Connessione dei dispositivi fuori sede

Questa sezione descrive come connettere i dispositivi fuori sede (cioè i dispositivi gestiti che si trovano all'esterno della rete principale) ad Administration Server.

Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione

Questo scenario descrive come connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server.

Prerequisiti

Lo scenario prevede i seguenti prerequisiti:

• Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
• Kaspersky Security Center Administration Server deve essere distribuito nella rete aziendale.

Passaggi

Questo scenario procede per fasi:

1. Selezione di un dispositivo client nella rete perimetrale

   Questo dispositivo verrà utilizzato come gateway di connessione. Il dispositivo selezionato deve soddisfare i requisiti per i gateway di connessione.

2. Installazione di Network Agent nel ruolo di gateway di connessione

   È consigliabile utilizzare un'installazione locale per installare Network Agent nel dispositivo selezionato.

   Per impostazione predefinita, il file di installazione si trova in: \\<nome server>\KLSHARE\PkgInst\NetAgent_<numero versione>

   Nella finestra Gateway di connessione dell'Installazione guidata di Network Agent selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Questa modalità attiva contemporaneamente il ruolo del gateway di connessione e indica a Network Agent di attendere le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.

   In alternativa, è possibile installare Network Agent in un dispositivo Linux e configurare Network Agent in modo che funga da gateway di connessione, ma è necessario prestare attenzione all'elenco delle limitazioni di Network Agent in esecuzione nei dispositivi Linux.

3. Autorizzazione delle connessioni nei firewall sul gateway di connessione

   Per assicurarsi che Administration Server sia effettivamente in grado di connettersi al gateway di connessione nella rete perimetrale, consentire le connessioni alla porta TCP 13000 in tutti i firewall tra Administration Server e il gateway di connessione.

   Se il gateway di connessione non dispone di un indirizzo IP reale in Internet ma si trova invece dietro una configurazione NAT (Network Address Translation), configurare una regola per inoltrare le connessioni tramite NAT.

4. Creazione di un gruppo di amministrazione per i dispositivi esterni

   Creare un nuovo gruppo nel gruppo Dispositivi gestiti. Questo nuovo gruppo conterrà dispositivi gestiti esterni.

5. Connessione del gateway di connessione ad Administration Server

   Il gateway di connessione configurato è in attesa di una connessione da Administration Server. Tuttavia, Administration Server non elenca il dispositivo con il gateway di connessione tra i dispositivi gestiti. Questo è dovuto al fatto che il gateway di connessione non ha tentato di stabilire una connessione ad Administration Server. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.

   Procedere come segue:

   1. Aggiungere il gateway di connessione come punto di distribuzione.
   2. Spostare il gateway di connessione dal gruppo Dispositivi non assegnati al gruppo creato per i dispositivi esterni.

   Il gateway di connessione è stato connesso e configurato.

6. Connessione dei dispositivi desktop esterni ad Administration Server

   Solitamente i dispositivi desktop esterni non vengono spostati all'interno del perimetro. Pertanto è necessario configurarli per eseguire la connessione ad Administration Server tramite il gateway durante l'installazione di Network Agent.

7. Configurazione degli aggiornamenti per i computer dispositivi esterni

   Se gli aggiornamenti delle applicazioni di protezione sono configurati per il download da Administration Server, i dispositivi esterni scaricano gli aggiornamenti tramite il gateway di connessione. Questo comporta due svantaggi:

   • Si tratta di traffico non necessario che occupa la larghezza di banda del canale di comunicazione Internet aziendale.
   • Questo non è necessariamente il modo più rapido per ottenere aggiornamenti. È molto probabile che per i dispositivi esterni sarebbe più economico e veloce ricevere gli aggiornamenti dai server di aggiornamento Kaspersky.

   Procedere come segue:

   1. Spostare tutti i dispositivi esterni nel gruppo di amministrazione separato creato in precedenza.
   2. Escludere il gruppo con i dispositivi esterni dall'attività di aggiornamento.
   3. Creare un'attività di aggiornamento separata per il gruppo con i dispositivi esterni.
8. Connessione dei laptop mobili ad Administration Server

   I laptop mobili a volte sono all'interno della rete e altre volte all'esterno della rete. Per una gestione efficace, è necessario che questi si connettano ad Administration Server in modo diverso a seconda della posizione. Per un utilizzo efficiente del traffico, è inoltre necessario che ricevano gli aggiornamenti da origini diverse a seconda della posizione.

