Sommario
- Distribuzione di sistemi per la gestione dei dispositivi mobili
- Distribuzione di un sistema per la gestione tramite il protocollo Exchange ActiveSync
- Installazione di un server per dispositivi mobili Exchange ActiveSync
- Connessione dei dispositivi mobili a un server per dispositivi mobili Exchange
- Configurazione del server Web Internet Information Services
- Installazione locale di un server per dispositivi mobili Exchange
- Installazione remota di un server per dispositivi mobili Exchange
- Distribuzione di un sistema per la gestione tramite il protocollo MDM iOS
- Installazione del server MDM iOS
- Installazione di un server MDM iOS in modalità automatica
- Scenari di distribuzione del server MDM iOS
- Schema di distribuzione semplificato
- Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)
- Ricezione di un certificato APNs
- Rinnovo di un certificato APNs
- Configurazione di un certificato del server per dispositivi mobili MDM iOS di riserva
- Installazione di un certificato APNs in un server MDM iOS
- Configurazione dell'accesso al servizio Apple Push Notification
- Emissione e installazione di un certificato condiviso in un dispositivo mobile
- Aggiunta di un dispositivo KES all'elenco dei dispositivi gestiti
- Connessione dei dispositivi KES ad Administration Server
- Integrazione con PKI (Public Key Infrastructure)
- Server Web di Kaspersky Security Center
- Distribuzione di un sistema per la gestione tramite il protocollo Exchange ActiveSync
Distribuzione di sistemi per la gestione dei dispositivi mobili
In questa sezione viene descritta la distribuzione di sistemi per la gestione dei dispositivi mobili tramite i protocolli Exchange ActiveSync, MDM iOS e Kaspersky Endpoint Security.
Distribuzione di un sistema per la gestione tramite il protocollo Exchange ActiveSync
Kaspersky Security Center consente di gestire i dispositivi mobili connessi ad Administration Server tramite il protocollo Exchange ActiveSync. I dispositivi mobili Exchange ActiveSync (EAS) sono quelli connessi a un server per dispositivi mobili Exchange e gestiti tramite Administration Server.
I seguenti sistemi operativi supportano il protocollo Exchange ActiveSync:
- Windows Phone 8
- Windows Phone 8.1
- Windows 10 Mobile
- Android
- iOS
Il set di impostazioni di gestione per un dispositivo Exchange ActiveSync dipende dal sistema operativo del dispositivo mobile. Per informazioni dettagliate sulle funzionalità di supporto del protocollo Exchange ActiveSync per un sistema operativo specifico, fare riferimento alla documentazione inclusa nel sistema operativo.
La distribuzione di un sistema per la gestione dei dispositivi mobili tramite il protocollo Exchange ActiveSync include i seguenti passaggi:
- L'amministratore installa il server per dispositivi mobili Exchange nel dispositivo client selezionato.
- L'amministratore crea uno o più profili di gestione in Administration Console per la gestione dei dispositivi EAS e aggiunge tali profili alle cassette postali degli utenti di Exchange ActiveSync.
Il profilo di gestione dei dispositivi mobili Exchange ActiveSync è un criterio di ActiveSync utilizzato in un server Microsoft Exchange per la gestione dei dispositivi mobili Exchange ActiveSync. È possibile assegnare un solo profilo di gestione dei dispositivi EAS a una cassetta postale di Microsoft Exchange.
Gli utenti dei dispositivi mobili EAS eseguono la connessione alle proprie cassette postali di Exchange. Qualsiasi profilo di gestione impone alcune restrizioni relative ai dispositivi mobili.
Installazione di un server per dispositivi mobili Exchange ActiveSync
Viene installato un server per dispositivi mobili Exchange in un dispositivo client in cui è installato un server Microsoft Exchange. È consigliabile installare il server per dispositivi mobili Exchange in un server Microsoft Exchange a cui è assegnato il ruolo di Client Access. Se nello stesso dominio si combinano più server Microsoft Exchange con ruolo di Client Access in un array di Client Access, è consigliabile installare il server per dispositivi mobili Exchange in ciascun server Microsoft Exchange in tale array in modalità cluster.
Per installare un server per dispositivi mobili Exchange in un dispositivo locale:
- Eseguire il file eseguibile setup.exe.
Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.
- Nella finestra di selezione delle applicazioni, fare clic sul collegamento Installa server per dispositivi mobili Exchange per eseguire l'Installazione guidata del server per dispositivi mobili Exchange.
- Nella finestra Impostazioni di installazione selezionare il tipo di installazione del server per dispositivi mobili Exchange:
- Per installare il server per dispositivi mobili Exchange con le impostazioni predefinite, selezionare Installazione standard e fare clic sul pulsante Avanti.
- Per definire manualmente le impostazioni per l'installazione del server per dispositivi mobili Exchange, selezionare Installazione personalizzata e fare clic su Avanti. Eseguire le seguenti operazioni:
- Selezionare la cartella di destinazione nella finestra Cartella di destinazione. La cartella predefinita è <Unità>:\Program Files\Kaspersky Lab\Mobile Device Management for Exchange. Se tale cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.
- Scegliere il tipo di installazione del server per dispositivi mobili Exchange nella finestra Modalità di installazione: modalità normale o cluster.
- Nella finestra Seleziona account scegliere un account che verrà utilizzato per gestire i dispositivi mobili:
- Crea gruppo di ruoli e account automaticamente. L'account verrà creato automaticamente.
- Specificare un account. L'account deve essere selezionato manualmente. Fare clic sul pulsante Sfoglia per selezionare l'utente il cui account verrà utilizzato e specificare la password. L'utente selezionato deve appartenere a un gruppo che dispone dei diritti per la gestione dei dispositivi mobili utilizzando ActiveSync.
- Nella finestra Impostazioni IIS consentire o impedire la configurazione automatica delle proprietà del server Web Internet Information Services (IIS).
Se viene impedita la configurazione automatica delle proprietà di IIS, abilitare manualmente il meccanismo "Autenticazione di Windows" nelle impostazioni di IIS per la directory virtuale di Microsoft PowerShell. Se il meccanismo "Autenticazione di Windows" è disabilitato, il server per dispositivi mobili Exchange non funzionerà correttamente. Per ulteriori informazioni sulla configurazione di IIS, fare riferimento alla documentazione di IIS.
- Fare clic su Avanti.
- Nella finestra visualizzata, verificare le proprietà di installazione del server per dispositivi mobili Exchange, quindi fare clic su installa.
Al termine della procedura guidata, il server per dispositivi mobili Exchange viene installato nel dispositivo locale. Il server per dispositivi mobili Exchange verrà visualizzato nella cartella Mobile Device Management nella struttura della console.
