Контроль соответствия iOS MDM-устройств
Контроль соответствия позволяет проверять соблюдение требований корпоративной безопасности на iOS MDM-устройствах и принимать меры в случае обнаружения несоответствия требованиям. Контроль соответствия работает на основе списка правил. Каждое правило содержит следующие компоненты:
- статус (правило включено или выключено);
- критерии несоответствия (например, отсутствие указанных приложений или версия операционной системы на устройстве);
- реакции, которые будут применены на устройстве, если пользователь не устранит несоответствие в течение указанного времени (например, удаление корпоративных данных или отправка сообщения пользователю).
Чтобы добавить правило проверки устройств на соответствие политике:
- В главном окне Kaspersky Security Center Web Console выберите Активы (Устройства) → Политики и профили политик. В открывшемся списке политик выберите политику, которую вы хотите настроить.
- В окне свойств политики выберите Параметры приложения.
- Выберите iOS и перейдите в раздел Контроль безопасности.
- На карточке Контроль соответствия нажмите Параметры.
Откроется окно Контроль соответствия.
- Включите параметры с помощью переключателя Контроль соответствия.
- Нажмите Добавить.
Запустится Мастер добавления правила. С помощью мастера можно создать набор правил для проверки соответствия устройства политике. Следуйте шагам мастера, используя кнопки Далее и Назад.
Шаг 1. Критерий несоответствия
Нажмите Добавить критерий, чтобы указать критерий несоответствия для срабатывания правила.
Доступны следующие критерии:
- Список установленных приложений
В списке приложений на устройстве есть запрещенные приложения или отсутствуют обязательные.
- Версия операционной системы
Версия операционной системы на устройстве не соответствует заданному диапазону разрешенных версий.
Для этого критерия выберите условие (Равна, Не равна, Ниже, Ниже или равна, Выше или Выше или равна) и укажите версию iOS.
Операторы Равна и Не равна проверяют полное соответствие версии операционной системы указанному значению. Например, если в правиле указать версию 15, а устройство работает на iOS 15.2, то условие Равна не будет выполнено. Если необходимо указать диапазон версий, вы можете создать два критерия, использовав операторы Ниже и Выше.
- Статус управления
Статус управления устройством не соответствует требуемому.
Для этого критерия выберите режим работы устройства (Расширенный контроль или Базовый контроль).
- Тип устройства
Тип устройства не соответствует требуемому.
Для этого критерия выберите тип устройства (iPhone или iPad).
- Модель устройства
Модель устройства не соответствует требуемой.
Для этого критерия выберите условие (Равна или Не равна) и укажите модели, которые будут проверены или исключены из проверки.
Чтобы указать модель, в поле Идентификатор модели выберите требуемую модель из списка или введите значение вручную. Список содержит коды мобильных устройств и соответствующие им публичные названия. Например, чтобы добавить все модели iPhone 14, введите "iPhone 14". В этом случае можно выбрать любую из доступных моделей: "iPhone 14", "iPhone 14 Plus", "iPhone 14 Pro", "iPhone 14 Pro Max".
В некоторых случаях одно публичное название может соответствовать нескольким кодам мобильных устройств (например, публичное название "iPhone 7" соответствует двум кодам мобильных устройств – "iPhone 9.1" и "iPhone 9.3"). Убедитесь, что выбрали все коды мобильных устройств, которые соответствуют нужным моделям.
При вводе значения, отсутствующего в списке, ничего не будет найдено. Тем не менее, вы можете нажать Добавить: "<значение>" и добавить введенное значение к критерию.
Если указаны противоречащие друг другу критерии (например, в поле Тип устройства указано значение iPhone, а списке значений Модель устройства с выбранным оператором Равна - модель iPad), отобразится сообщение об ошибке. Вы не можете сохранить правило с такими критериями.
- Нахождение в роуминге
Статус роуминга устройства не соответствует требуемому.
Для этого критерия выберите условие (Устройство в роуминге или Устройство не в роуминге).
