple Push (APNs) путем установки на устройства управляющих профилей.

Сервер iOS MDM принимает входящие соединения от мобильных устройств на свой TLS-порт (по умолчанию порт 443) и управляется со стороны Kaspersky Security Center с помощью Агента администрирования. Агент администрирования устанавливается локально на устройстве, на котором будет развернут Сервер iOS MDM.

Количество устанавливаемых копий Сервера iOS MDM зависит от доступного аппаратного обеспечения и от общего числа обслуживаемых мобильных устройств.

Обратите внимание, что рекомендуемое максимальное количество мобильных устройств, которыми можно управлять через Сервер iOS MDM, составляет 50 000. С целью уменьшения нагрузки устройства можно распределить между несколькими серверами с установленным Сервером iOS MDM.

[Topic 274868]

Настройка инсталляционного пакета Сервера iOS MDM

Перед установкой Сервера iOS MDM необходимо настроить свойства его инсталляционного пакета.

Инсталляционный пакет Сервера iOS MDM - это архив, содержащий файлы, необходимые для установки Сервера, в зависимости от менеджера пакетов и архитектуры: kliosmdm-<architecture>-<version>-<package manager>_<language>.tar.gz

Чтобы настроить инсталляционный пакет Сервера iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Операции > Хранилища > Инсталляционные пакеты.
2. В открывшемся окне выберите инсталляционный пакет Сервера iOS MDM, который вы хотите настроить.

   Откроется окно свойств инсталляционного пакета.

3. На вкладке Параметры укажите настройки Сервера iOS MDM.
   1. В блоке настроек Параметры подключения укажите следующие значения:

      Рекомендуется использовать значения по умолчанию.

      • Внешний порт подключения к службе iOS MDM. В этом поле укажите внешний порт для подключения мобильных устройств к службе iOS MDM.

        Внешний порт 5223 используется мобильными устройствами для связи с APNs-сервером. Убедитесь, что в сетевом экране открыт порт 5223 для подключения к диапазону адресов 17.0.0.0/8.

        Для подключения устройств к Серверу iOS MDM по умолчанию используется порт 443. Если порт 443 уже используется другой службой или приложением, вместо него можно использовать, например, порт 9443.

        Порт 2197 используется Сервером iOS MDM для отправки уведомлений на APNs-сервер. APNs-серверы работают в режиме сбалансированной нагрузки. Мобильные устройства не всегда подключаются к одним и тем же IP-адресам для получения уведомлений. Диапазон адресов 17.0.0.0/8 зарезервирован за компанией Apple, поэтому рекомендуется указать его в качестве разрешенного диапазона в параметрах сетевого экрана.

      • Порт подключения к Агенту администрирования. В этом поле укажите порт для подключения службы iOS MDM к Агенту администрирования. Порт по умолчанию: 9799.
      • Локальный порт подключения к службе iOS MDM. В этом поле укажите локальный порт подключения Агента администрирования к службе iOS MDM. Порт по умолчанию: 9899.
   2. В блоке настроек Адрес Сервера iOS MDM укажите адрес устройства, на который будет установлен Сервер iOS MDM. Этот адрес будет использоваться для подключения управляемых мобильных устройств к службе iOS MDM. Устройство должно быть доступно для подключения iOS MDM-устройств.

      Выберите один из следующих вариантов:

      • Использовать FQDN-имя устройства. Будет использоваться полное доменное имя (FQDN) устройства.
      • Использовать указанный адрес. Введите адрес устройства вручную.

        Не включайте в строку с адресом URL-схему и номер порта. Эти значения будут добавлены автоматически.

4. Нажмите Сохранить.

Свойства инсталляционного пакета Сервера iOS MDM настроены. Теперь вы можете установить Сервер iOS MDM с указанными настройками.

[Topic 274867]

Установка Сервера iOS MDM с помощью задачи удаленной установки

Kaspersky Security Center Web Console позволяет установить Сервер iOS MDM с помощью задачи удаленной установки. Эта задача создается и назначается устройствам (до 1000 устройств) с помощью соответствующего мастера. С помощью мастера можно установить Сервер iOS MDM в группе администрирования, на устройствах с определенными IP-адресами или на выбранных управляемых устройствах.

Обратите внимание, что вы не сможете указать настройки Сервера iOS MDM во время установки. Эти параметры настраиваются в свойствах инсталляционного пакета Сервера iOS MDM.

Перед установкой Сервера iOS MDM на устройстве убедитесь, что установлены плагины Kaspersky Mobile Devices Protection and Management и Параметры Сервера iOS MDM.

Чтобы установить Сервер iOS MDM с помощью задачи удаленной установки:

1. Установите Агент администрирования на устройство, на котором будет развернут Сервер iOS MDM.
2. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM.
3. Нажмите Установить.

   Запустится Мастер создания задачи. Для продолжения работы мастера нажмите Далее.

4. В открывшемся окне Параметры новой задачи:
   1. В поле Название задачи при необходимости укажите произвольное имя задачи (имя по умолчанию - "Установить Сервер iOS MDM").
   2. В блоке настроек Устройства, которым будет назначена задача выберите Задать адреса устройств вручную или импортировать из списка. Вы можете задавать DNS-имена, IP-адреса, а также диапазоны IP-адресов устройств, которым нужно назначить задачу.
5. На шаге Область действия задачи:
   1. Нажмите Добавить устройства.
   2. В открывшемся окне из выпадающего списка выберите Выбрать устройства, обнаруженные в сети Сервером администрирования.
   3. Укажите устройства или выборку устройств.
   4. Нажмите Добавить.

   Добавленные устройства отобразятся в таблице.

6. На шаге Инсталляционные пакеты укажите следующие параметры:
   1. В поле Выбор инсталляционного пакета выберите настроенный инсталляционный пакет Сервера iOS MDM.
   2. В поле Выбор Агент администрирования выберите установленный Агент администрирования.
   3. В блоке настроек Принудительно загрузить инсталляционный пакет выберите C помощью Агента администрирования, чтобы доставить на устройства файлы, необходимые для установки Сервера iOS MDM, с помощью Агента администрирования.
   4. В поле Максимальное количество одновременных загрузок укажите максимально допустимое количество устройств, на которые Сервер администрирования может одновременно передавать файлы.
   5. В поле Максимальное количество попыток установок укажите максимально допустимое количество запусков приложения установки.
   6. Укажите дополнительные параметры:
      • Установите флажок Не устанавливать приложение, если оно уже установлено. Приложение не будет устанавливаться заново, если оно уже установлено на устройстве.
      • Установите флажок Предварительно проверять тип операционной системы перед загрузкой. Перед передачей файлов на устройства Kaspersky Security Center проверит, применимы ли параметры утилиты установки к операционной системе устройства. Если параметры не применимы, Kaspersky Security Center не передаст файлы и не попытается установить приложение. Например, чтобы установить некоторые приложения с устройств группы администрирования, в которую входят устройства с различными операционными системами, вы можете назначить задачу установки группе администрирования, а затем включить этот параметр, чтобы пропускать устройства с операционной системой, отличной от требуемой.
7. На следующем шаге мастера вам будет предложено указать, требуется ли перезагрузка устройства при установке приложения. Выберите Не перезагружать устройство или пропустите этот шаг, так как он не применим к операционной системе Linux.
8. На шаге Выбор учетных записей для доступа к устройствам выберите Учетная запись не требуется (Агент администрирования уже установлен). Если выбран этот вариант, не требуется указывать учетную запись, от имени которой будет запускаться инсталлятор приложения. Задача запускается под учетной записью, под которой работает служба Сервера администрирования. Если Агент администрирования не установлен на устройствах, вариант недоступен.
9. На шаге Завершение создания задачи нажмите Готово, чтобы создать задачу и закрыть мастер.

Сервер iOS MDM установлен с помощью задачи удаленной установки.

[Topic 274870]

Локальная установка Сервера iOS MDM на устройстве с помощью инсталляционного пакета

Kaspersky Security Center Web Console позволяет установить Сервер iOS MDM на устройстве локально с помощью инсталляционного пакета, то есть без интерактивного ввода параметров установки.

Перед установкой Сервера iOS MDM на устройстве убедитесь, что установлены плагины Kaspersky Mobile Devices Protection and Management и Параметры Сервера iOS MDM.

Чтобы установить и настроить Сервер iOS MDM вручную на локальном устройстве:

1. Установите Сервер iOS MDM:
   1. Прочитайте Лицензионное соглашение. Используйте команду ниже, только если вы поняли и принимаете условия Лицензионного соглашения.
   2. В зависимости от вашей операционной системы выполните одну из следующих команд для запуска установочного файла:
      1. Для Debian:

         apt install /<path>/kliosmdm_<version_number>_amd64.deb

      2. Для Red Hat Enterprise Linux:

         yum install /<path>/kliosmdm_<version_number>.x86_64.rpm -y

         Сервер iOS MDM установлен. Установщик предлагает начать процедуру установки, выполнив скрипт postinstall.pl.

2. Настройте Сервер iOS MDM одним из способов:
   1. Настройка с параметрами postinstall, заданными интерактивным пошаговым мастером:
      1. Выполните следующую команду:

         /opt/kaspersky/iosmdm/lib/bin/setup/postinstall.pl

   2. Настройка с ключевыми аргументами, указанными в качестве параметров postinstall:
      1. Выполните следующую команду:

         opt/kaspersky/bin/postinstall.pl -- <params>

         где <params> - это один из параметров, указанных в таблице Параметров установки Сервера iOS MDM ниже.

Имена и возможные значения параметров, которые можно использовать при установке Сервера iOS MDM, приведены в таблице. Параметры можно указывать в любом порядке.

Параметры установки Сервера iOS MDM

Чтобы установить и настроить Сервер iOS MDM автоматически в тихом режиме с использованием файла ответов:

Файл ответов - это текстовый файл, содержащий пользовательский набор параметров установки (переменные и соответствующие им значения).

1. Создайте файл ответов (в формате TXT) в каталоге, где будет выполняться установка: /tmp/answers.txt.
2. Укажите требуемые значения в файле ответов:
   • EULA_ACCEPTED=1

     Согласие с условиями Лицензионного соглашения.

   • KLIOSMDM_AUTOINSTALL=1

     Использование файла ответов в формате TXT с параметрами установки Сервера iOS MDM.

   • EXTERNALSERVERPORT=443

     Порт для подключения устройства к Серверу iOS MDM.

   • CONNECTORPORT=9799

     Локальный порт для подключения службы iOS MDM к Агенту администрирования.

   • LOCALSERVERPORT=9899

     Локальный порт для подключения Агента администрирования к службе iOS MDM.

   • EXTERNAL_SERVER_URL=example.fqdn.com

     Внешний адрес устройства, на котором будет установлен Сервер iOS MDM.

3. Задайте значение переменной среды KLAUTOANSWERS, введя полное имя файла ответов (включая путь), например, следующим образом: export KLAUTOANSWERS=/tmp/answers.txt.
4. Запустите установку Сервера iOS MDM.

Сервер iOS MDM установлен и настроен автоматически в тихом режиме с использованием файла ответов.

[Topic 287006]

Обновление Сервера iOS MDM с помощью задачи удаленной установки или локально

Kaspersky Security Center Web Console позволяет обновить Сервер iOS MDM с помощью задачи удаленной установки или локально на устройстве.

Обратите внимание, что вы не сможете указать настройки Сервера iOS MDM во время обновления. Эти параметры настраиваются в свойствах инсталляционного пакета Сервера iOS MDM.

Чтобы обновить Сервер iOS MDM с помощью задачи удаленной установки:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM.
2. Нажмите Обновить.

   Запустится Мастер создания задачи. Для продолжения работы мастера нажмите Далее.

3. В открывшемся окне Параметры новой задачи:
   1. В поле Название задачи при необходимости укажите произвольное имя задачи (имя по умолчанию - "Обновить Сервер iOS MDM").
   2. В блоке настроек Устройства, которым будет назначена задача отобразится устройство, на котором установлен Сервер iOS MDM.
4. На шаге Инсталляционные пакеты укажите следующие параметры:
   1. В поле Выбор инсталляционного пакета выберите настроенный инсталляционный пакет Сервера iOS MDM.
   2. В блоке настроек Принудительно загрузить инсталляционный пакет выберите C помощью Агента администрирования, чтобы доставить на устройства файлы, необходимые для обновления Сервера iOS MDM, с помощью Агента администрирования.
   3. В поле Максимальное количество одновременных загрузок укажите максимально допустимое количество клиентских устройств, на которые Сервер администрирования может одновременно передавать файлы.
   4. В поле Максимальное количество попыток установок укажите максимально допустимое количество запусков приложения установки.
   5. Укажите дополнительные параметры:
      • Установите флажок Не устанавливать приложение, если оно уже установлено. Приложение не будет устанавливаться заново, если оно уже установлено на устройстве.
      • Установите флажок Предварительно проверять тип операционной системы перед загрузкой. Перед передачей файлов на устройства Kaspersky Security Center проверит, применимы ли параметры утилиты установки к операционной системе устройства. Если параметры не применимы, Kaspersky Security Center не передаст файлы и не попытается установить приложение. Например, чтобы установить некоторые приложения с устройств группы администрирования, в которую входят устройства с различными операционными системами, вы можете назначить задачу установки группе администрирования, а затем включить этот параметр, чтобы пропускать устройства с операционной системой, отличной от требуемой.
5. На следующем шаге мастера вам будет предложено указать, требуется ли перезагрузка устройства при установке приложения. Выберите Не перезагружать устройство или пропустите этот шаг, так как он не применим к операционной системе Linux.
6. На шаге Выбор учетных записей для доступа к устройствам выберите Учетная запись не требуется (Агент администрирования уже установлен). Если выбран этот вариант, не требуется указывать учетную запись, от имени которой будет запускаться инсталлятор приложения. Задача запускается под учетной записью, под которой работает служба Сервера администрирования. Если Агент администрирования не установлен на устройствах, вариант недоступен.
7. На шаге Завершение создания задачи нажмите Готово, чтобы создать задачу и закрыть мастер.

Сервер iOS MDM обновлен с помощью задачи удаленной установки.

Чтобы обновить Сервер iOS MDM локально, выполните действия, описанные в разделе Локальная установка Сервера iOS MDM на устройстве с помощью инсталляционного пакета, с использованием более новой версии инсталляционного пакета.

[Topic 287071]

Удаление Сервера iOS MDM с помощью задачи удаленной деинсталляции

Kaspersky Security Center Web Console позволяет удалить Сервер iOS MDM с помощью задачи удаленной деинсталляции.

Перед удалением Сервера iOS MDM убедитесь, что инсталляционный пакет Сервера iOS MDM создан и добавлен в хранилище Сервера администрирования (Операции > Хранилища > Инсталляционные пакеты).

Чтобы удалить Сервер iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM.
2. Выберите Сервер iOS MDM, который вы хотите удалить, и нажмите Удалить.

   Запустится Мастер создания задачи. Следуйте указаниям мастера, как описано в справке Kaspersky Security Center.

[Topic 274721]

Просмотр списка установленных Серверов iOS MDM и настройка их параметров

Kaspersky Security Center Web Console позволяет просматривать список установленных Серверов iOS MDM и настраивать их.

Чтобы просмотреть установленные Серверы iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM.
2. В открывшемся списке установленных Серверов iOS MDM:
   1. Чтобы установить Сервер iOS MDM, нажмите Установить.
   2. Чтобы обновить Сервер iOS MDM, нажмите Обновить.
   3. Чтобы удалить Сервер iOS MDM, нажмите Удалить.
   4. Чтобы просмотреть или настроить параметры Сервера iOS MDM, выполните одно из следующих действий:
      • Установите флажок рядом с Сервером iOS MDM, параметры которого вы хотите просмотреть или настроить, и нажмите Изменить параметры.

        В окне настроек Сервера iOS MDM откроется вкладка Параметры приложения.

      • Нажмите на имя Сервера iOS MDM, параметры которого вы хотите просмотреть или настроить.

        В открывшемся окне настроек Сервера iOS MDM перейдите на вкладку Параметры приложения.

Чтобы просмотреть или настроить параметры Сервера iOS MDM:

1. Перейдите на вкладку Параметры приложения настроек Сервера iOS MDM по инструкции, указанной выше.
   1. В разделе Общие вы можете просмотреть общие свойства Сервера iOS MDM.
      • Имя. Пользовательское имя Сервера iOS MDM.
      • Версия. Версия установленного Сервера iOS MDM.
      • Дата изменения. Дата и время последнего обновления или изменения Сервера iOS MDM.
      • Имя устройства. Имя устройства, на котором установлен Сервер iOS MDM.
      • Путь на устройстве. Путь к Серверу iOS MDM на устройстве, на котором он установлен.

        Вы не можете изменять настройки в этом разделе.

   2. В разделе Прокси-сервер для APNs вы можете указать следующие настройки для службы уведомлений Apple Push (APNs):
      • Адрес. Адрес прокси-сервера APNs.
      • Порт. Порт прокси-сервера APNs.
      • Имя пользователя. Имя пользователя прокси-сервера APNs.
      • Пароль. Пароль прокси-сервера APNs.

        Если доступ к APNs со стороны службы iOS MDM будет предоставляться через прокси-сервер, опция Использовать прокси-сервер для подключения к APNs должна быть включена.

        Подробная информация о прокси-сервере APNs приведена в разделе Настройка доступа к службе уведомлений Apple Push.

   3. В разделе Сертификаты вы можете управлять сертификатами, необходимыми для работы Сервера iOS MDM.
      • Сертификат службы уведомлений Apple Push (APNs). Сертификат APNs подписывается Apple и позволяет использовать службу уведомлений Apple Push. С помощью этой службы Сервер iOS MDM может управлять iOS-устройствами. Подробная информация об APNs-сертификате приведена в разделе Получение или обновление APNs-сертификата.
      • Сертификат Сервера iOS MDM. Сертификат Сервера iOS MDM используется для установления соединения и проверки доверия между iOS-устройствами и Сервером iOS MDM.
      • Резервный сертификат Сервера iOS MDM. Резервный сертификат Сервера iOS MDM обеспечивает бесперебойное переключение iOS-устройств после истечения срока действия основного сертификата Сервера iOS MDM. Подробная информация об APNs-сертификате приведена в разделе Настройка резервного сертификата Сервера iOS MDM.
      • Корневой сертификат Сервера iOS MDM. Корневой сертификат Сервера iOS MDM используется для выдачи клиентских сертификатов для аутентификации на Сервере iOS MDM.
   4. В разделе Параметры подключения вы можете просмотреть и настроить параметры подключения устройств к Серверу iOS MDM.
      • В блоке настроек Синхронизация вы можете включить или выключить синхронизацию управляемых устройств с Сервером iOS MDM и указать Период синхронизации (мин).
      • В блоке настроек Локальная точка доступа вы можете указать Порт подключения к Агенту администрирования (порт для подключения iOS-устройств к Агенту администрирования) и Локальный порт подключения к службе iOS MDM (локальный порт для подключения Агента администрирования к службе iOS MDM). Подробная информация об этих параметрах приведена в разделе Настройка инсталляционного пакета Сервера iOS MDM.
      • В блоке настроек Внешняя точка доступа вы можете указать Внешний порт подключения к службе iOS MDM (внешний порт для подключения мобильных устройств к службе iOS MDM).
      • В блоке настроек Инсталляционный профиль iOS MDM вы можете указать свойства инсталляционного профиля. Заполните поля Имя профиля (обязательное поле), Компания и Описание профиля.

        Обратите внимание, что параметры в этом разделе применяются к новым подключенным iOS MDM-устройствам или к ранее подключенным устройствам при обновлении их мобильных сертификатов.

      • В разделе Конфигурационные профили вы можете просматривать и управлять конфигурационными профилями, которые используются для централизованного управления iOS MDM-устройствами и ограничения их функций. Подробная информация об управлении конфигурационными профилями приведена в разделах Добавление конфигурационного профиля, Установка конфигурационного профиля на устройство и Удаление конфигурационного профиля с устройства.

[Topic 287007]

Настройка сертификата Сервера iOS MDM

Сертификат Сервера iOS MDM используется для установления соединения и проверки доверия между iOS MDM-устройством и Сервером iOS MDM.

Сертификат Сервера iOS MDM выпускается Kaspersky Security Center автоматически при первоначальном развертывании Сервера iOS MDM и устанавливается на устройстве с развернутым Сервером iOS MDM. Если вы хотите использовать сертификат, выданный вашим центром сертификации, вам необходимо указать пользовательский файл сертификата, который будет использоваться в качестве сертификата Сервера iOS MDM.

Если вы укажете пользовательский сертификат Сервера iOS MDM, кнопка Выпустить для резервного сертификата Сервера iOS MDM станет недоступной. В этом случае резервный сертификат необходимо указать вручную, нажав кнопку Установить.

Чтобы указать пользовательский сертификат Сервера iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Сертификаты.
   1. В блоке настроек Сертификат Сервера iOS MDM нажмите Установить.
   2. В открывшемся окне File Explorer укажите файл сертификата в формате PEM, PFX или P12 и нажмите Открыть.

      Убедитесь, что устанавливаемый вами сертификат соответствует следующим требованиям безопасности:

      • указано Общее имя (CN);
      • указано правильное альтернативное имя субъекта (SAN) типа DNS-имени, которое совпадает с адресом Сервера iOS MDM;
      • указан правильный издатель сертификата;
      • указана правильная дата истечения срока действия сертификата;
      • цепочка сертификатов завершена;
      • расширенное использование ключа (EKU) соответствует XKU_SSL_SERVER (1.3.6.1.5.5.7.3.1 serverAuth);
      • корневой сертификат совпадает с корневым сертификатом текущего сертификата;
      • размер ключа RSA в цепочке сертификатов составляет не менее 2048 бит;
      • размер ключа RSA корневого сертификата составляет не менее 4096 бит;
      • алгоритм хеширования в цепочке сертификатов принадлежит к семейству SHA-2.
   3. В открывшемся окне Установка сертификата введите пароль сертификата и нажмите Установить.
   4. Нажмите Сохранить.

Пользовательский сертификат Сервера iOS MDM установлен. Информация о сертификате отображена в блоке настроек Сертификат Сервера iOS MDM.

[Topic 274863]

Настройка резервного сертификата Сервера iOS MDM

Функциональность Сервера iOS MDM позволяет выпустить резервный сертификат. Этот сертификат предназначен для использования в профилях iOS MDM, чтобы обеспечить переключение управляемых iOS-устройств после истечения срока действия сертификата Сервера iOS MDM.

Если ваш Сервер iOS MDM по умолчанию использует сертификат, выпущенный "Лабораторией Касперского", вы можете выпустить резервный сертификат (или указать собственный сертификат в качестве резервного) до истечения срока действия сертификата Сервера iOS MDM. По умолчанию резервный сертификат будет выпущен автоматически за 60 дней до истечения срока действия сертификата Сервера iOS MDM. Резервный сертификат Сервера iOS MDM становится основным сразу после истечения срока действия сертификата Сервера iOS MDM. Открытый ключ распространяется на все управляемые устройства через конфигурационные профили, поэтому вам не нужно передавать его вручную.

Обратите внимание, что резервный сертификат Сервера iOS MDM не выпускается автоматически, если вы используете пользовательский сертификат Сервера iOS MDM. Если вы используете пользовательский сертификат, мы рекомендуем вам указать резервный сертификат при установке Сервера iOS MDM или не позднее, чем за 30 дней до окончания срока действия существующего сертификата Сервера iOS MDM.

Если срок действия сертификата истек, а резервный сертификат не указан, связь между Сервером iOS MDM и iOS MDM-устройствами будет потеряна. В этом случае для повторного подключения устройств необходимо указать новый сертификат и переустановить управляющие профили на каждом из управляемых устройств.

Чтобы выпустить резервный сертификат Сервера iOS MDM или указать пользовательский резервный сертификат в качестве резервного:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Сертификаты.
4. В блоке настроек Резервный сертификат Сервера iOS MDM выполните одно из следующих действий:
   • Если вы планируете и дальше использовать самозаверенный сертификат (сертификат, выпущенный "Лабораторией Касперского"), выполните следующие действия:
     1. Нажмите Выпустить.