Inizio paginaConnessione dei dispositivi mobili a un server per dispositivi mobili Exchange
Prima di connettere i dispositivi mobili, è necessario configurare Microsoft Exchange Server in modo da consentire la connessione dei dispositivi utilizzando il protocollo ActiveSync.
Per connettere un dispositivo mobile a un server per dispositivi mobili Exchange, l'utente esegue la connessione alla propria cassetta postale di Microsoft Exchange dal dispositivo mobile tramite ActiveSync. Durante la connessione, l'utente deve specificare le impostazioni di connessione nel client ActiveSync, ad esempio l'indirizzo e-mail e la password.
Il dispositivo mobile dell'utente connesso al server Microsoft Exchange viene visualizzato nella sottocartella Dispositivi mobili, contenuta nella cartella Mobile Device Management nella struttura della console.
Dopo aver connesso il dispositivo mobile Exchange ActiveSync a un server per dispositivi mobili Exchange, l'amministratore può gestire il dispositivo mobile Exchange ActiveSync connesso.
Inizio paginaConfigurazione del server Web Internet Information Services
Durante l'utilizzo di Microsoft Exchange Server (versioni 2010 e 2013), è necessario attivare il meccanismo di autenticazione di Windows per una directory virtuale Windows PowerShell nelle impostazioni del server Web Internet Information Services (IIS). Questo meccanismo di autenticazione è attivato automaticamente se è selezionata l'opzione Configura Microsoft Internet Information Services (IIS) automaticamente nell'Installazione guidata del server per dispositivi mobili Exchange (opzione predefinita).
In caso contrario, sarà necessario attivare manualmente il meccanismo di autenticazione.
Per attivare manualmente il meccanismo di autenticazione di Windows per una directory virtuale PowerShell:
- Nella console Gestione Internet Information Services (IIS) aprire le proprietà della directory virtuale PowerShell.
- Passare alla sezione Autenticazione.
- Selezionare Autenticazione di Microsoft Windows e quindi fare clic sul pulsante Abilita.
- Aprire Impostazioni avanzate.
- Selezionare l'opzione Abilita autenticazione in modalità kernel.
- Nell'elenco a discesa Protezione estesa selezionare Richiesta.
Se si utilizza Microsoft Exchange Server 2007, il server Web IIS non richiede alcuna configurazione.
Inizio paginaInstallazione locale di un server per dispositivi mobili Exchange
Per un'installazione locale di un server per dispositivi mobili Exchange, l'amministratore deve eseguire le seguenti operazioni:
- Copiare il contenuto della cartella \Server\Packages\MDM4Exchange\ dal pacchetto di distribuzione di Kaspersky Security Center in un dispositivo client.
- Eseguire il file eseguibile setup.exe.
L'installazione locale include due tipi di installazione:
- L'installazione standard è un'installazione semplificata che non richiede la specificazione di alcuna impostazione da parte dell'amministratore. È consigliata nella maggior parte dei casi.
- L'installazione estesa è un'installazione che richiede la specificazione delle seguenti impostazioni da parte dell'amministratore:
- Percorso per l'installazione del server per dispositivi mobili Exchange.
- Modalità operativa del server per dispositivi mobili Exchange: modalità standard o modalità cluster.
- Possibilità di specificare l'account con cui verrà eseguito il servizio del server per dispositivi mobili Exchange.
- Abilitazione/disabilitazione della configurazione automatica del server Web IIS.
È necessario eseguire la Distribuzione guidata server per dispositivi mobili Exchange con un account che dispone di tutti i diritti richiesti.
Inizio paginaInstallazione remota di un server per dispositivi mobili Exchange
Per configurare l'installazione remota di un server per dispositivi mobili Exchange, l'amministratore deve eseguire le seguenti operazioni:
- Nella struttura di Kaspersky Security Center Administration Console selezionare la cartella Installazione remota, quindi la sottocartella Pacchetti di installazione.
- Nella sottocartella Pacchetti di installazione aprire le proprietà del pacchetto Plug-in server per dispositivi mobili Exchange.
- Passare alla sezione Impostazioni.
Questa sezione contiene le stesse impostazioni utilizzate per l'installazione locale dell'applicazione.
Dopo aver configurato l'installazione remota, è possibile avviare l'installazione del server per dispositivi mobili Exchange.
Per installare un server per dispositivi mobili Exchange:
- Nella struttura di Kaspersky Security Center Administration Console selezionare la cartella Installazione remota, quindi la sottocartella Pacchetti di installazione.
- Nella sottocartella Pacchetti di installazione selezionare il pacchetto Plug-in server per dispositivi mobili Exchange.
- Aprire il menu di scelta rapida del pacchetto, quindi selezionare Installa applicazione.
- Nell'Installazione remota guidata visualizzata selezionare un dispositivo (o più dispositivi per l'installazione in modalità cluster).
- Nel campo Esegui l'installazione guidata dell'applicazione con l'account specificato specificare l'account con cui verrà eseguito il processo di installazione nel dispositivo remoto.
L'account deve disporre dei diritti richiesti.
Distribuzione di un sistema per la gestione tramite il protocollo MDM iOS
Kaspersky Security Center consente di gestire i dispositivi mobili in cui viene eseguito iOS. I dispositivi MDM iOS sono dispositivi mobili iOS connessi a un server MDM iOS e gestiti da Administration Server.
I dispositivi mobili sono connessi a un server MDM iOS tramite i seguenti passaggi:
- L'amministratore installa il server MDM iOS.
- L'amministratore riceve un certificato Apple Push Notification Service (APNs) (Ricezione di un certificato APNs, https://support.kaspersky.com/help/KSMM/4.1/en-US/64900.htm).
Il certificato APNs consente ad Administration Server di connettersi al server APNs per inviare notifiche push ai dispositivi MDM iOS.
- L'amministratore installa il certificato APNs nel server per dispositivi mobili MDM iOS.
- L'amministratore crea un profilo MDM iOS per l'utente del dispositivo mobile iOS.
Il profilo MDM iOS contiene una raccolta di impostazioni per la connessione dei dispositivi mobili iOS all'Administration Server.
Dopo aver installato il profilo MDM iOS e aver sincronizzato il dispositivo MDM iOS con Administration Server, il dispositivo verrà visualizzato in Mobile devices, una sottocartella di Mobile Device Management nella struttura della console.
Installazione del server MDM iOS
Per installare il server MDM iOS in un dispositivo locale:
- Eseguire il file eseguibile setup.exe.
Verrà visualizzata una finestra che richiede di selezionare le applicazioni Kaspersky da installare.
Nella finestra di selezione delle applicazioni fare clic sul collegamento Installa server MDM iOS per eseguire l'Installazione guidata del server MDM iOS.
- Selezionare una cartella di destinazione.
La cartella predefinita è <Unità>:\Program Files\Kaspersky Lab\Mobile Device Management for iOS. Se tale cartella non esiste, verrà creata automaticamente durante l'installazione. È possibile modificare la cartella di destinazione utilizzando il pulsante Sfoglia.