   È necessario configurare le regole per gli utenti fuori sede: profili di connessione e descrizioni dei percorsi di rete. Ciascuna regola definisce l'istanza di Administration Server a cui i laptop mobili devono connettersi a seconda della posizione e l'istanza di Administration Server da cui devono ricevere gli aggiornamenti.

Scenario: connessione di dispositivi fuori sede tramite un Administration Server secondario in DMZ

Se si desidera connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server, è possibile utilizzare un Administration Server secondario situato nella rete perimetrale (DMZ).

Prerequisiti

Prima di iniziare, verificare di avere:

• Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
• Kaspersky Security Center Administration Server è distribuito nella rete interna dell'organizzazione.

Passaggi

Questo scenario procede per fasi:

1. Selezione di un dispositivo client nella rete perimetrale

   Nella DMZ, selezionare un dispositivo client che verrà utilizzato come Administration Server secondario.

2. Installazione di Kaspersky Security Center Administration Server

   Installare Kaspersky Security Center Administration Server in questo dispositivo client.

3. Creazione di una gerarchia di Administration Server

   Se si posiziona un Administration Server secondario in DMZ, l'Administration Server secondario deve ricevere una connessione dall'Administration Server primario. A tale scopo, aggiungere un nuovo Administration Server come secondario in modo che l'Administration Server primario si connetta all'Administration Server secondario tramite la porta 13000. Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13291 sia accessibile in entrambi gli Administration Server. Administration Console si connette a un Administration Server tramite la porta 13291.

4. Connessione dei dispositivi gestiti fuori sede all'Administration Server secondario

   È possibile connettere i dispositivi fuori sede ad Administration Server in DMZ nello stesso modo in cui viene stabilita la connessione tra Administration Server e i dispositivi gestiti che si trovano nella rete principale. I dispositivi gestiti fuori sede avviano la connessione tramite la porta 13000.

Informazioni sulla connessione dei dispositivi fuori sede

Alcuni dispositivi gestiti si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti). Alcuni dispositivi si spostano di tanto in tanto al di fuori del perimetro (ad esempio i laptop degli utenti che visitano le filiali regionali o l'ufficio di un cliente).

È comunque necessario monitorare e gestire la protezione dei dispositivi fuori sede: ricevere informazioni effettive sul relativo stato della protezione e mantenere aggiornate le applicazioni di protezione in essi installate. Questa prassi è necessaria perché se ad esempio uno di questi dispositivi viene compromesso mentre è all'esterno della rete principale, potrebbe diventare una piattaforma per la propagazione delle minacce non appena si connette alla rete principale. Per connettere i dispositivi fuori sede ad Administration Server è possibile utilizzare due metodi:

• Gateway di connessione nella rete perimetrale

  Visualizzare lo schema del traffico dati: Administration Server nella LAN, dispositivi gestiti in Internet, gateway di connessione in uso

• Administration Server nella rete perimetrale

  Visualizzare lo schema del traffico dati: Administration Server nella rete perimetrale, dispositivi gestiti in Internet

Un gateway di connessione nella rete perimetrale

Un metodo consigliato per connettere i dispositivi fuori sede ad Administration Server è quello di organizzare una rete perimetrale nella rete dell'organizzazione e di installare un gateway di connessione nella rete perimetrale. I dispositivi esterni si connetteranno al gateway di connessione e Administration Server all'interno della rete avvierà una connessione ai dispositivi tramite il gateway di connessione.

Rispetto all'altro metodo, questo è più sicuro:

• Non è necessario aprire l'accesso ad Administration Server dall'esterno della rete.
• Un gateway di connessione compromesso non rappresenta un rischio elevato per la sicurezza dei dispositivi di rete. Un gateway di connessione in realtà non gestisce nulla autonomamente e non stabilisce alcuna connessione.

Inoltre, un gateway di connessione non richiede molte risorse hardware.

Tuttavia, questo metodo ha un processo di configurazione più complicato:

• Per fare in modo che un dispositivo funga da gateway di connessione nella rete perimetrale, è necessario installare Network Agent e connetterlo ad Administration Server in un modo specifico.
• Non sarà possibile utilizzare lo stesso indirizzo per la connessione ad Administration Server per tutte le situazioni. Dall'esterno del perimetro sarà necessario utilizzare non solo un indirizzo diverso (indirizzo del gateway di connessione), ma anche una modalità di connessione diversa: tramite un gateway di connessione.
• È inoltre necessario definire impostazioni di connessione diverse per i laptop in posizioni diverse.

