Connessione dei dispositivi fuori sede

Questa sezione descrive come connettere i dispositivi fuori sede (cioè i dispositivi gestiti che si trovano all'esterno della rete principale) ad Administration Server.

Scenario: Connessione dei dispositivi fuori sede tramite un gateway di connessione

Questo scenario descrive come connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server.

Prerequisiti

Lo scenario prevede i seguenti prerequisiti:

• Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
• Kaspersky Security Center Administration Server deve essere distribuito nella rete aziendale.

Passaggi

Questo scenario procede per fasi:

1. Selezione di un dispositivo client nella rete perimetrale

   Questo dispositivo verrà utilizzato come gateway di connessione. Il dispositivo selezionato deve soddisfare i requisiti per i gateway di connessione.

2. Installazione di Network Agent nel ruolo di gateway di connessione

   È consigliabile utilizzare un'installazione locale per installare Network Agent nel dispositivo selezionato.

   Per impostazione predefinita, il file di installazione si trova in: \\<nome server>\KLSHARE\PkgInst\NetAgent_<numero versione>

   Nella finestra Gateway di connessione dell'Installazione guidata di Network Agent selezionare Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Questa modalità attiva contemporaneamente il ruolo del gateway di connessione e indica a Network Agent di attendere le connessioni da Administration Server anziché stabilire connessioni ad Administration Server.

   In alternativa, è possibile installare Network Agent in un dispositivo Linux e configurare Network Agent in modo che funga da gateway di connessione, ma è necessario prestare attenzione all'elenco delle limitazioni di Network Agent in esecuzione nei dispositivi Linux.

3. Autorizzazione delle connessioni nei firewall sul gateway di connessione

   Per assicurarsi che Administration Server sia effettivamente in grado di connettersi al gateway di connessione nella rete perimetrale, consentire le connessioni alla porta TCP 13000 in tutti i firewall tra Administration Server e il gateway di connessione.

   Se il gateway di connessione non dispone di un indirizzo IP reale in Internet ma si trova invece dietro una configurazione NAT (Network Address Translation), configurare una regola per inoltrare le connessioni tramite NAT.

4. Creazione di un gruppo di amministrazione per i dispositivi esterni

   Creare un nuovo gruppo nel gruppo Dispositivi gestiti. Questo nuovo gruppo conterrà dispositivi gestiti esterni.

5. Connessione del gateway di connessione ad Administration Server

   Il gateway di connessione configurato è in attesa di una connessione da Administration Server. Tuttavia, Administration Server non elenca il dispositivo con il gateway di connessione tra i dispositivi gestiti. Questo è dovuto al fatto che il gateway di connessione non ha tentato di stabilire una connessione ad Administration Server. È pertanto necessaria una procedura speciale per garantire che Administration Server avvii una connessione al gateway di connessione.

   Procedere come segue:

   1. Aggiungere il gateway di connessione come punto di distribuzione.
   2. Spostare il gateway di connessione dal gruppo Dispositivi non assegnati al gruppo creato per i dispositivi esterni.

   Il gateway di connessione è stato connesso e configurato.

6. Connessione dei dispositivi desktop esterni ad Administration Server

   Solitamente i dispositivi desktop esterni non vengono spostati all'interno del perimetro. Pertanto è necessario configurarli per eseguire la connessione ad Administration Server tramite il gateway durante l'installazione di Network Agent.

7. Configurazione degli aggiornamenti per i computer dispositivi esterni

   Se gli aggiornamenti delle applicazioni di protezione sono configurati per il download da Administration Server, i dispositivi esterni scaricano gli aggiornamenti tramite il gateway di connessione. Questo comporta due svantaggi:

   • Si tratta di traffico non necessario che occupa la larghezza di banda del canale di comunicazione Internet aziendale.
   • Questo non è necessariamente il modo più rapido per ottenere aggiornamenti. È molto probabile che per i dispositivi esterni sarebbe più economico e veloce ricevere gli aggiornamenti dai server di aggiornamento Kaspersky.

   Procedere come segue:

   1. Spostare tutti i dispositivi esterni nel gruppo di amministrazione separato creato in precedenza.
   2. Escludere il gruppo con i dispositivi esterni dall'attività di aggiornamento.
   3. Creare un'attività di aggiornamento separata per il gruppo con i dispositivi esterni.
8. Connessione dei laptop mobili ad Administration Server

   I laptop mobili a volte sono all'interno della rete e altre volte all'esterno della rete. Per una gestione efficace, è necessario che questi si connettano ad Administration Server in modo diverso a seconda della posizione. Per un utilizzo efficiente del traffico, è inoltre necessario che ricevano gli aggiornamenti da origini diverse a seconda della posizione.