- Nella finestra Specificare le impostazioni per la connessione al server MDM iOS della procedura guidata, nel campo Porta esterna per la connessione al servizio MDM iOS, specificare una porta esterna per la connessione dei dispositivi mobili al servizio MDM iOS.
I dispositivi mobili utilizzano la porta esterna 5223 per la comunicazione con il server APNs. Verificare che la porta 5223 sia aperta nel firewall per la connessione con l'intervallo di indirizzi 17.0.0.0/8.
La porta 443 è utilizzata per impostazione predefinita per la connessione al server MDM iOS. Se la porta 443 è già in uso da parte di un altro servizio o un'altra applicazione, può essere sostituita, ad esempio dalla porta 9443.
Il server MDM iOS utilizza la porta esterna 2197 per l'invio delle notifiche al server APNs.
I server APNs vengono eseguiti in modalità di bilanciamento del carico. I dispositivi mobili non si connettono sempre agli stessi indirizzi IP per la ricezione delle notifiche. L'intervallo di indirizzi 17.0.0.0/8 è riservato per Apple, pertanto è consigliabile specificare questo intero intervallo come intervallo consentito nelle impostazioni del firewall.
- Per configurare manualmente le porte di interazione per i componenti dell'applicazione, selezionare l'opzione Configura porte locali manualmente e specificare i valori per le seguenti impostazioni:
- Porta per la connessione a Network Agent. In questo campo specificare una porta per la connessione del servizio MDM iOS a Network Agent. Il numero di porta predefinito è 9799.
- Porta locale per la connessione al servizio MDM iOS. In questo campo specificare una porta locale per la connessione di Network Agent al servizio MDM iOS. Il numero di porta predefinito è 9899.
È consigliabile utilizzare i valori predefiniti.
- Nella finestra Indirizzo esterno del server per dispositivi mobili della procedura guidata, nel campo Indirizzo Web per la connessione remota al server per dispositivi mobili, specificare l'indirizzo del dispositivo client in cui deve essere installato il server per dispositivi mobili MDM iOS.
Questo indirizzo verrà utilizzato per la connessione dei dispositivi mobili gestiti al servizio MDM iOS. Il dispositivo client deve essere disponibile per la connessione dei dispositivi MDM iOS.
È possibile specificare l'indirizzo di un dispositivo client in qualsiasi dei seguenti formati:
- FQDN del dispositivo (ad esempio mdm.example.com)
- Nome NetBIOS del dispositivo
Evitare di aggiungere lo schema URL e il numero di porta alla stringa dell'indirizzo: questi valori verranno aggiunti automaticamente.
Al termine della procedura guidata, il server MDM iOS viene installato nel dispositivo locale. Il server per dispositivi mobili MDM iOS verrà visualizzato nella cartella Mobile Device Management nella struttura della console.
Inizio paginaInstallazione di un server MDM iOS in modalità automatica
Kaspersky Security Center consente di installare il server MDM iOS in un dispositivo locale in modalità automatica, ovvero senza l'immissione interattiva delle impostazioni di installazione.
Per installare un server MDM iOS in un dispositivo locale in modalità automatica:
- Leggere il Contratto di licenza con l'utente finale. Utilizzare il comando di seguito solo se sono stati compresi e accettati i termini del Contratto di licenza con l'utente finale.
- Eseguire il seguente comando:
.\exec\setup.exe /s /v"DONT_USE_ANSWER_FILE=1 EULA=1 <
parametri_installazione
>
"dove
parametri_installazione
è un elenco di impostazioni e dei valori corrispondenti separati da spazi (PROP1=PROP1VAL PROP2=PROP2VAL
). Il file setup.exe è posizionato nella cartella Server, appartenente al kit di distribuzione di Kaspersky Security Center.
I nomi e i possibili valori per i parametri che è possibile utilizzare durante l'installazione del server per dispositivi mobili MDM iOS in modalità automatica sono elencati nella seguente tabella. I parametri possono essere specificati in qualsiasi ordine.
I parametri di installazione del server MDM iOS in modalità automatica
Nome del parametro |
Descrizione del parametro |
Valori disponibili |
---|---|---|
EULA |
Accettazione dei termini del Contratto di licenza con l'utente finale. Questo parametro è obbligatorio. |
|
DONT_USE_ANSWER_FILE |
Scelta di utilizzare o non utilizzare un file XML con le impostazioni di installazione del server MDM iOS. Il file XML è incluso nel pacchetto di installazione oppure viene memorizzato in Administration Server. Non è necessario specificare un percorso aggiuntivo per il file. Questo parametro è obbligatorio. |
|
INSTALLDIR |
Cartella di installazione del server MDM iOS. Questo parametro è facoltativo. |
Valore della stringa, ad esempio |
CONNECTORPORT |
Porta locale per la connessione del servizio MDM iOS a Network Agent. Il numero di porta predefinito è 9799. Questo parametro è facoltativo. |
Valore numerico. |
LOCALSERVERPORT |
Porta locale per la connessione di Network Agent al servizio MDM iOS. Il numero di porta predefinito è 9899. Questo parametro è facoltativo. |
Valore numerico. |
EXTERNALSERVERPORT |
Porta per la connessione di un dispositivo al server MDM iOS. Il numero di porta predefinito è 443. Questo parametro è facoltativo. |
Valore numerico. |
EXTERNAL_SERVER_URL |
Indirizzo esterno del dispositivo client in cui verrà installato il server MDM iOS. Questo indirizzo verrà utilizzato per la connessione dei dispositivi mobili gestiti al servizio MDM iOS. Il dispositivo client deve essere disponibile per la connessione tramite MDM iOS. L'indirizzo non deve includere lo schema URL e il numero della porta poiché questi valori verranno aggiunti automaticamente. Questo parametro è facoltativo. |
|
WORKFOLDER |
Cartella di lavoro del server MDM iOS. Se non è specificata alcuna cartella di lavoro, i dati verranno scritti nella cartella predefinita. Questo parametro è facoltativo. |
Valore della stringa, ad esempio |
MTNCY |
Utilizzo del server MDM iOS da parte di più server virtuali. Questo parametro è facoltativo. |
|
Esempio:
|
I parametri di installazione del server per dispositivi mobili MDM iOS sono specificati in dettaglio nella sezione "Installazione del server per dispositivi mobili MDM iOS".
Inizio paginaScenari di distribuzione del server MDM iOS
Il numero di copie del server MDM iOS da installare può essere selezionato in base all'hardware disponibile o al numero totale di dispositivi mobili coperti.
Tenere presente che il numero massimo consigliato di dispositivi mobili per una singola installazione di Kaspersky Device Management for iOS è 50.000. Per ridurre il carico, l'intero pool di dispositivi può essere distribuito tra diversi server in cui è installato il server MDM iOS.
