Kaspersky Secure Mobility Management
[Topic 274694]

Создание политики

Kaspersky Security Center Web Console позволяет создавать политики для настройки параметров безопасности групп мобильных устройств под управлением Android, iOS и ОС Аврора. Параметры безопасности, настроенные в политиках, сохраняются на Сервере администрирования, распространяются на мобильные устройства при синхронизации и используются в качестве текущих настроек.

Вы можете создать политику с помощью Мастера создания политики для мобильных устройств.

Чтобы создать политику:

  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик.
  2. В открывшемся списке политик нажмите Текущий путь, чтобы выбрать группу администрирования, для которой вы хотите создать политику.

    По умолчанию новая политика применяется к группе Управляемые устройства.

  3. Нажмите Добавить, чтобы запустить Мастер создания политики для мобильных устройств.
  4. В окне Выберите приложение выберите Kaspersky Mobile Devices Protection and Management и нажмите Далее.

    Запустится Мастер создания политики для мобильных устройств. Нажмите Начать и продолжайте работу мастера с помощью кнопок Назад и Далее.

Шаг 1. Лицензия

На этом шаге выберите лицензию.

От выбранной лицензии зависит набор параметров безопасности, которые вы сможете настраивать в политике. По умолчанию предварительно выбрана лицензия, поддерживающая функциональность Kaspersky Secure Mobility Management. Вы можете выбрать другую лицензию вручную.

Шаг 2. Операционные системы и режимы работы устройств

На этом шаге выберите операционные системы, на которые будет распространяться политика, и укажите режимы работы устройств.

  • Android
    • Личное устройство (базовая защита и управление личным Android-устройством).
    • Устройство с корпоративным контейнером (изолированная корпоративная среда на Android-устройстве).
    • Корпоративное устройство (расширенный набор параметров для управления корпоративным Android-устройством).

      Подробная информация приведена в разделе О режимах работы Android-устройств.

  • iOS
    • Базовая защита (защита от веб-угроз и обнаружение jailbreak на iOS-устройствах).
    • Базовый контроль (базовое управление личным iOS-устройством).
    • Расширенный контроль (расширенный набор параметров для управления iOS-устройством).

      Подробная информация приведена в разделе О режимах работы iOS-устройств.

      Для подключения и управления iOS-устройствами в режимах "Базовый контроль" и "Расширенный контроль" в выбранной группе администрирования должен быть установлен Сервер iOS MDM. Подробная информация об установке Сервера iOS MDM приведена в разделе Развертывание Сервера iOS MDM.

  • Аврора
    • Защита (защита устройств с ОС Аврора от угроз).

      Для подключения устройств с ОС Аврора на устройствах должно быть предварительно установлено приложение Kaspersky Endpoint Security для ОС Аврора.

В окне "Новая политика":

  1. В поле Имя введите имя новой политики. Если вы укажете имя уже существующей политики, к нему автоматически будет добавлено окончание (1).
  2. В разделе настроек Состояние политики выберите состояние политики:
    • Активна. Мастер сохраняет созданную политику на Сервере администрирования. После следующей синхронизации мобильных устройств с Сервером администрирования политика начнет использоваться на устройствах в качестве активной.
    • Неактивна. Мастер сохраняет созданную политику на Сервере администрирования как резервную. В дальнейшем политика может быть активирована по событию. При необходимости неактивную политику можно сделать активной.

      Для одной программы в группе можно создать несколько политик, но активной может быть только одна из них. При создании новой активной политики предыдущая активная политика автоматически становится неактивной.

  3. На вкладке Общие раздела настроек Наследование параметров можно настроить параметры наследования политики:
    • Наследовать параметры родительской политики

      Если вы включите этот параметр в дочерней политике, а администратор заблокирует некоторые параметры в родительской политике, вы не сможете изменить эти параметры в дочерней политике.

      Если вы выключили этот параметр в дочерней политике, вы можете изменить все параметры в дочерней политике, даже если некоторые параметры "заблокированы" в родительской политике.

    • Обеспечить принудительное наследование параметров для дочерних политик

      Если этот параметр включен в родительской политике, для всех дочерних политик будет включен параметр Наследовать параметры родительской политики. В этом случае вы не сможете выключить этот параметр для всех дочерних политик. Все параметры, заблокированные в родительской политике, принудительно наследуются в дочерних политиках, и вы не сможете изменить эти параметры в дочерних группах.

    По умолчанию параметр Наследовать параметры родительской политики включен, а параметр Обеспечить принудительное наследование параметров для дочерних политик - выключен.