        Если указан пользовательский сертификат Сервера iOS MDM, кнопка Выпустить для резервного сертификата Сервера iOS MDM будет недоступна. В этом случае резервный сертификат необходимо указать вручную, нажав кнопку Установить.

     2. В открывшемся окне Применить резервный сертификат Сервера iOS MDM выберите один из двух вариантов даты, когда необходимо применить резервный сертификат:
        • Если вы хотите применить резервный сертификат при истечении срока действия текущего сертификата, выберите параметр Когда истечет срок действия основного сертификата.
        • Если вы хотите применить резервный сертификат до истечения срока действия текущего сертификата, выберите параметр После указанного периода (дни). В поле ввода рядом с этим параметром укажите продолжительность периода, по истечении которого резервный сертификат должен заменить текущий сертификат.

        Срок действия указанного вами резервного сертификата не может превышать срок действия текущего сертификата Сервера iOS MDM.

     3. Нажмите ОК.

     Самозаверенный сертификат Сервера iOS MDM выпущен и указан в качестве резервного сертификата Сервера iOS MDM.

     Обратите внимание, что при указании даты, когда должен быть применен резервный сертификат, сертификат будет выдан до того, как вы сохраните изменения в разделе Сертификаты. Если вы хотите выпустить новый резервный сертификат, откройте параметры Сервера iOS MDM, удалите ранее выпущенный резервный сертификат, нажав Удалить, и выпустите новый резервный сертификат, следуя инструкции выше.

   • Если вы планируете использовать пользовательский сертификат, выпущенный вашим центром сертификации:
     1. Нажмите Установить.
     2. В открывшемся окне File Explorer укажите файл сертификата в формате PEM, PFX или P12 и нажмите Открыть.

        Убедитесь, что устанавливаемый вами сертификат соответствует следующим требованиям безопасности:

        • указано правильное альтернативное имя субъекта (SAN) типа DNS-имени, которое совпадает с адресом Сервера iOS MDM;
        • указан правильный издатель сертификата;
        • указана правильная дата истечения срока действия сертификата;
        • цепочка сертификатов завершена;
        • расширенное использование ключа (EKU) соответствует XKU_SSL_SERVER (1.3.6.1.5.5.7.3.1 serverAuth);
        • корневой сертификат совпадает с корневым сертификатом текущего сертификата;
        • размер ключа RSA в цепочке сертификатов составляет не менее 2048 бит;
        • размер ключа RSA корневого сертификата составляет не менее 4096 бит;
        • алгоритм хеширования в цепочке сертификатов принадлежит к семейству SHA-2.
     3. В открывшемся окне Установка сертификата введите пароль сертификата и нажмите Установить.
     4. Нажмите Сохранить.

     Пользовательский сертификат указан как резервный сертификат Сервера iOS MDM.

     Обратите внимание, что при указании даты, когда должен быть применен резервный сертификат, сертификат будет выдан до того, как вы сохраните изменения в разделе Сертификаты. Если вы хотите выпустить новый резервный сертификат, откройте параметры Сервера iOS MDM, удалите ранее выпущенный резервный сертификат, нажав Удалить, и выпустите новый резервный сертификат, следуя инструкции выше.

Резервный сертификат Сервера iOS MDM указан. Информация о сертификате отображена в блоке настроек Резервный сертификат Сервера iOS MDM.

[Topic 274861]

Получение или обновление APNs-сертификата

Чтобы обеспечить корректную работу службы iOS MDM и своевременное реагирование мобильных устройств на команды администратора, в параметрах Сервера iOS MDM нужно указать сертификат службы уведомлений Apple Push (APNs-сертификат).

Если у вас уже есть APNs-сертификат, попробуйте обновить его вместо получения нового. При замене существующего APNs-сертификата на новый Kaspersky Security Center теряет возможность управления ранее подключенными iOS MDM-устройствами.

Чтобы выпустить или обновить APNs-сертификат:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Сертификаты.
4. В разделе настроек Сертификат службы уведомлений Apple Push (APNs) нажмите Выпустить или обновить.

   Откроется мастер выпуска и обновления APNs-сертификата. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

   После создания запроса Certificate Signing Request (CSR-запроса) на первом шаге мастера его закрытый ключ сохраняется в оперативной памяти устройства. Соответственно, все шаги должны быть выполнены без перерыва в рамках одной сессии мастера.

Шаг 1. Создание запроса Certificate Signing Request (CSR)

Чтобы создать CSR-запрос:

1. Укажите информацию, необходимую для формирования файла запроса: Общее имя (CN), Компания (O), Отдел (OU), Город (L), Регион (S), Страна (C).
2. Нажмите Сохранить.

   После сохранения изменений будет создан CSR-файл, а закрытый ключ сертификата сохранится в памяти устройства.

Шаг 2. Подписание CSR-файла

На этом шаге отправьте CSR-файл, полученный на предыдущем этапе мастера, на заверение в "Лабораторию Касперского":

1. Нажмите Перейти на портал Kaspersky CompanyAccount.
2. Отправьте сформированный CSR-файл на подписание в "Лабораторию Касперского".

   Обратите внимание, что подписание CSR-файла возможно только после загрузки на портал ключа, позволяющего использовать решение для управления мобильными устройствами.

3. После успешной обработки запроса вы получите файл CSR-запроса, заверенный "Лабораторией Касперского".
4. Сохраните полученный файл.

Шаг 3. Получение открытого ключа APNs-сертификата

На этом шаге выполните одно из следующих действий в зависимости от того, необходимо ли выпустить новый сертификат или обновить существующий:

Чтобы выпустить новый сертификат:

1. Нажмите Перейти на портал Apple.
2. Авторизуйтесь на портале Apple с корпоративным Apple ID.

   Использовать личный Apple ID не рекомендуется. Создайте отдельный Apple ID для корпоративных целей. Привяжите созданный Apple ID к почтовому ящику организации, а не отдельного сотрудника.

3. Загрузите подписанный CSR-файл.

   На основе файла будет сформирован открытый ключ APNs-сертификата.

4. После обработки CSR-запроса в Apple вы получите открытый ключ APNs-сертификата.

   Сохраните полученный файл.

Чтобы обновить сертификат:

1. Нажмите Перейти на портал Apple.
2. Авторизуйтесь на портале Apple с корпоративным Apple ID.

   Использовать личный Apple ID не рекомендуется. Создайте отдельный Apple ID для корпоративных целей. Привяжите созданный Apple ID к почтовому ящику организации, а не отдельного сотрудника.

3. Укажите сертификат, который необходимо обновить.
4. Загрузите подписанный CSR-файл.

   На основе файла будет сформирован открытый ключ APNs-сертификата.

5. После обработки CSR-запроса в Apple вы получите открытый ключ APNs-сертификата.

   Сохраните полученный файл.

Шаг 4. Загрузка открытого ключа APNs-сертификата

На этом шаге укажите файл открытого ключа, полученный от Apple на предыдущем этапе мастера:

1. Нажмите Выбрать.
2. В открывшемся окне File Explorer укажите файл сертификата в формате PEM, PFX или P12 и нажмите Открыть.

Шаг 5. Указание пароля закрытого ключа APNs-сертификата

На этом шаге введите имя сертификата и пароль для закрытого ключа:

1. В поле Имя сертификата укажите произвольное имя сертификата.
2. В поле Пароль закрытого ключа укажите пароль закрытого ключа для сертификата.

   Указанный пароль будет использоваться для установки APNs-сертификата на Сервер iOS MDM.

3. В поле Подтвердите пароль введите пароль еще раз.

Шаг 6. Завершение CSR-запроса

На этом шаге APNs-сертификат сформирован и готов к установке на Сервер iOS MDM.

1. Для завершения CSR-запроса нажмите Скачать APNs-сертификат и сохраните сертификат.
2. Нажмите Готово, чтобы выйти из мастера.

Закрытый и открытый ключи сертификата будут объединены, а APNs-сертификат сохранен в файл формата PEM.

Теперь вы можете установить APNs-сертификат на Сервер iOS MDM.

[Topic 274864]

Установка APNs-сертификата на Сервер iOS MDM

После получения APNs-сертификата вы можете установить его на Сервер iOS MDM.

Чтобы установить APNs-сертификат на Сервер iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Сертификаты.
4. В разделе настроек Сертификат службы уведомлений Apple Push (APNs):
   1. Нажмите Установить.
   2. В открывшемся окне File Explorer укажите файл сертификата в формате PEM и нажмите Открыть.

      Убедитесь, что устанавливаемый вами сертификат соответствует следующим требованиям безопасности:

      • указано Общее имя (CN);
      • указано правильное альтернативное имя субъекта (SAN) типа DNS-имени, которое совпадает с адресом Сервера iOS MDM;
      • указан правильный издатель сертификата;
      • указана правильная дата истечения срока действия сертификата.
   3. В открывшемся окне Установка сертификата введите пароль закрытого ключа, указанный при получении APNs-сертификата, и нажмите Установить.

APNs-сертификат установлен на Сервер iOS MDM. Информация о сертификате отображена в блоке настроек Сертификат службы уведомлений Apple Push (APNs).

[Topic 274865]

Настройка доступа к сервису Apple Push Notification

Чтобы обеспечить корректную работу службы iOS MDM и своевременное реагирование мобильных устройств на команды администратора, в параметрах Сервера iOS MDM нужно указать сертификат службы уведомлений Apple Push (APNs-сертификат).

Взаимодействуя со службой Apple Push Notification (APNs), служба iOS MDM подключается к внешнему адресу api.push.apple.com по исходящему порту 2197. Для этого службе iOS MDM необходимо предоставить доступ к порту TCP 2197 для диапазона адресов 17.0.0.0/8. Со стороны iOS-устройства - доступ к порту TCP 5223 для диапазона адресов 17.0.0.0/8.

Если доступ к APNs со стороны службы iOS MDM будет предоставляться через прокси-сервер, необходимо включить использование прокси-сервера для подключения к APNs.

Чтобы включить использование прокси-сервера для подключения к APNs:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, параметры которого вы хотите настроить.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку Прокси-сервер для APNs.
4. В открывшемся окне включите переключатель Использовать прокси-сервер для подключения к APNs.
5. Настройте следующие параметры:
   1. В поле Адрес укажите адрес прокси-сервера APNs.
   2. В поле Порт укажите порт прокси-сервера APNs.
   3. В поле Имя пользователя укажите имя пользователя прокси-сервера APNs.
   4. В поле Пароль укажите пароль прокси-сервера APNs.
6. Нажмите Сохранить.

Теперь для подключения к APNs используется прокси-сервер.

[Topic 274719]

События Сервера iOS MDM

Kaspersky Security Center Web Console позволяет просматривать события, связанные с Сервером iOS MDM. События имеют разные уровни важности: Информация, Предупреждение, Критическое событие, Функциональный сбой.

Для каждого события, которое может быть сгенерировано Сервером iOS MDM, вы можете указать настройки уведомлений и хранения на вкладке Настройка событий свойств Сервера iOS MDM. Мы рекомендуем настроить параметры для каждого типа события после развертывания Сервера iOS MDM, чтобы ограничить количество отображаемых событий и сократить время загрузки списка событий.

Если вы хотите настроить параметры уведомлений для всех событий сразу, настройте общие параметры уведомлений в свойствах Сервера администрирования. Дополнительная информация приведена в справке Kaspersky Security Center.

Чтобы просмотреть события Сервера iOS MDM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Серверы iOS MDM. В открывшемся списке Серверов iOS MDM выберите Сервер iOS MDM, события которого вы хотите просмотреть.
2. В окне параметров Сервера iOS MDM выберите Параметры приложения.
3. Выберите вкладку События.

Отобразятся события Сервера iOS MDM.

Подробная информация о просмотре событий в Kaspersky Security Center Web Console приведена в справке Kaspersky Security Center.

В таблице ниже представлены события Сервера iOS MDM с уровнем важности Информация.

События Сервера iOS MDM "Информация"

В таблице ниже представлены события Сервера iOS MDM с уровнем важности Предупреждение.

События Сервера iOS MDM "Предупреждение"

В таблице ниже представлены события Сервера iOS MDM с уровнем важности Функциональный сбой.

События Сервера iOS MDM "Функциональный сбой"

[Topic 287089]

Получение диагностических данных Сервера iOS MDM

При создании запроса в службу технической поддержки "Лаборатории Касперского" вам может быть предложено создать и прикрепить файл трассировки. Файлы трассировки используются Службой технической поддержки в диагностических целях. Эти файлы содержат записи всех шагов выполнения команд приложения, что позволяет обнаружить шаг, на котором возникла ошибка.

Мы рекомендуем создавать трассировки Сервера iOS MDM вместе с трассировками Агента администрирования, так как они содержат сведения о коннекторе Сервера iOS MDM.

Для Сервера iOS MDM существует несколько уровней трассировки:

• 0 - CRITICAL
• 1 - ERROR
• 2 - MESSAGE
• 3 - DEBUG

Уточните у специалиста службы поддержки, какой уровень трассировки следует установить. Если специалист технической поддержки не указал уровень трассировки, мы рекомендуем создавать трассировки уровня 2.

Чтобы включить трассировку Сервера iOS MDM и создать файлы трассировки:

1. Откройте файл настроек Сервера iOS MSM /var/opt/kaspersky/iosmdm/settings.ini.
2. Укажите значения, необходимые для включения трассировки. Мы рекомендуем указать следующие значения по умолчанию:
   • LogCommEnabled=1

     Включение или выключение трассировки библиотеки коммуникации Сервера iOS MDM и коннектора.

   • LogSettingsEnabled=1

     Включение или выключение трассировки библиотеки настроек Сервера iOS MDM и коннектора.

   • LogCommVerboseLevel=2

     Уровень трассировки библиотеки коммуникации Сервера iOS MDM и коннектора.

   • LogSettingsVerboseLevel=2

     Уровень трассировки библиотеки настроек Сервера iOS MDM и коннектора.

   • LogVerboseLevel=2

     Уровень трассировки Сервера iOS MDM.

   • LogFolder=/var/opt/kaspersky/iosmdm

     Каталог для записи файлов трассировки.

3. Перезапустите службы Сервера iOS MDM и Агента администрирования, выполнив следующие команды:

   systemctl restart klnagent

   systemctl restart kliosmdm

Трассировка Сервера iOS MDM включена. Файлы трассировки созданы в каталоге, который вы указали в качестве значения LogFolder: klcon_comm.log, klcon_settings.log, klsrv.log, klsrv_comm.log, klsrv_settings.log.

Чтобы выключить трассировку Сервера iOS MDM:

1. Откройте файл настроек Сервера iOS MSM /var/opt/kaspersky/iosmdm/settings.ini.
2. Измените файл, удалив строки, которые были созданы для включения трассировки:
   • LogCommEnabled=1
   • LogSettingsEnabled=1
   • LogCommVerboseLevel=2
   • LogSettingsVerboseLevel=2
   • LogVerboseLevel=2
   • LogFolder=/var/opt/kaspersky/iosmdm
3. Перезапустите службы Сервера iOS MDM и Агента администрирования, выполнив следующие команды:

   systemctl restart klnagent

   systemctl restart kliosmdm

Трассировка Сервера iOS MDM выключена.

[Topic 274857]

Развертывание системы управления Android-устройствами

Kaspersky Secure Mobility Management позволяет управлять мобильными устройствами с операционной системой Android. В этом разделе описано развертывание системы управления Android-устройствами.

[Topic 274853]

О режимах работы Android-устройств

Режим работы устройства зависит от того, кому принадлежит мобильное устройство (личное или корпоративное) и требований корпоративной безопасности. Вы можете выбрать наиболее подходящий для компании режим работы, а также использовать несколько режимов одновременно.

Для Android-устройств доступны следующие режимы работы:

• Личное устройство
• Устройство с корпоративным контейнером
• Корпоративное устройство

Личное устройство

Личное устройство — режим работы для личных Android-устройств. Этот режим работы позволяет защищать устройства и выполнять базовое управление ими.

Устройство с корпоративным контейнером

Устройство с корпоративным контейнером — режим работы для личных Android-устройств с рабочим профилем Android, который обеспечивает изолированную корпоративную среду на устройстве.

Этот режим работы позволяет управлять приложениями и учетными записями пользователей в безопасной среде на устройстве, при этом не ограничивая пользователю доступ к личным данным. При создании рабочего профиля на мобильном устройстве пользователя в контейнер автоматически устанавливаются следующие корпоративные приложения (если применимо): Google Play, Google Chrome, Загрузки, Kaspersky Endpoint Security для Android и другие. Корпоративные приложения, размещенные в рабочем профиле, а также уведомления от этих приложений, отмечены синим значком портфеля. Приложения, размещенные в рабочем профиле, отображаются в общем списке приложений.

Корпоративное устройство

Корпоративное устройство — режим работы для корпоративных Android-устройств. Этот режим работы позволяет вам полностью контролировать устройство и настраивать расширенный набор параметров и функций безопасности:

• ограничения функций Android;
• управление настройками Google Chrome;
• тихая установка обязательных приложений и удаление запрещенных приложений в разделе Контроль приложений;
• режим киоска;
• управление Exchange ActiveSync;
• подключение NDES и SCEP.

[Topic 274869]

Использование Firebase Cloud Messaging

Для своевременной доставки команд на Android-устройства в Kaspersky Security Center используется механизм push-уведомлений. Обмен push-уведомлениями между Android-устройствами и Сервером администрирования осуществляется с помощью сервиса Firebase Cloud Messaging (далее – FCM). В Kaspersky Security Center Web Console вы можете указать параметры сервиса Firebase Cloud Messaging, чтобы подключить Android-устройства к этому сервису.

Для получения параметров Firebase Cloud Messaging вам необходимо иметь учетную запись Google.

Чтобы включить использование FCM:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. Откройте меню с 3 точками () и выберите Синхронизация Android-устройств.
3. В поле Номер проекта Firebase укажите Sender ID FCM.
4. В поле Закрытый ключ выберите файл закрытого ключа.

При следующей синхронизации с Сервером администрирования Android-устройства будут подключены к службе Firebase Cloud Messaging.

При переключении на другой проект Firebase работа FCM возобновляется через 10 минут.

Сервис FCM работает на следующих диапазонах адресов:

• Со стороны Android-устройства необходим доступ к портам 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) и 5230 (HTTPS) следующих адресов:
  • google.com;
  • fcm.googleapis.com;
  • android.apis.google.com;
  • все IP-адреса из списка "ASN 15169 Google".
• Со стороны Сервера администрирования необходим доступ к порту 443 (HTTPS) следующих адресов:
  • fcm.googleapis.com;
  • все IP-адреса из списка "ASN 15169 Google".

В случае если в Web Console в свойствах Сервера администрирования заданы параметры прокси-сервера, они будут использоваться для взаимодействия с FCM.

Настройка FCM: получение Sender ID и файла закрытого ключа

Чтобы настроить FCM:

1. Зарегистрируйтесь на портале Google.
2. Перейдите в консоль Firebase.
3. Выполните одно из следующих действий:
   • Чтобы создать новый проект, нажмите на кнопку Create a project и следуйте инструкциям на экране.
   • Откройте существующий проект.
4. Нажмите на значок шестеренки и выберите Project settings.

   Откроется окно Project settings.

5. Выберите вкладку Cloud Messaging.
6. Скопируйте Sender ID из поля Sender ID в разделе Firebase Cloud Messaging API (V1).
7. Выберите вкладку Service accounts и нажмите на кнопку Generate new private key.
8. В открывшемся окне нажмите на кнопку Generate key, чтобы сгенерировать и загрузить файл закрытого ключа.

Firebase Cloud Messaging настроен.

[Topic 274700]

Развертывание Kaspersky Endpoint Security для Android

В этом разделе содержится общая информация о приложении Kaspersky Endpoint Security для Android и способах его установки, обновления и удаления.

Подробную информацию о Kaspersky Endpoint Security для Android смотрите в разделе Использование приложения Kaspersky Endpoint Security для Android.

[Topic 274860]

О приложении Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android защищает мобильные устройства от веб-угроз, вирусов и других программ, представляющих угрозы.

Kaspersky Endpoint Security для Android включает следующие компоненты:

• Защита от вредоносного ПО. Обнаруживает и устраняет угрозы на устройствах, используя базы вредоносного ПО и облачную службу Kaspersky Security Network. В состав Защиты от вредоносного ПО входят следующие компоненты:
  • Защита. Обнаруживает угрозы в открытых файлах, проверяет новые приложения и предотвращает заражение устройства в режиме реального времени.
  • Проверка. Запускается по требованию для всей файловой системы, только для установленных приложений или выбранного файла или папки.
  • Обновление. Позволяет загружать новые базы вредоносного ПО приложения.
• Анти-Вор. Защищает информацию на устройстве от несанкционированного доступа в случае потери или кражи устройства. Позволяет отправлять на устройство следующие команды:
  • Определить местоположение. Получение координат местоположения устройства.
  • Воспроизвести звуковой сигнал. Устройство издает громкий сигнал тревоги.
  • Удалить корпоративные данные. Удаление корпоративных данных, чтобы защитить конфиденциальную информацию компании.
• Веб-Защита и Веб-Контроль. Веб-Защита блокирует вредоносные сайты, цель которых – распространить вредоносный код. Веб-Защита также блокирует поддельные (фишинговые) сайты, цель которых – украсть конфиденциальные данные пользователя (например, пароли от интернет-банка или платежных систем) и получить доступ к его финансовым счетам. Веб-Защита проверяет сайты перед открытием, используя облачную службу Kaspersky Security Network. По результатам проверки Веб-Защита разрешает загрузку сайтов, признанных надежными, и блокирует сайты, признанные вредоносными. Веб-Контроль поддерживает фильтрацию сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Это позволяет администратору ограничить доступ пользователей к некоторым категориям веб-страниц (например, "Азартные игры, лотереи, тотализаторы" или "Общение в сети").
• Контроль приложений. Позволяет устанавливать рекомендуемые и обязательные приложения на Android-устройство, а также удалять заблокированные приложения, нарушающие требования корпоративной безопасности.
• Контроль соответствия. Позволяет проверять управляемые устройства на соответствие требованиям корпоративной безопасности и накладывать ограничения на определенные функции несовместимых устройств.

Вы можете настроить компоненты приложения Kaspersky Endpoint Security для Android в Kaspersky Security Center Web Console, задав соответствующие параметры политик.

На личных устройствах и устройствах с корпоративным контейнером под управлением Android 15 пользователи могут создать частное пространство. Kaspersky Endpoint Security для Android не может сканировать приложения, фотографии и другие файлы, хранящиеся в частном пространстве. Веб-Защита, Веб-Контроль и Контроль приложений не работают для приложений, установленных в частном пространстве. Kaspersky Endpoint Security для Android нельзя установить в частном пространстве.

[Topic 284175]

Установка Kaspersky Endpoint Security для Android

Развернуть всё | Свернуть всё

Существует несколько способов развертывания приложения Kaspersky Endpoint Security для Android. Вы можете выбрать наиболее подходящий для вашей организации способ установки, а также использовать несколько способов установки одновременно.

Существуют следующие способы установки:

• Установка через Kaspersky Security Center с помощью одного из источников установки:
  • Сайт "Лаборатории Касперского" (только для корпоративных устройств)

    Выберите этот способ для мобильных устройств с доступом в интернет, чтобы загрузить установочный файл APK с сайта "Лаборатории Касперского". Затем приложение будет обновляться с сайта "Лаборатории Касперского" или с помощью HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps.

  • Инсталляционный пакет (для всех режимов работы)

    Инсталляционный пакет Kaspersky Endpoint Security для Android будет загружен с сервера Kaspersky Security Center и обновлен через Kaspersky Security Center с помощью параметров политики. Выберите этот способ, если у мобильных устройств в вашей компании нет доступа к интернету.

    Для этого источника установки создайте инсталляционный пакет Kaspersky Endpoint Security для Android перед подключением мобильных устройств.

• Установка вручную

[Topic 284142]

Создание инсталляционного пакета Kaspersky Endpoint Security для Android

Приложение Kaspersky Endpoint Security для Android можно развернуть с помощью инсталляционного пакета.

Выберите этот способ установки, если у мобильных устройств в вашей компании нет доступа к интернету.

Для этого способа установки нужно создать инсталляционный пакет Kaspersky Endpoint Security для Android до подключения Android-устройств к Kaspersky Security Center. Инсталляционный пакет будет загружен с сервера Kaspersky Security Center и обновлен через Kaspersky Security Center с помощью параметров политики.