L'autenticazione dei dispositivi MDM iOS è eseguita tramite i certificati utente (qualsiasi profilo installato in un dispositivo contiene il certificato del proprietario del dispositivo). Sono pertanto possibili due schemi di distribuzione per un server MDM iOS:
- Schema semplificato
- Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)
Schema di distribuzione semplificato
Durante la distribuzione di un server MDM iOS in base allo schema semplificato, i dispositivi mobili si connettono direttamente al servizio Web MDM iOS. In questo caso, i certificati utente emessi da Administration Server possono essere applicati solo per l'autenticazione dei dispositivi. L'integrazione con l'infrastruttura a chiave pubblica (PKI) è impossibile per i certificati utente.
Inizio paginaSchema di distribuzione tramite Kerberos Constrained Delegation (KCD)
Per utilizzare lo schema di distribuzione con la delega vincolata Kerberos (KCD), è necessario soddisfare i seguenti requisiti:
- Administration Server e il server MDM iOS si trovano nella rete interna dell'organizzazione.
- È in uso un proxy inverso con supporto di KCD.
Questo schema di distribuzione offre quanto segue:
- Integrazione con il proxy inverso che supporta KCD
- Utilizzo di KCD per l'autenticazione dei dispositivi mobili
- Integrazione con PKI per l'applicazione dei certificati utente
Quando si utilizza questo schema di distribuzione, è necessario eseguire le seguenti operazioni:
- In Administration Console, nelle impostazioni del servizio Web MDM iOS, selezionare la casella di controllo Assicura la compatibilità con la delega vincolata Kerberos.
- Come certificato per il servizio Web MDM iOS, specificare il certificato personalizzato che è stato definito al momento della pubblicazione del servizio Web MDM iOS nel proxy inverso.
- I certificati utente per i dispositivi iOS devono essere emessi dall'Autorità di certificazione (CA) del dominio. Se il dominio contiene più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata specificata al momento della pubblicazione del servizio Web MDM iOS nel proxy inverso.
È possibile garantire che il certificato utente sia conforme con questo requisito di emissione da parte dell'Autorità di certificazione utilizzando uno dei seguenti metodi:
- Specificare il certificato utente nella procedura guidata per la creazione di un nuovo profilo MDM iOS e nell'Installazione guidata certificato.
- Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
- Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
- Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
- Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
- Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.
Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:
- Il servizio Web MDM iOS è in esecuzione sulla porta 443.
- Il nome del dispositivo con il proxy inverso è firewall.mydom.local.
- Il nome del dispositivo con il servizio Web MDM iOS è iosmdm.mydom.local.
- Il nome della pubblicazione esterna del servizio Web MDM iOS è iosmdm.mydom.global.
Nome dell'entità servizio per http/iosmdm.mydom.local
Nel dominio è necessario registrare il nome dell'entità servizio (SPN) per il dispositivo con il servizio Web MDM iOS (iosmdm.mydom.local):
setspn -a http/iosmdm.mydom.local iosmdm
Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)
Per delegare il traffico, impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/iosmdm.mydom.local).
Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/iosmdm.mydom.local), l'amministratore deve eseguire seguenti le operazioni:
- Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
- Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
- Aggiungere l'SPN (http/iosmdm.mydom.local) all'elenco Servizi ai quali l'account può presentare credenziali delegate.
Speciale certificato (personalizzato) per il servizio Web pubblicato (iosmdm.mydom.global)
È necessario emettere uno speciale certificato (personalizzato) per il servizio Web MDM iOS sul nome FQDN iosmdm.mydom.global e specificare che sostituisce il certificato predefinito nelle impostazioni del servizio Web MDM iOS in Administration Console.
Il contenitore del certificato (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).
Pubblicazione del servizio Web MDM iOS nel proxy inverso
Nel proxy inverso, per il traffico da un dispositivo mobile alla porta 443 di iosmdm.mydom.global, è necessario configurare KCD sull'SPN (http/iosmdm.mydom.local) utilizzando il certificato emesso per il nome FQDN (iosmdm.mydom.global). Tenere presente che la pubblicazione e il servizio Web pubblicato devono condividere lo stesso certificato server.
Ricezione di un certificato APNs
Se si dispone già di un certificato APNs, è opportuno rinnovarlo anziché crearne uno nuovo. Quando si sostituisce il certificato APNs esistente con uno appena creato, Administration Server perde la capacità di gestire i dispositivi mobili iOS connessi al momento.
Quando, nella prima fase della procedura guidata del certificato APNs, viene creata la richiesta di firma del certificato, la relativa chiave privata viene archiviata nella RAM del dispositivo. Pertanto, è necessario completare tutti i passaggi della procedura guidata in una sola sessione dell'applicazione.
Per ricevere un certificato APNs:
- Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
- Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
- Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà del server MDM iOS.
- Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
- Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification, fare clic sul pulsante Richiedi nuovo.
Verrà avviata la ricezione guidata del certificato APNs e verrà visualizzata la finestra Richiedi nuovo.
- Creare una richiesta di firma del certificato (di seguito indicata come CSR, Certificate Signing Request). A tale scopo, eseguire le seguenti operazioni:
- Fare clic sul pulsante Crea CSR.
- Nella finestra Crea CSR visualizzata specificare un nome per la richiesta, i nomi dell'azienda e del reparto, la città, la regione e il paese.
- Fare clic sul pulsante Salva e specificare un nome per il file in cui salvare CSR.
La chiave privata del certificato verrà salvata nella memoria del dispositivo.
- Utilizzare il CompanyAccount per inviare il file con CSR creato a Kaspersky per la firma.
La firma della CSR verrà resa disponibile solo dopo aver caricato nel portale CompanyAccount una chiave che consente l'utilizzo della funzionalità Mobile Device Management.
Al termine dell'elaborazione della richiesta online, l'utente riceverà un file CSR firmato da Kaspersky.
- Inviare il file CSR firmato al sito Web Apple Inc. tramite un ID Apple casuale.
È consigliabile non utilizzare un ID Apple personale. Creare un ID Apple dedicato da utilizzare come ID aziendale. Dopo aver creato un ID Apple, collegarlo alla cassetta postale dell'organizzazione, non alla cassetta postale di un dipendente.
Al termine dell'elaborazione della CSR in Apple Inc., si riceverà la chiave pubblica del certificato APNs. Salvare il file su disco.
- Esportare il certificato APNs insieme alla chiave privata creata durante la generazione della CSR, nel formato di file PFX. A tale scopo:
- Nella finestra Richiedi nuovo certificato APNs fare clic sul pulsante Completa CSR.
- Nella finestra Apri scegliere un file con la chiave pubblica del certificato ricevuto da Apple Inc. al termine dell'elaborazione della CSR, quindi fare clic sul pulsante Apri.