    Наследование параметров политики работает только если для родительской и дочерней политики выбраны одинаковые режимы работы устройств, либо в выбранных для дочерней политики режимах работы устройств доступно больше параметров безопасности. Например, дочерняя политика для Android-устройств с корпоративным контейнером может наследовать параметры родительской политики для личных устройств, но не может наследовать параметры родительской политики для корпоративных устройств.
    Если вы создали дочернюю политику, несовместимую с родительской политикой, то чтобы управлять устройствами, нужно удалить ее и создать новую дочернюю политику.

  4. Нажмите Сохранить.

Создана новая политика для мобильных устройств.

В начало
[Topic 274738]

Изменение политики

Kaspersky Security Center Web Console позволяет изменять политики.

Чтобы изменить политику:

  1. Откройте окно свойств политики, выполнив одно из следующих действий:
    • В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите изменить.
    • В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)МобильныеУстройства. Выберите мобильное устройство, подпадающее под действие политики, которую вы хотите изменить, а затем выберите политику на вкладке Действующие политики и профили политик.
  2. В окне свойств политики перейдите на вкладку Параметры приложения, а затем укажите параметры политики.

    Вы можете настроить общие параметры, наследование параметров, профили политик, запись событий и уведомления, а также просмотреть историю ревизий. Дополнительная информация приведена в справке Kaspersky Security Center.

  3. Нажмите Сохранить, чтобы сохранить изменения, внесенные в политику, и закрыть окно свойств политики.

Политика будет изменена. Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.

В начало
[Topic 283010]

Копирование политики

В Kaspersky Security Center Web Console можно создавать копии политик.

Чтобы создать копию политики:

  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик.
  2. В открывшемся списке политик установите флажок рядом с названием политики, для которой вы хотите создать копию, и нажмите Копировать.
  3. В открывшемся дереве групп администрирования выберите целевую группу, в которой вы хотите создать политику.

    Можно создать новую группу администрирования, выбрав существующую группу и нажав Добавить дочернюю группу.

  4. Нажмите Копировать.
  5. Нажмите ОК, чтобы подтвердить операцию.

В целевой группе будет создана копия политики с тем же именем. Статус каждой скопированной или перемещенной политики в целевой группе будет Неактивна. В любое время можно изменить статус на Активна.

Если в целевой группе уже существует политика с именем, совпадающим с именем новой созданной или перемещенной политики, к имени новой политики добавляется индекс (<порядковый номер>), например: (1).

В начало
[Topic 274713]

Перенос политики в другую группу администрирования

В Kaspersky Security Center Web Console можно перенести политику в другую группу администрирования.

Чтобы перенести политику в другую группу администрирования:

  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик.
  2. В открывшемся списке политик установите флажок рядом с названием политики, которую вы хотите перенести в другую группу администрирования, и нажмите Переместить.
  3. В появившемся дереве групп администрирования выберите группу, в которую вы хотите переместить политику.

    Можно создать новую группу администрирования, выбрав существующую группу и нажав Добавить дочернюю группу.

  4. Нажмите Переместить.
  5. Нажмите ОК для подтверждения.

Результат зависит от свойств наследования политики:

  • Если политика не наследовалась в исходной группе, то она будет перемещена в целевую группу.
  • Если политика наследовалась в исходной группе, то она не будет перемещена. Вместо этого в целевой группе будет создана копия перемещаемой политики.

Статус каждой скопированной или перемещенной политики в целевой группе будет Неактивна. В любое время можно изменить статус на Активна.

Если в целевой группе уже существует политика с именем, совпадающим с именем новой созданной или перемещенной политики, к имени новой политики добавляется индекс (<порядковый номер>), например: (1).

В начало
[Topic 283449]

Просмотр списка политик

Kaspersky Security Center Web Console позволяет просматривать список созданных политик, их статусы и свойства.

Чтобы просмотреть список политик:

  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик.
  2. Откроется список политик с краткой информацией о них. На этой странице вы можете создавать, изменять, копировать, перемещать и удалять политики.
В начало
[Topic 274716]

Просмотр результатов применения политики

В Kaspersky Security Center Web Console можно просматривать диаграмму распространения политики и информацию обо всех устройствах, подпадающих под действие политики.

Чтобы просмотреть результаты распространения политики:

  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик.
  2. В открывшемся списке политик установите флажок рядом с названием политики, для которой вы хотите просмотреть результаты распространения, и нажмите Результаты применения.

Откроется страница с результатами распространения политики. Она содержит общую информацию о политике, диаграмму распространения политики и таблицу с информацией обо всех устройствах, подпадающих под действие этой политики. Вы можете открыть окно свойств политики, нажав Настроить параметры политики.