   È necessario configurare le regole per gli utenti fuori sede: profili di connessione e descrizioni dei percorsi di rete. Ciascuna regola definisce l'istanza di Administration Server a cui i laptop mobili devono connettersi a seconda della posizione e l'istanza di Administration Server da cui devono ricevere gli aggiornamenti.

Scenario: connessione di dispositivi fuori sede tramite un Administration Server secondario in DMZ

Se si desidera connettere i dispositivi gestiti che si trovano all'esterno della rete principale ad Administration Server, è possibile utilizzare un Administration Server secondario situato nella rete perimetrale (DMZ).

Prerequisiti

Prima di iniziare, verificare di avere:

• Una rete perimetrale deve essere organizzata nella rete dell'organizzazione.
• Kaspersky Security Center Administration Server è distribuito nella rete interna dell'organizzazione.

Passaggi

Questo scenario procede per fasi:

1. Selezione di un dispositivo client nella rete perimetrale

   Nella DMZ, selezionare un dispositivo client che verrà utilizzato come Administration Server secondario.

2. Installazione di Kaspersky Security Center Administration Server

   Installare Kaspersky Security Center Administration Server in questo dispositivo client.

3. Creazione di una gerarchia di Administration Server

   Se si posiziona un Administration Server secondario in DMZ, l'Administration Server secondario deve ricevere una connessione dall'Administration Server primario. A tale scopo, aggiungere un nuovo Administration Server come secondario in modo che l'Administration Server primario si connetta all'Administration Server secondario tramite la porta 13000. Quando si combinano due Administration Server in una gerarchia, verificare che la porta 13299 sia accessibile in entrambi gli Administration Server. Kaspersky Security Center Web Console si connette a un Administration Server tramite la porta 13299.

4. Connessione dei dispositivi gestiti fuori sede all'Administration Server secondario

   È possibile connettere i dispositivi fuori sede ad Administration Server in DMZ nello stesso modo in cui viene stabilita la connessione tra Administration Server e i dispositivi gestiti che si trovano nella rete principale. I dispositivi gestiti fuori sede avviano la connessione tramite la porta 13000.

Informazioni sulla connessione dei dispositivi fuori sede

Alcuni dispositivi gestiti si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti). Alcuni dispositivi si spostano di tanto in tanto al di fuori del perimetro (ad esempio i laptop degli utenti che visitano le filiali regionali o l'ufficio di un cliente).

È comunque necessario monitorare e gestire la protezione dei dispositivi fuori sede: ricevere informazioni effettive sul relativo stato della protezione e mantenere aggiornate le applicazioni di protezione in essi installate. Questa prassi è necessaria perché se ad esempio uno di questi dispositivi viene compromesso mentre è all'esterno della rete principale, potrebbe diventare una piattaforma per la propagazione delle minacce non appena si connette alla rete principale. Per connettere i dispositivi fuori sede ad Administration Server è possibile utilizzare due metodi:

• Gateway di connessione nella rete perimetrale

  Visualizzare lo schema del traffico dati: Administration Server nella LAN, dispositivi gestiti in Internet, gateway di connessione in uso

• Administration Server nella rete perimetrale

  Visualizzare lo schema del traffico dati: Administration Server nella rete perimetrale, dispositivi gestiti in Internet

Un gateway di connessione nella rete perimetrale

Un metodo consigliato per connettere i dispositivi fuori sede ad Administration Server è quello di organizzare una rete perimetrale nella rete dell'organizzazione e di installare un gateway di connessione nella rete perimetrale. I dispositivi esterni si connetteranno al gateway di connessione e Administration Server all'interno della rete avvierà una connessione ai dispositivi tramite il gateway di connessione.

Rispetto all'altro metodo, questo è più sicuro:

• Non è necessario aprire l'accesso ad Administration Server dall'esterno della rete.
• Un gateway di connessione compromesso non rappresenta un rischio elevato per la sicurezza dei dispositivi di rete. Un gateway di connessione in realtà non gestisce nulla autonomamente e non stabilisce alcuna connessione.

Inoltre, un gateway di connessione non richiede molte risorse hardware.