- Пароль на устройстве
Пароль не установлен или не соответствует параметрам, указанным в разделе политики Параметры разблокировки экрана.
Для этого критерия выберите условие (Не установлен, Установлен, но не соответствует требованиям или Установлен и соответствует требованиям).
- Свободное место на устройстве
Объем свободного места на устройстве меньше указанного порогового значения.
Для этого критерия укажите пороговое значение свободного места (Меньше или равно) и выберите единицу измерения (МБ или ГБ).
- Устройство не зашифровано
Устройство не зашифровано.
На iOS-устройствах шифрование данных включено по умолчанию, если установлен пароль для разблокировки устройства (Настройки > Touch ID / Face ID и пароль > Включить пароль). Также для аппаратного шифрования на устройстве должно быть установлено значение На уровне блоков и файлов (этот параметр можно проверить в свойствах устройства: перейдите в Активы (Устройства) → Мобильные → Устройства и выберите необходимое устройство).
- Действия с SIM-картой
SIM-карта устройства была заменена или извлечена относительно предыдущего состояния проверки, или была установлена дополнительная SIM-карта.
Для этого критерия выберите условие (SIM-карта не должна быть заменена или удалена или SIM-карта не должна быть заменена или удалена; не должны быть установлены дополнительные SIM-карты).
На устройствах, совместимых с eSIM, обнаруженное несоответствие невозможно устранить, вставив ранее удаленную eSIM. Это связано с тем, что операционная система устройства распознает каждую добавленную карту eSIM как новую. В этом случае вам необходимо удалить правило Контроля соответствия из политики.
- Устройство давно не синхронизировалось
Проверяется последняя синхронизация устройства с Сервером iOS MDM.
Для этого критерия укажите максимальный период с момента последней синхронизации в поле Период без синхронизации и выберите единицы измерения (Часы или Дни).
Не рекомендуется выбирать значение меньше значения параметра Период синхронизации (мин), указанного в параметрах Сервера iOS MDM.
Шаг 2. Реакции при несоответствии требованиям безопасности
Добавьте действия, которые будут выполняться на устройстве при обнаружении указанного критерия несоответствия.
Выберите один из следующих вариантов:
- Добавить реакцию. Реакция применяется немедленно после обнаружения критерия несоответствия.
- Добавить отложенную реакцию. Реакция применяется спустя период времени, указанный в поле Время на устранение.
Реакции применяются во время проверки соблюдения правил соответствия (1 раз в 40 минут) до следующей синхронизации с Сервером iOS MDM. Чтобы предотвратить повторные реакции по одному и тому же случаю несоответствия, в поле Период синхронизации (мин) в параметрах Сервера iOS MDM укажите значение 30 минут.
Если вы укажете реакции, которые противоречат друг другу, отобразится сообщение об ошибке. Такое правило нельзя сохранить.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить реакцию, отправив устройству соответствующую команду.
Доступны следующие реакции:
- Отправить пользователю сообщение
Пользователь будет уведомлен о случае несоответствия по электронной почте.
Для этой реакции укажите адрес электронной почты пользователя в полях Адрес электронной почты и Дополнительный адрес электронной почты. При необходимости вы также можете изменить тему письма и текст по умолчанию.
Убедитесь, что в свойствах Сервера администрирования в разделе Электронная почта настроены уведомления. Дополнительная информация о настройке уведомлений приведена в справке Kaspersky Security Center.
- Удалить корпоративные данные
С устройства удалены все установленные конфигурационные профили, provisioning-профили, управляющий профиль и приложения, для которых был установлен флажок Удалять при удалении управляющего профиля. Реакция применяется через отправку команды Удалить корпоративные данные.
- Изменить профиль
Для этой реакции укажите одно из действий:
- Установить профиль. Конфигурационный профиль установлен на устройстве. Действие выполняется через отправку команды Установить конфигурационный профиль. Для этого действия необходимо указать идентификатор устанавливаемого профиля.