Per aggiungere un gateway di connessione a una rete configurata in precedenza:

1. Installare Network Agent in modalità gateway di connessione.
2. Reinstallare Network Agent nei dispositivi che si desidera connettere al gateway di connessione appena aggiunto.

Administration Server nella rete perimetrale

Un altro metodo consiste nell'installare un singolo Administration Server nella rete perimetrale.

Questa configurazione è meno sicura rispetto all'altro metodo. Per gestire laptop esterni in questo caso, Administration Server deve accettare connessioni da qualsiasi indirizzo in Internet. Gestirà comunque tutti i dispositivi nella rete interna, ma dalla rete perimetrale. Pertanto, un server compromesso potrebbe causare un'ingente quantità di danni, nonostante la bassa probabilità che tale evento si verifichi.

Il rischio si riduce notevolmente se Administration Server nella rete perimetrale non gestisce i dispositivi nella rete interna. Tale configurazione può essere utilizzata ad esempio da un fornitore di servizi per gestire i dispositivi dei clienti.

Potrebbe essere opportuno utilizzare questo metodo nei seguenti casi:

• Se si ha familiarità con l'installazione e la configurazione di Administration Server e non si desidera eseguire un'altra procedura per installare e configurare un gateway di connessione.
• Se è necessario gestire più dispositivi. La capacità massima di Administration Server è di 100.000 dispositivi, mentre un gateway di connessione può supportare fino a 10.000 dispositivi.

Questa soluzione presenta anche possibili difficoltà:

• Administration Server richiede più risorse hardware e un altro database.
• Le informazioni sui dispositivi verranno archiviate in due database non correlati (per Administration Server all'interno della rete e un altro nella rete perimetrale), il che complica il monitoraggio.
• Per gestire tutti i dispositivi, Administration Server deve trovarsi in una gerarchia, il che complica non solo il monitoraggio ma anche la gestione. Un'istanza dell'Administration Server secondario impone limitazioni alle possibili strutture dei gruppi di amministrazione. È necessario decidere come e quali attività e criteri distribuire a un'istanza dell'Administration Server secondario.
• La configurazione di dispositivi esterni per l'utilizzo di Administration Server nella rete perimetrale dall'esterno e per l'utilizzo dell'Administration Server primario dall'interno non è più semplice della configurazione per l'utilizzo di una connessione condizionale tramite un gateway.
• Elevati rischi per la sicurezza. Un'istanza di Administration Server compromessa semplifica la compromissione dei laptop gestiti. In tal caso, gli hacker devono solo attendere che uno dei laptop torni nella rete aziendale in modo da poter proseguire l'attacco nella LAN.

Connessione dei dispositivi desktop esterni ad Administration Server

I dispositivi desktop che si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti) non possono essere collegati direttamente ad Administration Server. Devono essere collegati ad Administration Server tramite un gateway di connessione installato nella rete perimetrale. Questa configurazione viene eseguita durante l'installazione di Network Agent in tali dispositivi.

Per connettere dispositivi desktop esterni ad Administration Server:

1. Creare un nuovo pacchetto di installazione per Network Agent.
2. Aprire le proprietà del pacchetto di installazione creato e passare alla sezione Avanzate, quindi selezionare l'opzione Esegui la connessione ad Administration Server utilizzando un gateway di connessione.

   L'impostazione Esegui la connessione ad Administration Server utilizzando un gateway di connessione non è compatibile con l'impostazione Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Non è possibile abilitare entrambe queste impostazioni contemporaneamente.

3. In Indirizzo gateway connessione specificare l'indirizzo pubblico del gateway di connessione.

   Se il gateway di connessione si trova dietro una configurazione NAT (Network Address Translation) e non dispone di un proprio indirizzo pubblico, configurare una regola del gateway NAT per inoltrare le connessioni dall'indirizzo pubblico all'indirizzo interno del gateway di connessione.

4. Creare un pacchetto di installazione indipendente basato sul pacchetto di installazione creato.
5. Distribuire il pacchetto di installazione indipendente ai dispositivi di destinazione in formato elettronico o tramite un'unità rimovibile.
6. Installare Network Agent dal pacchetto indipendente.

I dispositivi desktop esterni sono connessi ad Administration Server.

Informazioni sui profili di connessione per gli utenti fuori sede

Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.

I profili di connessione sono supportati solo per i dispositivi che eseguono Windows e macOS.

Utilizzo di differenti indirizzi di un singolo Administration Server

I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.