Tuttavia, questo metodo ha un processo di configurazione più complicato:

• Per fare in modo che un dispositivo funga da gateway di connessione nella rete perimetrale, è necessario installare Network Agent e connetterlo ad Administration Server in un modo specifico.
• Non sarà possibile utilizzare lo stesso indirizzo per la connessione ad Administration Server per tutte le situazioni. Dall'esterno del perimetro sarà necessario utilizzare non solo un indirizzo diverso (indirizzo del gateway di connessione), ma anche una modalità di connessione diversa: tramite un gateway di connessione.
• È inoltre necessario definire impostazioni di connessione diverse per i laptop in posizioni diverse.

Per aggiungere un gateway di connessione a una rete configurata in precedenza:

1. Installare Network Agent in modalità gateway di connessione.
2. Reinstallare Network Agent nei dispositivi che si desidera connettere al gateway di connessione appena aggiunto.

Administration Server nella rete perimetrale

Un altro metodo consiste nell'installare un singolo Administration Server nella rete perimetrale.

Questa configurazione è meno sicura rispetto all'altro metodo. Per gestire laptop esterni in questo caso, Administration Server deve accettare connessioni da qualsiasi indirizzo in Internet. Gestirà comunque tutti i dispositivi nella rete interna, ma dalla rete perimetrale. Pertanto, un server compromesso potrebbe causare un'ingente quantità di danni, nonostante la bassa probabilità che tale evento si verifichi.

Il rischio si riduce notevolmente se Administration Server nella rete perimetrale non gestisce i dispositivi nella rete interna. Tale configurazione può essere utilizzata ad esempio da un fornitore di servizi per gestire i dispositivi dei clienti.

Potrebbe essere opportuno utilizzare questo metodo nei seguenti casi:

• Se si ha familiarità con l'installazione e la configurazione di Administration Server e non si desidera eseguire un'altra procedura per installare e configurare un gateway di connessione.
• Se è necessario gestire più dispositivi. La capacità massima di Administration Server è di 100.000 dispositivi, mentre un gateway di connessione può supportare fino a 10.000 dispositivi.

Questa soluzione presenta anche possibili difficoltà:

• Administration Server richiede più risorse hardware e un altro database.
• Le informazioni sui dispositivi verranno archiviate in due database non correlati (per Administration Server all'interno della rete e un altro nella rete perimetrale), il che complica il monitoraggio.
• Per gestire tutti i dispositivi, Administration Server deve trovarsi in una gerarchia, il che complica non solo il monitoraggio ma anche la gestione. Un'istanza dell'Administration Server secondario impone limitazioni alle possibili strutture dei gruppi di amministrazione. È necessario decidere come e quali attività e criteri distribuire a un'istanza dell'Administration Server secondario.
• La configurazione di dispositivi esterni per l'utilizzo di Administration Server nella rete perimetrale dall'esterno e per l'utilizzo dell'Administration Server primario dall'interno non è più semplice della configurazione per l'utilizzo di una connessione condizionale tramite un gateway.
• Elevati rischi per la sicurezza. Un'istanza di Administration Server compromessa semplifica la compromissione dei laptop gestiti. In tal caso, gli hacker devono solo attendere che uno dei laptop torni nella rete aziendale in modo da poter proseguire l'attacco nella LAN.

Connessione dei dispositivi desktop esterni ad Administration Server

I dispositivi desktop che si trovano sempre all'esterno della rete principale (ad esempio dispositivi nelle filiali dell'azienda; chioschi, bancomat e terminali installati in vari punti vendita; dispositivi negli uffici domestici dei dipendenti) non possono essere collegati direttamente ad Administration Server. Devono essere collegati ad Administration Server tramite un gateway di connessione installato nella rete perimetrale. Questa configurazione viene eseguita durante l'installazione di Network Agent in tali dispositivi.

Per connettere dispositivi desktop esterni ad Administration Server:

1. Creare un nuovo pacchetto di installazione per Network Agent.
2. Aprire le proprietà del pacchetto di installazione creato e passare alla sezione Impostazioni → Avanzate, quindi selezionare l'opzione Esegui la connessione ad Administration Server utilizzando un gateway di connessione.

   L'impostazione Esegui la connessione ad Administration Server utilizzando un gateway di connessione non è compatibile con l'impostazione Utilizzare Network Agent come gateway di connessione nella rete perimetrale. Non è possibile abilitare entrambe queste impostazioni contemporaneamente.