Инсталляционный пакет Kaspersky Endpoint Security для Android — это архив с файлами, необходимыми для установки приложения Kaspersky Endpoint Security для Android:

• installer.ini

  Конфигурационный файл с параметрами подключения к Серверу администрирования.

• KES10_<версия>.apk

  Пакетный файл Android для приложения Kaspersky Endpoint Security для Android.

• kesa.kpd

  Файл, содержащий описание программы.

• eula/

  Папка с Лицензионными соглашениями на разных языках в формате TXT.

• kpd.loc/

  INI-файлы, определяющие пути к Лицензионным соглашениям.

Чтобы создать инсталляционный пакет Kaspersky Endpoint Security для Android:

1. В главном окне Kaspersky Security Center Web Console выберите Операции > Хранилища > Инсталляционные пакеты.
2. В открывшемся списке инсталляционных пакетов нажмите Добавить. Запустится Мастер создания инсталляционного пакета. Следуйте шагам мастера, как описано в справке Kaspersky Security Center, чтобы создать инсталляционный пакет из файла или создать автономный инсталляционный пакет.

Чтобы настроить инсталляционный пакет Kaspersky Endpoint Security для Android:

1. В главном окне Kaspersky Security Center Web Console выберите Операции > Хранилища > Инсталляционные пакеты.
2. В открывшемся списке инсталляционных пакетов нажмите на инсталляционный пакет Kaspersky Endpoint Security для Android, который вы хотите настроить.
3. В окне свойств инсталляционного пакета выберите вкладку Параметры.
   1. В блоке параметров Подключение к Серверу администрирования настройте следующие значения:
      • Адрес сервера. Укажите адрес сервера, к которому будут подключаться Android-устройства.
      • SSL-порт для синхронизации устройств. Укажите номер порта, открытого на Сервере администрирования для подключения мобильных устройств. По умолчанию указан порт 13292.
   2. Для автономных инсталляционных пакетов в поле Имя подгруппы в блоке параметров Подгруппа в разделе "Нераспределенные устройства" укажите имя группы, в которую будут добавлены Android-устройства после первой синхронизации с Сервером администрирования. По умолчанию указано KES10.
   3. В блоке параметров Действия при установке на устройство установите флажок Запрашивать у пользователя адрес электронной почты, чтобы при первом запуске приложение Kaspersky Endpoint Security для Android запрашивало у пользователя адрес корпоративной электронной почты.

      Адрес электронной почты пользователя используется для формирования имени мобильного устройства при добавлении его в группу администрирования.

4. Нажмите Сохранить.

Инсталляционный пакет Kaspersky Endpoint Security для Android настроен.

[Topic 284141]

Установка Kaspersky Endpoint Security для Android вручную

Вы можете вручную установить Kaspersky Endpoint Security для Android с сайта "Лаборатории Касперского", HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps.

Установка приложения

Чтобы установить приложение из магазина приложений, выполните стандартную процедуру установки для платформы Android.

Чтобы установить Kaspersky Endpoint Security для Android с сайта "Лаборатории Касперского":

1. Перейдите на сайт "Лаборатории Касперского".
2. Найдите Kaspersky Security для мобильных устройств на сайте.
3. Нажмите Показать версии для загрузки.
4. Выберите версию приложения и нажмите Скачать.
5. Откройте загруженный APK-файл и следуйте инструкциям на экране.

   Вам может понадобиться разрешить браузеру установку приложений из сторонних источников, отличных от Google Play, в разделе настроек устройства Приложения → Специальный доступ → Установка неизвестных приложений. Расположение этих настроек может отличаться на устройствах разных производителей.

Приложение будет установлено на устройство.

Настройка приложения

После установки Kaspersky Endpoint Security для Android нужно вручную настроить приложение. Процедура настройки зависит от того, отправил ли вам администратор адрес сервера или ссылку для скачивания приложения.

Чтобы настроить Kaspersky Endpoint Security для Android с использованием ссылки для скачивания приложения:

1. Откройте Kaspersky Endpoint Security для Android.
2. Прочитайте Лицензионное соглашение. Если вы принимаете Лицензионное соглашение, установите соответствующий флажок и нажмите Продолжить.
3. Нажмите Продолжить и предоставьте приложению необходимые разрешения.
4. В поле Сервер укажите ссылку, которую вы получили от администратора.
5. Нажмите Продолжить.

Приложение Kaspersky Endpoint Security для Android настроено.

Чтобы настроить Kaspersky Endpoint Security для Android с использованием адреса сервера:

1. Откройте Kaspersky Endpoint Security для Android.
2. Прочитайте Лицензионное соглашение. Если вы принимаете Лицензионное соглашение, установите соответствующий флажок и нажмите Продолжить.
3. Нажмите Продолжить и предоставьте приложению необходимые разрешения.
4. В поле Сервер укажите адрес Сервера администрирования, предоставленный администратором.
5. Нажмите Продолжить.
6. Нажмите Включить, чтобы включить приложение в качестве администратора устройства.
7. Нажмите Разрешить и предоставьте приложению необходимые разрешения.

Приложение Kaspersky Endpoint Security для Android настроено.

Для синхронизации с Сервером администрирования на мобильном устройстве должен быть включен доступ в интернет.

[Topic 284099]

Установка Kaspersky Endpoint Security для Android на корпоративные устройства в закрытой сети

При развертывании Kaspersky Endpoint Security для Android в режиме работы для корпоративного устройства с помощью QR-кода на устройствах с предустановленными Google Mobile Services (GMS) проверяется их подключение к определенным конечным точкам Google через сети Wi-Fi. Если сеть Wi-Fi не имеет доступа к интернету, проверить подключение не удается и развертывание завершается с ошибкой.

Чтобы избежать проверки подключения, вы можете развернуть Kaspersky Endpoint Security для Android в режиме работы для корпоративного устройства в закрытой сети с помощью файла PAC (Proxy Auto-Configuration).

Чтобы использовать PAC-файл для развертывания приложения Kaspersky Endpoint Security для Android:

1. Создайте PAC-файл (например, proxy.pac) со следующим содержанием:

   function FindProxyForURL(url, host) {
   return "DIRECT";
   }

2. Опубликуйте созданный PAC-файл на ресурсе, который будет доступен в закрытой сети (например, на веб-сервере IIS).

   Сохраните ссылку на PAC-файл (например, https://intranet.mycompany.com/files/proxy.pac).

3. Убедитесь, что APK-файл развертываемого приложения Kaspersky Endpoint Security для Android доступен в закрытой сети. Для этого воспользуйтесь одним из следующих способов:
   • Загрузите инсталляционный пакет приложения с сервера Kaspersky Security Center. Если сервер доступен, на нем будут доступны инсталляционные пакеты.
   • Скачайте инсталляционный APK-файл с сайта "Лаборатории Касперского" и загрузите его в закрытую сеть.

     В качестве источника выберите общую версию приложения.

4. Отправьте ссылку для установки приложения и QR-код пользователю, следуя указаниям Мастера подключения мобильного устройства.

   На шаге Операционные системы мастера, в разделе Параметры установки, вам будет предложено указать сеть для загрузки приложения Kaspersky Endpoint Security для Android. На этом шаге настройте использование ранее созданного PAC-файла для сетевого подключения, связав его с настройками сети Wi-Fi на устройстве. Для этого воспользуйтесь одним из следующих способов:

   • В разделе параметров Сеть для установки выберите Предложить пользователю выбрать сеть Wi-Fi на устройстве. При развертывании приложения пользователю необходимо указать ссылку на PAC-файл (шаг 2) в настройках сети при выборе сети Wi-Fi на устройстве. После установки соединения пользователь сможет продолжить настройку устройства и активировать приложение, следуя инструкциям Мастера первоначальной настройки приложения.
   • В разделе параметров Сеть для установки выберите Использовать только заданную сеть Wi-Fi (Android 9 или выше), нажмите кнопку Выбрать сеть, после чего вставьте ссылку на ранее созданный PAC-файл (шаг 2) в поле URL-адрес PAC-файла.

   Если инсталляционный APK-файл был загружен с сайта "Лаборатории Касперского" (шаг 3), то вам необходимо изменить ссылку в QR-коде на адрес закрытой сети.

   Если для развертывания приложения используется инсталляционный пакет, загруженный из Kaspersky Security Center, после сброса настроек устройства до заводских и сканирования QR-кода на экране устройства может появиться сообщение Заблокировано Play Защитой. Это связано с тем, что сертификат подписи инсталляционного пакета отличается от указанного в Google Play. Для продолжения установки необходимо нажать Все равно установить. При нажатии OK процесс установки будет прерван, а настройки устройства будут сброшены до заводских.

Приложение Kaspersky Endpoint Security для Android будет установлено на устройство, работающее в режиме "Корпоративное устройство" в закрытой сети.

[Topic 274701]

Разрешения для Kaspersky Endpoint Security для Android

Для работы всех функций приложений Kaspersky Endpoint Security для Android запрашивает у пользователя необходимые разрешения. Kaspersky Endpoint Security для Android запрашивает обязательные разрешения во время прохождения мастера установки, а также после установки и перед использованием отдельных функций приложений. Без предоставления обязательных разрешений Kaspersky Endpoint Security для Android установить невозможно.

На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется в настройках устройства вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы. Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства.

На устройствах с операционной системой Android 11 или выше, либо Android 6-10 (при использовании сервисов Google Play) необходимо выключить системную настройку Удалять разрешения, если приложение не используется. В противном случае, если приложение не используется в течение нескольких месяцев, система автоматически сбрасывает разрешения, предоставленные приложению пользователем.

Разрешения, запрашиваемые Kaspersky Endpoint Security для Android

[Topic 274735]

Запуск и остановка Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android запускается при старте операционной системы и защищает мобильное устройство пользователя в течение всего сеанса работы. Пользователь может остановить приложение, выключив все компоненты Kaspersky Endpoint Security для Android. Вы можете настроить доступ пользователя к управлению компонентами приложения с помощью политик.

На некоторых устройствах (например, HUAWEI, Meizu, Xiaomi) требуется вручную добавить Kaspersky Endpoint Security для Android в список приложений, запускаемых при загрузке операционной системы (Безопасность → Разрешения → Автозапуск). Если приложение не добавлено в список, Kaspersky Endpoint Security для Android прекращает выполнять все свои функции после перезагрузки мобильного устройства.

Также требуется выключить режим энергосбережения для Kaspersky Endpoint Security для Android. Это необходимо для работы приложения в фоновом режиме, например, для запуска поиска вредоносного ПО по расписанию или синхронизации устройства с Kaspersky Security Center. Проблема связана с особенностями встроенного программного обеспечения этих устройств.

[Topic 274705]

Активация Kaspersky Endpoint Security для Android

В Kaspersky Security Center лицензия может распространяться на различные группы функциональности. Для полноценного функционирования Kaspersky Endpoint Security для Android нужно, чтобы с приобретенной организацией лицензией на Kaspersky Security Center была доступна функциональность Управление мобильными устройствами.

Подробная информация о вариантах лицензирования приведена в разделе О лицензии.

Активация приложения Kaspersky Endpoint Security для Android на мобильном устройстве осуществляется путем предоставления приложению информации о действующей лицензии. Информация о лицензии передается на мобильное устройство вместе с параметрами политики при синхронизации устройства с Kaspersky Security Center.

Если мобильное приложение не было активировано в течение 30 дней с момента установки на мобильное устройство, оно автоматически переключается в режим работы с ограниченной функциональностью. В этом режиме большинство компонентов приложения не работает. При переходе в режим работы с ограниченной функциональностью приложение прекращает выполнять автоматическую синхронизацию с Kaspersky Security Center. Поэтому, если приложение не было активировано в течение 30 дней с момента установки, пользователю необходимо вручную выполнить синхронизацию устройства с Kaspersky Security Center.

Если Kaspersky Security Center не развернут в вашей организации или недоступен для мобильных устройств, пользователи могут активировать мобильное приложение на своих устройствах вручную.

Чтобы активировать мобильное приложение:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Нажмите на кнопку Лицензия.
4. В раскрывающемся списке в открывшемся окне выберите требуемый лицензионный ключ в хранилище ключей Сервера администрирования.

   Подробная информация о лицензионном ключе отображается в полях ниже.

   Вы можете заменить существующий ключ активации на мобильном устройстве, если он отличается от ключа, выбранного в раскрывающемся списке. Для этого установите флажок Заменить ключ, если на устройствах добавлен другой ключ.

5. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Приложение будет активировано после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 274720]

Обновление Kaspersky Endpoint Security для Android

Kaspersky Endpoint Security для Android можно обновить следующими способами:

• С помощью сайта "Лаборатории Касперского". Пользователь мобильного устройства загружает с сайта "Лаборатории Касперского" новую версию приложения и устанавливает ее на свое устройство.
• С помощью HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps. Пользователь мобильного устройства загружает новую версию приложения из магазина приложений и устанавливает ее на свое устройство, выполнив стандартную процедуру обновления для платформы Android.

  Чтобы обновить приложение в Samsung Galaxy Store, у пользователя устройства должна быть учетная запись Samsung Account.

• С помощью Kaspersky Security Center. Вы можете дистанционно обновить версию приложения на устройстве с помощью Kaspersky Security Center.

Вы можете выбрать наиболее подходящий для вашей организации способ обновления приложения. Вы можете использовать только один способ обновления.

Обновление приложения с сайта "Лаборатории Касперского"

Чтобы обновить приложение с сайта "Лаборатории Касперского":

1. Перейдите на сайт "Лаборатории Касперского".
2. Найдите Kaspersky Security для мобильных устройств на сайте.
3. Нажмите Показать версии для загрузки.
4. Выберите версию приложения и нажмите Скачать.
5. Откройте загруженный файл APK и следуйте инструкциям на экране.

Приложение Kaspersky Endpoint Security для Android будет обновлено.

После загрузки приложения, Kaspersky Endpoint Security для Android проверяет условия и положения Лицензионного соглашения. Если условия Лицензионного соглашения обновились, приложение отправляет запрос в Kaspersky Security Center. Если администратор принял Лицензионное соглашение в Web Console, во время установки приложения Kaspersky Endpoint Security для Android шаг принятия Лицензионного соглашения будет пропущен.

Обновление приложения с помощью Kaspersky Security Center

Обновление Kaspersky Endpoint Security для Android с помощью Kaspersky Security Center выполняется в результате применения групповой политики. В параметрах групповой политики вы можете выбрать автономный пакет установки той версии Kaspersky Endpoint Security для Android, которая соответствует требованиям корпоративной безопасности.

Вы можете выполнить обновление через Kaspersky Security Center, если приложение Kaspersky Endpoint Security для Android было установлено с помощью инсталляционного пакета в Kaspersky Security Center или с помощью автономного пакета установки. Если приложение установлено из Google Play, обновление с помощью Kaspersky Security Center невозможно.

Для обновления Kaspersky Endpoint Security для Android с помощью автономного пакета установки на мобильном устройстве пользователя должна быть разрешена установка приложений из неизвестных источников. Подробная информация об установке приложений без использования Google Play приведена в справке Android.

Чтобы обновить версию приложения:

1. Создайте новый инсталляционный пакет Kaspersky Endpoint Security для Android.
2. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
3. В окне свойств политики выберите Параметры приложения.
4. Выберите Android и перейдите в раздел Параметры KES для Android.
5. На карточке Обновление приложения нажмите Параметры.

   Откроется окно Обновление приложения.

6. Включите параметры с помощью переключателя Обновление приложения.
7. Нажмите Выбрать.

   Откроется окно Выбрать инсталляционный пакет.

8. В списке автономных пакетов установки Kaspersky Endpoint Security для Android выберите пакет, версия которого удовлетворяет требованиям корпоративной безопасности.

   Обновить Kaspersky Endpoint Security для Android до более старой версии невозможно.

9. Нажмите Выбрать.
10. Нажмите OK.
11. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Пользователю мобильного устройства будет предложено установить новую версию приложения. После подтверждения новая версия приложения будет установлена на мобильное устройство.

Функциональность обновлений (включая обновления антивирусных сигнатур и обновления кодовой базы), а также функциональность KSN могут быть недоступны в решении на территории США.

[Topic 274728]

Удаление Kaspersky Endpoint Security для Android

Удаление Kaspersky Endpoint Security для Android может быть выполнено следующими способами:

1. Удаление приложения пользователем

   Пользователь самостоятельно удаляет Kaspersky Endpoint Security для Android, используя интерфейс приложения. Чтобы пользователи могли удалить приложение, удаление приложения необходимо разрешить в карточке Параметры доступа к настройкам приложения раздела Параметры KES для Android политики.

2. Удаление приложения администратором (только для корпоративных устройств)

   Администратор удаляет приложение удаленно с помощью Kaspersky Security Center Web Console. Можно удалить приложение с отдельного устройства или с нескольких устройств одновременно.

[Topic 279047]

Разрешение пользователям удалять Kaspersky Endpoint Security для Android

На устройствах под управлением Android 7 или выше для защиты приложения от удаления Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Во время работы мастера первоначальной настройки Kaspersky Endpoint Security для Android предлагает пользователю предоставить приложению необходимые права. Пользователь может пропустить эти шаги или выключить права в параметрах устройства позднее. В этом случае защита приложения от удаления не работает.

Чтобы разрешить удаление приложения, в групповой политике:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Параметры KES для Android.
4. На карточке Параметры доступа к настройкам приложения нажмите Параметры.

   Откроется окно Параметры доступа к настройкам приложения.

5. Установите флажок Разрешить удаление приложения с устройства.
6. Нажмите OK.
7. Нажмите Сохранить, чтобы сохранить внесенные изменения.

В результате после синхронизации с Сервером администрирования пользователям будет разрешено удалять приложение с мобильных устройств. В настройках Kaspersky Endpoint Security для Android будет доступна кнопка удаления приложения.

Чтобы удалить приложение с устройства:

1. В главном окне Kaspersky Endpoint Security для Android выберите Настройки → Настройки приложения → Дополнительно → Удаление приложения.

   На корпоративных устройствах Kaspersky Endpoint Security для Android может удалить только администратор.

2. Подтвердите удаление Kaspersky Endpoint Security для Android.

Приложение Kaspersky Endpoint Security для Android будет удалено с устройства.

[Topic 274866]

Удаление Kaspersky Endpoint Security для Android пользователем

На корпоративных устройствах Kaspersky Endpoint Security для Android может удалить только администратор.

Чтобы самостоятельно удалить Kaspersky Endpoint Security для Android со своего мобильного устройства, пользователь должен выполнить следующие действия:

1. В главном окне Kaspersky Endpoint Security для Android выберите Настройки → Настройки приложения → Дополнительно → Удаление приложения.

   Если кнопка Удаление приложения отсутствует, значит администратор включил защиту Kaspersky Endpoint Security для Android от удаления или устройство работает в режиме корпоративного устройства.

2. Подтвердите удаление Kaspersky Endpoint Security для Android.

Приложение Kaspersky Endpoint Security для Android будет удалено с устройства.

[Topic 274859]

Дистанционное удаление Kaspersky Endpoint Security для Android с корпоративных устройств

Вы можете дистанционно удалить приложение Kaspersky Endpoint Security для Android с корпоративных устройств, отправив команду Сбросить настройки до заводских.

Выполнение команды Сбросить настройки до заводских стирает все данные с устройства и возвращает настройки устройства к заводским значениям. Android Enterprise рекомендует использовать этот метод удаления приложений для гарантированного удаления данных с корпоративного устройства.

Чтобы удалить приложение:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. В открывшемся списке устройств выберите устройства, на которые вы хотите отправить команду.

   Можно выбрать несколько устройств.

3. Нажмите Отправить команду.
4. В открывшемся окне Отправить команду в поле Команда выберите команду Сбросить настройки до заводских.
5. Нажмите Отправить.

   Вы можете просматривать и отменять команды в окне История команд.

   Команда будет отправлена на выбранные вами устройства. Приложение Kaspersky Endpoint Security для Android удалено с этих устройств.

6. Выберите устройство из списка устройств и нажмите Удалить.

   Устройство удалено из списка управляемых устройств в Kaspersky Security Center Web Console.

   Если устройство не будет удалено из Kaspersky Security Center Web Console, то при последующей установке приложений "Лаборатории Касперского" на устройство могут возникнуть проблемы.

[Topic 274714]

Управление мобильными устройствами в Kaspersky Security Center Web Console

Для централизованной конфигурации мобильных устройств необходимо настроить политики. Политика - это набор параметров безопасности для управления мобильными устройствами с определенными операционными системами и режимами работы в рамках группы администрирования, а также для конфигурации управляющих приложений, установленных на устройствах.

В этом разделе описано, как создать группы администрирования, настроить политики для мобильных устройств, а также подключить мобильные устройства к Kaspersky Security Center для последующего управления ими.

[Topic 274736]

Создание групп администрирования

Чтобы применить политику к группе устройств, рекомендуется создать для этих устройств отдельную группу перед установкой приложений для управления мобильными устройствами.

Группа администрирования - это набор устройств, объединенных по какому-либо признаку с целью управления устройствами группы как единым целым в Kaspersky Security Center.

Для всех управляемых устройств в группе администрирования устанавливаются:

• Единые параметры – с помощью политик.
• Единый режим работы всех приложений – с помощью создания групповых задач с определенным набором параметров. Примеры групповых задач включают создание и установку общего инсталляционного пакета, обновление баз и модулей приложений, проверку устройства по требованию и включение постоянной защиты.

Управляемое устройство может входить в состав только одной группы администрирования.

Для Серверов администрирования и групп администрирования можно создавать иерархии с любым уровнем вложенности. На одном уровне иерархии могут располагаться подчиненные и виртуальные Серверы администрирования, группы и управляемые устройства. Можно переводить устройства из одной группы в другую.

Сразу после установки Kaspersky Security Center в иерархии групп администрирования находится только одна группа администрирования – "Управляемые устройства". При создании иерархии групп администрирования в состав папки "Управляемые устройства" можно включать устройства и добавлять вложенные группы.

Чтобы создать группу администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) > Иерархия групп.
2. В структуре группы администрирования выберите группу, в состав которой должна входить новая группа администрирования.
3. Нажмите Добавить.
4. В открывшемся окне Имя новой группы администрирования введите имя группы и нажмите Добавить.

В иерархии групп администрирования появится новая группа администрирования с заданным именем.

Чтобы автоматически создать структуру групп администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) > Иерархия групп.
2. Нажмите Импортировать.

Запустится Мастер создания структуры групп администрирования. Следуйте указаниям мастера.

После создания группы администрирования мы рекомендуем настроить автоматическое перемещение в эту группу устройств, на которые вы хотите установить приложения. Затем необходимо задать общие для всех устройств параметры с помощью политики.

[Topic 274694]

Настройка политик

В этом разделе описано управление политиками в Kaspersky Security Center Web Console.

[Topic 274738]

Создание политики

Kaspersky Security Center Web Console позволяет создавать политики для настройки параметров безопасности групп мобильных устройств под управлением Android, iOS и ОС Аврора. Параметры безопасности, настроенные в политиках, сохраняются на Сервере администрирования, распространяются на мобильные устройства при синхронизации и используются в качестве текущих настроек.

Вы можете создать политику с помощью Мастера создания политики для мобильных устройств.

Чтобы создать политику:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик нажмите Текущий путь, чтобы выбрать группу администрирования, для которой вы хотите создать политику.

   По умолчанию новая политика применяется к группе Управляемые устройства.

3. Нажмите Добавить, чтобы запустить Мастер создания политики для мобильных устройств.
4. В окне Выберите приложение выберите Kaspersky Mobile Devices Protection and Management и нажмите Далее.

   Запустится Мастер создания политики для мобильных устройств. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

Шаг 1. Лицензия

На этом шаге выберите лицензию.

От выбранной лицензии зависит набор параметров безопасности, которые вы сможете настраивать в политике. По умолчанию предварительно выбрана лицензия, поддерживающая функциональность Kaspersky Secure Mobility Management. Вы можете выбрать другую лицензию вручную.

Шаг 2. Операционные системы и режимы работы устройств

На этом шаге выберите операционные системы, на которые будет распространяться политика, и укажите режимы работы устройств.