Verrà avviato il processo di esportazione del certificato.
- Nella finestra successiva immettere la password della chiave privata e fare clic su OK.
Questa password sarà utilizzata per l'installazione del certificato APNs nel server MDM iOS.
- Nella finestra Salva certificato APNs specificare il nome del file per il certificato APNs, scegliere una cartella e fare clic su Salva.
Le chiave pubblica e la chiave privata del certificato vengono combinate e il certificato APNs viene salvato in formato PFX. Successivamente è possibile installare il certificato APNs nel server per dispositivi mobili MDM iOS.
Rinnovo di un certificato APNs
Per rinnovare un certificato APNs:
- Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
- Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
- Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà del server MDM iOS.
- Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
- Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification fare clic sul pulsante Rinnova.
Verrà avviata la procedura guidata di rinnovo del certificato APNs e sarà visualizzata la finestra Rinnova certificato APNs.
- Creare una richiesta di firma del certificato (di seguito indicata come CSR, Certificate Signing Request). A tale scopo, eseguire le seguenti operazioni:
- Fare clic sul pulsante Crea CSR.
- Nella finestra Crea CSR visualizzata specificare un nome per la richiesta, i nomi dell'azienda e del reparto, la città, la regione e il paese.
- Fare clic sul pulsante Salva e specificare un nome per il file in cui salvare CSR.
La chiave privata del certificato verrà salvata nella memoria del dispositivo.
- Utilizzare il CompanyAccount per inviare il file con CSR creato a Kaspersky per la firma.
La firma della CSR verrà resa disponibile solo dopo aver caricato nel portale CompanyAccount una chiave che consente l'utilizzo della funzionalità Mobile Device Management.
Al termine dell'elaborazione della richiesta online, l'utente riceverà un file CSR firmato da Kaspersky.
- Inviare il file CSR firmato al sito Web Apple Inc. tramite un ID Apple casuale.
È consigliabile non utilizzare un ID Apple personale. Creare un ID Apple dedicato da utilizzare come ID aziendale. Dopo aver creato un ID Apple, collegarlo alla cassetta postale dell'organizzazione, non alla cassetta postale di un dipendente.
Al termine dell'elaborazione della CSR in Apple Inc., si riceverà la chiave pubblica del certificato APNs. Salvare il file su disco.
- Richiedere la chiave pubblica del certificato. A tale scopo, eseguire le seguenti operazioni:
- Passare al portale Apple Push Certificates. Per accedere al portale, utilizzare l'ID Apple ricevuto al momento della richiesta iniziale del certificato.
- Nell'elenco dei certificati selezionare il certificato il cui nome APSP (nel formato "APSP: <numero>") corrisponde al nome APSP del certificato utilizzato dal server per dispositivi mobili MDM iOS, quindi fare clic sul pulsante Rinnova.
Il certificato APNs viene rinnovato.
- Salvare il certificato creato nel portale.
- Esportare il certificato APNs insieme alla chiave privata creata durante la generazione della CSR, nel formato di file PFX. A tale scopo, eseguire le seguenti operazioni:
- Nella finestra Rinnova certificato APNs fare clic sul pulsante Completa CSR.
- Nella finestra Apri scegliere un file con la chiave pubblica del certificato, ricevuto da Apple Inc. al termine dell'elaborazione della CSR, e fare clic sul pulsante Apri.
Verrà avviato il processo di esportazione del certificato.
- Nella finestra successiva immettere la password della chiave privata e fare clic su OK.
Questa password sarà utilizzata per l'installazione del certificato APNs nel server MDM iOS.
- Nella finestra Rinnova certificato APNs visualizzata specificare il nome del file per il certificato APNs, scegliere una cartella e fare clic su Salva.
Le chiave pubblica e la chiave privata del certificato vengono combinate e il certificato APNs viene salvato in formato PFX.
Configurazione di un certificato del server per dispositivi mobili MDM iOS di riserva
La funzionalità server per dispositivi mobili MDM iOS consente di emettere un certificato di riserva. Questo certificato è destinato all'utilizzo nei profili MDM iOS, per garantire il passaggio immediato dei dispositivi iOS gestiti dopo la scadenza del certificato del server per dispositivi mobili MDM iOS.
Se il server per dispositivi mobili MDM iOS utilizza un certificato predefinito emesso da Kaspersky, è possibile emettere un certificato di riserva (o specificare il certificato personalizzato in uso come di riserva) prima della scadenza del certificato del server per dispositivi mobili MDM iOS. Per impostazione predefinita, il certificato di riserva viene emesso automaticamente 60 giorni prima della scadenza del certificato del server per dispositivi mobili MDM iOS. Il certificato del server per dispositivi mobili MDM iOS di riserva diventa il certificato principale subito dopo la scadenza del certificato del server per dispositivi mobili MDM iOS. La chiave pubblica viene distribuita a tutti i dispositivi gestiti tramite i profili di configurazione, pertanto non è necessario trasmetterla manualmente.
Per emettere un certificato di riserva del server per dispositivi mobili MDM iOS o specificare un certificato di riserva personalizzato:
- Nella struttura della console, nella cartella Mobile Device Management, selezionare la sottocartella Server per dispositivi mobili.
- Nell'elenco dei server per dispositivi mobili selezionare il server per dispositivi mobili MDM iOS pertinente e, nel riquadro di destra, fare clic sul pulsante Configura server per dispositivi mobili MDM iOS.
- Nella finestra delle impostazioni del server per dispositivi mobili MDM iOS visualizzata selezionare la sezione Certificati.
- Nel gruppo di impostazioni Certificato di riserva eseguire una delle seguenti operazioni:
- Se si prevede di continuare a utilizzare un certificato autofirmato (ovvero quello emesso da Kaspersky):
- Fare clic sul pulsante Emetti.
- Nella finestra Data di attivazione visualizzata selezionare una delle due opzioni per la data di applicazione del certificato di riserva:
- Se si desidera applicare il certificato di riserva al momento della scadenza del certificato corrente, selezionare l'opzione Allo scadere del certificato corrente.
- Se si desidera applicare il certificato di riserva prima della scadenza del certificato corrente, selezionare l'opzione Dopo il periodo specificato (giorni). Nel campo di immissione accanto a questa opzione specificare la durata del periodo dopo il quale il certificato di riserva deve sostituire il certificato corrente.
Il periodo di validità del certificato di riserva specificato non può superare il periodo di validità del certificato del server per dispositivi mobili MDM iOS corrente.
- Fare clic sul pulsante OK.
Verrà emesso il certificato del server per dispositivi mobili MDM iOS di riserva.
- Se si prevede di utilizzare un certificato personalizzato emesso dall'autorità di certificazione:
- Fare clic sul pulsante Aggiungi.
- Nella finestra Esplora file visualizzata specificare un file di certificato nel formato PEM, PFX o P12 archiviato nel dispositivo, quindi fare clic sul pulsante Apri.