3. Nel campo Indirizzo gateway connessione, specificare l'indirizzo pubblico del gateway di connessione.

   Se il gateway di connessione si trova dietro una configurazione NAT (Network Address Translation) e non dispone di un proprio indirizzo pubblico, configurare una regola del gateway NAT per inoltrare le connessioni dall'indirizzo pubblico all'indirizzo interno del gateway di connessione.

4. Creare un pacchetto di installazione indipendente basato sul pacchetto di installazione creato.
5. Distribuire il pacchetto di installazione indipendente ai dispositivi di destinazione in formato elettronico o tramite un'unità rimovibile.
6. Installare Network Agent dal pacchetto indipendente.

I dispositivi desktop esterni sono connessi ad Administration Server.

Informazioni sui profili di connessione per gli utenti fuori sede

Gli utenti fuori sede con computer portatili (di seguito denominati anche "dispositivi") possono aver bisogno di modificare il metodo di connessione a un Administration Server o passare da un Administration Server all'altro a seconda della posizione corrente del dispositivo nella rete aziendale.

I profili di connessione sono supportati solo per i dispositivi che eseguono Windows e macOS.

Utilizzo di differenti indirizzi di un singolo Administration Server

I dispositivi con Network Agent installato possono connettersi all'Administration Server dalla rete Intranet dell'organizzazione o da Internet. Questa situazione può richiedere l'utilizzo da parte di Network Agent di differenti indirizzi per la connessione ad Administration Server: l'indirizzo esterno dell'Administration Server per la connessione Internet e l'indirizzo interno dell'Administration Server per la connessione dalla rete interna.

A tale scopo, aggiungere un profilo per la connessione ad Administration Server da Internet nelle proprietà del criterio di Network Agent (nella sezione Impostazioni applicazione → Connettività → Profili connessione → Profili connessione di Administration Server). Nella finestra di creazione del profilo, disabilitare l'opzione Usa per ricevere solo aggiornamenti e accertarsi che l'opzione Sincronizza le impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo sia selezionata. Se si utilizza un gateway di connessione per accedere ad Administration Server (ad esempio, in una configurazione di Kaspersky Security Center come quella descritta in Accesso a Internet: Network Agent come gateway nella rete perimetrale), è necessario specificare l'indirizzo del gateway di connessione nel campo corrispondente del profilo di connessione.

Passaggio da un Administration Server all'altro a seconda della rete corrente

Se l'organizzazione ha più sedi con diversi Administration Server e alcuni dispositivi con Network Agent installato si spostano tra di esse, è necessario che Network Agent si connetta all'Administration Server della rete locale nella sede in cui si trova attualmente il dispositivo.

In questo caso, creare un profilo per la connessione ad Administration Server nelle proprietà del criterio di Network Agent per ciascuna delle sedi, tranne che per la sede principale in cui si trova l'Administration Server principale originale. Specificare gli indirizzi di Administration Server nei profili di connessione e abilitare o disabilitare l'opzione Usa per ricevere solo aggiornamenti:

• Selezionare l'opzione se è necessario sincronizzare Network Agent con l'Administration Server principale e utilizzare il server locale solo per scaricare gli aggiornamenti.
• Disabilitare questa opzione se è necessario che Network Agent sia completamente gestito dall'Administration Server locale.

Sarà quindi necessario impostare le condizioni per il passaggio ai nuovi profili creati: almeno una condizione per ciascuna delle sedi, tranne che per la sede principale. Lo scopo di ogni condizione consiste nel rilevamento degli elementi che sono specifici per l'ambiente di rete di una sede. Se una condizione è vera, il profilo corrispondente viene attivato. Se nessuna delle condizioni è vera, Network Agent passa all'Administration Server principale.

Creazione di un profilo di connessione per gli utenti fuori sede

Espandi tutto | Comprimi tutto

Un profilo di connessione di Administration Server è disponibile solo nei dispositivi che eseguono Windows e macOS.

Per creare un profilo per la connessione di Network Agent ad Administration Server per gli utenti fuori sede:

1. Se si desidera creare un profilo di connessione per un gruppo di dispositivi gestiti, aprire il criterio di Network Agent di questo gruppo. A tale scopo, procedere come segue:
   1. Nel menu principale accedere a Dispositivi → Criteri e profili.
   2. Fare clic sul collegamento del percorso corrente.
   3. Nella finestra visualizzata selezionare il gruppo di amministrazione desiderato.