• Android
  • Личное устройство (базовая защита и управление личным Android-устройством).
  • Устройство с корпоративным контейнером (изолированная корпоративная среда на Android-устройстве).
  • Корпоративное устройство (расширенный набор параметров для управления корпоративным Android-устройством).

    Подробная информация приведена в разделе О режимах работы Android-устройств.

• iOS
  • Базовая защита (защита от веб-угроз и обнаружение jailbreak на iOS-устройствах).
  • Базовый контроль (базовое управление личным iOS-устройством).
  • Расширенный контроль (расширенный набор параметров для управления iOS-устройством).

    Подробная информация приведена в разделе О режимах работы iOS-устройств.

    Для подключения и управления iOS-устройствами в режимах "Базовый контроль" и "Расширенный контроль" в выбранной группе администрирования должен быть установлен Сервер iOS MDM. Подробная информация об установке Сервера iOS MDM приведена в разделе Развертывание Сервера iOS MDM.

• Аврора
  • Защита (защита устройств с ОС Аврора от угроз).

    Для подключения устройств с ОС Аврора на устройствах должно быть предварительно установлено приложение Kaspersky Endpoint Security для ОС Аврора.

В окне "Новая политика":

1. В поле Имя введите имя новой политики. Если вы укажете имя уже существующей политики, к нему автоматически будет добавлено окончание (1).
2. В разделе настроек Состояние политики выберите состояние политики:
   • Активна. Мастер сохраняет созданную политику на Сервере администрирования. После следующей синхронизации мобильных устройств с Сервером администрирования политика начнет использоваться на устройствах в качестве активной.
   • Неактивна. Мастер сохраняет созданную политику на Сервере администрирования как резервную. В дальнейшем политика может быть активирована по событию. При необходимости неактивную политику можно сделать активной.

     Для одной программы в группе можно создать несколько политик, но активной может быть только одна из них. При создании новой активной политики предыдущая активная политика автоматически становится неактивной.

3. На вкладке Общие раздела настроек Наследование параметров можно настроить параметры наследования политики:
   • Наследовать параметры родительской политики

     Если вы включите этот параметр в дочерней политике, а администратор заблокирует некоторые параметры в родительской политике, вы не сможете изменить эти параметры в дочерней политике.

     Если вы выключили этот параметр в дочерней политике, вы можете изменить все параметры в дочерней политике, даже если некоторые параметры "заблокированы" в родительской политике.

   • Обеспечить принудительное наследование параметров для дочерних политик

     Если этот параметр включен в родительской политике, для всех дочерних политик будет включен параметр Наследовать параметры родительской политики. В этом случае вы не сможете выключить этот параметр для всех дочерних политик. Все параметры, заблокированные в родительской политике, принудительно наследуются в дочерних политиках, и вы не сможете изменить эти параметры в дочерних группах.

   По умолчанию параметр Наследовать параметры родительской политики включен, а параметр Обеспечить принудительное наследование параметров для дочерних политик - выключен.

   Наследование параметров политики работает только если для родительской и дочерней политики выбраны одинаковые режимы работы устройств, либо в выбранных для дочерней политики режимах работы устройств доступно больше параметров безопасности. Например, дочерняя политика для Android-устройств с корпоративным контейнером может наследовать параметры родительской политики для личных устройств, но не может наследовать параметры родительской политики для корпоративных устройств.
   Если вы создали дочернюю политику, несовместимую с родительской политикой, то чтобы управлять устройствами, нужно удалить ее и создать новую дочернюю политику.

4. Нажмите Сохранить.

Создана новая политика для мобильных устройств.

[Topic 283010]

Изменение политики

Kaspersky Security Center Web Console позволяет изменять политики.

Чтобы изменить политику:

1. Откройте окно свойств политики, выполнив одно из следующих действий:
   • В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите изменить.
   • В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства. Выберите мобильное устройство, подпадающее под действие политики, которую вы хотите изменить, а затем выберите политику на вкладке Действующие политики и профили политик.
2. В окне свойств политики перейдите на вкладку Параметры приложения, а затем укажите параметры политики.

   Вы можете настроить общие параметры, наследование параметров, профили политик, запись событий и уведомления, а также просмотреть историю ревизий. Дополнительная информация приведена в справке Kaspersky Security Center.

3. Нажмите Сохранить, чтобы сохранить изменения, внесенные в политику, и закрыть окно свойств политики.

Политика будет изменена. Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

[Topic 274713]

Копирование политики

В Kaspersky Security Center Web Console можно создавать копии политик.

Чтобы создать копию политики:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик установите флажок рядом с названием политики, для которой вы хотите создать копию, и нажмите Копировать.
3. В открывшемся дереве групп администрирования выберите целевую группу, в которой вы хотите создать политику.

   Можно создать новую группу администрирования, выбрав существующую группу и нажав Добавить дочернюю группу.

4. Нажмите Копировать.
5. Нажмите ОК, чтобы подтвердить операцию.

В целевой группе будет создана копия политики с тем же именем. Статус каждой скопированной или перемещенной политики в целевой группе будет Неактивна. В любое время можно изменить статус на Активна.

Если в целевой группе уже существует политика с именем, совпадающим с именем новой созданной или перемещенной политики, к имени новой политики добавляется индекс (<порядковый номер>), например: (1).

[Topic 283449]

Перенос политики в другую группу администрирования

В Kaspersky Security Center Web Console можно перенести политику в другую группу администрирования.

Чтобы перенести политику в другую группу администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик установите флажок рядом с названием политики, которую вы хотите перенести в другую группу администрирования, и нажмите Переместить.
3. В появившемся дереве групп администрирования выберите группу, в которую вы хотите переместить политику.

   Можно создать новую группу администрирования, выбрав существующую группу и нажав Добавить дочернюю группу.

4. Нажмите Переместить.
5. Нажмите ОК для подтверждения.

Результат зависит от свойств наследования политики:

• Если политика не наследовалась в исходной группе, то она будет перемещена в целевую группу.
• Если политика наследовалась в исходной группе, то она не будет перемещена. Вместо этого в целевой группе будет создана копия перемещаемой политики.

Статус каждой скопированной или перемещенной политики в целевой группе будет Неактивна. В любое время можно изменить статус на Активна.

Если в целевой группе уже существует политика с именем, совпадающим с именем новой созданной или перемещенной политики, к имени новой политики добавляется индекс (<порядковый номер>), например: (1).

[Topic 274716]

Просмотр списка политик

Kaspersky Security Center Web Console позволяет просматривать список созданных политик, их статусы и свойства.

Чтобы просмотреть список политик:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. Откроется список политик с краткой информацией о них. На этой странице вы можете создавать, изменять, копировать, перемещать и удалять политики.

[Topic 274711]

Просмотр результатов применения политики

В Kaspersky Security Center Web Console можно просматривать диаграмму распространения политики и информацию обо всех устройствах, подпадающих под действие политики.

Чтобы просмотреть результаты распространения политики:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик установите флажок рядом с названием политики, для которой вы хотите просмотреть результаты распространения, и нажмите Результаты применения.

Откроется страница с результатами распространения политики. Она содержит общую информацию о политике, диаграмму распространения политики и таблицу с информацией обо всех устройствах, подпадающих под действие этой политики. Вы можете открыть окно свойств политики, нажав Настроить параметры политики.

[Topic 274740]

Работа с ревизиями политик

В Kaspersky Security Center Web Console можно просматривать изменения, внесенные в политику за определенный период, а также сохранять информацию об этих изменениях в файле.

Чтобы просмотреть ревизию политики:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик выберите политику, ревизию которой вы хотите просмотреть, а затем перейдите в раздел История ревизий.
3. В списке ревизий политики выберите номер ревизии, которую вы хотите просмотреть.

   Если размер ревизии превышает 10 МБ, вы не сможете просмотреть ее с помощью Kaspersky Security Center Web Console. Вам будет предложено сохранить выбранную ревизию в файл JSON.
   
   Если размер ревизии не превышает 10 МБ, то отображается отчет в формате HTML с параметрами выбранной ревизии. Отчет отображается во всплывающем окне, поэтому убедитесь, что в вашем браузере разрешены всплывающие окна.

   Чтобы сохранить ревизию политики в файл JSON, в списке ревизий политики выберите нужную ревизию, а затем нажмите Сохранить в файл.

Ревизия сохраняется в файле JSON.

Подробная информация об управлении ревизиями политик приведена в справке Kaspersky Security Center.

[Topic 274742]

Ограничение прав на настройку политик

Администраторы Kaspersky Security Center могут настраивать права доступа пользователей Web Console к различным функциям решения Kaspersky Secure Mobility Management в зависимости от служебных обязанностей пользователей.

В интерфейсе Web Console вы можете настроить права доступа на вкладках Безопасность и Роли пользователей в окне свойств Сервера администрирования. На вкладке Роли пользователей можно добавлять типовые роли пользователей с заранее настроенным набором прав. В разделе Безопасность можно настраивать права для одного пользователя или для группы пользователей, а также назначать роли одному пользователю или группе пользователей. Права пользователей для каждой программы настраиваются по областям действия.

Для каждой функциональной области администратор может назначать следующие права доступа:

• Разрешить изменение. Пользователю Web Console разрешено изменять параметры политики в окне ее свойств.
• Запретить изменение. Пользователю Web Console запрещено изменять параметры политики в окне ее свойств. Вкладки политики, входящие в функциональную область, для которой назначено это право, не отображаются в интерфейсе.

[Topic 286998]

Настройка управления доступом на основе ролей

С помощью Kaspersky Security Center Web Console можно предоставлять доступ к функциям Kaspersky Secure Mobility Management на основе ролей.

Вы можете настроить права доступа к функциям Kaspersky Secure Mobility Management одним из следующих способов:

• Настроить права отдельно для каждого пользователя или группы.
• Создать типовые роли пользователей с предопределенным набором прав и назначить эти роли пользователям в соответствии с их обязанностями.

Назначение ролей упрощает и сокращает процедуру настройки прав доступа пользователей. Права доступа для роли настраиваются в соответствии с типовыми задачами и обязанностями пользователей.

Ролям пользователей можно присваивать имена, соответствующие их назначению. В программе можно создавать неограниченное количество ролей. Вы можете использовать предопределенные роли пользователей с уже настроенным набором прав или создавать новые роли и самостоятельно настраивать необходимые права.

Подробная информация о настройке доступа пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

У некоторых предопределенных ролей пользователей нет прав на работу с мобильными устройствами. Предопределенные роли пользователей, доступные для функций Kaspersky Secure Mobility Management, перечислены в таблице ниже.

Предопределенные роли пользователей для работы с Kaspersky Secure Mobility Management

Дополнительная информация о предопределенных ролях пользователей приведена в справке Kaspersky Security Center.

Права доступа к функциям Kaspersky Secure Mobility Management

Права доступа для управления мобильными устройствами

[Topic 286996]

Настройка профилей политик

Может возникнуть необходимость создать и централизованно изменить несколько копий одной политики для группы администрирования. Эти копии могут отличаться одним или двумя параметрами.

Чтобы избежать создания нескольких копий одной политики, Kaspersky Security Center Web Console позволяет создавать профили политик. Профили политики нужны для того, чтобы устройства внутри одной группы администрирования могли иметь разные параметры политики.

Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на управляемом устройстве. При активации профиля изменяются параметры "базовой" политики, которые исходно действовали на устройстве. Эти параметры принимают значения, указанные в профиле.

Вы можете менять условия, которые влияют на активацию создаваемого профиля политики. Для мобильных устройств доступны следующие условия:

• Правила для выбранного владельца устройства

  Активация профиля на устройстве по владельцу устройства.

  • Владелец устройства
  • Владелец устройства включен во внутреннюю группу безопасности
• Правила для назначения роли

  Активация профиля на устройстве в зависимости от наличия определенной роли у его владельца.

  • Активировать профиль политики по наличию роли у владельца устройства
• Правила для использования тега

  Активация профиля на устройстве в зависимости от тегов, назначенных устройству.

  • Список тегов
  • Применить к устройствам без выбранных тегов
• Правила для использования Active Directory

  Активация профиля на устройстве в зависимости от размещения устройства в подразделении Active Directory или же от членства устройства или его владельца в группе безопасности Active Directory. Область настройки зависит от текущей используемой политики.

  • Членство владельца устройства в группе безопасности Active Directory
  • Членство устройства в группе безопасности Active Directory
  • Размещение устройства в подразделении Active Directory

Подробная информация о настройке правил активации, а также создании, удалении и копировании профилей политики приведена в справке Kaspersky Security Center.

[Topic 274741]

Удаление политики

В Kaspersky Security Center Web Console можно удалять политики.

Удалять можно только те политики, которые не наследуются в текущей группе администрирования. Если политика наследуется, ее можно удалить только в группе верхнего уровня, для которой она была создана.

Чтобы удалить групповую политику:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик.
2. В открывшемся списке политик установите флажок рядом с названием политики, которую вы хотите удалить, и нажмите Удалить.
3. В открывшемся окне нажмите ОК для подтверждения.

Политика будет удалена. До применения новой политики мобильные устройства, входящие в группу администрирования, продолжат работу с параметрами, заданными в удаленной политике.

[Topic 283012]

Подключение мобильных устройств к Kaspersky Security Center Web Console

Развернуть всё | Свернуть всё

Для управления мобильными устройствами и установленными на них управляющими приложениями необходимо подключить эти устройства к Kaspersky Security Center.

Перед подключением убедитесь, что в разделе Лицензионные ключи свойств Сервера администрирования настроена лицензия, поддерживающая решение для управления мобильными устройствами.

Чтобы подключить мобильное устройство к Kaspersky Security Center:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. В открывшемся списке мобильных устройств нажмите Добавить.

   Запустится Мастер подключения мобильного устройства. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

Добро пожаловать

На экране приветствия можно прочитать краткое описание шагов Мастера подключения мобильного устройства.

Шаг 1. Политика

На этом шаге выберите политику для подключаемых устройств. Устройства работают в соответствии с настройками безопасности, указанными в политике.

• Использовать существующую политику

  Укажите группу администрирования для политики, которую вы хотите выбрать. Отобразится название политики, а также операционные системы и режимы работы устройств, которыми управляет эта политика.

  Если необходимо, нажмите Перейти к политике, чтобы просмотреть свойства выбранной политики.

• Создать новую политику

  Нажмите на появившуюся кнопку Создать политику. Вы будете перенаправлены в Мастер создания политики для мобильных устройств. После создания политики с необходимыми параметрами вы можете вернуться к Мастеру подключения мобильного устройства.

Шаг 2. Операционные системы

На этом шаге выберите операционные системы подключаемых устройств. Доступные операционные системы зависят от указанных в настройках политики: Android, iOS, Аврора.

• Android

  После выбора этой операционной системы отобразятся Параметры установки Kaspersky Endpoint Security для Android. Чтобы изменить их, нажмите Изменить параметры.

  1. Выберите Источник установки приложения Kaspersky Endpoint Security для Android.
     • Сайт "Лаборатории Касперского"

       Выберите этот способ для мобильных устройств с доступом в интернет, чтобы загрузить установочный файл APK с сайта "Лаборатории Касперского". Затем приложение будет обновляться с сайта "Лаборатории Касперского" или с помощью HUAWEI AppGallery, Samsung Galaxy Store, RuStore или Xiaomi GetApps.

       Этот источник установки доступен для всех режимов работы устройств.

     • RuStore

       Пользователь получит ссылку на RuStore. Установка из RuStore выполняется обычным способом, принятым для платформы Android.

       Ссылка содержит следующие данные:

       • Параметры синхронизации с Kaspersky Security Center.
       • Информация для автоматического получения мобильного сертификата при первой синхронизации.
       • Информация о том, принято ли Лицензионное соглашение для Kaspersky Endpoint Security для Android и другие соглашения. Если администратор принял соглашения в Kaspersky Security Center Web Console, приложение пропускает этап принятия соглашений при установке.

       Этот источник установки доступен только для личных устройств и устройств с корпоративным контейнером.

     • Инсталляционный пакет

       Инсталляционный пакет Kaspersky Endpoint Security для Android будет загружен с сервера Kaspersky Security Center и обновлен через Kaspersky Security Center с помощью параметров политики. Выберите этот способ, если у мобильных устройств в вашей компании нет доступа к интернету.

       Для этого источника установки создайте инсталляционный пакет Kaspersky Endpoint Security для Android перед подключением мобильных устройств.

       Этот источник установки доступен для всех режимов работы устройств.

       • Чтобы указать инсталляционный пакет, нажмите Выбрать инсталляционный пакет и выберите инсталляционный пакет из открывшегося списка.
       • Если доступных инсталляционных пакетов нет, вам будет предложено создать их. Нажмите Создать инсталляционный пакет и следуйте шагам Мастера создания инсталляционного пакета, как описано в справке Kaspersky Security Center, чтобы создать инсталляционный пакет из файла или автономный инсталляционный пакет. После создания инсталляционного пакета вы можете вернуться к Мастеру подключения мобильного устройства.

       При этом способе установки недоступны автоматические обновления через магазин приложений. Обновить приложение можно вручную в разделе Обновление приложения параметров политики.
       Для установки приложения на устройства используется последний инсталляционный пакет, загруженный в Kaspersky Security Center.

       Если вы подключаете корпоративные устройства, убедитесь, что установлен флажок Разрешить использование HTTP для загрузки приложения на корпоративных устройствах, чтобы обеспечить загрузку Kaspersky Endpoint Security для Android. В противном случае приложение будет загружено по протоколу HTTPS только в том случае, если сертификат Веб-сервера Kaspersky Security Center выдан доверенным центром сертификации.

       Подробная информация о способах установки приведена в секции Установка Kaspersky Endpoint Security для Android.

  2. Выберите Сеть для установки Kaspersky Endpoint Security для Android (только для корпоративных устройств):
     • Предложить пользователю выбрать сеть Wi-Fi на устройстве

       В этом случае пользователю будет предложено подключиться к любой доступной сети Wi-Fi для загрузки приложения.

     • Использовать только заданную сеть Wi-Fi (Android 9 или выше)

       Чтобы выбрать сеть для установки, нажмите Выбрать сеть.

       В открывшемся окне укажите следующие параметры:

       • Идентификатор сети SSID

         Определяет имя беспроводной сети, содержащей точку доступа (SSID). Имя беспроводной сети не должно содержать более 32 символов.

       • Скрытая сеть

         Определяет, будет ли выбранная сеть транслировать свой SSID.

       • Защита сети

         Определяет тип защиты беспроводной сети. Возможные значения:

         • NONE

           Сеть не защищена.

         • WPA

           Сеть защищена по протоколу безопасности WPA. Этот параметр требует ввода пароля для доступа к сети.

         • WEP

           Сеть защищена по протоколу WEP. Этот параметр требует ввода пароля для доступа к сети и применим только для устройств под управлением Android 9 или ниже.

       • Пароль

         Определяет пароль для доступа к беспроводной сети, защищенной по протоколу WPA или WEP. Пароль будет передан пользователю с QR-кодом.

         Не отправляйте пароль для конфиденциальной сети Wi-Fi, которая не должна быть общедоступной. Пароль передается пользователю в открытом виде вместе с другими данными, необходимыми для настройки устройства.

       • Использовать прокси-сервер

         Определяет использование прокси-сервера. Если выбран этот параметр, необходимо указать адрес и порт прокси-сервера. Также можно указать список сайтов, для которых прокси будет игнорироваться.

       • Адрес прокси-сервера

         Определяет IP-адрес или символьное имя (веб-адрес) прокси-сервера. Максимальное количество символов – 256.

       • Порт прокси-сервера

         Номер порта прокси-сервера. Значение должно быть в диапазоне от 0 до 65536.

       • Веб-адрес PAC-файла

         URL-адрес PAC-файла (proxy auto-configuration) для сети Wi-Fi.

       • Не использовать прокси-сервер для следующих адресов

         Определяет адреса веб-сайтов, для которых не нужно использовать прокси-сервер.

         Введите адрес в формате example.com. Если вы введете example.com, прокси-сервер не будет использоваться для адресов pictures.example.com, example.com/movies и т. п. Протокол (например, http://) указывать необязательно.

       Не отправляйте пароль для конфиденциальной сети Wi-Fi, которая не должна быть общедоступной. Пароль передается пользователю в открытом виде вместе с другими данными, необходимыми для настройки устройства.

     • По возможности использовать мобильную сеть (Android 8 или выше)

       В этом случае устройство попытается подключиться к мобильной сети для загрузки приложения. Если на устройстве не установлена SIM-карта или мобильная сеть недоступна, пользователю будет предложено выбрать доступную сеть Wi-Fi.

  3. Выберите флажок Включить все системные приложения (только для корпоративных устройств), чтобы системные приложения на устройстве остались включенными. При необходимости их можно будет отключить в разделе Контроль приложений.
• iOS

  Для подключения и управления iOS-устройствами в режимах "Базовый контроль" и "Расширенный контроль" в выбранной группе администрирования должен быть установлен Сервер iOS MDM. Подробная информация об установке Сервера iOS MDM приведена в разделе Развертывание Сервера iOS MDM.

  На личные устройства в режиме "Базовая защита" будет установлено приложение Kaspersky Protection для iOS.

  На устройства в режимах "Базовый контроль" и "Расширенный контроль" будет установлен управляющий профиль.

  На мобильных устройствах под управлением iOS 12.1 и выше необходимо вручную подтвердить установку управляющего профиля на мобильном устройстве. Также необходимо предоставить разрешение на удаленное управление устройством.

• Аврора

  Для подключения устройств с ОС Аврора на устройствах должно быть предварительно установлено приложение Kaspersky Endpoint Security для ОС Аврора.

Шаг 3. Принятие соглашений

На этом шаге выберите, кому необходимо принять Лицензионное соглашение и Политику конфиденциальности.

• Администратор

  Соглашения будут приняты администратором на следующем шаге мастера. В этом случае приложение пропустит этап принятия соглашений во время установки.

• Пользователи

  Соглашения будут приняты пользователями на мобильных устройствах.

Этот шаг применим только к операционным системам Android и iOS. При подключении устройств с ОС Аврора соглашения принимаются пользователями на мобильных устройствах.

Обратите внимание, что администратору будет предложено принять Лицензионное соглашение только после того, как эта же версия соглашения будет впервые принята пользователями на устройствах. После подключения и первой синхронизации устройств с Kaspersky Security Center администратор сможет принимать данную версию Лицензионного соглашения при последующих подключениях устройств.

Список принятых соглашений можно просмотреть в разделе Лицензионные соглашения свойств Сервера администрирования.

Шаг 4. Лицензионное соглашение и Политика конфиденциальности

Если на предыдущем шаге мастера в качестве принимающего соглашения был выбран Администратор, вам будет предложено ознакомиться с Политикой конфиденциальности, Лицензионным соглашением и всеми связанными с ним документами. Перед установкой управляющих приложений на устройства необходимо принять условия и положения Лицензионного соглашения и Политики конфиденциальности.

Шаг 5. Пользователи

На этом шаге выберите одного или нескольких пользователей подключаемых устройств. Выбранные пользователи получат информацию по установке приложения для подключения устройств к Kaspersky Security Center. Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера.

• Чтобы выбрать существующего пользователя, установите флажки рядом с соответствующими именами пользователей.
• Чтобы добавить нового пользователя, нажмите Добавить пользователя.
  1. Укажите учетные данные пользователя в разделе настроек Учетные данные.
     • Имя пользователя
     • Пароль

       Пароль должен соответствовать следующим требованиям сложности:

       • Пароль должен содержать от 8 до 16 символов.
       • Пароль должен содержать символы как минимум трех групп: верхний регистр (A-Z), нижний регистр (A-Z) (a-z), числа (0-9), специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
  2. При необходимости укажите дополнительные данные в разделе параметров Необязательная информация.
     • Полное имя пользователя
     • Описание
     • Адрес электронной почты
     • Номер телефона
  3. Нажмите ОК, чтобы сохранить изменения.

     Новый пользователь будет добавлен и отображен в списке пользователей.

• Чтобы изменить информацию о пользователе, нажмите Изменить пользователя.

  Поля, доступные для редактирования, зависят от подтипа пользователя - внутренний или доменный.