В начало
[Topic 274711]

Работа с ревизиями политик

В Kaspersky Security Center Web Console можно просматривать изменения, внесенные в политику за определенный период, а также сохранять информацию об этих изменениях в файле.

Чтобы просмотреть ревизию политики:

  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик.
  2. В открывшемся списке политик выберите политику, ревизию которой вы хотите просмотреть, а затем перейдите в раздел История ревизий.
  3. В списке ревизий политики выберите номер ревизии, которую вы хотите просмотреть.

    Если размер ревизии превышает 10 МБ, вы не сможете просмотреть ее с помощью Kaspersky Security Center Web Console. Вам будет предложено сохранить выбранную ревизию в файл JSON.

    Если размер ревизии не превышает 10 МБ, то отображается отчет в формате HTML с параметрами выбранной ревизии. Отчет отображается во всплывающем окне, поэтому убедитесь, что в вашем браузере разрешены всплывающие окна.

    Чтобы сохранить ревизию политики в файл JSON, в списке ревизий политики выберите нужную ревизию, а затем нажмите Сохранить в файл.

Ревизия сохраняется в файле JSON.

Подробная информация об управлении ревизиями политик приведена в справке Kaspersky Security Center.

В начало
[Topic 274740]

Ограничение прав на настройку политик

Администраторы Kaspersky Security Center могут настраивать права доступа пользователей Web Console к различным функциям решения Kaspersky Secure Mobility Management в зависимости от служебных обязанностей пользователей.

В интерфейсе Web Console вы можете настроить права доступа на вкладках Безопасность и Роли пользователей в окне свойств Сервера администрирования. На вкладке Роли пользователей можно добавлять типовые роли пользователей с заранее настроенным набором прав. В разделе Безопасность можно настраивать права для одного пользователя или для группы пользователей, а также назначать роли одному пользователю или группе пользователей. Права пользователей для каждой программы настраиваются по областям действия.

Для каждой функциональной области администратор может назначать следующие права доступа:

  • Разрешить изменение. Пользователю Web Console разрешено изменять параметры политики в окне ее свойств.
  • Запретить изменение. Пользователю Web Console запрещено изменять параметры политики в окне ее свойств. Вкладки политики, входящие в функциональную область, для которой назначено это право, не отображаются в интерфейсе.
В начало
[Topic 274742]

Настройка управления доступом на основе ролей

С помощью Kaspersky Security Center Web Console можно предоставлять доступ к функциям Kaspersky Secure Mobility Management на основе ролей.

Вы можете настроить права доступа к функциям Kaspersky Secure Mobility Management одним из следующих способов:

  • Настроить права отдельно для каждого пользователя или группы.
  • Создать типовые роли пользователей с предопределенным набором прав и назначить эти роли пользователям в соответствии с их обязанностями.

Назначение ролей упрощает и сокращает процедуру настройки прав доступа пользователей. Права доступа для роли настраиваются в соответствии с типовыми задачами и обязанностями пользователей.

Ролям пользователей можно присваивать имена, соответствующие их назначению. В программе можно создавать неограниченное количество ролей. Вы можете использовать предопределенные роли пользователей с уже настроенным набором прав или создавать новые роли и самостоятельно настраивать необходимые права.

Подробная информация о настройке доступа пользователей в Kaspersky Security Center приведена в справке Kaspersky Security Center.

У некоторых предопределенных ролей пользователей нет прав на работу с мобильными устройствами. Предопределенные роли пользователей, доступные для функций Kaspersky Secure Mobility Management, перечислены в таблице ниже.

Предопределенные роли пользователей для работы с Kaspersky Secure Mobility Management

Роль

Чтение

Запись

Управление лицензионными ключами: создание политик и изменение параметров лицензионного ключа

Системное администрирование: просмотр непринятых Лицензионных соглашений и принятие Лицензионных соглашений

Администратор Kaspersky Endpoint Security

+

+

-

-

Оператор Kaspersky Endpoint Security

+

-

-

-

Главный администратор

+

+

-

-

Главный оператор

+

-

-

-

Администратор управления мобильными устройствами

+

+

+

+

Оператор управления мобильными устройствами

+

-

-

-

Дополнительная информация о предопределенных ролях пользователей приведена в справке Kaspersky Security Center.

Права доступа к функциям Kaspersky Secure Mobility Management

Функциональная область

Право

Kaspersky Mobile Devices Protection and Management > Kaspersky Security Center Web Console > Конфигурация приложений

  • Чтение: Право на чтение во всех параметрах в разделе соответствующей политики
  • Запись: Право на запись во всех параметрах в разделе соответствующей политики

Обратите внимание: для настройки параметров Веб-Защиты и Веб-Контроля у администратора должны быть права на Чтение и Запись в функциональных областях Защита и Контроль безопасности.