      Successivamente, il percorso corrente viene modificato.

   4. Aggiungere il criterio di Network Agent per il gruppo di dispositivi gestiti. Se è già stato creato, fare clic sul nome del criterio di Network Agent per aprire le proprietà del criterio.
2. Se si desidera creare un profilo di connessione per un dispositivo gestito specifico, procedere come segue:
   1. Nel menu principale accedere a Dispositivi → Dispositivi gestiti.
   2. Fare clic sul nome del dispositivo gestito.
   3. Nella finestra delle proprietà del dispositivo gestito visualizzata, passare alla scheda Applicazioni.
   4. Fare clic sul nome del criterio di Network Agent a cui si applica solo il dispositivo gestito selezionato.
3. Nella finestra delle proprietà visualizzata passare a Impostazioni applicazione → Connettività → Profili connessione.
4. Nella sezione Profili connessione di Administration Server fare clic sul pulsante Aggiungi.

   Per impostazione predefinita, l'elenco dei profili di connessione contiene i profili <Modalità offline> e <Administration Server principale>. I profili non possono essere modificati o rimossi.

   Il profilo <Modalità offline> non specifica alcun server per la connessione. Di conseguenza, quando viene eseguito il passaggio a questo profilo, Network Agent non tenta di connettersi ad alcun Administration Server, mentre le applicazioni installate nei dispositivi client sono eseguite con i criteri fuori sede. Il profilo <Modalità offline> può essere utilizzato se i dispositivi sono disconnessi dalla rete.

   Il profilo <Administration Server principale> specifica per la connessione l'Administration Server che è stato selezionato durante l'installazione di Network Agent. Il profilo <Administration Server principale> viene applicato quando un dispositivo si riconnette all'Administration Server principale dopo l'esecuzione in una rete esterna per un determinato periodo.

5. Nella finestra Configurare il profilo visualizzata configurare il profilo di connessione:
   • Nome profilo

     Nel campo di immissione è possibile visualizzare o modificare il nome del profilo di connessione.

   • Indirizzo di Administration Server

     Indirizzo di Administration Server a cui il dispositivo client deve connettersi durante l'attivazione del profilo.

   • Numero di porta

     Il numero di porta utilizzato per la connessione.

   • Porta SSL

     Il numero della porta per la connessione tramite il protocollo SSL.

   • Usa connessione SSL

     Se questa opzione è abilitata, la connessione viene stabilita tramite una porta sicura utilizzando il protocollo SSL.

     Per impostazione predefinita, questa opzione è abilitata. È consigliabile non disabilitare questa opzione in modo che la connessione rimanga protetta.

   • Se si desidera utilizzare un server proxy durante la connessione a Internet, selezionare l'opzione Usa server proxy. Se questa opzione è selezionata, i campi sono disponibili per l'immissione delle impostazioni. Specificare le seguenti impostazioni per la connessione a un server proxy:
     • Indirizzo

       Indirizzo del server proxy utilizzato per la connessione di Kaspersky Security Center a Internet.

     • Numero di porta

       Numero della porta utilizzata per stabilire la connessione al proxy di Kaspersky Security Center.

     • Autenticazione server proxy

       Se questa casella di controllo è selezionata, nei campi di immissione è possibile specificare le credenziali per l'autenticazione del server proxy.

     • Nome utente

       Account utente con il quale è stata stabilita la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

     • Password

       Password impostata dall'utente di cui è stato utilizzato l'account per stabilire la connessione al server proxy (questo campo è disponibile se la casella di controllo Autenticazione server proxy è selezionata).

       Per visualizzare la password immessa, tenere premuto il pulsante Mostra per il tempo necessario.

   • Indirizzo gateway connessione

     Indirizzo del gateway attraverso cui i dispositivi client si connettono ad Administration Server.

   • Abilita la modalità fuori sede quando Administration Server non è disponibile

     Selezionare questa casella di controllo per consentire alle applicazioni installate in un dispositivo client di utilizzare i profili criterio per i dispositivi in modalità fuori sede, nonché i criteri fuori sede, per qualsiasi tentativo di connessione se Administration Server non è disponibile. Se non è definito alcun criterio fuori sede per l'applicazione, verrà utilizzato il criterio attivo.

     Se questa opzione è disabilitata, le applicazioni utilizzeranno i criteri attivi.

     Per impostazione predefinita, questa casella di controllo è deselezionata.