Перед установкой профиля убедитесь, что профиль добавлен в список конфигурационных профилей в разделе параметров Сервера iOS MDM Конфигурационные профили.
- Удалить указанный профиль. Конфигурационный профиль удален с устройства. Действие выполняется через отправку команды Удалить конфигурационный профиль. Для этого действия необходимо указать идентификатор удаляемого профиля.
- Удалить все профили. Все ранее установленные конфигурационные профили удалены с устройства.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные конфигурационные профили один за другим, отправив устройству соответствующую команду.
- Установить профиль. Конфигурационный профиль установлен на устройстве. Действие выполняется через отправку команды Установить конфигурационный профиль. Для этого действия необходимо указать идентификатор устанавливаемого профиля.
- Обновить операционную систему
Для этой реакции укажите Версия ОС и одно из действий:
- Загрузить и установить. Операционная система устройства загружена и установлена.
Если в критерии Версия операционной системы указана несуществующая версия, устройство обновится до последней загруженной версии.
- Только загрузить. Операционная система устройства загружена.
- Только установить. Ранее загруженная операционная система установлена.
Это реакция применима только к устройствам с режимом работы "Расширенный контроль".
- Загрузить и установить. Операционная система устройства загружена и установлена.
- Изменить параметры Bluetooth
Для этой реакции укажите, требуется ли включить или отключить Bluetooth на устройстве.
Это реакция применима только к устройствам с режимом работы "Расширенный контроль".
- Сбросить настройки до заводских
Удалены все данные с устройства; настройки устройства сброшены до установленных по умолчанию. После применения этой реакции устройство перестает быть управляемым. Для подключения устройства к Kaspersky Security Center необходимо переустановить на устройстве управляющий профиль.
- Изменить приложения
Для этой реакции укажите одно из действий:
- Удалить указанное приложение. Указанное приложение удалено с устройства.
Вы можете удалить только управляемое приложение. Приложение считается управляемым, если оно установлено с помощью Kaspersky Security Center через команду Установить приложение.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно отменить действие, отправив устройству соответствующую команду.
- Удалить все приложения. Все управляемые приложения удалены с устройства.
Вы можете удалить только управляемые приложения. Приложение считается управляемым, если оно установлено с помощью Kaspersky Security Center через команду Установить приложение.
Когда критерии несоответствия правилу перестанут обнаруживаться на устройстве, можно установить удаленные приложения одно за другим, отправив устройству соответствующую команду.
- Удалить указанное приложение. Указанное приложение удалено с устройства.
- Удалить профиль указанного типа
Для этого действия необходимо указать Тип профиля, удаляемого с устройства (например, Веб-клипы или Подписки на календари).
Как только критерии несоответствия правилу перестанут обнаруживаться на устройстве, удаленные профили автоматически восстановятся.
- Изменить параметры роуминга
Для этой реакции необходимо указать, требуется ли включить или отключить роуминг данных на устройстве.
- Отправить пользователю сообщение
Нажмите Добавить правило, чтобы завершить Мастер добавления правила. Новое правило и краткие сведения о нем появятся в списке правил Контроля соответствия. Чтобы временно выключить правило, используйте переключатель рядом с выбранным правилом.
Чтобы включить автоматическое удаление данных с устройств, связанных с неактивными учетными записями пользователей Active Directory, установите флажок Удалять данные неактивных пользователей Active Directory и выберите одно из действий:
- Удалить корпоративные данные
- Сбросить настройки до заводских
Для этих настроек необходима интеграция с Microsoft Active Directory.
Если вы используете профили политики, убедитесь, что вы выставили опцию удаления данных на всю политику. После удаления пользователя из Active Directory он в первую очередь удалится из группы пользователей Active Directory. В результате профиль политики больше не будет распространяться на учетную запись этого пользователя, поэтому данные не будут удалены с устройства.
Нажмите Сохранить, чтобы сохранить внесенные изменения.