Sommario
Preparazione per Mobile Device Management
Questa scheda fornisce le seguenti informazioni:
- Informazioni sul server per dispositivi mobili Exchange utilizzato per la gestione dei dispositivi mobili tramite il protocollo Exchange ActiveSync
- Informazioni sul server MDM iOS utilizzato per la gestione dei dispositivi iOS installando profili MDM iOS dedicati in tali dispositivi
- Informazioni sulla gestione dei dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android
Server per dispositivi mobili Exchange
Un server per dispositivi mobili Exchange consente di gestire i dispositivi mobili connessi a un Administration Server utilizzando il protocollo Exchange ActiveSync (dispositivi EAS).
Come distribuire un server per dispositivi mobili Exchange
Se nell'organizzazione sono stati distribuiti più server Microsoft Exchange in un array del server Accesso client, è necessario installare un server per dispositivi mobili Exchange in ognuno dei server nell'array. L'opzione Modalità cluster deve essere abilitata nell'Installazione guidata del server per dispositivi mobili Exchange. In questo caso, il set di istanze del server per dispositivi mobili Exchange installato nei server dell'array è denominato cluster di server per dispositivi mobili Exchange.
Se nell'organizzazione non è stato distribuito alcun array del server Accesso client di server Microsoft Exchange, è necessario installare un server per dispositivi mobili Exchange in un server Microsoft Exchange che disponga di Accesso client. In questo caso, è necessario abilitare l'opzione Modalità standard nell'Installazione guidata del server per dispositivi mobili Exchange.
Insieme con il server per dispositivi mobili Exchange, è necessario installare nel dispositivo Network Agent, che consente di integrare il server per dispositivi mobili Exchange con Kaspersky Security Center.
L'ambito della scansione predefinito del server per dispositivi mobili Exchange è il dominio Active Directory corrente in cui è stato installato. La distribuzione di un server per dispositivi mobili Exchange in un server in cui è installato Microsoft Exchange Server (versioni 2010 e 2013) consente di espandere l'ambito della scansione, in modo da includere l'intera foresta di dominio nel server per dispositivi mobili Exchange (vedere la sezione "Configurazione dell'ambito della scansione"). Le informazioni richieste durante una scansione includono gli account degli utenti del server Microsoft Exchange, i criteri Exchange ActiveSync e i dispositivi mobili degli utenti connessi al server Microsoft Exchange tramite il protocollo Exchange ActiveSync.
Non è possibile installare più istanze del server per dispositivi mobili Exchange in un singolo dominio se sono in esecuzione in Modalità standard e sono gestite da un unico Administration Server. Anche all'interno di una singola foresta di dominio Active Directory non è possibile installare più istanze del server per dispositivi mobili Exchange (o più cluster di server per dispositivi mobili Exchange), se sono in esecuzione in Modalità standard con un ambito della scansione espanso che include l'intera foresta di dominio e sono connesse a un singolo Administration Server.
Diritti richiesti per la distribuzione di un server per dispositivi mobili Exchange
La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2010 o 2013 richiede diritti di amministratore di dominio e il ruolo Gestione organizzazione. La distribuzione di un server per dispositivi mobili Exchange in Microsoft Exchange Server 2007 richiede diritti di amministratore di dominio e l'appartenenza al gruppo di sicurezza Exchange Organization Administrators.
Account per il servizio Exchange ActiveSync
Durante l'installazione di un server per dispositivi mobili Exchange, viene automaticamente creato un account in Active Directory:
- In Microsoft Exchange Server 2010 o 2013: l'account KLMDM4ExchAdmin***** con il ruolo KLMDM Role Group.
- In Microsoft Exchange Server 2007: l'account KLMDM4ExchAdmin*****, un membro del gruppo di sicurezza KLMDM Secure Group.
Il servizio Server per dispositivi mobili Exchange viene eseguito con questo account.
Se si desidera annullare la generazione automatica di un account, è necessario crearne uno personalizzato con i seguenti diritti:
- Se si utilizza Microsoft Exchange Server (2010 o 2013), all'account deve essere assegnato un ruolo che consenta di eseguire i seguenti cmdlet:
- Get-CASMailbox
- Set-CASMailbox
- Remove-ActiveSyncDevice
- Clear-ActiveSyncDevice
- Get-ActiveSyncDeviceStatistics
- Get-AcceptedDomain
- Set-AdServerSettings
- Get-ActiveSyncMailboxPolicy
- New-ActiveSyncMailboxPolicy
- Set-ActiveSyncMailboxPolicy
- Remove-ActiveSyncMailboxPolicy
- Se si utilizza Microsoft Exchange Server 2007, all'account devono essere concessi i diritti di accesso per gli oggetti di Active Directory (vedere la seguente tabella).