Il certificato personalizzato viene specificato come certificato del server per dispositivi mobili MDM iOS di riserva.
- Se si prevede di continuare a utilizzare un certificato autofirmato (ovvero quello emesso da Kaspersky):
È stato specificato un certificato del server per dispositivi mobili MDM iOS di riserva. I dettagli del certificato di riserva sono visualizzati nel gruppo di impostazioni Certificato di riserva (nome del certificato, nome dell'emittente, data di scadenza e data di applicazione del certificato di riserva, se presente).
Installazione di un certificato APNs in un server MDM iOS
Dopo aver ricevuto il certificato APNs, è necessario installarlo nel server per dispositivi mobili MDM iOS.
Per installare il certificato APNs nel server MDM iOS:
- Nella cartella Mobile Device Management della struttura della console selezionare la sottocartella Server per dispositivi mobili.
- Nell'area di lavoro della cartella Server per dispositivi mobili selezionare un server per dispositivi mobili MDM iOS.
- Nel menu di scelta rapida del server per dispositivi mobili MDM iOS selezionare Proprietà.
Verrà visualizzata la finestra delle proprietà del server MDM iOS.
- Nella finestra delle proprietà del server per dispositivi mobili MDM iOS selezionare la sezione Certificati.
- Nella sezione Certificati, nel gruppo di impostazioni Certificato Apple Push Notification, fare clic sul pulsante Installa.
- Selezionare il file PFX che contiene il certificato APNs.
- Immettere la password della chiave privata che è stata specificata durante l'esportazione del certificato APNs.
Il certificato APNs verrà installato nel server MDM iOS. I dettagli del certificato verranno visualizzati nella finestra delle proprietà del server per dispositivi mobili MDM iOS, nella sezione Certificati.
Inizio paginaConfigurazione dell'accesso al servizio Apple Push Notification
Per garantire il corretto funzionamento del servizio Web MDM iOS e risposte tempestive dei dispositivi mobili ai comandi dell'amministratore, è necessario specificare un certificato del servizio Apple Push Notification (di seguito denominato certificato APNs) nelle impostazioni del server MDM iOS.
Interagendo con Apple Push Notification (di seguito denominato APNs), il servizio Web MDM iOS si connette all'indirizzo esterno api.push.apple.com tramite la porta 2197 (in uscita). Pertanto, il servizio Web MDM iOS richiede l'accesso alla porta TCP 2197 per l'intervallo di indirizzi 17.0.0.0/8. Sul lato del dispositivo iOS è necessario l'accesso alla porta TCP 5223 per l'intervallo di indirizzi 17.0.0.0/8.
Se si prevede di accedere ad APNs dal servizio Web MDM iOS tramite un server proxy, è necessario eseguire le seguenti operazioni sul dispositivo in cui è installato il servizio Web MDM iOS:
- Aggiungere le seguenti stringhe al Registro di sistema:
- Per i sistemi operativi a 32 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
"ApnProxyHost"="<Nome host proxy>"
"ApnProxyPort"="<Porta proxy>"
"ApnProxyLogin"="<Nome di accesso proxy>"
"ApnProxyPwd"="<Password proxy>"
- Per i sistemi operativi a 64 bit:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset
"ApnProxyHost"="<Nome host proxy>"
"ApnProxyPort"="<Porta proxy>"
"ApnProxyLogin"="<Nome di accesso proxy>"
"ApnProxyPwd"="<Password proxy>"
- Riavviare il servizio Web MDM iOS.
Emissione e installazione di un certificato condiviso in un dispositivo mobile
Per rilasciare un certificato condiviso a un utente:
- Nella struttura della console, nella cartella Account utente, selezionare un account utente.
- Nel menu di scelta rapida dell'account utente selezionare Installa certificato.
Verrà avviata l'Installazione guidata certificato. Seguire le istruzioni della procedura guidata.
Al termine della procedura guidata, verrà creato un certificato, che sarà aggiunto all'elenco dei certificati dell'utente.
Il certificato emesso verrà scaricato dall'utente, insieme al pacchetto di installazione che contiene il profilo MDM iOS.
Una volta connesso il dispositivo mobile al server MDM iOS, le impostazioni del profilo MDM iOS verranno applicate al dispositivo dell'utente. L'amministratore sarà in grado di gestire il dispositivo in seguito alla connessione.
Il dispositivo mobile dell'utente connesso al server per dispositivi mobili MDM iOS viene visualizzato nella sottocartella Dispositivi mobili, all'interno della cartella Mobile Device Management nella struttura della console.
Inizio paginaAggiunta di un dispositivo KES all'elenco dei dispositivi gestiti
Per aggiungere il dispositivo KES di un utente all'elenco dei dispositivi gestiti utilizzando un collegamento a Google Play:
- Nella struttura della console selezionare la cartella Account utente.
La cartella Account utente è una sottocartella della cartella Avanzate per impostazione predefinita.
- Selezionare l'account dell'utente di cui si desidera aggiungere il dispositivo mobile all'elenco dei dispositivi gestiti.
- Nel menu di scelta rapida dell'account utente selezionare Aggiungi dispositivo mobile.
Verrà avviata la Connessione guidata nuovo dispositivo mobile. Nella finestra Origine certificato della procedura guidata, è necessario specificare il metodo per la creazione del certificato condiviso che Administration Server utilizzerà per identificare il dispositivo mobile. È possibile specificare un certificato condiviso utilizzando una delle seguenti modalità:
- Creare un certificato condiviso automaticamente, tramite gli strumenti di Administration Server, e quindi inviare il certificato al dispositivo.
- Specificare il file di un certificato condiviso.
- Nella finestra Tipo di dispositivo della procedura guidata selezionare Collegamento a Google Play.
- Nella finestra Metodo di notifica all'utente della procedura guidata, definire le impostazioni per la notifica all'utente del dispositivo mobile della creazione del certificato con un messaggio SMS, tramite e-mail o visualizzando l'informazione al termine della procedura guidata.
- Nella finestra Info sul certificato della procedura guidata, fare clic sul pulsante Fine per chiudere la procedura guidata.
Al termine delle attività della procedura guidata, al dispositivo mobile dell'utente verranno inviati un collegamento e un codice QR per consentire il download di Kaspersky Endpoint Security da Google Play. L'utente accede a Google Play utilizzando il collegamento o eseguendo la scansione del codice QR. Dopodiché, il sistema operativo del dispositivo richiede all'utente di accettare l'installazione di Kaspersky Endpoint Security for Android. Dopo il download e l'installazione di Kaspersky Endpoint Security for Android, il dispositivo mobile si connette ad Administration Server e scarica un certificato condiviso. Dopo l'installazione del certificato nel dispositivo mobile, il dispositivo verrà visualizzato nella cartella Dispositivi mobili, una sottocartella di Mobile Device Management nella struttura della console.