Шаг 6. Передача информации для подключения

На этом шаге выберите способ отправки QR-кодов и ссылок для установки управляющих приложений или управляющих профилей. Вы можете выбрать один из следующих способов:

• Отправить письмо на адреса электронной почты пользователей

  Выберите этот способ, чтобы отправить сведения о подключении по электронной почте выбранным пользователям. Чтобы установить приложение или управляющий профиль, пользователю необходимо отсканировать QR-код с помощью камеры мобильного устройства или открыть ссылку на инсталляционный пакет.

  Адреса электронной почты должны быть указаны в учетных данных пользователей в Kaspersky Security Center.
  
  Если вы хотите отправить информацию для подключения на электронную почту, не указанную в учетных данных в Kaspersky Security Center, установите флажок Отправить копию письма на дополнительный адрес электронной почты и укажите нужный адрес.

• Показать QR-коды и ссылки после завершения мастера

  Выберите этот способ, чтобы отсканировать QR-код с помощью камеры мобильного устройства или перейти по ссылке в мастере.

Шаг 7. Подтверждение

На этом шаге проверьте данные для подключения мобильного устройства, указанные на предыдущих шагах, и нажмите Готово для подтверждения операции.

При выборе большого количества пользователей или групп пользователей создание QR-кодов и ссылок для подключения может занять несколько минут.

Готово

На экране "Готово":

• Если вы выбрали Отправить письмо на адреса электронной почты пользователей, указанным пользователям будут отправлены электронные письма с QR-кодами и ссылками для подключения мобильных устройств к Серверу администрирования.
• Если вы выбрали Показать QR-коды и ссылки после завершения мастера, информация для подключения отобразится на экране "Готово". Информацию можно просмотреть на экране мастера или нажать Скачать список, чтобы получить файл с данными для подключения.

Нажмите Закрыть, чтобы выйти из мастера.

Когда пользователи установят управляющие приложения, устройства подключатся к Серверу администрирования и отобразятся на вкладке Устройства в Kaspersky Security Center Web Console.

Теперь вы можете настраивать параметры устройств и приложений для управления мобильными устройствами с помощью политик. Вы также сможете отправлять на мобильные устройства команды для защиты данных в случае потери или кражи устройств.

[Topic 274856]

Прямое подключение Android-устройств к Kaspersky Security Center

Android-устройства могут напрямую подключаться к порту 13292 Сервера администрирования.

В зависимости от используемого метода аутентификации возможны два варианта подключения.

Подключение с пользовательским сертификатом

При подключении устройства с пользовательским сертификатом оно привязывается к учетной записи пользователя, для которой через средства Сервера администрирования был назначен соответствующий сертификат.

В этом случае будет использована двусторонняя (взаимная) аутентификация SSL. Сервер администрирования и устройство будут аутентифицированы с помощью сертификатов.

Подключение без пользовательского сертификата

При подключении устройства без пользовательского сертификата оно не будет привязано к учетной записи пользователя на Сервере администрирования. При этом, при получении устройством любого сертификата оно будет привязано к пользователю, которому был назначен соответствующий сертификат через средства Сервера администрирования.

При подключении устройства к Серверу администрирования будет использована односторонняя SSL-аутентификация, при которой аутентифицироваться с помощью сертификата будет только Сервер администрирования. После получения устройством пользовательского сертификата тип аутентификации будет изменен на двустороннюю (взаимную) SSL-аутентификацию.

[Topic 274708]

Перемещение нераспределенных мобильных устройств в группы администрирования

При подключении мобильных устройств к Kaspersky Security Center они отображаются на странице Обнаружение устройств и развертывание > Нераспределенные устройства Kaspersky Security Center Web Console. Для управления новыми подключенными устройствами можно создать правило для автоматического распределения устройств по группам администрирования, либо переместить их в группу администрирования вручную.

Чтобы переместить нераспределенное мобильное устройство в группу администрирования:

1. В главном окне Kaspersky Security Center Web Console выберите Обнаружение устройств и развертывание > Нераспределенные устройства.
2. Выберите устройство, которое вы хотите переместить в группу администрирования, и нажмите Переместить в группу.
3. В появившемся дереве групп администрирования выберите группу, в которую вы хотите переместить устройство.

   Можно создать новую группу администрирования, выбрав существующую группу и нажав Добавить дочернюю группу.

4. Нажмите Переместить.

Устройство будет перемещено в указанную группу администрирования, и к нему применится соответствующая политика.

[Topic 286652]

Действия на мобильных устройствах для подключения к Серверу администрирования

В зависимости от режима, в котором будет работать устройство, вам может потребоваться выполнить дополнительные действия для защиты устройства и подключения его к Серверу администрирования.

Установка мобильного сертификата

Если вы получили пароль сертификата, нужно использовать его для установки мобильного сертификата на устройство.

Чтобы установить мобильный сертификат:

1. Запомните или запишите пароль, который вы получили от администратора по электронной почте.
2. Выполните одно из следующих действий:
   • На Android-устройстве введите пароль сертификата при появлении запроса от Kaspersky Endpoint Security для Android.
   • На iOS-устройстве введите пароль сертификата при установке управляющего профиля.

Мобильный сертификат будет установлен на устройство.

Предварительная настройка корпоративных Android-устройств

Чтобы подключить корпоративное Android-устройство к Серверу администрирования, нужно выполнить предварительную настройку устройства в зависимости от версии операционной системы и наличия сканера QR-кодов.

Установка Kaspersky Endpoint Security для ОС Аврора

QR-код, который вы получили от вашего администратора, содержит параметры для подключения устройства к Серверу администрирования. Перед подключением устройства нужно установить Kaspersky Endpoint Security для ОС Аврора. Подробная информация об установке Kaspersky Endpoint Security для ОС Аврора приведена в справке Kaspersky Endpoint Security для ОС Аврора.

[Topic 274704]

Настройка параметров синхронизации

Для управления мобильными устройствами и получения отчетов или статистик от мобильных устройств пользователей требуется настроить параметры синхронизации. Синхронизация выполняется с помощью протокола HTTPS. Синхронизация мобильных устройств с Сервером администрирования может выполняться следующими способами:

• По расписанию. Вы можете настроить расписание синхронизации в параметрах политики. Изменения параметров политики, команды и задачи будут выполняться во время синхронизации устройства с Kaspersky Security Center по расписанию, то есть с задержкой. По умолчанию мобильные устройства автоматически синхронизируются с Kaspersky Security Center каждые шесть часов.

  Из-за ограничений Doze, при выборе короткого периода синхронизации устройства могут синхронизироваться с Сервером администрирования реже.

  Использование коротких периодов синхронизации сокращает время работы устройства от батареи.

• Принудительно. Для синхронизации используются push-уведомления FCM (Firebase Cloud Messaging). Принудительная синхронизация, в первую очередь, предназначена для своевременной доставки команд на мобильное устройство. Это может быть полезно, если устройство находится в режиме экономии заряда батареи, поскольку в этом случае приложение может выполнять задачи позже, чем указано. Если вы хотите использовать принудительную синхронизацию, убедитесь что параметры FCM в Kaspersky Security Center настроены.

Чтобы настроить параметры синхронизации Android-устройств:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Параметры KES для Android.
4. На карточке Синхронизация по расписанию нажмите Параметры.

   Откроется окно Синхронизация по расписанию.

5. Включите синхронизацию с помощью переключателя Синхронизация по расписанию.
6. В раскрывающемся списке Период синхронизации выберите интервал между операциями синхронизации устройств с Kaspersky Security Center.
7. Чтобы выключить синхронизацию устройств с Kaspersky Security Center в роуминге, установите флажок Выключить синхронизацию в роуминге.

   Пользователь устройства может выполнять синхронизацию вручную в настройках приложения (Настройки → Настройки приложения → Синхронизация → Синхронизировать).

8. Нажмите OK.
9. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды.

Чтобы настроить параметры синхронизации iOS-устройств в режиме "Базовая защита":

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Параметры KS для iOS.
4. На карточке Синхронизация по расписанию нажмите Параметры.

   Откроется окно Синхронизация по расписанию.

5. Включите синхронизацию с помощью переключателя Синхронизация по расписанию.
6. В раскрывающемся списке Период синхронизации выберите интервал между операциями синхронизации устройств с Kaspersky Security Center. По умолчанию указано значение 6 часов.
7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center. Вы можете принудительно синхронизировать мобильное устройство с помощью специальной команды.

[Topic 274851]

Управление сертификатами мобильных устройств

Kaspersky Security Center Web Console позволяет выпускать, обновлять или удалять мобильные, почтовые и VPN-сертификаты мобильных устройств.

В этом разделе содержится информация о том, как управлять сертификатами мобильных устройств и настраивать правила их выпуска.

[Topic 294486]

Перевыпуск мобильного сертификата Сервера администрирования

Вам необходимо указать резервный мобильный сертификат Сервера администрирования, чтобы обеспечить соответствие требованиям безопасности вашей организации и поддержать постоянное соединение управляемых устройств с Сервером. Мобильный сертификат, выпущенный средствами Kaspersky Security Center, перевыпускается по умолчанию.

Мы рекомендуем указывать резервный сертификат при установке Сервера администрирования или не позднее, чем за 30 дней до истечения срока действия основного сертификата. Точное время истечения сертификата доступно в параметрах сертификата в поле Действителен до (в главном меню выберите → Общие → Сертификаты).

Максимальный срок действия любого сертификата Сервера администрирования – 397 дней.

Резервный сертификат доставляется на устройство при синхронизации и становится основным сразу после истечения срока действия основного сертификата. Если срок действия сертификата истек, а резервный сертификат не указан, связь между Сервером администрирования и Kaspersky Endpoint Security на управляемых устройствах будет потеряна. В этом случае для повторного подключения устройств нужно указать новый сертификат и переустановить Kaspersky Endpoint Security на каждом из управляемых устройств.

Чтобы перевыпустить сертификат Сервера администрирования с отложенной заменой (указать сертификат как резервный):

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. В окне свойств Сервера администрирования выберите Общие → Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выпущенный Kaspersky Security Center:
   1. Нажмите Перевыпустить.
   2. В открывшемся окне:
      1. В разделе Адрес подключения выберите пункт Оставить адрес подключения прежним или пункт Изменить адрес подключения на, если будет использован новый адрес подключения.
      2. В разделе Активировать новый сертификат выберите Через указанный срок (сут) и укажите количество дней, через которое сертификат станет активным.

         Мы рекомендуем указать срок активации сертификата не менее 30 дней, чтобы все устройства успели получить сертификат. Обратите внимание, что указанный период должен быть больше периода синхронизации устройств с Сервером администрирования. Подробная информация о настройке параметров синхронизации устройств с Сервером администрирования приведена в разделе Настройка параметров синхронизации.

      3. Нажмите OK.

   Если вы планируете использовать собственный сертификат:

   1. Проверьте, соответствует ли ваш сертификат требованиям Kaspersky Security Center и требованиям Apple к доверенным сертификатам. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите Управление сертификатом.
   3. В открывшемся окне нажмите Обзор.
   4. В открывшемся окне выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали PKCS #12, нажмите на кнопку Обзор рядом с полем Открытый ключ и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль закрытого ключа.
      • Если вы выбрали X.509, нажмите на кнопку Обзор рядом с полем Закрытый ключ и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль закрытого ключа. Нажмите на кнопку Обзор рядом с полем Открытый ключ и укажите открытый ключ на жестком диске.
   5. В разделе Активировать новый сертификат выберите Через указанный срок (сут) и укажите количество дней, через которое сертификат станет активным.
   6. Нажмите Сохранить.
   7. Нажмите OK.
   8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Сертификат перевыпущен в качестве резервного сертификата.

Чтобы немедленно перевыпустить сертификат Сервера администрирования (не рекомендуется, если есть управляемые мобильные устройства):

Мы не рекомендуем выбирать Немедленно в случае, если у вас есть управляемые мобильные устройства. При выборе опции будет потеряна связь со всеми управляемыми устройствами, так как новый сертификат не будет доставлен на устройства, а ранее действующий сертификат потеряет силу.

1. В главном меню нажмите на значок параметров () рядом с именем Сервера администрирования.

   Откроется окно свойств Сервера администрирования.

2. В окне свойств Сервера администрирования выберите Общие → Сертификаты.
3. Если вы планируете и дальше использовать сертификат, выпущенный Kaspersky Security Center:
   1. Нажмите Перевыпустить.
   2. В открывшемся окне:
      1. В разделе Адрес подключения выберите пункт Оставить адрес подключения прежним или пункт Изменить адрес подключения на, если будет использован новый адрес подключения.
      2. В разделе Активировать новый сертификат выберите Немедленно.
      3. Нажмите OK.

   Если вы планируете использовать собственный сертификат:

   1. Проверьте, соответствует ли ваш сертификат требованиям Kaspersky Security Center и требованиям Apple к доверенным сертификатам. При необходимости измените сертификат.
   2. Выберите параметр Другой сертификат и нажмите Управление сертификатом.
   3. В открывшемся окне нажмите Обзор.
   4. В открывшемся окне выберите тип вашего сертификата и укажите расположение сертификата и параметры:
      • Если вы выбрали PKCS #12, нажмите на кнопку Обзор рядом с полем Открытый ключ и укажите файл сертификата на жестком диске. Если файл сертификата защищен паролем, введите пароль в поле Пароль закрытого ключа.
      • Если вы выбрали X.509, нажмите на кнопку Обзор рядом с полем Закрытый ключ и укажите закрытый ключ на жестком диске. Если закрытый ключ защищен паролем, введите пароль в поле Пароль закрытого ключа. Нажмите на кнопку Обзор рядом с полем Открытый ключ и укажите открытый ключ на жестком диске.
   5. В разделе Активировать новый сертификат выберите Немедленно.
   6. Нажмите Сохранить.
   7. Нажмите OK.
   8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Сертификат перевыпущен в качестве основного сертификата Сервера администрирования.

Дополнительная информация о сертификатах представлена в справке Kaspersky Security Center.

[Topic 287322]

Настройка правил выпуска сертификатов

Kaspersky Security Center Web Console позволяет настраивать порядок выпуска, обновления и защиты сертификатов для мобильных устройств.

Чтобы настроить правила выпуска сертификатов:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите Правила выпуска.
   • В разделе Параметры PKI:
     1. В блоке настроек Интеграция с PKI включите переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI для автоматического выпуска сертификатов.

        Нажмите Выбрать устройство и укажите устройство с установленным Агентом администрирования, которое будет подключаться к Microsoft CA.

        Подробная информация об интеграции с PKI приведена в разделе Интеграция с инфраструктурой открытых ключей.

     2. В блоке настроек Доменная учетная запись для передачи запросов на выпуск сертификатов укажите Имя учетной записи PKI (имя учетной записи пользователя, которая будет использоваться для интеграции с PKI в формате userPrincipalName@DNSDomainName) и Пароль (доменный пароль учетной записи).
     3. Нажмите Сохранить, чтобы сохранить изменения.
   • В разделе Мобильные сертификаты можно настроить следующие параметры:
     1. В блоке настроек Срок действия в поле Срок действия сертификата (дней) укажите срок действия сертификата в днях. Срок действия сертификата по умолчанию составляет 365 дней. По истечении этого срока мобильное устройство не сможет подключиться к Серверу администрирования.
     2. В разделе настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего. По умолчанию указано значение 30.

        Установите флажок Обновлять сертификат автоматически для автоматического выпуска сертификатов. Если флажок не установлен, сертификаты необходимо обновлять вручную по мере истечения срока их действия. По умолчанию флажок установлен.

     3. В блоке настроек Защита паролем установите флажок Запрашивать пароль при установке сертификата для запроса пароля у пользователя при установке сертификата на мобильное устройство. Пароль используется только один раз — при установке сертификата на мобильное устройство. Пароль будет автоматически сгенерирован Сервером администрирования и отправлен пользователю по электронной почте. В поле Длина пароля можно указать длину пароля.

        Защита паролем доступна только для мобильных сертификатов.

     4. Нажмите Сохранить, чтобы сохранить изменения.
   • В разделах Почтовые сертификаты и VPN-сертификаты, если настроена интеграция с PKI:
     1. В блоке настроек Обновление в поле Обновить сертификат, когда осталось (дней) укажите количество дней до окончания срока действия текущего сертификата, когда Сервер администрирования должен выпустить новый сертификат. Например, если указано значение 4, Сервер администрирования выпускает новый сертификат за четыре дня до окончания срока действия текущего.

        Установите флажок Обновлять сертификат автоматически для автоматического выпуска сертификатов. Если флажок не установлен, сертификаты необходимо обновлять вручную по мере истечения срока их действия. По умолчанию флажок установлен.

     2. В блоке настроек Параметры PKI укажите Имя шаблона сертификата в системе PKI (шаблон сертификата, который будет использоваться для выпуска сертификатов доменным пользователям).

        Под указанной учетной записью на устройстве, которое подключается к CA, запускается служба Агента администрирования для Windows. Эта служба отвечает за выпуск доменных сертификатов пользователей. Служба запускается, когда происходит загрузка списка шаблонов сертификатов по кнопке Обновить список, или при выпуске сертификата.

        При подключении к Kaspersky Security Center любого мобильного устройства (под управлением Android или iOS), владельцем которого является недоменный пользователь, попытка выписки сертификата может завершиться ошибкой.

     3. В блоках настроек Автоматический выпуск почтового сертификата при подключении устройства или Автоматический выпуск VPN-сертификата при подключении устройства установите флажки Выпускать для устройств под управлением Kaspersky Endpoint Security для Android или Выпускать для iOS MDM-устройств для включения автоматического выпуска почтового или VPN-сертификата при подключении устройств к Kaspersky Security Center.

        Если вы установили флажок Выпускать для iOS MDM-устройств, выберите псевдоним сертификата в раскрывающемся списке. Псевдоним сертификата - это имя, которое идентифицирует сертификат. Вы можете настроить дальнейшее использование выбранного псевдонима для выпуска сертификата в следующих разделах:

        • Для почтовых сертификатов: в разделах Настройка почтового ящика на iOS MDM-устройствах и Настройка почтового ящика Exchange на iOS MDM-устройствах.
        • Для VPN-сертификатов: в разделах Настройка VPN на iOS MDM-устройствах и Подключение iOS MDM-устройств к сети Wi-Fi.

        Вы также можете изменить псевдоним для одного или нескольких почтовых и VPN-сертификатов, нажав кнопку Изменить псевдоним в списке сертификатов (Активы (Устройства) → Мобильные → Сертификаты).

     4. Нажмите Сохранить, чтобы сохранить изменения.

Указанные параметры будут использоваться Kaspersky Security Center для выпуска, обновления и защиты сертификатов мобильных устройств.

[Topic 286650]

Выпуск сертификатов для мобильных устройств

Вы можете выпускать мобильные, почтовые или VPN-сертификаты для мобильных устройств.

Чтобы выпустить сертификат:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов нажмите Добавить.

   Запустится Мастер выпуска сертификата. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

Добро пожаловать

На экране приветствия можно прочитать краткое описание шагов Мастера выпуска сертификата.

Обратите внимание, что нумерация и набор шагов могут различаться в зависимости от типа сертификата, операционной системы и правил выпуска, указанных в разделе Правила выпуска.

Шаг 1. Тип сертификата

На этом шаге выберите сертификат для выпуска.

• Почтовый сертификат (для корпоративной почты на устройствах).
• VPN-сертификат (для доступа к частным сетям и корпоративным веб-ресурсам).
• Мобильный сертификат (для идентификации мобильных устройств на Сервере администрирования).

Шаг 2. Операционная система

На этом шаге выберите операционную систему устройств, для которых будет выпущен сертификат.

• Android
• iOS

Шаг 3. Способ подключения

Этот шаг отображается только в случае, если вы выбрали Почтовый сертификат или VPN-сертификат в качестве типа сертификата и Android в качестве операционной системы устройств, для которых будет выпущен сертификат.

На этом шаге выберите способ подключения устройств к Серверу администрирования.

• Подключение с помощью аутентификации по мобильному сертификату

  Выберите этот параметр, чтобы мобильный сертификат использовался для идентификации пользователя при подключении к Серверу администрирования.

• Подключение без аутентификации по мобильному сертификату

  Выберите этот вариант, если вы хотите установить сертификат на устройство без аутентификации по сертификату.

Шаг 4. Пользователи

На этом этапе выберите пользователей, которые получат информацию для установки сертификатов. Если пользователя нет в списке, можно добавить новую учетную запись, не выходя из мастера.

• Чтобы выбрать существующего пользователя, установите флажки рядом с соответствующими именами пользователей.
• Чтобы добавить нового пользователя, нажмите Добавить пользователя.
  1. Укажите учетные данные пользователя в разделе настроек Учетные данные.
     • Имя пользователя
     • Пароль

       Пароль должен соответствовать следующим требованиям сложности:

       • Пароль должен содержать от 8 до 16 символов.
       • Пароль должен содержать символы как минимум трех групп: верхний регистр (A-Z), нижний регистр (A-Z) (a-z), числа (0-9), специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
  2. При необходимости укажите дополнительные данные в разделе параметров Необязательная информация.
     • Полное имя пользователя
     • Описание
     • Адрес электронной почты
     • Номер телефона
  3. Нажмите ОК, чтобы сохранить изменения.

     Новый пользователь будет добавлен и отображен в списке пользователей.

• Чтобы изменить информацию о пользователе, нажмите Изменить пользователя.

Поля, доступные для редактирования, зависят от подтипа пользователя - внутренний или доменный.

Шаг 5. Псевдоним и источник сертификата

На этом шаге выберите псевдоним и источник загрузки сертификата.

• Псевдоним сертификата

  Псевдоним сертификата – это имя, которое идентифицирует сертификат. Вы можете настроить дальнейшее использование выбранного псевдонима в разделах политики: Настройка почтового ящика на iOS MDM-устройствах; Настройка почтового ящика Exchange на iOS MDM-устройствах; Настройка VPN на iOS MDM-устройствах; Подключение iOS MDM-устройств к сети Wi-Fi.

  Этот шаг доступен только в случае, если вы выбрали Почтовый сертификат или VPN-сертификат в качестве типа сертификата.

• Интегрировать выпуск с Microsoft CA через PKI

  Для этого параметра в поле Шаблон PKI укажите один из доступных шаблонов, импортированных из Microsoft CA.

  Этот параметр доступен только в случае, если на вкладке Правила выпуска настроена интеграция с PKI.

• Загрузить файл

  Для этого параметра укажите Формат сертификата:

  • Для формата PKCS #12 в поле Файл сертификата нажмите Выбрать и укажите файл в формате P12 или PFX.
  • Для формата X.509 в поле Файл приватного ключа нажмите Выбрать и укажите файл в формате PRK или PEM.

    В поле Файл сертификата нажмите Выбрать и укажите файл в формате CER, CRT или CERT.

    После загрузки файлов вы также можете ввести пароль в поле Пароль сертификата.

Шаг 6. Способ аутентификации

Этот шаг отображается только в случае, если вы указали Мобильный сертификат в качестве типа сертификата, или если вы выбрали Почтовый сертификат или VPN-сертификат для Android-устройств и указали Подключение без аутентификации по мобильному сертификату в качестве способа подключения.

На этом шаге выберите способ аутентификации пользователя для получения сертификата.

• Доменные или внутренние учетные данные пользователя. Пользователи получат доступ к сертификату, используя доменные или внутренние учетные данные. Пользователям будет необходимо указать логин на мобильных устройствах в одном из форматов:
  • userPrincipalName@DNSDomainName
  • sAMAccountName
  • sAMADomain\sAMAccountName
• Пароль. Пользователи получат доступ к сертификату с помощью пароля, полученного по электронной почте или отображенного после завершения работы мастера.

В блоке настроек Использование сертификата на устройстве установите флажок Разрешить повторное использование сертификата на одном устройстве (только для устройств с установленным приложением Kaspersky Endpoint Security для Android), если вы хотите разрешить использование одного сертификата несколько раз на одном устройстве.

Флажок доступен только в случае, если Android указан в качестве операционной системы устройств, для которых будет выпущен сертификат.

Шаг 7. Передача информации о сертификате

На этом шаге выберите способ отправки информации для установки сертификата. Вы можете выбрать один из следующих способов:

• Отправить письмо на адреса электронной почты пользователей

  Выберите этот способ, чтобы отправить сведения для установки сертификата по электронной почте выбранным пользователям. Эти электронные адреса должны быть указаны в параметрах учетных записей пользователей в Kaspersky Security Center.
  