A tale scopo, è necessario aggiungere un profilo (per la connessione ad Administration Server da Internet) al criterio di Network Agent. Aggiungere il profilo nelle proprietà del criterio (sezione Connettività, sottosezione Profili connessione). Nella finestra di creazione del profilo è necessario disabilitare l'opzione Usa per ricevere solo aggiornamenti e selezionare l'opzione Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.

Passaggio da un Administration Server all'altro a seconda della rete corrente

Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.

In questo caso, è necessario creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. È necessario specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:

• Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
• Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.

Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.

Creazione di un profilo di connessione per gli utenti fuori sede

Espandi tutto | Comprimi tutto

Un profilo di connessione di Administration Server è disponibile solo nei dispositivi che eseguono Windows e macOS.

Per creare un profilo per la connessione di Network Agent ad Administration Server per gli utenti fuori sede:

1. Nella struttura della console selezionare il gruppo di amministrazione che contiene i dispositivi client in cui è necessario creare un profilo per la connessione di Network Agent ad Administration Server.
2. Eseguire una delle seguenti operazioni:
   • Se si desidera creare un profilo di connessione per tutti i dispositivi del gruppo, selezionare un criterio di Network Agent nell'area di lavoro del gruppo, nella scheda Criteri. Aprire la finestra delle proprietà del criterio selezionato.
   • Se si desidera creare un profilo di connessione per un dispositivo in un gruppo, selezionare il dispositivo nell'area di lavoro del gruppo, nella scheda Dispositivi, ed eseguire le seguenti azioni:
     1. Aprire la finestra delle proprietà del dispositivo selezionato.
     2. Nella sezione Applicazioni della finestra delle proprietà del dispositivo selezionare Network Agent.
     3. Aprire la finestra delle proprietà del Network Agent.
3. Nella finestra delle proprietà, nella sezione Connettività selezionare la sottosezione Profili connessione.
4. Nel gruppo di impostazioni Profili connessione di Administration Server fare clic sul pulsante Aggiungi.

   Per impostazione predefinita, l'elenco dei profili di connessione contiene i profili <Modalità offline> e <Administration Server principale>. I profili non possono essere modificati o rimossi.

   Il profilo <Modalità offline> non specifica alcun server per la connessione. Di conseguenza, quando viene eseguito il passaggio a questo profilo, Network Agent non tenta di connettersi ad alcun Administration Server, mentre le applicazioni installate nei dispositivi client sono eseguite con i criteri di lavoro fuori sede. Il profilo <Modalità offline> può essere utilizzato se i dispositivi sono disconnessi dalla rete.

   Il profilo <Administration Server principale> specifica la connessione per l'Administration Server che è stato selezionato durante l'installazione di Network Agent. Il profilo <Administration Server principale> viene applicato quando un dispositivo si riconnette all'Administration Server principale dopo l'esecuzione in una rete esterna per un determinato periodo.

5. Nella finestra Nuovo profilo visualizzata configurare il profilo di connessione:
   • Nome profilo

     Nel campo di immissione è possibile visualizzare o modificare il nome del profilo di connessione.

   • Administration Server

     Indirizzo di Administration Server a cui il dispositivo client deve connettersi durante l'attivazione del profilo.

   • Porta

     Il numero di porta utilizzato per la connessione.

   • Porta SSL

     Il numero della porta per la connessione tramite il protocollo SSL.

   • Usa SSL

     Se questa opzione è abilitata, la connessione viene stabilita tramite una porta sicura utilizzando il protocollo SSL.

     Per impostazione predefinita, questa opzione è abilitata. È consigliabile non disabilitare questa opzione in modo che la connessione rimanga protetta.

   • Fare clic sul collegamento Configura la connessione tramite server proxy per configurare la connessione tramite un server proxy: Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:
     • Indirizzo server proxy

       Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.

     • Numero di porta

       Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.

     • Autenticazione server proxy

       Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

       Questo campo di immissione è disponibile se la casella di controllo Usa server proxy è selezionata.

     • Nome utente (questo campo è disponibile se l'opzione Autenticazione server proxy è selezionata)

       Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

     • Password (questo campo è disponibile se l'opzione Autenticazione server proxy)

       Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

       Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

   • Impostazioni gateway di connessione

     Indirizzo del gateway attraverso cui i dispositivi client si connettono ad Administration Server.

   • Abilita la modalità fuori sede

     Se questa opzione è abilitata, in caso di utilizzo di questo profilo per la connessione, le applicazioni installate nel dispositivo client utilizzeranno i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.

     Se questa opzione è disabilitata, le applicazioni utilizzeranno i criteri attivi.