Se Kaspersky Endpoint Security for Android è già stato installato nel dispositivo, l'utente deve ricevere le impostazioni di connessione di Administration Server dall'amministratore e quindi immetterle autonomamente. Dopo la definizione delle impostazioni di connessione, il dispositivo mobile si connette ad Administration Server. L'amministratore emette un certificato condiviso per il dispositivo e invia all'utente un messaggio e-mail o un messaggio SMS con un nome utente e una password per il download del certificato. L'utente scarica e installa il certificato condiviso. Dopo l'installazione del certificato nel dispositivo mobile, il dispositivo verrà visualizzato nella cartella Dispositivi mobili, una sottocartella di Mobile Device Management nella struttura della console. In questo caso, Kaspersky Endpoint Security for Android non verrà scaricato e installato nuovamente.
Inizio paginaConnessione dei dispositivi KES ad Administration Server
A seconda del metodo utilizzato per la connessione dei dispositivi ad Administration Server, sono possibili due schemi di distribuzione per Kaspersky Device Management for iOS per i dispositivi KES:
- Schema di distribuzione con connessione diretta dei dispositivi all'Administration Server
- Schema di distribuzione che coinvolge un proxy inverso che supporta la delega vincolata Kerberos
Connessione diretta dei dispositivi all'Administration Server
I dispositivi KES possono connettersi direttamente alla porta 13292 di Administration Server.
A seconda del metodo utilizzato per l'autenticazione, sono possibili due opzioni per la connessione dei dispositivi KES all'Administration Server:
- Connessione dei dispositivi con un certificato utente
- Connessione dei dispositivi senza un certificato utente
Connessione di un dispositivo con un certificato utente
Durante la connessione di un dispositivo con un certificato utente, il dispositivo viene associato all'account utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.
In questo caso verrà utilizzata l'autenticazione SSL bidirezionale (autenticazione reciproca). Sia l'Administration Server che il dispositivo verranno autenticati con certificati.
Connessione di un dispositivo senza un certificato utente
Durante la connessione di un dispositivo senza un certificato utente, il dispositivo non viene associato ad alcun account utente in Administration Server. Tuttavia, quando il dispositivo riceve un certificato, il dispositivo verrà associato all'utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.
Durante la connessione del dispositivo all'Administration Server, sarà applicata l'autenticazione SSL unidirezionale, il che significa che solo l'Administration Server viene autenticato con il certificato. Dopo il recupero del certificato utente da parte del dispositivo, il tipo di autenticazione diventerà autenticazione SSL bidirezionale (autenticazione SSL bidirezionale, autenticazione reciproca).
Inizio paginaSchema per la connessione dei dispositivi KES al server tramite Kerberos Constrained Delegation (KCD)
Lo schema per la connessione dei dispositivi KES all'Administration Server tramite Kerberos Constrained Delegation (KCD) offre quanto segue:
- Integrazione con un proxy inverso che supporta KCD.
- Utilizzo di Kerberos Constrained Delegation (di seguito denominato KCD) per l'autenticazione dei dispositivi mobili.
- Integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) per l'applicazione dei certificati utente.
Quando si utilizza questo schema di connessione, tenere presente quanto segue:
- Il tipo di connessione dei dispositivi KES al proxy inverso deve essere l'autenticazione SSL bidirezionale: un dispositivo deve connettersi al proxy inverso tramite il relativo certificato utente proprietario. A tale scopo, è necessario integrare il certificato utente nel pacchetto di installazione di Kaspersky Endpoint Security for Android, che è stato installato nel dispositivo. Questo pacchetto KES deve essere creato dall'Administration Server specificamente per questo dispositivo (utente).
- È necessario specificare lo speciale certificato (personalizzato) invece del certificato server predefinito per il protocollo mobile:
- Nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e selezionare Aggiungi certificato nell'elenco a discesa.
- Nella finestra visualizzata specificare lo stesso certificato che è stato impostato nel proxy inverso al momento della pubblicazione del punto di accesso al protocollo mobile nell'Administration Server.
- I certificati utente per i dispositivi KES devono essere emessi dall'Autorità di certificazione (CA) del dominio. Tenere presente che se il dominio include più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata impostata nella pubblicazione nel proxy inverso.
È possibile garantire che il certificato utente sia conforme a tale requisito utilizzando uno dei seguenti metodi:
- Specificare lo certificato utente speciale nella Creazione guidata nuovo pacchetto e nell'Installazione guidata certificato.
- Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
- Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
- Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
- Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
- Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.
Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:
- Il punto di accesso al protocollo mobile in Administration Server è impostato sulla porta 13292.
- Il nome del dispositivo con il proxy inverso è firewall.mydom.local.
- Il nome del dispositivo con Administration Server è ksc.mydom.local.
- Il nome della pubblicazione esterna del punto di accesso al protocollo mobile è kes4mob.mydom.global.
Account di dominio per Administration Server
È necessario creare un account di dominio (ad esempio, KSCMobileSrvcUsr) con cui verrà eseguito il servizio Administration Server. È possibile specificare un account per il servizio Administration Server al momento dell'installazione di Administration Server o tramite l'utilità klsrvswch. L'utilità klsrvswch è disponibile nella cartella di installazione di Administration Server. Il percorso di installazione predefinito: <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.
È necessario specificare un account di dominio per i motivi seguenti:
- La funzionalità di gestione dei dispositivi KES è una parte integrante di Administration Server.
- Per garantire il corretto funzionamento di Kerberos Constrained Delegation (KCD), la parte ricevente (ovvero, Administration Server) deve essere in esecuzione con un account di dominio.
Nome dell'entità servizio per http/kes4mob.mydom.local
Nel dominio, con l'account KSCMobileSrvcUsr, aggiungere un SPN per pubblicare il servizio del protocollo mobile sulla porta 13292 del dispositivo con Administration Server. Per il dispositivo kes4mob.mydom.local con Administration Server, si presenta come segue:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)
Per delegare il traffico, è necessario impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292).
Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292), l'amministratore deve eseguire seguenti le operazioni:
- Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
- Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
- Nell'elenco Servizi ai quali l'account può presentare credenziali delegate aggiungere l'SPN http/kes4mob.mydom.local:13292.
Speciale certificato (personalizzato) per la pubblicazione (kes4mob.mydom.global)
Per pubblicare il protocollo mobile di Administration Server, è necessario emettere uno speciale certificato (personalizzato) per il nome FQDN kes4mob.mydom.global e specificarlo invece del certificato server predefinito nelle impostazioni del protocollo mobile di Administration Server in Administration Console. A tale scopo, nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e quindi selezionare Aggiungi certificato nell'elenco a discesa.
Il contenitore del certificato server (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).