Diritti di accesso per gli oggetti di Active Directory
Accesso
Oggetto
Cmdlet
Completo
Thread "CN=Mobile Mailbox Policies,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"
Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=Mobile Mailbox Policies,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericAll
Lettura
Thread "CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"
Add-ADPermission -User <Nome utente o gruppo> -Identity "CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>" -InheritanceType All -AccessRight GenericRead
Lettura/scrittura
Proprietà msExchMobileMailboxPolicyLink e msExchOmaAdminWirelessEnable per gli oggetti in Active Directory
Add-ADPermission -User <Nome utente o gruppo> -Identity "DC=<Nome dominio>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnable
Diritto esteso ms-Exch-Store-Active
Archivi di cassette postali del server Exchange, thread "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<Nome organizzazione>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Nome dominio>"
Get-MailboxDatabase | Add-ADPermission -User <Nome utente o gruppo> -ExtendedRights ms-Exch-Store-Admin
Server per dispositivi mobili MDM iOS
Il server MDM iOS consente di gestire i dispositivi iOS installando profili MDM iOS dedicati in tali dispositivi. Sono supportate le seguenti funzionalità:
- Blocco del dispositivo
- Reimpostazione della password
- Cancellazione dei dati
- Installazione o rimozione di app
- Utilizzo di un profilo MDM iOS con impostazioni avanzate (ad esempio per VPN, e-mail, Wi-Fi, fotocamera, certificati e così via)
Il server MDM iOS è un servizio Web che riceve le connessioni in entrata dai dispositivi mobili tramite la porta TLS (per impostazione predefinita, la porta 443), che è gestita da Kaspersky Security Center mediante Network Agent. Network Agent è installato in locale in un dispositivo in cui è distribuito un server MDM iOS.
Durante la distribuzione di un server MDM iOS, l'amministratore deve eseguire le seguenti operazioni:
- Fornire a Network Agent l'accesso all'Administration Server
- Fornire ai dispositivi mobili l'accesso alla porta TCP del server MDM iOS
In questa sezione sono descritte due configurazioni standard di un server MDM iOS.
Configurazione standard: gestione di Kaspersky Device Management for iOS nella rete perimetrale
Un server MDM iOS è posizionato nella rete perimetrale della rete locale di un'organizzazione con accesso a Internet. Una caratteristica speciale di questo approccio è l'assenza di qualsiasi problema quando i dispositivi accedono al servizio Web MDM iOS via Internet.
Poiché la gestione di un server MDM iOS richiede l'installazione di Network Agent in locale, è necessario garantire l'interazione di Network Agent con l'Administration Server. A tale scopo, è possibile utilizzare uno dei seguenti metodi:
- Spostamento di Administration Server nella rete perimetrale.
- Utilizzo di un gateway di connessione:
- Nel dispositivo in cui è distribuito il server MDM iOS connettere Network Agent all'Administration Server tramite un gateway di connessione.
- Nel dispositivo in cui è distribuito il server MDM iOS assegnare a Network Agent il ruolo di gateway di connessione.
Configurazione standard: server per dispositivi mobili MDM iOS nella rete locale di un'organizzazione
Un server per dispositivi mobili MDM iOS è posizionato nella rete interna di un'organizzazione. La porta 443 (porta predefinita) deve essere abilitata per l'accesso esterno, ad esempio attraverso la pubblicazione del servizio Web MDM iOS in Microsoft Forefront Threat Management Gateway (di seguito denominato TMG).
Qualsiasi configurazione standard richiede l'accesso ai servizi Web di Apple per il server MDM iOS (intervallo 17.0.0.0/8) tramite la porta TCP 2197. La porta viene utilizzata per informare i dispositivi dei nuovi comandi tramite un servizio dedicato denominato APNs.
Inizio paginaGestione dei dispositivi mobili con Kaspersky Endpoint Security for Android
I dispositivi mobili in cui è installato Kaspersky Endpoint Security for Android (di seguito denominati dispositivi KES) sono gestiti tramite l'Administration Server. Kaspersky Security Center 10 Service Pack 1 e le versioni successive supportano le seguenti funzionalità per la gestione dei dispositivi KES:
- Gestione dei dispositivi mobili come dispositivi client:
- Appartenenza ai gruppi di amministrazione
- Monitoraggio, ad esempio la visualizzazione di stati, eventi e rapporti
- Modifica delle impostazioni locali e assegnazione di criteri per Kaspersky Endpoint Security for Android
- Invio di comandi in modalità centralizzata
- Installazione remota di pacchetti app mobili
Administration Server gestisce i dispositivi KES tramite TLS, porta TCP 13292.