  Если вы хотите отправить сведения для установки сертификата на электронную почту, не указанную в учетных данных в Kaspersky Security Center, установите флажок Отправить копию письма на дополнительный адрес электронной почты и укажите нужный адрес.

• Показать информацию после завершения мастера

  Выберите этот параметр, чтобы отобразить сведения для установки сертификата на последнем этапе работы Мастера выпуска сертификата.

Шаг 8. Подтверждение

На этом шаге проверьте данные для выпуска сертификата, указанные на предыдущих шагах, и нажмите Подтвердить и выпустить сертификат для подтверждения операции.

Готово

На экране "Готово":

• Если вы выбрали Отправить письмо на адреса электронной почты пользователей, указанные пользователи получат электронные письма со сведениями для установки сертификата.
• Если вы выбрали Показать информацию после завершения мастера, сведения для установки сертификата будут отображены на экране "Готово". Информацию можно просмотреть на экране мастера или нажать Скачать список, чтобы получить файл с данными для подключения.

Нажмите Закрыть, чтобы выйти из мастера.

После завершения Мастера выпуска сертификата сертификаты будут выпущены и добавлены в список сертификатов. Вы можете удалять или обновлять выпущенные сертификаты, а также просматривать их свойства.

[Topic 287330]

Обновление сертификатов мобильных устройств

Если срок действия одного из сертификатов истекает, вы можете продлить его с помощью Kaspersky Security Center Web Console.

Выполнив действия, описанные ниже, вы можете обновить мобильный сертификат, а также почтовый или VPN-сертификат, выпущенный через PKI.

Чтобы обновить сертификат:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, который вы хотите обновить, и нажмите Обновить.

Статус сертификата изменился на Сертификат обновлен.

[Topic 287331]

Удаление сертификатов мобильных устройств

Вы можете удалить сертификаты мобильных устройств с помощью Kaspersky Security Center Web Console.

Обратите внимание, что в случае удаления мобильного сертификата устройство больше не сможет синхронизироваться с Сервером администрирования и им нельзя будет управлять средствами Kaspersky Security Center.

Сертификат удаляется только из Kaspersky Security Center Web Console и больше не обновляется, но остается на устройстве. Чтобы удалить сертификат с iOS MDM-устройств, корпоративных устройств или устройств с корпоративным контейнером, необходимо отправить команду Удалить корпоративные данные. На личных Android-устройствах пользователям необходимо удалить сертификат вручную.

При удалении мобильного сертификата iOS MDM-устройства устройство не удаляется из Kaspersky Security Center Web Console, но теряет возможность синхронизации с Сервером iOS MDM и ему присваивается статус "Неактивно". В этом случае необходимо удалить это устройство из списка управляемых устройств в Kaspersky Security Center Web Console, а затем подключить его заново с помощью Мастера подключения мобильного устройства.

Чтобы удалить сертификат из Kaspersky Security Center Web Console:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, который вы хотите удалить, и нажмите Удалить.

Сертификат удален и больше не отображается в списке сертификатов.

[Topic 286898]

Интеграция с инфраструктурой открытых ключей

Вы можете интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через инфраструктуру открытых ключей (PKI). Интеграция с PKI в первую очередь предназначена для упрощения выпуска доменных пользовательских сертификатов Сервером администрирования. В результате интеграции выписка сертификатов происходит автоматически.

Вы можете указать настройки для интеграции с PKI и назначить PKI в качестве источника сертификатов для определенных типов сертификатов. Параметры PKI задаются на вкладке Правила выпуска и позволяют выбрать индивидуальный шаблон по умолчанию для всех типов сертификатов.

Особенности использования интеграции c PKI для выпуска сертификатов:

• По умолчанию интеграция с PKI выключена. Ее можно включить используя переключатель Интегрировать выпуск сертификатов с Microsoft Certification Authority (CA) через PKI. Подробная информация о включении и настройке параметров PKI приведена в разделе Настройка правил выпуска сертификатов.
• Выпуск сертификатов осуществляется с помощью Агента администрирования для Windows, который обеспечивает интеграцию между Сервером администрирования и Microsoft CA. Поскольку устройств с установленным Агентом администрирования может быть несколько, вы можете указать конкретное устройство, которое будет подключаться к Microsoft CA, на вкладке Правила выпуска. На этом устройстве в хранилище сертификатов учетной записи, под которой выполняется интеграция с PKI, должен быть установлен сертификат Enrollment Agent (EA). Его предоставляет администратор доменного Центра сертификации.
• Учетная запись, под которой выполняется интеграция с PKI, должна принадлежать доменному пользователю и обладать разрешением на Вход в качестве службы.
• Kaspersky Security Center может одновременно работать только с одной интеграцией PKI (Microsoft CA).

Подробная информация о настройке интеграции с PKI для выпуска сертификатов приведена в разделе Настройка правил выпуска сертификатов.

[Topic 286651]

Просмотр списка сертификатов мобильных устройств

Kaspersky Security Center Web Console позволяет просматривать выпущенные сертификаты мобильных устройств и их свойства.

Чтобы просмотреть список всех сертификатов и их свойства:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся окне вы можете просмотреть список всех созданных сертификатов и их свойства в таблице.

Чтобы просмотреть свойства отдельного сертификата:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Сертификаты.
2. В открывшемся списке сертификатов выберите сертификат, свойства которого вы хотите просмотреть.
3. В окне Информация о сертификате просмотрите свойства сертификата:
   • Имя пользователя
   • Статус
   • Тип
   • Протокол
   • Источник
   • Дата истечения
   • Дата выпуска
   • Последнее изменение статуса
   • Псевдоним
   • Автоматическое обновление выключено
   • Отпечаток

Чтобы просмотреть сертификаты, установленные на iOS MDM устройстве:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Устройства.
2. В открывшемся списке устройств выберите устройство, сертификаты которого вы хотите просмотреть.
3. В открывшемся окне свойств устройства выберите раздел Сертификаты.

   Отобразится список установленных на устройстве сертификатов и их свойства.

   • Имя сертификата
   • Сертификат пользователя
   • Отпечаток сертификата

[Topic 274723]

Настройка и управление

Этот раздел адресован специалистам, которые осуществляют администрирование Kaspersky Secure Mobility Management, и специалистам технической поддержки организаций, использующих Kaspersky Secure Mobility Management.

[Topic 274743]

Контроль

Этот раздел содержит информацию о том, как удаленно контролировать мобильные устройства в Kaspersky Security Center Web Console.

[Topic 274744]

Настройка ограничений

В этом разделе содержатся инструкции по настройке доступа пользователей к функциям мобильных устройств.

[Topic 274751]

Настройка ограничений для личных Android-устройств

Эти параметры применяются к личным устройствам и устройствам с корпоративным контейнером.

Для обеспечения безопасности Android-устройств Kaspersky Mobile Devices Protection and Management позволяет настроить доступ пользователей к следующим функциям устройств:

• Wi-Fi;
• камера;
• Bluetooth.

По умолчанию пользователь может использовать на устройстве Wi-Fi, камеру и Bluetooth без ограничений.

Чтобы настроить ограничения использования на устройстве Wi-Fi, камеры и Bluetooth:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Ограничения.
4. На карточке Ограничения функций устройств нажмите Параметры.

   Откроется окно Ограничения функций устройств.

5. Включите параметры с помощью переключателя Ограничения функций устройств.
6. Настройте использование Wi-Fi, камеры и Bluetooth:
   • Чтобы выключить модуль Wi-Fi на мобильном устройстве пользователя, установите флажок Запретить использование Wi-Fi.

     На личных устройствах и устройствах с корпоративным контейнером под управлением Android 10 или выше запрет на использование сетей Wi-Fi не поддерживается.

   • Чтобы выключить камеру на мобильном устройстве пользователя, установите флажок Запретить использование камеры.

     Когда использование камеры запрещено, приложение уведомляет об этом пользователя и сразу же закрывается. На устройствах Asus и OnePlus уведомление выводится на весь экран. Пользователь может нажать на кнопку Закрыть, чтобы завершить работу приложения.

     На устройствах с операционной системой Android 11 или выше Kaspersky Endpoint Security для Android должен быть установлен в качестве службы Специальных возможностей. Kaspersky Endpoint Security для Android предлагает пользователю установить приложение в качестве службы Специальных возможностей во время работы мастера первоначальной настройки. Пользователь может пропустить этот шаг или выключить службу в параметрах устройства позднее. В этом случае не удастся ограничить использование камеры.

   • Чтобы выключить Bluetooth на мобильном устройстве пользователя, установите флажок Запретить использование Bluetooth.

     На Android 12 или более поздней версии использование Bluetooth может быть отключено, только если пользователь устройства предоставил разрешение Устройства поблизости. Пользователь может предоставить это разрешение во время работы мастера начальной настройки или позже.

     На личных устройствах под управлением Android 13 или выше нельзя отключить использование Bluetooth.

7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Вы также можете ограничить дополнительные функции операционной системы на корпоративных устройствах.

[Topic 274752]

Настройка ограничений для iOS MDM-устройств

Развернуть всё | Свернуть всё

Для выполнения требований корпоративной безопасности настройте ограничения в работе iOS MDM-устройств.

Функции, разрешенные в разделе политики Ограничения, но запрещенные в установленных на устройствах конфигурационных профилях, недоступны на устройствах.

Настройка ограничений функций

Чтобы настроить ограничения функций iOS MDM-устройств:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Ограничения.
4. На карточке Ограничения функций устройств нажмите Параметры.

   Откроется окно Ограничения функций устройств.

5. Включите параметры с помощью переключателя Ограничения функций устройств.
6. Включите ограничения функций iOS MDM-устройств с помощью переключателей на соответствующих вкладках и выберите необходимые ограничения.

   Список ограничений функций устройств

   • Ограничения на вкладке Общие:
     • В разделе Параметры устройств:
       • Запретить голосовой набор на заблокированном устройстве

         Использование функции голосового набора на заблокированном мобильном устройстве пользователя.

         Если флажок снят, пользователь может использовать голосовые команды для набора телефонных номеров на заблокированном мобильном устройстве.

         Если флажок установлен, пользователь не может использовать голосовые команды для набора телефонных номеров на заблокированном мобильном устройстве.

         По умолчанию флажок снят.

       • Ограничить трекинг рекламы

         Использование технологии IFA (Identifier for advertisers) для отслеживания открываемых веб-сайтов и запускаемых приложений на iOS MDM-устройстве. IFA позволяет настроить трекинг рекламы на мобильном устройстве в соответствии с интересами пользователя.

         Если флажок установлен, технология IFA выключена на мобильном устройстве пользователя.

         Если флажок снят, технология IFA включена на мобильном устройстве и отслеживает открываемые веб-сайты и запускаемые приложения для показа целевой рекламы.

         По умолчанию флажок снят.

       • Запретить Handoff

         Использование функции Handoff на мобильном устройстве пользователя. Handoff позволяет начать работу с данными на одном Apple-устройстве, а затем переключиться на другое Apple-устройство и продолжить работу.

         Если флажок снят, пользователю доступна функция Handoff.

         Если флажок установлен, функция Handoff недоступна.

         По умолчанию флажок снят.

       • Запретить изменение имени устройства

         Возможность изменить имя мобильного устройства.

         Если флажок снят, пользователь может изменять имя мобильного устройства.

         Если флажок установлен, изменение имени устройства недоступно.

         По умолчанию флажок снят.

       • Запретить изменение ограничений

         Возможность настройки параметров ограничений на мобильном устройстве. Ограничения на мобильном устройстве могут быть использованы пользователем для выполнения функций родительского контроля. Пользователь может ограничить функции устройства (например, запретить использование камеры), доступ к медиаконтенту (например, установить возрастные ограничения на просмотр фильмов), работу приложений (например, запретить использование iTunes Store) и настроить другие ограничения.

         Если флажок снят, пользователь может настроить параметры ограничений на мобильном устройстве.

         Если флажок установлен, настройка параметров ограничения на мобильном устройстве недоступна.

         По умолчанию флажок снят.

       • Запретить предложения Spotlight

         Использование результатов поиска Spotlight в интернете в предложениях Siri. При использовании предложений Spotlight поисковые запросы и связанные с ними данные пользователя отправляются в компанию Apple.

         Если флажок снят, пользователь может разрешить отображение результатов поиска Spotlight в интернете в предложениях Siri.

         Если флажок установлен, результаты поиска Spotlight в интернете будут недоступны в предложениях Siri. Пользовательские данные не отправляются в компанию Apple.

         У пользователя может быть возможность разрешить результаты поиска Spotlight в интернете в предложениях Siri, даже если этот флажок установлен. Это связано с проблемой, известной Apple.

         По умолчанию флажок снят.

     • В разделе Защита от потери данных:
       • Запретить снимки и запись экрана

         Возможность сделать снимок экрана или видеозапись с экрана на iOS MDM-устройстве.

         Если флажок снят, пользователь может делать и сохранять снимки экрана и видеозаписи с экрана на мобильном устройстве.

         Если флажок установлен, пользователь не может делать и сохранять снимки экрана и видеозаписи с экрана на мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить передачу документов из управляемых приложений в неуправляемые

         Возможность открывать в неуправляемых (личных) приложениях на iOS MDM-устройстве документы, созданные с использованием управляемых (корпоративных) приложений и учетных записей. Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

         Если флажок снят, пользователь может использовать неуправляемые приложения для открытия документов, созданных в управляемых корпоративных приложениях.

         Если флажок установлен, пользователю не разрешается использовать неуправляемые приложения для открытия документов, созданных с использованием управляемых приложений. Например, этот параметр позволяет предотвратить открытие конфиденциального почтового вложения из управляемой учетной записи электронной почты в личных приложениях пользователя.

         По умолчанию флажок снят.

       • Запретить передачу документов из неуправляемых приложений в управляемые

         Возможность открывать в управляемых (корпоративных) приложениях на iOS MDM-устройстве документы, созданные с использованием неуправляемых (личных) приложений и учетных записей пользователя. Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

         Если флажок снят, пользователь может использовать управляемые приложения для открытия документов, созданных с использованием неуправляемых приложений.

         Если флажок установлен, пользователю не разрешается использовать управляемые приложения для открытия документов, созданных с использованием неуправляемых приложений. Например, параметр позволяет предотвратить открытие документа из личной учетной записи iCloud в корпоративном приложении.

         По умолчанию флажок снят.

       • Выключить шифрование резервных копий

         Шифрование резервных копий данных iOS MDM-устройства в iTunes на компьютере пользователя.

         Если флажок снят, то при создании резервной копии данных мобильного устройства в iTunes данные шифруются и защищаются паролем. В данном случае пользователь не сможет зашифровать резервные копии данных устройства в iTunes.

         Если флажок установлен, пользователь может выбрать использование шифрования резервных копий данных в iTunes.

         По умолчанию флажок снят.

       • Запретить сброс настроек до заводских

         Возможность удаления всех данных с устройства и сброса настроек до заводских.

         Если флажок снят, пользователю доступна функция удаления всех данных с устройства и сброса настроек до заводских.

         Если флажок установлен, функция сброса настроек до заводских недоступна.

         По умолчанию флажок снят.

       • Запретить изменение параметров учетной записи

         Возможность добавлять на iOS MDM-устройстве новые учетные записи (например, учетные записи электронной почты) и изменять параметры учетных записей.

         Если флажок снят, пользователь мобильного устройства может добавлять новые учетные записи, а также изменять параметры существующих учетных записей.

         Если флажок установлен, пользователю мобильного устройства запрещено добавлять новые учетные записи, а также изменять параметры существующих учетных записей.

         По умолчанию флажок снят.

     • В разделе Безопасность и конфиденциальность:
       • Запретить отправлять в Apple диагностические и персональные данные

         Автоматическое получение диагностической информации и сведений об использовании iOS MDM-устройства и отправка отчета с этими данными в компанию Apple для анализа.

         Если флажок снят, пользователь после предупреждения может разрешить отправку отчетов с диагностической информацией и сведений об использовании мобильного устройства в компанию Apple.

         Если флажок установлен, отправка отчетов с диагностической информацией и сведениями об использовании мобильного устройства в компанию Apple блокируется.

         По умолчанию флажок снят.

       • Запретить изменение пароля

         Возможность установки, изменения или удаления пароля разблокировки мобильного устройства.

         Если флажок снят, пользователь может установить, изменить или удалить пароль для разблокировки мобильного устройства.

         Если флажок установлен, управление паролем разблокировки устройства недоступно.

         По умолчанию флажок снят.

       • Запретить изменение параметров Touch ID и Face ID

         Возможность добавления и удаления отпечатков Touch ID или данных Face ID.

         Если флажок снят, пользователь может добавлять и удалять отпечатки Touch ID или данные Face ID.

         Если флажок установлен, управление отпечатками Touch ID и данными Face ID недоступно.

         По умолчанию флажок снят.

       • Запретить использование Touch ID и Face ID для разблокировки устройства

         Touch ID и Face ID позволяют использовать отпечаток пальца или распознавание лица как пароль для разблокировки iOS MDM-устройства. Touch ID и Face ID также можно использовать для авторизации покупок с помощью Apple Pay, iTunes Store, App Store, Book Store и входа в приложения.

         Если флажок снят, пользователь может использовать отпечаток пальца или распознавание лица вместо ввода пароля для разблокировки мобильного устройства.

         Если флажок установлен, пользователь не может использовать Touch ID и Face ID для разблокирования мобильного устройства.

         По умолчанию флажок снят.

       • Запрашивать пароль для каждой покупки в iTunes Store

         Использование пароля при покупке медиаконтента в iTunes Store.

         Если флажок установлен, перед совершением первой покупки в iTunes Store пользователь должен задать пароль в параметрах ограничения покупок и в дальнейшем использовать его для предотвращения случайных и несанкционированных покупок. После проверки подлинности учетной записи при совершении покупок не требуется повторно вводить пароль в течение следующих 15 минут.

         Если флажок снят, перед совершением покупок в iTunes Store пользователю не требуется вводить пароль.

         По умолчанию флажок снят.

       • Запрашивать пароль при первом подключении по AirPlay

         Использование пароля при подключении iOS MDM-устройства к устройствам, совместимым с AirPlay. Пароль применяется для безопасной передачи медиаконтента.

         Если флажок установлен, перед первым подключением мобильного устройства к устройствам, совместимым с AirPlay, пользователь должен задать пароль в параметрах безопасности AirPlay и в дальнейшем использовать его.

         Если флажок снят, пользователь самостоятельно принимает решение об использовании пароля при подключении мобильного устройства к устройствам, совместимым с AirPlay.

         По умолчанию флажок снят.

       • Запретить установку конфигурационных профилей

         Использование дополнительных конфигурационных профилей на iOS MDM-устройстве.

         Если флажок снят, пользователь может устанавливать дополнительные конфигурационные профили на мобильное устройство.

         Если флажок установлен, пользователь не может устанавливать дополнительные конфигурационные профили на мобильное устройство.

         По умолчанию флажок снят.

       • Запретить сторонние соединения

         Защита iOS MDM-устройства от сторонних соединений. Стороннее соединение – это соединение с другими устройствами, а также синхронизация с сервисами Apple, например, с iTunes.

         Если флажок снят, пользователь может синхронизировать iOS MDM-устройство с другими устройствами, а также с сервисами Apple.

         Если флажок установлен, сторонние соединения на мобильном устройстве пользователя блокируются.

         По умолчанию флажок снят.

       • Запретить изменение параметров отправки диагностических данных

         Автоматическое получение диагностической информации и сведений об использовании iOS MDM-устройства и отправка отчета с этими данными в компанию Apple для анализа.

         Если флажок снят, пользователь может настраивать отправку отчетов с диагностической информацией и сведений об использовании мобильного устройства в компанию Apple.

         Если флажок установлен, настройка параметров отправки отчетов с диагностической информацией недоступна.

         По умолчанию флажок снят.

     • В разделе iCloud:
       • Запретить резервное копирование в iCloud

         Автоматическое резервное копирование данных с iOS MDM-устройства в iCloud. В ходе резервного копирования не создаются копии данных, которые уже хранятся в iCloud. Также не создаются копии медиаконтента, который был получен в результате синхронизации устройства с компьютером, а не приобретен в iTunes Store.

         Если флажок снят, пользователь может сохранять резервные копии данных мобильного устройства в iCloud. Резервные копии данных ежедневно сохраняются в iCloud, когда устройство включено, заблокировано и подключено к источнику питания.

         Если флажок установлен, пользователь не может сохранять резервные копии данных мобильного устройства в iCloud.

         По умолчанию флажок снят.

       • Запретить хранение документов и данных в iCloud

         Автоматическое резервное копирование документов в iCloud. Документы iCloud можно открывать и редактировать на других устройствах, на которых настроена служба iCloud.

         Если флажок снят, пользователь может сохранять документы в iCloud, открывать и редактировать их на других устройствах в приложениях, поддерживающих работу с iCloud (например, в TextEdit).

         Если флажок установлен, пользователю запрещено сохранять документы в iCloud.

         По умолчанию флажок снят.

       • Запретить Связку ключей iCloud

         Автоматическая синхронизация учетных данных пользователя iOS MDM-устройства с другими Apple-устройствами пользователя. Синхронизированные данные хранятся в Связке ключей iCloud. Данные в Связке ключей iCloud шифруются. Связка ключей iCloud позволяет сохранить в iCloud следующие данные:

         • учетные записи сайтов;
         • номера банковских карт и сроки их действия;
         • пароли от беспроводных сетей.

         Если флажок снят, пользователь может синхронизировать данные своих учетных записей с другими своими устройствами Apple.

         Если флажок установлен, пользователю запрещено использовать Связку ключей iCloud на мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить управляемым приложениям хранить данные в iCloud

         Создание резервной копии данных управляемых приложений в iCloud.

         Если флажок снят, пользователь может хранить данные управляемых приложений в iCloud.

         Если флажок установлен, пользователю недоступно хранение корпоративных данных в iCloud.

         По умолчанию флажок снят.

       • Запретить резервное копирование корпоративных книг

         Резервное копирование корпоративных книг с помощью iCloud или iTunes. Вы можете предоставить доступ к корпоративным книгам, разместив их на веб-сервере компании.

         Если флажок снят, пользователю доступно резервное копирование корпоративных книг с помощью iCloud или iTunes.

         Если флажок установлен, резервное копирование корпоративных книг невозможно.

         По умолчанию флажок снят.

       • Запретить синхронизировать заметки и выделения цветом в корпоративных книгах

         Возможность синхронизировать заметки, закладки, а также выделенный цветом текст в корпоративных книгах с помощью iCloud.

         Если флажок снят, пользователь может синхронизировать заметки, закладки и выделенный текст в корпоративных книгах. При этом изменения будут доступны на всех Apple-устройствах пользователя, подключенных к iCloud.

         Если флажок установлен, заметки, закладки и выделенный текст будут доступны только на этом мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить общий доступ к фото в iCloud

         Использование функции общий доступ к фото в iCloud на iOS MDM-устройстве для предоставления другим пользователям доступа к фотографиям и видео на сервере iCloud. У других пользователей должна быть настроена функция общий доступ к фото в iCloud.

         Если флажок снят, пользователю мобильного устройства доступна функция общий доступ к фото в iCloud. Пользователи других устройств могут просматривать фотографии и видео пользователя, оставлять комментарии, а также добавлять свои фотографии и видео. Также пользователь может получить доступ к данным других пользователей на сервере iCloud.

         Если флажок установлен, функция общий доступ к фото в iCloud недоступна пользователю мобильного устройства. Пользователь не может предоставлять доступ к своим фотографиям и видео на сервере iCloud другим пользователям, а также получить доступ к данным других пользователей на сервере iCloud.

         По умолчанию флажок снят.

       • Запретить медиатеку iCloud

         Использование медиатеки iCloud для автоматической отправки сделанных фотографий и видео с iOS MDM-устройства на другие Apple-устройства пользователя.

         Если флажок снят, пользователю доступна медиатека iCloud при работе с приложением "Фото".

         Если флажок установлен, пользователю недоступна медиатека iCloud. Фотографии и видео пользователя, сохраненные в медиатеке iCloud, удаляются с сервера iCloud.