   • Usa per ricevere solo aggiornamenti

     Se questa opzione è abilitata, il profilo verrà utilizzato solo per il download degli aggiornamenti da parte delle applicazioni installate nel dispositivo client. Per le altre operazioni verrà stabilita la connessione ad Administration Server con le impostazioni di connessione iniziali definite durante l'installazione di Network Agent.

     Per impostazione predefinita, questa opzione è abilitata.

   • Sincronizza impostazioni di connessione con le impostazioni di Administration Server specificate nel profilo

     Se questa opzione è abilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni specificate nelle proprietà del profilo.

     Se questa opzione è disabilitata, Network Agent si connette ad Administration Server utilizzando le impostazioni originali specificate durante l'installazione.

     Questa opzione è disponibile se l'opzione Usa per ricevere solo aggiornamenti è disabilitata.

     Per impostazione predefinita, questa opzione è disabilitata.

Verrà creato un profilo per la connessione di Network Agent ad Administration Server per gli utenti mobili. Quando Network Agent si connette ad Administration Server con questo profilo, le applicazioni installate in un dispositivo client utilizzeranno i criteri per i dispositivi in modalità fuori sede o i criteri fuori sede.

Informazioni sul passaggio di Network Agent ad altri Administration Server

Kaspersky Security Center offre un'opzione per effettuare il passaggio Network Agent di un dispositivo client ad altri Administration Server se cambiano le seguenti impostazioni di rete:

• Condizione per l'indirizzo server DHCP- L'indirizzo IP del server DHCP della rete è stato modificato.
• Condizione per indirizzo gateway di connessione predefinito- L'indirizzo del gateway principale della rete è stato modificato.
• Condizione per dominio DNS- Il suffisso DNS della subnet è stato modificato.
• Condizione per l'indirizzo server DNS - L'indirizzo IP del server DNS della rete è stato modificato.
• Condizione per l'indirizzo del server WINS- L'indirizzo IP del server WINS della rete è stato modificato. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
• Condizione per la risolvibilità del nome- Il nome DNS o NetBIOS del dispositivo client è cambiato.
• Condizione per subnet- Modifica dell'indirizzo e della subnet mask.
• Condizione per l'accessibilità dominio Windows- Modifica dello stato del dominio Windows a cui il dispositivo client è connesso. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
• Condizione per l'accessibilità dell'indirizzo di connessione SSL- Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.

Questa funzionalità è supportata solo per i Network Agent installati nei dispositivi che eseguono Windows o macOS.

Le impostazioni iniziali della connessione di Network Agent ad Administration Server vengono definite durante l'installazione di Network Agent. Se sono state create regole per il passaggio del Network Agent ad altri Administration Server, Network Agent risponde alle modifiche delle impostazioni di rete nel modo seguente:

• Se le impostazioni di rete sono conformi a una delle regole create, Network Agent si connette all'Administration Server specificato in questa regola. Le applicazioni installate nei dispositivi client passano ai criteri fuori sede, a condizione che tale comportamento sia abilitato da una regola.
• Se non è applicabile alcuna regola, Network Agent ripristina le impostazioni predefinite della connessione all'Administration Server specificato durante l'installazione. Per le applicazioni installate nei dispositivi client vengono ripristinati i criteri attivi.
• Se l'Administration Server non è accessibile, Network Agent utilizzerà i criteri fuori sede.

Network Agent passa al criterio fuori sede solo se l'opzione Abilita la modalità fuori sede quando Administration Server non è disponibile è abilitata nelle impostazioni del criterio di Network Agent.

Le impostazioni della connessione di Network Agent all'Administration Server vengono salvate in un profilo. Nel profilo di connessione è possibile creare regole per il passaggio dei dispositivi client ai criteri fuori sede, nonché configurare il profilo in modo da utilizzarlo solo per il download degli aggiornamenti.

Creazione di una regola per il passaggio di Network Agent in base al percorso di rete

Espandi tutto | Comprimi tutto

Il passaggio di Network Agent in base al percorso di rete è disponibile solo nei dispositivi che eseguono Windows e macOS.

Per creare una regola per il passaggio di Network Agent da un Administration Server all'altro in caso di modifiche delle impostazioni di rete:

1. Se si desidera creare una regola per un gruppo di dispositivi gestiti, aprire il criterio di Network Agent di questo gruppo. A tale scopo, procedere come segue:
   1. Nel menu principale accedere a Dispositivi → Criteri e profili.
   2. Fare clic sul collegamento del percorso corrente.
   3. Nella finestra visualizzata selezionare il gruppo di amministrazione desiderato.