Kaspersky Mobile Devices Protection and Management > Kaspersky Security Center Web Console > Контроль безопасности

Kaspersky Mobile Devices Protection and Management > Kaspersky Security Center Web Console > Корпоративный контейнер

Kaspersky Mobile Devices Protection and Management > Kaspersky Security Center Web Console > Конфигурация устройств

Kaspersky Mobile Devices Protection and Management > Kaspersky Security Center Web Console > Конфигурация приложений "Лаборатории Касперского" для управления устройствами

Kaspersky Mobile Devices Protection and Management > Kaspersky Security Center Web Console > Защита

Kaspersky Mobile Devices Protection and Management > Kaspersky Security Center Web Console > Ограничения

Kaspersky Mobile Devices Protection and Management > Kaspersky Security Center Web Console > Параметры Samsung Knox

Права доступа для управления мобильными устройствами

Право

Действие пользователя: право, необходимые для выполнения действия

Управление мобильными устройствами > Общие > Чтение

  • Просмотр раздела Мобильные в Kaspersky Security Center Web Console

Управление мобильными устройствами > Общие > Запись

  • Выполнять любые действия с сертификатами (кроме просмотра сертификатов)

    Также должно быть предоставлено право Управление сертификатами.

  • Настройка параметров Firebase Cloud Messaging

Управление мобильными устройствами > Общие > Подключение новых устройств

  • Подключение новых мобильных устройств и Серверов iOS MDM
  • Удаление устройств

Управление мобильными устройствами > Общие > Управление сертификатами

  • Выполнять любые действия с сертификатами
  • Настройка правил выпуска сертификатов

Также должно быть предоставлено право Запись.

Управление мобильными устройствами > Общие > Отправка только информационных команд на мобильные устройства

  • Отправка и отмена команды Синхронизировать устройство

Управление мобильными устройствами > Общие > Отправка команд на мобильные устройства

  • Отправка и отмена любой команды

В начало
[Topic 286998]

Настройка профилей политик

Может возникнуть необходимость создать и централизованно изменить несколько копий одной политики для группы администрирования. Эти копии могут отличаться одним или двумя параметрами.

Чтобы избежать создания нескольких копий одной политики, Kaspersky Security Center Web Console позволяет создавать профили политик. Профили политики нужны для того, чтобы устройства внутри одной группы администрирования могли иметь разные параметры политики.

Профиль политики представляет собой именованное подмножество параметров политики. Это подмножество параметров распространяется на устройства вместе с политикой и дополняет политику при выполнении определенного условия – условия активации профиля. Профили содержат только те параметры, которые отличаются от "базовой" политики, действующей на управляемом устройстве. При активации профиля изменяются параметры "базовой" политики, которые исходно действовали на устройстве. Эти параметры принимают значения, указанные в профиле.

Вы можете менять условия, которые влияют на активацию создаваемого профиля политики. Для мобильных устройств доступны следующие условия:

  • Правила для выбранного владельца устройства

    Активация профиля на устройстве по владельцу устройства.

    • Владелец устройства
    • Владелец устройства включен во внутреннюю группу безопасности
  • Правила для использования Active Directory

    Активация профиля на устройстве в зависимости от размещения устройства в подразделении Active Directory или же от членства устройства или его владельца в группе безопасности Active Directory. Область настройки зависит от текущей используемой политики.

    • Членство владельца устройства в группе безопасности Active Directory
    • Членство устройства в группе безопасности Active Directory
    • Размещение устройства в подразделении Active Directory

Подробная информация о настройке правил активации, а также создании, удалении и копировании профилей политики приведена в справке Kaspersky Security Center.

В начало
[Topic 286996]

Удаление политики

В Kaspersky Security Center Web Console можно удалять политики.

Удалять можно только те политики, которые не наследуются в текущей группе администрирования. Если политика наследуется, ее можно удалить только в группе верхнего уровня, для которой она была создана.

Чтобы удалить групповую политику:

  1. В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства)Политики и профили политик.
  2. В открывшемся списке политик установите флажок рядом с названием политики, которую вы хотите удалить, и нажмите Удалить.
  3. В открывшемся окне нажмите ОК для подтверждения.

Политика будет удалена. До применения новой политики мобильные устройства, входящие в группу администрирования, продолжат работу с параметрами, заданными в удаленной политике.

В начало
[Topic 274741]