         По умолчанию флажок снят.

     • В разделе Сертификаты.
       • Запретить пользователям использовать недоверенные TLS-сертификаты

         Использование недоверенных TLS-сертификатов для обеспечения зашифрованного канала связи между приложениями на iOS MDM-устройстве (Почта, Контакты, Календарь, Safari) и корпоративными ресурсами.

         Если флажок снят, пользователь после предупреждения может разрешить использование недоверенного TLS-сертификата.

         Если флажок установлен, использование недоверенных TLS-сертификатов заблокировано.

         По умолчанию флажок снят.

       • Запретить автоматическое обновление доверенных сертификатов

         Автоматические обновления доверенных сертификатов на iOS MDM-устройстве.

         Если флажок снят, изменения в параметрах доверия сертификата принимаются автоматически.

         Если флажок установлен, изменения в параметрах доверия сертификата автоматически не принимаются. Пользователь после предупреждения может самостоятельно принять изменения в параметрах доверия сертификата.

         По умолчанию флажок снят.

   • Ограничения на вкладке Приложения:
     • В разделе Общие:
       • Запретить использование камеры

         Использование камеры на мобильном устройстве пользователя.

         Если флажок снят, пользователь может использовать камеру устройства.

         Если флажок установлен, камера на мобильном устройстве выключена. Пользователь не может делать фотографии, снимать видео и использовать приложение FaceTime. На главном экране устройства значок камеры отсутствует.

         По умолчанию флажок снят.

       • Запретить FaceTime

         Использование приложения FaceTime на мобильном устройстве пользователя. Флажок доступен, если на устройстве разрешено использование камеры. Параметр доступен, если снят флажок Запретить использование камеры.

         Если флажок снят, пользователь может делать и принимать видеозвонки с помощью FaceTime.

         Если флажок установлен, на мобильном устройстве пользователя выключено приложение FaceTime. Пользователь не может делать видеозвонки, а также получать их.

         По умолчанию флажок снят.

       • Запретить iMessage

         Использование службы iMessage на мобильном устройстве пользователя.

         Если флажок снят, пользователь может отправлять и принимать сообщения с помощью службы iMessage.

         Если флажок установлен, служба iMessage недоступна на мобильном устройстве. Пользователь не может отправлять и получать сообщения iMessage.

         По умолчанию флажок снят.

       • Запретить Book Store

         Доступ в интернет-магазин Book Store из приложения "Книги" на мобильном устройстве пользователя.

         Если флажок снят, пользователь может переходить в интернет-магазин Book Store из приложения "Книги", установленного на устройстве.

         Если флажок установлен, пользователь не может переходить в Book Store из приложения "Книги".

         По умолчанию флажок снят.

       • Запретить устанавливать приложения из Apple Configurator и iTunes

         Возможность самостоятельно устанавливать приложения на iOS MDM-устройство.

         Если флажок снят, пользователь может самостоятельно устанавливать или обновлять приложения на мобильном устройстве из App Store с помощью iTunes или Apple Configurator.

         Если флажок установлен, пользователь не может устанавливать или обновлять на мобильном устройстве приложения из App Store с помощью iTunes или Apple Configurator. Установка и обновления доступны только для корпоративных приложений. Значок App Store удален с главного экрана iOS MDM-устройства.

         По умолчанию флажок снят.

       • Запретить устанавливать приложения из App Store

         Возможность самостоятельно устанавливать приложения на мобильное устройство из App Store. Флажок доступен, если снят флажок Запретить устанавливать приложения из Apple Configurator и iTunes.

         Если флажок снят, пользователь может самостоятельно устанавливать или обновлять приложения из App Store.

         Если флажок установлен, пользователь не может устанавливать или обновлять приложения на мобильном устройстве из App Store. Значок App Store удален с главного экрана iOS MDM-устройства.

         По умолчанию флажок снят.

       • Запретить автоматическую загрузку приложений

         Использование автоматической загрузки приложений на мобильном устройстве пользователя. Флажок доступен, если снят флажок Запретить устанавливать приложения из Apple Configurator и iTunes.

         Если флажок снят, автоматическая загрузка приложений доступна для пользователя. После включения этой функции приложения, которые пользователь загрузил из App Store, автоматически устанавливаются на другие Apple-устройства пользователя.

         Если флажок установлен, автоматическая загрузка приложений выключена и недоступна.

         По умолчанию флажок снят.

       • Запретить встроенные покупки

         Использование системы встроенных покупок на мобильном устройстве.

         Если флажок снят, пользователь может совершать покупки в приложениях, установленных на мобильном устройстве.

         Если флажок установлен, пользователь не может совершать покупки в приложениях, установленных на мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить доверять новым корпоративным разработчикам

         Возможность настроить доверие к корпоративным приложениям на мобильном устройстве. Вы можете разработать корпоративные приложения и распространить их среди сотрудников для внутреннего использования. Для работы с корпоративным приложением пользователь мобильного устройства должен сделать его доверенным.

         Если флажок снят, пользователь может настраивать доверие к корпоративным приложениям.

         Если флажок установлен, пользователь не может установить доверие к корпоративным приложениям при установке приложения вручную.

         По умолчанию флажок снят.

       • Запретить удалять приложения

         Возможность удаления приложений с мобильного устройства.

         Если флажок снят, пользователь может удалять с устройства приложения, которые были установлены из App Store или с помощью iTunes.

         Если флажок установлен, пользователь не может удалять с мобильного устройства приложения, которые были установлены из App Store или с помощью iTunes.

         По умолчанию флажок снят.

     • В разделе AirPrint:
       • Запретить AirPrint

         Установка или снятие флажка определяет, может ли пользователь устройства использовать AirPrint.

         По умолчанию флажок снят.

       • Запретить хранение учетных данных AirPrint

         Установка или снятие флажка определяет, может ли пользователь устройства хранить связку ключей для имени пользователя и пароля для AirPrint.

         Ограничение поддерживается на устройствах с iOS 11 и выше.

         По умолчанию флажок снят.

       • Запретить обнаружение iBeacon для принтеров AirPrint

         Установка или снятие флажка определяет, включено ли обнаружение iBeacon для принтеров AirPrint. Отключение обнаружения iBeacon для принтеров AirPrint предотвращает фишинг сетевого трафика ложными маяками AirPrint Bluetooth.

         Ограничение поддерживается на устройствах с iOS 11 и выше.

         По умолчанию флажок снят.

       • Принудительно использовать доверенный TLS-сертификат для AirPrint

         Установка или снятие флажка определяет необходимость использования доверенного сертификата для передачи данных для печати по протоколу TLS.

         Ограничение поддерживается на устройствах с iOS 11 и выше.

         По умолчанию флажок снят.

     • В разделе AirDrop:
       • Запретить AirDrop

         Использование функции AirDrop для передачи данных пользователя с iOS MDM-устройства на другие устройства Apple.

         Если флажок снят, пользователь может использовать AirDrop для передачи данных на другие устройства Apple.

         Если флажок установлен, пользователю запрещено передавать данные на другие устройства Apple с помощью AirDrop.

         По умолчанию флажок снят.

       • Считать AirDrop управляемым приложением

         Использование AirDrop в качестве управляемого приложения для передачи данных с мобильного устройства на другие устройства Apple. Для работы этого ограничения необходимо установить флажок Запретить передачу документов из управляемых приложений в неуправляемые. Неуправляемые приложения – приложения, установленные, настроенные и управляемые пользователем мобильного устройства.

         Если флажок снят, AirDrop считается неуправляемым приложением.

         Если флажок установлен, AirDrop считается управляемым приложением.

         По умолчанию флажок снят.

     • В разделе Apple Music:
       • Запретить Apple Music

         Прослушивание музыки на мобильном устройстве пользователя с помощью сервиса Apple Music.

         Если флажок снят, пользователь может прослушивать музыку на мобильном устройстве в приложении "Музыка".

         Если флажок установлен, сервис Apple Music недоступен для пользователя.

         По умолчанию флажок снят.

       • Запретить радио в Apple Music

         Прослушивание радио с помощью сервиса Apple Music на мобильном устройстве пользователя.

         Если флажок снят, пользователь может прослушивать радио в приложении "Музыка" на мобильном устройстве.

         Если флажок установлен, прослушивание радио недоступно для пользователя.

         По умолчанию флажок снят.

     • В разделе Apple Watch:
       • Выключить распознавание запястья для Apple Watch

         Автоматическое блокирование Apple Watch, когда пользователь снимает часы с руки.

         Если флажок снят, часы Apple Watch блокируются, когда пользователь снимает их с руки. Для разблокирования пользователь должен ввести пароль на своем мобильном устройстве.

         Если флажок установлен, блокировка Apple Watch после снятия с руки недоступна.

         По умолчанию флажок снят.

       • Запретить создавать пару с Apple Watch

         Создание пары Apple Watch и контролируемого мобильного устройства.

         Если флажок снят, пользователь контролируемого мобильного устройства может создать пару с Apple Watch.

         Если флажок установлен, создание пары с Apple Watch недоступно.

         По умолчанию флажок снят.

     • В разделе Siri:
       • Запретить использование Siri

         Использование приложения Siri на мобильном устройстве пользователя.

         Если флажок снят, пользователь может использовать голосовые команды Siri на мобильном устройстве.

         Если флажок установлен, пользователь не может использовать голосовые команды Siri на мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить на заблокированном устройстве

         Использование голосовых команд Siri, когда мобильное устройство пользователя заблокировано. На мобильном устройстве пользователя должен быть установлен пароль.

         Если флажок снят, пользователь может использовать голосовые команды Siri на заблокированном мобильном устройстве.

         Если флажок установлен, пользователю запрещено использовать голосовые команды Siri на заблокированном устройстве.

         По умолчанию флажок снят.

       • Запретить фильтр нецензурной лексики

         Фильтрация нецензурной лексики при использовании приложения Siri на мобильном устройстве пользователя.

         Если флажок снят, при использовании Siri фильтруется нецензурная лексика.

         Если флажок установлен, при использовании Siri нецензурная лексика не фильтруется.

         По умолчанию флажок снят.

       • Запретить Siri поиск в интернете

         Этот параметр запрещает Siri использовать поиск в интернете для голосовых команд на iOS MDM-устройстве.

         Если флажок снят, Siri может искать в интернете ответы на вопросы пользователя.

         Если флажок установлен, Siri не сможет искать информацию в интернете.

         По умолчанию флажок снят.

     • В разделе Локатор:
       • Запретить поиск устройств в приложении "Локатор"

         Установка или снятие флажка определяет, может ли пользователь искать устройства в приложении "Локатор".

         Ограничение поддерживается на устройствах с iOS 13 и выше.

         По умолчанию флажок снят.

       • Запретить поиск друзей в приложении "Локатор"

         Установка или снятие флажка определяет, может ли пользователь устройства искать друзей в приложении "Локатор".

         Ограничение поддерживается на устройствах с iOS 13 и выше.

         По умолчанию флажок снят.

     • В разделе Класс:
       • Запретить просматривать экраны в "Классе"

         Возможность для преподавателя просматривать экраны iPad студентов с помощью программы "Класс".

         Если флажок снят, преподаватель может просматривать экраны iPad студентов в программе "Класс".

         Если флажок установлен, преподаватель не может просматривать экраны iPad студентов в программе "Класс".

         По умолчанию флажок снят.

   • Ограничения на вкладке Хранилище:
     • В разделе Общие:
       • Запретить доступ к USB-устройствам в приложении "Файлы"

         Если флажок снят, пользователь может получать доступ к USB-устройствам в приложении "Файлы".

         Если флажок установлен, доступ к подключенным USB-устройствам в приложении "Файлы" заблокирован.

         Параметр доступен для мобильных устройств под управлением iOS 13.1 и выше.

         По умолчанию флажок снят.

       • Выключать доступ к USB-устройствам, когда устройство заблокировано

         Определяет, включен ли режим USB Restricted Mode, когда устройство заблокировано.

         Если флажок установлен, подключение заблокированного устройства к USB-накопителям ограничено с помощью USB Restricted Mode.

         Если флажок снят, устройству разрешено подключаться к USB-накопителям, когда оно заблокировано.

         Параметр доступен для мобильных устройств под управлением iOS 11.4.1 и выше.

         По умолчанию флажок снят.

   • Ограничения на закладке Сеть:
     • В разделе Общие:
       • Запретить использование NFC

         Если флажок снят, использование NFC разрешено.

         Если флажок установлен, использование NFC запрещено.

         Параметр доступен для мобильных устройств под управлением iOS 14.2 и выше.

         По умолчанию флажок снят.

       • Запретить создавать конфигурации VPN

         Если флажок снят, пользователь может создать конфигурацию VPN на управляемом устройстве.

         Если флажок установлен, пользователь не может создать конфигурацию VPN на управляемом устройстве.

         Параметр доступен для мобильных устройств под управлением iOS 11 и выше.

         По умолчанию флажок снят.

       • Запретить изменение параметров eSIM

         Установка или снятие флажка определяет, может ли пользователь устройства изменять настройки, связанные с тарифным планом.

         Ограничение поддерживается на устройствах с iOS 11 и выше.

         По умолчанию флажок снят.

     • В разделе Wi-Fi:
       • Принудительно включать Wi-Fi

         Определяет, должен ли Wi-Fi на управляемом устройстве всегда быть включен. Устройство может подключаться к любой сети Wi-Fi.

         Если флажок установлен, Wi-Fi на устройстве всегда включен, даже в авиарежиме. Пользователь не может выключить Wi-Fi в настройках устройства.

         Если флажок снят, пользователь может выключить Wi-Fi в настройках устройства.

         Параметр доступен для мобильных устройств под управлением iOS 13 и выше.

         По умолчанию флажок снят.

       • Принудительно подключаться только к разрешенным сетям Wi-Fi

         Определяет, может ли устройство подключаться только к разрешенным сетям Wi-Fi. Эта функция доступна, если хотя бы одна сеть Wi-Fi добавлена в список сетей Wi-Fi в разделе Wi-Fi.

         Если флажок установлен, устройство подключается только к разрешенным сетям Wi-Fi. Пользователь не может выключить Wi-Fi в настройках устройства.

         Если флажок снят, пользователь может подключиться к любой сети Wi-Fi.

         Параметр доступен для мобильных устройств под управлением iOS 14.5 и выше.

         По умолчанию флажок снят.

       • Запретить изменять настройки Режима модема

         Если флажок снят, пользователь устройства может изменять настройки Режима модема.

         Если флажок установлен, пользователь устройства не может изменять настройки Режима модема.

         Параметр доступен для мобильных устройств под управлением iOS 12.2 и выше.

         По умолчанию флажок снят.

     • В разделе Bluetooth:
       • Запретить изменять настройки Bluetooth

         Если флажок снят, пользователь может изменять настройки Bluetooth на мобильном устройстве.

         Если флажок установлен, настройки Bluetooth нельзя изменять на мобильном устройстве.

         Параметр доступен для мобильных устройств под управлением iOS 11 и выше.

         По умолчанию флажок снят.

     • В разделе Сотовая связь:
       • Запретить автоматическую синхронизацию в роуминге

         Запретить автоматическую синхронизацию данных пользователя, когда iOS MDM-устройство находится в роуминге.

         Если флажок снят, пользователь может включить автоматическую синхронизацию данных в роуминге. Включение автоматической синхронизации в роуминге может привести к непредвиденным расходам на мобильную связь.

         Если флажок установлен, пользователю запрещено использовать автоматическую синхронизацию данных в роуминге.

         По умолчанию флажок снят.

       • Запретить изменение параметров сотовой связи

         Возможность настройки передачи данных по сотовой сети приложениями, установленными на мобильном устройстве.

         Если флажок снят, пользователь может настраивать параметры передачи данных по сотовой сети.

         Если флажок установлен, изменение настроек передачи данных приложениями по сотовой сети недоступно.

         По умолчанию флажок снят.

   • Ограничения на вкладке Дополнительные параметры:
     • В разделе Экран:
       • Запретить изменение обоев

         Возможность выбрать изображение, которое будет отображаться на экране блокировки или экране "Домой".

         Если флажок снят, пользователь может выбрать обои для мобильного устройства.

         Если флажок установлен, выбор обоев недоступен.

         По умолчанию флажок снят.

     • В разделе Текст:
       • Запретить проверку правописания

         Использование функции правописания при наборе текста на мобильном устройстве. Проверка правописания подчеркивает неправильно введенные слова и предлагает варианты замены.

         Если флажок снят, пользователь может включить и использовать функцию правописания.

         Если флажок установлен, при наборе текста проверка правописания недоступна.

         По умолчанию флажок снят.

       • Запретить автокоррекцию

         Использование функции автокоррекции при наборе текста.

         Если флажок снят, пользователь может включить и использовать функцию автокоррекции.

         Если флажок установлен, при наборе текста автокоррекция недоступна.

         По умолчанию флажок снят.

       • Запретить поиск слова в словаре

         Использование словаря для получения определений слов на мобильном устройстве. Словарь является функцией только виртуальной клавиатуры.

         Если флажок снят, пользователь может выделить любое слово на экране мобильного устройства и получить его определение.

         Если флажок установлен, поиск слова в словаре недоступен.

         По умолчанию флажок снят.

     • В разделе Клавиатура:
       • Запретить предиктивный набор

         Использование функции предиктивного набора текста. Функция предиктивного набора текста показывает варианты окончания слов и предложений на основе имеющихся словарей.

         Если флажок снят, пользователь может включить и использовать функцию предиктивного набора текста.

         Если флажок установлен, функция предиктивного набора текста недоступна. При наборе текста подсказки не отображаются.

         По умолчанию флажок снят.

       • Запретить сочетания клавиш

         Использование сочетаний клавиш для быстрого доступа к функциям мобильного устройства.

         Если флажок снят, пользователь может включить функцию сочетания клавиш и использовать ее при работе с мобильным устройством.

         Если флажок установлен, функция сочетания клавиш недоступна.

         По умолчанию флажок снят.

     • В разделе Уведомления:
       • Запретить Wallet показывать уведомления на заблокированном экране

         Использование уведомлений приложения Wallet на экране блокировки iOS MDM-устройства.

         Если флажок снят, на экране блокировки мобильного устройства отображаются уведомления Wallet.

         Если флажок установлен, уведомления Wallet на экране блокировки мобильного устройства не отображаются. Для работы с Wallet пользователь должен разблокировать устройство.

         По умолчанию флажок снят.

       • Скрывать Пункт управления на заблокированном экране

         Возможность перейти в Пункт управления iOS MDM-устройством, когда устройство заблокировано.

         Если флажок снят, пользователь может перейти в Пункт управления, когда мобильное устройство заблокировано.

         Если флажок установлен, пользователь не может перейти в Пункт управления, когда мобильное устройство заблокировано.

         По умолчанию флажок снят.

       • Скрывать Центр уведомлений на заблокированном экране

         Возможность перейти в Центр уведомлений iOS MDM-устройства, когда оно заблокировано.

         Если флажок снят, пользователь может перейти в Центр уведомлений, смахнув экран блокировки вниз.

         Если флажок установлен, пользователь не может перейти в Центр уведомлений, когда мобильное устройство заблокировано.

         По умолчанию флажок снят.

       • Скрывать представление "Сегодня" на заблокированном экране

         Отображение сведений из представления "Сегодня" на заблокированном iOS MDM-устройстве. В представлении "Сегодня" Центра уведомлений отображаются следующие сведения:

         • события в календаре;
         • напоминания;
         • акции;
         • погода.

         Если флажок снят, пользователь может просматривать уведомления из представления "Сегодня" на заблокированном мобильном устройстве.

         Если флажок установлен, представление "Сегодня" не отображается на заблокированном мобильном устройстве.

         По умолчанию флажок снят.

       • Запретить изменение параметров уведомлений

         Возможность настройки отображения уведомлений на мобильном устройстве.

         Если флажок снят, пользователь может настроить параметры отображения уведомлений на мобильном устройстве.

         Если флажок установлен, настройка параметров отображения уведомлений недоступна.

         По умолчанию флажок снят.

   • Ограничения на закладке Обновление ПО:
     • В разделе Общие:
       • Отложить обновление операционной системы (дней)

         Позволяет отложить обновления операционной системы на устройстве.

         Если флажок установлен, пользователь не может получить доступ к обновлениям в течение указанного периода. По умолчанию установлен период 30 дней. Вы можете указать другой период в поле Количество дней от 1 до 90.

         Если флажок снят, пользователь может устанавливать обновления, как только они становятся доступны.

         Параметр доступен для мобильных устройств под управлением iOS 11.3 и выше.

         По умолчанию флажок снят.

7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

В результате после применения политики на мобильном устройстве пользователя будут настроены ограничения функций.

Настройка ограничений приложений

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Ограничения.
4. На карточке Ограничения приложений нажмите Параметры.

   Откроется окно Ограничения приложений.

5. Включите параметры с помощью переключателя Ограничения приложений.
6. Настройте ограничения приложений на iOS MDM-устройствах.

   Список ограничений приложений

   Ограничения в разделе Safari:

   • Разрешить использование Safari

     Использование браузера Safari на iOS MDM-устройстве.

     Если флажок установлен, пользователь может использовать браузер Safari.

     Если флажок снят, пользователю запрещено использовать браузер Safari. Значок Safari скрыт с главного экрана iOS MDM-устройства.

     По умолчанию флажок установлен.

   • Разрешить использование автозаполнения

     Сохранение и автоматическая подстановка данных, которые пользователь вводит при заполнении веб-форм в браузере Safari.

     Если флажок установлен, пользовательские данные, введенные в веб-формы, будут сохраняться. Позднее они будут автоматически подставляться в веб-формы.

     Если флажок снят, пользовательские данные не подставляются в веб-формы.

     По умолчанию флажок установлен.

   • Предупреждать пользователя о переходе на опасный сайт

     Параметр, включающий предупреждение пользователя перед посещением сайта, который решение Kaspersky Mobile Devices Protection and Management признало опасным.

     Если флажок установлен, Kaspersky Mobile Devices Protection and Management предупреждает пользователя при посещении опасных сайтов.

     Если флажок снят, Kaspersky Mobile Devices Protection and Management не предупреждает пользователя о посещении опасных сайтов.

     По умолчанию флажок снят.

   • Разрешить использование JavaScript

     Использование JavaScript браузером Safari.

     Если флажок установлен, браузер Safari использует JavaScript при открытии сайтов.

     Если флажок снят, браузер Safari не использует JavaScript при открытии сайтов.

     По умолчанию флажок установлен.

   • Блокировать всплывающие окна

     Блокирование всплывающих окон в браузере Safari.

     Если флажок установлен, Kaspersky Mobile Devices Protection and Management блокирует всплывающие окна в браузере Safari.

     Если флажок снят, Kaspersky Mobile Devices Protection and Management не блокирует всплывающие окна в браузере Safari.

     По умолчанию флажок снят.

   • Параметры cookie

     Выбор условия приема файлов cookie:

     • Разрешить cookie и отслеживание на сайтах. Браузер Safari принимает файлы cookie и позволяет отслеживать действия пользователей.
     • Разрешить cookie и запретить отслеживание на сайтах. Браузер Safari принимает файлы cookie и блокирует отслеживание действий пользователей.
     • Запретить cookie и отслеживание на сайтах. Браузер Safari блокирует файлы cookie и отслеживание действий пользователей.

     Значение по умолчанию: Разрешить cookie и отслеживание на сайтах.

   Ограничения в разделе Game Center:

   • Разрешить использование Game Center

     Доступ к игровому сервису Game Center из приложения Game Center на iOS MDM-устройстве.

     Если флажок установлен, пользователь может переходить в игровой сервис Game Center из приложения Game Center на мобильном устройстве.

     Если флажок снят, пользователь не может переходить в игровой сервис Game Center из приложения Game Center на мобильном устройстве. Значок Game Center удален с главного экрана iOS MDM-устройства.

     По умолчанию флажок установлен.

   • Разрешить добавление друзей в Game Center

     Добавление пользователей в игровом сервисе Game Center на iOS MDM-устройстве.

     Если флажок установлен, пользователь может добавлять других пользователей в игровом сервисе Game Center на мобильном устройстве.

     Если флажок снят, пользователю запрещено добавлять других пользователей в игровом сервисе Game Center на мобильном устройстве.