Configurazione della pubblicazione nel proxy inverso
Nel proxy inverso, per il traffico dal dispositivo mobile alla porta 13292 kes4mob.mydom.global, è necessario configurare KCD sull'SPN (http/kes4mob.mydom.local:13292) utilizzando il certificato server emesso per il nome FQDN kes4mob.mydom.global. La pubblicazione e il punto di accesso pubblicato (la porta 13292 di Administration Server) devono condividere lo stesso certificato server.
Utilizzo di Firebase Cloud Messaging
Per garantire l'invio tempestivo dei comandi ai dispositivi KES gestiti dal sistema operativo Android, Kaspersky Security Center usa il meccanismo delle notifiche push. Le notifiche push vengono scambiate tra i dispositivi KES e Administration Server tramite Firebase Cloud Messaging (di seguito FCM). In Kaspersky Security Center Administration Console è possibile specificare le impostazioni di Cloud Firebase Messaging per la connessione dei dispositivi KES al servizio.
Per recuperare le impostazioni di Firebase Cloud Messaging, è necessario disporre di un account Google.
Per abilitare l'utilizzo di FCM:
- In Administration Console selezionare il nodo Mobile Device Management e la cartella Dispositivi mobili.
- Dal menu di scelta rapida della cartella Dispositivi mobili selezionare Proprietà.
- Nelle proprietà della cartella selezionare la sezione Impostazioni di Google Firebase Cloud Messaging.
- Nel campo ID mittente, specificare l'ID del mittente FCM.
- Nel campo File della chiave privata (in formato JSON), selezionare il file della chiave privata.
Alla successiva sincronizzazione con Administration Server, i dispositivi KES gestiti da sistemi operativi Android verranno connessi a Firebase Cloud Messaging.
È possibile modificare le impostazioni di Firebase Cloud Messaging facendo clic sul pulsante Ripristina impostazioni.
Quando si passa a un progetto Firebase diverso, è necessario attendere 10 minuti per il ripristino di FCM.
Il servizio FCM viene eseguito nei seguenti intervalli di indirizzi:
- Sul lato del dispositivo KES, è necessario l'accesso alle porte 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) e 5230 (HTTPS) dei seguenti indirizzi:
- google.com
- fcm.googleapis.com
- android.apis.google.com
- Tutti gli indirizzi IP elencati nell'ASN Google numero 15169
- Sul lato dell'Administration Server, è necessario l'accesso alla porta 443 (HTTPS) dei seguenti indirizzi:
- fcm.googleapis.com
- Tutti gli indirizzi IP elencati nell'ASN Google numero 15169
Se le impostazioni del server proxy (Avanzate / Configurazione dell'accesso a Internet) sono state specificate nelle proprietà di Administration Server in Administration Console, saranno utilizzate per l'interazione con FCM.
Configurazione di FCM: ottenere l'ID del mittente e il file della chiave privata
Per configurare il FCM:
- Eseguire la registrazione nel portale Google.
- Passare alla console Firebase.
- Eseguire una delle seguenti operazioni:
- Per creare un nuovo progetto, fare clic su Crea un progetto e seguire le istruzioni sullo schermo.
- Aprire un progetto esistente.
- Fare clic sull'icona a forma di ingranaggio e selezionare Impostazioni progetto.
Verrà visualizzata la finestra Impostazioni progetto.
- Selezionare la scheda Cloud Messaging.
- Recuperare l'ID del mittente pertinente dal campo ID mittente nella sezione Firebase Cloud Messaging API (V1).
- Selezionare la scheda Account di servizio e fare clic su Genera nuova chiave privata.
- Nella finestra visualizzata, fare clic su Genera chiave per generare e scaricare un file di chiave privata.
Firebase Cloud Messaging è ora configurato.
Inizio paginaIntegrazione con PKI (Public Key Infrastructure)
L'integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) ha principalmente l'obiettivo di semplificare l'emissione dei certificati utente di dominio da parte di Administration Server.
L'amministratore può assegnare un certificato di dominio per un utente in Administration Console. A tale scopo, è possibile utilizzare uno dei seguenti metodi:
- Assegnare all'utente uno speciale certificato (personalizzato) da un file nell'Installazione guidata certificato.
- Eseguire l'integrazione con PKI e assegnare a PKI il ruolo di origine dei certificati per un tipo specifico di certificati o per tutti i tipi di certificati.
Le impostazioni dell'integrazione con PKI sono disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI).
Principio generale di integrazione con PKI per l'emissione dei certificati utente di dominio
In Administration Console fare clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI) nell'area di lavoro della cartella Mobile Device Management / Certificati per specificare un account di dominio che sarà utilizzato da Administration Server per emettere i certificati utente di dominio tramite l'Autorità di certificazione del dominio (di seguito denominato account utilizzato per l'integrazione con PKI).
Tenere presente quanto segue:
- Le impostazioni di integrazione con PKI offrono la possibilità di specificare il modello predefinito per tutti i tipi di certificati. Le regole per l'emissione dei certificati (disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul pulsante Configura regole di emissione certificati) consentono di specificare un singolo modello per ogni tipo di certificati.
- Un speciale certificato Enrollment Agent (EA) deve essere installato nel dispositivo con Administration Server, nell'archivio di certificati dell'account utilizzato per l'integrazione con PKI. Il certificato Enrollment Agent (EA) viene emesso dall'amministratore dell'Autorità di certificazione del dominio.
L'account utilizzato per l'integrazione con PKI deve soddisfare i seguenti criteri:
- È un utente di dominio.
- È un amministratore locale del dispositivo con Administration Server da cui viene avviata l'integrazione con PKI.
- Ha il diritto di accesso come servizio.
- Il dispositivo in cui è installato Administration Server deve essere in esecuzione almeno una volta con questo account per creare un profilo utente permanente.
Server Web di Kaspersky Security Center
Il Server Web di Kaspersky Security Center (di seguito denominato server Web) è un componente di Kaspersky Security Center. Il server Web è progettato per la pubblicazione di pacchetti di installazione indipendenti, pacchetti di installazione indipendenti per dispositivi mobili, profili MDM iOS e file da una cartella condivisa.
I profili MDM iOS e i pacchetti di installazione creati vengono pubblicati automaticamente sul server Web e sono rimossi dopo il primo download. L'amministratore può inviare il nuovo collegamento all'utente con qualsiasi sistema (ad esempio, tramite e-mail).
Facendo clic su questo collegamento, l'utente può scaricare le informazioni richieste in un dispositivo mobile.
Impostazioni del server Web
Se è necessario modificare la configurazione del server Web, le proprietà del server Web di Administration Console offrono la possibilità di modificare le porte per HTTP (8060) e HTTPS (8061). Oltre a modificare le porte, è possibile sostituire il certificato server per HTTPS e modificare il nome FQDN del server Web per HTTP.
Inizio pagina