     Per impostazione predefinita, questa opzione è disabilitata.

   • Usa per ricevere solo aggiornamenti

     Se questa opzione è abilitata, il profilo verrà utilizzato solo per il download degli aggiornamenti da parte delle applicazioni installate nel dispositivo client. Per le altre operazioni verrà stabilita la connessione ad Administration Server con le impostazioni di connessione iniziali definite durante l'installazione di Network Agent.

     Per impostazione predefinita, questa opzione è abilitata.

   • Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo

     Se questa opzione è abilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni specificate nelle proprietà del profilo.

     Se questa opzione è disabilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni originali specificate durante l'installazione.

     Questa opzione è disponibile se l'opzione Usa per ricevere solo aggiornamenti è disabilitata.

     Per impostazione predefinita, questa opzione è disabilitata.

6. Selezionare l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile per consentire alle applicazioni installate in un dispositivo client di utilizzare i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede, per qualsiasi tentativo di connessione se Administration Server non è disponibile. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.

Verrà creato un profilo per la connessione di Network Agent ad Administration Server per gli utenti mobili. Quando Network Agent si connette ad Administration Server con questo profilo, le applicazioni installate in un dispositivo client utilizzeranno i criteri per i dispositivi in modalità fuori sede o i criteri fuori sede.

Informazioni sul passaggio di Network Agent ad altri Administration Server

Le impostazioni iniziali della connessione di Network Agent ad Administration Server vengono definite durante l'installazione di Network Agent. Per passare da Network Agent ad altri Administration Server, è possibile utilizzare le regole per il passaggio. Questa funzionalità è supportata solo per i Network Agent installati nei dispositivi che eseguono Windows o macOS.

Le regole per il passaggio possono essere attivate al momento della modifica dei seguenti parametri di rete:

• Indirizzo gateway predefinito.
• Indirizzo IP del server DHCP (Dynamic Host Configuration Protocol).
• Suffisso DNS della subnet.
• Indirizzo IP del server DNS di rete.
• Accessibilità del dominio Windows. Questo parametro è disponibile solo per i dispositivi in cui viene eseguito Windows.
• Indirizzo e maschera della subnet.
• Indirizzo IP del server WINS di rete. Questo parametro è disponibile solo per i dispositivi in cui viene eseguito Windows.
• Nome DNS o NetBIOS del dispositivo client.
• Accessibilità indirizzo di connessione SSL.

Se sono state create regole per il passaggio del Network Agent ad altri Administration Server, Network Agent risponde alle modifiche dei parametri di rete nel modo seguente:

• Se le impostazioni di rete sono conformi a una delle regole create, Network Agent si connette all'Administration Server specificato in questa regola. Le applicazioni installate nei dispositivi client passano ai criteri fuori sede, a condizione che tale comportamento sia abilitato da una regola.
• Se non è applicabile alcuna regola, Network Agent ripristina le impostazioni predefinite della connessione all'Administration Server specificato durante l'installazione. Per le applicazioni installate nei dispositivi client vengono ripristinati i criteri attivi.
• Se l'Administration Server non è accessibile, Network Agent utilizzerà i criteri fuori sede.

Network Agent passa al criterio fuori sede solo se l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile è abilitata nelle impostazioni del criterio di Network Agent.

Le impostazioni della connessione di Network Agent all'Administration Server vengono salvate in un profilo. Nel profilo di connessione è possibile creare regole per il passaggio dei dispositivi client ai criteri fuori sede, nonché configurare il profilo in modo da utilizzarlo solo per il download degli aggiornamenti.

Creazione di una regola per il passaggio di Network Agent in base al percorso di rete

Espandi tutto | Comprimi tutto

Il passaggio di Network Agent in base al percorso di rete è disponibile solo nei dispositivi che eseguono Windows e macOS.