     По умолчанию флажок установлен.

   • Разрешить многопользовательские игры в Game Center

     Использование игрового сервиса Game Center в многопользовательском режиме на iOS MDM-устройстве.

     Если флажок установлен, пользователь может участвовать в многопользовательских играх в приложении Game Center на мобильном устройстве.

     Если флажок снят, пользователь не может участвовать в многопользовательских играх в приложении Game Center на мобильном устройстве.

     Даже если флажок снят, пользователи могут вместе играть в игры с помощью SharePlay или сторонней службы.

     По умолчанию флажок установлен.

   Ограничения в разделе Дополнительные параметры:

   • Разрешить использование iTunes Store

     Доступ к медиасервису iTunes Store из приложения iTunes на iOS MDM-устройстве.

     Если флажок установлен, пользователь может просматривать, покупать и загружать медиаконтент из сервиса iTunes Store с помощью приложения iTunes на мобильном устройстве.

     Если флажок снят, пользователь не может просматривать, покупать и загружать медиаконтент из сервиса iTunes Store с помощью приложения iTunes на мобильном устройстве. Значок iTunes скрыт с главного экрана iOS MDM-устройства.

     По умолчанию флажок установлен.

   • Разрешить использование News

     Просмотр новостей на мобильном устройстве пользователя с помощью приложения News.

     Если флажок установлен, пользователь может просматривать новости с помощью приложения News.

     Если флажок снят, приложение News недоступно для пользователя.

     По умолчанию флажок установлен.

   • Разрешить использование приложения "Подкасты"

     Прослушивание подкастов на мобильном устройстве пользователя с помощью приложения "Подкасты".

     Если флажок установлен, пользователь может искать, воспроизводить и загружать подкасты с помощью приложения "Подкасты".

     Если флажок снят, загрузка подкастов на мобильное устройства недоступна.

     По умолчанию флажок установлен.

7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

В результате после применения политики на мобильном устройстве пользователя будут настроены ограничения приложений.

Настройка ограничений медиаконтента

Категории, используемые для ограничений медиаконтента, определяются Apple. В некоторых случаях фактические результаты настройки ограничений медиаконтента могут отличаться от ожидаемых.

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Ограничения.
4. На карточке Ограничения медиаконтента нажмите Параметры.

   Откроется окно Ограничения медиаконтента.

5. Включите параметры с помощью переключателя Ограничения медиаконтента.
6. Настройте ограничения медиаконтента на iOS MDM-устройствах.

   Список ограничений медиаконтента

   Регион

   Выбор страны, система рейтингов которой автоматически применяется к медиаконтенту на iOS MDM-устройстве.

   По умолчанию выбрано значение United States.

   Параметры в разделе Возрастной рейтинг:

   • Видео

     Выбор ограничительного рейтинга для доступа к фильмам на iOS MDM-устройстве.

     Список рейтингов зависит от выбранного региона.

     Если выбран вариант Разрешить все, пользователь может просматривать любые фильмы на мобильном устройстве.

     Вариант Разрешить все выбран по умолчанию.

   • Телевизионные передачи

     Выбор ограничительного рейтинга для доступа к телевизионным передачам на iOS MDM-устройстве.

     Список рейтингов зависит от выбранного региона.

     Если выбран вариант Разрешить все, пользователь может просматривать любые телевизионные передачи на мобильном устройстве.

     Вариант Разрешить все выбран по умолчанию.

   • Приложения

     Выбор ограничительного рейтинга для доступа к сторонним приложениям на iOS MDM-устройстве.

     Список рейтингов зависит от выбранной системы рейтингов.

     Если выбран вариант Разрешить все, пользователь может использовать любые сторонние приложения на мобильном устройстве.

     Вариант Разрешить все выбран по умолчанию.

     Ограничения приложений могут применяться даже в том случае, если выбран вариант Разрешить все. Это связано с проблемой, известной Apple.

   • Разрешить загрузку книг с пометкой "эротика" в Apple Books

     Доступ к контенту c содержанием для взрослых в интернет-магазине Book Store на мобильном устройстве пользователя.

     Если флажок установлен, пользователь может загрузить контент с содержанием для взрослых из приложения "Книги" на iOS MDM-устройство.

     Если флажок снят, пользователь не может загрузить контент с содержанием для взрослых из приложения "Книги" на iOS MDM-устройство.

     По умолчанию флажок установлен.

   • Разрешить воспроизведение откровенного контента

     Доступ к откровенному медиаконтенту из приложения iTunes Store на iOS MDM-устройстве. Ограничения накладываются провайдерами iTunes Store.

     Если флажок установлен, откровенный медиаконтент, приобретенный в iTunes Store, доступен пользователю мобильного устройства.

     Если флажок снят, откровенный медиаконтент, приобретенный в iTunes Store, скрыт от пользователя мобильного устройства.

     По умолчанию флажок установлен.

7. Нажмите OK.
8. Нажмите Сохранить, чтобы сохранить внесенные изменения.

В результате после применения политики на мобильном устройстве пользователя будут настроены ограничения медиаконтента.

[Topic 274745]

Настройка доступа пользователей к сайтам

В этом разделе содержатся инструкции по настройке доступа к сайтам на Android- и iOS-устройствах.

[Topic 274753]

Настройка доступа к сайтам на Android-устройствах

Вы можете настраивать доступ пользователей Android-устройств к сайтам с помощью Веб-Контроля. Веб-Контроль поддерживает фильтрацию сайтов по категориям, определенным в облачной службе Kaspersky Security Network. Фильтрация позволяет вам ограничить доступ пользователей к отдельным сайтам или категориям сайтов (например, "Азартные игры, лотереи, тотализаторы" или "Общение в сети"). По умолчанию Веб-Контроль включен.

Веб-Контроль на Android-устройствах поддерживается только браузерами Google Chrome, HUAWEI Browser, Samsung Internet и Яндекс Браузер.

На корпоративных устройствах, если приложение Kaspersky Endpoint Security для Android не включено в качестве службы Специальных возможностей, Веб-Контроль поддерживается только в Google Chrome и проверяет только домен сайта. Чтобы Веб-Контроль поддерживался другими браузерами (Samsung Internet, Яндекс Браузер и HUAWEI Browser), приложение Kaspersky Endpoint Security должно быть включено в качестве службы Специальных возможностей. Это также позволит использовать функцию Custom Tabs.

Если приложение Kaspersky Endpoint Security для Android не включено в качестве службы Специальных возможностей, и параметры прокси включены в карточке Параметры Google Chrome, Веб-Контроль не будет работать.

Чтобы настроить доступ пользователя устройства к сайтам:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Контроль безопасности.
4. На карточке Веб-Контроль нажмите Параметры.

   Откроется окно Веб-Контроль.

5. Выберите один из следующих вариантов:
   • Если вы хотите, чтобы приложение ограничивало доступ пользователя к сайтам в зависимости от их содержания, выполните следующие действия:
     1. В раскрывающемся списке Режим работы выберите Запретить сайты выбранных категорий.
     2. В разделе Категории сформируйте список запрещенных категорий, установив флажки для категорий сайтов, доступ к которым приложение будет блокировать.
   • Если вы хотите, чтобы приложение разрешало или заблокировало доступ пользователя только к указанным сайтам, выполните следующие действия:
     1. В раскрывающемся списке Режим работы выберите Разрешить только указанные сайты или Разрешить любые сайты, кроме указанных.
     2. Нажмите Добавить.
     3. В открывшемся окне сформируйте список сайтов, доступ к которым приложение будет разрешать или блокировать в зависимости от значения, выбранного в раскрывающемся списке. Вы можете добавить сайты, используя ссылку (полный URL, включая протокол, например, https://example.com).

        Чтобы гарантировать, что приложение разрешает или ограничивает доступ к сайту во всех поддерживаемых версиях Google Chrome, HUAWEI Browser, Samsung Internet и Yandex Browser, добавьте один и тот же URL дважды: один раз – с указанием протокола HTTP (например, https://example.com), а другой раз – с указанием протокола HTTPS (например, https://example.com).

        Например:

        • https://example.com — главная страница сайта разрешена или заблокирована. Этот URL доступен только при использовании протокола HTTP.
        • http://example.com — главная страница сайта разрешена или заблокирована, но только при использовании протокола HTTP. Это не относится к протоколу HTTPS и другим.
        • https://example.com/page/index.html — только страница index.html разрешена или заблокирована. Это не относится к остальным страницам сайта.

        Приложение также поддерживает регулярные выражения. При вводе адреса разрешенного или запрещенного сайта используйте следующие шаблоны:

        • https://example\.com/.* — этот шаблон блокирует или разрешает все дочерние страницы сайта, доступные при использовании протокола HTTPS (например, https://example.com/about).
        • https?://example\.com/.* — этот шаблон блокирует или разрешает все дочерние страницы сайта, доступные при использовании протоколов HTTP и HTTPS.
        • https?://.*\.example\.com — этот шаблон блокирует или разрешает страницы всех субдоменов сайта (например, https://pictures.example.com).
        • https?://example\.com/[abc]/.* — этот шаблон блокирует или разрешает все дочерние страницы сайта, URL-путь которых начинается с буквы "a", "b" или "c" в качестве первого каталога (например, https://example.com/b/about).
        • https?://\w{3,5}.example\.com/.* — этот шаблон блокирует или разрешает все дочерние страницы сайта, у которых субдомен содержит от 3 до 5 букв (например, http://abde.example.com/about).

        Используйте выражение https?, чтобы выбрать оба протокола — HTTP и HTTPS. Подробнее о регулярных выражениях см. на сайте Службы технической поддержки Oracle.

     4. Нажмите Добавить.
   • Если вы хотите, чтобы приложение ограничивало доступ пользователя к любым сайтам, в разделе Режим работы в раскрывающемся списке выберите Запретить все сайты.
6. Если вы хотите, чтобы приложение проверяло полный веб-адрес при открытии сайта в Custom Tabs, установите флажок Проверять полный веб-адрес при использовании Custom Tabs.

   Custom Tabs – это встроенный браузер, в котором можно просматривать страницы, не покидая приложение и не переходя в полную версию браузера. Этот параметр обеспечивает лучшее распознавание URL-адресов и проверяет URL-адреса на соответствие настроенным правилам Веб-Контроля. Если флажок установлен, Kaspersky Endpoint Security для Android открывает сайт в полной версии браузера и проверяет полный веб-адрес сайта. Если флажок снят, Kaspersky Endpoint Security для Android проверяет только домен сайта в Custom Tabs.

   Функция Custom Tabs поддерживается браузерами Google Chrome, HUAWEI Browser и Samsung Internet.

7. Если вы хотите снять ограничения на доступ пользователей к сайтам на основе контента, выключите параметры с помощью переключателя Веб-Контроль и нажмите Выключить.
8. Нажмите OK.
9. Нажмите Сохранить, чтобы сохранить внесенные изменения.

Параметры на мобильном устройстве будут изменены после очередной синхронизации устройства с Kaspersky Security Center.

Управление списком сайтов

Для управления списком сайтов используются следующие кнопки:

• Добавить – добавляет в список сайт, заданный по URL-адресу или с помощью регулярного выражения.
• Загрузить – добавляет в список несколько сайтов из файла в формате TXT, который содержит необходимые URL-адреса или регулярные выражения. Файл должен быть закодирован в кодировке UTF-8. URL-адреса или регулярные выражения в файле должны быть разделены точкой с запятой или разрывом строки.
• Изменить – позволяет изменить адрес сайта.
• Удалить – удаляет один или несколько сайтов из списка.

[Topic 274754]

Настройка доступа к сайтам на iOS MDM-устройствах

Эти параметры применяются к устройствам в режиме "Расширенный контроль".

Настройка параметров Веб-Контроля позволяет контролировать доступ пользователей iOS MDM-устройств к сайтам. Веб-Контроль управляет доступом пользователей к сайтам на основе списков разрешенных и запрещенных сайтов. Также Веб-Контроль позволяет добавлять закладки сайтов на панель закладок Safari.

По умолчанию доступ к сайтам не ограничен.

Если веб-адрес переадресовывается на другую страницу, Веб-Контроль проверяет только конечную страницу.

Чтобы настроить доступ пользователя устройства к сайтам:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите iOS и перейдите в раздел Контроль безопасности.
4. На карточке Веб-Контроль нажмите Параметры.

   Откроется окно Веб-Контроль.

5. Включите параметры с помощью переключателя Веб-Контроль.
6. В раскрывающемся списке Режим работы выполните одно из следующих действий:
   • Если вы хотите создать список разрешенных сайтов, выберите Разрешить только указанные сайты.
   • Если вы хотите создать список запрещенных сайтов, выберите Разрешить любые сайты, кроме указанных.
7. Выполните одно из следующих действий:
   • Если вы хотите добавить сайты вручную:
     1. Нажмите Добавить.
     2. Добавьте адреса сайтов, к которым приложение будет разрешать или ограничивать доступ (в зависимости от значения, выбранного в раскрывающемся списке).

        Адрес сайта должен начинаться с http:// или https://. Kaspersky Mobile Devices Protection and Management разрешает или блокирует доступ ко всем сайтам домена. Например, если добавить в список разрешенных сайтов http://www.example.com, доступ к http://pictures.example.com и http://example.com/movies будет разрешен.

        Если вы хотите добавить разрешенный сайт в закладки Safari на мобильных устройствах, установите флажок Добавить в закладки на устройстве под адресом сайта.

     3. Нажмите Добавить.
   • Если вы хотите загрузить файл TXT со списком сайтов, нажмите Загрузить.

     Файл TXT должен быть сохранен с кодировкой UTF-8 и разрывами строк LF или CR+RF.

8. Нажмите OK.
9. Нажмите Сохранить, чтобы сохранить внесенные изменения.

В результате после применения политики на мобильных устройствах будет настроен Веб-Контроль.

[Topic 274746]

Контроль соответствия

В этом разделе приведены инструкции по контролю соблюдения корпоративных требований на устройствах и настройке правил контроля соответствия.

[Topic 274755]

Контроль соответствия Android-устройств

Вы можете проверять Android-устройства на соответствие требованиям корпоративной безопасности. Требования корпоративной безопасности регламентируют работу пользователя с устройством. Например, на устройстве должна быть включена постоянная защита, базы вредоносного ПО должны быть актуальны, пароль устройства должен быть достаточно сложным. Контроль соответствия работает на основе списка правил. Правило соответствия состоит из следующих компонентов:

• критерий проверки устройства (например, отсутствие на устройстве запрещенных приложений);
• время, выделенное пользователю устройства для устранения несоответствия (например, 24 часа);
• реакции, которые будут применены на устройстве, если пользователь не устранит несоответствие в течение указанного времени (например, блокирование устройства).

  Если устройство находится в режиме экономии заряда батареи, Kaspersky Endpoint Security для Android может выполнить эту задачу позже, чем указано.

Чтобы добавить правило проверки устройств на соответствие политике:

1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
2. В окне свойств политики выберите Параметры приложения.
3. Выберите Android и перейдите в раздел Контроль безопасности.
4. На карточке Контроль соответствия нажмите Параметры.

   Откроется окно Контроль соответствия.

5. Включите параметры с помощью переключателя Контроль соответствия.
6. В разделе При обнаружении несоответствия:
   • Установите флажок Уведомить пользователя, чтобы сообщить пользователю, что устройство не соответствует политике.

     Если флажок не установлен, пользователь не будет уведомлен о случае несоответствия, и по истечении времени, отведенного на устранение несоответствия, на устройстве будет применена соответствующая реакция.

   • Установите флажок Уведомить администратора в разделе "Выборки событий", чтобы сообщить администратору, что устройство не соответствует политике.
7. Нажмите Добавить.

   Запустится Мастер добавления правила. С помощью мастера можно создать набор правил для проверки соответствия устройства политике. Следуйте шагам мастера, используя кнопки Далее и Назад.

Шаг 1. Критерий несоответствия

Нажмите Добавить критерий, чтобы указать критерий несоответствия для срабатывания правила.

Доступны следующие критерии:

• Постоянная защита выключена

  Kaspersky Endpoint Security для Android не установлен или не запущен на устройстве.

• Базы вредоносного ПО на устройстве устарели

  Базы вредоносного ПО последний раз обновлялись 3 или более дней назад.

• Установлены запрещенные приложения

  Список приложений на устройстве содержит приложения, запрещенные в параметрах политики Контроль приложений.

• Установлены приложения из запрещенных категорий

  Список приложений на устройстве содержит приложения из категорий, запрещенных в параметрах политики Контроль приложений.

• Не установлены все обязательные приложения

  Список приложений на устройстве не содержит приложение, установленное в качестве обязательного в параметрах политики Контроль приложений.

• Версия операционной системы устарела

  Версия Android на устройстве не соответствует заданному диапазону разрешенных версий.

  Для этого критерия укажите минимальную и максимальную разрешенные версии Android в полях Минимальная версия и Максимальная версия. Если в качестве максимальной разрешенной версии выбрано значение Любая, то будущие версии Android, поддерживаемые Kaspersky Endpoint Security для Android, будут также разрешены.

• Устройство давно не синхронизировалось

  Проверяется последняя синхронизация устройства с Сервером администрирования.

  Для этого критерия укажите максимальный период с момента последней синхронизации в поле Период без синхронизации.

• На устройстве получены root-права

  Устройство взломано (на устройстве получены права суперпользователя).

• Пароль разблокировки экрана не соответствует параметрам безопасности, указанным в политике

  Пароль разблокировки устройства не соответствует параметрам, заданным в карточке Параметры разблокировки экрана.

• Установлена неактуальная версия Kaspersky Endpoint Security для Android

  Установленная на устройстве версия Kaspersky Endpoint Security для Android устарела.

  Критерий применяется, только если приложение установлено с помощью инсталляционного пакета Kaspersky Endpoint Security для Android и если в параметрах политики Обновление приложения указана минимальная разрешенная версия приложения.

• Использование SIM-карты не соответствует требованиям безопасности

  SIM-карта устройства была заменена или извлечена относительно предыдущего состояния проверки, или была установлена дополнительная SIM-карта.

  Для этого критерия выберите условие, которое необходимо проверять:

  • SIM-карта не должна быть заменена или удалена
  • SIM-карта не должна быть заменена или удалена; не должны быть установлены дополнительные SIM-карты
• Местоположение устройства

  Устройство находится за пределами установленных геозон.

  Указание геозоны приведет к увеличению энергопотребления устройства.

  Для этого критерия выберите условие, которое необходимо проверять:

  • Устройство находится в пределах указанной геозоны (геозоны объединяются с помощью логического оператора "ИЛИ").
  • Устройство находится за пределами указанных геозон (геозоны объединяются с помощью логического оператора "И").

  Чтобы добавить геозону:

  1. Нажмите Добавить геозоны.

     Откроется окно Добавить геозоны.

  2. Укажите Название геозоны.
  3. Обозначьте периметр геозоны, указав широту и долготу для каждой точки геозоны.

     Для каждой геозоны можно вручную задать от 3 до 100 пар координат (широта, долгота) в формате десятичных чисел.
     
     Периметр геозоны не должен содержать пересекающиеся прямые.

     При необходимости вы можете указать более 3 точек, нажав Добавить точку.

     Чтобы удалить точку, нажмите кнопку X.

     Вы можете просмотреть указанную геозону в программе "Яндекс Карты", нажав Посмотреть на карте.

  4. Нажмите OK, чтобы добавить указанные геозоны.
• У Kaspersky Endpoint Security для Android нет доступа к точному или фоновому местоположению

  У Kaspersky Endpoint Security для Android нет разрешения на определение точного местоположения устройства или использование данных о местоположении в фоновом режиме.

Шаг 2. Реакции при несоответствии требованиям безопасности

Добавьте действия, которые будут выполняться на устройстве при обнаружении указанного критерия несоответствия.

Выберите один из следующих вариантов:

• Добавить реакцию. Реакция применяется немедленно после обнаружения критерия несоответствия.
• Добавить отложенную реакцию. Реакция применяется спустя период времени, указанный в поле Время на устранение.

  Доступны следующие реакции:

  • Блокировка всех приложений, кроме системных

    На устройстве заблокирован запуск всех приложений, кроме системных.

    Как только критерий несоответствия правилу перестанет обнаруживаться на устройстве, приложения автоматически разблокируются.

  • Блокировка устройства

    Мобильное устройство заблокировано. Чтобы получить доступ к данным, необходимо разблокировать устройство с помощью ввода одноразового кода или выполнив команду "Разблокировать устройство".

  • Удаление корпоративных данных

    Корпоративные данные удалены с устройства. Перечень удаленных данных зависит от режима работы устройства.

    • С личного устройства удалены профиль Knox и почтовый сертификат.
    • С корпоративного устройства удалены профиль Knox и сертификаты, установленные приложением Kaspersky Endpoint Security для Android (почтовые и VPN-сертификаты, а также сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
    • Дополнительно на устройстве с корпоративным контейнером удалены корпоративный контейнер (его содержимое, настройки и ограничения) и установленные в нем сертификаты (почтовые и VPN-сертификаты, а также сертификаты, полученные через профили SCEP, кроме мобильных сертификатов).
  • Сброс настроек до заводских

    Удалены все данные с устройства; настройки устройства сброшены до заводских. После применения этой реакции устройство перестает быть управляемым. Для подключения устройства к Kaspersky Security Center требуется повторно установить Kaspersky Endpoint Security для Android.

    На устройствах под управлением Android 14 или выше эта реакция применяется только в том случае, если устройство работает в режиме корпоративного устройства.

  • Блокировка корпоративного контейнера

    Корпоративный контейнер на устройстве заблокирован. Для получения доступа к корпоративному контейнеру необходимо его разблокировать.

    Реакция применяется только на устройствах под управлением Android 6 или выше.

    После блокировки корпоративного контейнера история паролей корпоративного контейнера очищается. Это означает, что пользователь может повторно использовать один из недавних паролей, независимо от параметров пароля для корпоративного контейнера.

  • Удалить данные всех приложений

    На корпоративном устройстве удалены данные всех приложений.

    На устройстве с корпоративным контейнером удалены данные всех приложений в контейнере.

    В результате настройки приложений сброшены до установленных по умолчанию.

    Реакция применяется только на корпоративных устройствах или устройствах с корпоративным контейнером под управлением Android 9 или выше.

  • Удаление данных указанного приложения

    Для этой реакции необходимо указать имя пакета приложения, данные которого будут удалены. Как получить имя пакета приложения

    Чтобы получить имя пакета приложения:

    1. Откройте Google Play.
    2. Найдите нужное приложение и откройте его страницу.

    URL приложения оканчивается именем пакета приложения (например, https://play.google.com/store/apps/details?id=com.android.chrome).

    Чтобы получить имя пакета приложения, которое было добавлено в Kaspersky Security Center:

    1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Мобильные → Приложения и файлы.
    2. Выберите Android → Приложения.

       В открывшемся списке приложений отображаются идентификаторы приложений в столбце Имя пакета.

    В результате настройки приложения сброшены до установленных по умолчанию.

    Реакция применяется только на корпоративных устройствах или устройствах с корпоративным контейнером под управлением Android 9 или выше.

  • Запрет на запуск устройства в безопасном режиме

    Пользователю запрещено запускать устройство в безопасном режиме.

    Реакция применяется только на корпоративных устройствах под управлением Android 6 или выше.

  • Запрет на использование камеры

    Пользователю запрещено использовать все имеющиеся на устройстве камеры.

  • Запрет на использование Bluetooth

    Пользователю устройства запрещено включать Bluetooth и изменять его параметры.

    Реакция применяется только на личных устройствах под управлением Android 12 или ниже, корпоративных устройствах или устройствах с корпоративным контейнером.

  • Запрет на использование Wi-Fi

    Пользователю устройства запрещено включать Wi-Fi и изменять его параметры.

    Реакция применяется только на личных устройствах под управлением Android 9 или ниже или на корпоративных устройствах.

  • Запрет на использование функций отладки по USB

    Пользователю запрещено использовать функции отладки по USB и режим разработчика на устройстве.

    Реакция применяется только на корпоративных устройствах или устройствах с корпоративным контейнером.

  • Запрет режима полета

    Пользователю запрещено включать режим полета на устройстве.

    Это действие применяется только на устройствах под управлением Android 9 или выше.