      Successivamente, il percorso corrente viene modificato.

   4. Aggiungere il criterio di Network Agent per il gruppo di dispositivi gestiti. Se è già stato creato, fare clic sul nome del criterio di Network Agent per aprire le proprietà del criterio.
2. Se si desidera creare una regola per un dispositivo gestito specifico, procedere come segue:
   1. Nel menu principale accedere a Dispositivi → Dispositivi gestiti.
   2. Fare clic sul nome del dispositivo gestito.
   3. Nella finestra delle proprietà del dispositivo gestito visualizzata, passare alla scheda Applicazioni.
   4. Fare clic sul nome del criterio di Network Agent a cui si applica solo il dispositivo gestito selezionato.
3. Nella finestra delle proprietà visualizzata passare a Impostazioni applicazione → Connettività → Profili connessione.
4. Nella sezione Impostazioni percorso di rete fare clic sul pulsante Aggiungi.
5. Nella finestra delle proprietà visualizzata configurare la descrizione del percorso di rete e la regola per il passaggio. Specificare le seguenti impostazioni della descrizione del percorso di rete:
   • Descrizione

     Il nome della descrizione del percorso di rete non può essere superiore a 255 caratteri, né contenere simboli speciali come ("*<>?\/:|).

   • Usa profilo connessione

     Nell'elenco a discesa è possibile specificare il profilo di connessione utilizzato da Network Agent per connettersi ad Administration Server. Questo profilo verrà utilizzato quando sono soddisfatte le condizioni della descrizione del percorso di rete. Il profilo di connessione contiene le impostazioni per la connessione di Network Agent all'Administration Server e definisce in quali casi i dispositivi client devono passare ai criteri fuori sede. Il profilo viene utilizzato solo per scaricare gli aggiornamenti.

   • Descrizione abilitata

     Selezionare questa casella di controllo per abilitare l'utilizzo della nuova descrizione del percorso di rete.

6. Selezionare le condizioni per la regola per il passaggio di Network Agent:
   • Condizione per l'indirizzo server DHCP- L'indirizzo IP del server DHCP della rete è stato modificato.
   • Condizione per indirizzo gateway di connessione predefinito- L'indirizzo del gateway principale della rete è stato modificato.
   • Condizione per dominio DNS- Il suffisso DNS della subnet è stato modificato.
   • Condizione per l'indirizzo server DNS - L'indirizzo IP del server DNS della rete è stato modificato.
   • Condizione per l'indirizzo del server WINS- L'indirizzo IP del server WINS della rete è stato modificato. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
   • Condizione per la risolvibilità del nome- Il nome DNS o NetBIOS del dispositivo client è cambiato.
   • Condizione per subnet- Modifica dell'indirizzo e della subnet mask.
   • Condizione per l'accessibilità dominio Windows- Modifica dello stato del dominio Windows a cui il dispositivo client è connesso. Questa impostazione è disponibile solo per i dispositivi che eseguono Windows.
   • Condizione per l'accessibilità dell'indirizzo di connessione SSL- Il dispositivo client può o non può (a seconda dell'opzione selezionata) stabilire una connessione SSL con un server specificato (nome: porta). Per ogni server è inoltre possibile specificare un certificato SSL. In questo caso, Network Agent verifica il certificato del server oltre a controllare la capacità di una connessione SSL. Se il certificato non corrisponde, la connessione non va a buon fine.

   Le condizioni in una regola vengono combinate utilizzando l'operatore logico AND. Per attivare una regola di passaggio in base alla descrizione del percorso di rete, devono essere soddisfatte tutte le condizioni della regola.

7. Nella sezione delle condizioni specificare quando è necessario che Network Agent passi a un altro Administration Server. A tale scopo, fare clic sul pulsante Aggiungi, quindi impostare il valore della condizione.

   Inoltre, l'opzione Corrisponde ad almeno un valore dell'elenco è abilitata per impostazione predefinita. È possibile disabilitare questa opzione se si desidera che la condizione venga soddisfatta con tutti i valori specificati.

8. Salvare le modifiche.

Verrà creata una nuova regola di passaggio in base alla descrizione del percorso di rete. Quando le condizioni della regola sono soddisfatte, Network Agent utilizza il profilo di connessione specificato nella regola per connettersi ad Administration Server.