Per creare una regola per il passaggio di Network Agent da un Administration Server all'altro in caso di modifiche delle impostazioni di rete:

1. Nella struttura della console selezionare il gruppo di amministrazione che contiene i dispositivi per cui è necessario creare una regola per il passaggio di Network Agent in base alla descrizione del percorso di rete.
2. Eseguire una delle seguenti operazioni:
   • Se si desidera creare una regola per tutti i dispositivi del gruppo, passare all'area di lavoro del gruppo e selezionare un criterio di Network Agent nella scheda Criteri. Aprire la finestra delle proprietà del criterio selezionato.
   • Se si desidera creare una regola per un dispositivo selezionato da un gruppo, passare all'area di lavoro del gruppo, selezionare il dispositivo nella scheda Dispositivi ed eseguire le seguenti azioni:
     1. Aprire la finestra delle proprietà del dispositivo selezionato.
     2. Nella sezione Applicazioni della finestra delle proprietà del dispositivo selezionare Network Agent.
     3. Aprire la finestra delle proprietà del Network Agent.
3. Nella finestra Proprietà visualizzata, nella sezione Connettività, selezionare la sottosezione Profili connessione.
4. Nella sezione Impostazioni percorso di rete fare clic sul pulsante Aggiungi.
5. Nella finestra Nuova descrizione visualizzata configurare la descrizione del percorso di rete e la regola per il passaggio. Specificare le seguenti impostazioni della descrizione del percorso di rete:
   • Nome della descrizione del percorso di rete

     Il nome della descrizione del percorso di rete non può essere superiore a 255 caratteri, né contenere simboli speciali come ("*<>?\/:|).

   • Usa profilo connessione

     Nell'elenco a discesa è possibile specificare il profilo di connessione utilizzato da Network Agent per connettersi ad Administration Server. Questo profilo verrà utilizzato quando sono soddisfatte le condizioni della descrizione del percorso di rete. Il profilo di connessione contiene le impostazioni per la connessione di Network Agent all'Administration Server e definisce in quali casi i dispositivi client devono passare ai criteri fuori sede. Il profilo viene utilizzato solo per scaricare gli aggiornamenti.

6. Nella sezione Cambia condizioni fare clic sul pulsante Aggiungi per creare un elenco di condizioni della descrizione del percorso di rete.

   Le condizioni in una regola vengono combinate utilizzando l'operatore logico AND. Per attivare una regola di passaggio in base alla descrizione del percorso di rete, devono essere soddisfatte tutte le condizioni della regola.

7. Nell'elenco a discesa selezionare il valore corrispondente alla modifica delle caratteristiche della rete a cui il dispositivo client è connesso:
   • Indirizzo gateway di connessione predefinito – L'indirizzo del gateway principale della rete è stato modificato.
   • Indirizzo server DHCP – L'indirizzo IP del server DHCP della rete è stato modificato.
   • Dominio DNS – Il suffisso DNS della subnet è stato modificato.
   • Indirizzo server DNS – L'indirizzo IP del server DNS della rete è stato modificato.
   • Accessibilità dominio Windows (solo Windows) – Modifica dello stato del dominio Windows a cui il dispositivo client è connesso. Utilizzare questa impostazione solo per i dispositivi che eseguono Windows.
   • Subnet – Modifica dell'indirizzo e della subnet mask.
   • Indirizzo server WINS (solo Windows) – L'indirizzo IP del server WINS della rete è stato modificato. Utilizzare questa impostazione solo per i dispositivi che eseguono Windows.
   • Risolvibilità del nome—Il nome DNS o NetBIOS del dispositivo client è cambiato.
   • Accessibilità indirizzo di connessione SSL—Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.
8. Nella finestra visualizzata specificare la condizione per il passaggio di Network Agent a un altro Administration Server. Il nome della finestra dipende dal valore selezionato durante il passaggio precedente. Specificare le seguenti impostazioni della condizione di passaggio:
   • Valore

     In questo campo è possibile aggiungere uno o più valori per la condizione creata.

   • Corrisponde ad almeno un valore dell'elenco

     Se questa opzione è selezionata, la condizione sarà soddisfatta indipendentemente dal valore specificato nell'elenco Valore.

     Per impostazione predefinita, questa opzione è selezionata.

   • Non corrisponde ad alcun valore dell'elenco

     Se questa opzione è selezionata, la condizione viene soddisfatta se il relativo valore non è contenuto nell'elenco Valore.

9. Nella finestra Nuova descrizione selezionare l'opzione Descrizione abilitata per abilitare l'utilizzo della nuova descrizione del percorso di rete.

Verrà creata una nuova regola di passaggio in base alla descrizione del percorso di rete. Quando le condizioni della regola sono soddisfatte, Network Agent utilizza il profilo di connessione specificato nella regola per connettersi ad Administration Server.

Viene cercata una corrispondenza del layout di rete nelle descrizioni del percorso di rete, in base all'ordine in cui le regole sono visualizzate nell'elenco. Se una rete corrisponde a più descrizioni, viene utilizzata la prima. È possibile modificare l'ordine delle regole nell'elenco utilizzando i pulsanti Su () e Giù ().